Tokeny prywatności

Stan implementacji

Czym są tokeny prywatności?

   

Tokeny prywatności umożliwiają przekazywanie zaufania w autentyczności użytkownika z jednego kontekstu do drugiego, co pomaga witrynom w walce z oszustwami i odróżnianiu botów od prawdziwych ludzi bez konieczności biernego śledzenia.

  • Strona wydawcy może wystawiać tokeny do przeglądarki użytkownika, który udowodni, że jest godny zaufania, np. przez dalsze korzystanie z konta, zrealizowanie transakcji lub uzyskanie akceptowalnego wyniku reCAPTCHA.
  • Strona wydawcy może potwierdzić, że użytkownik nie jest oszustem, sprawdzając, czy ma tokeny od wydawcy, któremu ufa, i wykorzystywać tokeny w razie potrzeby.

Tokeny prywatności są zaszyfrowane, więc nie można zidentyfikować osoby ani połączyć zaufanych i niezaufanych instancji w celu wykrycia tożsamości użytkownika.

Dlaczego potrzebujemy tokenów prywatności?

Sieć potrzebuje sposobów na określenie i przekazanie sygnałów zaufania, które będą wskazywać, że użytkownik jest tym, za kogo się podaje, a nie bot udający, że jest człowiekiem lub podmiotem zewnętrznym, który oszukuje prawdziwego użytkownika lub usługę. Ochrona przed oszustwami jest szczególnie ważna dla reklamodawców, dostawców reklam i sieci CDN.

Niestety wiele istniejących mechanizmów do pomiaru i rozpowszechniania wiarygodności – aby sprawdzić, czy interakcja z witryną pochodzi np. przez prawdziwego człowieka – należy wykorzystać techniki, które również mogą być wykorzystywane do pobierania odcisków cyfrowych. Mechanizmy budujące zaufanie muszą chronić prywatność, umożliwiając rozpowszechnianie zaufania w witrynach bez śledzenia poszczególnych użytkowników.

Dzięki interfejsowi Private State Token API witryna może wydawać zaufanemu użytkownikowi tokeny kryptograficzne, które można później wykorzystać w innym miejscu. Tokeny są bezpiecznie przechowywane przez przeglądarkę użytkownika i można je wykorzystać w innych kontekstach, aby potwierdzić autentyczność użytkownika. Dzięki temu zaufanie użytkownika do jednej witryny (np. witryny mediów społecznościowych lub usługi poczty e-mail) może zostać przekazane do innej witryny (np. wydawcy lub sklepu internetowego) bez konieczności identyfikowania tego użytkownika ani łączenia jego tożsamości w różnych witrynach.

Jak działają tokeny prywatności?

W tym przykładzie witryna wydawcy chce przed wyświetleniem reklamy sprawdzić, czy użytkownik jest prawdziwym człowiekiem, a nie botem.

  1. Użytkownik odwiedza witrynę (tzw. wystawcę karty) i wykonuje działania, które sprawiają, że witryna jest prawdziwym człowiekiem, np. robi zakupy, używa konta e-mail lub kończy działanie reCAPTCHA.
  2. Strona wydawcy za pomocą interfejsu Private State Token JavaScript API aktywuje żądanie tokenów zaufania dla przeglądarki użytkownika.
  3. W odpowiedzi witryna wydawcy przekazuje dane tokena.
  4. Przeglądarka użytkownika bezpiecznie przechowuje dane tokena zaufania.
  5. Użytkownik odwiedza inną witrynę (np. wydawcę wiadomości), która chce sprawdzić, czy użytkownik jest prawdziwym człowiekiem, np. podczas wyświetlania reklam.
  6. Witryna używa interfejsu Private State Token API do sprawdzania, czy przeglądarka użytkownika ma zapisane tokeny zaufania dla wystawców witryny.
  7. Znaleziono tokeny prywatności dla wydawcy, który odwiedził wcześniej.
  8. Witryna wydawcy wysyła do wydawcy prośbę o wykorzystanie tokenów zaufania.
  9. Strona wydawcy wysłała w odpowiedzi rekord wykorzystania promocji.
  10. Witryna wydawcy wysyła żądanie do platformy reklamowej, w tym do rejestru wykorzystania, aby udowodnić, że użytkownik jest zaufany przez wydawcę jako prawdziwy człowiek.
  11. Platforma reklamowa dostarcza dane wymagane do wyświetlania reklamy.
  12. Reklama wyświetli się w witrynie wydawcy.
  13. Zliczane jest wyświetlenie wyświetlenia reklamy.

