導入狀態
- Chrome 平台狀態。
- 來源試用 Chrome 84 到 101:已關閉。
- 示範。
- Chrome 開發人員工具整合。
什麼是私密狀態權杖?
Private State Tokens 可讓使用者真實性的信任資訊從一個情境傳遞到另一個情境,協助網站防範詐欺,並區分機器人和真人,而無須進行被動追蹤。
- 核發機構網站可以向使用者發出權杖,只要使用者證明自己值得信賴,例如持續使用帳戶、完成交易,或取得可接受的 reCAPTCHA 分數,即可獲得權杖。
- 兌換者網站可以檢查使用者是否擁有兌換者信任的發布者所發出的符記,並視需要兌換符記,確認使用者並非假帳戶。
Private State Tokens 經過加密處理,無法識別個人資訊,也無法透過連結受信任和不受信任的執行個體來辨識使用者身分。
為什麼需要私密狀態權杖?
網路需要建立和傳達信任信號的方式,讓使用者能夠證明自己是真人,而不是假冒成人的機器人,或是惡意第三方詐騙真人或服務。詐欺防護對廣告客戶、廣告供應商和CDN 來說特別重要。
不幸的是,許多現有的評估和傳播可信度機制 (例如判斷與網站互動的使用者是否為真人) 都會利用可用於指紋辨識的技術。傳達信任的機制必須保護隱私權,讓信任資訊能在各網站間傳播,而無須追蹤個別使用者。
透過私密狀態權杖 API,網站可以向信任的使用者核發加密權杖,後者日後可用於其他地方。這些權杖會由使用者的瀏覽器安全儲存,然後可在其他情境中兌換,以確認使用者的真實性。這樣一來,您就能將使用者在某個網站 (例如社群媒體網站或電子郵件服務) 的信任資訊傳送至其他網站 (例如發布商或線上商店),而無須識別使用者或在各網站之間連結身分。
Private State Token 的運作方式
在這個範例中,發布商網站會在顯示廣告前,先檢查使用者是否為真人,而非機器人。
- 使用者造訪網站 (稱為「發出者」),並執行讓網站相信使用者是真人的動作,例如購物、使用電子郵件帳戶或成功完成 reCAPTCHA。
- 發出者網站會使用 Private State Token JavaScript API,觸發使用者瀏覽器的 Trust Token 要求。
- 發卡機構網站會傳回權杖資料。
- 使用者的瀏覽器會妥善儲存信任權杖的資料。
- 使用者造訪其他網站 (例如新聞發布者),該網站想要驗證使用者是否為真人:例如在顯示廣告時。
- 網站會使用 Private State Token API,檢查使用者的瀏覽器是否已為網站信任的發出者儲存信任權杖。
- 系統會為使用者先前造訪的發證機構找到私密狀態權杖。
- 發布商網站向發布者要求兌換信任權杖。
- 發卡機構網站會傳回兌換記錄。
- 發布商網站向廣告平台提出要求,其中包含兌換記錄,用於顯示核發者信任使用者是真人。
- 廣告平台會提供顯示廣告所需的資料。
- 發布商網站顯示廣告。
- 系統就會計入一次廣告觀看曝光。
是否有可用於私密狀態權杖的工具?
Chrome 開發人員工具會透過「網路」和「應用程式」分頁開啟檢查功能。進一步瞭解這項開發人員工具整合和 Private State Tokens。
網站如何處理來自多個信任發出者符記?
網站可以檢查使用者的瀏覽器,一次檢查單一發出者提供的有效權杖。document.hasTrustToken()如果這項作業傳回 true,且有可用的符記,網站就能兌換符記,並停止尋找其他符記。
網站必須決定要檢查哪些符記發出者,以及檢查順序。
用途
私密狀態權杖 (PST) 可支援多種防詐用途。從本質上來說,PST 可做為額外的信任信號,因為 API 能夠對資訊進行編碼,協助從一個情境傳達信任。隨著第三方 Cookie 的淘汰,我們瞭解確保下列使用情境仍能視需要運作至關重要。所有 PST 用途都需要發卡機構和兌換者合作。如果您有下列任何類似的用途,建議您考慮使用 PST:
- 防詐服務:防詐是網路應支援的合法用途,但不應要求使用者具備穩定的全球 ID。在第三方情境中,PST 可用於將使用者區隔為可信任和不可信任的組合。
- 分析廣告詐欺:PST 可用於分析廣告技術服務中的詐欺點擊、曝光和機器人程式。
- 機器人偵測:在您分析瀏覽器是否為機器人後,PST 可協助將這項資訊編碼,以便在不同情境中共用。
- 安全付款:為了在資訊有限的第三方環境中偵測較難識別的威脅 (例如信用卡盜刷),PST 可做為傳達信任的額外信號。
- 電子商務反濫用服務:在電子商務互動 (點擊、結帳、購買、產品評分、聊天機器人、退貨) 中偵測機器人非常重要,可避免網頁擷取和非人為互動。這項資訊可做為額外信號,協助第三方防詐欺服務供應商在電子商務平台中偵測自動化代理程式。
- CDN 服務:PST 提供機制,協助您回報及偵測詐欺流量。
這份用途清單並未詳列所有可能受益於私密狀態權杖的防詐功能。這份清單也不是互斥的,PST 可能會對多個防詐工作流程有所助益。
使用者歷程
發行和兌換是私密狀態權杖的關鍵元件。雖然前述用途是 PST 支援的主要領域,但您也可以將特定使用者歷程中的下列時機,視為實際想發出或兌換符記的情況:
- 在帳戶管理流程中 (登入、註冊、重設密碼等) 發出權杖
- 在確認多重驗證 (MFA) 後核發權杖
- 在刪除付款記錄等高風險動作後,發出權杖
- 在執行中度風險動作前,兌換跨網站確認金鑰
- 在執行高風險操作前,先兌換跨網站確認的權杖
遵守電子隱私權法
發出私密狀態權杖涉及在使用者的終端設備上儲存資訊,因此屬於歐洲經濟區 (EEA) 和英國的電子隱私權法規範範圍,通常需要使用者同意。身為發布者,您有責任判斷使用 Private State Tokens API 是否「絕對必要」提供使用者明確要求的線上服務,因此不必取得同意聲明。如需更多資訊,建議您參閱 Privacy Sandbox 的隱私權相關法規遵循常見問題。
互動並分享意見回饋
- Origin 試用:已關閉。
- 示範:Trust Tokens 來源試用已結束,但您仍可查看示範。
- GitHub:閱讀提案、提出問題並追蹤討論內容。
- W3C:在改善網路廣告業務小組中討論產業用途。
- IETF:為 IETF Privacy Pass 工作小組的基礎通訊協定提供技術意見。
- 開發人員支援:在 Privacy Sandbox 開發人員支援存放區中提問及參與討論。
- 來源試用問題:回報 Chromium 錯誤,或是回覆來源試用計畫參與者傳送給您的意見回饋表單。