Google Analytics和其他客戶端分析工具的安全性?
[英]Security on Google Analytics and other client-side analytics tools?
問題描述
Google Analytics通過客戶在其網站上放置的客戶端JavaScript來跟蹤用戶。 正如安全社區所熟知的那樣,客戶端輸入不可信。
所以,我想知道,是什么阻止了以下事件的發生:
- 惡意用戶偽造請求以向網站所有者提供誤導性信息。 例如,他們可能會讓他們認為大多數人都會訪問頁面A而不是頁面B,這會影響他們對網絡流量的全面分析性理解
- 只是讓網站認為他們獲得了比他們更多的流量的惡意用戶,讓他們認為他們比他們有更多的牽引力。 當交通量在稍后開始下坡時,這對投資者來說真的很糟糕。
- 惡意用戶只是淹沒日志,無法進行任何類型的分析。
我能想到的唯一可能的保護是基於HTTP頭和IP地址速率限制,每個都可以通過分別篡改頭和使用代理來避免。
我問,因為我正在考慮編寫類似的客戶端跟蹤JavaScript。 但考慮到所有的安全漏洞,我開始想知道為什么有人使用或信任客戶端跟蹤開始。
1 個解決方案
解決方案1
9 已采納 2012-02-07 13:14:31
是的,攻擊者可以操縱發送到Google服務器的請求。
我不知道谷歌做了什么來防止這種情況。 沒有一種好方法可以防止這種行為。
那么為什么用戶仍然信任GA呢? 惡意攻擊者可以欺騙所有請求標頭,但不能欺騙IP地址。 因此,即使報告顯示大量流量,您也會很快發現它們來自同一個IP地址。 換句話說,折扣額外的流量是微不足道的。
當然有人可以從遍布全球的幾台機器上進行攻擊。 然后,您將看到來自各地的虛假流量。 您仍然可以通過過濾諸如用戶代理或其他http標頭之類的內容或惡意腳本特有的其他此類“簽名”來捕獲惡意流量。
你會說“但有人可以編寫一個像HTTP頭一樣模擬現實生活的腳本”。 當然。 但這提高了標准。 您正在談論可以訪問全世界數百台計算機的人,可以編寫可以工作幾個月的腳本來欺騙您,並且可以生成足夠隨機的數據,以便您無法過濾任何一個屬性。
那個堅定的人能夠並且將會有自己的方式。
Angular 4 Universal-Google Analytics(分析)/僅客戶端代碼
[英]Angular 4 Universal - Google Analytics / Client Side Only Code
是否可以使用google analytics.js在客戶端獲取推薦數據
[英]Is it possible to get referral data on client side with google analytics.js
服務器端請求和XmlHTTPRequest(客戶端)和安全性
[英]Server-side requests and XmlHTTPRequest (client-side) and security
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.