Stato dell'implementazione
- Stato della piattaforma Chrome.
- In prova all'origine Chrome dalla versione 84 alla versione 101: ora chiuso.
- Demo.
- Integrazione di Chrome DevTools.
Che cosa sono i token di stato privati?
I token di stato privati consentono di trasmettere la fiducia nell'autenticità di un utente da un contesto all'altro, per aiutare i siti a contrastare le attività fraudolente e a distinguere i bot da esseri umani reali, senza monitoraggio passivo.
- Il sito web di un emittente può emettere token per il browser web di un utente che dimostra di essere affidabile, ad esempio continuando a utilizzare l'account, completando una transazione o ricevendo un punteggio reCAPTCHA accettabile.
- Un sito web per l'utilizzatore può verificare che l'utente non sia falso controllando se ha a disposizione token di un emittente a cui l'utente si fida, quindi utilizzando i token, se necessario.
I token di stato privati sono criptati, pertanto non è possibile identificare un individuo o connettere istanze attendibili e attendibili per rilevare l'identità dell'utente.
Perché abbiamo bisogno di token di stato privati?
Il web ha bisogno di modi per stabilire e trasmettere indicatori di fiducia che mostrino che un utente è chi dice di essere e non un bot che finge di essere un essere umano o una terza parte dannosa che froda una persona o un servizio reale. La protezione dalle frodi è particolarmente importante per inserzionisti, fornitori di annunci e CDN.
Sfortunatamente, molti meccanismi esistenti per valutare e diffondere l'affidabilità (ad esempio per capire se un'interazione con un sito proviene da un essere umano reale) sfruttano tecniche che possono essere utilizzate anche per il fingerprinting. I meccanismi per trasmettere fiducia devono preservare la privacy, consentendo di propagare la fiducia tra i siti senza il monitoraggio dei singoli utenti.
Con l'API Private State Token, un sito web può emettere token crittografici per un utente attendibile e utilizzarli in un secondo momento altrove. I token vengono memorizzati in modo sicuro dal browser dell'utente e possono essere utilizzati in altri contesti per confermarne l'autenticità. In questo modo, la fiducia di un utente in un sito web (ad esempio un sito di social media o un servizio email) viene convogliata a un altro sito web (ad esempio un editore o un negozio online) senza identificarlo o collegare le identità tra i siti.
Come funzionano i token di stato privati?
In questo esempio, il sito web di un publisher vuole verificare se un utente è un essere umano e non un bot, prima di visualizzare un annuncio.
- Un utente visita un sito web (noto come emittente) ed esegue azioni che inducono il sito a credere che si tratti di una persona reale, ad esempio fare acquisti, utilizzare un account email o completare correttamente reCAPTCHA.
- Il sito dell'emittente utilizza l'API JavaScript del token di stato privato per attivare una richiesta di token di attendibilità per il browser dell'utente.
- Il sito dell'emittente risponde con i dati del token.
- Il browser dell'utente archivia in modo sicuro i dati relativi al token di attendibilità.
- L'utente visita un altro sito web (ad esempio un editore giornalistico) che vuole verificare se si tratta di una persona reale, ad esempio quando mostra annunci.
- Il sito utilizza l'API Private State Token per verificare se nel browser dell'utente sono archiviati token di attendibilità per gli emittenti considerati attendibili dal sito.
- Sono stati trovati token di stato privati per l'emittente che l'utente ha visitato in precedenza.
- Il sito dell'editore invia una richiesta all'emittente per riscattare i token di attendibilità.
- Il sito dell'emittente risponde con un record di riscatto.
- Il sito dell'editore invia una richiesta a una piattaforma pubblicitaria, includendo la documentazione relativa al riscatto per dimostrare che l'emittente ritiene che l'utente sia un essere umano.
- La piattaforma pubblicitaria fornisce i dati necessari per mostrare un annuncio.
- Il sito del publisher visualizza l'annuncio.
- Viene conteggiata un'impressione di visualizzazione dell'annuncio.
Sono disponibili strumenti per i token di stato privati?
Chrome DevTools attiva l'ispezione dalle schede Rete e Applicazione. Scopri di più su questa integrazione con DevTools e sui token di stato privati.
In che modo i siti web gestiscono i token di più emittenti attendibili?
