Rancangan kredensial web Mozilla untuk menjaga keterbukaan dan privasi bahkan di era bot

 (blog.mozilla.org)
3 poin oleh GN⁺ 4 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Seiring meningkatnya penyalahgunaan bot, situs web makin memperketat CAPTCHA dan permintaan login, sehingga pengguna normal ikut mengalami hambatan akses dan penurunan privasi
  • Penguatan pencegahan pelacakan di browser memang diperlukan untuk melindungi pengguna, tetapi juga melemahkan sinyal alamat IP dan sidik jari browser yang selama ini dipakai situs untuk pencegahan penyalahgunaan
  • Mozilla menilai bukti kepercayaan perangkat seperti Web Environment Integrity berisiko memindahkan kendali akses web ke segelintir vendor OS dan perangkat keras
  • Alternatifnya adalah pendekatan kredensial anonim yang dapat memverifikasi bahwa seseorang masih berada dalam batas penggunaan yang wajar tanpa mengungkap identitas pengguna atau sumber penerbitannya
  • Cloudflare bersama browser lain dan para pemangku kepentingan web telah mulai menyusun desainnya, dengan tujuan mengurangi CAPTCHA, pemblokiran yang tidak perlu, dan tuntutan identifikasi diri

Titik ketika perlindungan privasi berbenturan dengan pencegahan penyalahgunaan

  • Perlindungan privasi web terus diperkuat
    • Browser yang mengutamakan privasi sedang menghapus cookie pihak ketiga
    • Browser juga menghadapi pelacak dengan membatasi pelacakan sidik jari browser dan menyembunyikan alamat IP
  • Perubahan ini menciptakan biaya baru pada pengalaman pengguna
    • Pengguna jadi lebih sering menghadapi CAPTCHA, permintaan login, dan halaman pemblokiran
    • Alamat IP dan sidik jari browser memang dipakai untuk profiling pengguna, tetapi pada saat yang sama juga telah dimanfaatkan sebagai sinyal pencegahan penyalahgunaan oleh situs
  • Peningkatan trafik bot juga menjadi beban langsung bagi operasional situs
    • Penyalahgunaan skala besar seperti credential stuffing dan spam dapat menimbulkan kerugian nyata
    • Pengunjung normal pun harus menanggung lebih banyak hambatan dan privasi yang lebih rendah, dan situs dapat mengusir pengguna yang sebenarnya ingin mereka layani
  • Jika tidak ada perubahan, pengguna akan didorong untuk memilih antara privasi dan akses web
  • Proposal seperti Web Environment Integrity (WEI) bekerja dengan cara membuat perangkat dan perangkat lunak pengguna membuktikan kepada situs bahwa keduanya “dapat dipercaya”
    • Mozilla menilai pendekatan seperti ini memindahkan kendali perangkat dari pengguna ke segelintir vendor OS dan perangkat keras
    • Vendor-vendor itu kemudian dapat menentukan perangkat dan perangkat lunak mana yang boleh mengakses web, yang bertentangan dengan arah web terbuka

Cara membuktikan pembatasan laju dengan kredensial anonim

  • Inti kerugian dari bot terletak pada eksekusinya dalam skala besar
    • Situs tidak perlu mengetahui identitas pengguna
    • Situs juga tidak perlu memastikan apakah perangkat pengguna hanya menjalankan perangkat lunak yang disetujui
    • Situs hanya perlu tahu bahwa pengguna tetap berada dalam batas laju yang wajar
  • Agar pembatasan laju efektif, penyerang harus sulit membuat identitas baru untuk mengatur ulang batas tersebut
    • Alasan situs meminta alamat email, login federasi, atau sidik jari perangkat juga untuk membuat biaya memperoleh pengenal baru menjadi lebih tinggi
    • Masalahnya, pengenal seperti ini juga bisa dipakai untuk pelacakan
  • Relasi pengguna yang sudah ada dapat berfungsi sebagai jaminan diam-diam di situs lain
    • Misalnya, situs yang memiliki relasi dengan pengguna seperti langganan atau akun lama dapat memberikan jaminan atas pengguna itu
    • Situs yang baru pertama kali dikunjungi dapat memercayai bahwa pengguna adalah pengguna nyata yang masih berada dalam batas, tetapi tidak boleh mengetahui identitas pengguna atau asal jaminannya
  • Kasus VPN menunjukkan dengan jelas mengapa pendekatan ini diperlukan
    • Banyak situs web memblokir seluruh trafik VPN dengan alasan bahwa trafik normal dan trafik penyalahgunaan bercampur di dalamnya
    • Jika layanan VPN dapat memberi jaminan per pelanggan, situs dapat mengelola pembatasan laju per pelanggan
    • Namun, jika sistem jaminan justru memungkinkan pelacakan terhadap pengguna VPN, tujuan memakai VPN akan rusak
  • Private Access Tokens milik Apple, berbasis Privacy Pass, menyediakan token sekali pakai untuk mencegah keterkaitan antar kunjungan
    • Mozilla menilai pendekatan ini juga memiliki keterbatasan penting
    • Seperti WEI, pendekatan ini bergantung pada pembuktian perangkat sehingga tidak benar-benar menghindari gatekeeping perangkat keras
    • Sulit menjaga privasi sambil membuka sistem agar lebih banyak pihak dapat menjamin pengguna, dan kontrol bisa terkonsentrasi pada segelintir pihak
  • Arsitektur yang diinginkan Mozilla adalah sistem di mana siapa pun dapat menjamin pengguna, dan setiap situs dapat memilih sendiri pihak penjamin yang mereka percaya
  • Anonymous credentials memungkinkan kredensial yang diterbitkan oleh satu pihak dipresentasikan pengguna ke situs hanya dalam jumlah terbatas di kemudian hari, sambil mencegah situs dan penerbit melacak penggunaannya
    • Bahkan siapa yang menerbitkan kredensial itu juga bisa disembunyikan, dan hanya dibuktikan bahwa kredensial tersebut berasal dari salah satu penerbit dalam himpunan penerbit tepercaya
  • Mozilla mulai merancang sistem seperti ini bersama Cloudflare dan para pemangku kepentingan web lainnya, termasuk browser lain
  • Tujuan akhirnya adalah mencapai pengurangan CAPTCHA, pengurangan pemblokiran yang tidak perlu, dan pengurangan tuntutan identifikasi diri tanpa merusak privasi

