フィンガープリントのAIエージェント開発者向け無料Webボット認証テストツール

Web Bot Authとは何か、そしてその重要性

Web Bot Auth（WBA）は、自動化されたクライアントがHTTPリクエストに暗号署名を付与できるようにする、IETFで進行中の新たなオープンスタンダードです。User-Agent文字列のような従来の識別方法は簡単に偽装でき、IP許可リストは時間がかかり、不正操作の余地があります。WBAは、ボット運用者が非対称鍵ペアを生成し、公開鍵を検索可能なディレクトリにホストし、秘密鍵で送信リクエストに署名することでこの問題を解決します。

Web Bot Auth署名の仕組み

適切に署名されたWBAリクエストには、3つのヘッダーが含まれます：

• Signature-Inputは、署名対象のコンポーネントとパラメータを定義します。これには、web-bot-authに設定されたタグ、署名鍵のJSON Web Key（JWK）サムプリントに一致するkeyid、createdおよびexpiresタイムスタンプ、そして（リプレイリスクを低減するために強く推奨される）nonceが含まれます
• Signatureには、それらのコンポーネントに対する実際の暗号署名が含まれます
• Signature-Agentは、サーバーが公開鍵を発見してキャッシュしやすくするために、鍵ディレクトリを指し示します

FingerprintはEd25519鍵を必要とし、鍵ディレクトリは/.well-known/http-message-signatures-directoryでHTTPS経由でホストする必要があります。また、ディレクトリの応答自体も署名され、他者による複製を防ぎます。

無料テストツール

FingerprintのWeb Bot Authテストページは、署名付きリクエストを送信し、署名が正しく検証されるかどうか明確なフィードバックを得られる無料の公開エンドポイントです。アカウントは不要で、テストツールはオープンソースであり、フロントエンドとバックエンドのリポジトリが利用可能です。

エンドポイントはこちら：fingerprint.com/web-bot-auth/test/

WBAの始め方

WBAを実装する場合：

1. Ed25519鍵ペアを生成し、公開鍵をJWK形式に変換します
2. 鍵ディレクトリを/.well-known/http-message-signatures-directoryでHTTPS経由でホストし、ディレクトリの応答を秘密鍵で署名します
3. ボットの送信HTTPリクエストにSignature-Input、Signature、Signature-Agentヘッダーで署名します
4. fingerprint.com/web-bot-auth/test/にテストリクエストを送信し、すべてが正しく検証されることを確認します

ボットがリクエストに正しく署名すると、Fingerprint Bot Detectionを使用するサイトは、それを未知の自動化トラフィックとして扱うのではなく、署名済みボットとして識別できます。