โทเค็นสถานะส่วนตัว

สถานะการใช้งาน

• สถานะแพลตฟอร์ม Chrome
• ในช่วงทดลองใช้จากต้นทาง Chrome 84 ถึง 101: ตอนนี้ปิดแล้ว
• การสาธิต
• การผสานรวมกับเครื่องมือสำหรับนักพัฒนาเว็บใน Chrome

โทเค็นสถานะส่วนตัวคืออะไร

โทเค็นสถานะส่วนตัวช่วยสร้างความน่าเชื่อถือในความน่าเชื่อถือของผู้ใช้เพื่อที่จะถ่ายทอดจากบริบทหนึ่งไปยังอีกบริบทหนึ่ง เพื่อช่วยเว็บไซต์ต่อสู้กับการประพฤติมิชอบและแยกบ็อตออกจากมนุษย์จริงๆ ได้โดยไม่ต้องมีการติดตามแบบเชิงรับ

• เว็บไซต์ผู้ออกบัตรสามารถออกโทเค็นให้กับเว็บเบราว์เซอร์ของผู้ใช้ที่แสดงให้เห็นว่าผู้ใช้เชื่อถือได้ เช่น ผ่านการใช้งานบัญชีอย่างต่อเนื่อง ทำธุรกรรมให้เสร็จสมบูรณ์ หรือได้รับคะแนน ReCAPTCHA ที่ยอมรับได้
• เว็บไซต์ redeemer จะยืนยันได้ว่าผู้ใช้ไม่ใช่ของปลอมด้วยการตรวจสอบว่ามีโทเค็นจากผู้ออกที่ผู้แลกสิทธิ์เชื่อถือหรือไม่ แล้วแลกโทเค็นตามความจำเป็น

โทเค็นสถานะส่วนตัวได้รับการเข้ารหัสอยู่ จึงไม่สามารถระบุตัวตนของผู้ใช้หรือเชื่อมต่ออินสแตนซ์ที่เชื่อถือได้และไม่น่าเชื่อถือเพื่อค้นหาข้อมูลระบุตัวตนของผู้ใช้

ทําไมเราถึงต้องมีโทเค็นสถานะส่วนตัว

เว็บต้องการวิธีกำหนดและถ่ายทอดสัญญาณความน่าเชื่อถือที่แสดงให้เห็นว่าผู้ใช้เป็นอย่างที่ผู้ใช้ระบุ ไม่ใช่บ็อตที่แอบอ้างเป็นมนุษย์หรือบุคคลที่สามที่เป็นอันตรายซึ่งหลอกลวงบุคคลหรือบริการจริง ความคุ้มครองจากการทุจริตสำคัญอย่างยิ่งสำหรับผู้ลงโฆษณา ผู้ให้บริการโฆษณา และ CDN

อย่างไรก็ตาม มีกลไกที่มีอยู่มากมายที่ใช้วัดและถ่ายทอดความน่าไว้วางใจเพื่อค้นหาว่าการโต้ตอบกับเว็บไซต์มาจากคนที่มีตัวตนจริงหรือไม่ ให้คุณใช้ประโยชน์จากเทคนิคที่สามารถใช้ในการเก็บลายนิ้วมือด้วยเช่นกัน กลไกในการแสดงถึงความเชื่อถือจะต้องรักษาความเป็นส่วนตัว ทำให้ความไว้วางใจสามารถเผยแพร่ผ่านเว็บไซต์ต่างๆ ได้โดยไม่ต้องติดตามผู้ใช้แต่ละคน

