Get Inspired
Docs
Blog
Articles
Die Privacy Sandbox
Was ist die Privacy-Sandbox? Proposal lifecycle in the Privacy Sandbox Timeline Glossary and key concepts Privacy Sandbox events Privacy Sandbox demos Blog Privacy Sandbox videos
Chrome-facilitated testing Relevance and measurement unified origin trial Enroll your site Ist es schon fertig?
Privacy Sandbox testing FAQs Privacy-related compliance FAQs
Feedback
Prepare for phasing out third-party cookies Related Website Sets Related Website Sets: developer guide How Chrome evolved the First-Party Sets proposal Cookies Having Independent Partitioned State (CHIPS) Storage Partitioning Fenced frames
Federated Credential Management API Federated Credential Management API: developer guide Federated Credential Management API updates
Shared Storage Shared Storage API walkthrough
IP Protection Privacy Budget Bounce tracking mitigations
User-Agent reduction User-Agent reduction snippets
Topics API overview Topic classification Developer guide Integration guide Experiment and participate Topics API demos Test topic inference in a colab Topics API latest updates
Protected Audience API Experiment and participate
Protected Audience API: developer guide Seller guide: run ad auctions Buyer guide: join interest groups and generate bids Protected Audience API auction reporting Sequential auction setup with header bidding and multi-seller Protected Audience auction Improve Protected Audience API auction latency Opt-out of the Protected Audience API Report on Protected Audience API auction results Troubleshoot the Protected Audience API
Status of pending Protected Audience API capabilities Protected Audience API walkthrough
Content selection with Shared Storage Creative rotation Creative selection by frequency A/B Testing Known customers
Maximize ad relevance
Attribution Reporting overview Attribution Reporting end-to-end Experiment and participate Why Chrome plans to ship the Attribution Reporting API
Introduction to debug reports Set up debug reports Debugging cookbook
Attribution Reporting API developer guide Get started with Attribution Reporting Register attribution sources Register attribution triggers Prioritize specific clicks, views, or conversions Define custom rules using filters Prevent duplication in reports Custom report windows Register multiple reporters Report schedules Constraints on Aggregation Reporting data Web-to-app and app-to-web measurement Understanding aggregation keys Understanding noise in summary reports Working with noise Contribution budget for summary reports
API updates
Private Aggregation API Private Aggregation API fundamentals Experiment and participate Unique reach measurement User demographic reporting K+ frequency measurement
Aggregation Service Summary reports
Private State Tokens
Die Privacy Sandbox
Was ist die Privacy-Sandbox? Proposal lifecycle in the Privacy Sandbox Timeline Glossary and key concepts Privacy Sandbox events Privacy Sandbox demos Blog Privacy Sandbox videos
Chrome-facilitated testing Relevance and measurement unified origin trial Enroll your site Ist es schon fertig?
Privacy Sandbox testing FAQs Privacy-related compliance FAQs
Feedback
Prepare for phasing out third-party cookies Related Website Sets Related Website Sets: developer guide How Chrome evolved the First-Party Sets proposal Cookies Having Independent Partitioned State (CHIPS) Storage Partitioning Fenced frames
Federated Credential Management API Federated Credential Management API: developer guide Federated Credential Management API updates
Shared Storage Shared Storage API walkthrough
IP Protection Privacy Budget Bounce tracking mitigations
User-Agent reduction User-Agent reduction snippets
Topics API overview Topic classification Developer guide Integration guide Experiment and participate Topics API demos Test topic inference in a colab Topics API latest updates
Protected Audience API Experiment and participate
Protected Audience API: developer guide Seller guide: run ad auctions Buyer guide: join interest groups and generate bids Protected Audience API auction reporting Sequential auction setup with header bidding and multi-seller Protected Audience auction Improve Protected Audience API auction latency Opt-out of the Protected Audience API Report on Protected Audience API auction results Troubleshoot the Protected Audience API
Status of pending Protected Audience API capabilities Protected Audience API walkthrough
Content selection with Shared Storage Creative rotation Creative selection by frequency A/B Testing Known customers
Maximize ad relevance
Attribution Reporting overview Attribution Reporting end-to-end Experiment and participate Why Chrome plans to ship the Attribution Reporting API
Introduction to debug reports Set up debug reports Debugging cookbook
Attribution Reporting API developer guide Get started with Attribution Reporting Register attribution sources Register attribution triggers Prioritize specific clicks, views, or conversions Define custom rules using filters Prevent duplication in reports Custom report windows Register multiple reporters Report schedules Constraints on Aggregation Reporting data Web-to-app and app-to-web measurement Understanding aggregation keys Understanding noise in summary reports Working with noise Contribution budget for summary reports
API updates
Private Aggregation API Private Aggregation API fundamentals Experiment and participate Unique reach measurement User demographic reporting K+ frequency measurement
Aggregation Service Summary reports
Private State Tokens

