लागू करने की स्थिति
- Chrome Platform Status.
- ऑरिजिन ट्रायल में Chrome 84 से 101: अब बंद हो गया है.
- Chrome DevTools इंटिग्रेशन.
प्राइवेट स्टेट टोकन क्या होते हैं?
Private State Tokens की मदद से, उपयोगकर्ता के भरोसेमंद होने की जानकारी को एक कॉन्टेक्स्ट से दूसरे पर दिखाया जा सकता है. इससे, साइटों को पैसिव ट्रैकिंग के बिना, धोखाधड़ी से निपटने और इंसान और बॉट में अंतर करने में मदद मिलती है.
- जारी करने वाली वेबसाइट, किसी ऐसे उपयोगकर्ता के वेब ब्राउज़र को टोकन जारी कर सकती है जो भरोसेमंद हो. जैसे, लगातार खाते का इस्तेमाल करने, लेन-देन पूरा करने या reCAPTCHA का मान्य स्कोर पाने के ज़रिए.
- रिडीमर वेबसाइट यह पुष्टि कर सकती है कि कोई उपयोगकर्ता नकली नहीं है. इसके लिए, वह यह देखती है कि उपयोगकर्ता के पास, ऐसे जारीकर्ता के टोकन हैं जिस पर रिडीमर भरोसा करता है. इसके बाद, वह ज़रूरत के हिसाब से टोकन रिडीम करती है.
प्राइवेट स्टेट टोकन एन्क्रिप्ट (सुरक्षित) किए जाते हैं. इसलिए, किसी व्यक्ति की पहचान करना या उपयोगकर्ता की पहचान का पता लगाने के लिए, भरोसेमंद और गैर-भरोसेमंद इंस्टेंस को कनेक्ट करना मुमकिन नहीं है.
हमें प्राइवेट स्टेट टोकन की ज़रूरत क्यों पड़ती है?
वेब को ऐसे तरीके चाहिए जिनसे भरोसे के सिग्नल मिल सकें और उन्हें दिखाया जा सके. इससे यह पता चलता है कि कोई उपयोगकर्ता वही है जो वह होने का दावा कर रहा है. साथ ही, वह कोई ऐसा बॉट नहीं है जो इंसान होने का नाटक कर रहा है या कोई ऐसा दुर्भावनापूर्ण तीसरा पक्ष नहीं है जो किसी असली व्यक्ति या सेवा के साथ धोखाधड़ी कर रहा है. धोखाधड़ी से सुरक्षा, विज्ञापन देने वाले लोगों या कंपनियों, विज्ञापन देने वाली कंपनियों, और सीडीएन के लिए खास तौर पर ज़रूरी है.
माफ़ करें, लेकिन भरोसेमंद होने का आकलन करने और उसे बढ़ावा देने के लिए, मौजूदा समय में कई तरीकों का इस्तेमाल किया जाता है. उदाहरण के लिए, यह पता लगाने के लिए कि किसी साइट के साथ इंटरैक्शन करने वाला व्यक्ति असली है या नहीं. हालांकि, इन तरीकों में ऐसी तकनीकों का इस्तेमाल किया जाता है जिनका इस्तेमाल फ़िंगरप्रिंटिंग के लिए भी किया जा सकता है. भरोसेमंद सिग्नल भेजने के लिए, निजता बनाए रखने के तरीकों का इस्तेमाल करना ज़रूरी है. इससे, हर उपयोगकर्ता को ट्रैक किए बिना, अलग-अलग साइटों पर भरोसेमंद सिग्नल भेजे जा सकते हैं.
Private State Token API की मदद से, कोई वेबसाइट किसी ऐसे उपयोगकर्ता को क्रिप्टोग्राफ़िक टोकन जारी कर सकती है जिस पर उसे भरोसा है. इन टोकन का इस्तेमाल बाद में किसी दूसरी जगह किया जा सकता है. टोकन को उपयोगकर्ता के ब्राउज़र में सुरक्षित तरीके से सेव किया जाता है. इसके बाद, उपयोगकर्ता की पहचान की पुष्टि करने के लिए, इन्हें अन्य संदर्भों में रिडीम किया जा सकता है. इससे किसी एक वेबसाइट (जैसे, सोशल मीडिया साइट या ईमेल सेवा) पर उपयोगकर्ता के भरोसे को दूसरी वेबसाइट (जैसे, पब्लिशर या ऑनलाइन स्टोर) पर भेजा जा सकता है. हालांकि, इसमें उपयोगकर्ता की पहचान ज़ाहिर नहीं की जाती है और न ही अलग-अलग साइटों पर पहचानों को लिंक किया जाता है.
