توکن های دولتی خصوصی

وضعیت پیاده سازی

• وضعیت پلتفرم Chrome .
• در نسخه آزمایشی اصلی Chrome 84 تا 101: اکنون بسته شده است.
• نسخه ی نمایشی .
• ادغام Chrome DevTools .

توکن های دولتی خصوصی چیست؟

توکن‌های دولتی خصوصی اعتماد به اعتبار کاربر را قادر می‌سازد تا از یک زمینه به زمینه دیگر منتقل شود تا به سایت‌ها در مبارزه با کلاهبرداری و تمایز ربات‌ها از انسان‌های واقعی بدون ردیابی غیرفعال کمک کند.

• یک وب‌سایت صادرکننده می‌تواند نشانه‌هایی را برای مرورگر وب کاربری صادر کند که نشان می‌دهد قابل اعتماد هستند، برای مثال از طریق ادامه استفاده از حساب، با تکمیل یک تراکنش، یا با گرفتن نمره قابل قبول reCAPTCHA .
• یک وب‌سایت Redeemer می‌تواند جعلی نبودن کاربر را با بررسی اینکه آیا توکن‌هایی از صادرکننده‌ای دارد که بازخریدکننده به آن اعتماد دارد یا خیر، و سپس در صورت لزوم، توکن‌ها را بازخرید می‌کند، تأیید کند.

توکن‌های دولتی خصوصی رمزگذاری شده‌اند، بنابراین نمی‌توان یک فرد را شناسایی کرد یا نمونه‌های مورد اعتماد و غیرقابل اعتماد را برای کشف هویت کاربر متصل کرد.

چرا به توکن های دولتی خصوصی نیاز داریم؟

وب به راه‌هایی برای ایجاد و انتقال سیگنال‌های اعتماد نیاز دارد که نشان دهد کاربر همان چیزی است که می‌گوید، و نه رباتی که تظاهر به یک انسان یا شخص ثالث مخربی کند که از یک شخص یا سرویس واقعی کلاهبرداری می‌کند. حفاظت از تقلب به ویژه برای تبلیغ‌کنندگان، ارائه‌دهندگان تبلیغات و CDN‌ها مهم است.

متأسفانه، بسیاری از مکانیسم‌های موجود برای سنجش و انتشار قابلیت اعتماد - برای اینکه مشخص شود تعامل با یک سایت از طرف یک انسان واقعی است یا نه - از تکنیک‌هایی استفاده می‌کنند که می‌توانند برای انگشت نگاری نیز استفاده شوند. مکانیسم‌های انتقال اعتماد باید حریم خصوصی را حفظ کنند و این امکان را فراهم می‌کنند که اعتماد در سایت‌ها بدون ردیابی فردی تک تک کاربران منتشر شود.

با استفاده از Private State Token API، یک وب‌سایت می‌تواند توکن‌های رمزنگاری را برای کاربر مورد اعتماد خود صادر کند که بعداً می‌تواند در جاهای دیگر استفاده شود. توکن‌ها به‌طور امن توسط مرورگر کاربر ذخیره می‌شوند و سپس می‌توانند در زمینه‌های دیگر برای تأیید صحت کاربر استفاده شوند. این اجازه می دهد تا اعتماد یک کاربر در یک وب سایت (مانند یک سایت رسانه اجتماعی یا سرویس ایمیل) به وب سایت دیگری (مانند یک ناشر یا فروشگاه آنلاین) بدون شناسایی کاربر یا پیوند دادن هویت بین سایت ها منتقل شود.

توکن های دولتی خصوصی چگونه کار می کنند؟

در این مثال، یک وب‌سایت ناشر می‌خواهد قبل از نمایش آگهی بررسی کند که آیا کاربر یک انسان واقعی است یا نه یک ربات.

