[英]Security on Google Analytics and other client-side analytics tools?
Google Analytics通過客戶在其網站上放置的客戶端JavaScript來跟蹤用戶。 正如安全社區所熟知的那樣,客戶端輸入不可信。
所以,我想知道,是什么阻止了以下事件的發生:
我能想到的唯一可能的保護是基於HTTP頭和IP地址速率限制,每個都可以通過分別篡改頭和使用代理來避免。
我問,因為我正在考慮編寫類似的客戶端跟蹤JavaScript。 但考慮到所有的安全漏洞,我開始想知道為什么有人使用或信任客戶端跟蹤開始。
是的,攻擊者可以操縱發送到Google服務器的請求。
我不知道谷歌做了什么來防止這種情況。 沒有一種好方法可以防止這種行為。
那么為什么用戶仍然信任GA呢? 惡意攻擊者可以欺騙所有請求標頭,但不能欺騙IP地址。 因此,即使報告顯示大量流量,您也會很快發現它們來自同一個IP地址。 換句話說,折扣額外的流量是微不足道的。
當然有人可以從遍布全球的幾台機器上進行攻擊。 然后,您將看到來自各地的虛假流量。 您仍然可以通過過濾諸如用戶代理或其他http標頭之類的內容或惡意腳本特有的其他此類“簽名”來捕獲惡意流量。
你會說“但有人可以編寫一個像HTTP頭一樣模擬現實生活的腳本”。 當然。 但這提高了標准。 您正在談論可以訪問全世界數百台計算機的人,可以編寫可以工作幾個月的腳本來欺騙您,並且可以生成足夠隨機的數據,以便您無法過濾任何一個屬性。
那個堅定的人能夠並且將會有自己的方式。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.