Частные государственные токены

Статус реализации

Что такое частные государственные токены?

Токены частного состояния позволяют передавать доверие к подлинности пользователя из одного контекста в другой, помогая сайтам бороться с мошенничеством и отличать ботов от реальных людей — без пассивного отслеживания.

  • Веб-сайт эмитента может выдавать токены веб-браузеру пользователя, который показывает, что ему можно доверять, например, продолжая использовать учетную запись, выполняя транзакцию или получая приемлемый показатель reCAPTCHA .
  • Веб-сайт выкупителя может подтвердить, что пользователь не является фейковым, проверив, есть ли у него токены от эмитента, которому доверяет выкупитель, а затем выкупив токены при необходимости.

Токены частного состояния зашифрованы, поэтому невозможно идентифицировать человека или соединить доверенные и ненадежные экземпляры для определения личности пользователя.

Зачем нам нужны токены частного государства?

Сети нужны способы устанавливать и передавать сигналы доверия, которые показывают, что пользователь — это тот, кем он себя называет, а не бот, притворяющийся человеком, или злонамеренная третья сторона, обманывающая реального человека или услугу. Защита от мошенничества особенно важна для рекламодателей, поставщиков рекламы и CDN .

К сожалению, многие существующие механизмы оценки и распространения достоверности (например, для определения того, происходит ли взаимодействие с сайтом с реальным человеком) используют преимущества методов, которые также можно использовать для снятия отпечатков пальцев. Механизмы передачи доверия должны сохранять конфиденциальность, позволяя распространять доверие между сайтами без отслеживания отдельных пользователей.

С помощью Private State Token API веб-сайт может выдавать криптографические токены пользователю, которому он доверяет, который впоследствии можно будет использовать в другом месте. Токены надежно хранятся в браузере пользователя, а затем могут быть использованы в других контекстах для подтверждения подлинности пользователя. Это позволяет передать доверие пользователя на одном веб-сайте (например, сайте социальной сети или службе электронной почты) на другой веб-сайт (например, издательство или интернет-магазин) без идентификации пользователя или связывания идентификационных данных между сайтами.

Как работают токены частного государства?

В этом примере веб-сайт издателя хочет проверить, является ли пользователь настоящим человеком, а не ботом, прежде чем показывать рекламу.

  1. Пользователь посещает веб-сайт (известный как эмитент ) и выполняет действия, которые заставляют сайт поверить в то, что пользователь — настоящий человек, например, совершает покупки, использует учетную запись электронной почты или успешно заполняет reCAPTCHA.
  2. Сайт эмитента использует API JavaScript частного государственного токена, чтобы инициировать запрос токенов доверия для браузера пользователя.
  3. Сайт эмитента отвечает данными токена.
  4. Браузер пользователя безопасно хранит данные для токена доверия.
  5. Пользователь посещает другой веб-сайт (например, издатель новостей), который хочет проверить, является ли пользователь настоящим человеком: например, при показе рекламы.
  6. Сайт использует API частных государственных токенов, чтобы проверить, хранятся ли в браузере пользователя токены доверия для эмитентов, которым сайт доверяет.
  7. Токены частного состояния находятся для эмитента, который пользователь посетил ранее.
  8. Сайт издателя отправляет эмитенту запрос на выкуп токенов доверия.
  9. Сайт эмитента отвечает записью о погашении.
  10. Сайт издателя отправляет запрос к рекламной платформе, включая запись о погашении, чтобы показать, что эмитент доверяет пользователю как реальному человеку.
  11. Рекламная платформа предоставляет данные, необходимые для показа рекламы.
  12. На сайте издателя отображается объявление.
  13. Показ объявления засчитывается.

Доступны ли инструменты для токенов частного государства?

Chrome DevTools включает проверку на вкладках «Сеть» и «Приложение». Узнайте больше об интеграции DevTools и о частных государственных токенах .

Как веб-сайты обрабатывают токены от нескольких доверенных эмитентов?

Сайт может проверять браузер пользователя на наличие действительных токенов с помощью document.hasTrustToken() для одного эмитента одновременно. Если это возвращает true и токен доступен, сайт может выкупить токен и прекратить поиск других токенов.

