Apple, iOS 16 e macOS 13 rivoluzioneranno tutto. Scacco matto a quelle odiose misure di sicurezza?

E’ forse il nemico pubblico numero uno per Apple. Si chiama CAPTCHA, abbreviazione di Completely Automated Public Turing test to tell Computers and Humans Apart, più comunemente quelle odiose misure di sicurezza che infastidiscono molti utenti, tipo “non sono un robot”, e simili. Ecco il colosso di Cupertino ha intenzione di eliminarli una volta per tutte.

CAPTCHA 20220616 cell
CAPTCHA – Adobe Stock

Al WWDC 2022 Apple ha mostrato la tecnologia denominata token di accesso privato, verosimilmente verrà rilasciata con i prossimi iOS 16 e MacOS13, una mossa da scacco matto per i CAPTCHA una volta per tutte.
I token di accesso privato (PAT) possono provare quando una richiesta HTTP proviene da un essere umano anziché da un bot, così non ci sarà più bisogno di quell’insopportabile forma di autenticazione.

I token saranno monouso come un modo per limitare gli attacchi di riproduzione

Apple 20220616 cell
Apple – Adobe Stock

I PAT di Apple potranno autenticare automaticamente una richiesta HTTP in background. Gli utenti non noteranno nulla e i fornitori di servizi cloud come Cloudflare e Fastly sarebbero prontissimi a incorporando la tecnologia. Che utilizza un nuovo metodo di autenticazione.

Quando il client ha bisogno di un token, contatterà Apple, che esegue il processo utilizzando i certificati archiviati nel Secure Enclave del dispositivo. La limitazione della frequenza può riconoscere se il dispositivo client segue i modelli utente tipici o fa parte di una click farm di iPhone, ad esempio.

Quando un utente Apple accederà al proprio dispositivo con una password, Touch ID o Face ID , aprirà Safari e navigerà senza nessuna possibilità di essere scambiato per bot. Una volta firmato, il token verrà inviato al server, in un processo a più fasi.

Cloudflare spiega che quando vengono utilizzati i PAT, i dati del dispositivo vengono isolati e non condivisi tra le parti coinvolte nel processo. Cloudflare conosce l’URL di destinazione ma non il dispositivo o le informazioni sull’interazione dell’utente. I token saranno monouso come un modo per limitare gli attacchi di riproduzione, ovvero quando un client tenta di presentare un token più volte.

I server Web a cui si accederà tramite Safari e WebKit funzioneranno automaticamente con i PAT. Altri dispositivi potrebbero non riconoscere il processo del token, quindi Apple avverte gli sviluppatori di assicurarsi che l’autenticazione dell’utente non blocchi la pagina web principale e di presentarla come facoltativa.

Apple è ottimista su token, pronti con iOS 16 o macOS Ventura o versioni successive, con un ID Apple registrato. L’ID Apple viene utilizzato solo per l’attestazione e non è condiviso. Da capire se funzioneranno su Android o Windows. Tempo ce n’è per migliorare la tecnologia, anche se poi neanche tanto.