Gizlilik Jetonları

Uygulama durumu

Gizlilik Jetonları nedir?

   

Gizlilik jetonları, sitelerin sahtekarlıkla mücadele etmesine ve botları gerçek kullanıcılardan ayırt etmesine yardımcı olmak için kullanıcının gerçekliğine duyulan güvenin bir bağlamdan diğerine aktarılmasını sağlar. Bu işlem pasif izleme olmadan yapılır.

  • Bir sağlayıcı web sitesi, güvenilir olduğunu gösteren bir kullanıcının web tarayıcısına jeton verebilir. Örneğin, hesap kullanımına devam ederek, bir işlemi tamamlayarak veya kabul edilebilir bir reCAPTCHA puanı alarak.
  • Bir kullanıcı web sitesi, kullanıcının sahte olmadığını doğrulamak için kullanıcının, kullanıcının güvendiği bir sağlayıcıdan jeton alıp almadığını kontrol edebilir ve gerekirse jetonları kullanabilir.

Gizlilik jetonları şifrelendiğinden bir kişiyi tanımlamak veya kullanıcı kimliğini bulmak için güvenilir ve güvenilmeyen örnekleri bağlamak mümkün değildir.

Neden Gizlilik Jetonlarına ihtiyacımız var?

Web'in, kullanıcının iddia ettiği kişi olduğunu ve insan gibi davranan bir bot ya da gerçek bir kişiyi veya hizmeti dolandıran kötü amaçlı bir üçüncü taraf olmadığını gösteren güven sinyallerini oluşturma ve iletme yöntemlerine ihtiyacı var. Sahtekarlık koruması özellikle reklamverenler, reklam sağlayıcılar ve CDN'ler için önemlidir.

Maalesef, güvenilirliği ölçmek ve yaymak için kullanılan mevcut mekanizmaların çoğu (örneğin, bir siteyle etkileşimin gerçek bir insandan gelip gelmediğini belirlemek için) parmak izi oluşturmak için de kullanılabilecek tekniklerden yararlanır. Güveni iletme mekanizmaları gizliliği korumalı, güvenin bireysel kullanıcı takibi olmadan sitelere yayılmasını sağlamalıdır.

Private State Token API ile bir web sitesi, güvendiği bir kullanıcıya kriptografik jetonlar verebilir. Bu jetonlar daha sonra başka yerlerde kullanılabilir. Jetonlar, kullanıcının tarayıcısı tarafından güvenli bir şekilde depolanır ve ardından kullanıcının kimliğini doğrulamak için diğer bağlamlarda kullanılabilir. Bu sayede, bir web sitesindeki (ör. sosyal medya sitesi veya e-posta hizmeti) kullanıcı güveni, kullanıcı tanımlanmadan veya siteler arasında kimlikler bağlanmadan başka bir web sitesine (ör. yayıncı veya online mağaza) aktarılabilir.

Private State Tokens'ın işleyiş şekli

Bu örnekte, bir yayıncı web sitesi reklam göstermeden önce kullanıcının bot değil, gerçek bir insan olup olmadığını kontrol etmek istiyor.

  1. Bir kullanıcı, bir web sitesini (veren olarak bilinir) ziyaret eder ve sitede kullanıcının gerçek bir insan olduğuna inanılmasına yol açan işlemler gerçekleştirir. Örneğin, satın alma işlemi yapar, bir e-posta hesabı kullanır veya reCAPTCHA'yı başarıyla tamamlar.
  2. Veren site, kullanıcının tarayıcısı için güven jetonları isteğini tetiklemek üzere Private State Token JavaScript API'sini kullanır.
  3. Düzenleyen kuruluşun sitesi, jeton verileriyle yanıt verir.
  4. Kullanıcının tarayıcısı, güven jetonuyla ilgili verileri güvenli bir şekilde saklar.
  5. Kullanıcı, gerçek bir insan olup olmadığını doğrulamak isteyen farklı bir web sitesini (ör. bir haber yayıncısı) ziyaret eder: Örneğin, reklam gösterirken.
  6. Site, kullanıcının tarayıcısında sitenin güvendiği verenler için güven jetonlarının depolanıp depolanmadığını kontrol etmek üzere Private State Token API'yi kullanır.
  7. Kullanıcının daha önce ziyaret ettiği sağlayıcı için gizlilik jetonları bulunur.
  8. Yayıncı sitesi, güven jetonlarını kullanmak için veren kuruluşa istek gönderir.
  9. Kartı veren site, bir Kullanım Kaydı ile yanıt verir.
  10. Yayıncı sitesi, kullanıcının gerçek bir insan olduğuna dair güvenilir olduğunu göstermek için Redemption Record'u da içeren bir reklam platformuna istekte bulunur.
  11. Reklam platformu, reklam göstermek için gereken verileri sağlar.
  12. Yayıncı sitesinde reklam gösterilir.
  13. Bir reklam görüntüleme gösterimi sayılır.

Private State Tokens için araçlar var mı?

Chrome Geliştirici Araçları, Ağ ve Uygulama sekmelerinden incelemeyi etkinleştirir. Bu Geliştirici Araçları entegrasyonu ve Private State Tokens hakkında daha fazla bilgi edinin.

