الرموز المميّزة للحالة الخاصة

حالة التنفيذ

• حالة منصة Chrome
• في مرحلة التجربة والتقييم من الإصدار 84 إلى 101 من Chrome: تم إغلاقها الآن.
• دمج "أدوات مطوّري البرامج في Chrome"

ما هي الرموز المميّزة للحالة الخاصة؟

تتيح رموز Private State Tokens نقل الثقة في صحة هوية المستخدم من سياق إلى آخر، وذلك لمساعدة المواقع الإلكترونية في مكافحة الاحتيال والتمييز بين برامج التتبُّع والمستخدمين الحقيقيين، بدون تتبُّع غير نشط.

• يمكن لموقع إلكتروني تابع لجهة إصدار إصدار رموز مميّزة لمتصفّح الويب الخاص بمستخدم يثبت أنّه جدير بالثقة، مثلاً من خلال الاستخدام المستمر للحساب أو إكمال معاملة أو الحصول على نتيجة مقبولة في reCAPTCHA.
• يمكن لموقع إلكتروني يسمح باسترداد الرموز التأكّد من أنّ المستخدم ليس مزيفًا من خلال التحقّق مما إذا كان لديه رموز مميّزة من جهة إصدار يثق بها الموقع، ثم استرداد الرموز المميزة حسب الحاجة.

تكون رموز Private State Tokens مشفّرة، لذا لا يمكن تحديد هوية فرد أو ربط مثيلات موثوقة وغير موثوقة للكشف عن هوية المستخدم.

لماذا نحتاج إلى رموز Private State Tokens؟

يحتاج الويب إلى طرق لتحديد إشارات الثقة ونقلها، ما يوضّح أنّ المستخدم هو الشخص الذي يدّعي أنّه هو، وليس برنامج تتبُّع يتظاهر بأنّه إنسان أو جهة خارجية ضارة تحاول الاحتيال على شخص حقيقي أو خدمة. تُعدّ الحماية من الاحتيال مهمة بشكل خاص للمعلِنين ومقدّمي الخدمات الإعلانية وشبكات توصيل المحتوى (CDN).

لسوء الحظ، تستفيد العديد من الآليات الحالية لقياس مصداقية المواقع الإلكترونية ونشرها، مثل تحديد ما إذا كان التفاعل مع موقع إلكتروني صادرًا عن مستخدم حقيقي، من تقنيات يمكن استخدامها أيضًا في إنشاء بصمات رقمية. يجب أن تحافظ آليات نقل الثقة على الخصوصية، ما يتيح نشر الثقة على مستوى المواقع الإلكترونية بدون تتبُّع المستخدمين الفرديين.

باستخدام Private State Token API، يمكن لموقع إلكتروني إصدار رموز مميّزة مشفّرة لمستخدم يثق به، ويمكن استخدام هذه الرموز لاحقًا في مكان آخر. يخزّن متصفّح المستخدم الرموز المميّزة بشكل آمن، ويمكن بعد ذلك استبدالها في سياقات أخرى لتأكيد صحة هوية المستخدم. ويتيح ذلك نقل مستوى الثقة في مستخدم على موقع إلكتروني معيّن (مثل موقع إلكتروني خاص بوسائل التواصل الاجتماعي أو خدمة بريد إلكتروني) إلى موقع إلكتروني آخر (مثل موقع إلكتروني خاص بناشر أو متجر على الإنترنت) بدون تحديد هوية المستخدم أو ربط الهويات على مواقع إلكترونية مختلفة.

طريقة عمل رموز Private State Tokens

في هذا المثال، يريد موقع إلكتروني خاص بناشر التحقّق ممّا إذا كان المستخدم شخصًا حقيقيًا وليس برنامج تتبُّع، وذلك قبل عرض إعلان.

