Tokens de estado particular

Status da implementação

• Status da plataforma do Chrome.
• No teste de origem, o Chrome 84 a 101: agora fechado.
• Demo.
• Integração com o Chrome DevTools.

O que são tokens de estado particular?

Os tokens de estado particular permitem que a confiança na autenticidade de um usuário seja transmitida de um contexto para outro, para ajudar os sites a combater fraudes e distinguir bots de humanos reais, sem rastreamento passivo.

• Um site emissor pode emitir tokens para o navegador da Web de um usuário que demonstre que é confiável, por exemplo, com o uso contínuo da conta, concluindo uma transação ou recebendo uma pontuação reCAPTCHA aceitável.
• Um site de resgate pode confirmar que um usuário não é falso verificando se ele tem tokens de um emissor em que o agente de resgate confia e, em seguida, resgatando os tokens conforme necessário.

Os tokens de estado particular são criptografados, então não é possível identificar um indivíduo ou conectar instâncias confiáveis e não confiáveis para descobrir a identidade do usuário.

Por que precisamos de tokens de estado particular?

A Web precisa de maneiras de estabelecer e transmitir indicadores de confiança que mostrem que um usuário é quem ele diz ser, e não um bot fingindo ser um humano ou um terceiro malicioso que está fraudando uma pessoa real ou um serviço. A proteção contra fraudes é especialmente importante para anunciantes, provedores de anúncios e CDNs.

Infelizmente, muitos mecanismos existentes para avaliar e propagar a confiabilidade, por exemplo, para descobrir se uma interação com um site é de uma pessoa real, usam técnicas que também podem ser usadas para impressão digital. Os mecanismos para transmitir confiança precisam preservar a privacidade, permitindo que a confiança seja propagada em vários sites sem o rastreamento individual do usuário.

Com a API Private State Token, um site pode emitir tokens criptográficos para um usuário de confiança, que podem ser usados em outro lugar. Os tokens são armazenados com segurança pelo navegador do usuário e podem ser resgatados em outros contextos para confirmar a autenticidade do usuário. Isso permite que a confiança de um usuário em um site (como um site de mídia social ou serviço de e-mail) seja transmitida a outro site (como um editor ou loja on-line) sem identificar o usuário ou vincular identidades entre sites.

Como os tokens de estado particular funcionam?

Neste exemplo, o site de um editor quer verificar se um usuário é uma pessoa real, e não um bot, antes de mostrar um anúncio.

1. Um usuário visita um site (conhecido como emissor) e realiza ações que levam o site a acreditar que o usuário é uma pessoa real, como fazer compras, usar uma conta de e-mail ou concluir o reCAPTCHA.
2. O site do emissor usa a API JavaScript de token de estado particular para acionar uma solicitação de tokens de confiança para o navegador do usuário.
3. O site do emissor responde com dados de token.
4. O navegador do usuário armazena dados do token de confiança com segurança.
5. O usuário visita um site diferente (como um editor de notícias) que quer verificar se o usuário é um humano real, por exemplo, ao mostrar anúncios.
6. O site usa a API Private State Token para verificar se o navegador do usuário tem tokens de confiança armazenados para emissores em que o site confia.
7. Os tokens de estado particular são encontrados para o emissor que o usuário visitou anteriormente.
8. O site do editor faz uma solicitação ao emissor para resgatar os tokens de confiança.
9. O site do emissor responde com um registro de resgate.
10. O site do editor faz uma solicitação a uma plataforma de publicidade, incluindo o registro de resgate para mostrar que o usuário é confiável e é uma pessoa real.
11. A plataforma de publicidade fornece os dados necessários para exibir um anúncio.
12. O site do editor mostra o anúncio.
13. Uma impressão de visualização de anúncio é contabilizada.

Há ferramentas disponíveis para tokens de estado particular?

O Chrome DevTools ativa a inspeção nas guias "Rede" e "Aplicativo". Leia mais sobre essa integração do DevTools e sobre Tokens de estado particular.

Como os sites lidam com tokens de vários emissores confiáveis?

O site pode verificar se há tokens válidos no navegador de um usuário com document.hasTrustToken() para um emissor por vez. Se ele retornar true e um token estiver disponível, o site poderá resgatar o token e parar de procurar outros tokens.

O site precisa decidir quais emissores de token verificar e em que ordem.

