A Google teszteli a Web Bot Auth-ot, egy kísérleti protokollt, amelyet arra terveztek, hogy segítsen a webhelyeknek ellenőrizni, hogy az automatizált forgalom valóban attól a robottól vagy szolgáltatástól érkezik-e, amelyet képvisel. Az új protokoll megbízható módot nyújthat a webhelytulajdonosoknak arra, hogy elkülönítsék a jogszerű automatizált forgalmat azoktól a robotoktól, amelyek elrejtik vagy hamisan adják ki magukat.
Megjelent egy új fejlesztői támogatási oldal, amely információkat tartalmaz arról, hogyan ellenőrizheti a kéréseket a Web Bot Auth protokollal, amely jelenleg kísérleti fázisban van.
Mire épül a Google Web Bot Auth
Az új protokoll technikai neve HTTP Message Signatures Directory. Ez egy javasolt műszaki szabvány, amelynek célja a webszolgáltatások közötti bizalom automatizálása. Segít a webhelyeknek felismerni az ellenőrzött automatizált szolgáltatásokat anélkül, hogy mindkét félnek előzetesen manuálisan ki kellene cserélnie a biztonsági kulcsokat.
Az alapötlet hasonló ahhoz, hogy az ellenőrzött automatizált szolgáltatások szabványos módon biztosítsák a hitelesítő adatok bemutatását. Ahelyett, hogy csak nevekre, felhasználói ügynök karakterláncokra vagy vállalatok közötti privát beállításokra hagyatkozna, a protokoll megismételhető módot ad a webhelyeknek annak ellenőrzésére, hogy egy automatizált kérés ellenőrizhető-e. Ez azért számít, mert sok bot állíthatja, hogy valami nem az. A Web Bot Auth nem dönti el, hogy egy bot jó-e vagy rossz, de erősebb jelzést adhat a webhelytulajdonosoknak arról, hogy a bot valóban az a szolgáltatás, amelyről azt állítja.
Megbízható módszer a robotok azonosítására
A kriptográfiai rész azért fontos, mert így megnehezíti a személyazonosság meghamisítását. Manapság egy szélhámos bot törvényes bejárónak vallhatja magát, ha lemásol egy nevet vagy egy felhasználói ügynök karakterláncot. A Web Bot Auth-ot úgy tervezték, hogy túllépjen ezen a fajta önazonosításon azáltal, hogy lehetőséget ad a webhelyeknek annak ellenőrzésére, hogy egy automatizált kérés egyezik-e a szolgáltatás kriptográfiai hitelesítő adataival.
E protokoll szerint egy botnak többre lenne szüksége, mint egy címkére, amely feltünteti, hogy ki az. Ezt a személyazonosságot olyan módon kell bizonyítania, amelyet egy webhely ellenőrizni tud. Ez biztonságos alapot jelenthet a webhelytulajdonosoknak az ellenőrzött automatizált szolgáltatások engedélyezésére, miközben blokkolja azokat a robotokat, amelyek nem tudják bizonyítani, hogy kik. A protokoll nem dönti el automatikusan, hogy mely robotokat kell engedélyezni vagy blokkolni, de megbízhatóbb jelzést adhat a webhelyeknek a döntés meghozatalához.
A kriptográfiai ellenőrzés az, ami jobbá teszi a Web Bot Auth-ot, mint a jelenlegi robotazonosító módszerek. Ahelyett, hogy a megtévesztő jelekre hagyatkozna, lehetőséget ad a webhelyeknek az automatizált kérések ellenőrzésére. Ez azt jelenti, hogy a felismerés kevésbé azon alapul, hogy a bot mit mond magáról, hanem inkább azon, hogy azonosítható-e kriptográfiai hitelesítő adatokkal.
Figyelmeztetés: Kísérleti fázisban van
A javasolt protokoll lehetővé teszi, hogy különbséget tegyenek a megbízható feltérképező robotokat megszemélyesítő csaló robotok és az eredeti robotok és a megbízható szolgáltatások között. Ez a protokoll olyan, mint a megengedettek engedélyezési listája, amely megkönnyítheti a nem megbízható bejárók elkülönítését.
