Gizlilik Jetonları

Uygulama durumu

Gizlilik jetonları nedir?

   

Gizlilik jetonları, sitelerin pasif izleme olmadan sahtekarlıkla mücadele etmesine ve botları gerçek kullanıcılardan ayırt etmesine yardımcı olmak için kullanıcının kimliğine olan güvenin bir bağlamdan diğerine aktarılmasını sağlar.

  • Bir içerik sağlayıcı web sitesi, örneğin hesabını kullanmaya devam ederek, bir işlemi tamamlayarak veya kabul edilebilir bir reCAPTCHA puanı alarak güvenilir olduğunu gösteren bir kullanıcının web tarayıcısına jeton yayınlayabilir.
  • Kullanıcı web sitesi, kullanıcının sahte olmadığını doğrulamak için kullanıcının güvendiği bir sağlayıcıdan jeton alıp almadığını kontrol eder ve ardından jetonları gerektiği gibi kullanır.

Özel durum jetonları şifrelendiğinden, kullanıcı kimliğini keşfetmek için bir kişiyi tanımlamak veya güvenilir ve güvenilmeyen örnekleri bağlamak mümkün değildir.

Gizlilik jetonlarına neden ihtiyacımız var?

Web'de, kullanıcının insan gibi davranan bir bot veya gerçek bir kişiyi ya da hizmeti dolandıran kötü amaçlı bir üçüncü taraf olmadığını gösteren güven sinyalleri oluşturma ve iletme yöntemlerine ihtiyaç vardır. Sahtekarlık koruması özellikle reklamverenler, reklam sağlayıcılar ve CDN'ler için önemlidir.

Maalesef güvenilirliği ölçmek ve yaymak için kullanılan birçok mevcut mekanizma (ör. bir siteyle etkileşimin gerçek bir insandan gelip gelmediğini belirlemek için) parmak izi oluşturmak için de kullanılabilecek tekniklerden yararlanır. Güveni aktaran mekanizmalar, gizliliği korumalı ve kullanıcıların tek tek izlenmeden sitelerde güvenin yayılmasını sağlamalıdır.

Özel Durum Jetonu API'si sayesinde web siteleri, güvendiği bir kullanıcıya daha sonra başka yerlerde kullanılabilecek kriptografik jetonlar verebilir. Jetonlar, kullanıcının tarayıcısı tarafından güvenli bir şekilde saklanır ve daha sonra kullanıcının kimliğini doğrulamak için başka bağlamlarda kullanılabilir. Bu sayede, bir web sitesindeki (ör. sosyal medya sitesi veya e-posta hizmeti) kullanıcının güveni, kullanıcıyı tanımlamadan veya kimlikleri siteler arasında bağlamadan başka bir web sitesine (ör. yayıncı veya online mağaza) aktarılabilir.

Gizlilik Jetonları nasıl çalışır?

Bu örnekte bir yayıncı web sitesi, reklam göstermeden önce kullanıcının bot değil gerçek bir kullanıcı olup olmadığını kontrol etmek istiyor.

  1. Kullanıcı bir web sitesini (içerik sağlayıcı olarak bilinir) ziyaret eder ve sitenin kullanıcının gerçek bir insan olduğuna inanmasına yol açan işlemler yapar (ör. satın alma işlemi gerçekleştirme, e-posta hesabı kullanma veya reCAPTCHA'yı başarıyla tamamlama).
  2. Yayınlayan site, kullanıcının tarayıcısı için güven jetonu isteği tetiklemek üzere Private State Token JavaScript API'sini kullanır.
  3. Kart veren site, jeton verileriyle yanıt verir.
  4. Kullanıcının tarayıcısı, güven jetonunun verilerini güvenli bir şekilde saklar.
  5. Kullanıcı, gerçek bir insan olup olmadığını doğrulamak isteyen farklı bir web sitesini (ör. haber yayıncısı) ziyaret eder. Örneğin, reklam gösterilirken.
  6. Site, kullanıcının tarayıcısında sitenin güvendiği sağlayıcılar için saklanan güven jetonları olup olmadığını kontrol etmek üzere Private State Token API'yi kullanır.
  7. Kullanıcının daha önce ziyaret ettiği sağlayıcı için gizlilik jetonları bulunur.
  8. Yayıncı sitesi, güven jetonlarını kullanmaları için verene istek gönderir.
  9. Kart veren site, bir Kullanım Kaydı ile yanıt verir.
  10. Yayıncı sitesi, kullanıcının gerçek bir insan olduğunun sağlayıcı tarafından onaylandığını göstermek için bir reklam platformuna istek gönderir. Bu istek, Kullanım Kaydı'nı içerir.
  11. Reklam platformu, reklam göstermek için gereken verileri sağlar.
  12. Yayıncı sitesi reklamı gösterir.
  13. Reklam görüntüleme gösterimi sayılır.

Gizlilik jetonları için araç kullanılabilir mi?

Chrome Geliştirici Araçları, Ağ ve Uygulama sekmelerinden denetimi etkinleştirir. Bu DevTools entegrasyonu ve gizli durum jetonları hakkında daha fazla bilgi edinin.

Web siteleri, birden fazla güvenilir sağlayıcıdan gelen jetonları nasıl işler?

