प्राइवेट स्टेट टोकन

लागू करने की स्थिति

• Chrome Platform Status.
• ऑरिजिन ट्रायल में Chrome 84 से 101: अब बंद हो गया है.
• Chrome DevTools इंटिग्रेशन.

प्राइवेट स्टेट टोकन क्या होते हैं?

Private State Tokens की मदद से, उपयोगकर्ता के भरोसेमंद होने की जानकारी को एक कॉन्टेक्स्ट से दूसरे पर दिखाया जा सकता है. इससे, साइटों को पैसिव ट्रैकिंग के बिना, धोखाधड़ी से निपटने और इंसान और बॉट में अंतर करने में मदद मिलती है.

• टोकन जारी करने वाली वेबसाइट, किसी ऐसे उपयोगकर्ता के वेब ब्राउज़र को टोकन जारी कर सकती है जो भरोसेमंद हो. जैसे, लगातार खाते का इस्तेमाल करने, लेन-देन पूरा करने या reCAPTCHA का स्वीकार्य स्कोर पाने के ज़रिए.
• रिडीमर वेबसाइट यह पुष्टि कर सकती है कि कोई उपयोगकर्ता नकली नहीं है. इसके लिए, वह यह जांच करती है कि उपयोगकर्ता के पास, रिडीमर के भरोसेमंद किसी जारीकर्ता के टोकन हैं या नहीं. इसके बाद, वह ज़रूरत के मुताबिक टोकन रिडीम करती है.

प्राइवेट स्टेट टोकन एन्क्रिप्ट (सुरक्षित) किए जाते हैं. इसलिए, किसी व्यक्ति की पहचान करना या उपयोगकर्ता की पहचान का पता लगाने के लिए, भरोसेमंद और गैर-भरोसेमंद इंस्टेंस को कनेक्ट करना मुमकिन नहीं है.

हमें प्राइवेट स्टेट टोकन की ज़रूरत क्यों होती है?

वेब को ऐसे तरीके चाहिए जिनसे भरोसे के सिग्नल को सेट अप और भेजा जा सके. इससे यह पता चलता है कि उपयोगकर्ता वही है जो वह होने का दावा कर रहा है. साथ ही, वह कोई ऐसा बॉट नहीं है जो इंसान होने का नाटक कर रहा है. इसके अलावा, वह कोई ऐसा तीसरा पक्ष भी नहीं है जो किसी असली व्यक्ति या सेवा के साथ धोखाधड़ी कर रहा है. धोखाधड़ी से सुरक्षा, विज्ञापन देने वाले लोगों या कंपनियों, विज्ञापन से जुड़ी सेवा देने वाली कंपनियों, और सीडीएन के लिए खास तौर पर ज़रूरी है.

माफ़ करें, लेकिन भरोसेमंद होने का आकलन करने और उसे बढ़ावा देने के लिए, मौजूदा समय में कई तरीकों का इस्तेमाल किया जाता है. उदाहरण के लिए, यह पता लगाने के लिए कि किसी साइट के साथ इंटरैक्शन करने वाला व्यक्ति असली है या नहीं. हालांकि, इन तरीकों में ऐसी तकनीकों का इस्तेमाल किया जाता है जिनका इस्तेमाल फ़िंगरप्रिंटिंग के लिए भी किया जा सकता है. भरोसेमंद सिग्नल भेजने के तरीकों में निजता बनाए रखने की सुविधा होनी चाहिए. इससे, हर उपयोगकर्ता को ट्रैक किए बिना, अलग-अलग साइटों पर भरोसेमंद सिग्नल भेजे जा सकते हैं.

Private State Token API की मदद से, कोई वेबसाइट किसी ऐसे उपयोगकर्ता को क्रिप्टोग्राफ़िक टोकन जारी कर सकती है जिस पर उसे भरोसा है. इन टोकन का इस्तेमाल बाद में किसी दूसरी जगह किया जा सकता है. टोकन को उपयोगकर्ता के ब्राउज़र में सुरक्षित तरीके से सेव किया जाता है. इसके बाद, उपयोगकर्ता की पहचान की पुष्टि करने के लिए, इन्हें अन्य संदर्भों में रिडीम किया जा सकता है. इससे किसी एक वेबसाइट (जैसे, सोशल मीडिया साइट या ईमेल सेवा) पर उपयोगकर्ता के भरोसे को दूसरी वेबसाइट (जैसे, पब्लिशर या ऑनलाइन स्टोर) पर भेजा जा सकता है. हालांकि, इसमें उपयोगकर्ता की पहचान ज़ाहिर नहीं की जाती है और न ही अलग-अलग साइटों पर पहचानों को लिंक किया जाता है.

