Эта страница переведена с помощью Cloud Translation API.

Частные государственные токены

Статус реализации

Статус платформы Chrome .
В исходном пробном периоде Chrome 84 to 101: сейчас закрыто.
Интеграция с Chrome DevTools .

Что такое частные государственные токены?

Частные государственные токены позволяют передавать доверие к подлинности пользователя из одного контекста в другой, помогая сайтам бороться с мошенничеством и отличать ботов от реальных людей — без пассивного отслеживания.

Веб-сайт эмитента может выдавать токены веб-браузеру пользователя, который подтверждает свою надежность, например, продолжая использовать учетную запись, выполняя транзакции или получая приемлемый балл reCAPTCHA .
Сайт выкупа может подтвердить, что пользователь не является мошенническим, проверив, есть ли у него токены от эмитента, которому выкупатель доверяет, а затем выкупить токены по мере необходимости.

Частные государственные токены зашифрованы, поэтому невозможно идентифицировать отдельного человека или соединить доверенные и недоверенные экземпляры для раскрытия личности пользователя.

Зачем нам нужны частные государственные токены?

Интернету необходимы способы создания и передачи сигналов доверия, подтверждающих, что пользователь — именно тот, за кого себя выдаёт, а не бот, выдающий себя за человека, или вредоносная третья сторона, обманывающая реального человека или сервис. Защита от мошенничества особенно важна для рекламодателей, поставщиков рекламы и CDN .

К сожалению, многие существующие механизмы оценки и распространения доверия (например, для определения, взаимодействует ли с сайтом реальный человек) используют методы, которые также можно использовать для идентификации. Механизмы обеспечения доверия должны обеспечивать конфиденциальность, позволяя распространять доверие между сайтами без отслеживания отдельных пользователей.

С помощью API Private State Token веб-сайт может выдавать доверенному пользователю криптографические токены, которые впоследствии можно использовать в других местах. Токены безопасно хранятся в браузере пользователя и могут быть использованы в других контекстах для подтверждения его подлинности. Это позволяет передавать доверие пользователя на одном веб-сайте (например, в социальной сети или почтовом сервисе) другому веб-сайту (например, издателю или интернет-магазину) без идентификации пользователя или связывания его личностей между сайтами.

Ключевой термин: Цифровые отпечатки позволяют сайтам идентифицировать и отслеживать отдельных пользователей, получая данные об их устройстве, операционной системе и настройках браузера (например, языковых настройках, пользовательском агенте и доступных шрифтах), а также об изменениях состояния устройства. Это может быть сделано на сервере путем проверки заголовков запросов или на клиенте с помощью JavaScript. Цифровые отпечатки используют механизмы, о которых пользователи не знают и которые не могут контролировать.

Как работают частные государственные токены?

В этом примере сайт издателя хочет проверить, является ли пользователь реальным человеком, а не ботом, прежде чем показывать рекламу.

Пользователь посещает веб-сайт (известный как эмитент ) и выполняет действия, которые заставляют сайт поверить, что пользователь — реальный человек, например, совершает покупки, использует учетную запись электронной почты или успешно проходит reCAPTCHA.
Сайт эмитента использует API JavaScript Private State Token для инициирования запроса токенов доверия для браузера пользователя.
Сайт эмитента отвечает данными токена.
Браузер пользователя безопасно хранит данные для токена доверия.
Пользователь посещает другой веб-сайт (например, сайт издателя новостей), который хочет проверить, является ли пользователь реальным человеком: например, при показе рекламы.
Сайт использует API частных государственных токенов для проверки того, хранятся ли в браузере пользователя токены доверия для эмитентов, которым доверяет сайт.
Частные государственные токены находятся для эмитента, которого пользователь посетил ранее.
Сайт издателя отправляет эмитенту запрос на выкуп токенов доверия.
Сайт эмитента отвечает записью о погашении.
Сайт издателя отправляет запрос на рекламную платформу, включая запись погашения, чтобы показать, что эмитент доверяет пользователю и считает его реальным человеком.
Рекламная платформа предоставляет данные, необходимые для показа рекламы.
Сайт издателя отображает рекламу.
Показ рекламы засчитывается.

Доступны ли инструменты для частных государственных токенов?

Инструменты разработчика Chrome включают проверку на вкладках «Сеть» и «Приложение». Подробнее об интеграции с инструментами разработчика и токенах частного состояния читайте здесь.

Как веб-сайты обрабатывают токены от нескольких доверенных эмитентов?

Сайт может проверять браузер пользователя на наличие действительных токенов с помощью document.hasTrustToken() для одного эмитента за раз. Если функция возвращает true и токен доступен, сайт может погасить его и прекратить поиск других токенов.

