Private State Tokens

Implementierungsstatus

Was sind Private State Tokens?

   

Private State Tokens ermöglichen es, das Vertrauen in die Authentizität eines Nutzers von einem Kontext zum anderen zu vermitteln. So können Websites Betrug bekämpfen und Bots von echten Menschen unterscheiden – ohne passives Tracking.

  • Eine Ausstellerwebsite kann Tokens an den Webbrowser eines Nutzers ausstellen, der seine Vertrauenswürdigkeit beweist, z. B. durch kontinuierliche Kontonutzung, durch den Abschluss einer Transaktion oder durch Erhalt eines akzeptablen reCAPTCHA-Werts.
  • Eine Einlöser-Website kann bestätigen, dass ein Nutzer nicht gefälscht ist, indem geprüft wird, ob er Tokens von einem Aussteller hat, dem der Einlöser vertraut, und Tokens nach Bedarf einlösen.

Private State Tokens sind verschlüsselt. Daher ist es nicht möglich, eine Person zu identifizieren oder vertrauenswürdige und vertrauenswürdige Instanzen zu verbinden, um die Nutzeridentität zu ermitteln.

Warum benötigen wir Private State Tokens?

Das Web braucht Möglichkeiten, Vertrauenssignale zu schaffen und zu vermitteln, die zeigen, dass ein Nutzer tatsächlich die ist, die er vorgibt zu sein, und keinen Bot, der vorgibt, ein Mensch oder ein böswilliger Drittanbieter zu sein, der eine echte Person oder einen Dienst betrügt. Betrugsschutz ist besonders wichtig für Werbetreibende, Anzeigenanbieter und CDNs.

Leider werden in vielen vorhandenen Mechanismen zur Messung und Verbreitung von Vertrauenswürdigkeit Techniken genutzt, die auch für das Fingerprinting verwendet werden können, um beispielsweise herauszufinden, ob eine Interaktion mit einer Website von einem echten Menschen stammt. Mechanismen zur Vertrauensbildung müssen den Datenschutz wahren und es ermöglichen, das Vertrauen auf Websites ohne individuelles Nutzer-Tracking weiterzugeben.

Mit der Private State Token API kann eine Website kryptografische Tokens an vertrauenswürdige Nutzer ausstellen, die später an anderer Stelle verwendet werden können. Die Tokens werden sicher vom Browser des Nutzers gespeichert und können dann in anderen Kontexten eingelöst werden, um die Authentizität des Nutzers zu bestätigen. So kann das Vertrauen eines Nutzers auf einer Website (z. B. einer Social-Media-Website oder einem E-Mail-Dienst) auf eine andere Website (z. B. ein Publisher oder ein Onlineshop) übertragen werden, ohne dass der Nutzer identifiziert oder websiteübergreifend verknüpft werden muss.

Wie funktionieren Private State Tokens?

In diesem Beispiel möchte eine Publisher-Website überprüfen, ob ein Nutzer ein echter Mensch und kein Bot ist, bevor eine Anzeige präsentiert wird.

  1. Ein Nutzer besucht eine Website (auch als Aussteller bezeichnet) und führt Aktionen aus, die den Eindruck erwecken, dass der Nutzer ein echter Mensch ist, z. B. er kauft etwas, verwendet ein E-Mail-Konto oder füllt reCAPTCHA erfolgreich aus.
  2. Die Ausstellerwebsite verwendet die Private State Token JavaScript API, um eine Anfrage für Trust Tokens für den Browser des Nutzers auszulösen.
  3. Die Ausstellerwebsite antwortet mit Tokendaten.
  4. Im Browser des Nutzers werden die Daten für das Trust Token auf sichere Weise gespeichert.
  5. Der Nutzer besucht eine andere Website (z. B. einen Nachrichtenverlag), die überprüfen möchte, ob es sich bei dem Nutzer um einen echten Menschen handelt, z. B. wenn Anzeigen eingeblendet werden.
  6. Die Website verwendet die Private State Token API, um zu prüfen, ob im Browser des Nutzers Trust Tokens für Aussteller gespeichert sind, denen die Website vertraut.
  7. Private State Tokens werden für den Aussteller gefunden, den der Nutzer zuvor besucht hat.
  8. Die Publisher-Website stellt beim Aussteller eine Anfrage zum Einlösen der Trust Tokens.
  9. Die Ausstellerwebsite antwortet mit einem Einlösungsnachweis.
  10. Die Publisher-Website sendet eine Anfrage an eine Werbeplattform, einschließlich des Einlösungsnachweises, um nachzuweisen, dass der Aussteller dem Nutzer vertraut und ein echter Mensch ist.
  11. Über die Werbeplattform werden die Daten bereitgestellt, die zur Auslieferung einer Anzeige erforderlich sind.
  12. Die Publisher-Website zeigt die Anzeige an.
  13. Eine Anzeigenaufruf-Impression wird gezählt.

