Mã thông báo trạng thái riêng tư

Trạng thái triển khai

• Trạng thái nền tảng Chrome.
• Trong giai đoạn thử nghiệm theo nguyên gốc Chrome 84 đến 101: hiện đã đóng.
• Bản minh hoạ.
• Tích hợp Chrome DevTools.

Mã thông báo trạng thái riêng tư là gì?

Mã thông báo trạng thái riêng tư giúp truyền tải niềm tin về tính xác thực của người dùng từ ngữ cảnh này sang ngữ cảnh khác, để giúp các trang web chống lại hành vi gian lận và phân biệt bot với người dùng thực sự mà không cần theo dõi thụ động.

• Trang web phát hành có thể phát hành mã thông báo cho trình duyệt web của người dùng cho thấy rằng họ đáng tin cậy, chẳng hạn như thông qua việc tiếp tục sử dụng tài khoản, hoàn tất giao dịch hoặc nhận được điểm reCAPTCHA chấp nhận được.
• Trang web người sử dụng mã thông báo có thể xác nhận rằng người dùng không phải là người dùng giả mạo bằng cách kiểm tra xem họ có mã thông báo của một tổ chức phát hành mà người sử dụng mã thông báo tin tưởng hay không, sau đó sử dụng mã thông báo nếu cần.

Mã thông báo trạng thái riêng tư được mã hoá, vì vậy, không thể xác định một cá nhân hoặc kết nối các thực thể đáng tin cậy và không đáng tin cậy để khám phá danh tính người dùng.

Tại sao chúng ta cần Mã thông báo trạng thái riêng tư?

Web cần có các cách để thiết lập và truyền tải các tín hiệu tin cậy cho thấy người dùng là chính họ, chứ không phải là bot giả mạo con người hoặc bên thứ ba độc hại lừa gạt một người hoặc dịch vụ thực sự. Tính năng bảo vệ chống gian lận đặc biệt quan trọng đối với nhà quảng cáo, nhà cung cấp quảng cáo và CDN.

Rất tiếc, nhiều cơ chế hiện có để đo lường và truyền bá độ tin cậy (ví dụ: để xác định xem một lượt tương tác với trang web có phải là của người thật hay không) tận dụng các kỹ thuật cũng có thể được dùng để tạo vân tay số. Cơ chế truyền tải niềm tin phải bảo vệ quyền riêng tư, cho phép niềm tin được truyền tải trên các trang web mà không cần theo dõi từng người dùng.

Với API mã thông báo trạng thái riêng tư, trang web có thể phát hành mã thông báo mã hoá cho người dùng mà trang web tin cậy. Sau đó, người dùng có thể sử dụng mã thông báo này ở nơi khác. Mã thông báo được trình duyệt của người dùng lưu trữ một cách an toàn, sau đó có thể được sử dụng trong các ngữ cảnh khác để xác nhận tính xác thực của người dùng. Điều này cho phép truyền niềm tin của người dùng trên một trang web (chẳng hạn như trang web truyền thông xã hội hoặc dịch vụ email) đến một trang web khác (chẳng hạn như nhà xuất bản hoặc cửa hàng trực tuyến) mà không cần xác định người dùng hoặc liên kết danh tính trên các trang web.

Mã thông báo trạng thái riêng tư hoạt động như thế nào?

Trong ví dụ này, trang web của nhà xuất bản muốn kiểm tra xem người dùng có phải là người thật hay không, chứ không phải là bot, trước khi hiển thị quảng cáo.

