Как анонимные удостоверения доказывают, что вы человек, не раскрывая отслеживаемую личность или отпечаток браузера, и при чём тут PACT от Mozilla.
Главное
- В середине 2026 года Mozilla, Cloudflare и Chrome представили набросок PACT (Private Access Control Tokens) — способ доказать, что вы настоящий человек, не передавая сайту отслеживаемую личность.
- В основе лежит принцип анонимных удостоверений: несвязываемые, одноразовые токены, доказывающие некое свойство (например, «не бот»), не раскрывая, кто вы.
- Privacy Pass (RFC 9576) — стандартизированная основа, на которой это строится; уже используется, чтобы снизить количество CAPTCHA для части пользователей VPN и Tor.
- PACT — это предложение, а не принятый стандарт: всё конкретное здесь стоит воспринимать как взгляд в будущее, а не как то, что можно протестировать сегодня.
- Web Bot Auth от Cloudflare применяет ту же идею криптографической идентичности к ботам напрямую: подписанные запросы вместо догадок по IP и User-Agent.
- Оба тренда указывают в одну сторону: хрупкие эвристики на основе отпечатка и IP заменяются криптографическим доказательством — как для людей, так и для ботов.
Проблема: доказывать, что ты человек, — враждебно приватности
Сегодня у сайта, который хочет понять «это настоящий человек?», есть два грубых инструмента. Он может прервать вас CAPTCHA или тихо собрать отпечаток браузера из вывода canvas, шрифтов, размера экрана и десятков других сигналов, а затем оценить, насколько этот отпечаток консистентен и насколько он распространён. Наш гид по техникам обнаружения ботов подробно описывает, как эти сигналы комбинируются на практике.
Оба подхода работают, но оба чего-то стоят. CAPTCHA — это трение, которое решают как настоящие пользователи, так и платные сервисы разгадывания. Отпечаток браузера работает незаметно, но именно потому, что он строит устойчивую, отслеживаемую личность из вашего устройства — а это ровно то, что пытаются сократить приватность-ориентированные пользователи и браузеры.
Именно это напряжение — «докажи, что ты легитимен» против «не создавай мой профиль» — и призваны разрешить анонимные удостоверения.
Что такое анонимное удостоверение на самом деле
Анонимное удостоверение — это токен, который доказывает некое свойство о вас, не раскрывая, кто вы, и не позволяя никому связать это доказательство с вашими другими посещениями. Это обеспечивают три архитектурных решения:
- Несвязываемость. Каждый токен используется один раз и статистически неотличим от любого другого выданного токена, поэтому сайт (или сговорившиеся сайты) не может связать два ваших визита, сравнив токены.
- Разделение эмитента и получателя. Сторона, которая за вас ручается (эмитент), архитектурно отделена от сайта, проверяющего токен (получатель, в таких схемах его также называют «полагающейся стороной»). Эмитент никогда не узнаёт, какому сайту вы предъявили токен, а сайт никогда не узнаёт, кто именно вам его выдал.
- Доказательство без раскрытия. Токен доказывает узкое утверждение — «человек недавно прошёл проверку» или «этот клиент не превысил лимит запросов» — а не вашу личность, браузер или историю.
В результате получается удостоверение, которое ведёт себя как проштампованный анонимный билет, а не как бейдж с именем: сайт может доверять ему, не имея возможности построить по нему профиль.
Privacy Pass: стандартизированная основа
Это не новая идея, изобретённая специально для проблемы ботов. Privacy Pass, стандартизированный IETF как RFC 9576, уже определяет эту архитектуру эмитент/получатель/токен и развёрнут сегодня, чтобы позволить части пользователей VPN и Tor пропускать повторные CAPTCHA-проверки — токен доказывает «этот клиент уже прошёл проверку», не раскрывая заново его IP или паттерн просмотра провайдеру проверки при каждом запросе.
PACT — который Mozilla, Cloudflare и Chrome набросали вместе на встрече W3C Community Group в мае 2026 года и который Mozilla описала в статье «PACT: анонимные удостоверения для веба» — расширяет эту основу счётчиками с сохранением состояния: сайт может проверить, что клиент не превысил некий порог (скажем, лимит запросов), никогда не читая фактическое значение счётчика и не связывая его между сессиями. Именно это, как формулирует Mozilla, делает принцип Privacy Pass полезным для «эпохи ботов» — не только одноразовые проверки да/нет, а постоянные сигналы частоты запросов и репутации, сохраняющие приватность.
Здесь важно быть точным насчёт статуса: по состоянию на середину 2026 года PACT — это предложение W3C, которое набрасывают производители браузеров, а не выпущенный API. Ни один браузер его не реализует, ни один сайт не может полагаться на него в продакшене, и детали, скорее всего, изменятся до (если) стандартизации. Воспринимайте этот раздел как «куда движется дискуссия», а не «что можно развернуть уже сейчас».
