Skip to content
This repository has been archived by the owner on Mar 14, 2024. It is now read-only.

Latest commit

 

History

History
83 lines (59 loc) · 12.7 KB

index.md

File metadata and controls

83 lines (59 loc) · 12.7 KB
Raw
layout title subhead description date updated authors
layouts/doc-post.njk
Токены доверия
Trust Tokens (Токены доверия)—это новый API, помогающий противодействовать мошенничеству и отличать ботов от реальных людей без использования пассивного отслеживания.
Trust Tokens API позволяет передавать доверие к пользователю из одного контекста в другой, не раскрывая его личность и не давая возможности идентифицировать контексты как принадлежащие одному пользователю. При помощи API источники могут генерировать криптографические токены для пользователей, которым доверяют. Токены сохраняются в браузере и впоследствии могут использоваться в других контекстах для оценки благонадежности пользователя.
2021-05-18
2021-08-18
samdutton

Статус реализации

Что такое токены доверия?

{% YouTube id='bXB1Iwq6Eq4' %}

Токены доверия позволяют передавать доверие к подлинности пользователя из одного контекста в другой, помогая сайтам бороться с мошенничеством и отличать ботов от реальных людей—без пассивного отслеживания.

  • Сайт-эмитент может выдавать токены браузеру пользователя, если тот продемонстрирует свою благонадежность: будет в течение длительного периода использовать свою учетную запись, выполнит транзакцию, получит достаточно высокий балл reCAPTCHA и т. д.
  • Сайт-получатель может подтвердить, что пользователь является реальным человеком, проверив наличие у него токенов, выданных эмитентом, которому получатель доверяет, а затем, если это необходимо, воспользоваться токенами.

Токены доверия зашифрованы, поэтому не позволяют идентифицировать человека или связать доверенные и недоверенные сеансы, чтобы установить личность.

{% Aside 'caution' %} Токены доверия—это не замена reCAPTCHA и иных механизмов проверки того, является ли пользователь тем, за кого себя выдает.

Токены доверия—это способ передать доверие к пользователю, а не установить, заслуживает ли он доверия. {% endAside %}

Зачем нужны токены доверия?

Интернет нуждается в способах установки и передачи сигналов доверия, показывающих, что пользователь действительно является тем, за кого себя выдает, а не ботом, маскирующимся под человека, или злоумышленником, пытающимся обмануть реального человека или сервис. Защита от мошенничества особенно важна для рекламодателей, поставщиков рекламы и сетей CDN.

К сожалению, многие существующие механизмы оценки и распространения доверия—например, используемые для подтверждения того, что посетитель сайта—реальный человек,—используют технологии, которые также могут применяться для фингерпринтинга. Механизмы передачи доверия должны сохранять конфиденциальность пользователей, чтобы обеспечить распространение доверия между сайтами без отслеживания отдельных пользователей.

С помощью Trust Tokens API сайт может выдавать доверенным пользователям криптографически защищенные токены, которыми затем можно воспользоваться в другом месте. Токены безопасным образом хранятся в браузере пользователя и могут быть использованы в других контекстах для подтверждения благонадежности пользователя. Благодаря этому доверие к пользователю на одном сайте (например, в соцсети или почтовом сервисе) может быть передано на другой сайт (например, сайт издателя или интернет-магазина), не раскрывая личность пользователя и не давая возможности сопоставлять друг с другом сеансы на разных сайтах.

{% Aside 'key-term' %} Фингерпринтинг позволяет сайтам идентифицировать и отслеживать отдельных пользователей, получая данные об их устройстве, операционной системе и настройках браузера (например, языковых настройках, строке user-agent и доступных шрифтах), а также изменениях в состоянии устройства. Это можно делать как на стороне сервера путем проверки заголовков запросов, так и на стороне клиента при помощи JavaScript.

Фингерпринтинг использует механизмы, о которых пользователи не знают и которые не могут контролировать. Сайты, такие как Panopticlick и amiunique.org, показывают, как данные, полученные в результате фингерпринтинга, можно объединить, чтобы идентифицировать вашу личность.
{% endAside %}

Как работают токены доверия?

В этом примере сайт издателя перед показом рекламы хочет проверить, является ли пользователь настоящим человеком, а не ботом.

  1. Пользователь заходит на сайт (известный как эмитент) и выполняет действия, которыми подтверждает, что он реальный человек: делает покупки, использует электронную почту, успешно проходит тест reCAPTCHA и т. д.
  2. Сайт-эмитент использует JavaScript Trust Tokens API, чтобы сгенерировать запрос на получение токенов доверия для браузера пользователя.
  3. Сайт-эмитент возвращает данные токена.
  4. Браузер пользователя безопасно сохраняет данные токена доверия.
  5. Пользователь заходит на другой сайт (такой, как новостной портал), который хочет проверить, является ли пользователь настоящим человеком,—например, чтобы показать рекламу.
  6. При помощи API токенов доверия сайт проверяет, сохранены ли в браузере пользователя токены доверия от эмитентов, которым сайт доверяет.
  7. В браузере обнаруживаются токены доверия от эмитента, сайт которого пользователь уже посещал.
  8. Сайт издателя отправляет эмитенту запрос, чтобы использовать токены доверия.
  9. Сайт-эмитент отвечает записью об использовании токенов.
  10. Сайт издателя отправляет рекламной платформе запрос, в котором указывает запись об использовании токенов, таким образом подтверждая, что эмитент доверяет пользователю и считает его реальным человеком.
  11. Рекламная платформа предоставляет данные, необходимые для показа рекламы.
  12. Объявление отображается на сайте издателя.
  13. Сайт засчитывает показ объявления.

{% Aside %} Подробнее о вызовах JavaScript, используемых в этом примере, см. «Пример использования API». {% endAside %}

Участвуйте и делитесь отзывами

Дополнительная информация