Vertrauenstoken

Vertrauenstoken ist ein neues API, das ohne passivem Tracking dabei hilft, Betrug zu bekämpfen und Bots von echten Menschen zu unterscheiden.

Published on Updated on

Translated to: Español, Português, 한국어, 中文, Pусский, 日本語, Français

Sam Dutton
Sam Dutton

Developer Advocate, Google Chrome

Website Twitter GitHub Glitch Mastodon

Implementierungsstatus

Was sind Vertrauenstoken (Trust Tokens)?

Vertrauenstoken ermöglichen es, das Vertrauen in die Authentizität eines Benutzers von einem Kontext in einen anderen zu übertragen, um Websites bei der Betrugsbekämpfung zu unterstützen und Bots von echten Menschen zu unterscheiden – ganz ohne passivem Tracking.

  • Eine Website die als Emittent agiert kann Web-Browsern von Benutzern Token zuweisen, die zeigen, dass diese, zum Beispiel durch fortwährende Kontonutzung, Abschluss einer Transaktion oder aufgrund einer akzeptablen reCAPTCHA-Punktzahl vertrauenswürdig sind.
  • Eine Website, die als Annahmestelle für die Token agiert kann bestätigen, dass ein Benutzer echt ist, indem sie überprüft, ob er im Besitz von Token eines vertrauenswürdigen Emittenten ist, und dann bei Bedarf die Token annehmen.

Vertrauenstoken sind verschlüsselt, sodass es nicht möglich ist, eine Person zu identifizieren oder durch Verknüpfen vertrauenswürdiger und nicht vertrauenswürdiger Instanzen die Benutzeridentität zu ermitteln.

Caution

Vertrauenstoken sind kein Ersatz für reCAPTCHA oder andere Mechanismen die überprüfen, ob ein Nutzer der ist, der er vorgibt zu sein.

Vertrauenstoken sind eine Möglichkeit, Vertrauen in einen Benutzer zu bekunden und vermitteln, nicht um Vertrauen in einen Benutzer zu schaffen.

Warum brauchen wir Vertrauenstoken?

Das Web benötigt Möglichkeiten, Vertrauenssignale zu schaffen und zu übermitteln, die zeigen, dass ein Benutzer der ist, für den er sich ausgibt, und nicht ein Bot (der lediglich vorgibt, ein Mensch zu sein) oder böswilliger Dritter ist, der eine reale Person oder einen Dienst betrügt. Der Schutz vor Betrug ist besonders wichtig für Werbetreibende, Anzeigenanbieter und CDNs.

Leider nutzen viele derzeit vorhandene Mechanismen zur Bestimmung und Vermittlung von Vertrauenswürdigkeit (z. B. um zu Erkennen ob der Interaktionspartner einer Site ein echter Mensch ist) Technologie, die ebenfalls für Fingerprinting verwendet werden kann. Mechanismen zur Vermittlung von Vertrauen müssen die Privatsphäre wahren, damit Vertrauen über Websites hinweg vermittelt werden kann, ohne dass einzelne Benutzer nachverfolgt werden müssen.