1. Người dùng truy cập vào một trang web (được gọi là phát hành) và thực hiện các hành động khiến trang web tin rằng người dùng là người thật, chẳng hạn như mua hàng, sử dụng tài khoản email hoặc hoàn tất reCAPTCHA thành công.
2. Trang web của tổ chức phát hành sử dụng API JavaScript mã thông báo trạng thái riêng tư để kích hoạt yêu cầu mã thông báo tin cậy cho trình duyệt của người dùng.
3. Trang web của tổ chức phát hành sẽ phản hồi bằng dữ liệu mã thông báo.
4. Trình duyệt của người dùng lưu trữ dữ liệu cho mã thông báo tin cậy một cách an toàn.
5. Người dùng truy cập vào một trang web khác (chẳng hạn như nhà xuất bản tin tức) muốn xác minh xem người dùng có phải là người thật hay không: ví dụ: khi hiển thị quảng cáo.
6. Trang web sử dụng API mã thông báo trạng thái riêng tư để kiểm tra xem trình duyệt của người dùng có lưu trữ mã thông báo tin cậy cho các trình phát hành mà trang web tin cậy hay không.
7. Tìm thấy mã thông báo trạng thái riêng tư cho tổ chức phát hành mà người dùng đã truy cập trước đó.
8. Trang web của nhà xuất bản gửi yêu cầu đến bên phát hành để sử dụng mã thông báo tin cậy.
9. Trang web của tổ chức phát hành sẽ phản hồi bằng Bản ghi sử dụng.
10. Trang web của nhà xuất bản đưa ra yêu cầu cho một nền tảng quảng cáo, bao gồm cả Bản ghi sử dụng để cho thấy rằng người dùng là người thật và được bên phát hành tin cậy.
11. Nền tảng quảng cáo cung cấp dữ liệu cần thiết để hiển thị quảng cáo.
12. Trang web của nhà xuất bản hiển thị quảng cáo.
13. Một lượt hiển thị quảng cáo trong chế độ xem được tính.

Có công cụ nào cho Mã thông báo trạng thái riêng tư không?

Công cụ của Chrome cho nhà phát triển sẽ bật tính năng kiểm tra từ thẻ Mạng và Ứng dụng. Hãy đọc thêm về tính năng tích hợp DevTools này và về Mã thông báo trạng thái riêng tư.

Trang web xử lý mã thông báo của nhiều tổ chức phát hành đáng tin cậy như thế nào?

Trang web có thể kiểm tra trình duyệt của người dùng để tìm mã thông báo hợp lệ bằng document.hasTrustToken() cho một đơn vị phát hành tại một thời điểm. Nếu lệnh này trả về true và có mã thông báo, thì trang web có thể sử dụng mã thông báo đó và ngừng tìm kiếm các mã thông báo khác.

Trang web phải quyết định xem cần kiểm tra nhà phát hành mã thông báo nào và theo thứ tự nào.

Trường hợp sử dụng

Mã thông báo trạng thái riêng tư (PST) hỗ trợ nhiều trường hợp sử dụng chống gian lận. Về cơ bản, PST có thể đóng vai trò là một tín hiệu tin cậy bổ sung vì API có thể mã hoá các phần thông tin có thể giúp truyền tải niềm tin từ ngữ cảnh này sang ngữ cảnh khác. Khi cookie của bên thứ ba không còn hoạt động, chúng tôi nhận thấy rằng điều quan trọng là phải đảm bảo rằng các trường hợp sử dụng như sau vẫn có thể hoạt động khi cần. Tất cả trường hợp sử dụng PST đều yêu cầu cả bên phát hành và bên sử dụng phải phối hợp với nhau. Bạn nên cân nhắc sử dụng PST nếu có các trường hợp sử dụng tương tự như sau:

• Dịch vụ chống gian lận: Việc ngăn chặn hành vi gian lận là một trường hợp sử dụng hợp pháp mà web phải hỗ trợ, nhưng không được yêu cầu giá trị nhận dạng ổn định, toàn cầu cho mỗi người dùng. Trong ngữ cảnh của bên thứ ba, PST có thể được dùng để phân đoạn người dùng thành các nhóm đáng tin cậy và không đáng tin cậy.
• Phân tích hành vi gian lận trong quảng cáo: PST có thể hữu ích trong việc phân tích các lượt nhấp, lượt hiển thị và âm mưu của bot gian lận trong các dịch vụ công nghệ quảng cáo.
• Phát hiện bot: Sau khi bạn chạy quy trình phân tích để xác định xem một trình duyệt có phải là bot hay không, PST có thể giúp mã hoá thông tin đó để chia sẻ từ ngữ cảnh này sang ngữ cảnh khác.
• Thanh toán an toàn: Để phát hiện các mối đe doạ khó xác định hơn trong bối cảnh bên thứ ba với thông tin hạn chế (chẳng hạn như lừa đảo thẻ), PST có thể được dùng làm tín hiệu bổ sung để truyền tải sự tin cậy.
• Dịch vụ chống hành vi sai trái trong thương mại điện tử: Việc phát hiện bot trong các lượt tương tác thương mại điện tử (lượt nhấp, thanh toán, mua hàng, điểm xếp hạng sản phẩm, bot trò chuyện, trả lại hàng) là rất quan trọng để tránh việc thu thập thông tin trang và các lượt tương tác không phải của con người. Đây có thể là một tín hiệu bổ sung quan trọng để phát hiện các tác nhân tự động cho các nhà cung cấp dịch vụ chống gian lận bên thứ ba trong các nền tảng thương mại điện tử.
• Dịch vụ CDN: PST cung cấp một cơ chế hỗ trợ việc báo cáo và phát hiện lưu lượng truy cập gian lận.

