Uygulama durumu
- Chrome Platform Durumu.
- Kaynak denemesinde Chrome 84'ten 101'e kadar: Artık kapalı.
- Demo.
- Chrome Geliştirici Araçları entegrasyonu.
Gizlilik Jetonları nedir?
Gizlilik Jetonları, sitelerin pasif izleme olmadan sahtekarlıkla mücadele etmesine ve botları gerçek insanlardan ayırt etmesine yardımcı olmak için bir kullanıcının özgünlüğüne duyulan güvenin bir bağlamdan diğerine aktarılmasını sağlar.
- Sertifikayı veren bir web sitesi, örneğin hesap kullanmaya devam ederek, bir işlemi tamamlayarak veya kabul edilebilir bir reCAPTCHA puanı alarak güvenilir olduğunu gösteren bir kullanıcının web tarayıcısına jetonlar düzenleyebilir.
- Kullanıcı web sitesi, kullanıcının güvendiği bir kuruluştan jeton alıp almadığını kontrol ederek ve ardından gerektiğinde jetonları kullanarak kullanıcının sahte olmadığını onaylayabilir.
Gizlilik Jetonları şifrelendiğinden, kullanıcıları tanımlamak veya kullanıcı kimliğini keşfetmek için güvenilir ve güvenilmeyen örnekleri bağlamak mümkün değildir.
Neden Gizlilik Jetonlarına ihtiyacımız var?
Web'in, gerçek bir kişiyi veya hizmeti dolandıran bir insan ya da kötü amaçlı bir üçüncü taraf gibi davranan bir bot değil, kullanıcının söylediği kişi olduğunu gösteren güven sinyalleri oluşturup iletme yöntemlerine ihtiyacı vardır. Sahtekarlıktan korunma özellikle reklamverenler, reklam sağlayıcılar ve CDN'ler için önemlidir.
Ne yazık ki, güvenilirliği ölçmek ve yaymak için mevcut birçok mekanizma (ör. bir siteyle etkileşimin gerçek bir insan tarafından gerçekleşip gerçekleşmediğini tespit etmek amacıyla), dijital parmak izi için de kullanılabilecek tekniklerden faydalanmaktadır. Güveni iletme mekanizmaları gizliliği koruyarak güvenin bireysel kullanıcı izleme olmadan sitelerde yayılmasını sağlamalıdır.
Private State Token API ile bir web sitesi, güvendiği bir kullanıcıya şifreleme jetonları gönderebilir ve bu jeton daha sonra başka bir yerde kullanılabilir. Jetonlar, kullanıcının tarayıcısı tarafından güvenli bir şekilde saklanır ve daha sonra, kullanıcının gerçekliğini onaylamak için başka bağlamlarda kullanılabilir. Bu, kullanıcının kimliğini bir web sitesinde (ör. sosyal medya sitesi veya e-posta hizmeti) tanımlamadan veya kimlikler arasında bağlantı oluşturmadan başka bir web sitesine (ör. yayıncı veya online mağaza) aktarılmasına olanak tanır.
Gizlilik Jetonları nasıl çalışır?
Bu örnekte, bir yayıncı web sitesi, reklam görüntülemeden önce kullanıcının bot değil gerçek insan olup olmadığını kontrol etmek istemektedir.
- Bir kullanıcı bir web sitesini ziyaret eder (sorunu veren olarak bilinir) ve siteyi kullanıcının gerçek bir insan olduğuna inandıracak işlemler gerçekleştirir. Örneğin, satın alma işlemi yapabilir, bir e-posta hesabı kullanabilir veya reCAPTCHA'yı başarıyla tamamlayabilir.
- Kartı veren kuruluşun sitesi, kullanıcının tarayıcısı için güven jetonları isteğini tetiklemek üzere Private State Token JavaScript API'sini kullanır.
- Kartı veren kuruluşun sitesi, jeton verileriyle yanıt verir.
- Kullanıcının tarayıcısı, güven jetonu verilerini güvenli bir şekilde saklar.
- Kullanıcı, kullanıcının gerçek bir insan olup olmadığını doğrulamak isteyen (örneğin, reklam görüntülerken) farklı bir web sitesini (haber yayıncısı gibi) ziyaret eder.
- Site, kullanıcının tarayıcısında sitenin güvendiği verenler için saklanan güven jetonları olup olmadığını kontrol etmek amacıyla Private State Token API'yi kullanır.
- Kullanıcının daha önce ziyaret ettiği kartı veren kuruluşa ait gizlilik jetonları bulundu.
- Yayıncı sitesi, güven jetonlarını kullanmak için kartı veren kuruluşa bir istek gönderir.
- Kartı veren kuruluşun site, teklifi kullanma kaydı ile yanıt verir.
- Yayıncı sitesi, kullanıcıyı veren kuruluşun gerçek bir insan olduğuna güvendiğini göstermek için Redemption Record da dahil olmak üzere bir reklam platformuna istekte bulunur.
- Reklam platformu, reklam göstermek için gereken verileri sağlar.
- Reklamı yayıncı sitesi görüntüler.
- Bir reklam görüntüleme gösterimi sayılır.
Gizlilik Jetonları için araçlar mevcut mu?
Chrome Geliştirici Araçları, Ağ ve Uygulama sekmelerinden denetlemeyi etkinleştirir. Bu DevTools entegrasyonu ve Özel Durum Jetonları hakkında daha fazla bilgi edinin.