प्राइवेट स्टेट टोकन कैसे काम करते हैं?
इस उदाहरण में, पब्लिशर की वेबसाइट यह जांच करना चाहती है कि कोई उपयोगकर्ता असली इंसान है या बॉट. इसके बाद ही, वह विज्ञापन दिखाएगी.
- कोई उपयोगकर्ता किसी वेबसाइट (इसे जारी करने वाला कहा जाता है) पर जाता है और ऐसी कार्रवाइयां करता है जिनसे साइट को लगता है कि उपयोगकर्ता कोई असली इंसान है. जैसे, खरीदारी करना, ईमेल खाते का इस्तेमाल करना या reCAPTCHA को सही तरीके से पूरा करना.
- जारी करने वाली साइट, Private State Token JavaScript API का इस्तेमाल करके, उपयोगकर्ता के ब्राउज़र के लिए ट्रस्ट टोकन का अनुरोध ट्रिगर करती है.
- कार्ड जारी करने वाली कंपनी की साइट, टोकन का डेटा भेजती है.
- उपयोगकर्ता का ब्राउज़र, भरोसेमंद टोकन के लिए डेटा को सुरक्षित तरीके से सेव करता है.
- उपयोगकर्ता किसी ऐसी वेबसाइट (जैसे कि समाचार पब्लिशर) पर जाता है जो यह पुष्टि करना चाहती है कि उपयोगकर्ता कोई असली इंसान है या नहीं. उदाहरण के लिए, विज्ञापन दिखाते समय.
- यह साइट, Private State Token API का इस्तेमाल करती है. इससे यह पता चलता है कि उपयोगकर्ता के ब्राउज़र में, उन जारी करने वालों के लिए ट्रस्ट टोकन सेव किए गए हैं जिन पर साइट भरोसा करती है.
- उपयोगकर्ता ने पहले जिस जारी करने वाले खाते की साइट पर विज़िट किया था उसके लिए प्राइवेट स्टेट टोकन मिले हैं.
- पब्लिशर की साइट, ट्रस्ट टोकन रिडीम करने के लिए जारी करने वाली कंपनी से अनुरोध करती है.
- कार्ड जारी करने वाली साइट, रिडेंप्शन रिकॉर्ड के साथ जवाब देती है.
- पब्लिशर की साइट, विज्ञापन प्लैटफ़ॉर्म से अनुरोध करती है. इसमें रिडेंप्शन रिकॉर्ड भी शामिल होता है. इससे यह पता चलता है कि जारी करने वाले व्यक्ति या कंपनी को भरोसा है कि उपयोगकर्ता एक असल व्यक्ति है.
- विज्ञापन प्लैटफ़ॉर्म, विज्ञापन दिखाने के लिए ज़रूरी डेटा उपलब्ध कराता है.
- विज्ञापन, पब्लिशर की साइट पर दिखता है.
- विज्ञापन व्यू इंप्रेशन को गिना जाता है.
क्या Private State Tokens के लिए टूलिंग उपलब्ध है?
Chrome DevTools, नेटवर्क और ऐप्लिकेशन टैब से जांच करने की सुविधा चालू करता है. DevTools इंटिग्रेशन और Private State Tokens के बारे में ज़्यादा पढ़ें.
वेबसाइटें, भरोसेमंद कई इकाइयों के टोकन को कैसे मैनेज करती हैं?
साइट, एक बार में एक ही जारी करने वाले के लिए, document.hasTrustToken() की मदद से उपयोगकर्ता के ब्राउज़र में मान्य टोकन की जांच कर सकती है. अगर यह true दिखाता है और टोकन उपलब्ध है, तो साइट टोकन को रिडीम कर सकती है और अन्य टोकन ढूंढना बंद कर सकती है.
वेबसाइट को यह तय करना होगा कि किन टोकन जारी करने वालों की जांच करनी है और किस क्रम में करनी है.