Gibt es Tools für Private State Tokens?

Die Chrome-Entwicklertools aktivieren die Prüfung auf den Tabs „Network“ (Netzwerk) und „Application“ (Anwendung). Weitere Informationen zur Integration der Entwicklertools und zu Private State Tokens

Wie gehen Websites mit Tokens von mehreren vertrauenswürdigen Ausstellern um?

Die Website kann den Browser eines Nutzers auf gültige Tokens mit document.hasTrustToken() für jeweils einen Aussteller prüfen. Wenn true zurückgegeben wird und ein Token verfügbar ist, kann die Website das Token einlösen und nicht mehr nach anderen Tokens suchen.

Die Website muss entscheiden, welche Tokenaussteller in welcher Reihenfolge überprüft werden sollen.

Anwendungsfälle

Private State Tokens (PST) unterstützen eine Reihe von Anwendungsfällen zum Schutz vor Betrug. Im Kern kann PST als zusätzliches Vertrauenssignal dienen, da die API Informationen codieren kann, mit denen sich die Vertrauensstellung von einem Kontext zum anderen vermitteln lässt. Da Drittanbieter-Cookies bald eingestellt werden, müssen Anwendungsfälle wie die folgenden unbedingt sichergestellt werden, damit sie weiterhin wie erforderlich funktionieren. In allen PST-Anwendungsfällen müssen sowohl Aussteller als auch Einlösungsberechtigte zusammenarbeiten. Sie sollten die PST in Betracht ziehen, wenn Sie Anwendungsfälle wie einen der folgenden haben:

  • Dienste zum Schutz vor Betrug: Die Betrugsprävention ist ein legitimer Anwendungsfall, den das Web unterstützen sollte, aber es sollte keine stabile, globale Kennung pro Nutzer erfordern. In Drittanbieterkontexten kann PST verwendet werden, um Nutzer in vertrauenswürdige und nicht vertrauenswürdige Gruppen zu segmentieren.
  • Analyse des Werbebetrugs: Die PST-Datei kann für die Analyse betrügerischer Klicks, Impressionen und Bot-Schemata in AdTech-Diensten nützlich sein.
  • Bot-Erkennung: Nachdem Sie analysiert haben, ob ein Browser ein Bot ist oder nicht, können Sie mithilfe der PST-Datei diese Informationen codieren, damit sie von einem Kontext an einen anderen weitergegeben werden.
  • Sichere Zahlungen: Um Bedrohungen zu erkennen, die im Zusammenhang mit Drittanbietern mit eingeschränkten Informationen schwerer zu erkennen sind (z. B. Carding), kann PST als zusätzliches Signal verwendet werden, um Vertrauen zu schaffen.
  • Dienste zum Schutz vor Missbrauch im E-Commerce: Es ist sehr wichtig, Bots in E-Commerce-Interaktionen (Klicks, Bezahlvorgang, Käufe, Produktbewertungen, Chatbots, Rückgaben) zu erkennen, um Seiten-Scraping und maschinelle Interaktionen zu vermeiden. Dies kann ein wichtiges zusätzliches Signal sein, um automatische Agents für Drittanbieter zur Betrugsbekämpfung auf E-Commerce-Plattformen zu erkennen.
  • CDN-Dienste: PST bieten einen Mechanismus, der die Meldung und Erkennung betrügerischer Zugriffe unterstützt.

Diese Liste von Anwendungsfällen ist keine vollständige Liste aller Funktionen zur Betrugsbekämpfung, die von Private State Tokens profitieren können. Die Liste schließt sich auch nicht gegenseitig aus. PST kann mehreren Workflows zur Betrugsbekämpfung zugutekommen.

User Journeys

Die Ausstellung und Einlösung sind die Hauptkomponenten von Private State Tokens. Während die vorherigen Anwendungsfälle die Hauptbereiche sind, in denen PSTs unterstützt werden, können Sie sich die folgenden Momente in bestimmten Nutzerpfaden als Instanzen vorstellen, in denen Sie Tokens tatsächlich ausstellen oder einlösen möchten:

  • Tokens bei Kontoverwaltungsabläufen (Anmeldung, Registrierung, Passwortzurücksetzung usw.) ausgeben
  • Tokens nach der Bestätigung einer Multi-Faktor-Authentifizierung (MFA) ausstellen
  • Tokens nach risikoreichen Aktionen wie dem Löschen des Zahlungsverlaufs ausstellen
  • Tokens für websiteübergreifende Bestätigung vor Aktionen mit mittlerem Risiko einlösen
  • Tokens für websiteübergreifende Bestätigung vor Aktionen mit hohem Risiko einlösen

Reagieren und Feedback geben

Weitere Informationen