Teknoloji

Cloudflare CAPTCHA formlarının sonunu getirecek yeni bir sistem öneriyor

cloudflare captcha

Daha çok bir DNS hizmetleri sağlayıcısı olarak tanıdığımız veya girmek istediğiniz bir web sitesinin neden yüklenmediğini söyleyen şirket olan Cloudflare, web’deki CAPTCHA çılgınlığını tamamen bitirecek yeni bir sistem geliştiriyor.

CAPTCHA’lar, genellikle bir hizmette oturum açmaya çalışırken, insan olduğunuzu kanıtlamak için otobüs, yaya geçidi veya bisiklet gibi şeylerin görüntülerine tıklamanızı isteyen, yapmanız gereken testlerdir. (Bilmeyenler için CAPTCHA, “Bilgisayarları ve İnsanları Ayırmak için Tamamen Otomatikleştirilmiş Genel Turing testi” teriminin İngilizcesinin kısaltılmışıdır.) Sorun şu ki, CAPTCHA’lar web’i kullanırken çok fazla sıkıntı çıkarıyor ve bazen testleri çözmesi zor olabiliyor.

Konuyla ilgili bir blog yazısı yayınlayan Cloudflare, “Kişiliğin Kriptografik Kanıtı” adını verdiği bir sistemi kullanmayı öngörüyor. Bu sistemde bir cihaza dokunarak veya bir cihaza bakarak bir insan olduğunuzu kanıtlamanın yeni bir yolunu sunacak. Böylece şirket “CAPTCHA’lardan tamamen kurtulmayı” hedeflediğini söylüyor. Yeni sistem şu anda, YubiKeys gibi yalnızca sınırlı sayıda USB güvenlik anahtarını destekliyor. Ancak şirketin web sitesinde Cloudflare sistemini kendiniz için test edebilirsiniz.

Şirketin web sitesinde, sistemin arka planda nasıl çalıştığına dair bilgiler veriliyor. Cloudflare, yeni yöntemi aşağıdaki gibi anlatıyor:

Sistemin özeti, cihazınızın üreticiniz tarafından mühürlenmiş benzersiz bir sır içeren gömülü bir güvenli modüle sahip olmasıdır. Güvenlik modülü, böyle bir sırrı açığa vurmadan sahip olduğunu kanıtlayabilir. Cloudflare sizden kanıt ister ve üreticinizin meşru olup olmadığını kontrol eder.

Sistemin detaylı anlatımını da şirketin blogunda okuyabilirsiniz.

Her ne kadar ilgi çekici bir fikir olsa da, bu önerilen sistem henüz bildiğimiz CAPTCHA’ların sonu olmayabilir. Birincisi, Cloudflare’ın şu anda bunun yalnızca bir deney olduğunu söylüyor, bu nedenle muhtemelen pek çok yerde bu yeni sistemi göremeyeceksiniz. Ve yeni sistemin “İngilizce konuşulan bölgelerde sınırlı bir temelde” mevcut olduğu belirtiliyor. Ve mevcut durumunda, yalnızca sınırlı bir donanım setiyle çalışıyor: YubiKeys, HyperFIDO anahtarları ve Thetis FIDO U2F anahtarları.

Cloudflare, “mümkün olan en kısa sürede diğer kimlik doğrulayıcıları eklemeye çalışacağına” söz veriyor. Bu muhtemelen telefonunuza da genişleyebilir: Cloudflare, NFC kullanarak kablosuz bir imza iletmek için bilgisayarlarına bir telefon dokundurma olasılığını da göz önünde bulunduruyor. Google artık hem iPhone’ları hem de Android telefonları fiziksel güvenlik anahtarları olarak kullanabiliyor. Google ve Apple, Cloudflare yöntemini kullanırsa, akıllı telefonlar güvenlik anahtarlarından çok daha yaygın olduğu için, bu yöntem kullanmaya yönelik giriş önündeki engeli önemli ölçüde azaltabilir.

Ancak bir eleştiriye göre Cloudflare’ın sistemi aslında daha kötü bir çözüm sunabilir. Danışmanlık firması Webauthn Works’ün CEO’su Ackermann Yuriy’in işaret ettiği gibi, “doğrulama, cihaz modelinden başka hiçbir şeyi kanıtlamaz”, yani kimlik doğrulama için bir cihaz kullanan birinin aslında bir insan olup olmadığını kanıtlamaz.

Cloudflare, su içen bir kuşun (gagalarını tekrar tekrar suya daldıran kuş oyuncakları) bir güvenlik anahtarındaki dokunma sensörüne basarak kimlik doğrulama testini geçebileceğini söyleyerek, bunu kendi blog yazısında da kabul ediyor. CAPTCHA’ların amacı robot kullanıcı çiftliklerinin web sitelerini ihlal etmesini önlemekse, özel donanımlı güvenlik anahtarı cihazlarıyla (veya daha kötüsü) bunlarla donatılmış robot çiftliklerinin avantaj sağlayıp sağlamayacağını düşünmemiz gerekebilir.