Подтвердить что ты не робот

Безопасные файлы отслеживания Google

Я использую Google Analytics на некоторых страницах своего сайта. Весь сайт использует SSL. Возможно ли сохранить файлы cookie Goole Analytics __umt*.

По крайней мере, я хотел бы включить в них безопасный флаг. В лучшем случае я также хотел бы установить для них только HTTP-флаг, но я не думаю, что последнее возможно (потому что Google использует JS для использования куки файлов, которые, как я думаю).

Можно ли это сделать? И если да, то как его настроить?

4b9b3361

ОТВЕТЫ

Ответ 1

Не дорабатывая GA script и сохраняя собственную локальную копию, нет, вы не сможете установить безопасные или HttpOnly флаги. Я полагаю, что Google сделал осознанное дизайнерское решение об этом и уверенность, что могут быть преимущества от возможности отслеживать одного и того же пользователя как в безопасных, так и в небезопасных схемах.

Вы должны спросить себя, что вы пытаетесь достичь с этим, хотя; что потенциальный эксплойт, если человек в середине может перехватывать и читать или манипулировать файлом cookie из-за отсутствия безопасного флага? То же самое происходит с флагом HttpOnly; что для злоумышленника, если они могут получить этот файл cookie с помощью эксплойта XSS?

Я видел такую ​​обратную связь от автоматических сканеров безопасности, прежде чем это просто вызвано отсутствующими флагами, не имея контекста того, для чего фактически используются файлы cookie. Это было бы моим первым предположением о том, почему такой вопрос даже возникнет.

Ответ 2

Куки файлы Google Analytics (да, установленные через Js) являются первичными кукисами, поэтому только ваш домен может их написать. Так что если это безопасность, которую вы ищете, это настолько же безопасно, насколько это возможно.

Хотя, я не уверен на 100% о вашем вопросе здесь, но если вы хотите включить Google Analytics только на страницах HTTP, вы можете изменить код GA на своих страницах, чтобы сделать это таким образом, в качестве примера

<script type="text/javascript">
  if(document.location.protocol != 'https:'){
     var _gaq = _gaq || [];
     _gaq.push(['_setAccount', 'UA-XXXXX-X']);
     _gaq.push(['_trackPageview']);

     (function() {
     var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;
     ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') +   '.google-analytics.com/ga.js';
     var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);
    })();
  }
</script>