Token di stato privati

Stato dell'implementazione

• Stato della piattaforma Chrome.
• Nella prova dell'origine Chrome 84-101: ora chiusa.
• Integrazione di Chrome DevTools.

Che cosa sono i token di stato privati?

I token di stato privati consentono di trasmettere l'attendibilità dell'autenticità di un utente da un contesto all'altro, per aiutare i siti a combattere le attività fraudolente e a distinguere i bot dagli esseri umani reali, senza il monitoraggio passivo.

• Un sito web emittente può emettere token per il browser web di un utente che dimostra di essere affidabile, ad esempio tramite l'utilizzo continuo dell'account, il completamento di una transazione o l'ottenimento di un punteggio reCAPTCHA accettabile.
• Un sito web redeemer può confermare che un utente non è falso controllando se ha token di un emittente di cui si fida e poi riscattando i token in base alle necessità.

I token di stato privato sono criptati, quindi non è possibile identificare una persona o collegare istanze attendibili e non attendibili per scoprire l'identità dell'utente.

Perché abbiamo bisogno dei token di stato privati?

Il web ha bisogno di modi per stabilire e trasmettere indicatori di fiducia che dimostrino che un utente è chi dice di essere e non un bot che si spaccia per un essere umano o una terza parte dannosa che froda una persona o un servizio reali. La protezione dalle frodi è particolarmente importante per inserzionisti, fornitori di annunci e CDN.

Purtroppo, molti meccanismi esistenti per valutare e propagare l'affidabilità, ad esempio per capire se un'interazione con un sito è di un essere umano reale, sfruttano tecniche che possono essere utilizzate anche per il fingerprinting. I meccanismi per trasmettere l'attendibilità devono preservare la privacy, consentendo la propagazione dell'attendibilità tra i siti senza il monitoraggio dei singoli utenti.

Con l'API Private State Token, un sito web può emettere token crittografici per un utente di cui si fida, che possono essere utilizzati in un secondo momento altrove. I token vengono archiviati in modo sicuro dal browser dell'utente e possono essere utilizzati in altri contesti per confermare l'autenticità dell'utente. In questo modo, l'affidabilità di un utente su un sito web (ad esempio un sito di social media o un servizio email) può essere trasferita a un altro sito web (ad esempio un editore o un negozio online) senza identificare l'utente o collegare le identità tra i siti.

Come funzionano i token di stato privato?

In questo esempio, il sito web di un publisher vuole verificare se un utente è una persona reale e non un bot prima di mostrare un annuncio.

1. Un utente visita un sito web (noto come emittente) ed esegue azioni che inducono il sito a credere che l'utente sia una persona reale, ad esempio effettuare acquisti, utilizzare un account email o completare correttamente reCAPTCHA.
2. Il sito dell'emittente utilizza l'API JavaScript Private State Token per attivare una richiesta di token di attendibilità per il browser dell'utente.
3. Il sito dell'emittente risponde con i dati del token.
4. Il browser dell'utente archivia in modo sicuro i dati per il token di attendibilità.
5. L'utente visita un altro sito web (ad esempio quello di un editore di notizie) che vuole verificare se l'utente è una persona reale, ad esempio quando vengono visualizzati gli annunci.
6. Il sito utilizza l'API Private State Token per verificare se il browser dell'utente ha memorizzato token di attendibilità per emittenti di cui il sito si fida.
7. I token di stato privati vengono trovati per l'emittente visitata in precedenza dall'utente.
8. Il sito del publisher invia una richiesta all'emittente per riscattare i token di attendibilità.
9. Il sito dell'emittente risponde con un record di utilizzo.
10. Il sito del publisher invia una richiesta a una piattaforma pubblicitaria, incluso il record di utilizzo per dimostrare che l'utente è considerato attendibile dall'emittente e che è una persona reale.
11. La piattaforma pubblicitaria fornisce i dati necessari per mostrare un annuncio.
12. L'annuncio viene visualizzato sul sito del publisher.
13. Viene conteggiata un'impressione di visualizzazione dell'annuncio.

Sono disponibili strumenti per i token di stato privati?

Chrome DevTools attiva l'ispezione dalle schede Rete e Applicazione. Scopri di più su questa integrazione di DevTools e sui Private State Tokens.

Come gestiscono i token di più emittenti attendibili i siti web?

Il sito può controllare la presenza di token validi nel browser di un utente con document.hasTrustToken() per un emittente alla volta. Se viene restituito true e un token è disponibile, il sito può riscattare il token e interrompere la ricerca di altri token.

Il sito web deve decidere quali emittenti di token controllare e in quale ordine.

