Status da implementação
- Status da plataforma do Chrome:
- No teste de origem: Chrome 84 a 101: encerrado.
- Demonstração.
- Integração com o Chrome DevTools
O que são tokens de estado particular?
Com os tokens de estado particular, a confiança na autenticidade de um usuário é transmitida de um contexto para outro. Isso ajuda os sites a combater fraudes e diferenciar bots de pessoas reais, sem rastreamento passivo.
- O site do emissor pode emitir tokens para o navegador da Web de um usuário que demonstre que ele é confiável, por exemplo, pelo uso contínuo da conta, pela conclusão de uma transação ou pela pontuação de reCAPTCHA aceitável.
- Um site do resgatador pode confirmar que um usuário não é falso, verificando se ele tem tokens de um emissor de confiança para o resgate e, em seguida, resgatando os tokens conforme necessário.
Os tokens de estado particular são criptografados, então não é possível identificar um indivíduo ou conectar instâncias confiáveis e não confiáveis para descobrir a identidade do usuário.
Por que precisamos de tokens de estado particular?
A Web precisa estabelecer e transmitir indicadores de confiança que mostrem que um usuário é quem diz ser, e não um bot fingindo ser uma pessoa ou um terceiro malicioso fraudando uma pessoa ou serviço real. A proteção contra fraudes é importante principalmente para anunciantes, provedores de anúncios e CDNs.
Infelizmente, muitos mecanismos atuais para medir e propagar confiabilidade (por exemplo, descobrir se uma interação com um site é de um ser humano real) aproveitam técnicas que também podem ser usadas para técnicas de impressão digital. Os mecanismos para transmitir a confiança precisam preservar a privacidade, permitindo que a confiança seja propagada entre sites sem o rastreamento individual do usuário.
Com a API Private State Token, um site pode emitir tokens criptográficos para um usuário de confiança, que podem ser usados posteriormente em outro lugar. Os tokens são armazenados com segurança pelo navegador do usuário e podem ser resgatados em outros contextos para confirmar a autenticidade do usuário. Isso permite que a confiança de um usuário em um site (como um site de mídia social ou serviço de e-mail) seja transmitida para outro site (como uma editora ou loja on-line) sem identificar o usuário ou vincular identidades entre sites.
Como funcionam os tokens de estado particular?
Neste exemplo, o site de um editor quer verificar se o usuário é um ser humano real, não um bot, antes de exibir um anúncio.
- Um usuário visita um site (conhecido como emissor) e realiza ações que levam o site a acreditar que o usuário é um ser humano real, como fazer compras, usar uma conta de e-mail ou concluir o reCAPTCHA.
- O site do emissor usa a API Private State Token JavaScript para acionar uma solicitação de tokens de confiança para o navegador do usuário.
- O site do emissor responde com dados do token.
- O navegador do usuário armazena com segurança os dados do token de confiança.
- O usuário visita um site diferente (como uma empresa de notícias) que quer verificar se é um ser humano real, por exemplo, ao exibir anúncios.
- O site usa a API Private State Token para verificar se o navegador do usuário tem tokens de confiança armazenados para emissores em que o site confia.
- Os tokens de estado particular são encontrados para o emissor que o usuário visitou anteriormente.
- O site do editor faz uma solicitação ao emissor para resgatar os tokens de confiança.
- O site do emissor responde com um registro de resgate.
- O site do editor faz uma solicitação a uma plataforma de anúncios, incluindo o registro de resgate para mostrar que o emissor confia que o usuário é um ser humano real.
- A plataforma disponibiliza os dados necessários para mostrar um anúncio.
- O site do editor exibe o anúncio.
- Uma impressão de visualização de anúncio é contabilizada.
As ferramentas estão disponíveis para tokens de estado particular?
O Chrome DevTools ativa a inspeção nas guias "Network" e "Application". Leia mais sobre essa integração do DevTools e sobre os tokens de estado particular.