เมื่อใช้ API โทเค็นสถานะส่วนตัว เว็บไซต์จะออกโทเค็นการเข้ารหัสให้ผู้ใช้ที่เว็บไซต์เชื่อถือ ซึ่งสามารถนำไปใช้ที่อื่นได้ภายหลัง เบราว์เซอร์ของผู้ใช้จะจัดเก็บโทเค็นไว้อย่างปลอดภัยและสามารถนำโทเค็นนี้ไปใช้ในบริบทอื่นๆ เพื่อยืนยันความถูกต้องของผู้ใช้ วิธีนี้จะช่วยให้เกิดความน่าเชื่อถือของผู้ใช้ในเว็บไซต์หนึ่ง (เช่น เว็บไซต์โซเชียลมีเดียหรือบริการอีเมล) ไปยังเว็บไซต์อื่น (เช่น ผู้เผยแพร่โฆษณาหรือร้านค้าออนไลน์) โดยไม่ต้องระบุตัวผู้ใช้หรือลิงก์ข้อมูลประจำตัวในเว็บไซต์ต่างๆ

โทเค็นสถานะส่วนตัวทำงานอย่างไร

ในตัวอย่างนี้ เว็บไซต์ของผู้เผยแพร่โฆษณาต้องการตรวจสอบว่าผู้ใช้เป็นมนุษย์จริง ไม่ใช่บ็อต ก่อนที่จะแสดงโฆษณา

1. ผู้ใช้เข้าชมเว็บไซต์ (หรือที่เรียกว่าผู้ออกใบรับรอง) และดำเนินการที่ทำให้เว็บไซต์เชื่อว่าผู้ใช้นั้นเป็นมนุษย์ เช่น ทำการซื้อโดยใช้บัญชีอีเมลหรือทำ reCAPTCHA สำเร็จ
2. เว็บไซต์ของผู้ออกบัตรใช้ JavaScript API ของโทเค็นสถานะส่วนตัวเพื่อทริกเกอร์คำขอโทเค็นความน่าเชื่อถือสำหรับเบราว์เซอร์ของผู้ใช้
3. เว็บไซต์ผู้ออกบัตรตอบกลับด้วยข้อมูลโทเค็น
4. เบราว์เซอร์ของผู้ใช้จะเก็บข้อมูลสำหรับโทเค็นความน่าเชื่อถือไว้อย่างปลอดภัย
5. ผู้ใช้เข้าชมเว็บไซต์อื่น (เช่น ผู้เผยแพร่เนื้อหาข่าว) ที่ต้องการยืนยันว่าผู้ใช้เป็นมนุษย์จริงหรือไม่ เช่น เมื่อแสดงโฆษณา
6. เว็บไซต์จะใช้ Private State Token API เพื่อตรวจสอบว่าเบราว์เซอร์ของผู้ใช้มีโทเค็นความน่าเชื่อถือซึ่งจัดเก็บไว้ให้กับผู้ออกบัตรที่เว็บไซต์เชื่อถือหรือไม่
7. ระบบพบโทเค็นสถานะส่วนตัวของผู้ให้บริการที่ผู้ใช้เข้าชมก่อนหน้านี้
8. เว็บไซต์ของผู้เผยแพร่ส่งคำขอไปยังผู้ออกบัตรเพื่อแลกโทเค็นความน่าเชื่อถือ
9. เว็บไซต์ของผู้ออกบัตรตอบกลับด้วยระเบียนการแลกสิทธิ์
10. เว็บไซต์ของผู้เผยแพร่โฆษณาส่งคำขอไปยังแพลตฟอร์มโฆษณา รวมถึงบันทึกการแลกสิทธิ์เพื่อแสดงว่าผู้ออกบัตรเชื่อถือผู้ใช้ให้เป็นบุคคลจริง
11. แพลตฟอร์มโฆษณาให้ข้อมูลที่จำเป็นในการแสดงโฆษณา
12. เว็บไซต์ของผู้เผยแพร่โฆษณาจะแสดงโฆษณา
13. ระบบจะนับการแสดงผลการดูโฆษณา

มีเครื่องมือให้สำหรับโทเค็นสถานะส่วนตัวไหม

Chrome DevTools จะเปิดการตรวจสอบจากแท็บเครือข่ายและแอปพลิเคชัน โปรดอ่านข้อมูลเพิ่มเติมเกี่ยวกับการผสานรวมเครื่องมือสำหรับนักพัฒนาเว็บนี้และโทเค็นสถานะส่วนตัว

