Компании Cloudflare, Google, Mozilla, Microsoft и Shopify представили совместный проект по разработке и стандартизации протокола Private Access Control Tokens (PACT), позволяющего отделять реальных пользователей и легитимно действующих ботов от мусорного трафика и неконтролируемой активности AI-ботов, сохраняя при этом конфиденциальность пользователя. Заявлено, что новый протокол даст возможность фильтровать бот-трафик на сайтах при помощи анонимных токенов, обходясь без запроса капчи, обязательной аутентификации и отслеживания через Cookies. Идея в том, что сервисы, у которых есть основания считать пользователя реальным человеком, например, после успешной аутентификации или антибот-проверки, будут выдавать пользователю анонимные токены. После этого браузер пользователя сможет предъявлять эти токены другим сайтам как подтверждение, что запрос не является автоматическим. Подобный подход позволит использовать уже пройденные на одном сайте проверки для подключения к другим сайтам без дополнительных проверок. При этом протокол проектируется так, чтобы сайты не могли использовать токены для идентификации пользователя или восстановления истории посещений. Поводом для инициативы стал рост доли автоматизированного трафика от AI-агентов, краулеров (crawlers) и скрейперов (scrapers), притворяющихся запросами от обычных пользователей, игнорирующих правила из robots.txt и создающих огромную паразитную нагрузку на серверы. Ранее Cloudflare предлагала использовать для аутентификации ботов механизм Web Bot Auth, основанный на прикреплении криптографической подписи к HTTP-запросам от ботов для принятия решения о доступе на основе верифицируемых данных, а не IP-адреса или легко подделываемого содержимого поля User-Agent. Из потенциальных рисков, связанных с внедрением протокола PACT, упоминается то, что механизм, созданный для добровольного подтверждения пользователя, может превратиться в обязательный фильтр доступа к сайтам и стать барьером, при котором программам, браузерам и пользователям придётся доказывать, что они заслуживают доступа. На похожую проблему ранее обращала внимание организация EFF (Electronic Frontier Foundation), в своей критике API Web Environment Integrity и удалённой аттестации. Подобные механизмы дают владельцам сайтов возможность блокировать неугодные браузеры, ОС и средства автоматизации, преподнося это как борьбу с мошенниками и вредоносной активностью. EFF признаёт, что проблемы с ботами реальны, но считает недопустимым решать их через введение новых ограничений и ущемление права пользователя управлять собственным компьютером.
Источник: https://www.opennet.ru/opennews/art.shtml?num=65749
Источник: https://www.opennet.ru/opennews/art.shtml?num=65749