توکن های دولتی خصوصی

وضعیت پیاده‌سازی

• وضعیت پلتفرم کروم
• نسخه آزمایشی اولیه کروم ۸۴ تا ۱۰۱: اکنون بسته شده است.
• ادغام ابزارهای توسعه کروم

توکن‌های خصوصی دولتی چیستند؟

توکن‌های خصوصی دولتی، اعتماد به اصالت کاربر را از یک زمینه به زمینه دیگر منتقل می‌کنند، به سایت‌ها کمک می‌کنند تا با کلاهبرداری مبارزه کنند و ربات‌ها را از انسان‌های واقعی تشخیص دهند - بدون ردیابی غیرفعال.

• یک وب‌سایت صادرکننده می‌تواند توکن‌ها را به مرورگر وب کاربری که نشان می‌دهد قابل اعتماد است، صادر کند، برای مثال از طریق استفاده مداوم از حساب، تکمیل یک تراکنش یا دریافت امتیاز قابل قبول reCAPTCHA .
• یک وب‌سایت بازخرید می‌تواند با بررسی اینکه آیا کاربر توکن‌هایی از صادرکننده‌ای که بازخریدکننده به آن اعتماد دارد، دارد یا خیر، تأیید کند که کاربر جعلی نیست و سپس در صورت لزوم توکن‌ها را بازخرید کند.

توکن‌های خصوصی رمزگذاری شده‌اند، بنابراین شناسایی یک فرد یا اتصال نمونه‌های قابل اعتماد و غیر قابل اعتماد برای کشف هویت کاربر امکان‌پذیر نیست.

چرا به توکن‌های خصوصی ایالتی نیاز داریم؟

وب به روش‌هایی برای ایجاد و انتقال سیگنال‌های اعتماد نیاز دارد که نشان دهد کاربر همان کسی است که ادعا می‌کند، و نه یک ربات که وانمود می‌کند انسان است یا یک شخص ثالث مخرب که یک شخص یا سرویس واقعی را فریب می‌دهد. محافظت در برابر کلاهبرداری به ویژه برای تبلیغ‌کنندگان، ارائه‌دهندگان تبلیغات و CDNها مهم است.

متأسفانه، بسیاری از سازوکارهای موجود برای سنجش و انتشار قابلیت اعتماد - مثلاً برای تشخیص اینکه آیا تعامل با یک سایت از جانب یک انسان واقعی است یا خیر - از تکنیک‌هایی استفاده می‌کنند که می‌توانند برای اثر انگشت نیز استفاده شوند. سازوکارهای انتقال اعتماد باید حریم خصوصی را حفظ کنند و امکان انتشار اعتماد در سایت‌ها را بدون ردیابی تک تک کاربران فراهم کنند.

با استفاده از API توکن‌های خصوصی دولتی، یک وب‌سایت می‌تواند توکن‌های رمزنگاری‌شده را برای کاربری که به او اعتماد دارد، صادر کند که بعداً می‌تواند در جای دیگری استفاده شود. این توکن‌ها به طور ایمن توسط مرورگر کاربر ذخیره می‌شوند و سپس می‌توانند در زمینه‌های دیگر برای تأیید صحت کاربر بازخرید شوند. این امر اجازه می‌دهد تا اعتماد یک کاربر در یک وب‌سایت (مانند یک سایت رسانه اجتماعی یا سرویس ایمیل) به وب‌سایت دیگری (مانند یک ناشر یا فروشگاه آنلاین) بدون شناسایی کاربر یا پیوند هویت‌ها در سایت‌های مختلف منتقل شود.

توکن‌های خصوصی دولتی چگونه کار می‌کنند؟

در این مثال، یک وب‌سایت ناشر می‌خواهد قبل از نمایش تبلیغ، بررسی کند که آیا کاربر یک انسان واقعی است و نه یک ربات.