เว็บไซต์จะจัดการโทเค็นจากผู้ออกบัตรที่เชื่อถือได้หลายรายอย่างไร

เว็บไซต์จะตรวจสอบเบราว์เซอร์ของผู้ใช้เพื่อดูโทเค็นที่ถูกต้องด้วย document.hasTrustToken() สำหรับผู้ออกบัตรได้ทีละ 1 ราย หากแสดงผล true และมีโทเค็นพร้อมใช้งาน เว็บไซต์จะแลกสิทธิ์โทเค็นนี้และหยุดค้นหาโทเค็นอื่นๆ ได้

เว็บไซต์ต้องตัดสินใจว่าจะตรวจสอบผู้ออกโทเค็นรายใดและเรียงลำดับอย่างไร

Use Case

Private State Tokens (PST) รองรับ Use Case ป้องกันการประพฤติมิชอบที่หลากหลาย หลักๆ แล้ว PST เป็นสัญญาณความน่าเชื่อถือเพิ่มเติมเนื่องจาก API สามารถเข้ารหัสชิ้นส่วนข้อมูลที่ช่วยถ่ายทอดความน่าเชื่อถือจากบริบทหนึ่งไปยังอีกบริบทหนึ่งได้ เมื่อคุกกี้ของบุคคลที่สามเลิกใช้ไป เราตระหนักดีว่าการใช้งานในกรณีต่างๆ ดังเช่นตัวอย่างต่อไปนี้ยังคงทำงานได้ตามที่ต้องการ กรณีการใช้งาน PST ทั้งหมดกำหนดให้ทั้งผู้ออกบัตรและผู้แลกสิทธิ์ทำงานร่วมกัน คุณอาจต้องพิจารณาใช้ PST หากมีกรณีการใช้งานที่คล้ายกับตัวเลือกด้านล่าง

• บริการป้องกันการประพฤติมิชอบ: การป้องกันการประพฤติมิชอบเป็นกรณีการใช้งานที่เหมาะสมที่เว็บควรรองรับ แต่ไม่ควรต้องใช้ตัวระบุผู้ใช้ทั่วโลกที่เสถียร ในบริบทของบุคคลที่สาม คุณสามารถใช้ PST ในการแบ่งกลุ่มผู้ใช้เป็นชุดที่เชื่อถือได้และไม่น่าเชื่อถือ
• การวิเคราะห์การประพฤติมิชอบเกี่ยวกับโฆษณา: PST จะมีประโยชน์ในการวิเคราะห์การคลิก การแสดงผล และแผนบ็อตที่เป็นการฉ้อโกงในบริการเทคโนโลยีโฆษณา
• การตรวจหาบ็อต: หลังจากเรียกใช้การวิเคราะห์ว่าเบราว์เซอร์เป็นบ็อตหรือไม่ PST จะช่วยเข้ารหัสข้อมูลนั้นเพื่อแชร์จากบริบทหนึ่งไปยังอีกบริบทหนึ่งได้
• การชำระเงินที่ปลอดภัย: ในการตรวจจับภัยคุกคามที่ระบุตัวตนได้ยากในบริบทของบุคคลที่สามที่มีข้อมูลจำกัด (เช่น บัตร) คุณสามารถใช้ PST เป็นสัญญาณเพิ่มเติมเพื่อแสดงถึงความไว้วางใจ
• บริการป้องกันการละเมิดในอีคอมเมิร์ซ: การตรวจหาบ็อตในการโต้ตอบผ่านอีคอมเมิร์ซ (การคลิก การชําระเงิน การซื้อ การให้คะแนนผลิตภัณฑ์ แชทบ็อต การคืนสินค้า) เป็นสิ่งที่สำคัญอย่างยิ่งในการหลีกเลี่ยงการทำลายหน้าเว็บและการโต้ตอบที่ไม่ได้เกิดจากมนุษย์ นี่อาจเป็นสัญญาณเพิ่มเติมที่สำคัญในการตรวจหาตัวแทนอัตโนมัติสําหรับผู้ให้บริการป้องกันการฉ้อโกงบุคคลที่สามในแพลตฟอร์มอีคอมเมิร์ซ
• บริการ CDN: PST มีกลไกที่ช่วยในการรายงานและตรวจจับการเข้าชมที่เป็นการฉ้อโกง

