Подтвердить что ты не робот

Безопасность в Google Analytics и других инструментах аналитики на стороне клиента?

Google Analytics отслеживает пользователей через клиентский javascript, который клиенты размещают на своем сайте. Как известно в сообществе безопасности, вход на стороне клиента нельзя доверять.

Итак, мне было интересно, что предотвращает следующее:

  • Вредоносные пользователи обманывают запросы, чтобы дать вводящую в заблуждение информацию владельцу веб-сайта. Например, они могут заставить их думать, что большинство людей переходят на страницу А, а не на страницу В, которая испортит их аналитическое понимание своего веб-трафика.
  • Вредоносные пользователи, которые просто делают сайт, считают, что они получают гораздо больше трафика, чем они, заставляя их думать, что у них больше тяги, чем у них. Это действительно помешало бы игрокам, когда трафик начнет спускаться позже.
  • Вредоносные пользователи, которые просто наводняют журналы, делая невозможным аналитику.

Единственные возможные меры защиты, о которых я могу думать, основаны на HTTP-заголовках и ограничении скорости IP-адреса, каждый из которых можно было бы избежать путем подбора заголовков и использования прокси соответственно.

Я спрашиваю, потому что я подумывал написать аналогичную клиентскую версию JavaScript. Но, думая обо всех недостатках безопасности, я начал задаваться вопросом, почему кто-то использует или доверяет отслеживанию на стороне клиента, чтобы начать с.

4b9b3361

ОТВЕТЫ

Ответ 1

Да, злоумышленник может манипулировать запросами, отправляемыми на серверы Google.

Я не знаю, что Google делает для защиты от этого. Там просто нет хорошего способа предотвратить такое поведение.

Итак, почему пользователи по-прежнему доверяют GA? Злоумышленник может обманывать все заголовки запросов, но не может обманывать IP-адрес. Поэтому, даже если отчеты показывают много трафика, вы очень быстро узнаете, как все это происходит с одного и того же IP-адреса. Другими словами, тривиальным является дисконтирование дополнительного трафика.

Конечно, кто-то может запустить атаку с нескольких машин, распространенных по всему миру. Затем вы увидите поддельный трафик со всех сторон. Вы по-прежнему можете заразиться вредоносным трафиком, фильтруя такие вещи, как пользовательский агент или другие заголовки http, или другую такую ​​ "подпись", уникальную для вредоносного script.

Вы скажете: "Но кто-то может написать script, который имитирует реальную жизнь, например HTTP-заголовки". Конечно. Но это поднимает планку довольно высоко. Вы говорите о ком-то, у кого есть доступ к сотням машин по всему миру, можете писать сценарии, которые работают в течение нескольких месяцев, чтобы обмануть вас и могут генерировать случайные данные, чтобы вы не могли фильтровать ни один атрибут.

Кто-то, кто определен, может и будет иметь свой путь.