สถานะการใช้งาน
- สถานะแพลตฟอร์ม Chrome
- ในช่วงทดลองใช้จากต้นทาง Chrome 84 ถึง 101: ตอนนี้ปิดแล้ว
- การสาธิต
- การผสานรวมกับเครื่องมือสำหรับนักพัฒนาเว็บใน Chrome
โทเค็นสถานะส่วนตัวคืออะไร
โทเค็นสถานะส่วนตัวช่วยสร้างความน่าเชื่อถือในความน่าเชื่อถือของผู้ใช้เพื่อที่จะถ่ายทอดจากบริบทหนึ่งไปยังอีกบริบทหนึ่ง เพื่อช่วยเว็บไซต์ต่อสู้กับการประพฤติมิชอบและแยกบ็อตออกจากมนุษย์จริงๆ ได้โดยไม่ต้องมีการติดตามแบบเชิงรับ
- เว็บไซต์ผู้ออกบัตรสามารถ��อกโทเค็นให้กับเว็บเบราว์เซอร์ของผู้ใช้ที่แสดงให้เห็นว่าผู้ใช้เชื่อถือได้ เช่น ผ่านการใช้งานบัญชีอย่างต่อเนื่อง ทำธุรกรรมให้เสร็จสมบูรณ์ หรือได้รับคะแนน ReCAPTCHA ที่ยอมรับได้
- เว็บไซต์ redeemer จะยืนยันได้ว่าผู้ใช้ไม่ใช่ของปลอมด้วยการตรวจสอบว่ามีโทเค็นจากผู้ออกที่ผู้แลกสิทธิ์เชื่อถือหรือไม่ แล้วแลกโทเค็นตามความจำเป็น
โทเค็นสถานะส่วนตัวได้รับการเข้ารหัสอยู่ จ���งไม่สามารถระบุตัวตนของผู้ใช้หรือเชื่อมต่ออินสแตนซ์ที่เชื่อถือได้และไม่น่าเชื่อถือเพื่อค้นหาข้อมูลระบุตัวตนของผู้ใช้
ทําไมเราถึงต้องมีโทเค็นสถานะส่วนตัว
เว็บต้องการวิธีกำหนดและถ่ายทอดสัญญาณความน่าเชื่อถือที่แสดงให้เห็นว่าผู้ใช้เป็นอย่างที่ผู้ใช้ระบุ ไม่ใช่บ็อตที่แอบอ้างเป็นมนุษย์หรือบุคคลที่สามที่เป็นอันตรายซึ่งหลอกลวงบุคคลหรือบริการจริง ความคุ้มครองจากการทุจริตสำคัญอย่างยิ่งสำหรับผู้ลงโฆษณา ผู้ให้บริการโฆษณา และ CDN
อย่างไรก็ตาม มีกลไกที่มีอยู่มากมายที่ใช้วัดและถ่ายทอดความน่าไว้วางใจเพื่อค้นหาว่าการโต้ตอบกับเว็บไซต์มาจากคนที่มีตัวตนจริงหรือไม่ ให้คุณใช้ประโยชน์จากเทคนิคที่สามารถใช้ในการเก็บลายนิ้วมือด้วยเช่นกัน กลไกในการแสดงถึงความเชื่อถือจะต้องรักษาความเป็นส่วนตัว ทำให้ความไว้วางใจสามารถเผยแพร่ผ่านเว็บไซต์ต่างๆ ได้โดยไม่ต้องติดตามผู้ใช้แต่ละคน
เมื่อใช้ API โทเค็นสถานะส่วนตัว เว็บไซต์��ะออกโทเค็นการเข้ารหัสให้ผู้ใช้ที่เว็บไซต์เชื่อถือ ซึ่งสามารถนำไปใช้ที่อื่นได้ภายหลัง เบราว์เซอร์ของผู้ใช้จะจัดเก็บโทเค็นไว้อย่างปลอดภัยและสามารถนำโทเค็นนี้ไปใช้ในบริบทอื่นๆ เพื่อยืนยันความถูกต้องของผู้ใช้ วิธีนี้จะช่วยให้เกิดความน่าเชื่อถือของผู้ใช้ในเว็บไซต์หนึ่ง (เช่น เว็บไซต์โซเชียลมีเดียหรือบริการอีเมล) ไปยังเว็บไซต์อื่น (เช่น ผู้เผยแพร่โฆษณาหรือร้านค้าออนไลน์) โดยไม่ต้องระบุตัวผู้ใช้หรือลิงก์ข้อมูลประจำตัวในเว็บไซต์ต่างๆ
โทเค็นสถานะส่วนตัวทำงานอย่างไร
ในตัวอย่างนี้ เว็บไซต์ของผู้เผยแพร่โฆษณาต้องการตรวจสอบว่าผู้ใช้เป็นมนุษย์จริง ไม่ใช่บ็อต ก่อนที่จะแสดงโฆษณา
- ผู้ใช้เข้าชมเว็บไซต์ (หรือที่เรียกว่าผู้ออกใบรับรอง) และดำเนินการที่ทำให้เว็บไซต์เชื่อว่าผู้ใช้นั้นเป็นมนุษย์ เช่น ทำการซื้อโดยใช้บัญชีอีเมลหรือทำ reCAPTCHA สำเร็จ