Il sito può verificare nel browser di un utente la presenza di token validi con document.hasTrustToken()
per un emittente alla volta. Se questo restituisce true
e
è disponibile un token, il sito può utilizzare il token e smettere di cercare
altri token.
Il sito web deve decidere quali emittenti di token controllare e in quale ordine.
Casi d'uso
I token di stato privati (PST) supportano una serie di casi d'uso antifrode. Essenzialmente, PST può fungere da ulteriore indicatore di attendibilità poiché l'API è in grado di codificare informazioni che possono contribuire a trasmettere fiducia da un contesto all'altro. Con l'eliminazione dei cookie di terze parti, sarà fondamentale assicurarsi che i casi d'uso come i seguenti possano continuare a funzionare come necessario. Per tutti i casi d'uso di PST è necessario che gli emittenti e i riscattatori collaborino con loro. Potresti prendere in considerazione PST se hai casi d'uso simili ai seguenti:
- Servizi antifrode: la prevenzione delle attività fraudolente è un caso d'uso legittimo che il web dovrebbe supportare, ma non dovrebbe richiedere un identificatore stabile e globale per utente. In contesti di terze parti, il PST può essere utilizzato per segmentare gli utenti in insiemi attendibili e non attendibili.
- Analisi della frode pubblicitaria: il PST può essere utile per analizzare impressioni, clic fraudolenti e schemi di bot nei servizi di tecnologia pubblicitaria.
- Rilevamento di bot: dopo aver eseguito un'analisi per verificare se un browser è un bot o meno, PST può essere utile per codificare le informazioni in modo che vengano condivise da un contesto all'altro.
- Pagamenti sicuri: per rilevare minacce più difficili da identificare in un contesto di terze parti con informazioni limitate (come la carta), il PST può essere utilizzato come indicatore aggiuntivo per trasmettere fiducia.
- Servizi anti-abuso nell'e-commerce: il rilevamento dei bot nelle interazioni di e-commerce (clic, pagamento, acquisti, valutazioni dei prodotti, bot di chat, resi) è molto importante per evitare lo scraping delle pagine e le interazioni automatiche. Questo può essere un indicatore aggiuntivo importante per rilevare gli agenti automatici per i fornitori antifrode di terze parti nelle piattaforme di e-commerce.
- Servizi CDN: i PST forniscono un meccanismo di supporto per la segnalazione e il rilevamento di traffico fraudolento.
Questo elenco di casi d'uso non è esaustivo di tutte le funzionalità antifrode che potrebbero trarre vantaggio dai token di stato privati. Inoltre, l'elenco non si esclude a vicenda, il PST può portare vantaggi a più flussi di lavoro antifrode.
Percorsi degli utenti
L'emissione e il rimborso sono le componenti chiave dei token di stato privati. Sebbene i casi d'uso precedenti siano le aree principali in cui sarebbero supportati i PST, puoi considerare i seguenti momenti di determinati percorsi dell'utente come quelli in cui vuoi effettivamente emettere o utilizzare i token:
- Emettere token durante i flussi di gestione dell'account (accesso, registrazione, reimpostazione password e così via)
- Emettere token dopo la conferma dell'autenticazione a più fattori (MFA)
- Emettere token dopo azioni ad alto rischio come l'eliminazione della cronologia dei pagamenti
- Utilizza i token per la conferma tra siti prima di azioni a rischio moderato
- Utilizza i token per la conferma tra siti prima di azioni ad alto rischio
Interagisci e condividi il tuo feedback
- Prova dell'origine: ora chiusa.
- Demo: la prova dell'origine di Trust Tokens è terminata, ma puoi comunque consultare la demo.
- GitHub: leggi la proposta, solleva le domande e segui la discussione.
- W3C: analizza i casi d'uso del settore nell'Migliorare il Web Advertising Business Group.
- IETF: fornisce input tecnici per il protocollo sottostante nel gruppo di lavoro Privacy Pass.
- Assistenza per gli sviluppatori: poni domande e partecipa alle discussioni sul repository dell'assistenza per gli sviluppatori di Privacy Sandbox.
- Domande della prova dell'origine: segnala un bug di Chromium o rispondi al modulo di feedback che ti viene inviato come partecipante alla prova dell'origine.