1. Trang chủ
  2. Câu hỏi và trả lời
  3. Google Analytics ngăn chặn giả mạo lưu lượng truy cập

Google Analytics ngăn chặn giả mạo lưu lượng truy cập

2010-03-10 38 views
14

Chúng tôi muốn nhúng dịch vụ kiểu ajax vào một số trang web của chúng tôi, mỗi trang web có khóa api duy nhất. Vấn đề mà tôi có thể thấy là bởi vì khóa api được lưu trữ trong tệp javascript người dùng có khả năng lấy chìa khóa, giả mạo liên kết giới thiệu http và tạo hàng triệu yêu cầu cho api theo khóa api đó.Google Analytics ngăn chặn giả mạo lưu lượng truy cập

Vì vậy, tôi tự hỏi cách Google ngăn chặn giả mạo Analytics? Vì điều này sử dụng gần như cùng một ý tưởng.

Tôi cũng mở cho các ý tưởng khác, về cơ bản ở đây là quy trình.

Sitea -> User < -> Ajax < -> SiteB

EDIT - là có cách nào để bảo vệ các API từ bị lạm dụng trong khi có nó gọi qua ajax?

Nguồn

2010-03-10 user103219

+1

"Giả mạo tham chiếu http" có nghĩa là gì? Gửi tiêu đề liên kết giới thiệu HTTP giả mạo? Tôi không chắc GA bảo vệ chống lại điều này. – bzlm

+0

cố định để làm rõ "http referrer" – user103219

+0

Đó là một chủ đề cũ, nhưng có thể giúp ai đó googling. Đây là câu trả lời trên stackexchange mô tả một cách có thể bảo vệ điều này: http://security.stackexchange.com/questions/106892/how-does-google-analytics-prevent-fake-data-attacks-against-an-entitys- giao thông/146091 # 146091 – cephuo

Trả lời

10

Tôi không tin rằng có bất kỳ biện pháp bảo vệ nào như vậy. Giả mạo lưu lượng truy cập là một vấn đề nghiêm trọng đối với các dịch vụ khác của Google, chẳng hạn như Adwords. Ví dụ, một cá nhân độc hại đang đặt giá thầu trên adwords có thể tạo ra nhiều nhấp chuột giả mạo cho quảng cáo của đối thủ cạnh tranh để tăng chi phí quảng cáo của họ và do đó, giá cổ phiếu của Google. Nghịch đảo cũng đúng, mọi người sẽ tạo ra các nhấp chuột giả mạo trên trang web của họ để nhận thêm tiền từ quảng cáo Click Payer trên trang web của họ.

Vào cuối ngày, tin tặc có thể tích lũy danh sách 10.000 máy chủ proxy ẩn danh mà không gặp quá nhiều khó khăn và bạn không thể làm gì nhiều. Một hacker cũng có thể sử dụng một botnet, một số trong đó có hàng triệu người. Lưu lượng truy cập được tạo ra từ botnet có thể xuất hiện là máy hợp pháp với Google Cookie hợp pháp, vì chúng bị tấn công.

Nhiều máy proxy và máy tính được liệt kê theo Danh sách đen thời gian thực (RBL) được thực hiện bởi và nhiều địa chỉ IP hợp pháp cũng nằm trong danh sách đó. Ngoài ra còn có các proxy không thể được sử dụng cho thư rác nhưng có thể được sử dụng cho gian lận nhấp chuột và do đó chúng sẽ không nằm trong danh sách đó.

Nguồn

2010-03-10 17:35:21 rook

+0

Vì vậy, về cơ bản những gì bạn nói là không có cách nào thực sự để ngăn chặn giả mạo như tôi đã mô tả? – user103219

+0

Nếu kẻ tấn công có một loạt các proxy hoặc máy bị tấn công, thì không có cách nào để ngăn chặn loại giả mạo này. – rook

+0

Máy hoặc proxy bị tấn công thậm chí không cần thiết. Nếu tôi sử dụng khóa API của bạn và giả mạo tiêu đề giới thiệu của bạn, tôi có thể sử dụng dịch vụ kiểu AJAX câu hỏi mô tả. Trừ khi các biện pháp khác được đưa ra ... – bzlm

0

Khi đoán, tôi muốn nói khóa là một nửa của cặp khóa công khai riêng tư (bằng cách nào đó) bao gồm URL dưới dạng băm. Bằng cách này, khóa sẽ chỉ hoạt động và các lần truy cập chỉ được đăng ký, nếu yêu cầu là cho URL mà khóa được tạo. Bạn không thể giả mạo yêu cầu, bởi vì nếu bạn làm điều đó đi đến URL sai và không có gì xảy ra.

Nguồn

2010-03-10 16:34:57

+1

Tức là kiểm tra liên kết giới thiệu. Điều này không bảo vệ chống lại giả mạo liên kết giới thiệu (mà tôi đoán "giả mạo tham chiếu http" trong câu hỏi có nghĩa là). http://en.wikipedia.org/wiki/Referrer_spoofing – bzlm

+0

@bzlm - vâng, đó là ý của tôi. Tôi sẽ chỉnh sửa để xóa nó. – user103219

+4

Tôi không nghĩ rằng bạn đang mô tả một hệ thống secuirty thực sự. – rook

Các vấn đề liên quan

 Các vấn đề liên quan