लागू किए जाने की स्थिति
- Chrome प्लैटफ़ॉर्म की स्थिति.
- Chrome 84 से 101 ऑरिजिन ट्रायल में: अब बंद हो गया है.
- डेमोग्राफ़िक जानकारी.
- Chrome DevTools इंटिग्रेशन.
प्राइवेट स्टेट टोकन क्या हैं?
प्राइवेट स्टेट टोकन की मदद से, उपयोगकर्ता के भरोसेमंद होने की जानकारी को एक कॉन्टेक्स्ट से दूसरे पर दिखाया जा सकता है. इससे, पैसिव ट्रैकिंग के बिना, धोखाधड़ी से निपटने में साइटों और बॉट में अंतर करने में मदद मिलती है.
- जारी करने वाली वेबसाइट, किसी ऐसे उपयोगकर्ता के वेब ब्राउज़र को टोकन जारी कर सकती है जो यह दिखाता है कि वह भरोसेमंद है. उदाहरण के लिए, खाते का इस्तेमाल जारी रखना, कोई लेन-देन पूरा करना या मान्य रीकैप्चा स्कोर हासिल करना.
- रिडीम करने वाले की वेबसाइट यह जांच करके पुष्टि कर सकती है कि उपयोगकर्ता नकली नहीं है. इसके लिए, यह जांच की जा सकती है कि उपयोगकर्ता के पास, रिडीम करने वाले ट्रस्ट से मिला टोकन है या नहीं. इसके बाद, वह ज़रूरत के मुताबिक टोकन रिडीम कर सकती है.
प्राइवेट स्टेट टोकन को एन्क्रिप्ट (सुरक्षित) किया जाता है. इसलिए, उपयोगकर्ता की पहचान का पता लगाने के लिए, किसी व्यक्ति की पहचान करना या भरोसेमंद और गैर-भरोसेमंद इंस्टेंस को कनेक्ट नहीं किया जा सकता.
हमें प्राइवेट स्टेट टोकन की ज़रूरत क्यों है?
वेब को ऐसे तरीकों की ज़रूरत होती है जिनसे उपयोगकर्ताओं का भरोसा जताया जा सके. इससे पता चलता है कि उपयोगकर्ता वही है जो वह कहता है, न कि वह बॉट जो इंसान होने का दिखावा करता है या कोई ऐसा तीसरा पक्ष जो किसी असली व्यक्ति या सेवा के साथ धोखाधड़ी करता है. धोखाधड़ी से सुरक्षा, खास तौर पर विज्ञापन देने वालों, विज्ञापन देने वालों, और सीडीएन के लिए ज़रूरी है.
हालांकि, विश्वसनीयता का आकलन करने और उसे लागू करने के कई मौजूदा तरीके यह पता लगाते हैं कि क्या किसी साइट के साथ इंटरैक्शन असल में किसी व्यक्ति ने किया है. उदाहरण के लिए, उन्होंने उन तकनीकों का फ़ायदा लिया जिनका इस्तेमाल फ़िंगरप्रिंटिंग के लिए भी किया जा सकता है. भरोसा जताने के लिए इस्तेमाल किए जाने वाले तरीकों में निजता को बनाए रखना ज़रूरी है. इससे उपयोगकर्ताओं का भरोसा अलग-अलग साइटों पर बिना निगरानी के सभी साइटों पर फैलाया जा सकता है.
प्राइवेट स्टेट टोकन एपीआई की मदद से, कोई वेबसाइट अपने भरोसेमंद उपयोगकर्ता को क्रिप्टोग्राफ़िक टोकन जारी कर सकती है. इन टोकन का इस्तेमाल बाद में किसी दूसरी जगह पर किया जा सकता है. उपयोगकर्ता के ब्राउज़र में टोकन सुरक्षित तरीके से सेव किए जाते हैं. इसके बाद, उपयोगकर्ता की प्रामाणिकता की पुष्टि करने के लिए, उन्हें दूसरे कॉन्टेक्स्ट में रिडीम किया जा सकता है. इससे एक वेबसाइट (जैसे कि सोशल मीडिया साइट या ईमेल सेवा) पर मौजूद उपयोगकर्ता का भरोसा किसी दूसरी वेबसाइट (जैसे कि पब्लिशर या ऑनलाइन स्टोर) पर पहुंचा दिया जाता है. ऐसा, उपयोगकर्ता की पहचान या अलग-अलग साइटों पर पहचान लिंक किए बिना किया जाता है.
प्राइवेट स्टेट टोकन कैसे काम करते हैं?
इस उदाहरण में एक पब्लिशर वेबसाइट कोई विज्ञापन दिखाने से पहले यह जांच करना चाहती है कि कोई उपयोगकर्ता कोई बॉट नहीं है, बल्कि वाकई कोई व्यक्ति है.
- कोई उपयोगकर्ता किसी वेबसाइट पर जाता है (जिसे जारी करने वाला उपयोगकर्ता कहा जाता है) और वह ऐसी कार्रवाइयां करता है जिनसे साइट को यह मानने में मदद मिलती है कि उपयोगकर्ता कोई असली है. जैसे, खरीदारी करना, ईमेल खाता इस्तेमाल करना या reCAPTCHA पूरा करना.
