Tokeny prywatności

Stan wdrożenia

Czym są tokeny prywatności?

   

Tokeny prywatności umożliwiają przekazywanie informacji o zaufaniu do autentyczności użytkownika z jednego kontekstu do drugiego, co pomaga witrynom zwalczać oszustwa i odróżniać boty od prawdziwych użytkowników bez pasywnego śledzenia.

  • Witryna wydawcy może wydawać tokeny przeglądarce użytkownika, który wykaże, że jest godny zaufania, np. przez ciągłe korzystanie z konta, dokonywanie transakcji lub uzyskanie odpowiedniej oceny reCAPTCHA.
  • Witryna odbiorcy może potwierdzić, że użytkownik nie jest fałszywy, sprawdzając, czy ma tokeny od wystawcy, któremu ufa, a następnie w razie potrzeby wykorzystując te tokeny.

Tokeny stanu prywatnego są szyfrowane, więc nie można zidentyfikować poszczególnych osób ani połączyć zaufanych i niezaufanych instancji w celu odkrycia tożsamości użytkownika.

Dlaczego potrzebujemy tokenów prywatności?

Internet potrzebuje sposobów na ustalanie i przekazywanie sygnałów zaufania, które pokazują, że użytkownik jest tym, za kogo się podaje, a nie botem udającym człowieka lub złośliwą osobą trzecią, która oszukuje prawdziwą osobę lub usługę. Ochrona przed oszustwami jest szczególnie ważna dla reklamodawców, dostawców reklam i sieci CDN.

Niestety wiele obecnych mechanizmów oceny i rozpowszechniania wiarygodności – np. określania, czy interakcja z witryną pochodzi od prawdziwego użytkownika – wykorzystuje techniki, które mogą być też używane do tworzenia odcisków cyfrowych. Mechanizmy przekazywania zaufania muszą chronić prywatność, umożliwiając rozpowszechnianie zaufania w witrynach bez śledzenia poszczególnych użytkowników.

Za pomocą interfejsu Private State Token API witryna może wydawać zaufanemu użytkownikowi tokeny kryptograficzne, które można później wykorzystać w innych miejscach. Tokeny są bezpiecznie przechowywane w przeglądarce użytkownika i mogą być wykorzystywane w innych kontekstach do potwierdzania autentyczności użytkownika. Umożliwia to przekazywanie zaufania użytkownika w jednej witrynie (np. w mediach społecznościowych lub usłudze poczty e-mail) do innej witryny (np. wydawcy lub sklepu internetowego) bez identyfikowania użytkownika ani łączenia tożsamości w różnych witrynach.

Jak działają tokeny prywatności?

W tym przykładzie witryna wydawcy chce sprawdzić, czy użytkownik jest prawdziwą osobą, a nie botem, zanim wyświetli reklamę.

  1. Użytkownik odwiedza witrynę (zwaną wydawcą) i wykonuje działania, które przekonują witrynę, że jest on prawdziwym człowiekiem, np. dokonuje zakupów, korzysta z konta e-mail lub pomyślnie przechodzi test reCAPTCHA.
  2. Witryna wystawcy używa interfejsu Private State Token JavaScript API, aby wysłać do przeglądarki użytkownika żądanie tokenów zaufania.
  3. Witryna wydawcy odpowiada danymi tokena.
  4. Przeglądarka użytkownika bezpiecznie przechowuje dane tokena zaufania.
  5. Użytkownik odwiedza inną witrynę (np. wydawcy wiadomości), która chce sprawdzić, czy jest on prawdziwą osobą, np. podczas wyświetlania reklam.
  6. Witryna używa interfejsu Private State Token API, aby sprawdzić, czy przeglądarka użytkownika ma zapisane tokeny zaufania dla wydawców, którym witryna ufa.
  7. Tokeny prywatności są znajdowane w przypadku wydawcy, którego użytkownik odwiedził wcześniej.
  8. Witryna wydawcy wysyła do wystawcy żądanie wykorzystania tokenów zaufania.
  9. Witryna wydawcy odpowiada, przesyłając rekord realizacji.
  10. Witryna wydawcy wysyła żądanie do platformy reklamowej, w tym rekord weryfikacji, aby wykazać, że wydawca ufa użytkownikowi jako prawdziwej osobie.
  11. Platforma reklamowa udostępnia dane wymagane do wyświetlania reklamy.
  12. Witryna wydawcy wyświetla reklamę.
  13. Wyświetlenie reklamy w widoku jest zliczane.

Czy są dostępne narzędzia do tokenów prywatności?

Narzędzia deweloperskie w Chrome włączają sprawdzanie na kartach Sieć i Aplikacja. Dowiedz się więcej o tej integracji z Narzędziami deweloperskimi i o tokenach stanu prywatnego.

Jak witryny obsługują tokeny od wielu zaufanych wystawców?

