昨日、CloudflareはCaptchaをFIDO認証で置き換えることを発表しました。あなたは彼らのブログhttps://blog.cloudflare.com/introducing-cryptographic-attestation-of-personhood/でそれについて読んで、解決策を自分で試すことができます(YubikeyのようなFIDO認定のセキュリティキーを持っている場合)https: // cloudflarechallenge.com/
@maybe_elfhttps ://habr.com/ru/news/t/557776/からのニュースも読むことができます。
FIDO2の詳細に興味のある方は、この記事https://habr.com/ru/post/354638/を読むことをお勧めします。
Cloudflareで「FIDOCaptcha」がどのように機能するか:
ユーザーはキャプチャページに移動します
ユーザーが「私は人間です」をクリックします
セキュリティキーが点灯し、ユーザーがキーに触れる
ブラウザは、デバイス認証を取得するための許可を求めます。ユーザーの同意後、証明書はCloudflareに送信されます。
製造元からルート証明書を受け取ったCloudflareは、認証証明書の有効性を確認します。
利益!!!!
これがすべて悪い理由を理解する前に、アテステーションとキャプチャの2つの主要な概念を明確にしましょう。
FIDOアテステーションとは何ですか?
FIDO . FIDO , . ( ).
. , , a . FIDO2 GUID/UUID, U2F SKID(Subject Key Identifier). , , . , PKI.
?
́[1] ( CAPTCHA — . Completely Automated Public Turing test to tell Computers and Humans Apart — ) — , , , : .
. https://ru.wikipedia.org/wiki/%D0%9A%D0%B0%D0%BF%D1%87%D0%B0
, : , , .., .
FIDO ?
: FIDO
. Cloudflare FIDO . FIDO . . , 5$ , :
:
, , WebAuthn API - NONE. , attestation: "direct"
API. , . - , .
Chromium , EraseAttestationStatement JS "direct" "none" - , Cloudflare .
Google Enterprise https://chromeenterprise.google/policies/#SecurityKeyPermitAttestation
: FIDO
, , 700 1700. , HID 500-1000. , HID 25 , 30 , HID !
: , Ryzen 3900, PCI-USB , USB , USB . 1000 Feitian U2F, Yubico Security Key 15-20$ . HID USB , . HID . 5$ 30,000 - 40,000 , , 25,000$ .
:
HID - https://github.com/djpnewton/vmulti
HID Python - https://pypi.org/project/hid/
ACS122U NFC NFC : SCARD_UNPOWER_CARD/SCARD_POWER_CARD NFC . .
: CAPTCHA
. Cloudflare :
1. - , . , Cloudflare FIDO . FIDO , . , , , , . Cloudflare . .
2. -
. - . . : , . 1/100,000. , Cloudflare, , 1/100,000 . Cloudflare , .
3. - , .
4. - : ? FIDO, aka Metadata Service - MDS, , FIDO . Cloudflare , , -. , . Cloudflare , FIDO .
Cloudflare , - . Cloudflare , . .
Cloudflare. Cloudflare , . - , , , "" - FIDO . , : , .
: FIDO . - - .
Q&A
- // ?
Cloudflareは認定されたデバイスのみをサポートしているため、その認定はメーカーによって厳密に管理されています。サモパルとソフトウェアオーセンティケーターは単に失敗します。