- เว็บไซต์ของผู้ออกบัตรใช้ JavaScript API ของโทเค็นสถานะส่วนตัวเพื่อทริกเกอร์คำขอโทเค็นความน่าเชื่อถือสำหรับเบราว์เซอร์ของผู้ใช้
- เว็บไซต์ผู้ออกบัตรตอบกลับด้วยข้อมูลโทเค็น
- เบราว์เซอร์ของผู้ใช้จะเก็บข้อมูลสำหรับโทเค็นความน่าเชื่อถือไว้อย่างปลอดภัย
- ผู้ใช้เข้าชมเว็บไซต์อื่น (เช่น ผู้เผยแพร่เนื้อหาข่าว) ที่ต้องการยืนยันว่าผู้ใช้เป็นมนุษย์จริงหรือไม่ เช่น เมื่อแสดงโฆษณา
- เว็บไซต์จะใช้ Private State Token API เพื่อตรวจสอบว่าเบราว์เซอร์ของผู้ใช้มีโทเค็นความน่าเชื่อถือซึ่งจัดเก็บไว้ให้กับผู้ออกบัตรที่เว็บไซต์เชื่อถือหรือไม่
- ระบบพบโทเค็นสถานะส่วนตัวของผู้ให้บริการที่ผู้ใช้เข้าชมก่อนหน้านี้
- เว็บไซต์ของผู้เผยแพร่ส่งคำขอไปยังผู้ออกบัตรเพื่อแลกโทเค็นความน่าเชื่อถือ
- เว็บไซต์ของผู้ออกบัตรตอบกลับด้วยระเบียนการแลกสิทธิ์
- เว็บไซต์ของผู้เผยแพร่โฆษณาส่งคำขอไปยังแพลตฟอร์มโฆษณา รวมถึงบันทึกการแลกสิทธิ์เพื่อแสดงว่าผู้ออกบัตรเชื่อถือผู้ใช้ให้เป็นบุคคลจริง
- แพลตฟอร์มโฆษณาให้ข้อมูลที่จำเป็นในการแสดงโฆษณา
- เว็บไซต์ของผู้เผยแพร่โฆษณาจะแสดงโฆษณา
- ระบบจะนับการแสดงผลการดูโฆษณา
มีเครื่องมือให้สำหรับโทเค็นสถานะส่วนตัวไหม
Chrome DevTools จะเปิดการตรวจสอบจากแท็บเครือข่ายและแอปพลิเคชัน โปรดอ่านข้อมูลเพิ่มเติมเกี่ยวกับการผสานรวมเครื่องมือสำหรับนักพัฒนาเว็บนี้และโทเค็นสถานะส่วนตัว
เว็บไซต์จะจัดการโทเค็นจากผู้ออกบัตรที่เชื่อถือได้หลายรายอย่างไร
เว็บไซต์จะตรวจสอบเบราว์เซอร์ของผู้ใช้เพื่อดูโทเค็นที่ถูกต้องด้วย document.hasTrustToken()
สำหรับผู้ออกบัตรได้ทีละ 1 ราย หากแสดงผล true
และมีโทเค็นพร้อมใช้งาน เว็บไซต์จะแลกสิทธิ์โทเค็นนี้และหยุดค้นหาโทเค็นอื่นๆ ได้
เว็บไซต์ต้องตัดสินใจว่าจะตรวจสอบผู้ออกโทเค็นรายใดและเรียงลำดับอย่างไร
Use Case
Private State Tokens (PST) รองรับ Use Case ป้องกันการประพฤติมิชอบที่หลากหลา�� หลักๆ แล้ว PST เป็นสัญญาณความน่าเชื่อถือเพิ่มเติมเนื่องจาก API สามารถเข้ารหัสชิ้นส่วนข้อมูลที่ช่วยถ่ายทอดความน่าเชื่อถือจากบริบทหนึ่งไปยังอีกบริบทหนึ่งได้ เมื่อคุกกี้ของบุคคลที่สามเลิกใช้ไป เราตระหนักดีว่าการใช้งานในกรณีต่างๆ ดังเช่นตัวอย่างต่อไปนี้ยังคงทำงานได้ตามที่ต้องการ กรณีการใช้งาน PST ทั้งหมดกำหนดให้ทั้งผู้ออกบัตรและผู้แลกสิทธิ์ทำงานร่วมกัน คุณอาจต้องพิจารณาใช้ PST หากมีกรณีการใช้งานที่คล้ายกับตัวเลือกด้านล่าง
- บริการป้องกันการประพฤติมิชอบ: การป้องกันการประพฤติมิชอบเป็นกรณีการใช้งานที่เหมาะสมที่เว็บควรรองรับ แต่ไม่ควรต้องใช้ตัวระบุผู้ใช้ทั่วโลกที่เสถียร ในบริบทของบุคคลที่สาม คุณสามารถใช้ PST ในการแบ่งกลุ่มผู้ใช้เป็นชุดที่เชื่อถือได้และไม่น่าเชื่อถือ
