Token Status Pribadi

Status penerapan

Apa yang dimaksud dengan Token Status Pribadi?

   

Token Status Pribadi memungkinkan kepercayaan pada keaslian pengguna disampaikan dari satu konteks ke konteks lain, untuk membantu situs memberantas penipuan dan membedakan bot dengan manusia sungguhan—tanpa pelacakan pasif.

  • Situs penerbit dapat menerbitkan token ke browser web pengguna yang menunjukkan bahwa mereka dapat dipercaya, misalnya melalui penggunaan akun yang berkelanjutan, dengan menyelesaikan transaksi, atau dengan mendapatkan skor reCAPTCHA yang dapat diterima.
  • Situs penebus dapat mengonfirmasi bahwa pengguna bukan palsu dengan memeriksa apakah mereka memiliki token dari penerbit yang dipercaya oleh penebus, lalu menukarkan token sesuai kebutuhan.

Token Status Pribadi dienkripsi, sehingga tidak dapat mengidentifikasi individu atau menghubungkan instance tepercaya dan tidak tepercaya untuk menemukan identitas pengguna.

Mengapa kita memerlukan Token Status Pribadi?

Web memerlukan cara untuk membangun dan menyampaikan sinyal kepercayaan yang menunjukkan bahwa pengguna adalah orang yang mereka katakan, dan bukan bot yang berpura-pura menjadi manusia atau pihak ketiga berbahaya yang menipu orang atau layanan sebenarnya. Perlindungan terhadap penipuan sangat penting bagi pengiklan, penyedia iklan, dan CDN.

Sayangnya, banyak mekanisme yang ada untuk mengukur dan menyebarkan kepercayaan—misalnya, untuk mengetahui apakah interaksi dengan situs berasal dari manusia sungguhan—menggunakan teknik yang juga dapat digunakan untuk pembuatan sidik jari. Mekanisme untuk menyampaikan kepercayaan harus menjaga privasi, sehingga kepercayaan dapat didistribusikan di seluruh situs tanpa pelacakan pengguna individu.

Dengan Private State Token API, situs dapat menerbitkan token kriptografis kepada pengguna yang dipercaya, yang nantinya dapat digunakan di tempat lain. Token disimpan dengan aman oleh browser pengguna, lalu dapat ditukarkan dalam konteks lain untuk mengonfirmasi keaslian pengguna. Hal ini memungkinkan kepercayaan pengguna di satu situs (seperti situs media sosial atau layanan email) disampaikan ke situs lain (seperti penayang atau toko online) tanpa mengidentifikasi pengguna atau menautkan identitas di seluruh situs.

Bagaimana cara kerja Token Status Pribadi?

Dalam contoh ini, situs penayang ingin memeriksa apakah pengguna adalah manusia sungguhan, dan bukan bot, sebelum menampilkan iklan.

  1. Pengguna mengunjungi situs (dikenal sebagai penerbit) dan melakukan tindakan yang membuat situs percaya bahwa pengguna tersebut adalah manusia sungguhan, seperti melakukan pembelian, menggunakan akun email, atau berhasil menyelesaikan reCAPTCHA.
  2. Situs penerbit menggunakan Private State Token JavaScript API untuk memicu permintaan token kepercayaan untuk browser pengguna.
  3. Situs penerbit merespons dengan data token.
  4. Browser pengguna menyimpan data untuk token kepercayaan dengan aman.
  5. Pengguna mengunjungi situs lain (seperti penayang berita) yang ingin memverifikasi apakah pengguna adalah manusia sungguhan: misalnya, saat menampilkan iklan.
  6. Situs menggunakan Private State Token API untuk memeriksa apakah browser pengguna memiliki token kepercayaan yang disimpan untuk penerbit yang dipercaya situs.
  7. Token status pribadi ditemukan untuk penerbit yang dikunjungi pengguna sebelumnya.
  8. Situs penayang membuat permintaan kepada penerbit untuk menukarkan token kepercayaan.
  9. Situs penerbit merespons dengan Data Penukaran.
  10. Situs penayang membuat permintaan ke platform iklan, termasuk Data Penukaran untuk menunjukkan bahwa pengguna dipercaya oleh penerbit sebagai manusia sungguhan.
  11. Platform iklan menyediakan data yang diperlukan untuk menampilkan iklan.
  12. Situs penayang menampilkan iklan.
  13. Tayangan penayangan iklan dihitung.

Apakah alat tersedia untuk Token Status Pribadi?

Chrome DevTools mengaktifkan inspeksi dari tab Jaringan dan Aplikasi. Baca selengkapnya tentang integrasi DevTools ini dan tentang Token Status Pribadi.

Bagaimana situs menangani token dari beberapa penerbit tepercaya?