Casi d'uso

I token di stato privati (PST) supportano una serie di casi d'uso antifrode. Fondamentalmente, PST può fungere da ulteriore indicatore di affidabilità perché l'API è in grado di codificare informazioni che possono contribuire a trasmettere l'affidabilità da un contesto all'altro. Man mano che i cookie di terze parti scompaiono, ci rendiamo conto che sarà fondamentale assicurarsi che i casi d'uso come i seguenti possano continuare a funzionare come necessario. Tutti i casi d'uso delle PST richiedono la collaborazione di emittenti e beneficiari. Potresti prendere in considerazione PST se hai casi d'uso simili a uno dei seguenti:

• Servizi antifrode: la prevenzione delle frodi è un caso d'uso legittimo che il web dovrebbe supportare, ma non dovrebbe richiedere un identificatore stabile, globale e per utente. In contesti di terze parti, PST può essere utilizzato per segmentare gli utenti in insiemi attendibili e non attendibili.
• Analisi dell'attività fraudolenta pubblicitaria: PST può essere utile per analizzare clic, impressioni e schemi di bot fraudolenti nei servizi di tecnologia pubblicitaria.
• Rilevamento dei bot: dopo aver eseguito l'analisi per determinare se un browser è un bot o meno, PST può aiutarti a codificare queste informazioni per condividerle da un contesto all'altro.
• Pagamenti sicuri: per rilevare minacce più difficili da identificare in un contesto di terze parti con informazioni limitate (come il carding), PST può essere utilizzato come indicatore aggiuntivo per trasmettere affidabilità.
• Servizi anti-abuso nell'e-commerce: il rilevamento dei bot nelle interazioni di e-commerce (clic, pagamento, acquisto, valutazioni dei prodotti, chatbot, resi) è molto importante per evitare lo scraping delle pagine e le interazioni non umane. Questo può essere un ulteriore segnale importante per rilevare agenti automatizzati per fornitori antifrode di terze parti nelle piattaforme di e-commerce.
• Servizi CDN: PST fornisce un meccanismo per facilitare la segnalazione e il rilevamento del traffico fraudolento.

Questo elenco di casi d'uso non è esaustivo di tutte le funzionalità antifrode che potrebbero trarre vantaggio dai token di stato privati. L'elenco non è inoltre mutuamente esclusivo, in quanto PST può essere utile per più flussi di lavoro antifrode.

Percorsi dell'utente

L'emissione e il riscatto sono i componenti chiave dei token di stato privati. Sebbene i casi d'uso precedenti siano le aree chiave in cui i token PST sono supportati, puoi pensare ai seguenti momenti in determinati percorsi degli utenti come le istanze in cui vorresti effettivamente emettere o riscattare token:

• Emettere token durante i flussi di gestione dell'account (accesso, registrazione, reimpostazione della password e così via)
• Emettere token dopo aver confermato un'autenticazione a più fattori (MFA)
• Emettere token dopo azioni ad alto rischio, come l'eliminazione della cronologia dei pagamenti
• Utilizzare i token per la conferma cross-site prima delle azioni a rischio moderato
• Utilizzare i token per la conferma cross-site prima di azioni ad alto rischio

Conformità alle leggi sulla ePrivacy

L'emissione di token di stato privati comporta l'archiviazione di informazioni sull'apparecchiatura terminale di un utente ed è quindi un'attività soggetta alle leggi sulla ePrivacy nello Spazio economico europeo (SEE) e nel Regno Unito, che in genere richiedono il consenso dell'utente. In qualità di emittente, è tua responsabilità determinare se l'utilizzo dell'API Private State Tokens è strettamente necessario per fornire un servizio online esplicitamente richiesto dall'utente e pertanto esente dal requisito di consenso. Per ulteriori informazioni, ti invitiamo a leggere le nostre Domande frequenti sulla conformità relativa alla privacy di Privacy Sandbox.

Partecipare e condividere feedback

• Prova dell'origine: ora chiusa.
• GitHub: leggi la proposta, poni domande e segui la discussione.
• W3C: discuti dei casi d'uso del settore nell'Improving Web Advertising Business Group.
• IETF: fornisci input tecnici per il protocollo sottostante nel gruppo di lavoro Privacy Pass.
• Assistenza per gli sviluppatori: fai domande e partecipa alle discussioni nel repository Privacy Sandbox Developer Support.
• Domande sulla prova dell'origine: segnala un bug di Chromium o rispondi al modulo di feedback che ti viene inviato in qualità di partecipante alla prova dell'origine.

Scopri di più

• Explainer tecnico dell'API Private State Tokens
• Come iniziare a utilizzare Private State Tokens: una panoramica per gli sviluppatori web
• Iniziare a utilizzare le prove dell'origine di Chrome
• Digging into the Privacy Sandbox