Реальное развёртывание: криптографические боты Cloudflare
Пока PACT остаётся наброском на стороне людей, сторона ботов продвинулась быстрее. В 2026 году Cloudflare запустила Web Bot Auth вместе с pay-per-crawl и стандартной политикой блокировки неверифицированных AI-краулеров — вместе это часть отраслевого сдвига к тому, чтобы рассматривать автоматизированный трафик как полноценного, криптографически идентифицированного посетителя, а не аномалию, которую нужно вывести из диапазонов IP и строк User-Agent.
Механизм здесь — зеркальное отражение анонимного удостоверения: вместо того чтобы человек доказывал «я один из многих, не отслеживайте меня», оператор бота криптографически подписывает свои запросы, доказывая «я — этот конкретный, подотчётный краулер». Сайт может напрямую проверить подпись, вместо того чтобы реконструировать догадку из репутации IP и сетевых сигналов. PACT для людей и Web Bot Auth для ботов — это, по сути, одна и та же архитектурная ставка: заменить хрупкие эвристики, собранные из отпечатков, IP и поведенческих догадок, криптографическим доказательством конкретного узкого утверждения.
Что это значит для будущего обнаружения ботов и отпечатков браузера
Если предложения вроде PACT дозреют, честная формулировка — «новая опция наряду с отпечатком браузера», а не «конец отпечатка браузера». Обнаружение по отпечатку глубоко укоренилось, работает уже сегодня без какого-либо процесса стандартизации и покрывает случаи — например, отличить подделанное устройство от настоящего — которые удостоверение да/нет не решает. Что меняет система удостоверений, так это цену доказательства легитимности: вместо того чтобы сайт строил постоянный профиль для такого суждения, он может принять одноразовое, несвязываемое доказательство и двигаться дальше.
Для обычных пользователей практический вывод прямо сейчас меньше, чем предполагает дискуссия вокруг стандартов: в вашем браузере сегодня ничего не меняется. Стоит понять, что именно сайт может наблюдать за вами уже сейчас — ведь именно это базовое состояние эти предложения и пытаются улучшить.
Посмотрите, что сайты могут наблюдать за вами уже сегодня
Анонимные удостоверения — это предложение для завтрашнего веба; отпечатки браузера и поведенческая оценка — это то, как сайты отличают людей от ботов прямо сейчас. Обе стороны можно увидеть на BrowserInsight: инструмент обнаружения ботов показывает сигналы автоматизации и консистентности, которые оценивает система обнаружения, а проверка отпечатка показывает полный набор сигналов устройства, из которых строится отпечаток. Чтобы шире взглянуть на то, как в эту картину вписываются (и не вписываются) инструменты вроде VPN, посмотрите наше сравнение инструментов приватности.
Часто задаваемые вопросы
Могу ли я использовать PACT или анонимные удостоверения уже сегодня?
Нет. По состоянию на середину 2026 года PACT — это предложение W3C, которое обсуждают Mozilla, Cloudflare и Chrome — ни один браузер его не реализует, ни один сайт не может полагаться на него в продакшене. Privacy Pass (RFC 9576), более ранняя основа, на которой он строится, уже развёрнут в ограниченных сценариях — например, для пропуска CAPTCHA частью трафика VPN и Tor.
Чем анонимное удостоверение отличается от входа в аккаунт или cookie?
Вход в аккаунт или cookie идентифицирует именно вас и сохраняется между визитами, а это ровно то, что делает их отслеживаемыми. Анонимное удостоверение доказывает узкое свойство — «человек прошёл проверку» — с помощью токена, несвязываемого с любым другим использованным вами токеном, поэтому его нельзя выстроить в профиль так, как это делает постоянный ID.
Заменит ли это отпечаток браузера?
Пока нет, и даже если технология дозреет, полностью — вряд ли. Отпечаток браузера ловит подделку и несоответствия, которые простое удостоверение да/нет не решает, и он работает уже сегодня без необходимости, чтобы производители браузеров, эмитенты и сайты одновременно приняли новый стандарт. Реалистичный исход — удостоверения возьмут на себя часть задачи «это человек?» наряду с отпечатком браузера, а не заменят его целиком.
Что такое Web Bot Auth и как это связано?
Web Bot Auth — это система Cloudflare для криптографически подписанных запросов ботов — аналог анонимных удостоверений для людей, но на стороне ботов. Вместо того чтобы сайт догадывался, является ли трафик автоматизированным краулером, по диапазонам IP и строкам User-Agent, верифицированный оператор бота напрямую подписывает свои запросы, позволяя сайту проверить криптографическое доказательство вместо выведенного паттерна.


