वेब बॉट ऑथ (एक्सपेरिमेंट के तौर पर उपलब्ध है) की मदद से अनुरोधों की पुष्टि करना

Google, वेब बॉट ऑथ आईईटीएफ़ इंटरनेट ड्राफ़्ट के इस्तेमाल की जांच कर रहा है. यह एक नया क्रिप्टोग्राफ़िक प्रोटोकॉल है. इससे वेबसाइटों को यह पुष्टि करने में मदद मिलती है कि बॉट असली हैं. हम Google के इन्फ़्रास्ट्रक्चर पर होस्ट किए गए कुछ एआई एजेंट के साथ, प्रोटोकॉल को टेस्ट कर रहे हैं. इस गाइड में वेब बॉट ऑथ और इसकी मौजूदा स्थिति के बारे में बताया गया है. साथ ही, इसमें यह बताया गया है कि एक्सपेरिमेंट के दौरान पुष्टि करने की सुविधा को कैसे लागू किया जा सकता है.

वेब बॉट ऑथ क्या है?

वेब बॉट ऑथ, एक एक्सपेरिमेंटल क्रिप्टोग्राफ़िक प्रोटोकॉल है. इसका इस्तेमाल, बॉट से भेजे गए अनुरोधों की पुष्टि करने के लिए किया जाता है. वेब बॉट ऑथ, एजेंट को अपने अनुरोधों पर क्रिप्टोग्राफ़िक साइन करने की अनुमति देता है. इससे, सिर्फ़ खुद से रिपोर्ट किए गए हेडर और आईपी पतों पर भरोसा करने के बजाय, ज़्यादा सुरक्षित तरीके से अनुरोधों की पुष्टि की जा सकती है.

वेब बॉट ऑथ, वेबसाइट के मालिकों को अपनी साइटों पर अपने-आप जनरेट होने वाले ट्रैफ़िक को पहचानने में मदद करता है. साथ ही, यह अन्य लोगों को भरोसेमंद एजेंट की पहचान चुराने से रोकता है. वेब बॉट ऑथ से ये फ़ायदे मिलते हैं:

क्रिप्टोग्राफ़िक तौर पर पुष्टि: आसानी से स्पूफ़ किए जा सकने वाले हेडर के बजाय, साफ़ तौर पर होने वाली पुष्टि की सुविधा का इस्तेमाल करें. साथ ही, एजेंट की पहचान को आईपी पतों से अलग करें.
बेहतर निगरानी: इस बारे में ज़्यादा जानकारी पाएं कि एजेंट आपके कॉन्टेंट के साथ कैसे इंटरैक्ट करते हैं.
आने वाले समय के लिए सुरक्षा एक ऐसा वेब बनाने में मदद करना जहां एजेंट की सेवाएं देने वाली कंपनियां और वेबसाइटें, एक-दूसरे पर भरोसा कर सकें. साथ ही, सोच-समझकर ऐक्सेस देने के फ़ैसले ले सकें.

वेब बॉट ऑथ की मदद से पुष्टि करने की सुविधा का मौजूदा स्टेटस: एक्सपेरिमेंट के तौर पर उपलब्ध है

Google ने वेब बॉट ऑथ को लागू किया है. फ़िलहाल, यह एक्सपेरिमेंट के तौर पर उपलब्ध है. इसकी वजहें यहां दी गई हैं:

फ़िलहाल, वेब बॉट ऑथ को आईईटीएफ़ के डब्ल्यूबीए वर्किंग ग्रुप ने तैयार किया है. फ़िलहाल, इसके नियम और शर्तें पूरी तरह से तय नहीं हुई हैं. हालांकि, इसमें समय के साथ बदलाव हो सकता है. Google, वर्किंग ग्रुप के बढ़ते हुए काम में सक्रिय तौर शामिल है.
फ़िलहाल, उपयोगकर्ता-एजेंट और आईपी पते के आधार पर बॉट की पुष्टि करना, डिफ़ॉल्ट स्टैंडर्ड है. इसके लिए, दशकों से सिस्टम, नीतियां, और सबसे सही तरीके बनाए गए हैं. इन बदलावों में समय लगता है और इसके लिए सावधानी बरतने की ज़रूरत होती है. हम अभी शुरुआती दौर में हैं. हम अब भी प्रोटोकॉल की तकनीकी विशेषताओं और संभावित नेटवर्क के असर का आकलन कर रहे हैं.

इसका क्या अर्थ है?

एक्सपेरिमेंट के तौर पर उपलब्ध होने का मतलब है कि:

Google के सभी उपयोगकर्ता एजेंट, वेब बॉट ऑथ का इस्तेमाल नहीं कर रहे हैं.
Google, प्रोटोकॉल का इस्तेमाल करने वाले एजेंट के हर अनुरोध पर फ़िलहाल हस्ताक्षर नहीं कर रहा है.
हमारा सुझाव है कि आप वेब बॉट ऑथ के साथ-साथ, आईपी पतों, रिवर्स डीएनएस, और उपयोगकर्ता-एजेंट स्ट्रिंग का इस्तेमाल जारी रखें. ऐसा इसलिए, क्योंकि हम धीरे-धीरे साइन किए गए ट्रैफ़िक को रोल आउट कर रहे हैं.

