A proposta da Mozilla para credenciais web que preservem abertura e privacidade mesmo na era dos bots

 (blog.mozilla.org)
3 pontos por GN⁺ 4 시간 전 | 1 comentários | Compartilhar no WhatsApp
  • Com o aumento do abuso por bots, os sites estão reforçando exigências de CAPTCHA e login, e até usuários legítimos passam a sofrer ao mesmo tempo com mais atrito de acesso e perda de privacidade
  • O fortalecimento da proteção contra rastreamento nos navegadores é necessário para proteger os usuários, mas também enfraquece sinais como endereço IP e impressão digital do navegador, que sites tradicionais usavam para prevenção de abuso
  • A Mozilla vê provas de confiabilidade do dispositivo como o Web Environment Integrity como um risco de transferir o controle de acesso à web para um pequeno grupo de empresas de sistemas operacionais e hardware
  • A alternativa é um modelo de credenciais anônimas que confirma se o usuário está dentro de um limite razoável de uso sem revelar sua identidade nem a origem da emissão
  • A Cloudflare e outros navegadores e participantes do ecossistema web já começaram a desenhar essa arquitetura, com o objetivo de reduzir CAPTCHAs, bloqueios desnecessários e exigências de autoidentificação

Onde a proteção de privacidade entra em conflito com a prevenção de abuso

  • A proteção de privacidade na web continua se fortalecendo
    • Navegadores com foco em privacidade estão eliminando cookies de terceiros
    • Eles também combatem rastreadores limitando o fingerprinting do navegador e ocultando endereços IP
  • Essa mudança cria novos custos para a experiência do usuário
    • Os usuários passam a encontrar mais CAPTCHAs, exigências de login e páginas de bloqueio
    • Endereços IP e impressões digitais do navegador eram usados para criar perfis de usuários, mas ao mesmo tempo também serviam como sinais de prevenção de abuso para os sites
  • O aumento do tráfego de bots também se torna um peso direto para a operação dos sites
    • Abusos em larga escala, como credential stuffing e spam, podem causar danos reais
    • Até visitantes legítimos acabam arcando com mais atrito e menos privacidade, e os sites podem afastar justamente os usuários que pretendiam atender
  • Sem mudanças, os usuários serão pressionados a escolher entre privacidade e acesso à web
  • Propostas como o Web Environment Integrity (WEI) funcionam fazendo o dispositivo e o software do usuário provarem ao site que são “confiáveis”
    • A Mozilla entende que essa abordagem transfere o controle do dispositivo do usuário para um pequeno grupo de fabricantes de sistemas operacionais e hardware
    • Essas empresas passariam a decidir quais dispositivos e softwares podem acessar a web, indo na direção oposta da web aberta

Como provar limites de taxa com credenciais anônimas

  • O centro do problema dos bots está na execução em larga escala
    • O site não precisa saber quem é o usuário
    • Também não precisa verificar se o dispositivo do usuário executa apenas software aprovado
    • Basta saber se ele permanece dentro de um limite de taxa razoável
  • Para que o limite de taxa funcione, deve ser difícil para o atacante criar uma nova identidade e resetar o limite
    • É por isso que sites exigem endereço de e-mail, login federado ou fingerprint do dispositivo: para tornar custoso obter um novo identificador
    • O problema é que esses identificadores também podem ser usados para rastreamento
  • Relações de usuário já existentes podem funcionar como uma garantia silenciosa em outros sites
    • Por exemplo, um site com o qual o usuário tenha uma relação, como uma assinatura ou uma conta antiga, pode avalizá-lo
    • Um site visitado pela primeira vez pode confiar que esse usuário é real e está dentro do limite, mas não deve saber sua identidade nem de onde veio a garantia
  • O caso de uso de VPN mostra bem por que essa abordagem é necessária
    • Muitos sites bloqueiam todo o tráfego de VPN porque nele se misturam tráfego legítimo e abusivo
    • Se o serviço de VPN puder avalizar cada assinante, o site pode gerenciar limites de taxa por assinante
    • Mas, se o sistema de garantia passar a permitir o rastreamento de usuários de VPN, o propósito de usar uma VPN fica comprometido
  • Os Private Access Tokens da Apple, baseados em Privacy Pass, fornecem tokens de uso único para impedir o vínculo entre visitas
    • A Mozilla considera que essa abordagem também tem limitações importantes
    • Assim como o WEI, ela depende de atestação do dispositivo e não evita o gatekeeping por hardware
    • Também é difícil abrir o sistema para que mais atores possam avalizar usuários mantendo a privacidade, e o controle pode acabar concentrado em poucos
  • A arquitetura defendida pela Mozilla é um sistema em que qualquer um possa avalizar usuários, e cada site possa escolher por conta própria em quais avalistas confiar
  • Anonymous credentials permitem que credenciais emitidas por uma entidade sejam apresentadas depois pelo usuário a um site apenas um número limitado de vezes, sem que o site nem o emissor consigam rastrear esse uso
    • Também é possível ocultar quem emitiu a credencial e provar apenas que ela veio de um entre um conjunto de emissores confiáveis
  • A Mozilla começou a projetar esse sistema com a Cloudflare e outros participantes da web, incluindo outros navegadores
  • O objetivo final é reduzir CAPTCHAs, bloqueios desnecessários e exigências de autoidentificação sem comprometer a privacidade