- जारी करने वाली कंपनी, उपयोगकर्ता के ब्राउज़र के लिए ट्रस्ट टोकन के लिए अनुरोध ट्रिगर करने के लिए Private State Token JavaScript API का इस्तेमाल करती है.
- जारी करने वाली साइट टोकन डेटा के साथ जवाब देती है.
- उपयोगकर्ता का ब्राउज़र, ट्रस्ट टोकन के लिए सुरक्षित तरीके से डेटा स्टोर करता है.
- वह किसी दूसरी वेबसाइट पर जाता है (जैसे कि समाचार पब्लिशर), जो पुष्टि करना चाहती है कि क्या वह असली इंसान है. उदाहरण के लिए, विज्ञापन दिखाते समय.
- यह साइट प्राइवेट स्टेट टोकन एपीआई का इस्तेमाल करके यह पता लगाती है कि उपयोगकर्ता के ब्राउज़र में, साइट जारी करने वाले भरोसेमंद लोगों के लिए सेव किए गए ट्रस्ट टोकन हैं या नहीं.
- प्राइवेट स्टेट टोकन, जारी करने वाले उस बैंक के लिए मिलते हैं जिसे उपयोगकर्ता ने पिछली बार वेबसाइट पर विज़िट किया था.
- पब्लिशर साइट, जारी करने वाले से ट्रस्ट टोकन रिडीम करने का अनुरोध करती है.
- जारी करने वाली कंपनी की साइट, रिडेंप्शन रिकॉर्ड के साथ जवाब देती है.
- पब्लिशर साइट किसी विज्ञापन प्लैटफ़ॉर्म पर रिडेंप्शन रिकॉर्ड और एक विज्ञापन प्लैटफ़ॉर्म पर अनुरोध करती है. इन अनुरोधों से पता चलता है कि उपयोगकर्ता का मानना है कि कार्ड जारी करने वाला बैंक या कंपनी का भरोसा एक असली इंसान है.
- विज्ञापन प्लैटफ़ॉर्म, किसी विज्ञापन को दिखाने के लिए ज़रूरी डेटा उपलब्ध कराता है.
- पब्लिशर की साइट पर विज्ञापन दिखता है.
- विज्ञापन व्यू इंप्रेशन गिना जाता है.
क्या प्राइवेट स्टेट टोकन के लिए टूल उपलब्ध है?
Chrome DevTools, नेटवर्क और ऐप्लिकेशन टैब से जांच करने की सुविधा चालू करता है. इस DevTool इंटिग्रेशन और प्राइवेट स्टेट टोकन के बारे में ज़्यादा पढ़ें.
वेबसाइटें, एक से ज़्यादा भरोसेमंद जारी करने वालों से मिलने वाले टोकन को कैसे हैंडल करती हैं?
साइट एक बार में एक ही जारी करने वाले के लिए, document.hasTrustToken() की मदद से उपयोगकर्ता के ब्राउज़र में मान्य टोकन की जांच कर सकती है. अगर इससे true दिखता है और
कोई टोकन उपलब्ध है, तो साइट इस टोकन को रिडीम कर सकती है और
दूसरे टोकन देखना बंद कर सकती है.
वेबसाइट को यह तय करना होगा कि टोकन जारी करने वाले किस कंपनी की जांच करनी है और उसे किस क्रम में करना है.
इस्तेमाल के उदाहरण
प्राइवेट स्टेट टोकन (पीएसटी) का इस्तेमाल करके, धोखाधड़ी रोकने के लिए कई तरह के टोकन का इस्तेमाल किया जा सकता है. इसके मूल रूप में, पीएसटी एक अतिरिक्त ट्रस्ट सिग्नल के तौर पर काम कर सकता है. यह एपीआई ऐसी जानकारी को कोड में बदल सकता है जो एक कॉन्टेक्स्ट से दूसरे संदर्भ तक भरोसे को समझाने में मदद कर सकती है. तीसरे पक्ष की कुकी बंद होने के बाद, हमारा मानना है कि यह पक्का करना बहुत ज़रूरी होगा कि आगे दिए गए इस्तेमाल के उदाहरण अब भी ज़रूरत के मुताबिक काम कर सकते हैं. पीएसटी के इस्तेमाल के सभी उदाहरणों में यह ज़रूरी है कि जारी करने वाले और रिडीम करने वाले, दोनों एक साथ काम करें. अगर इस्तेमाल का उदाहरण इनसे मिलता-जुलता है, तो आपको पीएसटी के बारे में सोचना चाहिए:
- धोखाधड़ी रोकने वाली सेवाएं: धोखाधड़ी रोकने के लिए, इस्तेमाल का एक मान्य उदाहरण है. वेब पर भी ऐसा किया जा सकता है. हालांकि, इसके लिए स्थायी, हर उपयोगकर्ता के हिसाब से ग्लोबल और स्थायी आइडेंटिफ़ायर की ज़रूरत नहीं होनी चाहिए. तीसरे पक्ष के मामलों में, पीएसटी का इस्तेमाल उपयोगकर्ताओं को भरोसेमंद और गैर-भरोसेमंद सेट में बांटने के लिए किया जा सकता है.