1. يزور المستخدم موقعًا إلكترونيًا (يُعرف باسم جهة إصدار) وينفّذ إجراءات تؤدي إلى أن يظن الموقع الإلكتروني أنّ المستخدم هو شخص حقيقي، مثل إجراء عمليات شراء أو استخدام حساب بريد إلكتروني أو إكمال اختبار reCAPTCHA بنجاح.
2. يستخدم الموقع الإلكتروني الجهة المصدرة واجهة Private State Token JavaScript API لتفعيل طلب الحصول على رموز مميزة للثقة من متصفّح المستخدم.
3. يستجيب الموقع الإلكتروني الجهة المصدرة للرمز المميز ببيانات الرمز المميز.
4. يخزِّن متصفّح المستخدم البيانات بأمان للرمز المميز للثقة.
5. يزور المستخدم موقعًا إلكترونيًا مختلفًا (مثل موقع إلكتروني تابع لناشر أخبار) يريد التحقّق مما إذا كان المستخدم شخصًا حقيقيًا، مثلاً عند عرض الإعلانات.
6. يستخدم الموقع الإلكتروني واجهة برمجة التطبيقات Private State Token API للتحقّق ممّا إذا كان متصفّح المستخدم يتضمّن رموزًا مميّزة مخزّنة لمصدري رموز يثق بهم الموقع الإلكتروني.
7. تم العثور على رموز مميّزة للحالة الخاصة لجهة الإصدار التي زارها المستخدم سابقًا.
8. يرسل موقع الناشر الإلكتروني طلبًا إلى الجهة المصدرة لتحصيل قيمة الرموز المميّزة للثقة.
9. يردّ الموقع الإلكتروني الجهة المصدرة بسجلّ استرداد.
10. يرسل موقع الناشر طلبًا إلى منصة إعلانية، بما في ذلك "سجلّ الاسترداد"، لإثبات أنّ الجهة المصدرة تثق في أنّ المستخدم شخص حقيقي.
11. تقدّم المنصّة الإعلانية البيانات المطلوبة لعرض الإعلان.
12. يعرض الموقع الإلكتروني للناشر الإعلان.
13. يتم احتساب مرّة ظهور للإعلان.

هل تتوفّر أدوات لواجهة برمجة التطبيقات Private State Tokens API؟

تفعّل "أدوات مطوّري البرامج في Chrome" عملية الفحص من علامتي التبويب "الشبكة" و"التطبيق". يمكنك الاطّلاع على مزيد من المعلومات حول عملية الدمج هذه في "أدوات مطوّري البرامج" وحول Private State Tokens.

كيف تتعامل المواقع الإلكترونية مع الرموز المميّزة الصادرة عن جهات إصدار موثوقة متعددة؟

يمكن للموقع الإلكتروني التحقّق من توفّر رموز مميّزة صالحة في متصفّح المستخدم باستخدام document.hasTrustToken() لمصدر واحد في كل مرة. إذا تم عرض true وكان الرمز المميّز متاحًا، يمكن للموقع الإلكتروني استرداد الرمز المميّز والتوقّف عن البحث عن رموز مميّزة أخرى.

يجب أن يحدّد الموقع الإلكتروني الجهات التي تصدر الرموز المميزة والتي سيتحقّق منها والترتيب الذي سيتم به ذلك.

حالات الاستخدام

تتوافق Private State Tokens API مع مجموعة من حالات استخدام مكافحة الممارسات الاحتيالية. في جوهرها، يمكن أن تعمل واجهة برمجة التطبيقات PST كإشارة ثقة إضافية لأنّها قادرة على ترميز أجزاء من المعلومات التي يمكن أن تساعد في نقل الثقة من سياق إلى آخر. مع إيقاف ملفات تعريف الارتباط التابعة لجهات خارجية، ندرك أنّه سيكون من الضروري التأكّد من أنّ حالات الاستخدام، مثل ما يلي، ستظل تعمل على النحو المطلوب. تتطلّب جميع حالات استخدام رموز PST تعاون الجهات المصدرة والجهات التي يمكنها الاستفادة من الرموز. ننصحك باستخدام PST إذا كانت لديك حالات استخدام مشابهة لأي مما يلي:

• خدمات مكافحة الممارسات الاحتيالية: إنّ منع الممارسات الاحتيالية هو حالة استخدام مشروعة يجب أن يتيحها الويب، ولكن لا يجب أن تتطلّب معرّفًا ثابتًا وعالميًا لكل مستخدم. في سياقات الجهات الخارجية، يمكن استخدام PST لتقسيم المستخدمين إلى مجموعات موثوقة وغير موثوقة.
• تحليل الاحتيال في الإعلانات: يمكن أن تكون PST مفيدة في تحليل النقرات وعمليات الظهور الاحتيالية ومخططات برامج التتبُّع في خدمات تكنولوجيا الإعلان.
• رصد برامج التتبُّع: بعد إجراء التحليل لمعرفة ما إذا كان المتصفّح برنامج تتبُّع أم لا، يمكن أن تساعد PST في ترميز هذه المعلومات لمشاركتها من سياق إلى آخر.
• عمليات الدفع الآمنة: لرصد التهديدات التي يصعب تحديدها في سياق جهة خارجية تتوفّر فيه معلومات محدودة (مثل الاحتيال باستخدام البطاقات)، يمكن استخدام PST كإشارة إضافية لنقل الثقة.
• خدمات مكافحة إساءة الاستخدام في التجارة الإلكترونية: من المهم جدًا رصد برامج التتبُّع في تفاعلات التجارة الإلكترونية (مثل النقرات وعمليات الدفع والشراء وتقييمات المنتجات وبرامج المحادثة وعمليات الإرجاع) لتجنُّب استخراج المحتوى من الصفحات والتفاعلات غير البشرية. ويمكن أن تكون هذه إشارة إضافية مهمة لرصد البرامج الآلية لمقدّمي خدمات مكافحة الاحتيال التابعين لجهات خارجية في منصات التجارة الإلكترونية.
• خدمات شبكة توصيل المحتوى (CDN): توفّر PST آلية للمساعدة في إعداد التقارير عن الزيارات الاحتيالية ورصدها.

