#行业资讯 Cloudflare 联合 Chrome、Firefox、Edge 等开发 PACT 私有访问控制令牌技术,该技术将替代传统的红绿灯验证。PACT 技术基于 Safari Privacy Pass 并扩展支持更多浏览器,工作原理是某个网站确认用户是真人后将颁发私有令牌,其他网站读取令牌就可以免验证,不再强制用户点红绿灯过验证。查看全文:https://ourl.co/113604
网络服务提供商 Cloudflare 日前宣布与 Google Chrome、Mozilla Firefox 以及 Microsoft Edge 浏览器合作开发新的互联网协议,该协议目的是在不追踪用户的情况下验证网络流量的合法性,也就是让真人用户不需要点击红绿灯也可以直接访问网站,这可以显著减少用户访问网站时的摩擦。
该协议名为私有访问控制令牌 (PACT),令牌可以直接取代传统的 CAPTCHA 验证和强制登录访问,目前很多网站会通过验证或强制登录来识别用户是真人还是机器人,电商购物平台 Shopify 参与该技术的共同研发,该团队还计划将 PACT 进行正式标准化。
PACT 的工作原理:
该技术的工作原理是允许那些对访问身份有深入了解的网站为用户颁发匿名令牌,用户的浏览器会存储该令牌然后将令牌共用给其他网站,这样其他网站可以读取浏览器存储的令牌直接证明这是真实人类访问,所以不需要再使用 CAPTCHA 验证或强制验证登录后再访问。
PACT 技术还需要确保用户完全无法被追踪,即网站签发的私有令牌不能被其他网站用来追踪用户,不能使用这个私有令牌探测用户访问的各类网站记录,避免广告网络通过私有令牌重建用户的浏览记录来推断用户偏好而进行个性化广告投放等。
为什么要研发 PACT 技术:
目前全网机器人流量已经超过真实人类的访问,对于很多网站来说恶意机器人访问会造成服务器负载持续升高、浪费 CDN 流量以及存储访问信息的硬盘空间,所以大多数网站都会部署 CAPTCHA 等验证技术来拦截非法访问的机器人,只不过验证技术也会误伤正常用户,这迫使正常用户也必须点击红绿灯来证明自己是人类,然而现在很多基于 AI 的破解程序已经可以轻易绕过这类验证。
更糟糕的是根据 Shopify 的研究,电子商务网站中的每一个额外的 CAPTCHA 验证或误报都有可能导致用户放弃购物,虽然可以通过隐蔽的浏览器指纹技术和扩展程序扫描用户是否为真人,但这种检测方式遭到隐私倡导者和监管机构的反对,行业必须寻找新的验证机制。
PACT 将提供标准化的验证方案,无需收集设备特征或跟踪浏览行为,但 PACT 的本质目的是区分经过授权的 AI 智能体与恶意爬虫 / 滥用机器人,而不是完全关闭自动化验证,因此代表用户操作的 AI 机器人将可以继续访问并跳过验证而不是被直接拦截。
浏览器行业也支持建立新的验证方式:
火狐浏览器首席技术官表示,海量的自动化流量正在迫使网站采取付费墙、身份验证或嵌入式追踪等简单粗暴的防御策略;Microsoft Edge 平台工程总监表示,有效的隐私保护工具对于打击滥用行为至关重要,同时又不会给用户带来不必要的麻烦。
值得注意的是虽然这里没有提到苹果的 Safari 浏览器,但 PACT 技术其实就是建立在 Safari Privacy Pass 相关系统上,该系统与设备的安全隔离区协同工作来验证身份,互联网工程任务组已经将苹果的这个技术标准化为 RFC 9576,而 PACT 技术就是在 RFC 9576 基础上进行扩展以支持更多浏览器。
当然目前 PACT 技术还在起步阶段暂时没有具体的部署时间表,不过 Cloudflare、Chrome、Firefox、Microsoft Edge 等都已经承诺积极开发该协议并推动其标准化,但要在数十亿规模的浏览器会话中部署还需要更长时间。