Private State Tokens

Implementierungsstatus

• Status der Chrome-Plattform
• Im Ursprungstest: Chrome 84 bis 101: jetzt geschlossen.
• Integration der Chrome-Entwicklertools

Was sind Private State Tokens?

Private State Tokens stärken das Vertrauen in die Authentizität eines Nutzers von einem Kontext zum nächsten, um Websites bei der Betrugsbekämpfung und der Unterscheidung von Bots von echten Menschen zu unterstützen – ohne passives Tracking.

• Eine Ausstellerwebsite kann Token für den Webbrowser eines Nutzers ausstellen, der sich als vertrauenswürdig erweist, z. B. durch die fortgesetzte Kontonutzung, durch den Abschluss einer Transaktion oder durch eine akzeptable reCAPTCHA-Bewertung.
• Eine Einlöser-Website kann bestätigen, dass ein Nutzer kein Fake ist, indem sie prüft, ob er Tokens von einem Aussteller hat, dem der Einlöser vertraut, und dann Tokens nach Bedarf einlöst.

Private State Tokens sind verschlüsselt – so lassen sich keine Rückschlüsse auf die Identität von Nutzern ziehen und es können auch keine vertrauenswürdigen und nicht vertrauenswürdigen Instanzen verknüpft werden, um die Identität von Nutzern zu ermitteln.

Warum benötigen wir Private State Tokens?

Das Web braucht Möglichkeiten, Vertrauenssignale zu etablieren und zu übermitteln, die zeigen, dass ein Nutzer der ist, der er vorgibt zu sein, und nicht ein Bot, der sich als Mensch ausgibt, oder ein böswilliger Dritter, der eine echte Person oder einen Dienst betrügt. Betrugsschutz ist besonders wichtig für Werbetreibende, Anzeigenanbieter und CDNs.

Leider nutzen viele bestehende Mechanismen zur Messung und Weitergabe von Vertrauenswürdigkeit, um beispielsweise festzustellen, ob eine Interaktion mit einer Website von einem echten Menschen stammt, Techniken, die auch für das Fingerprinting verwendet werden können. Mechanismen zur Vermittlung von Vertrauen müssen den Datenschutz wahren, sodass Vertrauen websiteübergreifend weitergegeben werden kann, ohne einzelne Nutzer zu erfassen.

Mit der Private State Token API kann eine Website kryptografische Tokens für einen Nutzer ausstellen, dem sie vertraut. Diese Tokens können später an anderer Stelle verwendet werden. Die Tokens werden sicher im Browser des Nutzers gespeichert und können dann in anderen Kontexten eingelöst werden, um die Authentizität des Nutzers zu bestätigen. So kann das Vertrauen eines Nutzers auf einer Website (z. B. einer Social-Media-Website oder einem E‑Mail-Dienst) auf eine andere Website (z. B. einen Verlag oder einen Onlineshop) übertragen werden, ohne den Nutzer zu identifizieren oder Identitäten auf verschiedenen Websites zu verknüpfen.

Wie funktionieren Private State Tokens?

In diesem Beispiel möchte eine Publisher-Website prüfen, ob ein Nutzer ein echter Mensch und kein Bot ist, bevor eine Anzeige ausgeliefert wird.

1. Ein Nutzer besucht eine Website (einen Aussteller) und führt Aktionen aus, die dazu führen, dass die Website davon ausgeht, dass der Nutzer ein echter Mensch ist, z. B. Käufe tätigen, ein E-Mail-Konto verwenden oder reCAPTCHA erfolgreich abschließen.
2. Die Ausstellerwebsite verwendet die Private State Token JavaScript API, um eine Anfrage für Trust-Tokens für den Browser des Nutzers auszulösen.
3. Die Website des Ausstellers antwortet mit Tokendaten.
4. Der Browser des Nutzers speichert Daten für das Vertrauenswürdigkeitstoken sicher.
5. Der Nutzer besucht eine andere Website (z. B. einen Nachrichtenverlag), auf der überprüft werden soll, ob der Nutzer ein echter Mensch ist, z. B. bei der Auslieferung von Anzeigen.
6. Die Website verwendet die Private State Token API, um zu prüfen, ob im Browser des Nutzers Trust-Tokens für Aussteller gespeichert sind, denen die Website vertraut.
7. Private State Tokens werden für den Aussteller gefunden, den der Nutzer zuvor besucht hat.
8. Die Publisher-Website sendet eine Anfrage an den Aussteller, um die Trust-Tokens einzulösen.
9. Die Website des Ausstellers antwortet mit einem Einlösungsdatensatz.
10. Die Publisher-Website sendet eine Anfrage an eine Anzeigenplattform, die den Einlösungsdatensatz enthält, um zu zeigen, dass der Nutzer vom Aussteller als echter Mensch eingestuft wird.
11. Die Anzeigenplattform liefert die Daten, die für die Auslieferung einer Anzeige erforderlich sind.
12. Die Anzeige wird auf der Publisher-Website ausgeliefert.
13. Eine Impression für einen Anzeigenaufruf wird gezählt.

Gibt es Tools für Private State Tokens?

In den Chrome-Entwicklertools wird die Analyse über die Tabs „Netzwerk“ und „Anwendung“ aktiviert. Weitere Informationen zur Integration in die Entwicklertools und zu Private State Tokens

Wie gehen Websites mit Tokens von mehreren vertrauenswürdigen Ausstellern um?

Die Website kann den Browser eines Nutzers mit document.hasTrustToken() jeweils für einen Aussteller auf gültige Tokens prüfen. Wenn true zurückgegeben wird und ein Token verfügbar ist, kann die Website das Token einlösen und die Suche nach anderen Tokens beenden.