Witryna może sprawdzać w przeglądarce użytkownika, czy są w niej prawidłowe tokeny z document.hasTrustToken() dla jednego wystawcy naraz. Jeśli ta funkcja zwróci wartość true i dostępny jest token, witryna może go wykorzystać i przestać szukać innych tokenów.

Witryna musi zdecydować, których wystawców tokenów ma sprawdzić i w jakiej kolejności.

Przypadki użycia

Tokeny prywatności (PST) obsługują różne przypadki użycia związane z przeciwdziałaniem oszustwom. W najprostszym ujęciu PST może działać jako dodatkowy sygnał zaufania, ponieważ interfejs API może kodować informacje, które pomagają przekazywać zaufanie z jednego kontekstu do drugiego. Wraz z wycofaniem plików cookie innych firm zdajemy sobie sprawę, że kluczowe będzie zapewnienie, aby przypadki użycia takie jak te poniżej nadal działały zgodnie z potrzebami. Wszystkie przypadki użycia PST wymagają współpracy emitentów i osób realizujących transakcje. Warto rozważyć użycie PST, jeśli masz przypadki użycia podobne do któregokolwiek z tych:

  • Usługi zapobiegania oszustwom: zapobieganie oszustwom to uzasadniony przypadek użycia, który powinien być obsługiwany w internecie, ale nie wymaga stabilnego, globalnego identyfikatora użytkownika. W kontekstach innych firm PST może służyć do dzielenia użytkowników na zaufanych i niezaufanych.
  • Analizowanie oszustw związanych z reklamami: PST może być przydatne do analizowania fałszywych kliknięć, wyświetleń i schematów botów w usługach technologii reklamowych.
  • Wykrywanie botów: po przeprowadzeniu analizy, która ma na celu sprawdzenie, czy przeglądarka jest botem, PST może pomóc w zakodowaniu tych informacji, aby można je było udostępniać w różnych kontekstach.
  • Bezpieczne płatności: aby wykrywać zagrożenia, które trudniej zidentyfikować w kontekście zewnętrznym z ograniczoną ilością informacji (np. carding), PST może być używany jako dodatkowy sygnał potwierdzający zaufanie.
  • Usługi ochrony przed nadużyciami w e-commerce: wykrywanie botów w interakcjach e-commerce (kliknięcia, płatność, zakup, oceny produktów, chatboty, zwroty) jest bardzo ważne, aby uniknąć wyodrębniania danych ze stron i interakcji z botami. Może to być ważny dodatkowy sygnał do wykrywania automatycznych agentów dla zewnętrznych dostawców rozwiązań zapobiegających oszustwom na platformach e-commerce.
  • Usługi CDN: PST zapewniają mechanizm ułatwiający raportowanie i wykrywanie nieuczciwego ruchu.

Ta lista zastosowań nie zawiera wszystkich funkcji zapobiegających oszustwom, które mogą korzystać z tokenów prywatności. Lista nie jest też wzajemnie wykluczająca się, ponieważ PST może być przydatne w przypadku wielu procesów zapobiegania oszustwom.

Ścieżki użytkownika

Wydawanie i wykorzystywanie to kluczowe elementy tokenów prywatności. Chociaż wymienione wyżej przypadki użycia to główne obszary, w których będą obsługiwane tokeny PST, możesz też rozważyć następujące momenty na ścieżkach użytkowników jako przykłady, w których warto wydać lub wykorzystać tokeny:

  • Wydawanie tokenów podczas procesów zarządzania kontem (logowanie, rejestracja, resetowanie hasła itp.)
  • wydawanie tokenów po potwierdzeniu uwierzytelniania wielopoziomowego (MFA),
  • Wydawanie tokenów po działaniach obarczonych wysokim ryzykiem, takich jak usuwanie historii płatności
  • Wymagaj potwierdzenia w różnych witrynach przed wykonaniem działań o średnim ryzyku
  • Wymagaj potwierdzenia w różnych witrynach przed wykonaniem działań wysokiego ryzyka

Zgodność z przepisami o ochronie prywatności w komunikacji elektronicznej

Wydawanie prywatnych tokenów stanu wiąże się z przechowywaniem informacji na urządzeniu końcowym użytkownika, a tym samym podlega przepisom o ochronie prywatności w komunikacji elektronicznej w Europejskim Obszarze Gospodarczym i Wielkiej Brytanii, które zazwyczaj wymagają zgody użytkownika. Jako wydawca musisz określić, czy korzystanie z interfejsu Private State Tokens API jest bezwzględnie konieczne do świadczenia usługi online wyraźnie zamówionej przez użytkownika, a tym samym zwolnione z wymogu uzyskania zgody. Więcej informacji znajdziesz w najczęstszych pytaniach dotyczących zgodności z przepisami w zakresie ochrony prywatności w Piaskownicy prywatności.

Angażowanie się i przesyłanie opinii

Więcej informacji