Private State Tokens

Implementierungsstatus

• Status der Chrome-Plattform
• In Ursprungstest Chrome 84 bis 101: jetzt geschlossen.
• Demo
• Integration der Chrome-Entwicklertools

Was sind Private State Tokens?

Private State Tokens stärken das Vertrauen in die Authentizität eines Nutzers von einem Kontext zum nächsten, um Websites bei der Betrugsbekämpfung und der Unterscheidung von Bots von echten Menschen zu unterstützen – ohne passives Tracking.

• Eine Ausstellerwebsite kann Tokens an den Webbrowser eines Nutzers ausstellen, der sich als vertrauenswürdig erwiesen hat, z. B. durch fortgesetzte Kontonutzung, durch Abschluss einer Transaktion oder durch eine akzeptable reCAPTCHA-Bewertung.
• Auf einer Website für die Einlösung kann überprüft werden, ob ein Nutzer echt ist. Dazu wird geprüft, ob er Tokens von einem Aussteller hat, dem der Einlöser vertraut, und die Tokens werden dann bei Bedarf eingelöst.

Private State Tokens sind verschlüsselt – so lassen sich keine Rückschlüsse auf die Identität von Nutzern ziehen und es können auch keine vertrauenswürdigen und nicht vertrauenswürdigen Instanzen verknüpft werden, um die Nutzeridentität zu ermitteln.

Warum benötigen wir Private State Tokens?

Das Web benötigt Möglichkeiten, Vertrauenssignale zu senden und zu empfangen, die zeigen, dass ein Nutzer der ist, für den er sich ausgibt, und kein Bot, der sich als Mensch ausgibt, oder ein böswilliger Dritter, der eine echte Person oder einen echten Dienst betrügt. Der Betrugsschutz ist besonders wichtig für Werbetreibende, Anzeigenanbieter und CDNs.

Leider nutzen viele bestehende Mechanismen zur Beurteilung und Verbreitung von Vertrauenswürdigkeit – z. B. um herauszufinden, ob eine Interaktion mit einer Website von einer realen Person stammt – Techniken, die auch für das Fingerprinting verwendet werden können. Mechanismen zur Vermittlung von Vertrauen müssen den Datenschutz wahren, damit das Vertrauen websiteübergreifend übertragen werden kann, ohne einzelne Nutzer zu erfassen.

Mit der Private State Token API kann eine Website einem vertrauenswürdigen Nutzer kryptografische Tokens ausstellen, die später an anderer Stelle verwendet werden können. Die Tokens werden sicher im Browser des Nutzers gespeichert und können dann in anderen Kontexten eingelöst werden, um die Authentizität des Nutzers zu bestätigen. So kann das Vertrauen eines Nutzers auf einer Website (z. B. einer Website für soziale Medien oder einem E-Mail-Dienst) auf eine andere Website (z. B. eines Publishers oder eines Onlineshops) übertragen werden, ohne dass der Nutzer identifiziert oder Identitäten über Websites hinweg verknüpft werden.

Wie funktionieren Private State Tokens?

In diesem Beispiel möchte eine Publisher-Website prüfen, ob ein Nutzer ein echter Mensch und kein Bot ist, bevor eine Anzeige ausgeliefert wird.

1. Ein Nutzer besucht eine Website (Aussteller) und führt Aktionen aus, die die Website dazu bringen, zu glauben, dass der Nutzer ein echter Mensch ist, z. B. Käufe tätigt, ein E-Mail-Konto verwendet oder reCAPTCHA erfolgreich abschließt.
2. Die Ausstellerwebsite verwendet die Private State Token JavaScript API, um eine Anfrage für Trust Tokens für den Browser des Nutzers auszulösen.
3. Die Website des Ausstellers antwortet mit Tokendaten.
4. Der Browser des Nutzers speichert die Daten für das Trust-Token sicher.
5. Der Nutzer besucht eine andere Website (z. B. eines Nachrichtenanbieters), die überprüfen möchte, ob es sich bei ihm um einen echten Nutzer handelt, z. B. bei der Auslieferung von Anzeigen.
6. Die Website verwendet die Private State Token API, um zu prüfen, ob im Browser des Nutzers Trust-Tokens für Aussteller gespeichert sind, denen die Website vertraut.
7. Private State Tokens werden für den Aussteller gefunden, den der Nutzer zuvor besucht hat.
8. Die Publisher-Website sendet eine Anfrage an den Aussteller, die Trust-Tokens einzulösen.
9. Die Website des Ausstellers antwortet mit einem Gutscheincode.
10. Die Publisher-Website sendet eine Anfrage an eine Anzeigenplattform, einschließlich des Gutscheincodes, um zu bestätigen, dass der Nutzer vom Aussteller als echter Mensch eingestuft wurde.
11. Die Anzeigenplattform stellt die Daten bereit, die für die Auslieferung einer Anzeige erforderlich sind.
12. Die Anzeige wird auf der Website des Publishers ausgeliefert.
13. Eine Anzeigenimpression wird gezählt.

Gibt es Tools für Private State Tokens?

In den Chrome-Entwicklertools können Sie die Prüfung auf den Tabs „Netzwerk“ und „Anwendung“ aktivieren. Weitere Informationen zu dieser DevTools-Integration und zu Private State Tokens

Wie gehen Websites mit Tokens von mehreren vertrauenswürdigen Ausstellern um?

Die Website kann den Browser eines Nutzers mit document.hasTrustToken() auf gültige Tokens für jeweils einen Aussteller prüfen. Wenn true zurückgegeben wird und ein Token verfügbar ist, kann die Website das Token einlösen und die Suche nach anderen Tokens beenden.