1. کاربر از یک وب‌سایت (که به عنوان صادرکننده شناخته می‌شود) بازدید می‌کند و اقداماتی را انجام می‌دهد که باعث می‌شود سایت باور کند که کاربر یک انسان واقعی است، مانند خرید، استفاده از حساب ایمیل یا تکمیل موفقیت‌آمیز reCAPTCHA.
2. سایت صادرکننده از API جاوا اسکریپت توکن دولتی خصوصی برای ایجاد درخواست توکن‌های اعتماد برای مرورگر کاربر استفاده می‌کند.
3. سایت صادرکننده با داده‌های توکن پاسخ می‌دهد.
4. مرورگر کاربر به طور ایمن داده‌ها را برای توکن اعتماد ذخیره می‌کند.
5. کاربر از وب‌سایت دیگری (مانند یک ناشر خبر) بازدید می‌کند که می‌خواهد تأیید کند که آیا کاربر یک انسان واقعی است یا خیر: برای مثال، هنگام نمایش تبلیغات.
6. این سایت از API توکن‌های خصوصی ایالتی برای بررسی اینکه آیا مرورگر کاربر توکن‌های اعتمادی را برای صادرکنندگانی که سایت به آنها اعتماد دارد ذخیره کرده است یا خیر، استفاده می‌کند.
7. توکن‌های حالت خصوصی برای صادرکننده‌ای که کاربر قبلاً از آن بازدید کرده است، یافت می‌شوند.
8. سایت ناشر از صادرکننده درخواست می‌کند تا توکن‌های اعتماد را بازخرید کند.
9. سایت صادرکننده با یک «رکورد بازخرید» پاسخ می‌دهد.
10. سایت ناشر درخواستی را به یک پلتفرم تبلیغاتی ارسال می‌کند، از جمله درخواست «سابقه بازخرید» که نشان می‌دهد کاربر توسط صادرکننده به عنوان یک انسان واقعی مورد اعتماد است.
11. پلتفرم تبلیغاتی، داده‌های مورد نیاز برای نمایش یک تبلیغ را فراهم می‌کند.
12. سایت ناشر، تبلیغ را نمایش می‌دهد.
13. تعداد نمایش تبلیغ (impression) محاسبه می‌شود.

آیا ابزاری برای توکن‌های دولتی خصوصی موجود است؟

Chrome DevTools بازرسی را از تب‌های Network و Application فعال می‌کند. درباره این ادغام DevTools و Private State Tokens بیشتر بخوانید.

وب‌سایت‌ها چگونه توکن‌های چندین صادرکننده‌ی مورد اعتماد را مدیریت می‌کنند؟

سایت می‌تواند با استفاده از document.hasTrustToken() ‎ مرورگر کاربر را برای یافتن توکن‌های معتبر برای یک صادرکننده در یک زمان بررسی کند. اگر این true را برگرداند و توکنی موجود باشد، سایت می‌تواند توکن را بازخرید کند و جستجوی توکن‌های دیگر را متوقف کند.

وب‌سایت باید تصمیم بگیرد که کدام صادرکنندگان توکن را بررسی کند و به چه ترتیبی.

موارد استفاده

توکن‌های خصوصی دولتی (PST) از طیف وسیعی از موارد استفاده ضد کلاهبرداری پشتیبانی می‌کنند. در اصل، PST می‌تواند به عنوان یک سیگنال اعتماد اضافی عمل کند زیرا API قادر به رمزگذاری اطلاعاتی است که می‌تواند به انتقال اعتماد از یک زمینه به زمینه دیگر کمک کند. با حذف کوکی‌های شخص ثالث، ما می‌دانیم که اطمینان از اینکه موارد استفاده‌ای مانند موارد زیر همچنان می‌توانند در صورت نیاز عمل کنند، بسیار مهم خواهد بود. همه موارد استفاده PST مستلزم همکاری صادرکنندگان و بازخریدکنندگان است. اگر موارد استفاده‌ای مشابه هر یک از موارد زیر دارید، می‌توانید PST را در نظر بگیرید:

• سرویس‌های ضد کلاهبرداری : جلوگیری از کلاهبرداری یک مورد استفاده مشروع است که وب باید از آن پشتیبانی کند، اما نباید به یک شناسه پایدار و جهانی برای هر کاربر نیاز داشته باشد. در زمینه‌های شخص ثالث، PST می‌تواند برای تقسیم‌بندی کاربران به مجموعه‌های قابل اعتماد و غیرقابل اعتماد استفاده شود.
• تحلیل کلاهبرداری تبلیغاتی : PST می‌تواند برای تحلیل کلیک‌ها، نمایش‌ها و طرح‌های ربات‌های کلاهبرداری در خدمات فناوری تبلیغات مفید باشد.
• تشخیص ربات : پس از اینکه تجزیه و تحلیل خود را در مورد اینکه آیا یک مرورگر ربات است یا خیر، انجام دادید، PST می‌تواند به رمزگذاری آن اطلاعات برای اشتراک‌گذاری از یک زمینه به زمینه دیگر کمک کند.
• پرداخت‌های امن : برای شناسایی تهدیدهایی که شناسایی آنها در یک زمینه شخص ثالث با اطلاعات محدود (مانند کارتینگ ) دشوارتر است، می‌توان از PST به عنوان یک سیگنال اضافی برای انتقال اعتماد استفاده کرد.
• سرویس‌های ضد سوءاستفاده در تجارت الکترونیک : تشخیص ربات‌ها در تعاملات تجارت الکترونیک (کلیک‌ها، پرداخت، خرید، رتبه‌بندی محصولات، ربات‌های چت، بازگشت کالا) برای جلوگیری از سرقت صفحه و تعاملات غیرانسانی بسیار مهم است. این می‌تواند یک سیگنال اضافی مهم برای تشخیص عوامل خودکار برای ارائه‌دهندگان خدمات ضد کلاهبرداری شخص ثالث در پلتفرم‌های تجارت الکترونیک باشد.
• خدمات CDN : PST مکانیزمی را برای کمک به گزارش و تشخیص ترافیک جعلی ارائه می‌دهد.

این فهرست موارد استفاده، فهرست کاملی از تمام قابلیت‌های ضد کلاهبرداری که ممکن است از توکن‌های خصوصی دولتی بهره‌مند شوند، نیست. این فهرست همچنین منحصر به فرد نیست، PST ممکن است از چندین گردش کار ضد کلاهبرداری بهره‌مند شود.

سفرهای کاربر

صدور و بازخرید، اجزای کلیدی توکن‌های خصوصی دولتی هستند. در حالی که موارد استفاده قبلی، حوزه‌های کلیدی پشتیبانی از PSTها هستند، می‌توانید لحظات زیر را در برخی از سفرهای کاربری به عنوان مواردی در نظر بگیرید که واقعاً می‌خواهید توکن‌ها را صادر یا بازخرید کنید:

• صدور توکن‌ها در طول جریان‌های مدیریت حساب (ورود، ثبت نام، تنظیم مجدد رمز عبور و غیره)
• پس از تأیید احراز هویت چند عاملی (MFA)، توکن‌ها را صادر کنید
• پس از اقدامات پرخطر مانند حذف سابقه پرداخت، توکن صادر کنید
• قبل از اقدامات با ریسک متوسط، توکن‌ها را برای تأیید بین سایتی بازخرید کنید
• قبل از اقدامات پرخطر، توکن‌ها را برای تأیید بین سایتی بازخرید کنید

رعایت قوانین حریم خصوصی الکترونیکی

صدور توکن‌های خصوصی دولتی شامل ذخیره اطلاعات روی تجهیزات ترمینال کاربر است و بنابراین فعالیتی است که مشمول قوانین حریم خصوصی الکترونیکی در منطقه اقتصادی اروپا (EEA) و بریتانیا می‌شود که عموماً نیاز به رضایت کاربر دارد. به عنوان صادرکننده، مسئولیت تعیین اینکه آیا استفاده شما از API توکن‌های خصوصی دولتی برای ارائه یک سرویس آنلاین که صریحاً توسط کاربر درخواست شده است، کاملاً ضروری است و بنابراین از الزام رضایت معاف است، بر عهده شماست. برای اطلاعات بیشتر، شما را تشویق می‌کنیم که سوالات متداول مربوط به انطباق با حریم خصوصی در سندباکس حریم خصوصی ما را مطالعه کنید.

مشارکت کنید و بازخورد خود را به اشتراک بگذارید

• محاکمه مبدا : اکنون بسته شده است.
• گیت‌هاب : پیشنهاد را بخوانید، سؤال بپرسید و بحث را دنبال کنید .
• W3C : موارد استفاده صنعتی را در گروه تجاری بهبود تبلیغات وب مورد بحث قرار دهید.
• IETF : ارائه ورودی فنی برای پروتکل زیربنایی در گروه کاری IETF Privacy Pass .
• سوالات مربوط به آزمایش Origin : یک اشکال Chromium ثبت کنید یا به فرم بازخوردی که به عنوان یک شرکت کننده در آزمایش Origin برای شما ارسال می‌شود، پاسخ دهید.

اطلاعات بیشتر

• توضیح فنی API توکن دولتی خصوصی
• شروع کار با توکن‌های خصوصی دولتی : مروری بر توسعه‌دهندگان وب
• شروع آزمایش‌های اولیه کروم
• کاوش در سندباکس حریم خصوصی