אסימוני מצב פרטי

סטטוס הטמעה

מהם אסימוני מצב פרטי?

   

אסימוני מצב פרטי מאפשרים להעביר את האמון באותנטיות של המשתמש בהקשר אחד לשני, כדי לעזור לאתרים להילחם בהונאות ולהבחין בין בוטים לבני אדם אמיתיים – ללא מעקב פסיבי.

  • אתר של המנפיק יכול להנפיק אסימונים לדפדפן האינטרנט של משתמש שמראה שהסוכנות מהימנה, למשל על ידי שימוש מתמשך בחשבון, על ידי השלמת עסקה או קבלת ציון reCAPTCHA סביר.
  • אתר של מנפיק יכול לבדוק אם המשתמש לא מזויף באמצעות בדיקה אם יש לו אסימונים מהמנפיק שהמנפיק סומכים עליו, ואז לממש אסימונים לפי הצורך.

אסימוני המצב הפרטי מוצפנים, כך שאי אפשר לזהות אנשים או לחבר מכונות מהימנות ולא מהימנות כדי לגלות את זהות המשתמש.

למה אנחנו צריכים אסימוני מצב פרטי?

האינטרנט זקוק לדרכים ליצור ולהציג אותות אמון שמוכיחים שהמשתמש הוא מי שהוא אומר שהוא, ולא לבוט שמתחזה לאדם או לצד שלישי זדוני שמרמה אדם או שירות אמיתי. ההגנה מפני הונאה חשובה במיוחד למפרסמים, לספקי מודעות ול-CDN.

לצערנו, הרבה מנגנונים קיימים למדידת המהימנות ולהפיץ אותם – למשל, כדי לבדוק אם האינטראקציה עם האתר היא של אדם אמיתי – משתמשים בשיטות שאפשר להשתמש בהן גם ליצירה של טביעת אצבע דיגיטלית (fingerprinting). מנגנונים להעברת אמון חייבים לשמור על פרטיות, וכך לאפשר הפצת אמון באתרים ללא מעקב נפרד אחר המשתמשים.

באמצעות Private State Token API, אתר יכול להנפיק אסימונים קריפטוגרפיים למשתמש שהוא בוטח בו, ואפשר יהיה להשתמש בהם מאוחר יותר במקומות אחרים. האסימונים מאוחסנים באופן מאובטח על ידי הדפדפן של המשתמש, ואפשר לממש אותם בהקשרים אחרים כדי לאשר את מהימנות המשתמש. כך מתאפשרת הצגת האמון של המשתמשים באתר אחד (כמו אתר של מדיה חברתית או שירות אימייל) באתר אחר (כמו בעל אתר או חנות וירטואלית) בלי לזהות את המשתמש או לקשר את זהויות בין אתרים.

איך פועלים אסימוני המצב הפרטי?

בדוגמה הזו, אתר של בעל אתר רוצה לבדוק אם המשתמש הוא אדם אמיתי ולא בוט, לפני הצגת מודעה.

  1. משתמש נכנס לאתר (שמכונה מנפיק) ומבצע פעולות שגורמות לאתר להאמין שהמשתמש הוא בן אדם אמיתי, כמו ביצוע רכישות, שימוש בחשבון אימייל או השלמת reCAPTCHA.
  2. האתר של המנפיק משתמש ב-JavaScript API של אסימון מצב פרטי כדי להפעיל בקשה לאסימוני מהימנות בדפדפן של המשתמש.
  3. האתר של המנפיק מגיב עם נתוני אסימון.
  4. הדפדפן של המשתמש מאחסן נתונים עבור אסימון המהימנות באופן מאובטח.
  5. המשתמש מבקר באתר אחר (למשל אתר חדשות) שרוצה לבדוק אם המשתמש הוא בן אדם אמיתי, למשל בזמן הצגת מודעות.
  6. באתר נעשה שימוש ב-Private State Token API כדי לבדוק אם בדפדפן של המשתמש יש אסימוני מהימנות שמאוחסנים למנפיקים שהאתר מהימן.
  7. נמצאו אסימוני מצב פרטי למנפיק שהמשתמש ביקר בו בעבר.
  8. האתר של בעל התוכן הדיגיטלי שולח בקשה למנפיק למימוש אסימוני המהימנות.
  9. האתר של המנפיק מגיב עם רישום מימוש.
  10. האתר של בעל התוכן הדיגיטלי שולח בקשה לפלטפורמת פרסום, כולל רשומת המימוש, כדי להראות שהמשתמש מהימן על ידי המנפיק שהוא בן אדם אמיתי.
  11. פלטפורמת המודעות מספקת את הנתונים הנדרשים להצגת מודעה.
  12. האתר של בעל האתר מציג את המודעה.
  13. המערכת סופרת חשיפה של צפייה במודעה.

