Token di stato privati

Stato dell'implementazione

Che cosa sono i token di stato privati?

   

I token di stato privato consentono di trasmettere l'affidabilità dell'autenticità di un utente da un contesto all'altro, per aiutare i siti a contrastare le attività fraudolente e a distinguere i bot dalle persone reali, senza monitoraggio passivo.

  • Il sito web di un emittente può emettere token per il browser web di un utente che dimostra di essere attendibile, ad esempio tramite l'utilizzo continuativo dell'account, completando una transazione o ottenendo un punteggio reCAPTCHA accettabile.
  • Un sito web di riscatto può confermare che un utente non è falso controllando se ha token di un emittente di cui si fida e poi riscattando i token in base alle necessità.

I token stato privato sono criptati, pertanto non è possibile identificare un individuo o collegare istanze attendibili e non attendibili per scoprire l'identità dell'utente.

Perché abbiamo bisogno di token di stato privati?

Il web ha bisogno di modi per stabilire e trasmettere indicatori di attendibilità che dimostrino che un utente è chi dice di essere e non un bot che finge di essere una persona o una terza parte malintenzionata che truffa una persona o un servizio reale. La protezione antifrode è particolarmente importante per inserzionisti, fornitori di servizi pubblicitari e CDN.

Purtroppo, molti dei meccanismi esistenti per misurare e propagare l'affidabilità, ad esempio per capire se un'interazione con un sito proviene da una persona reale, sfruttano tecniche che possono essere utilizzate anche per il fingerprinting. I meccanismi per trasmettere fiducia devono tutelare la privacy, consentendo di propagarla tra i siti senza il monitoraggio dei singoli utenti.

Con l'API Private State Token, un sito web può emettere token crittografici per un utente attendibile, che possono essere utilizzati in seguito altrove. I token vengono archiviati in modo sicuro dal browser dell'utente e possono essere utilizzati in altri contesti per confermare l'autenticità dell'utente. In questo modo, la fiducia di un utente su un sito web (ad esempio un sito di social media o un servizio email) può essere trasmessa a un altro sito web (ad esempio un editore o un negozio online) senza identificare l'utente o collegare le identità tra i siti.

Come funzionano i token di stato privato?

In questo esempio, il sito web di un publisher vuole verificare se un utente è una persona reale e non un bot prima di mostrare un annuncio.

  1. Un utente visita un sito web (chiamato emittente) ed esegue azioni che inducono il sito a ritenere che l'utente sia una persona reale, ad esempio effettua acquisti, utilizza un account email o completa reCAPTCHA.
  2. Il sito dell'emittente utilizza l'API JavaScript Private State Token per attivare una richiesta di token di attendibilità per il browser dell'utente.
  3. Il sito dell'emittente risponde con i dati del token.
  4. Il browser dell'utente memorizza in modo sicuro i dati per il token di attendibilità.
  5. L'utente visita un altro sito web (ad esempio un editore di notizie) che vuole verificare se l'utente è una persona reale: ad esempio, quando vengono visualizzati gli annunci.
  6. Il sito utilizza l'API Private State Token per verificare se nel browser dell'utente sono memorizzati token attendibili per gli emittenti considerati attendibili dal sito.
  7. I token di stato privati vengono trovati per l'emittente visitato in precedenza dall'utente.
  8. Il sito dell'editore invia una richiesta all'emittente per utilizzare i token di attendibilità.
  9. Il sito dell'emittente risponde con un record di utilizzo.
  10. Il sito del publisher invia una richiesta a una piattaforma pubblicitaria, incluso il record di utilizzo, per dimostrare che l'utente è considerato attendibile dall'emittente come persona fisica.
  11. La piattaforma pubblicitaria fornisce i dati necessari per la visualizzazione di un annuncio.
  12. L'annuncio viene visualizzato sul sito del publisher.
  13. Viene conteggiata un'impressione della visualizzazione dell'annuncio.

Sono disponibili strumenti per i token di stato privati?

Chrome DevTools attiva l'ispezione dalle schede Rete e Applicazione. Scopri di più su questa integrazione di DevTools e sui token stato privato.

In che modo i siti web gestiscono i token di più emittenti attendibili?

