Mã thông báo trạng thái riêng tư

Trạng thái triển khai

• Trạng thái của nền tảng Chrome.
• Trong thử nghiệm theo nguyên gốc Chrome 84 đến 101: hiện đã đóng.
• Tích hợp Công cụ của Chrome cho nhà phát triển.

Mã thông báo trạng thái riêng tư là gì?

Private State Tokens cho phép truyền tải độ tin cậy về tính xác thực của người dùng từ ngữ cảnh này sang ngữ cảnh khác, giúp các trang web chống lại hành vi gian lận và phân biệt bot với người dùng thực mà không cần theo dõi thụ động.

• Trang web của bên phát hành có thể phát hành mã thông báo cho trình duyệt web của người dùng cho thấy họ đáng tin cậy, chẳng hạn như thông qua việc tiếp tục sử dụng tài khoản, hoàn tất giao dịch hoặc nhận được điểm reCAPTCHA chấp nhận được.
• Trang web của bên nhận có thể xác nhận rằng người dùng không phải là người dùng giả mạo bằng cách kiểm tra xem họ có mã thông báo của một tổ chức phát hành mà bên nhận tin tưởng hay không, sau đó đổi mã thông báo nếu cần.

Mã thông báo trạng thái riêng tư được mã hoá, nên không thể xác định một cá nhân hoặc kết nối các phiên bản đáng tin cậy và không đáng tin cậy để khám phá danh tính người dùng.

Tại sao chúng ta cần Mã thông báo trạng thái riêng tư?

Web cần có những cách thức để thiết lập và truyền tải các tín hiệu tin cậy cho thấy người dùng là chính họ chứ không phải là bot giả mạo con người hoặc bên thứ ba độc hại lừa đảo người dùng hoặc dịch vụ thực. Biện pháp bảo vệ chống gian lận đặc biệt quan trọng đối với nhà quảng cáo, nhà cung cấp quảng cáo và CDN.

Rất tiếc là nhiều cơ chế hiện có để đo lường và lan truyền độ tin cậy (ví dụ: để xác định xem một lượt tương tác với trang web có phải là của người dùng thực hay không) tận dụng những kỹ thuật cũng có thể được dùng để nhận dạng vân tay. Các cơ chế truyền tải sự tin tưởng phải bảo đảm quyền riêng tư, cho phép sự tin tưởng được truyền tải trên nhiều trang web mà không cần theo dõi từng người dùng.

Với Private State Token API, một trang web có thể phát hành mã thông báo mật mã cho một người dùng mà trang web đó tin tưởng. Sau đó, mã thông báo này có thể được dùng ở nơi khác. Các mã thông báo được trình duyệt của người dùng lưu trữ một cách an toàn, sau đó có thể được đổi trong các bối cảnh khác để xác nhận tính xác thực của người dùng. Điều này cho phép truyền tải mức độ tin cậy của người dùng trên một trang web (chẳng hạn như trang web mạng xã hội hoặc dịch vụ email) sang một trang web khác (chẳng hạn như nhà xuất bản hoặc cửa hàng trực tuyến) mà không xác định người dùng hoặc liên kết danh tính trên các trang web.

Private State Tokens hoạt động như thế nào?

Trong ví dụ này, một trang web của nhà xuất bản muốn kiểm tra xem người dùng có phải là người thực hay không, chứ không phải là bot, trước khi hiển thị quảng cáo.