Mivel azonban ez egy kísérleti fázis, az „engedélyezőlista” jelenleg csak a forgalom egy részhalmazára vonatkozik, például a Google-Agentre. A Google „még nem ír alá minden kérést”, így a hiányzó aláírás nem jelenti automatikusan azt, hogy egy bot szélhámos. A webhelytulajdonosoknak azt tanácsoljuk, hogy továbbra is használjanak IP-címeket és fordítsák meg a DNS-t a protokoll mellett, hogy elkerüljék a még nem migrált legitim forgalom véletlen blokkolását.
Mit csinál
Az új szabvány háromlépcsős felderítési folyamattal váltja fel a webhelyek és a robotok, feltérképező robotok és egyéb automatizált szolgáltatások közötti manuális beállítást:
- Szabványos kulcsfájlok:
A kulcsok egy közös formátumban, a JSON Web Key Set (JWKS) tárolódnak, amelyet minden kiszolgáló el tud olvasni. - Jól ismert címek:
Meghatároz egy adott „otthont” egy webhelyen (/.jól ismert/), ahol ezeket a kulcsokat mindig tárolják. - Önazonosítási kérések:
Új fejlécet, Signature-Agentet ad a HTTP-kérésekhez, amely digitális névjegykártyaként működik, és a fogadót közvetlenül a küldő kulcskönyvtárára irányítja.
Az automatizált szolgáltatások és webhelyek előnyei
A Web Bot Auth megkönnyítheti a botellenőrzés méretezését azáltal, hogy csökkenti az egyes webhelyek és az automatizált szolgáltatások közötti manuális beállítás szükségességét. Ezenkívül az automatizált szolgáltatások következetesebb módon felismerhetők maradnak, amikor biztonsági adataik megváltoznak, ami segíthet elkerülni az idő múlásával meghibásodott ellenőrzést.
A Web Bot Auth kísérleti jellegű
A Google hangsúlyozza, hogy a felhasználóknak továbbra is alkalmazniuk kell a meglévő szabványokat, például a felhasználói ügynök IP-alapú botellenőrzést, hangsúlyozva, hogy maga a szabvány egy olyan javaslat, amely változhat.
Az új dokumentáció a következő figyelmeztetést tartalmazza:
„A kísérleti állapot azt jelenti, hogy:
Nem minden Google felhasználói ügynök használja a Web Bot Auth-ot.
A Google még nem írja alá a protokollt használó ügynökök minden kérését.
Azt javasoljuk, hogy a Web Bot Auth mellett továbbra is támaszkodjon az IP-címekre, a fordított DNS-re és a felhasználói ügynök karakterláncokra, ahogy fokozatosan bevezetjük az aláírt forgalmat.
Ha Ön fejlesztő vagy rendszergazda, aki engedélyezőlistára szeretné tenni kísérleti AI-ügynökeinket, végrehajthatja az ellenőrzést a Web Bot Auth protokollon keresztül:
- Web Bot Auth-ot támogató termék vagy szolgáltatás használata
- Kérések ellenőrzése saját maga”
Mindazonáltal a szabvány célja, hogy leegyszerűsítse a botok azonosítását és a botforgalom irányítását egy olyan kriptográfiai protokoll használatával, amelyet egy szélhámos ügynök nem tud meghamisítani, betekintést nyújtson abba, hogy a botok hogyan kommunikálnak a forgalommal, és jobb módszert hozzon létre a jelenleg nem kontrollált helyzet ellenőrzésére a bot feltérképezésével.
A Google arra biztatja a protokoll iránt érdeklődő felhasználókat, hogy vegyék fel a kapcsolatot webtárhely-szolgáltatóikkal, hogy megtudják, kívánják-e támogatni a kísérleti protokollt, tájékozódjanak a Web Bot Auth Working Group által közzétett legújabb változásokról, és küldjenek visszajelzést a Google hivatalos Web Bot Auth visszajelzési űrlapján keresztül.
Olvassa el a Google új dokumentációját:
Kérések hitelesítése Web Bot Auth segítségével (kísérleti)
