Vertrauenstoken

Vertrauenstoken ist ein neues API, das ohne passivem Tracking dabei hilft, Betrug zu bekämpfen und Bots von echten Menschen zu unterscheiden.

Published on Updated on

Translated to: English, Español, Português, 한국어, 中文, Pусский, 日本語, Français

Implementierungsstatus

Was sind Vertrauenstoken (Trust Tokens)?

Vertrauenstoken ermöglichen es, das Vertrauen in die Authentizität eines Benutzers von einem Kontext in einen anderen zu übertragen, um Websites bei der Betrugsbekämpfung zu unterstützen und Bots von echten Menschen zu unterscheiden – ganz ohne passivem Tracking.

  • Eine Website die als Emittent agiert kann Web-Browsern von Benutzern Token zuweisen, die zeigen, dass diese, zum Beispiel durch fortwährende Kontonutzung, Abschluss einer Transaktion oder aufgrund einer akzeptablen reCAPTCHA-Punktzahl vertrauenswürdig sind.
  • Eine Website, die als Annahmestelle für die Token agiert kann bestätigen, dass ein Benutzer echt ist, indem sie überprüft, ob er im Besitz von Token eines vertrauenswürdigen Emittenten ist, und dann bei Bedarf die Token annehmen.

Vertrauenstoken sind verschlüsselt, sodass es nicht möglich ist, eine Person zu identifizieren oder durch Verknüpfen vertrauenswürdiger und nicht vertrauenswürdiger Instanzen die Benutzeridentität zu ermitteln.

Caution

Vertrauenstoken sind kein Ersatz für reCAPTCHA oder andere Mechanismen die überprüfen, ob ein Nutzer der ist, der er vorgibt zu sein.

Vertrauenstoken sind eine Möglichkeit, Vertrauen in einen Benutzer zu bekunden und vermitteln, nicht um Vertrauen in einen Benutzer zu schaffen.

Warum brauchen wir Vertrauenstoken?

Das Web benötigt Möglichkeiten, Vertrauenssignale zu schaffen und zu übermitteln, die zeigen, dass ein Benutzer der ist, für den er sich ausgibt, und nicht ein Bot (der lediglich vorgibt, ein Mensch zu sein) oder böswilliger Dritter ist, der eine reale Person oder einen Dienst betrügt. Der Schutz vor Betrug ist besonders wichtig für Werbetreibende, Anzeigenanbieter und CDNs.

Leider nutzen viele derzeit vorhandene Mechanismen zur Bestimmung und Vermittlung von Vertrauenswürdigkeit (z. B. um zu Erkennen ob der Interaktionspartner einer Site ein echter Mensch ist) Technologie, die ebenfalls für Fingerprinting verwendet werden kann. Mechanismen zur Vermittlung von Vertrauen müssen die Privatsphäre wahren, damit Vertrauen über Websites hinweg vermittelt werden kann, ohne dass einzelne Benutzer nachverfolgt werden müssen.

Mit dem Vertrauenstoken-API kann eine Website einem Benutzer, dem sie vertraut, kryptografische Token ausgeben, die später an anderer Stelle verwendet werden können. Die Token werden im Browser des Benutzers sicher gespeichert und können dann in anderen Kontexten abgegeben werden, um die Authentizität des Benutzers zu bestätigen. Dadurch kann das Vertrauen eines Benutzers auf einer Website (z. B. einer Social-Media-Site oder bei einem E-Mail-Dienst) auf eine andere Website (z. B. einen Online-Shop oder einen sonstigen beliebigen Betreiber) übertragen werden, ohne den Benutzer zu identifizieren oder Identitäten über verschiedene Websites hinweg zu verknüpfen.

Key Term


Mithilfe von Fingerprinting können Websites einzelne Benutzer identifizieren und tracken, indem sie Daten über ihr Gerät, Betriebssystem und Browser-Setup (z. B. Spracheinstellungen, User Agent und verfügbare Schriftarten) oder Änderungen des Gerätezustands abrufen. Dies kann entweder auf dem Server (durch Überprüfung der Anforderungsheader) oder auf dem Client (per JavaScript) erfolgen.

Das Fingerprinting greift auf Mechanismen zurück, die für Benutzer nicht erkenntlich sind und die sich nicht ihrer Kontrolle unterziehen. Websites wie Panopticlick und amiunique.org demonstrieren, wie Fingerprinting-Daten kombiniert werden können, um Sie als Einzelperson zu identifizieren.

Wie funktionieren Vertrauenstoken?

In diesem Beispiel möchte eine Betreiberwebsite vor dem Schalten einer Werbeanzeige überprüfen, ob ein Benutzer ein echter Mensch ist und sicherstellen, dass es sich nicht um einen Bot handelt.

  1. Ein Benutzer besucht eine Website (die in diesem Fall ein Emittent ist) und führt Aktionen aus, auf Grund derer die Website annimmt, dass der Benutzer ein echter Mensch ist. Dazu gehören beispielsweise das Tätigen von Käufen, Nutzung eines E-Mail-Kontos oder erfolgreich abgeschlossene reCAPTCHA-Vorgänge.
  2. Die Emittenten-Site verwendet das Vertrauenstoken-JavaScript-API, um eine Anfrage nach Vertrauenstoken an den Browser des Benutzers auszulösen.
  3. Die Emittenten-Site antwortet mit Token-Daten.
  4. Der Browser des Benutzers speichert die Daten für den Vertrauenstoken sicher ab.
  5. Der Benutzer besucht eine andere Website (z. B. die eines Nachrichtenverlegers), die überprüfen möchte, ob der Benutzer ein echter Mensch ist, zum Beispiel beim Anzeigen von Werbung.
  6. Die Site verwendet das Vertrauenstoken-API, um zu überprüfen, ob im Browser des Benutzers Ver für Emittenten gespeichert sind, denen die Site vertraut.
  7. Es werden die Vertrauenstoken des Emittenten gefunden, den der Benutzer zuvor besucht hat.
  8. Die Betreibersite fordert den Emittenten auf, die Vertrauenstoken einzulösen.
  9. Die Emittenten-Site antwortet mit einem Einlösenachweis.
  10. Die Betreiber-Site schickt eine Anfrage, die das Einlöseprotokoll enthält, an eine Werbeplattform, um zu zeigen, dass der Emittent Vertrauen darin hat, dass es sich bei dem Benutzer um einen echten Menschen handelt.
  11. Die Werbeplattform stellt die für die Anzeige einer Werbeanzeige erforderlichen Daten bereit.
  12. Die Betreibersite zeigt die Anzeige an.
  13. Eine Anzeigenaufrufsimpression wird gezählt.

Weitere Informationen zu den JavaScript-Aufrufen in diesem Beispiel finden Sie unter Beispiel für die API-Verwendung.


Beteiligen Sie sich und geben Sie Feedback ab

Erfahren Sie mehr

Last updated: Improve article

We serve cookies on this site to analyze traffic, remember your preferences, and optimize your experience.