प्राइवेट स्टेट टोकन कैसे काम करते हैं?

इस उदाहरण में, पब्लिशर की वेबसाइट यह जांच करना चाहती है कि कोई उपयोगकर्ता असली इंसान है या बॉट. इसके बाद ही, वह विज्ञापन दिखाएगी.

1. कोई उपयोगकर्ता किसी वेबसाइट (इसे जारी करने वाला कहा जाता है) पर जाता है और ऐसी कार्रवाइयां करता है जिनसे साइट को लगता है कि उपयोगकर्ता कोई असली इंसान है. जैसे, खरीदारी करना, ईमेल खाते का इस्तेमाल करना या reCAPTCHA को सही तरीके से पूरा करना.
2. जारी करने वाली साइट, Private State Token JavaScript API का इस्तेमाल करके, उपयोगकर्ता के ब्राउज़र के लिए ट्रस्ट टोकन का अनुरोध ट्रिगर करती है.
3. कार्ड जारी करने वाली कंपनी की साइट, टोकन का डेटा भेजती है.
4. उपयोगकर्ता का ब्राउज़र, ट्रस्ट टोकन के लिए डेटा को सुरक्षित तरीके से सेव करता है.
5. उपयोगकर्ता किसी ऐसी वेबसाइट (जैसे कि समाचार पब्लिशर) पर जाता है जो यह पुष्टि करना चाहती है कि उपयोगकर्ता कोई असली इंसान है. उदाहरण के लिए, विज्ञापन दिखाते समय.
6. यह साइट, Private State Token API का इस्तेमाल करती है. इससे यह पता चलता है कि उपयोगकर्ता के ब्राउज़र में, उन जारी करने वालों के लिए ट्रस्ट टोकन सेव किए गए हैं जिन पर साइट भरोसा करती है.
7. उपयोगकर्ता ने पहले जिस जारी करने वाले व्यक्ति या कंपनी की साइट पर विज़िट किया था उसके लिए प्राइवेट स्टेट टोकन मिले हैं.
8. पब्लिशर की साइट, ट्रस्ट टोकन रिडीम करने के लिए जारी करने वाले को अनुरोध भेजती है.
9. कार्ड जारी करने वाली साइट, रिडेंप्शन रिकॉर्ड के साथ जवाब देती है.
10. पब्लिशर की साइट, विज्ञापन प्लैटफ़ॉर्म से अनुरोध करती है. इसमें रिडेंप्शन रिकॉर्ड भी शामिल होता है. इससे यह पता चलता है कि जारी करने वाले व्यक्ति या कंपनी को भरोसा है कि उपयोगकर्ता एक असल व्यक्ति है.
11. विज्ञापन प्लैटफ़ॉर्म, विज्ञापन दिखाने के लिए ज़रूरी डेटा उपलब्ध कराता है.
12. विज्ञापन, पब्लिशर की साइट पर दिखता है.
13. विज्ञापन व्यू इंप्रेशन को गिना जाता है.

क्या Private State Tokens के लिए टूलिंग उपलब्ध है?

Chrome DevTools, नेटवर्क और ऐप्लिकेशन टैब से जांच करने की सुविधा चालू करता है. DevTools इंटिग्रेशन और Private State Tokens के बारे में ज़्यादा पढ़ें.

वेबसाइटें, भरोसेमंद तरीके से टोकन जारी करने वाली कई कंपनियों से मिले टोकन को कैसे मैनेज करती हैं?

साइट, एक बार में एक ही जारी करने वाले के लिए, document.hasTrustToken() की मदद से उपयोगकर्ता के ब्राउज़र में मान्य टोकन की जांच कर सकती है. अगर यह true दिखाता है और टोकन उपलब्ध है, तो साइट टोकन को रिडीम कर सकती है और अन्य टोकन ढूंढना बंद कर सकती है.

