Webbrowsers maken vuist tegen captcha's

Cloudflare heeft samen met Mozilla, Google en Microsoft gewerkt aan een nieuw internetprotocol dat moet helpen vaststellen of webverkeer betrouwbaar is, zonder dat gebruikers daarbij geïdentificeerd of gevolgd worden.

De betrokken techbedrijven ontwikkelen hiervoor het zogeheten Private Access Control Tokens-systeem, afgekort PACT. Dit systeem heeft twee belangrijke doelen: enerzijds het verminderen van irritante captcha-controles voor gebruikers, en anderzijds het terugdringen van trackingtechnieken zoals fingerprinting.

Het idee achter PACT is relatief eenvoudig. Een website die een gebruiker vertrouwt, kan een anoniem token uitgeven—vergelijkbaar met een soort digitale “goedkeuring” of bewijs dat iemand eerder betrouwbaar verkeer was. Die token kan daarna door de browser worden getoond aan andere websites om te bewijzen dat er een echte gebruiker achter het verkeer zit, zonder verdere identificatie of persoonlijke gegevens prijs te geven.

Daardoor kunnen websites onderscheid maken tussen echte gebruikers en bots, zonder dat ze het surfgedrag van individuen hoeven te volgen of profielen hoeven op te bouwen. Alleen de bevestiging dat het om een legitieme gebruiker gaat, is voldoende om extra beveiligingsstappen achterwege te laten.

Dat ook partijen zoals Google Chrome en Shopify meewerken, vergroot bovendien het netwerk van vertrouwde uitgevers, waardoor het systeem breder toepasbaar wordt.

De technologie bouwt voort op Privacy Pass, een eerder door Cloudflare geïntroduceerd systeem dat sinds 2017 bestaat en inmiddels als internetstandaard (RFC) is vastgelegd. Ook Apple gebruikt al vergelijkbare technologie onder de naam Private Access Tokens, maar ondersteuning in browsers bleef tot nu toe beperkt.