وضعیت پیاده سازی
- وضعیت پلتفرم Chrome .
- در نسخه آزمایشی اصلی Chrome 84 تا 101: اکنون بسته شده است.
- نسخه ی نمایشی
- ادغام Chrome DevTools .
توکن های دولتی خصوصی چیست؟
توکنهای دولتی خصوصی اعتماد به اعتبار کاربر را قادر میسازد تا از یک زمینه به زمینه دیگر منتقل شود تا به سایتها در مبارزه با کلاهبرداری و تمایز رباتها از انسانهای واقعی بدون ردیابی غیرفعال کمک کند.
- یک وبسایت صادرکننده میتواند نشانههایی را برای مرورگر وب کاربری صادر کند که نشان میدهد قابل اعتماد هستند، برای مثال از طریق ادامه استفاده از حساب، با تکمیل یک تراکنش، یا با گرفتن نمره قابل قبول reCAPTCHA .
- یک وبسایت Redeemer میتواند جعلی نبودن کاربر را با بررسی اینکه آیا توکنهایی از صادرکنندهای دارد که بازخریدکننده به آن اعتماد دارد، و سپس بازخرید توکنها در صورت لزوم، تأیید کند.
توکنهای دولتی خصوصی رمزگذاری شدهاند، بنابراین نمیتوان یک فرد را شناسایی کرد یا نمونههای مورد اعتماد و غیرقابل اعتماد را برای کشف هویت کاربر متصل کرد.
چرا به توکن های دولتی خصوصی نیاز داریم؟
وب به راههایی برای ایجاد و انتقال سیگنالهای اعتماد نیاز دارد که نشان دهد کاربر همان چیزی است که میگوید، و نه رباتی که تظاهر به یک انسان یا شخص ثالث مخربی کند که از یک شخص یا سرویس واقعی کلاهبرداری میکند. حفاظت از تقلب به ویژه برای تبلیغکنندگان، ارائهدهندگان تبلیغات و CDNها مهم است.
متأسفانه، بسیاری از مکانیسمهای موجود برای سنجش و انتشار قابلیت اعتماد - برای اینکه مشخص شود تعامل با یک سایت از طرف یک انسان واقعی است یا نه - از تکنیکهایی استفاده میکنند که میتوانند برای انگشت نگاری نیز استفاده شوند. مکانیسمهای انتقال اعتماد باید حریم خصوصی را حفظ کنند و این امکان را فراهم میکنند که اعتماد در سایتها بدون ردیابی فردی تک تک کاربران منتشر شود.
با استفاده از Private State Token API، یک وبسایت میتواند توکنهای رمزنگاری را برای کاربر مورد اعتماد خود صادر کند که بعداً میتواند در جاهای دیگر استفاده شود. توکنها بهطور امن توسط مرورگر کاربر ذخیره میشوند و سپس میتوانند در زمینههای دیگر برای تأیید صحت کاربر استفاده شوند. این اجازه می دهد تا اعتماد یک کاربر در یک وب سایت (مانند یک سایت رسانه اجتماعی یا سرویس ایمیل) به وب سایت دیگری (مانند یک ناشر یا فروشگاه آنلاین) بدون شناسایی کاربر یا پیوند دادن هویت بین سایت ها منتقل شود.
توکن های دولتی خصوصی چگونه کار می کنند؟
در این مثال، یک وبسایت ناشر میخواهد قبل از نمایش آگهی بررسی کند که آیا کاربر یک انسان واقعی است یا نه یک ربات.
- کاربر از یک وبسایت (معروف به صادرکننده ) بازدید میکند و اقداماتی را انجام میدهد که باعث میشود سایت به این باور برسد که کاربر یک انسان واقعی است، مانند خرید، استفاده از حساب ایمیل یا تکمیل موفقیتآمیز reCAPTCHA.
- سایت صادرکننده از Private State Token JavaScript API برای راه اندازی درخواست توکن های اعتماد برای مرورگر کاربر استفاده می کند.
- سایت صادرکننده با داده های توکن پاسخ می دهد.
- مرورگر کاربر به طور ایمن داده ها را برای نماد اعتماد ذخیره می کند.