Site, kullanıcının tarayıcısında geçerli jeton olup olmadığını kontrol etmek için document.hasTrustToken() ile aynı anda bir sağlayıcıyı kontrol edebilir. Bu işlem true döndürür ve bir jeton varsa site jetonu kullanabilir ve başka jeton aramayı bırakabilir.

Web sitesinin, hangi jeton sağlayıcılarının kontrol edileceğine ve hangi sırayla kontrol edileceğine karar vermesi gerekir.

Kullanım alanları

Gizlilik jetonları (PST), sahtekarlık önlemeyle ilgili çeşitli kullanım alanlarını destekler. API, bir bağlamdan diğerine güven aktarmaya yardımcı olabilecek bilgi parçalarını kodlayabileceğinden, PST temelde ek bir güven sinyali olarak işlev görebilir. Üçüncü taraf çerezleri kullanımdan kaldırılırken aşağıdakiler gibi kullanım alanlarının gerektiği gibi çalışmaya devam etmesini sağlamanın kritik olacağının farkındayız. PST'nin tüm kullanım alanları, hem ihraç edenlerin hem de kullanacakların birlikte çalışmasını gerektirir. Aşağıdakilerden herhangi birine benzer kullanım alanlarınız varsa PST'yi kullanmayı düşünebilirsiniz:

  • Sahtekarlıkla mücadele hizmetleri: Sahtekarlığın önlenmesi, web'in desteklemesi gereken meşru bir kullanım alanıdır ancak bunun için kullanıcı başına sabit, global bir tanımlayıcı gerekmemelidir. Üçüncü taraf bağlamlarında PST, kullanıcıları güvenilir ve güvenilmeyen gruplara ayırmak için kullanılabilir.
  • Reklam sahtekarlığını analiz etme: PST, reklam teknolojisi hizmetlerindeki sahte tıklamaları, gösterimleri ve bot şemalarını analiz etmek için yararlı olabilir.
  • Bot algılama: Bir tarayıcının bot olup olmadığıyla ilgili analizinizi çalıştırdıktan sonra PST, bu bilgilerin bir bağlamdan diğerine paylaşılması için kodlanmasına yardımcı olabilir.
  • Güvenli ödemeler: Üçüncü taraf bağlamında sınırlı bilgiyle tespit edilmesi daha zor olan tehditleri (ör. kart dolandırıcılığı) tespit etmek için PST, güven vermek amacıyla ek bir sinyal olarak kullanılabilir.
  • E-ticarette kötüye kullanım karşıtı hizmetler: Sayfa kazıma ve insan olmayan etkileşimlerden kaçınmak için e-ticaret etkileşimlerinde (tıklamalar, ödeme, satın alma, ürün puanları, sohbet botları, iadeler) botları tespit etmek çok önemlidir. Bu, e-ticaret platformlarındaki üçüncü taraf sahtekarlık önleme sağlayıcıları için otomatik aracıları tespit etmek üzere önemli bir ek sinyal olabilir.
  • CDN hizmetleri: PST, sahte trafiğin raporlanmasına ve algılanmasına yardımcı olacak bir mekanizma sağlar.

Bu kullanım alanı listesi, Gizlilik Jetonlarından yararlanabilecek tüm sahtekarlık önleme özelliklerini kapsamaz. Ayrıca bu liste birbirini dışlamaz. PST, birden fazla sahtekarlık önleme iş akışında fayda sağlayabilir.

Kullanıcı deneyimleri

Gizlilik jetonlarının temel bileşenleri, jetonların verilmesi ve kullanılmasıdır. Önceki kullanım alanları, PST'lerin destekleneceği temel alanlar olsa da belirli kullanıcı yolculuklarındaki aşağıdaki anları, jetonları gerçekten yayınlamak veya kullanmak istediğiniz durumlar olarak düşünebilirsiniz:

  • Hesap yönetimi akışları sırasında jeton verme (Giriş, Kaydolma, Şifre Sıfırlama vb.)
  • Çok faktörlü kimlik doğrulamayı (MFA) onayladıktan sonra jeton verme
  • Ödeme geçmişini silme gibi yüksek riskli işlemlerden sonra jeton verme
  • Orta düzey riskli işlemlerden önce siteler arası onay için jetonları kullanma
  • Yüksek riskli işlemlerden önce siteler arası onay için jetonları kullanma

Elektronik gizlilik yasalarına uygunluk

Gizli durum jetonu yayınlama işlemi, kullanıcının terminal ekipmanında bilgi depolanmasını içerir. Bu nedenle, Avrupa Ekonomik Alanı (AEA) ve Birleşik Krallık'taki e-Gizlilik yasalarına tabi olan ve genellikle kullanıcı izni gerektiren bir işlemdir. Yayıncı olarak, Private State Tokens API'yi kullanımınızın kullanıcı tarafından açıkça istenen bir online hizmeti sağlamak için kesinlikle gerekli olup olmadığını ve bu nedenle izin şartından muaf olup olmadığını belirlemek sizin sorumluluğunuzdadır. Daha fazla bilgi için Özel Korumalı Alan Gizlilik ile İlgili Uygunluk Hakkında SSS bölümünü okumanızı öneririz.

Etkileşim kurma ve geri bildirim paylaşma

Daha fazla bilgi