구현 상태
- Chrome 플랫폼 상태.
- 오리진 트라이얼 중 Chrome 84~101에 대한 서비스가 종료되었습니다.
- 데모.
- Chrome DevTools 통합
비공개 상태 토큰이란 무엇인가요?
비공개 상태 토큰을 사용하면 사용자의 신뢰성에 대한 신뢰를 한 컨텍스트에서 다른 컨텍스트로 전달할 수 있으므로 사이트에서 수동 추적 없이도 사기를 방지하고 실제 사람과 봇을 구분할 수 있습니다.
- 발급기관 웹사이트는 지속적인 계정 사용, 트랜잭션 완료, 허용 가능한 reCAPTCHA 점수 획득 등을 통해 신뢰할 수 있음을 보여주는 사용자의 웹브라우저에 토큰을 발행할 수 있습니다.
- 청구자 웹사이트에서는 사용자가 신뢰하는 발급기관의 토큰이 있는지 확인한 후 필요에 따라 토큰을 사용하여 사용자가 가짜가 아님을 확인할 수 있습니다.
비공개 상태 토큰은 암호화되므로 개인을 식별하거나 신뢰할 수 있는 인스턴스와 신뢰할 수 없는 인스턴스를 연결하여 사용자 ID를 검색하는 것이 불가능합니다.
비공개 상태 토큰이 필요한 이유는 무엇인가요?
웹은 실제 사람 또는 서비스를 사칭하는 사람 또는 악의적인 서드 파티를 사칭하는 봇이 아니라 사용자가 본인임을 보여주는 신뢰 신호를 설정하고 전달할 방법이 필요합니다. 사기 방지는 광고주, 광고 제공업체, CDN에게 특히 중요합니다.
안타깝게도 신뢰도를 측정하고 전파하는 여러 기존 메커니즘(예: 사이트와의 상호작용이 실제 사람에 의해 발생했는지 확인)을 확인하려면 디지털 지문 수집에도 사용할 수 있는 기술을 활용합니다. 신뢰를 전달하는 메커니즘은 개인 정보를 보호하여 개별 사용자 추적 없이 사이트 간에 신뢰를 전파할 수 있도록 해야 합니다.
Private State Token API를 사용하면 웹사이트에서 신뢰할 수 있는 사용자에게 암호화 토큰을 발급할 수 있으며 이 토큰을 나중에 다른 곳에서 사용할 수 있습니다. 토큰은 사용자의 브라우저에 안전하게 저장된 다음 다른 컨텍스트에서 사용자의 진위성을 확인하는 데 사용될 수 있습니다. 이렇게 하면 사용자를 식별하거나 사이트 간에 ID를 연결하지 않고도 한 웹사이트 (예: 소셜 미디어 사이트 또는 이메일 서비스)의 사용자 신뢰를 다른 웹사이트 (예: 게시자 또는 온라인 상점)에 전달할 수 있습니다.
비공개 상태 토큰은 어떻게 작동하나요?
이 예에서는 게시자 웹사이트에서 광고를 게재하기 전에 사용자가 봇이 아닌 실제 사람인지 확인하려고 합니다.
- 사용자가 웹사이트 (발급기관이라고 함)를 방문하여 사이트에서 사용자가 실제 사람으로 믿게 하는 작업을 수행합니다. 예를 들어 이메일 계정을 사용하거나 reCAPTCHA를 성공적으로 완료하는 작업이 있습니다.
- 발급기관 사이트는 Private State Token JavaScript API를 사용하여 사용자 브라우저의 신뢰 토큰 요청을 트리거합니다.
- 발급기관 사이트에서 토큰 데이터로 응답합니다.
- 사용자의 브라우저가 신뢰 토큰의 데이터를 안전하게 저장합니다.
- 사용자가 뉴스 게시자 등 다른 웹사이트를 방문하여 사용자가 실제 사람인지 확인합니다 (예: 광고를 표시할 때).
- 사이트는 Private State Token API를 사용하여 사용자의 브라우저에 사이트가 신뢰하는 발급기관의 신뢰 토큰이 저장되어 있는지 확인합니다.
- 사용자가 이전에 방문한 발급기관의 비공개 상태 토큰이 있습니다.
- 게시자 사이트에서 발급기관에 신뢰 토큰 사용을 요청합니다.
- 발급기관 사이트에서 사용 레코드로 응답합니다.
- 게시자 사이트에서는 발급기관에서 사용자를 실제 사람으로 신뢰한다는 것을 표시하기 위해 사용 기록을 비롯한 광고 플랫폼에 요청합니다.
- 광고 플랫폼은 광고를 표시하는 데 필요한 데이터를 제공합니다.
- 게시자 사이트에 광고가 표시됩니다.
- 광고 조회 노출이 계산됩니다.
비공개 상태 토큰을 위한 도구를 사용할 수 있나요?
Chrome DevTools가 Network 및 Application 탭에서 검사를 사용 설정합니다. 이 DevTools 통합 및 비공개 상태 토큰에 대해 자세히 알아보세요.