- کاربر از وب سایت دیگری (مانند یک ناشر خبر) بازدید می کند که می خواهد بررسی کند آیا کاربر یک انسان واقعی است یا خیر: به عنوان مثال، هنگام نمایش تبلیغات.
- این سایت از Private State Token API استفاده می کند تا بررسی کند که آیا مرورگر کاربر دارای نشانه های اعتماد ذخیره شده برای صادرکنندگان مورد اعتماد سایت است یا خیر.
- نشانههای دولتی خصوصی برای صادرکنندهای که کاربر قبلاً از آن بازدید کرده است، یافت میشود.
- سایت ناشر از صادرکننده درخواست میکند تا توکنهای اعتماد را بازخرید کند.
- سایت صادرکننده با یک رکورد بازخرید پاسخ می دهد.
- سایت ناشر از یک پلتفرم تبلیغاتی، از جمله رکورد رستگاری، درخواست می کند تا نشان دهد کاربر به عنوان یک انسان واقعی مورد اعتماد صادرکننده است.
- پلت فرم تبلیغات داده های مورد نیاز برای نمایش یک تبلیغ را فراهم می کند.
- سایت ناشر آگهی را نمایش می دهد.
- یک بازدید از آگهی به حساب می آید.
آیا ابزار برای توکن های دولتی خصوصی موجود است؟
Chrome DevTools بازرسی را از برگههای شبکه و برنامه فعال میکند. درباره این ادغام DevTools و در مورد توکن های دولتی خصوصی بیشتر بخوانید.
چگونه وب سایت ها توکن های چند صادرکننده قابل اعتماد را مدیریت می کنند؟
این سایت میتواند مرورگر کاربر را برای توکنهای معتبر با document.hasTrustToken()
برای یک صادرکننده در یک زمان بررسی کند. اگر این مقدار true
باشد و یک توکن در دسترس باشد، سایت میتواند توکن را بازخرید کند و دیگر به دنبال توکنها نباشد.
وب سایت باید تصمیم بگیرد که کدام صادرکنندگان توکن را بررسی کند و به چه ترتیبی.
موارد استفاده کنید
توکنهای دولتی خصوصی (PST) طیف وسیعی از موارد استفاده ضد کلاهبرداری را پشتیبانی میکنند. در هسته خود، PST می تواند به عنوان یک سیگنال اعتماد اضافی عمل کند، زیرا API قادر است قطعاتی از اطلاعات را رمزگذاری کند که می تواند به انتقال اعتماد از یک زمینه به زمینه دیگر کمک کند. وقتی کوکیهای شخص ثالث از بین میروند، میدانیم که بسیار مهم است که مطمئن شویم موارد استفاده مانند موارد زیر همچنان میتوانند در صورت نیاز عمل کنند. همه موارد استفاده از PST نیازمند همکاری صادرکنندگان و بازخریدکنندگان هستند. اگر موارد استفاده مشابه هر یک از موارد زیر دارید، ممکن است بخواهید PST را در نظر بگیرید:
- خدمات ضد کلاهبرداری : جلوگیری از کلاهبرداری یک مورد استفاده قانونی است که وب باید از آن پشتیبانی کند، اما نباید به یک شناسه پایدار، جهانی و برای هر کاربر نیاز داشته باشد. در زمینههای شخص ثالث، PST میتواند برای تقسیمبندی کاربران به مجموعههای قابل اعتماد و نامعتبر استفاده شود.
- تجزیه و تحلیل کلاهبرداری تبلیغات : PST می تواند برای تجزیه و تحلیل کلیک های تقلبی، نمایش ها و طرح های ربات در خدمات فناوری تبلیغات مفید باشد.
- تشخیص ربات : پس از اینکه تجزیه و تحلیل خود را در مورد ربات بودن یا نبودن یک مرورگر انجام دادید، PST می تواند به رمزگذاری آن اطلاعات کمک کند تا از یک زمینه به زمینه دیگر به اشتراک گذاشته شود.
- پرداختهای امن : برای شناسایی تهدیدهایی که شناسایی آنها در یک زمینه شخص ثالث با اطلاعات محدود (مانند کارتینگ ) دشوارتر است، از PST میتوان به عنوان یک سیگنال اضافی برای انتقال اعتماد استفاده کرد.
