Trust Tokens
Trust Tokens é uma nova API para ajudar a combater fraudes e distinguir robôs de humanos de verdade, sem rastreamento passivo.
Published on • Updated on
Translated to: Español, 한국어, 中文, Pусский, 日本語, Français, Deutsch
Developer Advocate, Google Chrome
Status de implementação
- Em ensaio de origem: Chrome 84 a 94.
- Cadastre-se para o ensaio.
- Demo.
- Integração do Chrome DevTools.
- Status da plataforma Chrome.
O que são Trust Tokens?
Os Trust Tokens permitem que a confiança na autenticidade de um usuário seja transmitida de um contexto para outro, para ajudar os sites a combater fraudes e distinguir robôs de humanos de verdade - sem rastreamento passivo.
- Um site emissor pode emitir tokens para o navegador da web de um usuário que mostra que são confiáveis, por exemplo, por meio do uso contínuo da conta, concluindo uma transação ou obtendo uma pontuação de reCAPTCHA aceitável.
- Um site de resgate pode confirmar que um usuário não é falso, verificando se ele possui tokens de um emissor em que o resgatador confia e, em seguida, resgatando os tokens conforme necessário.
Os trust tokens são criptografados, portanto, não é possível identificar um indivíduo ou conectar instâncias confiáveis e não confiáveis para descobrir a identidade do usuário.
Os Tokens de confiança não substituem o reCAPTCHA ou outros mecanismos para determinar se um usuário é ou não quem diz ser.
Trust Tokens são uma forma de transmitir confiança em um usuário, não estabelecer confiança em um usuário.
Por que precisamos de Trust Tokens?
A web precisa de meios para estabelecer e transmitir sinais de confiança que mostrem que um usuário é quem diz ser, e não um robô fingindo ser um humano ou um terceiro malicioso fraudando uma pessoa ou serviço real. A proteção contra fraudes é particularmente importante para anunciantes, provedores de anúncios e CDNs.
Infelizmente, muitos mecanismos existentes para medir e propagar confiabilidade - para descobrir se uma interação com um site é de um ser humano real, por exemplo - tiram proveito de técnicas que também podem ser usadas para fingerprinting. Os mecanismos para transmitir confiança devem preservar a privacidade, permitindo que a confiança seja propagada pelos sites sem rastreamento de usuários individuais.
Com a API Trust Tokens, um site pode emitir tokens criptográficos para um usuário de sua confiança, que podem ser usados posteriormente em outro lugar. Os tokens são armazenados com segurança pelo navegador do usuário e podem ser resgatados em outros contextos para confirmar a autenticidade do usuário. Isto permite que a confiança de um usuário em um site (como um site de mídia social ou serviço de e-mail) seja transmitida a outro site (como um editor ou loja online) sem identificar o usuário ou vincular identidades entre sites.
Fingerprinting permite que os sites identifiquem e rastreiem usuários individuais, obtendo dados sobre seus dispositivos, sistema operacional e configuração do navegador (como preferências de idioma, user agent e fontes disponíveis) ou alterações no estado do dispositivo. Isto pode ser feito no servidor verificando os cabeçalhos das solicitações ou no cliente com JavaScript.
O fingerprinting usa mecanismos que os usuários não conhecem e não podem controlar. Sites como Panopticlick e amiunique.org mostram como os dados de fingerprint podem ser combinados para identificar uma pessoa como indivíduo.
Como funcionam os Trust Tokens?
Neste exemplo, um site de editor deseja verificar se um usuário é um ser humano real, e não um robô, antes de exibir um anúncio.
- Um usuário visita um site (conhecido como emissor) e executa ações que levam o site a acreditar que o usuário é um ser humano real, como fazer compras, usar uma conta de e-mail ou preencher o reCAPTCHA com êxito.
- O site do emissor usa a API JavaScript Trust Tokens para acionar uma solicitação de trust tokens para o navegador do usuário.
- O site do emissor responde com dados do token.
- O navegador do usuário armazena com segurança os dados para o trust token.
- O usuário visita um site diferente (como um site de notícias) que deseja verificar se o usuário é um ser humano real: por exemplo, ao exibir anúncios.
- O site usa a API Trust Tokens para verificar se o navegador do usuário possui tokens confiáveis armazenados para emissores nos quais o site confia.
- Os Trust Tokens são encontrados para o emissor que o usuário visitou anteriormente.
- O site do editor faz uma solicitação ao emissor para resgatar os trust tokens.
- O site do emissor responde com um Registro de Resgate (Redemption Record).
- O site do editor faz uma solicitação a uma plataforma de anúncio, incluindo o Registro de Resgate para mostrar que o usuário confia no emissor como um ser humano de verdade.
- A plataforma de anúncios fornece os dados necessários para exibir um anúncio.
- O site do editor exibe o anúncio.
- Uma impressão de visualização do anúncio é contada.
Para mais detalhes sobre as chamadas de JavaScript neste exemplo, veja o Exemplo de uso da API.
Envolva-se e compartilhe feedback
- Ensaio de origem: cadastre-se e participe do ensaio de origem do Chrome.
- Demo: experimente a emissão e o resgate de trust tokens.
- GitHub: Leia a proposta, levante questões e acompanhe a discussão.
- W3C: Discuta os casos de uso da indústria no Improving Web Advertising Business Group.
- IETF: fornece dados técnicos para o protocolo subjacente no Privacy Pass working group do IETF.
- Suporte ao desenvolvedor: faça perguntas e participe de discussões no repositório Privacy Sandbox Developer Support.
Saiba mais
Updated on • Improve article