האם יש כלים זמינים לאסימוני מצב פרטי?

כלי הפיתוח ל-Chrome מפעילים את הבדיקה מהכרטיסיות 'רשת' ו'אפליקציה'. מידע נוסף על השילוב הזה של כלי הפיתוח ועל אסימוני המצב הפרטי

איך אתרים מטפלים באסימונים מכמה מנפיקים מהימנים?

האתר יכול לבדוק אם יש אסימונים תקינים בדפדפן של המשתמש document.hasTrustToken() למנפיק אחד בכל פעם. אם הפעולה הזו מחזירה את הערך true ויש אסימון זמין, האתר יכול לממש את האסימון ולהפסיק לחפש אסימונים אחרים.

בעלי האתר צריכים להחליט אילו מנפיקי אסימונים לבדוק ובאיזה סדר.

תרחישים לדוגמה

אסימוני מצב פרטי (PST) תומכים במגוון תרחישים לדוגמה למניעת הונאה. הבסיס העיקרי הוא PST יכול לשמש כאות נוסף למהימנות, כי ה-API יכול לקודד קטעי מידע שיכולים לעזור בהעברת אמון בין הקשרים. עם הפסקת השימוש בקובצי cookie של צד שלישי, אנחנו מבינים שחשוב מאוד לוודא שהתרחישים לדוגמה הבאים ימשיכו לפעול בהתאם לצורך. בכל התרחישים לדוגמה של PST, המנפיקים וגם המממשים צריכים לעבוד יחד. יכול להיות שתרצו להשתמש ב-PST אם יש לכם תרחישים דומים לתרחישים הבאים:

  • שירותים למניעת הונאה: מניעת הונאות היא תרחיש לגיטימי לדוגמה שהרשת צריכה לתמוך בו, אבל אסור שהיא תדרוש מזהה קבוע וגלובלי לכל משתמש. בהקשרים של צד שלישי, ניתן להשתמש ב-PST כדי לפלח משתמשים לקבוצות מהימנות ולא מהימנות.
  • ניתוח של הונאת מודעות: שעון החוף המערבי (PST) יכול להיות שימושי לניתוח של קליקים, חשיפות והונאות בוטים בשירותי פרסום דיגיטלי.
  • זיהוי בוטים: אחרי שמריצים את הניתוח כדי לקבוע אם דפדפן מסוים הוא בוט או לא, טכנולוגיית PST יכולה לקודד את המידע הזה כך שישותפו בין הקשרים שונים.
  • תשלומים מאובטחים: כדי לזהות איומים שקשה יותר לזהות בהקשר של צד שלישי עם מידע מוגבל (כמו כרטיסים), אפשר להשתמש ב-PST כאות נוסף להגברת האמון.
  • שירותים למניעת ניצול לרעה במסחר אלקטרוני: חשוב מאוד לזהות בוטים באינטראקציות של מסחר אלקטרוני (קליקים, תשלום, רכישה, דירוגי מוצרים, צ'אט בוטים, החזרות) כדי להימנע מגירוד דפים ומאינטראקציות לא אנושיות. זה יכול להיות אות חשוב נוסף לזיהוי סוכנים אוטומטיים של ספקים חיצוניים שמתמחים בהונאה בפלטפורמות של מסחר אלקטרוני.
  • שירותי CND: PST מספק מנגנון לסיוע בדיווח ובזיהוי של תנועה שמקורה בתרמית.

הרשימה של התרחישים לדוגמה היא לא רשימה מלאה של כל היכולות למניעת הונאה שאפשר להפיק מהן אסימוני מצב פרטי. הרשימה גם לא בלעדית, ולכן PST יכול להועיל למספר תהליכי עבודה למניעת הונאה.

התהליכים שעוברים המשתמשים

הנפקה ומימוש הם המרכיבים העיקריים של אסימוני מצב פרטי. התרחישים לדוגמה הקודמים הם התחומים העיקריים שבהם תהיה תמיכה בקובצי PST, אבל אתם יכולים לחשוב על הרגעים הבאים בתהליכים מסוימים שהמשתמשים עוברים בתור מקרים שבהם אתם באמת רוצים להנפיק או לממש אסימונים:

  • הנפקת אסימונים בתהליך ניהול החשבון (התחברות, הרשמה, איפוס סיסמה וכן הלאה)
  • הנפקת אסימונים לאחר אישור של אימות רב-שלבי (MFA)
  • יצירה של אסימונים אחרי פעולות בסיכון גבוה, כמו מחיקה של היסטוריית תשלומים
  • מימוש אסימונים לאישור מאתרים שונים לפני פעולות עם סיכון בינוני
  • מימוש אסימונים לאישור מאתרים שונים לפני ביצוע פעולות בסיכון גבוה

עניין ושיתוף משוב

למידע נוסף