Cosa sono i Private State Tokens?

I Private State Tokens (PST) rappresentano un nuovo approccio all'interno dell'iniziativa Privacy Sandbox di Google, volto a fornire segnali di fiducia che tutelano la privacy tra i siti web. Il loro scopo fondamentale è consentire la trasmissione di segnali di autenticità dell'utente tra diversi contesti web senza abilitare il tracciamento dei singoli utenti o compromettere la privacy.

Il framework PST si basa su due ruoli principali:

• Emittente: Il sito web che genera ed emette i token per il browser dell'utente.
• Riscattatore: Il sito web che verifica i token emessi da siti attendibili per convalidare l'autenticità dell'utente.

Una proprietà fondamentale dei PST è la crittografia dei token, che impedisce efficacemente a qualsiasi parte di ricollegare le istanze dei token a un singolo utente. Questa crittografia supporta quanto segue:

• Nessun tracciamento passivo: A differenza dei cookie, i PST non consentono il tracciamento tra più token o sessioni.
• Archiviazione sicura per la privacy: I PST possono archiviare più token da un singolo emittente senza rischiare violazioni della privacy.

I PST forniscono un meccanismo ai siti web per combattere le frodi, distinguere i bot dagli esseri umani, e garantire interazioni autentiche degli utenti attraverso un segnale di fiducia trasmesso senza esporre informazioni identificative.

I risultati chiave delle recenti valutazioni indicano che:

• I PST impediscono con successo la correlazione dei token con i singoli utenti, affrontando così una delle principali preoccupazioni per la privacy insite nei metodi di tracciamento tradizionali (Google Privacy Sandbox, 2023).
• Il design supporta l'interoperabilità tra diversi siti web, abilitando un framework di fiducia decentralizzato anziché un tracciamento centralizzato.
• Il meccanismo dei token crittografati mantiene l'anonimato dell'utente, fornendo al contempo segnali di fiducia utilizzabili per la prevenzione delle frodi.

In sintesi, i Private State Tokens offrono un equilibrio tra privacy dell'utente e sicurezza web, offrendo un'alternativa scalabile ai sistemi di autenticazione e tracciamento basati sui cookie. Sfruttando le garanzie crittografiche, mitigano il compromesso tra privacy e rilevamento delle frodi che ha storicamente rappresentato una sfida per gli ecosistemi web.