웹사이트는 신뢰할 수 있는 여러 발급기관의 토큰을 어떻게 처리하나요?
사이트에서는 한 번에 하나의 발급기관에 대한 document.hasTrustToken()
를 사용하여 사용자 브라우저에서 유효한 토큰을 확인할 수 있습니다. 이 메서드가 true
를 반환하고 토큰을 사용할 수 있으면 사이트에서 토큰을 사용하고 다른 토큰을 찾지 않아도 됩니다.
웹사이트에서 확인할 토큰 발급기관과 순서를 결정해야 합니다.
사용 사례
PST (Private State Token)는 다양한 사기 방지 사용 사례를 지원합니다. API가 한 컨텍스트에서 다른 컨텍스트로 신뢰를 전달하는 데 도움이 되는 정보를 인코딩할 수 있으므로 PST는 기본적으로 추가적인 신뢰 신호 역할을 할 수 있습니다. 서드 파티 쿠키가 사라짐에 따라 Google에서는 필요에 따라 다음과 같은 사용 사례가 계속 작동할 수 있도록 하는 것이 중요하다는 것을 알고 있습니다. 모든 PST 사용 사례에서는 발급기관과 소유자가 모두 협력해야 합니다. 다음과 유사한 사용 사례가 있다면 PST를 고려하는 것이 좋습니다.
- 사기 방지 서비스: 사기 방지는 웹에서 지원해야 하는 합법적인 사용 사례이지만, 이를 위해 안정적인 전역 사용자별 식별자가 요구되지는 않습니다. 서드 파티 컨텍스트에서 PST는 사용자를 신뢰할 수 있는 집합과 신뢰할 수 없는 집합으로 분류하는 데 사용될 수 있습니다.
- 광고 사기 분석: PST는 광고 기술 서비스에서 허위 클릭, 노출 및 봇 스키마를 분석하는 데 유용할 수 있습니다.
- 봇 감지: 브라우저가 봇인지 여부에 대한 분석을 실행한 후 PST를 통해 해당 정보를 인코딩하여 한 컨텍스트에서 다른 컨텍스트로 공유할 수 있습니다.
- 안전한 결제: 제한된 정보 (예: 카딩)가 있는 서드 파티 컨텍스트에서는 식별하기 어려운 위협을 감지하기 위해 PST를 신뢰를 전달하는 추가 신호로 사용할 수 있습니다.
- 전자상거래의 악용 방지 서비스: 페이지 스크래핑 및 사람이 수행하지 않은 상호작용을 방지하려면 전자상거래 상호작용 (클릭, 결제, 구매, 제품 평가, 채팅 봇, 반품)에서 봇을 감지하는 것이 매우 중요합니다. 이는 전자상거래 플랫폼에서 서드 파티 사기 방지 제공업체의 자동화 에이전트를 감지하기 위한 중요한 추가 신호일 수 있습니다.
- CDN 서비스: PST는 허위 트래픽을 보고하고 감지하는 데 도움이 되는 메커니즘을 제공합니다.
이 사용 사례 목록에는 비공개 상태 토큰으로 혜택을 얻을 수 있는 모든 사기 방지 기능이 나와 있는 것은 아닙니다. 이 목록은 상호 배타적이지 않으므로 PST는 여러 사기 방지 워크플로에 도움이 될 수 있습니다.
사용자 여정
발급 및 사용은 비공개 상태 토큰의 핵심 구성요소입니다. 이전 사용 사례는 PST가 지원되는 주요 영역이지만 특정 사용자 여정에서 다음과 같은 순간을 실제로 토큰을 발행하거나 사용해야 하는 상황으로 생각해 볼 수 있습니다.
- 계정 관리 흐름 (로그인, 가입, 비밀번호 재설정 등) 중에 토큰 발급
- 다중 인증 (MFA) 확인 후 토큰 발급
- 결제 내역 삭제와 같은 위험성이 높은 작업 후 토큰을 발행합니다.
- 중간 위험 작업 전에 크로스 사이트 확인을 위해 토큰 사용
- 고위험 작업 전에 크로스 사이트 확인을 위해 토큰을 사용하세요
참여 및 의견 공유
- 오리진 트라이얼: 현재 종료되었습니다.
- 데모: Trust Tokens 오리진 트라이얼이 종료되었지만 데모를 계속 확인할 수 있습니다.
- GitHub: 제안을 읽고 질문을 제기하고 토론을 팔로우합니다.
- W3C: 웹 광고 개선 비즈니스 그룹에서 업계 사용 사례에 관해 토론하세요.
- IETF: IETF 개인 정보 보호 패스 작업 그룹에서 기본 프로토콜에 대한 기술 입력을 제공합니다.
- 개발자 지원: 개인 정보 보호 샌드박스 개발자 지원 저장소에서 질문하고 토론에 참여할 수 있습니다.
- 오리진 트라이얼 관련 질문: Chromium 버그를 신고하거나 오리진 트라이얼 참여자에게 전송된 의견 양식에 응답하세요.