이 페이지는 Cloud Translation API를 통해 번역되었습니다.

비공개 상태 토큰

구현 상태

비공개 상태 토큰이란 무엇인가요?

비공개 상태 토큰을 사용하면 패시브 추적 없이도 한 맥락에서 다른 맥락으로 전환하고, 사이트에서 사기를 방지하며, 실제 사람과 봇을 구분할 수 있도록 사용자의 신뢰성에 대한 트러스트를 사용 설정할 수 있습니다.

발급자 웹사이트는 지속적인 계정 사용, 거래 완료 또는 허용 가능한 reCAPTCHA 점수 획득 등을 통해 신뢰할 수 있음을 보여주는 사용자의 웹브라우저에 토큰을 발급할 수 있습니다.
사용자 웹사이트는 사용자가 리디머가 신뢰하는 발급자의 토큰을 보유하고 있는지 확인한 후 필요한 경우 토큰을 사용해 사용자가 가짜가 아님을 확인할 수 있습니다.

비공개 상태 토큰은 암호화되므로 개인을 식별할 수 없으며 신뢰하는 인스턴스와 신뢰하지 않는 인스턴스를 연결해 사용자 신원을 알아내는 것이 불가능합니다.

비공개 상태 토큰이 필요한 이유는 무엇인가요?

웹에는 사용자가 자신이 주장하는 사람이 맞고, 사람인 척하는 봇이나 실제 사람 또는 서비스를 속이는 악의적인 서드 파티가 아님을 보여주는 신뢰 신호를 설정하고 전달하는 방법이 필요합니다. 사기 방지는 광고주, 광고 제공업체, CDN에 특히 중요합니다.

불행히도 신뢰성을 측정하고 전파하는 기존 메커니즘(예: 사이트와의 상호작용이 실제 사람으로부터 이루어진 것인지 파악)은 지문 생성에도 사용될 수 있는 기법을 활용합니다. 신뢰를 전달하는 메커니즘은 개인 정보를 보호해야 하며, 이를 통해 개별 사용자 추적 없이 사이트 전반에 신뢰가 전파될 수 있습니다.

비공개 상태 토큰 API를 사용하면 웹사이트가 신뢰하는 사용자에게 암호화 토큰을 발급할 수 있으며, 이 토큰은 나중에 다른 곳에서 사용할 수 있습니다. 토큰은 사용자의 브라우저에 안전하게 저장되며, 다른 컨텍스트에서 사용자의 신뢰성을 확인하기 위해 사용할 수 있습니다. 이를 통해 한 웹사이트 (예: 소셜 미디어 사이트 또는 이메일 서비스)의 사용자 신뢰를 사용자 식별이나 사이트 간 ID 연결 없이 다른 웹사이트 (예: 게시자 또는 온라인 상점)로 전달할 수 있습니다.

비공개 상태 토큰은 어떻게 작동하나요?

이 예에서 게시자 웹사이트는 광고를 표시하기 전에 사용자가 봇이 아닌 실제 사람인지 확인하려고 합니다.

사용자가 웹사이트 (발급자라고 함)를 방문하여 구매, 이메일 계정 사용, reCAPTCHA 완료와 같이 사이트에서 사용자가 실제 사람이라고 생각하게 만드는 작업을 실행합니다.
발급자 사이트는 Private State Token JavaScript API를 사용하여 사용자의 브라우저에 대한 신뢰 토큰 요청을 트리거합니다.
발급기관 사이트가 토큰 데이터로 응답합니다.
사용자의 브라우저가 신뢰 토큰의 데이터를 안전하게 저장합니다.
사용자가 광고를 표시하는 등 사용자가 실제 사람인지 확인하려는 다른 웹사이트 (예: 뉴스 게시자)를 방문합니다.
사이트는 Private State Token API를 사용하여 사용자의 브라우저에 사이트가 신뢰하는 발급자에 대해 저장된 신뢰 토큰이 있는지 확인합니다.
사용자가 이전에 방문한 적이 있는 발급자에 대한 비공개 상태 토큰이 발견되었습니다.
게시자 사이트가 발급기관에 신뢰 토큰을 사용하도록 요청합니다.
발급자 사이트가 사용 기록으로 응답합니다.
게시자 사이트에서 사용자에게 발급자가 신뢰하는 실제 사람임을 보여주는 리뎀션 기록을 포함하여 광고 플랫폼에 요청합니다.
광고 플랫폼은 광고를 표시하는 데 필요한 데이터를 제공합니다.
게시자 사이트에 광고가 표시됩니다.
광고 조회 노출수가 집계됩니다.

비공개 상태 토큰에 사용할 수 있는 도구가 있나요?

Chrome DevTools에서 네트워크 및 애플리케이션 탭의 검사를 사용 설정합니다. DevTools 통합 및 비공개 상태 토큰에 대해 자세히 알아보세요.

웹사이트는 여러 신뢰할 수 있는 발급자의 토큰을 어떻게 처리하나요?