- การวิเคราะห์การประพฤติมิชอบเกี่ยวกับโฆษณา: PST จะมีประโยชน์ในการวิเคราะห์การคลิก การแสดงผล และแผนบ็อตที่เป็นการฉ้อโกงในบริการเทคโนโลยีโฆษณา
- การตรวจหาบ็อต: หลังจากเรียกใช้การวิเคราะห์ว่าเบราว์เซอร์เป็นบ็อตหรือไม่ PST จะช่วยเข้ารหัสข้อมูลนั้นเพื่อแชร์จากบริบทหนึ่งไปยังอีกบริบทหนึ่งได้
- การชำระเงินที่ปลอดภัย: ในการตรวจจับภัยคุกคามที่ระบุตัวตนได้ยากในบริบทของบุคคลที่สามที่มีข้อมูลจำกัด (เช่น บัตร) คุณสามารถใช้ PST เป็นสัญญาณเพิ่มเติมเพื่อแสดงถ��งความไว้วางใจ
- บริการป้องกันการละเมิดในอีคอมเมิร์ซ: การตรวจหาบ็อตในการโต้ตอบผ่านอีคอมเมิร์ซ (การคลิก การชําระเงิน การซื้อ การให้คะแนนผลิตภัณฑ์ แชทบ็อต การคืนสินค้า) เป็นสิ่งที่สำคัญอย่างยิ่งในการหลีกเลี่ยงการทำลายหน้าเว็บและการโต้ตอบที่ไม่ได้เกิดจากมนุษย์ นี่อาจเป็นสัญญาณเพิ่มเติมที่สำคัญในการตรวจหาตั��แทนอัตโนมัติสําหรับผู้ให้บริการป้องกันการฉ้อโกงบุคคลที่สามในแพลตฟอร์มอีคอมเมิร์ซ
- บริการ CDN: PST มีกลไกที่ช่วยในการรายงานและตรวจจับการเข้าชมที่เป็นการฉ้อโกง
รายการกรณีการใช้งานนี้ไม่ใช่รายการความสามารถในการป้องกันการประพฤติมิชอบทั้งหมดที่อาจได้รับประโยชน์จากโทเค็นสถานะส่วนตัว รายการนี้ยังใช้ไม่ได้พร้อมกัน แต่ PST อาจเป็นประโยชน์ต่อเวิร์กโฟลว์ป้องกันการฉ้อโกงหลายรายการ
เส้นทางของผู้ใช้
การออกและการแลกสิทธิ์เป็นองค์ประกอบหลักของโทเค็นสถานะส่วนตัว แม้ว่า Use Case ก่อนหน้านี้จะเป็นฟีเจอร์หลักที่รองรับ PST แต่คุณสามารถคิดถึงช่วงเวลาต่อไปนี้ในเส้นทางของผู้ใช้บางกรณีได้ เนื่องจากเป็นกรณีที่คุณต้องการออกหรือแลกโทเค็น
- ออกโทเค็นระหว่างขั้นตอนการจัดการบัญชี (การเข้าสู่ระบบ ลงชื่อสมัครใช้ รีเซ็ตรหัสผ่าน และอื่นๆ)
- ออกโทเค็นหลังจากยืนยันการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA)
- ออกโทเค็นหลังจากการดำเนินการที่มีความเสี่ยงสูง เช่น การลบประวัติการชำระเงิน
- แลกสิทธิ์โทเค็นสำหรับการยืนยันข้ามเว็บไซต์ก่อน��าร��ำเนินการที่มีความเสี่ยง������ก��าง
- แลกสิทธิ์โทเค็นสำหรับการยืนยันแบบข้ามเว็บไซต์ก่อนการดำเนินการที่มีความเสี่ยงสูง
มีส่วนร่วมและแชร์ความคิดเห็น
- ช่วงทดลองใช้จากต้นทาง: ปิดแล้ว
- การสาธิต: ช่วงทดลองใช้ Trust Token จากต้นทางสิ้นสุดลงแล้ว แต่คุณยังดูการสาธิตได้อยู่
- GitHub: อ่านข้อเสนอ ถามคำถาม และติดตามการสนทนา
- W3C: พูดคุยเกี่ยวกับ Use Case ของอุตสาหกรรมในการปรับปรุงกลุ่มธุรกิจการโฆษณาบนเว็บ
- IETF: ป้อนข้อมูลทางเทคนิคสำหรับโปรโตคอลที่สำคัญในคณะทำงานของ IETF Privacy Pass
- การสนับสนุนนักพัฒนาแอป: ถามคำถามและเข้าร่วมการสนทนาในที่เก็บการสนับสนุนนักพัฒนาแอป Privacy Sandbox
- คำถามช่วงทดลองใช้จากต้นทาง: รายงานข้อบกพร่องของ Chromium หรือตอบกลับแบบฟอร์มความคิดเห็นที่ส่งถึงคุณในฐานะผู้เข้าร่วมโปรแกรมช่วงทดลองใช้จากต้นทาง