उपयोग के उदाहरण
प्राइवेट स्टेट टोकन (पीएसटी), धोखाधड़ी रोकने के लिए कई तरह के इस्तेमाल के उदाहरणों के साथ काम करते हैं. PST को एक भरोसेमंद सिग्नल के तौर पर इस्तेमाल किया जा सकता है. ऐसा इसलिए, क्योंकि एपीआई जानकारी के ऐसे हिस्सों को कोड में बदल सकता है जो एक कॉन्टेक्स्ट से दूसरे कॉन्टेक्स्ट में भरोसा बढ़ाने में मदद कर सकते हैं. तीसरे पक्ष की कुकी के बंद होने के बाद, यह ज़रूरी होगा कि इस्तेमाल के ये उदाहरण अब भी काम करें. पीएसटी के सभी इस्तेमाल के मामलों में, जारी करने वाले और रिडीम करने वाले, दोनों को एक साथ काम करना होता है. अगर आपको यहां दिए गए किसी भी उदाहरण के लिए पीएसटी का इस्तेमाल करना है, तो आपको पीएसटी का इस्तेमाल करना चाहिए:
- धोखाधड़ी से बचाव करने वाली सेवाएं: धोखाधड़ी को रोकना, इस्तेमाल का एक ऐसा मान्य उदाहरण है जिसे वेब को सपोर्ट करना चाहिए. हालांकि, इसके लिए हर उपयोगकर्ता के हिसाब से, स्थिर और ग्लोबल आइडेंटिफ़ायर की ज़रूरत नहीं होनी चाहिए. तीसरे पक्ष के कॉन्टेक्स्ट में, पीएसटी का इस्तेमाल उपयोगकर्ताओं को भरोसेमंद और गैर-भरोसेमंद सेट में बांटने के लिए किया जा सकता है.
- विज्ञापन से जुड़ी धोखाधड़ी का विश्लेषण करना: विज्ञापन टेक्नोलॉजी से जुड़ी सेवाओं में, धोखाधड़ी वाले क्लिक, इंप्रेशन, और बॉट स्कीम का विश्लेषण करने के लिए, पीएसटी का इस्तेमाल किया जा सकता है.
- बॉट का पता लगाना: किसी ब्राउज़र के बॉट होने या न होने का विश्लेषण करने के बाद, PST उस जानकारी को कोड में बदल सकता है, ताकि उसे एक कॉन्टेक्स्ट से दूसरे कॉन्टेक्स्ट में शेयर किया जा सके.
- सुरक्षित पेमेंट: तीसरे पक्ष के कॉन्टेक्स्ट में, ऐसी धमकियों का पता लगाना मुश्किल होता है जिनके बारे में सीमित जानकारी उपलब्ध होती है. जैसे, कार्डिंग. ऐसे मामलों में, पीएसटी का इस्तेमाल भरोसेमंद होने का अतिरिक्त सिग्नल देने के लिए किया जा सकता है.
- ई-कॉमर्स में गलत इस्तेमाल रोकने वाली सेवाएं: ई-कॉमर्स इंटरैक्शन (क्लिक, चेकआउट, खरीदारी, प्रॉडक्ट रेटिंग, चैट बॉट, रिटर्न) में बॉट का पता लगाना बहुत ज़रूरी है. इससे पेज स्क्रैपिंग और गैर-मानवीय इंटरैक्शन से बचा जा सकता है. यह ई-कॉमर्स प्लैटफ़ॉर्म पर, धोखाधड़ी रोकने के लिए तीसरे पक्ष की सेवा देने वाली कंपनियों के लिए, ऑटोमेटेड एजेंट का पता लगाने वाला एक अहम अतिरिक्त सिग्नल हो सकता है.
- सीडीएन सेवाएं: पीएसटी, धोखाधड़ी वाले ट्रैफ़िक की रिपोर्टिंग और उसका पता लगाने में मदद करने के लिए एक तरीका उपलब्ध कराता है.