1. Người dùng truy cập vào một trang web (được gọi là đơn vị phát hành) và thực hiện các hành động khiến trang web tin rằng người dùng là người thật, chẳng hạn như mua hàng, sử dụng tài khoản email hoặc hoàn tất thành công reCAPTCHA.
2. Trang web của đơn vị phát hành sử dụng Private State Token JavaScript API để kích hoạt yêu cầu về mã thông báo tin cậy cho trình duyệt của người dùng.
3. Trang web của đơn vị phát hành phản hồi bằng dữ liệu mã thông báo.
4. Trình duyệt của người dùng lưu trữ dữ liệu một cách an toàn cho mã thông báo tin cậy.
5. Người dùng truy cập vào một trang web khác (chẳng hạn như một nhà xuất bản tin tức) muốn xác minh xem người dùng có phải là người thật hay không: ví dụ: khi hiển thị quảng cáo.
6. Trang web sử dụng Private State Token API để kiểm tra xem trình duyệt của người dùng có lưu trữ mã thông báo tin cậy cho những tổ chức phát hành mà trang web tin tưởng hay không.
7. Hệ thống tìm thấy mã thông báo trạng thái riêng tư cho bên phát hành mà người dùng đã truy cập trước đó.
8. Trang web của nhà xuất bản đưa ra yêu cầu cho đơn vị phát hành để đổi mã thông báo tin cậy.
9. Trang web của đơn vị phát hành phản hồi bằng một Bản ghi sử dụng.
10. Trang web của nhà xuất bản đưa ra yêu cầu cho một nền tảng quảng cáo, bao gồm cả Bản ghi thông tin sử dụng để cho thấy rằng người dùng được nhà phát hành tin tưởng là người thật.
11. Nền tảng quảng cáo cung cấp dữ liệu cần thiết để hiển thị quảng cáo.
12. Trang web của nhà xuất bản hiển thị quảng cáo.
13. Một lượt hiển thị quảng cáo trong chế độ xem sẽ được tính.

Có công cụ nào cho Private State Tokens không?

Công cụ của Chrome cho nhà phát triển bật tính năng kiểm tra từ thẻ Mạng và Ứng dụng. Đọc thêm về tính năng tích hợp Công cụ cho nhà phát triển này và về Private State Tokens.

Các trang web xử lý mã thông báo từ nhiều tổ chức phát hành đáng tin cậy như thế nào?

Trang web có thể kiểm tra trình duyệt của người dùng để tìm mã thông báo hợp lệ bằng document.hasTrustToken() cho một tổ chức phát hành tại một thời điểm. Nếu thao tác này trả về true và có mã thông báo, thì trang web có thể đổi mã thông báo và ngừng tìm kiếm các mã thông báo khác.

Trang web phải quyết định nên kiểm tra nhà phát hành mã thông báo nào và theo thứ tự nào.

Trường hợp sử dụng

Mã thông báo trạng thái riêng tư (PST) hỗ trợ nhiều trường hợp sử dụng chống gian lận. Về cơ bản, PST có thể đóng vai trò là một tín hiệu bổ sung về độ tin cậy vì API này có thể mã hoá các phần thông tin có thể giúp truyền tải độ tin cậy từ bối cảnh này sang bối cảnh khác. Khi cookie của bên thứ ba không còn được dùng nữa, chúng tôi nhận thấy rằng việc đảm bảo các trường hợp sử dụng như sau vẫn có thể hoạt động khi cần là điều rất quan trọng. Tất cả các trường hợp sử dụng PST đều yêu cầu cả bên phát hành và bên sử dụng phải phối hợp với nhau. Bạn có thể cân nhắc sử dụng PST nếu có trường hợp sử dụng tương tự như bất kỳ trường hợp nào sau đây:

• Dịch vụ chống gian lận: Ngăn chặn hành vi gian lận là một trường hợp sử dụng hợp pháp mà web cần hỗ trợ, nhưng không cần phải có một giá trị nhận dạng ổn định, trên toàn cầu và cho mỗi người dùng. Trong bối cảnh bên thứ ba, PST có thể được dùng để phân đoạn người dùng thành các nhóm đáng tin cậy và không đáng tin cậy.
• Phân tích hành vi gian lận trong quảng cáo: PST có thể hữu ích trong việc phân tích các lượt nhấp, lượt hiển thị và các chương trình bot gian lận trong các dịch vụ công nghệ quảng cáo.
• Phát hiện bot: Sau khi bạn chạy quy trình phân tích để xác định xem một trình duyệt có phải là bot hay không, PST có thể giúp mã hoá thông tin đó để chia sẻ từ bối cảnh này sang bối cảnh khác.
• Thanh toán an toàn: Để phát hiện những mối đe doạ khó xác định hơn trong bối cảnh bên thứ ba với thông tin hạn chế (chẳng hạn như hành vi sử dụng thẻ tín dụng trái phép), bạn có thể dùng PST làm tín hiệu bổ sung để truyền tải độ tin cậy.
• Dịch vụ chống hành vi sai trái trong thương mại điện tử: Việc phát hiện bot trong các lượt tương tác thương mại điện tử (lượt nhấp, lượt thanh toán, lượt mua hàng, lượt đánh giá sản phẩm, bot trò chuyện, lượt trả lại hàng) là rất quan trọng để tránh tình trạng trích xuất dữ liệu trang và các lượt tương tác không phải do con người thực hiện. Đây có thể là một tín hiệu bổ sung quan trọng để phát hiện các tác nhân tự động cho nhà cung cấp dịch vụ chống gian lận bên thứ ba trong các nền tảng thương mại điện tử.
• Dịch vụ CDN: PST cung cấp một cơ chế hỗ trợ báo cáo và phát hiện lưu lượng truy cập gian lận.

