Токены доверия
Trust Tokens (Токены доверия)—это новый API, помогающий противодействовать мошенничеству и отличать ботов от реальных людей без использования пассивного отслеживания.
Published on • Updated on
Translated to: Español, Português, 한국어, 中文, 日本語, Français, Deutsch
Developer Advocate, Google Chrome
Статус реализации
- Доступно в рамках испытания Origin Trial в Chrome с 84 по 94.
- Регистрация для участия в испытании.
- Демонстрация.
- Интеграция с Chrome DevTools.
- Статус платформы Chrome.
Что такое токены доверия?
Токены доверия позволяют передавать доверие к подлинности пользователя из одного контекста в другой, помогая сайтам бороться с мошенничеством и отличать ботов от реальных людей—без пассивного отслеживания.
- Сайт-эмитент может выдавать токены браузеру пользователя, если тот продемонстрирует свою благонадежность: будет в течение длительного периода использовать свою учетную запись, выполнит транзакцию, получит достаточно высокий балл reCAPTCHA и т. д.
- Сайт-получатель может подтвердить, что пользователь является реальным человеком, проверив наличие у него токенов, выданных эмитентом, которому получатель доверяет, а затем, если это необходимо, воспользоваться токенами.
Токены доверия зашифрованы, поэтому не позволяют идентифицировать человека или связать доверенные и недоверенные сеансы, чтобы установить личность.
Токены доверия—это не замена reCAPTCHA и иных механизмов проверки того, является ли пользователь тем, за кого себя выдает.
Токены доверия—это способ передать доверие к пользователю, а не установить, заслуживает ли он доверия.
Зачем нужны токены доверия?
Интернет нуждается в способах установки и передачи сигналов доверия, показывающих, что пользователь действительно является тем, за кого себя выдает, а не ботом, маскирующимся под человека, или злоумышленником, пытающимся обмануть реального человека или сервис. Защита от мошенничества особенно важна для рекламодателей, поставщиков рекламы и сетей CDN.
К сожалению, многие существующие механизмы оценки и распространения доверия—например, используемые для подтверждения того, что посетитель сайта—реальный человек,—используют технологии, которые также могут применяться для фингерпринтинга. Механизмы передачи доверия должны сохранять конфиденциальность пользователей, чтобы обеспечить распространение доверия между сайтами без отслеживания отдельных пользователей.
С помощью Trust Tokens API сайт может выдавать доверенным пользователям криптографически защищенные токены, которыми затем можно воспользоваться в другом месте. Токены безопасным образом хранятся в браузере пользователя и могут быть использованы в других контекстах для подтверждения благонадежности пользователя. Благодаря этому доверие к пользователю на одном сайте (например, в соцсети или почтовом сервисе) может быть передано на другой сайт (например, сайт издателя или интернет-магазина), не раскрывая личность пользователя и не давая возможности сопоставлять друг с другом сеансы на разных сайтах.
Фингерпринтинг позволяет сайтам идентифицировать и отслеживать отдельных пользователей, получая данные об их устройстве, операционной системе и настройках браузера (например, языковых настройках, строке user-agent и доступных шрифтах), а также изменениях в состоянии устройства. Это можно делать как на стороне сервера путем проверки заголовков запросов, так и на стороне клиента при помощи JavaScript.
Фингерпринтинг использует механизмы, о которых пользователи не знают и которые не могут контролировать. Сайты, такие как Panopticlick и amiunique.org, показывают, как данные, полученные в результате фингерпринтинга, можно объединить, чтобы идентифицировать вашу личность.
Как работают токены доверия?
В этом примере сайт издателя перед показом рекламы хочет проверить, является ли пользователь настоящим человеком, а не ботом.
- Пользователь заходит на сайт (известный как эмитент) и выполняет действия, которыми подтверждает, что он реальный человек: делает покупки, использует электронную почту, успешно проходит тест reCAPTCHA и т. д.
- Сайт-эмитент использует JavaScript Trust Tokens API, чтобы сгенерировать запрос на получение токенов доверия для браузера пользователя.
- Сайт-эмитент возвращает данные токена.
- Браузер пользователя безопасно сохраняет данные токена доверия.
- Пользователь заходит на другой сайт (такой, как новостной портал), который хочет проверить, является ли пользователь настоящим человеком,—например, чтобы показать рекламу.
- При помощи API токенов доверия сайт проверяет, сохранены ли в браузере пользователя токены доверия от эмитентов, которым сайт доверяет.
- В браузере обнаруживаются токены доверия от эмитента, сайт которого пользователь уже посещал.
- Сайт издателя отправляет эмитенту запрос, чтобы использовать токены доверия.
- Сайт-эмитент отвечает записью об использовании токенов.
- Сайт издателя отправляет рекламной платформе запрос, в котором указывает запись об использовании токенов, таким образом подтверждая, что эмитент доверяет пользователю и считает его реальным человеком.
- Рекламная платформа предоставляет данные, необходимые для показа рекламы.
- Объявление отображается на сайте издателя.
- Сайт засчитывает показ объявления.
Подробнее о вызовах JavaScript, используемых в этом примере, см. «Пример использования API».
Участвуйте и делитесь отзывами
- Испытание Origin Trial: зарегистрируйтесь и примите участие в испытании Chrome Origin Trial.
- Демонстрация: попробуйте генерировать и использовать токены доверия.
- GitHub: ознакомьтесь с текстом предложения и обсуждением, где можно задать свои вопросы.
- W3C: обсудите сценарии использования из отрасли в группе Improving Web Advertising Business Group.
- IETF: предоставьте технические замечания по поводу внутреннего протокола в рабочей группе IETF Privacy Pass.
- Поддержка разработчиков: задавайте вопросы и участвуйте в обсуждениях в репозитории поддержки разработчиков Privacy Sandbox.
Дополнительная информация
Updated on • Improve article