इस्तेमाल के उदाहरणों की इस सूची में, धोखाधड़ी रोकने से जुड़ी सभी सुविधाओं के बारे में नहीं बताया गया है. इन सुविधाओं को प्राइवेट स्टेट टोकन से फ़ायदा मिल सकता है. यह सूची एक-दूसरे से अलग नहीं है. पीएसटी से, धोखाधड़ी रोकने से जुड़े कई वर्कफ़्लो को फ़ायदा मिल सकता है.
उपयोगकर्ता की गतिविधियां
प्राइवेट स्टेट टोकन जारी करना और उन्हें रिडीम करना, इसके मुख्य कॉम्पोनेंट हैं. हालांकि, इस्तेमाल के पिछले उदाहरण मुख्य क्षेत्र हैं जहां पीएसटी काम करेंगे. हालांकि, उपयोगकर्ता के कुछ सफ़र में इन उदाहरणों को ऐसे उदाहरणों के तौर पर देखा जा सकता है जहां आपको टोकन जारी करने या रिडीम करने की ज़रूरत होगी:
- खाता मैनेज करने से जुड़े फ़्लो (लॉगिन, साइन अप, पासवर्ड रीसेट वगैरह) के दौरान टोकन जारी करना
- कई चरणों में पुष्टि (एमएफ़ए) की पुष्टि करने के बाद टोकन जारी करना
- ज़्यादा जोखिम वाली कार्रवाइयों के बाद टोकन जारी करना. जैसे, पेमेंट का इतिहास मिटाना
- सामान्य जोखिम वाली कार्रवाइयों से पहले, अलग-अलग साइटों पर पुष्टि करने के लिए टोकन रिडीम करना
- ज़्यादा जोखिम वाली कार्रवाइयों से पहले, क्रॉस-साइट पुष्टि के लिए टोकन रिडीम करना
ई-निजता कानूनों का पालन करना
निजी स्थिति वाले टोकन जारी करने के लिए, उपयोगकर्ता के टर्मिनल उपकरण पर जानकारी सेव करनी होती है. इसलिए, यह गतिविधि यूरोपियन इकनॉमिक एरिया (ईईए) और यूनाइटेड किंगडम में ई-प्राइवसी कानूनों के तहत आती है. आम तौर पर, इसके लिए उपयोगकर्ता की सहमति लेना ज़रूरी होता है. इश्यू करने वाली कंपनी के तौर पर, यह तय करना आपकी ज़िम्मेदारी है कि Private State Tokens API का इस्तेमाल करना, उपयोगकर्ता की ओर से साफ़ तौर पर अनुरोध की गई ऑनलाइन सेवा देने के लिए बेहद ज़रूरी है या नहीं. अगर ऐसा है, तो सहमति लेने की ज़रूरत नहीं होगी. ज़्यादा जानकारी के लिए, हम आपको Privacy Sandbox के निजता से जुड़े अनुपालन के बारे में अक्सर पूछे जाने वाले सवाल पढ़ने का सुझाव देते हैं.
जुड़ें और सुझाव/राय दें या शिकायत करें
- ऑरिजिन ट्रायल: अब बंद हो गया है.
- GitHub: प्रस्ताव पढ़ें, सवाल पूछें और चर्चा को फ़ॉलो करें.
- W3C: वेब विज्ञापन के कारोबार को बेहतर बनाने वाले ग्रुप में, इंडस्ट्री के इस्तेमाल के उदाहरणों पर चर्चा करें.
- IETF: IETF के Privacy Pass वर्किंग ग्रुप में, प्रोटोकॉल के लिए तकनीकी जानकारी उपलब्ध कराना.
- डेवलपर सहायता: Privacy Sandbox Developer Support repo पर सवाल पूछें और चर्चाओं में शामिल हों.
- ऑरिजिन ट्रायल से जुड़े सवाल: Chromium में मौजूद बग की शिकायत करें या ऑरिजिन ट्रायल में हिस्सा लेने वाले व्यक्ति को भेजे गए सुझाव/राय देने या शिकायत करने वाले फ़ॉर्म का इस्तेमाल करें.
ज़्यादा जानें
- Private State Token API के बारे में तकनीकी जानकारी
- Private State Tokens का इस्तेमाल शुरू करना: वेब डेवलपर के लिए खास जानकारी
- Chrome के ऑरिजिन ट्रायल का इस्तेमाल शुरू करना
- Privacy Sandbox के बारे में ज़्यादा जानकारी