Die Website muss entscheiden, welche Tokenaussteller in welcher Reihenfolge geprüft werden sollen.

Anwendungsfälle

Private State Tokens (PST) unterstützen eine Reihe von Anwendungsfällen zur Betrugsbekämpfung. Im Grunde kann PST als zusätzliches Vertrauenssignal dienen, da die API Informationen codieren kann, die dazu beitragen, Vertrauen von einem Kontext in einen anderen zu übertragen. Da Drittanbieter-Cookies wegfallen, ist es wichtig, dass Anwendungsfälle wie die folgenden weiterhin wie erforderlich funktionieren. Für alle PST-Anwendungsfälle ist eine Zusammenarbeit zwischen Ausstellern und Einlösern erforderlich. PST ist möglicherweise für Sie geeignet, wenn Sie Anwendungsfälle haben, die einem der folgenden ähneln:

• Betrugspräventionsdienste: Die Betrugsprävention ist ein legitimer Anwendungsfall, der vom Web unterstützt werden sollte. Dazu ist jedoch keine stabile, globale, nutzerspezifische Kennung erforderlich. In Drittanbieterkontexten kann PST verwendet werden, um Nutzer in vertrauenswürdige und nicht vertrauenswürdige Gruppen zu unterteilen.
• Anzeigenbetrug analysieren: Mit PST lassen sich betrügerische Klicks, Impressionen und Bots in Ad-Tech-Diensten analysieren.
• Bot-Erkennung: Nachdem Sie analysiert haben, ob ein Browser ein Bot ist, kann PST dabei helfen, diese Informationen zu codieren, damit sie von einem Kontext in einen anderen übertragen werden können.
• Sichere Zahlungen: Um Bedrohungen zu erkennen, die in einem Drittanbieterkontext mit begrenzten Informationen schwerer zu identifizieren sind (z. B. Carding), kann PST als zusätzliches Signal für Vertrauen verwendet werden.
• Missbrauchsschutzdienste im E-Commerce: Das Erkennen von Bots bei E-Commerce-Interaktionen (Klicks, Kaufabwicklung, Kauf, Produktbewertungen, Chatbots, Rückgaben) ist sehr wichtig, um das Auslesen von Seiten und nicht menschliche Interaktionen zu vermeiden. Dies kann ein wichtiges zusätzliches Signal sein, um automatisierte Agents für Drittanbieter von Betrugsschutzlösungen auf E-Commerce-Plattformen zu erkennen.
• CDN-Dienste: PST bieten einen Mechanismus, der bei der Meldung und Erkennung von betrügerischen Zugriffen hilft.

Diese Liste von Anwendungsfällen ist keine vollständige Liste aller Betrugsbekämpfungsfunktionen, die von Private State Tokens profitieren können. Die Liste ist auch nicht gegenseitig ausschließend. PST kann für mehrere Workflows zur Betrugsbekämpfung von Vorteil sein.

User Journeys

Ausstellung und Einlösung sind die wichtigsten Komponenten von Private State Tokens. Die oben genannten Anwendungsfälle sind die wichtigsten Bereiche, in denen PSTs unterstützt werden. Sie können sich aber auch die folgenden Momente in bestimmten Nutzeraktionen als die Instanzen vorstellen, in denen Sie tatsächlich Tokens ausstellen oder einlösen möchten:

• Tokens während der Kontoverwaltungsabläufe (Anmeldung, Registrierung, Zurücksetzen des Passworts usw.) ausstellen
• Tokens nach Bestätigung einer Multi-Faktor-Authentifizierung (MFA) ausstellen
• Tokens nach risikoreichen Aktionen wie dem Löschen des Zahlungsverlaufs ausstellen
• Tokens für die websiteübergreifende Bestätigung vor Aktionen mit mittlerem Risiko einlösen
• Tokens für die websiteübergreifende Bestätigung vor Aktionen mit hohem Risiko einlösen

Einhaltung der E‑Privacy-Gesetze

Die Ausstellung von Private State Tokens erfordert die Speicherung von Informationen auf dem Endgerät eines Nutzers und unterliegt daher den ePrivacy-Gesetzen im Europäischen Wirtschaftsraum (EWR) und im Vereinigten Königreich, die in der Regel die Einwilligung des Nutzers erfordern. Als Aussteller liegt es in Ihrer Verantwortung, festzustellen, ob die Verwendung der Private State Tokens API unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich angeforderten Onlinedienst bereitzustellen, und daher von der Einwilligungspflicht ausgenommen ist. Weitere Informationen finden Sie in den FAQs zur Einhaltung von Datenschutzbestimmungen für Privacy Sandbox.

Feedback geben

• Ursprungstest: Beendet.
• GitHub: Vorschlag lesen, Fragen stellen und Diskussionen verfolgen.
• W3C: Anwendungsfälle aus der Branche in der Improving Web Advertising Business Group diskutieren.
• IETF: Bereitstellung von technischen Informationen zum zugrunde liegenden Protokoll in der Privacy Pass-Arbeitsgruppe der IETF.
• Entwicklersupport: Stellen Sie Fragen und beteiligen Sie sich an Diskussionen im Privacy Sandbox Developer Support-Repository.
• Fragen zum Ursprungstest: Erstellen Sie einen Chromium-Fehler oder antworten Sie auf das Feedbackformular, das Ihnen als Teilnehmer am Ursprungstest gesendet wird.

Weitere Informationen

• Technische Erläuterung zur Private State Token API
• Erste Schritte mit Private State Tokens: Übersicht für Webentwickler
• Erste Schritte mit den Ursprungstests von Chrome
• Details zur Privacy Sandbox