الرموز المميّزة للحالة الخاصة

حالة التنفيذ

ما هي الرموز المميّزة للحالة الخاصة؟

   

تتيح "الرموز المميّزة للحالة الخاصة" نقل الثقة في أصالة المستخدم من سياق إلى آخر، لمساعدة المواقع الإلكترونية في مكافحة الاحتيال وتمييز برامج التتبُّع عن المستخدمين الحقيقيين، بدون التتبُّع السلبي.

  • يمكن لموقع إلكتروني مُصدِر إصدار الرموز المميّزة لمتصفّح الويب الخاص بالمستخدم الذي يُظهر أنّه موثوق به، على سبيل المثال من خلال مواصلة استخدام الحساب أو إكمال معاملة أو الحصول على نتيجة reCAPTCHA مقبولة.
  • يمكن لموقع الاستبدال الإلكتروني التأكّد من أنّ المستخدم ليس مزيّفًا من خلال التحقّق مما إذا كان لديه رموز مميّزة من مُصدِر يثق به، ثم استبدال الرموز المميّزة حسب الحاجة.

تكون الرموز المميّزة للحالة الخاصة مشفّرة، لذا لا يمكن تحديد هوية فرد أو ربط النُسخ الموثوق بها والنُسخ غير الموثوق بها لاكتشاف هوية المستخدم.

لماذا نحتاج إلى الرموز المميّزة للحالة الخاصة؟

تحتاج الويب إلى طُرق لإنشاء إشارات الثقة ونقلها، والتي تُظهر أنّ المستخدم هو هويته التي يُظهرها، وليس برنامج تتبُّع يتظاهر بأنه شخص أو جهة خارجية ضارة تخدع شخصًا حقيقيًا أو خدمة. إنّ الحماية من الاحتيال مهمّة بشكل خاص للمعلِنين ومقدّمي الإعلانات و شبكات توصيل المحتوى (CDN).

للأسف، تستفيد العديد من الآليات الحالية لقياس الثقة ونشرها، على سبيل المثال، من تقنيات يمكن استخدامها أيضًا لتحديد الهوية. يجب أن تحافظ آليات نقل الثقة على الخصوصية، ما يتيح انتشار الثقة على مستوى المواقع الإلكترونية بدون تتبُّع المستخدمين الفرديين.

باستخدام Private State Token API، يمكن لموقع إلكتروني إصدار رموز مميّزة تشفيرية لمستخدم يثق به، ويمكن استخدامها لاحقًا في مكان آخر. يخزِّن متصفّح المستخدم الرموز المميّزة بأمان، ويمكن بعد ذلك استخدامها في سياقات أخرى لتأكيد هوية المستخدم. ويسمح ذلك بنقل ثقة المستخدم في أحد المواقع الإلكترونية (مثل موقع إلكتروني على وسائل التواصل الاجتماعي أو خدمة بريد إلكتروني) إلى موقع إلكتروني آخر (مثل ناشر أو متجر على الإنترنت) بدون تحديد هوية المستخدم أو ربط الهويات على مستوى المواقع الإلكترونية.

كيف تعمل الرموز المميّزة للحالة الخاصة؟

في هذا المثال، يريد موقع إلكتروني تابع لناشر التحقّق مما إذا كان المستخدِم شخصًا حقيقيًا وليس برنامجًا للتتبُّع، وذلك قبل عرض إعلان.