वेबसाइट को यह तय करना होगा कि किन टोकन जारी करने वालों की जांच करनी है और किस क्रम में करनी है.

उपयोग के उदाहरण

प्राइवेट स्टेट टोकन (पीएसटी), धोखाधड़ी रोकने के लिए कई तरह के इस्तेमाल के उदाहरणों के साथ काम करते हैं. PST, भरोसे का एक अतिरिक्त सिग्नल हो सकता है. ऐसा इसलिए, क्योंकि एपीआई जानकारी के ऐसे हिस्सों को कोड में बदल सकता है जो एक कॉन्टेक्स्ट से दूसरे कॉन्टेक्स्ट में भरोसे को बढ़ावा देने में मदद कर सकते हैं. तीसरे पक्ष की कुकी के बंद होने के बाद, यह ज़रूरी होगा कि इस्तेमाल के ये उदाहरण अब भी काम करें. पीएसटी के सभी इस्तेमाल के मामलों में, जारी करने वाले और रिडीम करने वाले, दोनों को साथ मिलकर काम करना होता है. अगर आपको यहां दिए गए किसी भी उदाहरण की तरह, पीएसटी का इस्तेमाल करना है, तो इसे आज़माएं:

• धोखाधड़ी से बचाव करने वाली सेवाएं: धोखाधड़ी को रोकना, इस्तेमाल का एक ऐसा मान्य उदाहरण है जिसे वेब को सपोर्ट करना चाहिए. हालांकि, इसके लिए हर उपयोगकर्ता के हिसाब से, स्थिर और ग्लोबल आइडेंटिफ़ायर की ज़रूरत नहीं होनी चाहिए. तीसरे पक्ष के कॉन्टेक्स्ट में, पीएसटी का इस्तेमाल उपयोगकर्ताओं को भरोसेमंद और गैर-भरोसेमंद सेट में बांटने के लिए किया जा सकता है.
• विज्ञापन से जुड़ी धोखाधड़ी का विश्लेषण करना: विज्ञापन टेक्नोलॉजी से जुड़ी सेवाओं में, धोखाधड़ी वाले क्लिक, इंप्रेशन, और बॉट स्कीम का विश्लेषण करने के लिए, पीएसटी का इस्तेमाल किया जा सकता है.
• बॉट का पता लगाना: किसी ब्राउज़र के बॉट होने या न होने का विश्लेषण करने के बाद, PST उस जानकारी को कोड में बदल सकता है, ताकि उसे एक कॉन्टेक्स्ट से दूसरे कॉन्टेक्स्ट में शेयर किया जा सके.
• सुरक्षित पेमेंट: तीसरे पक्ष के कॉन्टेक्स्ट में, ऐसी मुश्किल से पहचानी जा सकने वाली समस्याओं का पता लगाने के लिए, जिनके बारे में सीमित जानकारी उपलब्ध होती है, पीएसटी का इस्तेमाल भरोसेमंद होने का अतिरिक्त सिग्नल देने के लिए किया जा सकता है. जैसे, कार्डिंग.
• ई-कॉमर्स में गलत इस्तेमाल रोकने वाली सेवाएं: ई-कॉमर्स में होने वाली इंटरैक्शन (क्लिक, चेकआउट, खरीदारी, प्रॉडक्ट रेटिंग, चैट बॉट, रिटर्न) में बॉट का पता लगाना बहुत ज़रूरी है. इससे पेज स्क्रैपिंग और गैर-मानवीय इंटरैक्शन से बचा जा सकता है. यह ई-कॉमर्स प्लैटफ़ॉर्म पर, धोखाधड़ी रोकने के लिए तीसरे पक्ष की सेवा देने वाली कंपनियों के लिए, ऑटोमेटेड एजेंट का पता लगाने वाला एक अहम अतिरिक्त सिग्नल हो सकता है.
• सीडीएन सेवाएं: पीएसटी, धोखाधड़ी वाले ट्रैफ़िक का पता लगाने और उसकी शिकायत करने में मदद करता है.

