Digital Transformation
Private State Tokens (PST)
TL;DR: Private State Tokens (PST) adalah API Privacy Sandbox Chrome yang menggantikan fungsi anti-fraud cookie pihak ketiga. Situs penerbit memberi token "kepercayaan" kepada pengguna terpercaya, lalu situs lain bisa menebus token itu untuk memverifikasi pengguna asli tanpa tahu identitasnya. Aktif sebagai stable API sejak Chrome 124 (April 2024).
Apa itu Private State Tokens?
Private State Tokens, sebelumnya bernama Trust Tokens, adalah mekanisme cryptographic blind signature yang memisahkan dua peran. Pertama, "issuer" (penerbit) memberikan token kepada pengguna yang sudah terbukti asli melalui CAPTCHA, login berbasis passkey, atau sinyal anti-fraud internal. Kedua, "redeemer" (penebus) di situs lain menerima token tersebut sebagai bukti kepercayaan tanpa pernah tahu siapa pengguna itu di situs penerbit. Token bersifat anonim karena ditandatangani secara buta (blind signature), sehingga issuer tidak bisa melinkan token yang diterbitkan dengan token yang ditebus.
PST adalah salah satu dari beberapa API yang dibangun di atas Privacy Sandbox untuk menggantikan use case third-party cookies tanpa membuka pintu fingerprinting baru. Berbeda dengan Topics API yang fokus pada iklan berbasis minat, PST khusus untuk verifikasi anti-bot dan anti-fraud.
Cara Kerja PST
| Tahap | Aktor | Aksi |
|---|---|---|
| 1. Issuance | Issuer site | Pengguna lulus tantangan (CAPTCHA, login), browser request token via document.hasPrivateToken() |
| 2. Storage | Browser | Token disimpan terenkripsi di partition khusus per issuer |
| 3. Redemption | Redeemer site | Site request fetch() dengan header Sec-Private-State-Token |
| 4. Verification | Redeemer server | Server cek signature token, ambil keputusan trust |
Setiap issuer dibatasi maksimal 6 issuer per top-level site dan kuota token tertentu untuk mencegah penyalahgunaan.
Kenapa Penting?
Untuk marketer Indonesia yang menggunakan retargeting berbasis cookie, era cookieless memunculkan masalah baru di luar tracking, yaitu bagaimana membedakan klik manusia dari klik bot. Tanpa cookie, fraud iklan dan akun palsu jauh lebih sulit dideteksi. PST menyediakan jembatan trust antar-domain tanpa membuka jalan baru untuk fingerprinting, sehingga publisher, advertiser, dan platform anti-fraud bisa tetap kolaboratif di era privacy-first.
Pertanyaan Umum
Apakah PST sama dengan Topics API atau Protected Audience API?
Tidak. Ketiganya bagian Privacy Sandbox tapi tujuan berbeda. PST untuk anti-fraud dan trust signaling. Topics API untuk iklan berbasis minat. Protected Audience API untuk remarketing on-device.
Browser apa saja yang dukung PST?
Per April 2026, PST stabil di Chrome 124+ dan Edge berbasis Chromium. Safari dan Firefox belum mengimplementasi karena pendekatan privacy mereka berbeda.
Istilah Terkait