Веб-сайт должен решить, каких эмитентов токенов проверять и в каком порядке.

Варианты использования

Токены частного государства (PST) поддерживают ряд вариантов использования для борьбы с мошенничеством. По своей сути PST может выступать в качестве дополнительного сигнала доверия, поскольку API способен кодировать фрагменты информации, которые могут помочь передать доверие из одного контекста в другой. Поскольку сторонние файлы cookie исчезнут, мы понимаем, что крайне важно убедиться, что такие варианты использования, как следующие, могут продолжать функционировать должным образом. Все варианты использования PST требуют совместной работы как эмитентов, так и покупателей. Возможно, вы захотите рассмотреть PST, если у вас есть варианты использования, аналогичные любому из следующих:

  • Услуги по борьбе с мошенничеством . Предотвращение мошенничества — это законный вариант использования, который должен поддерживать Интернет, но он не должен требовать стабильного глобального идентификатора для каждого пользователя. В сторонних контекстах PST можно использовать для разделения пользователей на доверенные и ненадежные группы.
  • Анализ мошенничества с рекламой . PST может быть полезен для анализа мошеннических кликов, показов и схем ботов в службах рекламных технологий.
  • Обнаружение ботов : после того, как вы проведете анализ того, является ли браузер ботом или нет, PST может помочь закодировать эту информацию для передачи из одного контекста в другой.
  • Безопасные платежи : для обнаружения угроз, которые труднее идентифицировать в стороннем контексте с ограниченной информацией (например, картирование ), PST можно использовать в качестве дополнительного сигнала для выражения доверия.
  • Службы по борьбе со злоупотреблениями в электронной коммерции . Обнаружение ботов во взаимодействиях электронной коммерции (клики, оформление заказа, покупка, рейтинги продуктов, чат-боты, возвраты) очень важно, чтобы избежать очистки страниц и нечеловеческих взаимодействий. Это может быть важным дополнительным сигналом для обнаружения автоматических агентов сторонних поставщиков услуг по борьбе с мошенничеством на платформах электронной коммерции.
  • Службы CDN : PST предоставляет механизм, помогающий сообщать и обнаруживать мошеннический трафик.

Этот список вариантов использования не является исчерпывающим списком всех возможностей по борьбе с мошенничеством, которые могут получить выгоду от токенов частного государства. Список также не является взаимоисключающим: PST может принести пользу нескольким рабочим процессам по борьбе с мошенничеством.

Путь пользователя

Выпуск и погашение являются ключевыми компонентами частных государственных токенов. Хотя предыдущие варианты использования являются ключевыми областями, в которых будут поддерживаться PST, вы можете подумать о следующих моментах в определенных действиях пользователя как о случаях, когда вы действительно захотите выпустить или погасить токены:

  • Выпуск токенов во время процессов управления учетной записью (вход в систему, регистрация, сброс пароля и т. д.).
  • Выпуск токенов после подтверждения многофакторной аутентификации (MFA)
  • Выпускайте токены после действий с высоким уровнем риска, таких как удаление истории платежей.
  • Используйте токены для межсайтового подтверждения перед действиями с умеренным риском.
  • Используйте токены для межсайтового подтверждения перед действиями с высоким риском.

Соблюдение законов о конфиденциальности электронной почты

Выпуск частных государственных токенов предполагает хранение информации на конечном оборудовании пользователя и, следовательно, является деятельностью, подпадающей под действие законов о конфиденциальности электронной информации в Европейской экономической зоне (ЕЭЗ) и Великобритании, обычно требующих согласия пользователя. Как эмитент вы несете ответственность за определение того, является ли использование вами API частных государственных токенов строго необходимым для предоставления онлайн-сервиса, явно запрошенного пользователем, и, следовательно, освобождения от требования согласия. Для получения дополнительной информации мы рекомендуем вам прочитать часто задаваемые вопросы о соблюдении конфиденциальности в Privacy Sandbox.

Привлекайте и делитесь отзывами

Узнать больше