Il sito può controllare nel browser di un utente la presenza di token validi condocument.hasTrustToken() per un emittente alla volta. Se viene restituito true e c'è un token disponibile, il sito può utilizzarlo e smettere di cercare altri token.

Il sito web deve decidere quali emittenti di token controllare e in quale ordine.

Casi d'uso

I token di stato privati (PST) supportano una serie di casi d'uso antifrode. In sostanza, la PST può fungere da indicatore di attendibilità aggiuntivo perché l'API è in grado di codificare informazioni che possono contribuire a trasmettere fiducia da un contesto all'altro. Con la scomparsa dei cookie di terze parti, è fondamentale assicurarci che casi d'uso come i seguenti possano continuare a funzionare come necessario. Tutti i casi d'uso del PST richiedono la collaborazione sia di chi emette che di chi utilizza i coupon. Ti consigliamo di prendere in considerazione la PST se hai casi d'uso simili a uno dei seguenti:

  • Servizi antifrode: la prevenzione delle frodi è un caso d'uso legittimo che il web dovrebbe supportare, ma non dovrebbe richiedere un identificatore per utente stabile e globale. Nei contesti di terze parti, i token PST possono essere utilizzati per segmentare gli utenti in insiemi attendibili e non attendibili.
  • Analisi della frode pubblicitaria: i dati PST possono essere utili per analizzare clic, impressioni e schemi di bot fraudolenti nei servizi di ad tech.
  • Rilevamento di bot: dopo aver eseguito l'analisi per stabilire se un browser è un bot o meno, PST può aiutarti a codificare le informazioni da condividere da un contesto all'altro.
  • Pagamenti sicuri: per rilevare minacce più difficili da identificare in un contesto di terze parti con informazioni limitate (come il carding), i dati PST possono essere utilizzati come un indicatore aggiuntivo per trasmettere fiducia.
  • Servizi anti-abuso nell'e-commerce: il rilevamento dei bot nelle interazioni di e-commerce (clic, pagamento, acquisto, valutazioni dei prodotti, bot di chat, resi) è molto importante per evitare lo scraping delle pagine e le interazioni non umane. Questo può essere un indicatore aggiuntivo importante per rilevare gli agenti automatici per i fornitori di servizi antifrode di terze parti nelle piattaforme di e-commerce.
  • Servizi CDN: i PST forniscono un meccanismo per facilitare la segnalazione e il rilevamento del traffico fraudolento.

Questo elenco di casi d'uso non è esaustivo di tutte le funzionalità antifrode che possono trarre vantaggio dai token di stato privati. Inoltre, l'elenco non è mutuamente esclusivo, il PST può essere utile per più flussi di lavoro antifrode.

Percorsi dell'utente

L'emissione e il rimborso sono i componenti chiave dei token di stato privati. Anche se i casi d'uso precedenti sono le aree chiave in cui i token di sicurezza proprietari sarebbero supportati, puoi considerare i seguenti momenti in determinati percorsi utente come le istanze in cui vuoi effettivamente emettere o utilizzare i token:

  • Emettere token durante i flussi di gestione dell'account (accesso, registrazione, reimpostazione della password e così via)
  • Emettere token dopo aver confermato un'autenticazione a più fattori (MFA)
  • Emettere token dopo azioni ad alto rischio, come l'eliminazione della cronologia dei pagamenti
  • Utilizzare i token per la conferma tra siti prima di azioni con rischio moderato
  • Utilizzare i token per la conferma tra siti prima di azioni ad alto rischio

Conformità alle leggi ePrivacy

L'emissione di token stato privato comporta la memorizzazione di informazioni sull'apparecchiatura terminale di un utente ed è quindi un'attività soggetta alle leggi sulla privacy elettronica nello Spazio economico europeo (SEE) e nel Regno Unito, che in genere richiedono il consenso dell'utente. In qualità di emittente, è tua responsabilità determinare se l'utilizzo dell'API Private State Tokens è strettamente necessario per fornire un servizio online esplicitamente richiesto dall'utente ed è quindi esente dal requisito del consenso. Per ulteriori informazioni, ti invitiamo a leggere le nostre Domande frequenti sulla conformità relative alla privacy di Privacy Sandbox.

Coinvolgere e condividere feedback

Scopri di più