Token Status Pribadi

Status penerapan

Apa itu Token Status Pribadi?

   

Token Status Pribadi memungkinkan kepercayaan pada keaslian pengguna disampaikan dari satu konteks ke konteks lain, untuk membantu situs memberantas penipuan dan membedakan bot dengan manusia sungguhan—tanpa pelacakan pasif.

  • Situs penerbit dapat menerbitkan token ke browser web pengguna yang menunjukkan bahwa mereka dapat dipercaya, misalnya melalui penggunaan akun yang berkelanjutan, dengan menyelesaikan transaksi, atau dengan mendapatkan skor reCAPTCHA yang dapat diterima.
  • Situs penukul dapat mengonfirmasi bahwa pengguna tidak palsu dengan memeriksa apakah mereka memiliki token dari penerbit yang dipercayai penebus, lalu menukarkan token sesuai kebutuhan.

Token Status Pribadi dienkripsi, sehingga tidak mungkin untuk mengidentifikasi individu atau menghubungkan instance tepercaya dan tidak tepercaya untuk menemukan identitas pengguna.

Mengapa kita memerlukan Token Status Pribadi?

Web memerlukan cara untuk membangun dan menyampaikan sinyal kepercayaan yang menunjukkan bahwa identitas pengguna adalah diri mereka, dan bukan bot yang berpura-pura menjadi manusia atau pihak ketiga yang berbahaya yang menipu orang atau layanan sungguhan. Perlindungan terhadap penipuan sangat penting bagi pengiklan, penyedia iklan, dan CDN.

Sayangnya, banyak mekanisme yang ada untuk mengukur dan menyebarkan kepercayaan—misalnya untuk mencari tahu apakah interaksi dengan situs berasal dari manusia sungguhan—memanfaatkan teknik yang juga dapat digunakan untuk pelacakan sidik jari. Mekanisme untuk menyampaikan kepercayaan harus menjaga privasi, sehingga memungkinkan kepercayaan disebarkan di seluruh situs tanpa pelacakan pengguna secara individu.

Dengan Private State Token API, situs dapat mengeluarkan token kriptografi kepada pengguna yang dipercaya, yang nantinya dapat digunakan di tempat lain. Token disimpan dengan aman oleh browser pengguna, dan kemudian dapat ditukarkan dalam konteks lain untuk mengonfirmasi keaslian pengguna. Hal ini memungkinkan kepercayaan pengguna di satu situs (seperti situs media sosial atau layanan email) disampaikan ke situs lain (seperti penayang atau toko online) tanpa mengidentifikasi pengguna atau menautkan identitas di seluruh situs.

Bagaimana cara kerja Token Status Pribadi?

Dalam contoh ini, situs penayang ingin memeriksa apakah pengguna adalah manusia sungguhan, dan bukan bot, sebelum menampilkan iklan.

  1. Pengguna mengunjungi situs (dikenal sebagai penerbit) dan melakukan tindakan yang membuat situs yakin bahwa pengguna tersebut adalah orang sungguhan, seperti melakukan pembelian, menggunakan akun email, atau berhasil menyelesaikan reCAPTCHA.
  2. Situs penerbit menggunakan Private State Token JavaScript API untuk memicu permintaan token kepercayaan untuk browser pengguna.
  3. Situs penerbit merespons dengan data token.
  4. Browser pengguna menyimpan data dengan aman untuk token kepercayaan.
  5. Pengguna mengunjungi situs lain (seperti penerbit berita) yang ingin memverifikasi apakah pengguna adalah manusia sungguhan: misalnya, saat menampilkan iklan.
  6. Situs menggunakan Private State Token API untuk memeriksa apakah browser pengguna memiliki token tepercaya yang disimpan untuk penerbit yang dipercaya situs.
  7. Private state token ditemukan untuk penerbit yang dikunjungi pengguna sebelumnya.
  8. Situs penerbit membuat permintaan kepada penerbit untuk menukarkan token kepercayaan.
  9. Situs penerbit merespons dengan Data Penukaran.
  10. Situs penayang membuat permintaan ke platform iklan, termasuk Data Penukaran untuk menunjukkan bahwa pengguna dipercaya oleh penerbit sebagai orang sungguhan.
  11. Platform iklan menyediakan data yang diperlukan untuk menampilkan iklan.
  12. Situs penayang menampilkan iklan.
  13. Tayangan penayangan iklan dihitung.

