Come bypassare automaticamente i fastidiosi CAPTCHA di app e siti Web sul tuo iPhone per una verifica immediata

Se odi abbinare le immagini, digitare lettere e numeri, risolvere problemi di matematica e separare i pezzi del puzzle per la verifica umana con CAPTCHA, adorerai l’ultima funzionalità di privacy di Apple per app e siti Web.

In genere, i CAPTCHA possono diventare un enorme incubo sui dispositivi mobili. Sono utilizzati dai siti Web per motivi di sicurezza, per rilevare bot, prevenire attacchi di negazione attiva del servizio e proteggere in altro modo i loro server, ma finiscono per infastidire i loro utenti.

• Ciò rallenta l’utente aggiungendo un altro passaggio per accedere o completare un’attività. Cloudflare stima che un utente medio impieghi 32 secondi per completare un test CAPTCHA.
• Puoi finire con immagini scadenti che rendono difficile abbinare barche, semafori, biciclette o qualsiasi altra cosa.
• Le parole possono essere mescolate in modo tale che è impossibile scegliere la lettera giusta.
• Questo non funziona bene con gli utenti che hanno problemi di accessibilità.
• Le persone con daltonismo potrebbero non essere in grado di vedere determinati colori del testo.
• Il rendering dei dati richiesti per il funzionamento consuma larghezza di banda in eccesso.
• Può tracciare il tuo indirizzo IP e altri dati personali.

Nel nuovo aggiornamento di iOS 16, Apple ha implementato una nuova funzionalità di sicurezza che aggira il controllo CAPTCHA. Questo viene fatto utilizzando iCloud e i token di accesso privato (PAT), che confermano che il tuo dispositivo sta inviando richieste HTTP. Come bonus, non rivelerà la tua identità né condividerà dati personali come gli indirizzi IP.

Per implementare PAT su un sito Web o un’applicazione, i suoi server devono avere il nome host e la chiave pubblica di un emittente di token affidabile, che può essere una rete di distribuzione di contenuti (CDN) come Cloudflare o Fastly, un provider di hosting Web o un provider CAPTCHA. Nota rapidamente che i proprietari dei siti devono abilitare PAT, ma per i clienti Cloudflare ciò avviene automaticamente.

Queste informazioni vengono quindi inviate agli utenti sotto forma di una chiamata “PrivateToken”. Questo nuovo schema di autenticazione HTTP utilizza le firme cieche RSA per confermare crittograficamente al server che il dispositivo supera la verifica dell’attestazione.

Queste firme sono “non collegabili”, il che significa che i server che ricevono i token possono solo verificarne la validità, ma non possono scoprire le identità dei client o riconoscere i client nel tempo.

I token di accesso privato non sono solo per i dispositivi Apple, in quanto fanno parte di uno standard di autenticazione più ampio chiamato Privacy Pass , che è stato sviluppato dall’Internet Engineering Task Force (IETF), che include Apple e Google. Attualmente, Cloudflare e Fastly sono gli unici CDN con cui Apple ha lavorato, ma sta lavorando con altre società per portarlo a un’ampia adozione sul web.

Questa funzione è abilitata per impostazione predefinita, ma puoi ricontrollare che sia abilitata visitando Impostazioni -> [il tuo nome] -> Password e sicurezza -> Verifica automatica. Questa modifica appare anche in iPadOS 16 per iPad e macOS 13 Ventura per Mac, che sono ancora in versione beta. Il percorso di configurazione è lo stesso per iOS e iPadOS, ma devi andare su Impostazioni -> ID Apple -> Password e sicurezza -> Verifica automatica in macOS 13.