Leituras relacionadas

1 comentários

 
GN⁺ 4 시간 전
Opiniões no Lobste.rs

  • “Com a Cloudflare” = rejeição imediata.
    Olhando a visão técnica geral, diz que o Privacy Pass é usado pela Apple, Chrome e Kagi, mas a forma como a Kagi usa isso não oferece busca privada de forma significativa.
    A Kagi opera Origin, Attester e Issuer ao mesmo tempo, então me parece que viola um princípio central da arquitetura do Privacy Pass.

    • Isso não está correto. A arquitetura do Privacy Pass dá suporte a um único agente assumir os três papéis (RFC 9576 §4.6).
      Ainda assim, canais laterais de timing podem ser uma preocupação. Credenciais anônimas com múltiplas apresentações ajudam bastante a reduzir esse tipo de canal em comparação com os tokens de uso único atualmente implantados no Privacy Pass.
  • O artigo técnico está linkado no final: https://hacks.mozilla.org/2026/06/…
  • É bom ver progresso aqui. No meu emprego anterior, eu acompanhei tentativas anteriores e me envolvi um pouco.
    Mas tenho dúvidas sobre a parte que diz que “se o usuário não tiver nenhum Endorsement de um Anchor apropriado, ele pode inicializar uma Credential usando mecanismos existentes como CAPTCHA, criação de conta ou login federado”.
    CAPTCHA não funciona bem, a não ser como forma de fazer o usuário ficar tempo suficiente para ser fingerprintado, e criação de conta e login federado no fim também precisam colocar uma barreira com algum outro mecanismo, então isso só empurra o problema um nível para cima.
    Além disso, você não pode exigir que alguém num computador de biblioteca crie uma nova conta em outro site só para fazer login no banco. Hoje, esses “mecanismos existentes” dependem muito de fingerprinting do navegador ou, como a Apple, de atestação de hardware; se o objetivo da Mozilla e de outras é tornar o fingerprinting impossível, não vejo como isso vai funcionar.
  • Acho que seria mais útil fazer navegadores comuns cachearem páginas da web de forma agressiva. Entendo que isso poderia facilitar o fingerprinting do usuário ou permitir que bots compartilhassem cache.
    Mas o principal problema da internet não é a Shopify perder dinheiro com fraude, e sim que o conteúdo que visitamos está desaparecendo.
  • Não sei. Uma forma bem mais eficiente de manter a web aberta parece ser lidar com a causa, os crawlers, em vez de buscar soluções paliativas.
    Por exemplo, não colocar IA em tudo e não apoiar nem viabilizar as empresas que causaram essa bagunça em primeiro lugar. Se os crawlers simplesmente sumissem, não precisaríamos dessas soluções paliativas.
    • Todas as empresas envolvidas, de um jeito ou de outro, estão profundamente envolvidas com IA. Ou vendem isso diretamente, ou pivotaram todo o modelo de negócio e a identidade da marca nessa direção.
    • Existe uma frase: “Se a solução para um problema depende de ‘todo mundo simplesmente ...’, então não é uma solução. Todo mundo simplesmente não faz isso. Em toda a história do universo, todo mundo nunca simplesmente fez isso, e não vai começar agora” (source).
      Ainda assim, é verdade que a IA causou um pico de tráfego, mas esse problema é muito mais antigo do que a IA, e crawlers nem são o problema mais grave. Por exemplo, há problemas maiores como usar despejos de credenciais em logins bancários, ou ataques de força bruta contra gift cards e cartões de crédito.
      Mesmo que a IA desaparecesse, só voltaríamos ao mundo de 2021, e mesmo naquela época esse problema já era gravíssimo havia muito tempo.