Apple a déjà commencé à émettre des certificats sur le web, et nous l’avons à peine remarqué.

 (httptoolkit.com)
3 points par GN⁺ 2023-07-26 | 1 commentaires | Partager sur WhatsApp
  • Apple a déjà développé et déployé un système appelé "Private Access Tokens", qui limite l’accès à des fonctionnalités ou à des sites selon qu’un client a été approuvé par un émetteur de confiance.
  • Les Private Access Tokens sont intégrés à MacOS 13, iOS 16 et Safari, avec pour objectif principal de supprimer les CAPTCHA.
  • Le mécanisme des Private Access Tokens implique un échange HTTP entre le navigateur et le serveur web, dans lequel le navigateur envoie une partie du défi et des détails vérifiés sur l’appareil à un attestateur (par exemple Apple) pour validation.
  • Une fois l’appareil vérifié, un jeton signé est renvoyé au navigateur, qui peut alors renvoyer la requête avec le jeton signé dans l’en-tête d’authentification.
  • Ce système est actuellement utilisé sur les appareils Apple dans Safari et lorsqu’on utilise des services comme Fastly et Cloudflare.
  • Les garanties de confidentialité de ce système semblent solides, mais le problème central est que le traitement sur le web dépend du fait qu’Apple considère ou non l’appareil, le système d’exploitation et la configuration du navigateur de l’utilisateur comme légitimes et acceptables.
  • Ce système est moins risqué que la proposition de Google, car Safari n’est pas le navigateur dominant, mais si Chrome introduisait un système similaire, cela pourrait devenir un élément majeur du web.
  • Les systèmes d’attestation comme les Private Access Tokens ont généralement des effets néfastes sur le web et sur l’industrie : ils limitent la concurrence et l’innovation, empêchent les utilisateurs de contrôler leurs propres appareils et ouvrent la voie à un durcissement futur des règles par les fournisseurs approuvés.
  • Le web ouvert a prospéré grâce à la libre utilisation d’une grande diversité de clients et de serveurs, et l’attestation rompt avec ces principes.
  • Les inquiétudes liées à l’attestation et à d’autres potentielles "fonctionnalités" du web peuvent être abordées par le débat, et il est important de trouver un équilibre entre la prévention de la fraude et la préservation de la santé du web.

À lire aussi

1 commentaires

 
GN⁺ 2023-07-26
Commentaires sur Hacker News
  • Apple a implémenté et déployé l’attestation web.
  • Les réactions à l’implémentation d’Apple sont plus positives que celles suscitées par la proposition de Google.
  • Certains craignent que l’attestation web puisse provoquer une fragmentation d’Internet.
  • Les appareils Linux pourraient être exclus de l’usage de l’attestation web.
  • Safari a une part de marché plus faible que Chrome, mais l’implémentation est toujours considérée comme problématique.
  • L’implémentation d’Apple peut être désactivée sur iOS.
  • Les avis divergent sur la nécessité d’une pile matérielle et logicielle de confiance sur le web.
  • Le système d’attestation web pourrait mal gérer les situations exceptionnelles.
  • Un débat existe sur les avantages et les inconvénients d’un web composé d’humains identifiés.
  • La technologie d’attestation web présente des risques d’abus et de manipulation.