Danh sách các trường hợp sử dụng này chưa đầy đủ về tất cả các tính năng chống gian lận có thể hưởng lợi từ Mã thông báo trạng thái riêng tư. Danh sách này cũng không loại trừ lẫn nhau, PST có thể mang lại lợi ích cho nhiều quy trình chống gian lận.

Hành trình của người dùng

Việc phát hành và sử dụng là các thành phần chính của Mã thông báo trạng thái riêng tư. Mặc dù các trường hợp sử dụng trước đây là những lĩnh vực chính mà PST sẽ được hỗ trợ, nhưng bạn có thể nghĩ đến những khoảnh khắc sau trong một số hành trình của người dùng nhất định như những trường hợp bạn thực sự muốn phát hành hoặc sử dụng mã thông báo:

• Phát hành mã thông báo trong quy trình Quản lý tài khoản (Đăng nhập, Đăng ký, Đặt lại mật khẩu, v.v.)
• Phát hành mã thông báo sau khi xác nhận phương thức xác thực đa yếu tố (MFA)
• Phát hành mã thông báo sau các hành động có rủi ro cao, chẳng hạn như xoá nhật ký thanh toán
• Sử dụng mã thông báo để xác nhận trên nhiều trang web trước khi thực hiện các hành động có mức độ rủi ro trung bình
• Sử dụng mã thông báo để xác nhận trên nhiều trang web trước khi thực hiện các hành động có rủi ro cao

Tuân thủ luật về quyền riêng tư trên mạng

Việc phát hành Mã thông báo trạng thái riêng tư liên quan đến việc lưu trữ thông tin trên thiết bị đầu cuối của người dùng, do đó, đây là một hoạt động tuân theo luật về quyền riêng tư điện tử ở Khu vực kinh tế Châu Âu (EEA) và Vương quốc Anh, thường yêu cầu sự đồng ý của người dùng. Là bên phát hành, bạn có trách nhiệm xác định xem việc sử dụng API mã thông báo trạng thái riêng tư có cực kỳ cần thiết để cung cấp dịch vụ trực tuyến mà người dùng yêu cầu rõ ràng hay không. Do đó, bạn sẽ được miễn yêu cầu đồng ý. Để biết thêm thông tin, bạn nên đọc Các câu hỏi thường gặp về việc tuân thủ liên quan đến quyền riêng tư trong Hộp cát về quyền riêng tư.

Tương tác và chia sẻ ý kiến phản hồi

• Bản dùng thử theo nguyên gốc: Hiện đã đóng.
• Bản minh hoạ: Bản dùng thử theo nguyên gốc của Mã thông báo tin cậy đã kết thúc, nhưng bạn vẫn có thể xem bản minh hoạ.
• GitHub: Đọc đề xuất, đặt câu hỏi và theo dõi cuộc thảo luận.
• W3C: Thảo luận về các trường hợp sử dụng trong ngành trong Nhóm kinh doanh cải thiện quảng cáo trên web.
• IETF: Cung cấp thông tin đầu vào kỹ thuật cho giao thức cơ bản trong nhóm làm việc về Thẻ quyền riêng tư của IETF.
• Hỗ trợ nhà phát triển: Đặt câu hỏi và tham gia thảo luận trên kho lưu trữ Hỗ trợ nhà phát triển Hộp cát về quyền riêng tư.
• Câu hỏi về bản dùng thử theo nguyên gốc: gửi lỗi Chromium hoặc trả lời biểu mẫu phản hồi được gửi cho bạn khi bạn tham gia bản dùng thử theo nguyên gốc.

Tìm hiểu thêm

• Nội dung giải thích kỹ thuật về Private State Tokens API
• Bắt đầu sử dụng Mã thông báo trạng thái riêng tư: thông tin tổng quan dành cho nhà phát triển web
• Bắt đầu sử dụng bản dùng thử theo nguyên gốc của Chrome
• Tìm hiểu về Hộp cát về quyền riêng tư