Die Website muss festlegen, welche Tokenaussteller geprüft werden sollen und in welcher Reihenfolge.

Anwendungsfälle

Private State Tokens (PST) unterstützen eine Reihe von Anwendungsfällen zur Betrugsprävention. Im Grunde kann PST als zusätzliches Vertrauenssignal dienen, da die API Informationen codieren kann, die dazu beitragen, das Vertrauen von einem Kontext in einen anderen zu übertragen. Da Drittanbieter-Cookies eingestellt werden, ist es wichtig, dass Anwendungsfälle wie die folgenden weiterhin wie erforderlich funktionieren. Bei allen PST-Anwendungsfällen müssen sowohl Aussteller als auch Einlöser zusammenarbeiten. PST eignet sich für folgende Anwendungsfälle:

• Anti-Betrugsdienste: Die Betrugsprävention ist ein legitimer Anwendungsfall, den das Web unterstützen sollte. Dafür sollte jedoch keine stabile, globale Nutzerkennung erforderlich sein. In Drittanbieterkontexten kann PST verwendet werden, um Nutzer in vertrauenswürdige und nicht vertrauenswürdige Gruppen zu segmentieren.
• Anzeigenbetrug analysieren: PST kann hilfreich sein, um betrügerische Klicks, Impressionen und Bot-Systeme in Anzeigentechnologiediensten zu analysieren.
• Bot-Erkennung: Nachdem Sie analysiert haben, ob ein Browser ein Bot ist oder nicht, kann PST dabei helfen, diese Informationen zu codieren, damit sie von einem Kontext in einen anderen übertragen werden können.
• Sichere Zahlungen: Um Bedrohungen zu erkennen, die in einem Drittanbieterkontext mit begrenzten Informationen schwerer zu identifizieren sind (z. B. Carding), kann PST als zusätzliches Signal verwendet werden, um Vertrauen zu vermitteln.
• Dienste zur Missbrauchsprävention im E-Commerce: Das Erkennen von Bots bei E-Commerce-Interaktionen (Klicks, Bezahlung, Kauf, Produktbewertungen, Chatbots, Retouren) ist sehr wichtig, um das Scraping von Seiten und nicht von Menschen stammende Interaktionen zu vermeiden. Dies kann ein wichtiges zusätzliches Signal sein, um automatisierte Agenten für Drittanbieter-Anti-Betrugs-Anbieter auf E-Commerce-Plattformen zu erkennen.
• CDN-Dienste: PST bieten einen Mechanismus, der bei der Meldung und Erkennung betrügerischer Zugriffe hilft.

Diese Liste von Anwendungsfällen ist nicht vollständig und enthält nicht alle Funktionen zur Betrugsprävention, die von Private State Tokens profitieren können. Die Liste ist auch nicht gegenseitig ausschließend. PST kann für mehrere Anti-Betrugs-Workflows verwendet werden.

User Journeys

Die Ausgabe und Einlösung sind die wichtigsten Komponenten von Private State Tokens. Die vorherigen Anwendungsfälle sind die Hauptbereiche, in denen PSTs unterstützt werden. Die folgenden Momente in bestimmten User Journeys sind jedoch die Stellen, an denen Sie Tokens ausstellen oder einlösen möchten:

• Tokens während der Kontoverwaltung (Anmeldung, Registrierung, Passwort zurücksetzen usw.) ausstellen
• Tokens nach Bestätigung der Multi-Faktor-Authentifizierung (MFA) ausstellen
• Tokens nach risikoreichen Aktionen wie dem Löschen des Zahlungsverlaufs ausstellen
• Tokens für websiteweite Bestätigung vor Aktionen mit mäßigem Risiko einlösen
• Tokens für websiteübergreifende Bestätigung vor Aktionen mit hohem Risiko einlösen

Einhaltung der ePrivacy-Gesetze

Die Ausgabe von Private-State-Tokens umfasst das Speichern von Informationen auf dem Endgerät eines Nutzers und unterliegt daher den ePrivacy-Gesetzen im Europäischen Wirtschaftsraum (EWR) und im Vereinigten Königreich, die in der Regel die Einwilligung des Nutzers erfordern. Als Aussteller sind Sie dafür verantwortlich, zu bestimmen, ob Ihre Nutzung der Private State Tokens API streng notwendig ist, um einen vom Nutzer ausdrücklich angeforderten Onlinedienst bereitzustellen, und daher von der Einwilligungsanforderung ausgenommen ist. Weitere Informationen finden Sie in den häufig gestellten Fragen zur Datenschutz-Compliance.

Feedback geben und erhalten

• Ursprungstest: Ist jetzt geschlossen.
• Demo: Der Ursprungstest für Trust Tokens ist beendet, aber Sie können sich die Demo noch ansehen.
• GitHub: Lesen Sie den Vorschlag, stellen Sie Fragen und verfolgen Sie die Diskussion.
• W3C: In der Improving Web Advertising Business Group werden Anwendungsfälle aus der Branche diskutiert.
• IETF: Technischer Input für das zugrunde liegende Protokoll in der IETF-Arbeitsgruppe für den Datenschutzpass.
• Entwicklersupport: Stellen Sie Fragen und nehmen Sie an Diskussionen im Repository für den Privacy Sandbox-Entwicklersupport teil.
• Fragen zum Ursprungstest: Melden Sie einen Chromium-Fehler oder verwenden Sie das Feedbackformular, das Sie als Teilnehmer des Ursprungstests erhalten.

Weitere Informationen

• Technische Erläuterung der Private State Tokens API
• Einführung in Private State Tokens: Übersicht für Webentwickler
• Erste Schritte mit den Ursprungstests von Chrome
• Privacy Sandbox