1. کاربر از یک وب‌سایت (معروف به صادرکننده ) بازدید می‌کند و اقداماتی را انجام می‌دهد که باعث می‌شود سایت به این باور برسد که کاربر یک انسان واقعی است، مانند خرید، استفاده از حساب ایمیل یا تکمیل موفقیت‌آمیز reCAPTCHA.
2. سایت صادرکننده از Private State Token JavaScript API برای راه اندازی درخواست توکن های اعتماد برای مرورگر کاربر استفاده می کند.
3. سایت صادرکننده با داده های توکن پاسخ می دهد.
4. مرورگر کاربر به طور ایمن داده ها را برای نماد اعتماد ذخیره می کند.
5. کاربر از وب سایت دیگری (مانند یک ناشر خبر) بازدید می کند که می خواهد بررسی کند آیا کاربر یک انسان واقعی است یا خیر: به عنوان مثال، هنگام نمایش تبلیغات.
6. این سایت از Private State Token API استفاده می کند تا بررسی کند که آیا مرورگر کاربر دارای نشانه های اعتماد ذخیره شده برای صادرکنندگان مورد اعتماد سایت است یا خیر.
7. نشانه‌های دولتی خصوصی برای صادرکننده‌ای که کاربر قبلاً از آن بازدید کرده است، یافت می‌شود.
8. سایت ناشر از صادرکننده درخواست می‌کند تا توکن‌های اعتماد را بازخرید کند.
9. سایت صادرکننده با یک رکورد بازخرید پاسخ می دهد.
10. سایت ناشر از یک پلتفرم تبلیغاتی، از جمله رکورد رستگاری، درخواست می کند تا نشان دهد کاربر به عنوان یک انسان واقعی مورد اعتماد صادرکننده است.
11. پلت فرم تبلیغات داده های مورد نیاز برای نمایش یک تبلیغ را فراهم می کند.
12. سایت ناشر آگهی را نمایش می دهد.
13. یک بازدید از آگهی به حساب می آید.

آیا ابزار برای توکن های دولتی خصوصی موجود است؟

Chrome DevTools بازرسی را از برگه‌های شبکه و برنامه فعال می‌کند. درباره این ادغام DevTools و در مورد توکن های دولتی خصوصی بیشتر بخوانید.

چگونه وب سایت ها توکن های چند صادرکننده قابل اعتماد را مدیریت می کنند؟

این سایت می‌تواند مرورگر کاربر را برای توکن‌های معتبر با document.hasTrustToken() برای یک صادرکننده در یک زمان بررسی کند. اگر این مقدار true باشد و یک توکن در دسترس باشد، سایت می‌تواند توکن را بازخرید کند و دیگر به دنبال توکن‌ها نباشد.

وب سایت باید تصمیم بگیرد که کدام صادرکنندگان توکن را بررسی کند و به چه ترتیبی.

موارد استفاده کنید

توکن‌های دولتی خصوصی (PST) طیف وسیعی از موارد استفاده ضد کلاهبرداری را پشتیبانی می‌کنند. در هسته خود، PST می تواند به عنوان یک سیگنال اعتماد اضافی عمل کند، زیرا API قادر است قطعاتی از اطلاعات را رمزگذاری کند که می تواند به انتقال اعتماد از یک زمینه به زمینه دیگر کمک کند. وقتی کوکی‌های شخص ثالث از بین می‌روند، می‌دانیم که بسیار مهم است که مطمئن شویم موارد استفاده مانند موارد زیر همچنان می‌توانند در صورت نیاز عمل کنند. همه موارد استفاده از PST نیازمند همکاری صادرکنندگان و بازخریدکنندگان هستند. اگر موارد استفاده مشابه هر یک از موارد زیر دارید، ممکن است بخواهید PST را در نظر بگیرید:

