봇 시대에도 개방성과 프라이버시를 지키려는 Mozilla의 웹 자격 증명 구상

“Cloudflare와 함께” = 바로 거절하게 됨
기술 개요의 technical overview를 보면 Privacy Pass가 Apple, Chrome, Kagi에서 쓰인다고 하지만, Kagi의 사용 방식은 의미 있게 비공개 검색을 제공하지 않음
Kagi가 Origin, Attester, Issuer를 모두 한꺼번에 운영해서 Privacy Pass 아키텍처의 핵심 원칙을 어긴다고 봄

그건 정확하지 않음. Privacy Pass 아키텍처는 한 주체가 세 역할을 모두 맡는 방식을 지원함(RFC 9576 §4.6)
다만 타이밍 부채널은 우려할 수 있음. 다중 제시 익명 자격 증명은 현재 Privacy Pass에 배포된 일회용 토큰보다 이런 부채널을 줄이는 데 꽤 도움이 됨

여기서 진전이 보여서 반갑다. 예전 직장에서 이전 시도들을 따라가며 약간 관여한 적이 있음
다만 “사용자가 적절한 Anchor로부터 Endorsement를 전혀 갖고 있지 않으면 CAPTCHA, 계정 생성, 연합 로그인 같은 기존 메커니즘으로 Credential을 부트스트랩할 수 있다”는 부분은 의문임 CAPTCHA는 사용자가 지문 채집될 만큼 오래 머물게 하는 수단 말고는 잘 작동하지 않고, 계정 생성과 연합 로그인도 결국 다른 메커니즘으로 관문을 세워야 해서 문제를 한 단계 위로 미룰 뿐임
게다가 도서관 컴퓨터에서 은행에 로그인하려고 다른 웹사이트에 새 계정을 만들라고 요구할 수도 없음. 오늘날 “기존 메커니즘”은 브라우저 지문 채집에 매우 크게 의존하거나, Apple처럼 하드웨어 증명에 기대는데, Mozilla 등의 목표가 지문 채집을 불가능하게 만드는 것이라면 이게 어떻게 작동할지 모르겠음

일반 브라우저가 웹페이지를 공격적으로 캐시하게 하는 편이 더 유익하지 않을까 싶음. 그게 사용자 지문 채집을 쉽게 만들거나 봇들이 캐시를 공유할 수 있게 할 수 있다는 건 이해함
하지만 인터넷의 주된 문제는 Shopify가 사기로 돈을 잃는 게 아니라, 우리가 방문했던 콘텐츠가 사라지고 있다는 것임

잘 모르겠음. 웹을 열린 상태로 유지하는 훨씬 효율적인 방법은 우회책을 찾기보다 크롤러라는 원인을 다루는 것 같음
예를 들면 모든 것에 AI를 집어넣지 않고, 애초에 이 난장판을 일으킨 회사를 지원하거나 가능하게 만들지 않는 것 말임. 크롤러들이 그냥 꺼져 준다면 이런 우회책이 필요 없을 텐데

관련된 회사들은 모두 어떤 형태로든 AI에 깊이 관여하고 있음. 직접 팔고 있거나, 사업 모델과 브랜드 정체성을 전부 그쪽으로 피벗했음

“어떤 문제의 해법이 ‘모두가 그냥 …하면’에 의존한다면 그건 해법이 아니다. 모두가 그냥 그렇게 하지는 않는다. 우주의 역사상 모두가 그냥 그렇게 한 적은 없고, 이제 와서 시작하지도 않을 것이다”라는 말이 있음(source)
그래도 AI가 트래픽 급증을 만든 건 맞지만, 이 문제는 AI보다 훨씬 오래됐고 크롤러가 가장 심각한 문제도 아님. 예컨대 유출된 인증정보 덤프를 은행 로그인에 대입하거나, 기프트카드·신용카드를 무차별 대입하는 문제가 더 큼
AI가 사라져도 우리는 2021년 수준의 세계로 돌아갈 뿐이고, 그때도 이미 이 문제는 오래전부터 매우 심각했음