Tokens de estado particular

Status da implementação

O que são tokens de estado particular?

   

Os tokens de estado particular permitem que a confiança na autenticidade de um usuário seja transmitida de um contexto para outro, para ajudar os sites a combater fraudes e distinguir entre humanos reais e bots, sem rastreamento passivo.

  • Um site emissor pode emitir tokens para o navegador da Web de um usuário que mostre ser confiável, por exemplo, pelo uso contínuo da conta, concluindo uma transação ou recebendo uma pontuação do reCAPTCHA aceitável.
  • Um site resgatador pode confirmar que um usuário não é falso verificando se ele tem tokens de um emissor em que o resgatador confia e, em seguida, resgatando os tokens conforme necessário.

Os tokens de estado particular são criptografados, então não é possível identificar um indivíduo ou conectar instâncias confiáveis e não confiáveis para descobrir a identidade do usuário.

Por que precisamos de tokens de estado particular?

A Web precisa de maneiras de estabelecer e transmitir indicadores de confiança que mostrem que um usuário é quem ele diz ser, e não um bot fingindo ser um humano ou um terceiro malicioso fraudando uma pessoa ou um serviço real. A proteção contra fraudes é especialmente importante para anunciantes, provedores de anúncios e CDNs.

Infelizmente, muitos mecanismos atuais para medir e propagar a confiabilidade (por exemplo, para descobrir se uma interação com um site é de um humano real) usam técnicas que também podem ser usadas para impressão digital. Os mecanismos para transmitir confiança precisam preservar a privacidade, permitindo que a confiança seja propagada em todos os sites sem rastreamento individual do usuário.

Com a API Private State Token, um site pode emitir tokens criptográficos para um usuário em quem confia, que podem ser usados posteriormente em outro lugar. Os tokens são armazenados com segurança pelo navegador do usuário e podem ser resgatados em outros contextos para confirmar a autenticidade do usuário. Isso permite que a confiança de um usuário em um site (como uma rede social ou um serviço de e-mail) seja transmitida para outro site (como um editor ou uma loja on-line) sem identificar o usuário ou vincular identidades em vários sites.

Como os Private State Tokens funcionam?

Neste exemplo, um site de editor quer verificar se um usuário é uma pessoa real, e não um bot, antes de exibir um anúncio.

  1. Um usuário visita um site (conhecido como emissor) e realiza ações que levam o site a acreditar que o usuário é uma pessoa real, como fazer compras, usar uma conta de e-mail ou concluir o reCAPTCHA.
  2. O site emissor usa a API JavaScript de token de estado particular para acionar uma solicitação de tokens de confiança para o navegador do usuário.
  3. O site do emissor responde com dados de token.
  4. O navegador do usuário armazena dados com segurança para o token de confiança.
  5. O usuário visita um site diferente (como um editor de notícias) que quer verificar se ele é uma pessoa real, por exemplo, ao exibir anúncios.
  6. O site usa a API Private State Token para verificar se o navegador do usuário tem tokens de confiança armazenados para emissores em que o site confia.
  7. Tokens de estado particular são encontrados para o emissor que o usuário visitou anteriormente.
  8. O site do editor faz uma solicitação ao emissor para resgatar os tokens de confiança.
  9. O site do emissor responde com um registro de resgate.
  10. O site do publisher faz uma solicitação a uma plataforma de publicidade, incluindo o registro de resgate para mostrar que o usuário é confiável para o emissor e é uma pessoa real.
  11. A plataforma de publicidade fornece os dados necessários para veicular um anúncio.
  12. O site do editor mostra o anúncio.
  13. Uma impressão de visualização de anúncio é contabilizada.

Há ferramentas disponíveis para tokens de estado particular?

O Chrome DevTools ativa a inspeção nas guias "Rede" e "Aplicativo". Leia mais sobre essa integração do DevTools e sobre os tokens de estado particular.

Como os sites processam tokens de vários emissores confiáveis?