• خدمات ضد کلاهبرداری : جلوگیری از کلاهبرداری یک مورد استفاده قانونی است که وب باید از آن پشتیبانی کند، اما نباید به یک شناسه پایدار، جهانی و برای هر کاربر نیاز داشته باشد. در زمینه‌های شخص ثالث، PST می‌تواند برای تقسیم‌بندی کاربران به مجموعه‌های قابل اعتماد و نامعتبر استفاده شود.
• تجزیه و تحلیل کلاهبرداری تبلیغات : PST می تواند برای تجزیه و تحلیل کلیک های تقلبی، نمایش ها و طرح های ربات در خدمات فناوری تبلیغات مفید باشد.
• شناسایی ربات : پس از اینکه تجزیه و تحلیل خود را در مورد ربات بودن یا نبودن یک مرورگر انجام دادید، PST می تواند به رمزگذاری آن اطلاعات کمک کند تا از یک زمینه به زمینه دیگر به اشتراک گذاشته شود.
• پرداخت های ایمن : برای شناسایی تهدیدهایی که شناسایی آنها در یک زمینه شخص ثالث با اطلاعات محدود (مانند کارتینگ ) سخت تر است، از PST می توان به عنوان سیگنال اضافی برای انتقال اعتماد استفاده کرد.
• خدمات ضد سوء استفاده در تجارت الکترونیک : شناسایی ربات‌ها در تعاملات تجارت الکترونیک (کلیک‌ها، پرداخت، خرید، رتبه‌بندی محصول، ربات‌های چت، بازگشت) بسیار مهم است تا از خراشیدن صفحه و تعاملات غیر انسانی جلوگیری شود. این می تواند یک سیگنال اضافی مهم برای شناسایی عوامل خودکار برای ارائه دهندگان ضد کلاهبرداری شخص ثالث در پلتفرم های تجارت الکترونیک باشد.
• خدمات CDN : PST مکانیزمی را برای کمک به گزارش و شناسایی ترافیک تقلبی ارائه می دهد.

این فهرست موارد استفاده فهرست جامعی از همه قابلیت‌های ضد کلاهبرداری نیست که ممکن است از توکن‌های دولتی خصوصی بهره‌مند شوند. این فهرست همچنین متقابلاً منحصر به فرد نیست، PST ممکن است از چندین گردش کار ضد تقلب بهره مند شود.

سفرهای کاربر

صدور و بازخرید اجزای کلیدی توکن های دولتی خصوصی هستند. در حالی که موارد استفاده قبلی حوزه‌های کلیدی‌ای هستند که PST‌ها در آن‌ها پشتیبانی می‌شوند، می‌توانید در مورد لحظات زیر در سفرهای کاربر خاص به‌عنوان مواردی فکر کنید که واقعاً می‌خواهید توکن‌ها را صادر یا بازخرید کنید:

• صدور توکن در جریان مدیریت حساب (ورود به سیستم، ثبت نام، تنظیم مجدد رمز عبور و غیره)
• صدور توکن ها پس از تایید احراز هویت چند عاملی (MFA)
• پس از اقدامات پرخطر مانند حذف سابقه پرداخت، توکن ها را صادر کنید
• قبل از اقدامات با ریسک متوسط، توکن ها را برای تأیید بین سایتی بازخرید کنید
• قبل از اقدامات پرخطر، توکن‌ها را برای تأیید بین سایتی بازخرید کنید

مشارکت کنید و بازخورد را به اشتراک بگذارید

• نسخه آزمایشی : اکنون بسته شده است.
• نسخه ی نمایشی : نسخه آزمایشی اصلی Trust Tokens بسته شده است، اما همچنان می توانید نسخه آزمایشی را بررسی کنید.
• GitHub : پیشنهاد را بخوانید، سوالاتی را مطرح کنید و بحث را دنبال کنید .
• W3C : موارد استفاده از صنعت را در گروه تجاری بهبود وب تبلیغاتی مورد بحث قرار دهید.
• IETF : ورودی فنی پروتکل زیربنایی را در گروه کاری IETF Privacy Pass ارائه دهید.
• پشتیبانی برنامه‌نویس : سؤال بپرسید و به بحث‌های مربوط به مخزن پشتیبانی توسعه‌دهنده Privacy Sandbox بپیوندید.
• سوالات آزمایشی اصلی : یک اشکال Chromium را ارسال کنید یا به فرم بازخوردی که به عنوان یک شرکت کننده آزمایشی اصلی برای شما ارسال شده است پاسخ دهید.

اطلاعات بیشتر

• توضیح‌دهنده فنی API Token State
• شروع به کار با رمزهای دولتی خصوصی : مروری بر توسعه دهندگان وب
• شروع کار با نسخه آزمایشی اصلی Chrome
• حفاری در جعبه ایمنی حریم خصوصی