इस्तेमाल के उदाहरणों की इस सूची में, धोखाधड़ी रोकने से जुड़ी सभी सुविधाओं के बारे में नहीं बताया गया है. इन सुविधाओं को प्राइवेट स्टेट टोकन से फ़ायदा मिल सकता है. यह सूची एक-दूसरे से अलग नहीं है. पीएसटी से, धोखाधड़ी रोकने से जुड़े कई वर्कफ़्लो को फ़ायदा मिल सकता है.

उपयोगकर्ता की गतिविधियां

प्राइवेट स्टेट टोकन जारी करना और उन्हें रिडीम करना, इसके मुख्य कॉम्पोनेंट हैं. हालांकि, इस्तेमाल के पिछले उदाहरण मुख्य क्षेत्र हैं जहां पीएसटी काम करेंगे. हालांकि, उपयोगकर्ता के कुछ सफ़र में इन उदाहरणों के बारे में सोचा जा सकता है. ये ऐसे उदाहरण हैं जहां आपको टोकन जारी करने या रिडीम करने की ज़रूरत होगी:

• खाता मैनेज करने से जुड़े फ़्लो (लॉगिन, साइन अप, पासवर्ड रीसेट वगैरह) के दौरान टोकन जारी करना
• कई चरणों में पुष्टि (एमएफ़ए) की पुष्टि करने के बाद टोकन जारी करना
• ज़्यादा जोखिम वाली कार्रवाइयों के बाद टोकन जारी करना. जैसे, पेमेंट का इतिहास मिटाना
• सामान्य जोखिम वाली कार्रवाइयों से पहले, अलग-अलग साइटों पर पुष्टि करने के लिए टोकन रिडीम करें
• ज़्यादा जोखिम वाली कार्रवाइयों से पहले, क्रॉस-साइट पुष्टि के लिए टोकन रिडीम करना

ई-निजता कानूनों का पालन करना

प्राइवेट स्टेट टोकन जारी करने के लिए, उपयोगकर्ता के टर्मिनल इक्विपमेंट पर जानकारी सेव करनी होती है. इसलिए, यह गतिविधि यूरोपियन इकनॉमिक एरिया (ईईए) और यूनाइटेड किंगडम में ई-निजता कानूनों के दायरे में आती है. आम तौर पर, इसके लिए उपयोगकर्ता की सहमति लेना ज़रूरी होता है. इश्यू करने वाली कंपनी के तौर पर, यह तय करना आपकी ज़िम्मेदारी है कि Private State Tokens API का इस्तेमाल करना, उपयोगकर्ता की ओर से साफ़ तौर पर अनुरोध की गई ऑनलाइन सेवा देने के लिए बेहद ज़रूरी है या नहीं. अगर ऐसा है, तो सहमति लेने की ज़रूरत नहीं होगी. ज़्यादा जानकारी के लिए, हम आपको Privacy Sandbox के निजता से जुड़े अनुपालन के बारे में अक्सर पूछे जाने वाले सवाल पढ़ने का सुझाव देते हैं.

सुझाव/राय देना या शिकायत करना

• ऑरिजिन ट्रायल: अब बंद हो गया है.
• GitHub: प्रस्ताव पढ़ें, सवाल पूछें और चर्चा को फ़ॉलो करें.
• W3C: वेब विज्ञापन के कारोबार को बेहतर बनाने वाले ग्रुप में, इंडस्ट्री के इस्तेमाल के उदाहरणों पर चर्चा करें.
• IETF: IETF के Privacy Pass वर्किंग ग्रुप में, प्रोटोकॉल के लिए तकनीकी जानकारी उपलब्ध कराना.
• ऑरिजिन ट्रायल से जुड़े सवाल: Chromium में मौजूद बग की शिकायत करें या ऑरिजिन ट्रायल में हिस्सा लेने वाले व्यक्ति को भेजे गए सुझाव/राय देने या शिकायत करने वाले फ़ॉर्म का इस्तेमाल करें.

ज़्यादा जानें

• Private State Token API के बारे में तकनीकी जानकारी
• Private State Tokens का इस्तेमाल शुरू करना: वेब डेवलपर के लिए खास जानकारी
• Chrome के ऑरिजिन ट्रायल का इस्तेमाल शुरू करना
• Privacy Sandbox के बारे में ज़्यादा जानकारी