  1. يزور مستخدم موقعًا إلكترونيًا (يُعرف باسم المُصدِر) ويتّخذ إجراءات تؤدي إلى اعتقاد الموقع الإلكتروني بأنّ المستخدم هو شخص حقيقي، مثل إجراء عمليات شراء أو استخدام حساب بريد إلكتروني أو إكمال reCAPTCHA بنجاح.
  2. يستخدم الموقع الإلكتروني للمُصدِر واجهة برمجة التطبيقات Private State Token JavaScript API لطلب الحصول على الرموز المميّزة للثقة في browser
  3. يستجيب الموقع الإلكتروني للمُصدِر ببيانات الرمز المميّز.
  4. يخزِّن متصفّح المستخدم بيانات رمز الثقة بأمان.
  5. يزور المستخدِم موقعًا إلكترونيًا مختلفًا (مثل ناشر أخبار) يريد التأكّد مما إذا كان المستخدِم شخصًا حقيقيًا: على سبيل المثال، عند عرض الإعلانات.
  6. يستخدم الموقع الإلكتروني Private State Token API للتحقّق مما إذا كان متصفّح المستخدم يتضمّن رموز ثقة مخزّنة لمُصدِرين يثق بهم الموقع الإلكتروني.
  7. يتم العثور على الرموز المميّزة للحالة الخاصة لمُصدِّر البطاقة الذي زاره المستخدم سابقًا.
  8. يقدّم الموقع الإلكتروني للناشر طلبًا إلى جهة الإصدار لاسترداد الرموز المميّزة للثقة.
  9. يردّ الموقع الإلكتروني للمُصدِر بسجلّ تحصيل قيمة الرمز.
  10. يقدّم موقع الناشر طلبًا إلى منصّة إعلانية، بما في ذلك سجلّ تحصيل القيمة لإثبات أنّ المستخدم موثوق به من قِبل الجهة المُصدِرة على أنّه شخص حقيقي.
  11. توفّر المنصة الإعلانية البيانات المطلوبة لعرض إعلان.
  12. يعرض الموقع الإلكتروني للناشر الإعلان.
  13. يتم احتساب مرّة ظهور لمشاهدة الإعلان.

هل تتوفّر أدوات للرموز المميّزة للحالة الخاصة؟

تفعِّل "أدوات مطوّري البرامج في Chrome" ميزة الفحص من علامتَي التبويب "الشبكة" و"التطبيق". يمكنك الاطّلاع على مزيد من المعلومات عن دمج أدوات المطوّرين هذا والرموز المميّزة للحالة الخاصة.

كيف تتعامل المواقع الإلكترونية مع الرموز المميزة الصادرة عن جهات إصدار موثوق بها متعددة؟

يمكن للموقع الإلكتروني التحقّق من متصفّح المستخدم بحثًا عن الرموز المميّزة الصالحة التي تتضمّن document.hasTrustToken() لمُصدِر واحد في المرة الواحدة. إذا كانت القيمة التي يتم عرضها هي true وكان هناك رمز متاح، يمكن للموقع الإلكتروني تحصيل الرمز والتوقف عن البحث عن رموزاً أخرى.

على الموقع الإلكتروني تحديد جهات إصدار الرموز المميّزة التي يجب التحقّق منها والترتيب الذي يجب اتّباعه.

حالات الاستخدام

تتيح الرموز المميّزة للحالة الخاصة (PST) مجموعة من حالات الاستخدام لمكافحة الاحتيال. في الأساس، يمكن أن يُعدّ ملف PST إشارة ثقة إضافية لأنّ واجهة برمجة التطبيقات قادرة على ترميز أجزاء من المعلومات التي يمكن أن تساعد في نقل الثقة من سياق إلى آخر. مع إيقاف ملفّات تعريف الارتباط التابعة لجهات خارجية، ندرك أنّه من المهم التأكّد من أنّ حالات الاستخدام، مثل ما يلي، لا تزال تعمل على النحو المطلوب. تتطلّب جميع حالات استخدام PST تعاون كلّ من الجهات المُصدِرة وجهات تحصيل القيمة. ننصحك باستخدام PST إذا كانت لديك حالات استخدام مشابهة لأيّ مما يلي:

  • خدمات مكافحة الاحتيال: يُعدّ منع الاحتيال حالة استخدام مشروعة يجب أن توفّرها الويب، ولكن يجب ألا تتطلّب هذه الحالة معرّفًا ثابتًا وشاملاً لكل مستخدم. في السياقات التابعة لجهات خارجية، يمكن استخدام PST لتقسيم المستخدِمين إلى مجموعات موثوق بها وغير موثوق بها.
  • تحليل الاحتيال الإعلاني: يمكن أن تكون ميزة "الاستهداف بالاستناد إلى الجمهور" مفيدة لتحليل النقرات والمشاهدات وحيل برامج التتبُّع الاحتيالية في خدمات تكنولوجيا الإعلان.
  • رصد برامج التتبُّع: بعد إجراء التحليل لمعرفة ما إذا كان المتصفّح برنامج تتبُّع أم لا، يمكن أن تساعد ميزة PST في ترميز هذه المعلومات لمشاركة هذه المعلومات من سياق إلى آخر.
  • الدفعات الآمنة: لرصد التهديدات التي يصعب تحديدها في سياق تابع لجهة خارجية تتوفّر لديه معلومات محدودة (مثل عمليات خداع بطاقات الائتمان)، يمكن استخدام مقياس PST كإشارة إضافية للتعبير عن الثقة.
  • خدمات مكافحة إساءة الاستخدام في التجارة الإلكترونية: من المهم جدًا رصد برامج التتبُّع في تفاعلات التجارة الإلكترونية (النقرات وعمليات الدفع والشراء وتقييمات المنتجات وبرامج التتبُّع المخصّصة للمحادثات والمرتجعات) لتجنُّب عمليات استخراج البيانات من الصفحات والتفاعلات غير البشرية. يمكن أن تكون هذه إشارة إضافية مهمة لرصد موظّفي الدعم المبرمَجين لمقدّمي خدمات مكافحة الاحتيال التابعين لجهات خارجية في منصات التجارة الإلكترونية.
  • خدمات شبكة توصيل المحتوى (CDN): توفّر تقنية PST آلية للمساعدة في إعداد تقارير عن الزيارات الاحتيالية ورصدها.

هذه القائمة لحالات الاستخدام ليست شاملة لجميع إمكانات مكافحة الاحتيال التي يمكن أن تستفيد من الرموز المميّزة للحالة الخاصة. ولا تُعدّ القائمة أيضًا مُستبعَدة بشكل متبادل، إذ يمكن أن تستفيد ميزة PST من عمليات سير عمل متعدّدة لمكافحة الاحتيال.

تجارب المستخدِمين

يُعدّ الإصدار والاسترداد المكوّنين الرئيسيين للرموز المميّزة للحالة الخاصة. على الرغم من أنّ حالات الاستخدام السابقة هي المجالات الرئيسية التي يمكن فيها استخدام الرموز المميّزة لتسجيل الحضور، يمكنك التفكير في اللحظات التالية في مسارات المستخدِمين المحدّدة على أنّها الحالات التي تريد فيها فعليًا إصدار الرموز المميّزة أو تحصيل قيمتها:

  • إصدار الرموز المميّزة أثناء عمليات إدارة الحساب (تسجيل الدخول والاشتراك وإعادة ضبط كلمة المرور وما إلى ذلك)
  • إصدار الرموز المميّزة بعد تأكيد المصادقة المتعدّدة العوامل
  • إصدار الرموز المميّزة بعد تنفيذ إجراءات عالية الخطورة، مثل حذف سجلّ الدفعات
  • تحصيل الرموز المميّزة لتأكيد على مستوى الموقع الإلكتروني قبل تنفيذ إجراءات ذات مستوى خطر متوسّط
  • تحصيل الرموز المميّزة لتأكيد الإجراءات على مستوى الموقع الإلكتروني قبل تنفيذ الإجراءات العالية الخطورة

الامتثال لقوانين الخصوصية الإلكترونية

يتضمن إصدار "رموز الحالة الخاصة" تخزين المعلومات على معدّات المستخدم الطرفية، وبالتالي فهو نشاط يخضع لقوانين الخصوصية الإلكترونية في المنطقة الاقتصادية الأوروبية والمملكة المتحدة بشكل عام ويتطلّب موافقة المستخدم. بصفتك مُصدرًا، تقع على عاتقك مسؤولية تحديد ما إذا كان استخدامك لواجهة برمجة التطبيقات Private State Tokens API ضروريًا بشكلٍ صارم لتقديم خدمة على الإنترنت طلبها المستخدم صراحةً، وبالتالي تكون معفيًا من متطلبات الموافقة. لمزيد من المعلومات، ننصحك بقراءة الأسئلة الشائعة حول الامتثال للسياسات المتعلّقة بالخصوصية في "مبادرة حماية الخصوصية".

التفاعل مع الملاحظات ومشاركتها

التعرف على المزيد