Веб-сайт должен решить, каких эмитентов токенов проверять и в каком порядке.

Варианты использования

Токены частного государства (PST) поддерживают ряд вариантов использования для борьбы с мошенничеством. По сути, PST может выступать в качестве дополнительного сигнала доверия, поскольку API способен кодировать фрагменты информации, помогающие передавать данные о доверии из одного контекста в другой. С прекращением использования сторонних cookie-файлов мы понимаем, что крайне важно обеспечить работоспособность таких вариантов использования, как перечисленные ниже. Все варианты использования PST требуют совместной работы эмитентов и погашателей. Вы можете рассмотреть PST, если ваши варианты использования похожи на любой из следующих:

Услуги по борьбе с мошенничеством : предотвращение мошенничества — это законный вариант использования, который должен поддерживаться интернетом, но он не должен требовать наличия стабильного, глобального идентификатора для каждого пользователя. В контексте сторонних организаций PST может использоваться для сегментации пользователей на доверенные и недоверенные.
Анализ мошенничества с рекламой : PST может быть полезен для анализа мошеннических кликов, показов и бот-схем в службах рекламных технологий.
Обнаружение ботов : после того, как вы проведете анализ того, является ли браузер ботом или нет, PST может помочь закодировать эту информацию для передачи из одного контекста в другой.
Безопасные платежи : для обнаружения угроз, которые сложнее идентифицировать в контексте третьей стороны с ограниченной информацией (например, кардинг ), PST можно использовать как дополнительный сигнал для выражения доверия.
Услуги по борьбе со злоупотреблениями в электронной коммерции : обнаружение ботов при взаимодействии с пользователями электронной коммерции (клики, оформление заказов, покупки, оценки товаров, чат-боты, возвраты) крайне важно для предотвращения копирования страниц и нечеловеческого взаимодействия. Это может стать важным дополнительным сигналом для обнаружения автоматизированных агентов сторонних поставщиков услуг по борьбе с мошенничеством на платформах электронной коммерции.
Услуги CDN : PST предоставляют механизм, помогающий сообщать о мошенническом трафике и выявлять его.

Этот список вариантов использования не является исчерпывающим перечнем всех возможностей борьбы с мошенничеством, которые могут быть реализованы с помощью частных государственных токенов. Этот список также не является взаимоисключающим: PST может быть полезен для различных процессов борьбы с мошенничеством.

Поездки пользователей

Выпуск и погашение — ключевые компоненты частных государственных токенов. Хотя предыдущие варианты использования — это основные области, где PST будут поддерживаться, можно рассматривать следующие моменты в определённых пользовательских сценариях как случаи, когда вам действительно потребуется выпустить или погасить токены:

Выпуск токенов во время процессов управления учетной записью (вход в систему, регистрация, сброс пароля и т. д.)
Выпуск токенов после подтверждения многофакторной аутентификации (MFA)
Выпуск токенов после высокорисковых действий, таких как удаление истории платежей
Обменяйте токены на межсайтовое подтверждение перед действиями умеренного риска
Обменяйте токены на межсайтовое подтверждение перед выполнением высокорисковых действий.

Соблюдение законов об электронной конфиденциальности

Выпуск токенов частного государства подразумевает хранение информации на конечном оборудовании пользователя и, следовательно, подпадает под действие законов об электронной конфиденциальности (ePrivacy) в Европейской экономической зоне (ЕЭЗ) и Великобритании, которые, как правило, требуют согласия пользователя. Как эмитент, вы несете ответственность за определение того, является ли использование вами API токенов частного государства строго необходимым для предоставления онлайн-услуги, явно запрошенной пользователем, и, следовательно, освобождено от требования получения согласия. Для получения дополнительной информации рекомендуем вам ознакомиться с часто задаваемыми вопросами о соблюдении требований конфиденциальности в Privacy Sandbox.

Привлекайте и делитесь отзывами

Пробный период Origin : закрыт.
GitHub : прочтите предложение , задайте вопросы и следите за обсуждением .
W3C : Обсудите варианты использования в отрасли в группе по улучшению веб-рекламы .
IETF : Предоставить техническую поддержку для базового протокола в рабочей группе IETF Privacy Pass .
Поддержка разработчиков : задавайте вопросы и присоединяйтесь к обсуждениям в репозитории Privacy Sandbox Developer Support .
Вопросы по пробной версии Origin : сообщите об ошибке Chromium или заполните форму обратной связи, которая будет отправлена вам как участнику пробной версии Origin.