- خدمات ضد سوء استفاده در تجارت الکترونیک : شناسایی رباتها در تعاملات تجارت الکترونیک (کلیکها، پرداخت، خرید، رتبهبندی محصول، رباتهای چت، بازگرداندن) برای جلوگیری از خراشیدن صفحه و تعاملات غیر انسانی بسیار مهم است. این می تواند یک سیگنال اضافی مهم برای شناسایی عوامل خودکار برای ارائه دهندگان ضد کلاهبرداری شخص ثالث در پلتفرم های تجارت الکترونیک باشد.
- خدمات CDN : PST مکانیزمی را برای کمک به گزارش و شناسایی ترافیک تقلبی ارائه می دهد.
این فهرست موارد استفاده فهرست جامعی از همه قابلیتهای ضد کلاهبرداری نیست که ممکن است از توکنهای دولتی خصوصی بهرهمند شوند. این فهرست همچنین متقابلاً منحصر به فرد نیست، PST ممکن است از چندین گردش کار ضد تقلب بهره مند شود.
سفرهای کاربر
صدور و بازخرید اجزای کلیدی توکن های دولتی خصوصی هستند. در حالی که موارد استفاده قبلی حوزههای کلیدی هستند که PSTها در آنها پشتیبانی میشوند، میتوانید در مورد لحظات زیر در سفرهای کاربر خاص بهعنوان نمونههایی فکر کنید که واقعاً میخواهید توکنها را صادر یا بازخرید کنید:
- صدور توکن در جریان مدیریت حساب (ورود به سیستم، ثبت نام، تنظیم مجدد رمز عبور و غیره)
- صدور توکن ها پس از تایید احراز هویت چند عاملی (MFA)
- پس از اقدامات پرخطر مانند حذف سابقه پرداخت، توکن ها را صادر کنید
- قبل از اقدامات با ریسک متوسط، توکن ها را برای تأیید بین سایتی بازخرید کنید
- قبل از اقدامات پرخطر، توکنها را برای تأیید بین سایتی بازخرید کنید
مطابقت با قوانین حفظ حریم خصوصی الکترونیکی
صدور رمزهای دولتی خصوصی شامل ذخیره سازی اطلاعات روی تجهیزات پایانه کاربر است و بنابراین فعالیتی است که مشمول قوانین حفظ حریم خصوصی الکترونیکی در منطقه اقتصادی اروپا (EEA) و بریتانیا است که معمولاً به رضایت کاربر نیاز دارد. به عنوان یک صادرکننده، این مسئولیت شماست که تعیین کنید آیا استفاده شما از API Tokens State برای ارائه یک سرویس آنلاین که صراحتاً توسط کاربر درخواست میشود، ضروری است یا خیر، و بنابراین از شرط رضایت معاف است. برای اطلاعات بیشتر، ما شما را تشویق میکنیم تا پرسشهای متداول مربوط به رعایت حریمخصوصی مربوط به جعبه ایمنی حریم خصوصی را بخوانید.
مشارکت کنید و بازخورد را به اشتراک بگذارید
- نسخه آزمایشی : اکنون بسته شده است.
- نسخه ی نمایشی : نسخه آزمایشی اصلی Trust Tokens بسته شده است، اما همچنان می توانید نسخه آزمایشی را بررسی کنید.
- GitHub : پیشنهاد را بخوانید، سوالاتی را مطرح کنید و بحث را دنبال کنید .
- W3C : موارد استفاده از صنعت را در گروه تجاری بهبود وب تبلیغاتی مورد بحث قرار دهید.
- IETF : ورودی فنی پروتکل زیربنایی را در گروه کاری IETF Privacy Pass ارائه دهید.
- پشتیبانی برنامهنویس : سؤال بپرسید و به بحثهای مربوط به مخزن پشتیبانی توسعهدهنده Privacy Sandbox بپیوندید.
- سوالات آزمایشی اصلی : یک اشکال Chromium را ارسال کنید یا به فرم بازخوردی که به عنوان یک شرکت کننده آزمایشی اصلی برای شما ارسال شده است پاسخ دهید.