Apakah alat tersedia untuk Token Status Pribadi?

Chrome DevTools mengaktifkan pemeriksaan dari tab Network and Application. Baca selengkapnya tentang integrasi DevTools ini dan Token Status Pribadi.

Bagaimana cara situs menangani token dari beberapa penerbit tepercaya?

Situs dapat memeriksa browser pengguna untuk menemukan token yang valid dengan document.hasTrustToken() untuk satu penerbit pada satu waktu. Jika tindakan ini menampilkan true dan token tersedia, situs dapat menukarkan token tersebut dan berhenti mencari token lainnya.

Situs harus menentukan penerbit token mana yang akan diperiksa dan urutannya.

Kasus penggunaan

Token Status Pribadi (PST) mendukung berbagai kasus penggunaan antipenipuan. Pada intinya, PST dapat bertindak sebagai sinyal kepercayaan tambahan karena API mampu mengenkode bagian informasi yang dapat membantu menyampaikan kepercayaan dari satu konteks ke konteks lainnya. Saat cookie pihak ketiga dihapus, kami menyadari bahwa akan sangat penting untuk memastikan kasus penggunaan seperti berikut masih dapat berfungsi sesuai kebutuhan. Semua kasus penggunaan PST memerlukan penerbit dan penukaran untuk bekerja sama. Anda dapat mempertimbangkan PST jika memiliki kasus penggunaan yang mirip dengan salah satu kasus berikut ini:

  • Layanan antipenipuan: Mencegah penipuan adalah kasus penggunaan sah yang harus didukung web, tetapi tidak memerlukan ID global yang stabil untuk setiap pengguna. Dalam konteks pihak ketiga, PST dapat digunakan untuk menyegmentasikan pengguna ke dalam kumpulan yang tepercaya dan tidak tepercaya.
  • Menganalisis penipuan iklan: PST dapat berguna untuk menganalisis klik, tayangan, dan skema bot yang menipu dalam layanan teknologi iklan.
  • Deteksi bot: Setelah Anda menjalankan analisis terkait apakah browser memang bot atau bukan, PST dapat membantu mengenkode informasi tersebut agar dibagikan dari satu konteks ke konteks lain.
  • Pembayaran aman: Untuk mendeteksi ancaman yang lebih sulit diidentifikasi dalam konteks pihak ketiga dengan informasi terbatas (seperti penandaan), PST dapat digunakan sebagai sinyal tambahan untuk menyampaikan kepercayaan.
  • Layanan anti-penyalahgunaan dalam e-commerce: Mendeteksi bot dalam interaksi e-commerce (klik, checkout, pembelian, rating produk, bot chat, pengembalian) sangat penting untuk menghindari scraping halaman dan interaksi non-manusia. Hal ini dapat menjadi sinyal tambahan yang penting guna mendeteksi agen otomatis untuk penyedia antipenipuan pihak ketiga di platform e-commerce.
  • Layanan CDN: PST menyediakan mekanisme untuk membantu pelaporan dan deteksi traffic yang menipu.

Daftar kasus penggunaan ini bukanlah daftar lengkap semua kemampuan antipenipuan yang dapat memanfaatkan Token Status Pribadi. Daftar ini juga tidak saling eksklusif, PST dapat menguntungkan beberapa alur kerja antipenipuan.

Perjalanan pengguna

Penerbitan dan penukaran adalah komponen utama dari Token Status Pribadi. Meskipun kasus penggunaan sebelumnya adalah area utama tempat PST akan didukung, Anda dapat memikirkan momen berikut dalam perjalanan pengguna tertentu sebagai situasi saat Anda sebenarnya ingin menerbitkan atau menukarkan token:

  • Menerbitkan token selama Alur Pengelolaan Akun (Login, Pendaftaran, Reset Sandi, dan sebagainya)
  • Menerbitkan token setelah mengonfirmasi autentikasi multi-faktor (MFA)
  • Menerbitkan token setelah tindakan berisiko tinggi seperti menghapus histori pembayaran
  • Menukarkan token untuk konfirmasi lintas situs sebelum memoderasi tindakan risiko
  • Menukarkan token untuk konfirmasi lintas situs sebelum melakukan tindakan berisiko tinggi

Berinteraksi dan berbagi masukan

Cari tahu selengkapnya