Como os sites lidam com tokens de vários emissores confiáveis?
O site pode verificar o navegador do usuário em busca de tokens válidos com
document.hasTrustToken() para um emissor por vez. Se isso retornar true e
um token estiver disponível, o site poderá resgatar o token e parar de procurar
outros.
O site precisa decidir quais emissores de token verificar e em que ordem.
Casos de uso
Os tokens de estado particular (PST, na sigla em inglês) são compatíveis com uma variedade de casos de uso antifraude. Em essência, a PST pode atuar como um sinal de confiança extra, porque a API é capaz de codificar informações que ajudam a transmitir confiança de um contexto para outro. À medida que os cookies de terceiros desaparecem, reconhecemos que é fundamental garantir que casos de uso como os seguintes ainda funcionem conforme necessário. Todos os casos de uso de PST exigem que os emissores e os resgatedores trabalhem juntos. Considere a PST se tiver casos de uso semelhantes a qualquer um dos seguintes:
- Serviços antifraude: evitar fraudes é um caso de uso legítimo que deve ser compatível com a Web, mas não pode exigir um identificador estável, global e por usuário. Em contextos de terceiros, a PST pode ser usada para segmentar usuários em conjuntos confiáveis e não confiáveis.
- Análise de fraudes de anúncios: a PST pode ser útil para analisar cliques, impressões e esquemas de bots fraudulentos em serviços de adtech.
- Detecção de bot: depois de analisar se um navegador é um bot ou não, a PST pode ajudar a codificar essas informações para serem compartilhadas de um contexto para outro.
- Pagamentos seguros: para detectar ameaças mais difíceis de identificar em um contexto de terceiros com informações limitadas (como carding), o PST pode ser usado como um indicador adicional para transmitir confiança.
- Serviços antiabuso no e-commerce: é muito importante detectar bots em interações de e-commerce (cliques, finalização de compra, classificações do produto, bots de chat, devoluções) para evitar a coleta de páginas e interações não humanas. Esse pode ser um indicador adicional importante para detectar agentes automatizados de provedores terceirizados antifraude em plataformas de e-commerce.
- Serviços de CDN: a PST oferece um mecanismo para ajudar na denúncia e na detecção de tráfego fraudulento.
Esta não é uma lista completa de todos os recursos antifraude que podem se beneficiar dos tokens de estado particular. A lista também não é mutuamente exclusiva. A PST pode beneficiar vários fluxos de trabalho antifraude.
Jornadas de usuários
A emissão e o resgate são os principais componentes dos tokens de estado particular. Embora os casos de uso anteriores sejam as principais áreas em que os PSTs teriam suporte, pense nos seguintes momentos, em determinadas jornadas do usuário, como as instâncias em que você realmente quer emitir ou resgatar tokens:
- Emitir tokens durante os fluxos de gerenciamento de conta (login, inscrição, redefinição de senha etc.)
- Emita tokens após confirmar uma autenticação multifator (MFA)
- Emitir tokens após ações de alto risco, como a exclusão do histórico de pagamentos
- Resgate tokens de confirmação entre sites antes de realizar ações de risco moderado.
- Resgate tokens de confirmação entre sites antes de ações de alto risco
Interaja e compartilhe feedback
- Teste de origem: encerrado.
- Demonstração: o teste de origem do Trust Tokens foi encerrado, mas você ainda pode conferir a demonstração.
- GitHub: leia a proposta, faça perguntas e acompanhe a discussão.
- W3C: discuta casos de uso do setor no grupo Como melhorar a publicidade na Web para empresas.
- IETF: fornece informações técnicas para o protocolo subjacente no grupo de trabalho do IETF (em inglês).
- Suporte ao desenvolvedor: faça perguntas e participe de discussões no repositório de suporte para desenvolvedores do Sandbox de privacidade.
- Perguntas sobre o teste de origem: registre um bug do Chromium ou responda ao formulário de feedback enviado a você como participante do teste de origem.