Web siteleri, birden fazla güvenilir veren tarafından verilen jetonları nasıl işler?

Site, kullanıcının tarayıcısında geçerli jetonları document.hasTrustToken() ile tek bir yayıncı için kontrol edebilir. Bu işlem true değerini döndürürse ve jeton varsa site, jetonu kullanabilir ve başka jeton aramayı durdurabilir.

Web sitesi, hangi jeton verenlerin kontrol edileceğine ve kontrol sırasına karar vermelidir.

Kullanım alanları

Private State Tokens (PST), çeşitli sahtekarlıkla mücadele kullanım alanlarını destekler. PST, API'nin bir bağlamdan diğerine güven aktarmaya yardımcı olabilecek bilgi parçalarını kodlayabilmesi nedeniyle ek bir güven sinyali olarak işlev görebilir. Üçüncü taraf çerezlerinin kullanımdan kalkmasıyla birlikte, aşağıdaki gibi kullanım alanlarının gerektiği şekilde çalışmaya devam etmesini sağlamanın kritik önem taşıdığını biliyoruz. Tüm PST kullanım alanlarında hem verenlerin hem de kullananların birlikte çalışması gerekir. Aşağıdakilere benzer kullanım alanlarınız varsa PST'yi kullanmayı düşünebilirsiniz:

  • Sahtekarlıkla mücadele hizmetleri: Sahtekarlığı önlemek, web'in desteklemesi gereken meşru bir kullanım alanıdır ancak kararlı, küresel ve kullanıcı başına bir tanımlayıcı gerektirmemelidir. PST, üçüncü taraf bağlamlarında kullanıcıları güvenilir ve güvenilir olmayan kümeler halinde segmentlere ayırmak için kullanılabilir.
  • Reklam sahtekarlığını analiz etme: PST, reklam teknolojisi hizmetlerindeki sahte tıklamaları, gösterimleri ve bot planlarını analiz etmek için kullanılabilir.
  • Bot algılama: Bir tarayıcının bot olup olmadığını analiz ettikten sonra PST, bu bilgilerin bir bağlamdan diğerine paylaşılması için kodlanmasına yardımcı olabilir.
  • Güvenli ödemeler: Sınırlı bilgiyle üçüncü taraf bağlamında tanımlanması daha zor olan tehditleri (ör. kart dolandırıcılığı) tespit etmek için PST, güveni iletmek üzere ek bir sinyal olarak kullanılabilir.
  • E-ticarette kötüye kullanımı önleme hizmetleri: Sayfa kazımayı ve insan dışı etkileşimleri önlemek için e-ticaret etkileşimlerinde (tıklamalar, ödeme, satın alma, ürün puanları, sohbet botları, iadeler) botları tespit etmek çok önemlidir. Bu, e-ticaret platformlarındaki üçüncü taraf sahtekarlık önleme sağlayıcılar için otomatik aracıları tespit etmede önemli bir ek sinyal olabilir.
  • CDN hizmetleri: PST, sahtekarlık içeren trafiğin bildirilmesine ve tespit edilmesine yardımcı olacak bir mekanizma sağlar.

Bu kullanım alanları listesi, Gizlilik Jetonları'ndan yararlanabilecek tüm sahtekarlıkla mücadele özelliklerinin kapsamlı bir listesi değildir. Bu liste karşılıklı olarak birbirini dışlamaz. PST, birden fazla sahtekarlıkla mücadele iş akışına fayda sağlayabilir.

Kullanıcı yolculukları

Verme ve kullanma, Gizlilik Jetonlarının temel bileşenleridir. Önceki kullanım alanları, PST'lerin destekleneceği temel alanlar olsa da belirli kullanıcı yolculuklarındaki aşağıdaki anları, aslında jeton vermek veya kullanmak isteyeceğiniz durumlar olarak düşünebilirsiniz:

  • Hesap yönetimi akışları (giriş, kaydolma, şifre sıfırlama vb.) sırasında jeton verme
  • Çok öğeli kimlik doğrulaması (MFA) onaylandıktan sonra jeton verme
  • Ödeme geçmişini silme gibi yüksek riskli işlemlerden sonra jeton verme
  • Orta riskli işlemlerden önce siteler arası onay için jetonları kullanma
  • Yüksek riskli işlemlerden önce siteler arası onay için jeton kullanma

eGizlilik Yasalarına Uygunluk

Özel durum jetonlarının verilmesi, kullanıcının terminal ekipmanında bilgilerin depolanmasını içerir. Bu nedenle, Avrupa Ekonomik Alanı (AEA) ve Birleşik Krallık'taki eGizlilik yasalarına tabi bir etkinliktir ve genellikle kullanıcı izni gerektirir. Bir veren olarak, Private State Tokens API'yi kullanmanızın, kullanıcı tarafından açıkça istenen bir online hizmeti sağlamak için kesinlikle gerekli olup olmadığını ve dolayısıyla izin şartından muaf olup olmadığını belirlemek sizin sorumluluğunuzdadır. Daha fazla bilgi için Özel Korumalı Alan Gizlilikle İlgili Uygunluk SSS'mizi okumanızı öneririz.

Etkileşim kurma ve geri bildirim paylaşma

Daha fazla bilgi