لا تشمل قائمة حالات الاستخدام هذه جميع إمكانات مكافحة الاحتيال التي يمكن أن تستفيد من رموز الحالة الخاصة. كما أنّ القائمة ليست حصرية بشكل متبادل، فقد تستفيد عمليات سير عمل متعددة لمكافحة الاحتيال من PST.

رحلات المستخدمين

الإصدار والتحصيل هما المكوّنان الأساسيان لرموز Private State Tokens. في حين أنّ حالات الاستخدام السابقة هي المجالات الرئيسية التي سيتم فيها توفير رموز PST، يمكنك التفكير في اللحظات التالية في رحلات المستخدمين المحدّدة باعتبارها الحالات التي تريد فيها إصدار الرموز أو تحصيل قيمتها:

• إصدار الرموز المميزة أثناء عمليات إدارة الحساب (تسجيل الدخول، والاشتراك، وإعادة ضبط كلمة المرور، وما إلى ذلك)
• إصدار رموز مميزة بعد تأكيد المصادقة المتعدّدة العوامل (MFA)
• إصدار رموز مميّزة بعد تنفيذ إجراءات عالية الخطورة، مثل حذف سجلّ الدفع
• استرداد الرموز المميّزة للحصول على تأكيد على مستوى المواقع الإلكترونية قبل تنفيذ إجراءات متوسطة الخطورة
• استرداد الرموز المميّزة لتأكيد الإجراءات العالية الخطورة على مستوى المواقع الإلكترونية

الامتثال لقوانين الخصوصية الإلكترونية

يتضمّن إصدار رموز Private State Tokens تخزين معلومات على جهاز المستخدم، وبالتالي، فهو نشاط يخضع لقوانين الخصوصية الإلكترونية في المنطقة الاقتصادية الأوروبية والمملكة المتحدة التي تتطلّب بشكل عام موافقة المستخدم. بصفتك جهة إصدار، تقع على عاتقك مسؤولية تحديد ما إذا كان استخدامك لواجهة Private State Tokens API ضروريًا للغاية لتقديم خدمة على الإنترنت طلبها المستخدم صراحةً، وبالتالي تكون معفية من شرط الحصول على الموافقة. لمزيد من المعلومات، ننصحك بقراءة الأسئلة الشائعة حول الامتثال المتعلق بالخصوصية في "مبادرة حماية الخصوصية".

التفاعل مع الملاحظات ومشاركتها

• مرحلة التجربة والتقييم: تم إغلاقها الآن.
• GitHub: يمكنك الاطّلاع على الاقتراح وطرح الأسئلة ومتابعة المناقشة.
• اتحاد شبكة الويب العالمية (W3C): مناقشة حالات استخدام المجال في مجموعة تحسين الإعلانات على الويب
• IETF: تقديم مساهمات فنية بشأن البروتوكول الأساسي في فريق عمل Privacy Pass التابع لمجموعة مهندسي شبكة الإنترنت
• دعم المطوّرين: يمكنك طرح الأسئلة والانضمام إلى المناقشات في مستودع دعم المطوّرين في "مبادرة حماية الخصوصية".
• أسئلة حول مرحلة التجربة والتقييم: يمكنك تسجيل خطأ في Chromium أو الردّ على نموذج الملاحظات الذي يتم إرساله إليك بصفتك مشاركًا في مرحلة التجربة والتقييم.

تعرَّف على مزيد من المعلومات

• شرح فني لواجهة برمجة التطبيقات Private State Token
• بدء استخدام Private State Tokens: نظرة عامة للمطوّرين على الويب
• بدء استخدام مراحل التجربة والتقييم في Chrome
• التعمّق في "مبادرة حماية الخصوصية"