Danh sách các trường hợp sử dụng này chưa liệt kê hết tất cả các chức năng chống gian lận có thể hưởng lợi từ Mã thông báo trạng thái riêng tư. Danh sách này cũng không loại trừ lẫn nhau, PST có thể mang lại lợi ích cho nhiều quy trình chống gian lận.

Hành trình của người dùng

Phát hành và sử dụng là các thành phần chính của Mã thông báo trạng thái riêng tư. Mặc dù các trường hợp sử dụng trước đây là những lĩnh vực chính mà PST sẽ được hỗ trợ, nhưng bạn có thể nghĩ đến những thời điểm sau đây trong một số hành trình của người dùng như là các trường hợp mà bạn thực sự muốn phát hành hoặc đổi mã thông báo:

• Phát hành mã thông báo trong Quy trình quản lý tài khoản (Đăng nhập, Đăng ký, Đặt lại mật khẩu, v.v.)
• Phát hành mã thông báo sau khi xác nhận phương thức xác thực đa yếu tố (MFA)
• Phát hành mã thông báo sau các hành động có rủi ro cao, chẳng hạn như xoá nhật ký thanh toán
• Đổi mã thông báo để xác nhận trên nhiều trang web trước khi thực hiện các hành động có rủi ro vừa phải
• Đổi mã thông báo để xác nhận trên nhiều trang web trước khi thực hiện các hành động có rủi ro cao

Tuân thủ Luật về quyền riêng tư điện tử

Việc phát hành Private State Token liên quan đến việc lưu trữ thông tin trên thiết bị đầu cuối của người dùng. Do đó, đây là một hoạt động tuân theo luật về quyền riêng tư điện tử ở Khu vực kinh tế Châu Âu (EEA) và Vương quốc Anh, thường yêu cầu sự đồng ý của người dùng. Là một đơn vị phát hành, bạn có trách nhiệm xác định xem việc sử dụng Private State Tokens API có thực sự cần thiết để cung cấp một dịch vụ trực tuyến mà người dùng yêu cầu một cách rõ ràng hay không, và do đó được miễn yêu cầu về sự đồng ý. Để biết thêm thông tin, bạn nên đọc Câu hỏi thường gặp về việc tuân thủ liên quan đến quyền riêng tư trong Hộp cát về quyền riêng tư.

Tương tác và chia sẻ ý kiến phản hồi

• Bản dùng thử theo nguyên gốc: Hiện đã đóng.
• GitHub: Đọc đề xuất, đặt câu hỏi và theo dõi cuộc thảo luận.
• W3C: Thảo luận về các trường hợp sử dụng trong ngành trong Nhóm kinh doanh cải thiện quảng cáo trên web.
• IETF: Cung cấp thông tin kỹ thuật cho giao thức cơ bản trong nhóm công tác Privacy Pass của IETF.
• Hỗ trợ nhà phát triển: Đặt câu hỏi và tham gia thảo luận trên kho lưu trữ Hỗ trợ nhà phát triển Hộp cát về quyền riêng tư.
• Câu hỏi về bản dùng thử theo nguyên gốc: báo cáo lỗi Chromium hoặc trả lời biểu mẫu phản hồi được gửi cho bạn với tư cách là người tham gia bản dùng thử theo nguyên gốc.

Tìm hiểu thêm

• Giải thích kỹ thuật về Private State Token API
• Bắt đầu sử dụng Private State Tokens: thông tin tổng quan dành cho nhà phát triển web
• Bắt đầu sử dụng bản dùng thử theo nguyên gốc của Chrome
• Tìm hiểu kỹ về Hộp cát về quyền riêng tư