O site pode verificar o navegador de um usuário em busca de tokens válidos com document.hasTrustToken() para um emissor por vez. Se isso retornar true e um token estiver disponível, o site poderá resgatar o token e parar de procurar outros tokens.

O site precisa decidir quais emissores de tokens verificar e em qual ordem.

Casos de uso

Os tokens de estado particular (PSTs, na sigla em inglês) oferecem suporte a vários casos de uso antifraude. Basicamente, a PST pode atuar como um indicador de confiança adicional porque a API consegue codificar informações que ajudam a transmitir confiança de um contexto para outro. À medida que os cookies de terceiros desaparecem, reconhecemos que será fundamental garantir que casos de uso como os seguintes ainda possam funcionar conforme necessário. Todos os casos de uso de PST exigem que emissores e beneficiários trabalhem juntos. Considere usar o PST se você tiver casos de uso semelhantes a qualquer um dos seguintes:

  • Serviços antifraude: a prevenção de fraudes é um caso de uso legítimo que a Web precisa oferecer suporte, mas não exige um identificador estável, global e por usuário. Em contextos de terceiros, a PST pode ser usada para segmentar usuários em conjuntos confiáveis e não confiáveis.
  • Análise de fraudes de anúncios: a PST pode ser útil para analisar cliques, impressões e esquemas de bots fraudulentos em serviços de tecnologia de publicidade.
  • Detecção de bots: depois de analisar se um navegador é um bot ou não, o PST pode ajudar a codificar essas informações para serem compartilhadas de um contexto para outro.
  • Pagamentos seguros: para detectar ameaças mais difíceis de identificar em um contexto de terceiros com informações limitadas (como carding), a PST pode ser usada como um indicador adicional para transmitir confiança.
  • Serviços antidesvio de uso no e-commerce: detectar bots em interações de e-commerce (cliques, finalização da compra, compra, avaliações de produtos, chatbots, devoluções) é muito importante para evitar a raspagem de páginas e interações não humanas. Esse pode ser um sinal adicional importante para detectar agentes automatizados de provedores antifraude terceirizados em plataformas de e-commerce.
  • Serviços de CDN: os PSTs oferecem um mecanismo para ajudar na geração de relatórios e na detecção de tráfego fraudulento.

Esta lista de casos de uso não é uma lista completa de todos os recursos antifraude que podem se beneficiar dos tokens de estado particular. A lista também não é mutuamente exclusiva. O PST pode beneficiar vários fluxos de trabalho antifraude.

Jornadas do usuário

A emissão e o resgate são os principais componentes dos tokens de estado particular. Embora os casos de uso anteriores sejam as principais áreas em que os PSTs seriam aceitos, pense nos seguintes momentos em determinadas jornadas do usuário como as instâncias em que você realmente gostaria de emitir ou resgatar tokens:

  • Emitir tokens durante fluxos de gerenciamento de contas (login, inscrição, redefinição de senha etc.)
  • Emitir tokens depois de confirmar uma autenticação multifator (MFA)
  • Emitir tokens após ações de alto risco, como excluir o histórico de pagamentos
  • Resgatar tokens para confirmação entre sites antes de ações de risco moderado
  • Resgatar tokens para confirmação entre sites antes de ações de alto risco

Conformidade com as leis de privacidade eletrônica

A emissão de tokens de estado particular envolve o armazenamento de informações no equipamento terminal de um usuário e, portanto, é uma atividade sujeita às leis de privacidade eletrônica no Espaço Econômico Europeu (EEE) e no Reino Unido, geralmente exigindo o consentimento do usuário. Como emissor, é sua responsabilidade determinar se o uso da API Private State Tokens é estritamente necessário para fornecer um serviço on-line explicitamente solicitado pelo usuário e, portanto, isento da exigência de consentimento. Para mais informações, leia as Perguntas frequentes sobre conformidade relacionada à privacidade do Sandbox de privacidade.

Engajamento e como compartilhar feedback

Saiba mais