Token di stato privati

Stato dell'implementazione

Che cosa sono i token di stato privati?

   

I token di stato privati consentono di trasmettere la fiducia nell'autenticità di un utente da un contesto all'altro, per aiutare i siti a contrastare le attività fraudolente e a distinguere i bot da esseri umani reali, senza monitoraggio passivo.

  • Il sito web di un emittente può emettere token per il browser web di un utente che dimostra di essere affidabile, ad esempio continuando a utilizzare l'account, completando una transazione o ricevendo un punteggio reCAPTCHA accettabile.
  • Un sito web per l'utilizzatore può verificare che l'utente non sia falso controllando se ha a disposizione token di un emittente a cui l'utente si fida, quindi utilizzando i token, se necessario.

I token di stato privati sono criptati, pertanto non è possibile identificare un individuo o connettere istanze attendibili e attendibili per rilevare l'identità dell'utente.

Perché abbiamo bisogno di token di stato privati?

Il web ha bisogno di modi per stabilire e trasmettere indicatori di fiducia che mostrino che un utente è chi dice di essere e non un bot che finge di essere un essere umano o una terza parte dannosa che froda una persona o un servizio reale. La protezione dalle frodi è particolarmente importante per inserzionisti, fornitori di annunci e CDN.

Sfortunatamente, molti meccanismi esistenti per valutare e diffondere l'affidabilità (ad esempio per capire se un'interazione con un sito proviene da un essere umano reale) sfruttano tecniche che possono essere utilizzate anche per il fingerprinting. I meccanismi per trasmettere fiducia devono preservare la privacy, consentendo di propagare la fiducia tra i siti senza il monitoraggio dei singoli utenti.

Con l'API Private State Token, un sito web può emettere token crittografici per un utente attendibile e utilizzarli in un secondo momento altrove. I token vengono memorizzati in modo sicuro dal browser dell'utente e possono essere utilizzati in altri contesti per confermarne l'autenticità. In questo modo, la fiducia di un utente in un sito web (ad esempio un sito di social media o un servizio email) viene convogliata a un altro sito web (ad esempio un editore o un negozio online) senza identificarlo o collegare le identità tra i siti.

Come funzionano i token di stato privati?

In questo esempio, il sito web di un publisher vuole verificare se un utente è un essere umano e non un bot, prima di visualizzare un annuncio.

  1. Un utente visita un sito web (noto come emittente) ed esegue azioni che inducono il sito a credere che si tratti di una persona reale, ad esempio fare acquisti, utilizzare un account email o completare correttamente reCAPTCHA.
  2. Il sito dell'emittente utilizza l'API JavaScript del token di stato privato per attivare una richiesta di token di attendibilità per il browser dell'utente.
  3. Il sito dell'emittente risponde con i dati del token.
  4. Il browser dell'utente archivia in modo sicuro i dati relativi al token di attendibilità.
  5. L'utente visita un altro sito web (ad esempio un editore giornalistico) che vuole verificare se si tratta di una persona reale, ad esempio quando mostra annunci.
  6. Il sito utilizza l'API Private State Token per verificare se nel browser dell'utente sono archiviati token di attendibilità per gli emittenti considerati attendibili dal sito.
  7. Sono stati trovati token di stato privati per l'emittente che l'utente ha visitato in precedenza.
  8. Il sito dell'editore invia una richiesta all'emittente per riscattare i token di attendibilità.
  9. Il sito dell'emittente risponde con un record di riscatto.
  10. Il sito dell'editore invia una richiesta a una piattaforma pubblicitaria, includendo la documentazione relativa al riscatto per dimostrare che l'emittente ritiene che l'utente sia un essere umano.
  11. La piattaforma pubblicitaria fornisce i dati necessari per mostrare un annuncio.
  12. Il sito del publisher visualizza l'annuncio.
  13. Viene conteggiata un'impressione di visualizzazione dell'annuncio.

Sono disponibili strumenti per i token di stato privati?

Chrome DevTools attiva l'ispezione dalle schede Rete e Applicazione. Scopri di più su questa integrazione con DevTools e sui token di stato privati.

In che modo i siti web gestiscono i token di più emittenti attendibili?

Il sito può verificare nel browser di un utente la presenza di token validi con document.hasTrustToken() per un emittente alla volta. Se questo restituisce true e è disponibile un token, il sito può utilizzare il token e smettere di cercare altri token.

Il sito web deve decidere quali emittenti di token controllare e in quale ordine.

Casi d'uso

I token di stato privati (PST) supportano una serie di casi d'uso antifrode. Essenzialmente, PST può fungere da ulteriore indicatore di attendibilità poiché l'API è in grado di codificare informazioni che possono contribuire a trasmettere fiducia da un contesto all'altro. Con l'eliminazione dei cookie di terze parti, sarà fondamentale assicurarsi che i casi d'uso come i seguenti possano continuare a funzionare come necessario. Per tutti i casi d'uso di PST è necessario che gli emittenti e i riscattatori collaborino con loro. Potresti prendere in considerazione PST se hai casi d'uso simili ai seguenti:

  • Servizi antifrode: la prevenzione delle attività fraudolente è un caso d'uso legittimo che il web dovrebbe supportare, ma non dovrebbe richiedere un identificatore stabile e globale per utente. In contesti di terze parti, il PST può essere utilizzato per segmentare gli utenti in insiemi attendibili e non attendibili.
  • Analisi della frode pubblicitaria: il PST può essere utile per analizzare impressioni, clic fraudolenti e schemi di bot nei servizi di tecnologia pubblicitaria.
  • Rilevamento di bot: dopo aver eseguito un'analisi per verificare se un browser è un bot o meno, PST può essere utile per codificare le informazioni in modo che vengano condivise da un contesto all'altro.
  • Pagamenti sicuri: per rilevare minacce più difficili da identificare in un contesto di terze parti con informazioni limitate (come la carta), il PST può essere utilizzato come indicatore aggiuntivo per trasmettere fiducia.
  • Servizi anti-abuso nell'e-commerce: il rilevamento dei bot nelle interazioni di e-commerce (clic, pagamento, acquisti, valutazioni dei prodotti, bot di chat, resi) è molto importante per evitare lo scraping delle pagine e le interazioni automatiche. Questo può essere un indicatore aggiuntivo importante per rilevare gli agenti automatici per i fornitori antifrode di terze parti nelle piattaforme di e-commerce.
  • Servizi CDN: i PST forniscono un meccanismo di supporto per la segnalazione e il rilevamento di traffico fraudolento.

Questo elenco di casi d'uso non è esaustivo di tutte le funzionalità antifrode che potrebbero trarre vantaggio dai token di stato privati. Inoltre, l'elenco non si esclude a vicenda, il PST può portare vantaggi a più flussi di lavoro antifrode.

Percorsi degli utenti

L'emissione e il rimborso sono le componenti chiave dei token di stato privati. Sebbene i casi d'uso precedenti siano le aree principali in cui sarebbero supportati i PST, puoi considerare i seguenti momenti di determinati percorsi dell'utente come quelli in cui vuoi effettivamente emettere o utilizzare i token:

  • Emettere token durante i flussi di gestione dell'account (accesso, registrazione, reimpostazione password e così via)
  • Emettere token dopo la conferma dell'autenticazione a più fattori (MFA)
  • Emettere token dopo azioni ad alto rischio come l'eliminazione della cronologia dei pagamenti
  • Utilizza i token per la conferma tra siti prima di azioni a rischio moderato
  • Utilizza i token per la conferma tra siti prima di azioni ad alto rischio

Interagisci e condividi il tuo feedback

Scopri di più