사이트는 한 번에 한 발급자에 대해 document.hasTrustToken()를 사용하여 사용자의 브라우저에서 유효한 토큰을 확인할 수 있습니다. 이 값이 true이고 토큰을 사용할 수 있는 경우 사이트에서 토큰을 사용하고 다른 토큰을 찾지 않아도 됩니다.

웹사이트는 확인할 토큰 발급자와 순서를 결정해야 합니다.

사용 사례

비공개 상태 토큰 (PST)은 다양한 사기 방지 사용 사례를 지원합니다. 기본적으로 PST는 API가 한 컨텍스트에서 다른 컨텍스트로 신뢰를 전달하는 데 도움이 되는 정보를 인코딩할 수 있으므로 추가 신뢰 신호로 작용할 수 있습니다. 서드 파티 쿠키가 사라지면 다음과 같은 사용 사례가 계속 필요에 따라 작동할 수 있도록 하는 것이 중요합니다. 모든 PST 사용 사례에서는 발급자와 교환자가 모두 협력해야 합니다. 다음과 유사한 사용 사례가 있는 경우 PST를 고려해 보세요.

사기 방지 서비스: 사기 방지는 웹에서 지원해야 하는 합법적인 사용 사례이지만 안정적인 전역 사용자별 식별자가 필요하지는 않습니다. 서드 파티 컨텍스트에서 PST는 사용자를 신뢰할 수 있는 집합과 신뢰할 수 없는 집합으로 분류하는 데 사용할 수 있습니다.
광고 사기 분석: PST는 광고 기술 서비스에서 사기성 클릭, 노출, 봇 계획을 분석하는 데 유용합니다.
봇 감지: 브라우저가 봇인지 여부를 분석한 후 PST를 사용하면 한 컨텍스트에서 다른 컨텍스트로 공유할 수 있도록 정보를 인코딩할 수 있습니다.
안전한 결제: 정보가 제한된 서드 파티 컨텍스트에서 식별하기 어려운 위협 (예: 카드 도용)을 감지하기 위해 PST를 신뢰를 전달하는 추가 신호로 사용할 수 있습니다.
전자상거래의 악용 방지 서비스: 페이지 스크래핑 및 비인간적 상호작용을 방지하려면 전자상거래 상호작용 (클릭, 결제, 구매, 제품 평가, 챗봇, 반품)에서 봇을 감지하는 것이 매우 중요합니다. 이는 전자상거래 플랫폼에서 서드 파티 사기 방지 제공업체의 자동화된 에이전트를 감지하는 데 중요한 추가 신호가 될 수 있습니다.
CDN 서비스: PST는 사기 트래픽의 신고 및 감지를 지원하는 메커니즘을 제공합니다.

이 사용 사례 목록은 비공개 상태 토큰의 이점을 누릴 수 있는 모든 사기 방지 기능을 포함하지 않습니다. 목록은 상호 배타적이지 않으며 PST는 여러 사기 방지 워크플로에 도움이 될 수 있습니다.

사용자 여정

발급과 사용은 비공개 상태 토큰의 핵심 구성요소입니다. 이전 사용 사례는 PST가 지원되는 주요 영역이지만 특정 사용자 여정에서 토큰을 실제로 발급하거나 사용하려는 인스턴스로 다음 순간을 생각해 볼 수 있습니다.

계정 관리 흐름 (로그인, 가입, 비밀번호 재설정 등) 중에 토큰 발급
다중 인증 (MFA) 확인 후 토큰 발급
결제 내역 삭제와 같은 위험도가 높은 작업 후 토큰 발급
중간 위험 작업 전에 교차 사이트 확인을 위해 토큰 사용
고위험 작업 전에 교차 사이트 확인을 위해 토큰 사용

ePrivacy 법규 준수

비공개 상태 토큰을 발급하려면 사용자 터미널 장비에 정보를 저장해야 하므로 유럽 경제 지역 (EEA) 및 영국에서 일반적으로 사용자 동의가 필요한 ePrivacy 법률이 적용되는 활동입니다. 발급자는 사용자가 명시적으로 요청한 온라인 서비스를 제공하는 데 비공개 상태 토큰 API의 사용이 엄격히 필요한지를 판단하여 동의 요건에서 제외되는지 여부를 결정해야 합니다. 자세한 내용은 개인 정보 보호 샌드박스 개인 정보 보호 관련 규정 준수 FAQ를 참고하세요.

참여 및 의견 공유

오리진 트라이얼: 종료되었습니다.
GitHub: 제안을 읽고 질문을 게시하고 토론을 살펴보세요.
W3C: 웹 광고 개선 비즈니스 그룹에서 업계 사용 사례를 논의합니다.
IETF: IETF Privacy Pass 작업 그룹에서 기본 프로토콜에 관한 기술적 의견을 제공합니다.
개발자 지원: 개인 정보 보호 샌드박스 개발자 지원 저장소에 질문을 게시하고 토론에 참여하세요.
오리진 트라이얼 질문: Chromium 버그를 신고하거나 오리진 트라이얼 참여자에게 전송되는 의견 양식에 응답하세요.