Web siteleri, birden fazla güvenilir veren kuruluşun jetonlarını nasıl ele alır?
Site, tek seferde bir yayıncı için document.hasTrustToken()
ile kullanıcının tarayıcısında geçerli jetonları kontrol edebilir. Bu işlem true
sonucunu döndürürse ve bir jeton mevcutsa site, jetonu kullanabilir ve diğer jetonları aramayı bırakabilir.
Web sitesi, jeton veren kuruluşların hangi sırayla kontrol edeceklerine karar vermelidir.
Kullanım alanları
Gizlilik Jetonları (PST), sahtekarlıkla mücadele ile ilgili çeşitli kullanım alanlarını destekler. PST, temelde ek bir güven sinyali görevi görebilir. Bunun nedeni, API'nin, bir bağlamdan diğerine güveni iletebilecek bilgi parçalarını kodlayabilmesidir. Üçüncü taraf çerezleri kullanımdan kalktıkça aşağıdaki gibi kullanım alanlarının gerektiği gibi çalışmaya devam etmesini sağlamanın kritik öneme sahip olacağının farkındayız. PST'nin tüm kullanım alanlarında hem kartı verenlerin hem de hizmeti kullananların birlikte çalışması gerekir. Aşağıdakilere benzer kullanım alanlarınız varsa PST'yi kullanmayı düşünebilirsiniz:
- Sahtekarlıkla mücadele hizmetleri: Sahtekarlığı önleme, web'in desteklemesi gereken yasal bir kullanım alanıdır ancak sabit, küresel bir kullanıcı tanımlayıcısı gerektirmemelidir. Üçüncü taraf bağlamında PST, kullanıcıları güvenilir ve güvenilmeyen gruplara ayırmak için kullanılabilir.
- Reklam sahtekarlığını analiz etme: PST, reklam teknolojisi hizmetlerindeki sahte tıklamaları, gösterimleri ve bot planlarını analiz etmek için yararlı olabilir.
- Bot algılama: Tarayıcının bot olup olmadığıyla ilgili analizinizi yaptıktan sonra PST, bu bilgilerin bir bağlamdan diğerine paylaşılacak şekilde kodlanmasına yardımcı olabilir.
- Güvenli ödemeler: Sınırlı bilgiyle (ör. kartlama) üçüncü taraf bağlamında tespit edilmesi daha zor olan tehditleri tespit etmek için PST, güveni artırmak için ek bir sinyal olarak kullanılabilir.
- E-ticarette kötüye kullanım karşıtı hizmetler: E-ticaret etkileşimlerinde (tıklamalar, ödeme, satın alma, ürün puanları, chat bot'lar, iadeler) botları tespit etmek, sayfaları kazıyarak ve insanlardan kaynaklanmayan etkileşimleri önlemek açısından çok önemlidir. Bu, e-ticaret platformlarındaki üçüncü taraf sahtekarlıkla mücadele sağlayıcıların otomatik aracılarını tespit etmek için önemli bir ek sinyal olabilir.
- CDN hizmetleri: PST, sahte trafiğin bildirilmesine ve tespitine yardımcı olan bir mekanizma sağlar.
Bu kullanım alanları listesi, Gizlilik Jetonlarından yararlanabilecek tüm sahtekarlıkla mücadele özelliklerinin kapsamlı bir listesi değildir. Bu listede karşılıklı olarak bir istisna vardır. PST, sahtekarlıkla mücadelede birden fazla iş akışından yararlanabilir.
Kullanıcı yolculukları
Verme ve kullanım, Gizlilik Jetonlarının temel bileşenleridir. Önceki kullanım alanları, PST'lerin destekleneceği temel alanlardır. Ancak belirli kullanıcı yolculuklarındaki aşağıdaki anları, jeton vermek veya kullanmak istediğiniz örnekler olarak düşünebilirsiniz:
- Hesap Yönetimi Akışları sırasında sorun jetonları (Giriş, Kaydolma, Şifre Sıfırlama vb.)
- Çok öğeli kimlik doğrulaması (MFA) onayladıktan sonra jetonlar yayınlama
- Jetonları, ödeme geçmişini silmek gibi yüksek riskli işlemlerden sonra yayınlar
- Orta düzeyde riskli işlemlerden önce siteler arası onay için jetonları kullanın
- Yüksek riskli işlemlerden önce siteler arası onay için jetonları kullanın
Etkileşimde bulunun ve geri bildirim paylaşın
- Kaynak denemesi: Artık kapalı.
- Demo: Güven Jetonları kaynak denemesi sona erdi ancak yine de demoya göz atabilirsiniz.
- GitHub: Teklifi okuyun, soruları sorun ve tartışmayı takip edin.
- W3C: Web Reklamcılığı İş Grubunu İyileştirme bölümünde sektördeki kullanım alanlarını tartışın.
- IETF: IETF Gizlilik Kartı çalışma grubunda temel protokol için teknik bilgiler sağlayın.
- Geliştirici desteği: Özel Korumalı Alan Geliştirici Desteği deposunda soru sorun ve tartışmalara katılın.
- Kaynak denemesi soruları: Chromium hatası bildirin veya kaynak denemesi katılımcısı olarak size gönderilen geri bildirim formunu yanıtlayın.