Czy w przypadku tokenów prywatności dostępne są narzędzia?

Narzędzia deweloperskie w Chrome włącza inspekcję na kartach Sieć i Aplikacje. Dowiedz się więcej o tej integracji z Narzędziami deweloperskimi i o tokenach Private State.

W jaki sposób witryny obsługują tokeny od wielu zaufanych wydawców?

Witryna może sprawdzać w przeglądarce użytkownika, czy w przeglądarce użytkownika są ważne tokeny document.hasTrustToken() dla jednego wydawcy naraz. Jeśli zwróci wartość true i token będzie dostępny, witryna może go wykorzystać i przestać szukać innych tokenów.

Strona musi zdecydować, których wydawców tokenów sprawdzić i w jakiej kolejności.

Przypadki użycia

Tokeny prywatności (PST) obsługują wiele przypadków użycia związanych z zapobieganiem oszustwom. Zasadniczo usługa PST może działać jako dodatkowy sygnał zaufania, ponieważ jest w stanie kodować informacje, które pomagają przekazywać zaufanie z jednego kontekstu do drugiego. Zdajemy sobie sprawę, że po wycofaniu plików cookie innych firm kluczowe jest dopilnowanie, aby poniższe przypadki użycia nadal mogły działać zgodnie z potrzebami. Wszystkie przypadki użycia PST wymagają współpracy wydawców i wydawców. Rozważanie zastosowania PST w sytuacjach podobnych do tych:

  • Usługi zapobiegające oszustwom: zapobieganie oszustwom to uzasadniony przypadek użycia, który powinien być obsługiwany przez internet, ale nie powinien wymagać stałego, globalnego identyfikatora dla poszczególnych użytkowników. W kontekście rozwiązań zewnętrznych plik PST może być używany do podziału użytkowników na zbiory zaufanych i niezaufanych.
  • Analizowanie oszustw reklamowych: plik PST może być przydatny przy analizowaniu fałszywych kliknięć, wyświetleń i systemów botów w usługach z branży technologii reklamowych.
  • Wykrywanie botów: gdy przeprowadzisz analizę sprawdzającą, czy przeglądarka jest botem, plik PST może pomóc w zakodowaniu informacji, które są udostępniane między różnymi kontekstami.
  • Bezpieczne płatności: aby wykrywać zagrożenia, które są trudniejsze do rozpoznania w kontekście innych firm, przy użyciu ograniczonych informacji (np. kart płatniczych), PST może służyć jako dodatkowy sygnał do budowania zaufania.
  • Usługi zwalczania nadużyć w e-commerce: wykrywanie botów w interakcjach e-commerce (kliknięć, płatności, zakupów, ocen produktów, botów na czacie, zwrotów) jest bardzo ważne, aby uniknąć powielania stron i interakcji niegenerowanych przez użytkowników. Może to być ważny dodatkowy sygnał do wykrywania automatycznych klientów dla zewnętrznych dostawców zwalczających oszustwa na platformach e-commerce.
  • Usługi CDN: PST zapewniają mechanizm pomagający w zgłaszaniu i wykrywaniu fałszywego ruchu.

Ta lista przypadków użycia nie jest wyczerpująca lista wszystkich funkcji zwalczania oszustw, które mogą skorzystać z prywatnych tokenów prywatności. Listy te nie wykluczają się wzajemnie, dlatego PST może być korzystne dla wielu przepływów pracy związanych z zapobieganiem oszustwom.

Ścieżki użytkownika

Wystawienie i wykorzystanie to kluczowe elementy tokenów prywatności. Poprzednie przypadki użycia to kluczowe obszary, w których będą obsługiwane pliki PST, ale możesz rozważyć następujące momenty w niektórych doświadczeniach użytkownika jako przypadki, w których rzeczywiście chcesz wystawić lub wykorzystać tokeny:

  • Wystawiaj tokeny podczas zarządzania kontem (logowania, rejestracji, resetowania hasła itd.)
  • Wystawiaj tokeny po potwierdzeniu uwierzytelniania wielopoziomowego (MFA)
  • Wystawiaj tokeny po działaniach wysokiego ryzyka, takich jak usunięcie historii płatności
  • Wykorzystaj tokeny do potwierdzenia w innych witrynach przed podjęciem działań związanych z umiarkowanym ryzykiem
  • Wymieniaj tokeny na potwierdzenie w innej witrynie przed podjęciem działań wysokiego ryzyka

Angażuj i dziel się opiniami

Więcej informacji