Bacaan terkait

1 komentar

 
GN⁺ 4 jam lalu
Pendapat di Lobste.rs

  • “Bersama Cloudflare” = langsung bikin saya menolak
    Jika melihat technical overview dari ringkasan teknisnya, memang disebutkan bahwa Privacy Pass dipakai di Apple, Chrome, dan Kagi, tetapi cara Kagi menggunakannya tidak benar-benar memberikan pencarian privat yang bermakna
    Karena Kagi mengoperasikan Origin, Attester, dan Issuer sekaligus, menurut saya itu melanggar prinsip inti arsitektur Privacy Pass

    • Itu tidak tepat. Arsitektur Privacy Pass memang mendukung satu entitas menjalankan ketiga peran tersebut(RFC 9576 §4.6)
      Meski begitu, side channel berbasis timing memang bisa menjadi kekhawatiran. Kredensial anonim dengan presentasi berulang cukup membantu mengurangi side channel semacam ini dibanding token sekali pakai yang saat ini diterapkan di Privacy Pass
  • Artikel teknisnya ditautkan di bagian akhir: https://hacks.mozilla.org/2026/06/…
  • Senang melihat ada kemajuan di sini. Di pekerjaan lama, saya sempat mengikuti upaya-upaya sebelumnya dan sedikit terlibat
    Namun saya ragu dengan bagian yang mengatakan “jika pengguna sama sekali tidak memiliki Endorsement dari Anchor yang sesuai, mereka dapat melakukan bootstrap Credential dengan mekanisme yang sudah ada seperti CAPTCHA, pembuatan akun, atau login federatif”
    CAPTCHA tidak bekerja dengan baik kecuali sebagai cara untuk membuat pengguna bertahan cukup lama agar bisa diambil sidik jarinya, dan pembuatan akun maupun login federatif pada akhirnya juga harus memasang gerbang lewat mekanisme lain, jadi hanya memindahkan masalah satu tingkat ke atas
    Lagi pula, tidak mungkin meminta seseorang yang sedang mencoba login ke bank dari komputer perpustakaan untuk membuat akun baru di situs web lain. Saat ini, “mekanisme yang sudah ada” sangat bergantung pada pengambilan sidik jari browser, atau seperti Apple, pada pembuktian perangkat keras; jadi jika tujuan Mozilla dan lainnya adalah membuat pengambilan sidik jari menjadi mustahil, saya tidak tahu bagaimana ini akan bekerja
  • Saya rasa mungkin akan lebih bermanfaat jika browser biasa dibuat meng-cache halaman web secara agresif. Saya paham itu bisa mempermudah pengambilan sidik jari pengguna atau memungkinkan bot berbagi cache
    Tetapi masalah utama internet bukanlah Shopify kehilangan uang karena penipuan, melainkan konten yang pernah kita kunjungi sedang menghilang
  • Saya kurang yakin. Cara yang jauh lebih efisien untuk menjaga web tetap terbuka tampaknya adalah menangani crawler sebagai akar penyebabnya, alih-alih mencari akal-akalan
    Misalnya dengan tidak memasukkan AI ke segala hal, dan sejak awal tidak mendukung atau memungkinkan perusahaan-perusahaan yang membuat kekacauan ini. Jika crawler itu mau berhenti begitu saja, kita tidak perlu solusi semacam ini
    • Semua perusahaan yang terlibat, dalam satu bentuk atau lainnya, sangat terlibat dengan AI. Mereka menjualnya secara langsung, atau sudah memutar seluruh model bisnis dan identitas merek mereka ke arah itu
    • Ada pepatah, “Jika solusi untuk suatu masalah bergantung pada ‘semua orang tinggal ... saja’, maka itu bukan solusi. Semua orang tidak akan begitu saja melakukannya. Dalam seluruh sejarah alam semesta, semua orang tidak pernah begitu saja melakukannya, dan mereka juga tidak akan mulai sekarang”(source)
      Meski begitu, memang benar AI menyebabkan lonjakan trafik, tetapi masalah ini sudah ada jauh lebih lama daripada AI, dan crawler juga bukan masalah yang paling parah. Misalnya, ada masalah yang lebih besar seperti mencoba dump kredensial yang bocor untuk login bank, atau melakukan brute force pada gift card dan kartu kredit
      Sekalipun AI menghilang, kita hanya akan kembali ke dunia setingkat 2021, dan saat itu pun masalah ini sudah sangat serius sejak lama