Mit dem Vertrauenstoken-API kann eine Website einem Benutzer, dem sie vertraut, kryptografische Token ausgeben, die später an anderer Stelle verwendet werden können. Die Token werden im Browser des Benutzers sicher gespeichert und können dann in anderen Kontexten abgegeben werden, um die Authentizität des Benutzers zu bestätigen. Dadurch kann das Vertrauen eines Benutzers auf einer Website (z. B. einer Social-Media-Site oder bei einem E-Mail-Dienst) auf eine andere Website (z. B. einen Online-Shop oder einen sonstigen beliebigen Betreiber) übertragen werden, ohne den Benutzer zu identifizieren oder Identitäten über verschiedene Websites hinweg zu verknüpfen.

Key Term


Mithilfe von Fingerprinting können Websites einzelne Benutzer identifizieren und tracken, indem sie Daten über ihr Gerät, Betriebssystem und Browser-Setup (z. B. Spracheinstellungen, User Agent und verfügbare Schriftarten) oder Änderungen des Gerätezustands abrufen. Dies kann entweder auf dem Server (durch Überprüfung der Anforderungsheader) oder auf dem Client (per JavaScript) erfolgen.

Das Fingerprinting greift auf Mechanismen zurück, die für Benutzer nicht erkenntlich sind und die sich nicht ihrer Kontrolle unterziehen. Websites wie Panopticlick und amiunique.org demonstrieren, wie Fingerprinting-Daten kombiniert werden können, um Sie als Einzelperson zu identifizieren.

Wie funktionieren Vertrauenstoken?

In diesem Beispiel möchte eine Betreiberwebsite vor dem Schalten einer Werbeanzeige überprüfen, ob ein Benutzer ein echter Mensch ist und sicherstellen, dass es sich nicht um einen Bot handelt.

  1. Ein Benutzer besucht eine Website (die in diesem Fall ein Emittent ist) und führt Aktionen aus, auf Grund derer die Website annimmt, dass der Benutzer ein echter Mensch ist. Dazu gehören beispielsweise das Tätigen von Käufen, Nutzung eines E-Mail-Kontos oder erfolgreich abgeschlossene reCAPTCHA-Vorgänge.
  2. Die Emittenten-Site verwendet das Vertrauenstoken-JavaScript-API, um eine Anfrage nach Vertrauenstoken an den Browser des Benutzers auszulösen.
  3. Die Emittenten-Site antwortet mit Token-Daten.
  4. Der Browser des Benutzers speichert die Daten für den Vertrauenstoken sicher ab.
  5. Der Benutzer besucht eine andere Website (z. B. die eines Nachrichtenverlegers), die überprüfen möchte, ob der Benutzer ein echter Mensch ist, zum Beispiel beim Anzeigen von Werbung.
  6. Die Site verwendet das Vertrauenstoken-API, um zu überprüfen, ob im Browser des Benutzers Ver für Emittenten gespeichert sind, denen die Site vertraut.
  7. Es werden die Vertrauenstoken des Emittenten gefunden, den der Benutzer zuvor besucht hat.
  8. Die Betreibersite fordert den Emittenten auf, die Vertrauenstoken einzulösen.
  9. Die Emittenten-Site antwortet mit einem Einlösenachweis.
  10. Die Betreiber-Site schickt eine Anfrage, die das Einlöseprotokoll enthält, an eine Werbeplattform, um zu zeigen, dass der Emittent Vertrauen darin hat, dass es sich bei dem Benutzer um einen echten Menschen handelt.
  11. Die Werbeplattform stellt die für die Anzeige einer Werbeanzeige erforderlichen Daten bereit.
  12. Die Betreibersite zeigt die Anzeige an.
  13. Eine Anzeigenaufrufsimpression wird gezählt.

Weitere Informationen zu den JavaScript-Aufrufen in diesem Beispiel finden Sie unter Beispiel für die API-Verwendung.

Beteiligen Sie sich und geben Sie Feedback ab

Erfahren Sie mehr

Updated on Improve article

This site uses cookies to deliver and enhance the quality of its services and to analyze traffic. If you agree, cookies are also used to serve advertising and to personalize the content and advertisements that you see. Learn more about our use of cookies.