รายการกรณีการใช้งานนี้ไม่ใช่รายการความสามารถในการป้องกันการประพฤติมิชอบทั้งหมดที่อาจได้รับประโยชน์จากโทเค็นสถานะส่วนตัว รายการนี้ยังใช้ไม่ได้พร้อมกัน แต่ PST อาจเป็นประโยชน์ต่อเวิร์กโฟลว์ป้องกันการฉ้อโกงหลายรายการ

เส้นทางของผู้ใช้

การออกและการแลกสิทธิ์เป็นองค์ประกอบหลักของโทเค็นสถานะส่วนตัว แม้ว่า Use Case ก่อนหน้านี้จะเป็นฟีเจอร์หลักที่รองรับ PST แต่คุณสามารถคิดถึงช่วงเวลาต่อไปนี้ในเส้นทางของผู้ใช้บางกรณีได้ เนื่องจากเป็นกรณีที่คุณต้องการออกหรือแลกโทเค็น

• ออกโทเค็นระหว่างขั้นตอนการจัดการบัญชี (การเข้าสู่ระบบ ลงชื่อสมัครใช้ รีเซ็ตรหัสผ่าน และอื่นๆ)
• ออกโทเค็นหลังจากยืนยันการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA)
• ออกโทเค็นหลังจากการดำเนินการที่มีความเสี่ยงสูง เช่น การลบประวัติการชำระเงิน
• แลกสิทธิ์โทเค็นสำหรับการยืนยันข้ามเว็บไซต์ก่อนการดำเนินการที่มีความเสี่ยงปานกลาง
• แลกสิทธิ์โทเค็นสำหรับการยืนยันแบบข้ามเว็บไซต์ก่อนการดำเนินการที่มีความเสี่ยงสูง

มีส่วนร่วมและแชร์ความคิดเห็น

• ช่วงทดลองใช้จากต้นทาง: ปิดแล้ว
• การสาธิต: ช่วงทดลองใช้ Trust Token จากต้นทางสิ้นสุดลงแล้ว แต่คุณยังดูการสาธิตได้อยู่
• GitHub: อ่านข้อเสนอ ถามคำถาม และติดตามการสนทนา
• W3C: พูดคุยเกี่ยวกับ Use Case ของอุตสาหกรรมในการปรับปรุงกลุ่มธุรกิจการโฆษณาบนเว็บ
• IETF: ป้อนข้อมูลทางเทคนิคสำหรับโปรโตคอลที่สำคัญในคณะทำงานของ IETF Privacy Pass
• การสนับสนุนนักพัฒนาแอป: ถามคำถามและเข้าร่วมการสนทนาในที่เก็บการสนับสนุนนักพัฒนาแอป Privacy Sandbox
• คำถามช่วงทดลองใช้จากต้นทาง: รายงานข้อบกพร่องของ Chromium หรือตอบกลับแบบฟอร์มความคิดเห็นที่ส่งถึงคุณในฐานะผู้เข้าร่วมโปรแกรมช่วงทดลองใช้จากต้นทาง

ดูข้อมูลเพิ่มเติม

• คำอธิบายทางเทคนิคเกี่ยวกับ Private State Token API
• การเริ่มต้นใช้งานโทเค็นสถานะส่วนตัว: ภาพรวมสำหรับนักพัฒนาเว็บ
• การเริ่มต้นใช้งานช่วงทดลองใช้จากต้นทางของ Chrome
• เจาะลึก Privacy Sandbox