Casos de uso

Os tokens de estado particular (PST) são compatíveis com vários casos de uso de combate à fraude. Basicamente, a PST pode funcionar como um indicador de confiança adicional, porque a API pode codificar partes de informações que podem ajudar a transmitir confiança de um contexto para outro. À medida que os cookies de terceiros forem desativados, será fundamental garantir que casos de uso como o abaixo ainda funcionem conforme necessário. Todos os casos de uso de PST exigem que emissores e resgatadores trabalhem juntos. Considere usar o PST se você tiver casos de uso semelhantes a estes:

• Serviços antifraude: a prevenção de fraudes é um caso de uso legítimo que a Web precisa oferecer suporte, mas não precisa exigir um identificador estável e global por usuário. Em contextos de terceiros, o PST pode ser usado para segmentar usuários em conjuntos confiáveis e não confiáveis.
• Análise de fraude de anúncios: a PST pode ser útil para analisar cliques, impressões e esquemas de bots fraudulentos em serviços de adtech.
• Detecção de bots: depois de analisar se um navegador é um bot ou não, o PST pode ajudar a codificar essas informações para que sejam compartilhadas de um contexto para outro.
• Pagamentos seguros: para detectar ameaças mais difíceis de identificar em um contexto de terceiros com informações limitadas (como fraude de cartão), o PST pode ser usado como um indicador adicional para transmitir confiança.
• Serviços antiabuso no e-commerce: detectar bots em interações de e-commerce (cliques, finalização de compra, avaliações de produtos, bots de chat, devoluções) é muito importante para evitar o scraping de páginas e interações não humanas. Isso pode ser um indicador adicional importante para detectar agentes automatizados de provedores de terceiros de combate à fraude em plataformas de e-commerce.
• Serviços de CDN: os PSTs oferecem um mecanismo para ajudar na detecção e no envio de relatórios de tráfego fraudulento.

Esta lista de casos de uso não é uma lista completa de todos os recursos antifraude que podem se beneficiar dos tokens de estado particular. A lista também não é mutuamente exclusiva. O PST pode beneficiar vários fluxos de trabalho antifraude.

Jornadas do usuário

A emissão e o resgate são os principais componentes dos tokens de estado particular. Embora os casos de uso anteriores sejam as principais áreas com suporte para PSTs, você pode pensar nos seguintes momentos em determinadas jornadas do usuário como as instâncias em que você realmente gostaria de emitir ou resgatar tokens:

• Emitir tokens durante fluxos de gerenciamento de contas (login, inscrição, redefinição de senha etc.)
• Emitir tokens após confirmar uma autenticação multifator (MFA)
• Emissão de tokens após ações de alto risco, como a exclusão do histórico de pagamentos
• Resgatar tokens para confirmação entre sites antes de ações de risco moderado
• Resgatar tokens para confirmação entre sites antes de ações de alto risco

Conformidade com as leis de privacidade eletrônica

A emissão de tokens de estado particular envolve o armazenamento de informações no equipamento terminal de um usuário e, portanto, é uma atividade sujeita às leis de privacidade eletrônica no Espaço Econômico Europeu (EEE) e no Reino Unido, geralmente exigindo o consentimento do usuário. Como emissor, é sua responsabilidade determinar se o uso da API Private State Tokens é estritamente necessário para fornecer um serviço on-line solicitado explicitamente pelo usuário e, portanto, isento do requisito de consentimento. Para mais informações, leia as Perguntas frequentes sobre compliance relacionadas à privacidade do Sandbox de privacidade.

Engajamento e compartilhamento de feedback

• Teste de origem: encerrado.
• Demonstração: o teste de origem do Trust Tokens foi encerrado, mas você ainda pode conferir a demonstração.
• GitHub: leia a proposta, faça perguntas e acompanhe a discussão.
• W3C: fale sobre os casos de uso do setor no grupo de empresas de publicidade na Web.
• IETF: fornece informações técnicas para o protocolo subjacente no grupo de trabalho do Privacy Pass do IETF.
• Suporte para desenvolvedores: faça perguntas e participe das discussões no Repositório de suporte para desenvolvedores do Sandbox de privacidade.
• Perguntas sobre o teste de origem: registre um bug do Chromium ou responda ao formulário de feedback enviado a você como participante do teste de origem.

Saiba mais

• Explicação técnica da API Private State Tokens
• Primeiros passos com tokens de estado particular: uma visão geral para desenvolvedores da Web
• Começar a usar os testes de origem do Chrome
• Conheça o Sandbox de privacidade