Situs dapat memeriksa browser pengguna untuk token yang valid dengan document.hasTrustToken() untuk satu penerbit pada satu waktu. Jika ini menampilkan true dan token tersedia, situs dapat menukarkan token dan berhenti mencari token lain.

Situs harus memutuskan penerbit token mana yang akan diperiksa dan dalam urutan apa.

Kasus penggunaan

Token Status Pribadi (PST) mendukung berbagai kasus penggunaan anti-penipuan. Pada intinya, PST dapat bertindak sebagai sinyal kepercayaan tambahan karena API dapat mengenkode bagian informasi yang dapat membantu menyampaikan kepercayaan dari satu konteks ke konteks lainnya. Seiring dengan penghapusan cookie pihak ketiga, kami menyadari bahwa akan sangat penting untuk memastikan bahwa kasus penggunaan seperti berikut masih dapat berfungsi sesuai kebutuhan. Semua kasus penggunaan PST mengharuskan penerbit dan penukaran bekerja sama. Anda dapat mempertimbangkan PST jika memiliki kasus penggunaan yang mirip dengan salah satu hal berikut:

  • Layanan anti-penipuan: Mencegah penipuan adalah kasus penggunaan yang sah yang harus didukung web, tetapi tidak boleh memerlukan ID per pengguna yang stabil dan global. Dalam konteks pihak ketiga, PST dapat digunakan untuk menyegmentasikan pengguna ke dalam kumpulan tepercaya dan tidak tepercaya.
  • Menganalisis penipuan iklan: PST dapat berguna untuk menganalisis klik, tayangan, dan skema bot yang bersifat menipu di layanan teknologi iklan.
  • Deteksi bot: Setelah Anda menjalankan analisis tentang apakah browser adalah bot atau bukan, PST dapat membantu mengenkode informasi tersebut untuk dibagikan dari satu konteks ke konteks lainnya.
  • Pembayaran aman: Untuk mendeteksi ancaman yang lebih sulit diidentifikasi dalam konteks pihak ketiga dengan informasi terbatas (seperti carding), PST dapat digunakan sebagai sinyal tambahan untuk menyampaikan kepercayaan.
  • Layanan anti-penyalahgunaan di e-commerce: Mendeteksi bot dalam interaksi e-commerce (klik, checkout, pembelian, rating produk, bot chat, pengembalian) sangat penting untuk menghindari scraping halaman dan interaksi non-manusia. Hal ini dapat menjadi sinyal tambahan yang penting untuk mendeteksi agen otomatis bagi penyedia anti-penipuan pihak ketiga di platform e-commerce.
  • Layanan CDN: PST menyediakan mekanisme untuk membantu pelaporan dan deteksi traffic yang menipu.

Daftar kasus penggunaan ini bukan daftar lengkap semua kemampuan anti-penipuan yang dapat memanfaatkan Token Status Pribadi. Daftar ini juga tidak saling eksklusif, PST dapat bermanfaat bagi beberapa alur kerja anti-penipuan.

Perjalanan pengguna

Penerbitan dan penukaran adalah komponen utama Token Status Pribadi. Meskipun kasus penggunaan sebelumnya adalah area utama tempat PST akan didukung, Anda dapat memikirkan momen berikut dalam perjalanan pengguna tertentu sebagai instance tempat Anda benar-benar ingin menerbitkan atau menukarkan token:

  • Mengeluarkan token selama Alur Pengelolaan Akun (Login, Pendaftaran, Reset Sandi, dan sebagainya)
  • Mengeluarkan token setelah mengonfirmasi autentikasi multi-faktor (MFA)
  • Mengeluarkan token setelah tindakan berisiko tinggi seperti menghapus histori pembayaran
  • Menukarkan token untuk konfirmasi lintas situs sebelum tindakan berisiko sedang
  • Menukarkan token untuk konfirmasi lintas situs sebelum tindakan berisiko tinggi

Kepatuhan terhadap Hukum ePrivacy

Penerbitan Token Status Pribadi melibatkan penyimpanan informasi di peralatan terminal pengguna, sehingga merupakan aktivitas yang tunduk pada hukum ePrivacy di Wilayah Ekonomi Eropa (EEA) dan Inggris Raya yang umumnya memerlukan izin pengguna. Sebagai penerbit, Anda bertanggung jawab untuk menentukan apakah penggunaan Private State Tokens API sangat diperlukan untuk menyediakan layanan online yang secara eksplisit diminta oleh pengguna, sehingga dikecualikan dari persyaratan izin. Untuk informasi selengkapnya, sebaiknya baca FAQ Kepatuhan terkait Privasi Privacy Sandbox kami.

Berinteraksi dan memberikan masukan

Cari tahu selengkapnya