अगर आपको एक्सपेरिमेंट के दौरान इसमें हिस्सा लेना है, तो हम आपको Google के एआई एजेंटों को पहचानने और उन्हें अनुमति देने के बारे में दिशा-निर्देश दे रहे हैं.

वेब बॉट ऑथ का इस्तेमाल करके, Google के एआई एजेंट को अनुमति वाली सूची में शामिल करने का तरीका

अगर आप डेवलपर या सिस्टम एडमिन हैं और आपको एक्सपेरिमेंट के तौर पर उपलब्ध एआई एजेंट को अनुमति देनी है, तो वेब बॉट ऑथ प्रोटोकॉल के ज़रिए पुष्टि की जा सकती है:

ऐसे प्रॉडक्ट या सेवा का इस्तेमाल करना जो वेब बॉट ऑथ के साथ काम करती हो
अनुरोधों की पुष्टि खुद करना

ऐसे प्रॉडक्ट या सेवा का इस्तेमाल करें जो वेब बॉट ऑथ की सुविधा के साथ काम करती हो

बॉट का पता लगाने वाली मुख्य सेवाएं, सीडीएन, और WAF, वेब बॉट ऑथ के साथ काम करती हैं. बुनियादी ढांचे से जुड़ी कुछ सेवाएं, Google-Agent यूज़र एजेंट को खोजने और उसे अनुमति वाली सूची में शामिल करने के तरीके उपलब्ध कराती हैं. सही तरीका जानने के लिए, सेवा देने वाली कंपनी से संपर्क करें. Google-Agent से किए गए अनुरोधों के एक हिस्से सबसेट को वेब बॉट ऑथ के ज़रिए साइन किया जाता है. इससे उनकी पुष्टि https://agent.bot.goog के तौर पर की जाती है. अगर सेवा देने वाली कंपनी इस प्रोटोकॉल का इस्तेमाल करती है, तो वह शायद इसकी पुष्टि अपने-आप कर लेती है.

अनुरोधों की पुष्टि खुद करना

अगर आपको हमारे अनुरोधों की पुष्टि खुद करनी है, तो ऑटोमेटेड ट्रैफ़िक आर्किटेक्चर के लिए एचटीटीपी मैसेज सिग्नेचर की खास जानकारी और GitHub पर लागू करने के उदाहरण देखें. आम तौर पर, प्रोटोकॉल के मुख्य चरण ये हैं:

हमारे एजेंट के सार्वजनिक पासकोड सेट को https://agent.bot.goog/.well-known/http-message-signatures-directory से फ़ेच करें. साथ ही, Cache-Control हेडर के मुताबिक उन्हें कैश मेमोरी में सेव करें.
पक्का करें कि फ़ाइल में मौजूद पुरानी कैश की गई कुंजियों को मिटा दिया गया हो, क्योंकि हो सकता है कि उनकी समयसीमा खत्म हो गई हो या उन्हें रद्द कर दिया गया हो.
आपके सर्वर को भेजे गए अनुरोधों में, Signature-Agent एचटीटीपी अनुरोध हेडर को g="https://agent.bot.goog" पर सेट किया जाएगा. g= लेबल पर ध्यान दें.
एचटीटीपी मैसेज सिग्नेचर स्टैंडर्ड (आरएफ़सी 9421) के मुताबिक, Signature हेडर की पुष्टि करें.Signature-Input g के तौर पर लेबल किए गए Signature और Signature-Input हेडर का इस्तेमाल करें.
आईपी पते के आधार पर पुष्टि करने की सुविधा का इस्तेमाल करना न भूलें. ऐसा इसलिए, क्योंकि अभी हर अनुरोध पर हस्ताक्षर नहीं जा रहे हैं.

पुष्टि करने से जुड़े वेब बॉट ऑथ का तरीका

जिन अनुरोधों के लिए कम समय में जवाब देना ज़रूरी है उनके लिए, जवाब को पहले से ही दिखाया जा सकता है. साथ ही, साइन की पुष्टि समयसीमा खत्म होने की अवधि के अंदर की जा सकती है. ऐसे मामले में, जांच और कार्रवाई जवाब देने के बाद की जाएगी. इन जवाबों को, आने वाले समय में कॉलर के अनुरोधों पर लागू किया जा सकता है.

साइन की समयसीमा खत्म होने की विंडो, सार्वजनिक पासकोड सेट के Cache-Control हेडर से अलग होती है. इनकी पुष्टि अलग-अलग करें.

अगले चरण

होस्टिंग या सुरक्षा सेवा देने वाली कंपनी से संपर्क करके पता करें कि वे वेब बॉट ऑथ की सुविधा देती हैं या नहीं.
वेब बॉट ऑथ वर्किंग ग्रुप की तकनीकी जानकारी के बारे में अपडेट रहें.
आईईटीएफ़ के ईमेल पाने वाले लोगों की सूची पर जाकर, चर्चा में हिस्सा लें.
हमें सुझाव, राय देने या शिकायत करने के लिए वेब बॉट ऑथ का फ़ॉर्म भरकर फ़ीडबैक दें.