- विज्ञापन से होने वाली धोखाधड़ी का विश्लेषण करना: पीएसटी से विज्ञापन टेक्नोलॉजी से जुड़ी सेवाओं में, धोखाधड़ी वाले क्लिक, इंप्रेशन, और बॉट स्कीम का विश्लेषण करने में मदद मिल सकती है.
- बॉट की पहचान करना: यह विश्लेषण करने के बाद कि ब्राउज़र बॉट है या नहीं, पीएसटी उस जानकारी को कोड में बदलने में मदद कर सकता है, ताकि इसे एक कॉन्टेक्स्ट से दूसरे कॉन्टेक्स्ट में शेयर किया जा सके.
- सुरक्षित पेमेंट: सीमित जानकारी (जैसे, कार्डिंग) से तीसरे पक्ष के प्लैटफ़ॉर्म में जिन खतरों की पहचान करना मुश्किल होता है उनका पता लगाने के लिए, पीएसटी का इस्तेमाल अतिरिक्त सिग्नल के तौर पर किया जा सकता है.
- ई-कॉमर्स में गलत इस्तेमाल रोकने वाली सेवाएं: ई-कॉमर्स इंटरैक्शन (क्लिक, चेकआउट, खरीदारी, प्रॉडक्ट रेटिंग, चैट बॉट, रिटर्न) में बॉट का पता लगाना, पेज की नकल और गैर-मानवीय इंटरैक्शन से बचना बहुत ज़रूरी है. ई-कॉमर्स प्लैटफ़ॉर्म पर, तीसरे पक्ष की धोखाधड़ी रोकने वाली कंपनियों के लिए, अपने-आप काम करने वाले एजेंट का पता लगाने के लिए यह एक अहम सिग्नल हो सकता है.
- सीडीएन सेवाएं: पीएसटी एक ऐसी प्रक्रिया है जो धोखाधड़ी वाले ट्रैफ़िक की रिपोर्टिंग और उसका पता लगाने में मदद करती है.
ये इस्तेमाल के उदाहरणों में, प्राइवेट स्टेट टोकन से मिलने वाले फ़ायदों की पूरी सूची नहीं दी गई है. यह सूची पूरी तरह से एक्सक्लूसिव नहीं है. पीएसटी से धोखाधड़ी रोकने वाले कई वर्कफ़्लो को फ़ायदा पहुंच सकता है.
उपयोगकर्ता की गतिविधियां
प्राइवेट स्टेट टोकन के अहम कॉम्पोनेंट जारी करना और उन्हें रिडीम करना है. पिछले इस्तेमाल के उदाहरण वे खास बातें हैं जहां पीएसटी का इस्तेमाल किया जाएगा. हालांकि, उपयोगकर्ता की गतिविधियों के दौरान आने वाली ऐसी स्थितियों के बारे में सोचें जिनमें आपको टोकन जारी करना है या उसे रिडीम करना है:
- खाता मैनेज करने के दौरान टोकन जारी करना (लॉगिन, साइन अप, पासवर्ड रीसेट करना वगैरह)
- बहु-स्तरीय पुष्टि (MFA) की पुष्टि करने के बाद टोकन जारी करें
- पेमेंट का इतिहास मिटाने जैसी ज़्यादा जोखिम वाली कार्रवाइयों के बाद, टोकन जारी करें
- कुछ जोखिम वाली कार्रवाइयों से पहले, क्रॉस-साइट पुष्टि के लिए टोकन रिडीम करें
- ज़्यादा जोखिम वाली कार्रवाइयों से पहले, क्रॉस-साइट पुष्टि के लिए टोकन रिडीम करें
लोगों से जुड़ें और सुझाव, शिकायत या राय शेयर करें
- ऑरिजिन ट्रायल: अब बंद हो गया है.
- डेमो: Trust Tokens के ऑरिजिन ट्रायल की अवधि खत्म हो चुकी है. हालांकि, डेमो को अब भी देखा जा सकता है.
- GitHub: प्रस्ताव पढ़ें, सवाल बढ़ाएं, और बातचीत को फ़ॉलो करें.
- W3C: वेब विज्ञापन कारोबार के ग्रुप को बेहतर बनाना में, इंडस्ट्री के इस्तेमाल के उदाहरणों पर चर्चा करें.
- आईईटीएफ़: आईईटीएफ़ Privacy Pass वर्किंग ग्रुप में शामिल प्रोटोकॉल के लिए, तकनीकी इनपुट दें.
- डेवलपर सहायता: प्राइवसी सैंडबॉक्स डेवलपर सहायता रेपो पर सवाल पूछें और होने वाली चर्चाओं में शामिल हों.
- ऑरिजिन ट्रायल से जुड़े सवाल: Chromium की गड़बड़ी की शिकायत करें या उस सुझाव फ़ॉर्म का जवाब दें जो आपको ऑरिजिन ट्रायल में हिस्सा लेने वाले व्यक्ति के तौर पर भेजा गया था.