¿Cómo evita Google Analytics la suplantación de tráfico?

Queremos incorporar un servicio de estilo AJAX en varios de nuestros sitios web, cada uno con una clave API única. El problema que puedo ver es que debido a que la clave api está almacenada en el archivo javascript, el usuario podría potencialmente tomar la clave, suplantar la referencia http y hacer millones de solicitudes a la API bajo esa clave api.¿Cómo evita Google Analytics la suplantación de tráfico?

Entonces, ¿me pregunto cómo evita Google la suplantación de Analytics? Como esto usa casi la misma idea.

También estoy abierto a otras ideas, esencialmente aquí está el proceso.

SiteA -> Usuario < -> Ajax < -> SitioB

EDITAR - ¿hay alguna manera de proteger la API de ser abusado, mientras que después de haber llamado a través de AJAX?

Fuente

2010-03-10 user103219

¿Qué significa "spoof the http reference"? ¿Enviar un encabezado de referencia HTTP falso? No estoy seguro de que GA proteja contra esto. – bzlm

corregido para aclarar a "http referente" – user103219

Es un hilo viejo, pero podría ayudar a alguien que está buscando en Google. Aquí hay una respuesta en stackexchange que describe una posible forma de proteger esto: http://security.stackexchange.com/questions/106892/how-does-google-analytics-prevent-fake-data-attacks-against-an-entitys- traffic/146091 # 146091 – cephuo

No creo que existan medidas de protección similares. La suplantación del tráfico es un problema grave para otros servicios de Google, como Adwords. Por ejemplo, una persona malintencionada que puja por AdWords puede generar muchos clics falsos para los anuncios de su competidor para aumentar sus costos de publicidad y, por lo tanto, el precio de las acciones de Google. Lo contrario también es cierto, las personas generarán clics falsos en su sitio para obtener dinero adicional de un anuncio Click de PayPer en su sitio.

Al final del día, un hacker puede acumular una lista de más de 10,000 servidores proxy anónimos sin demasiada dificultad y no hay mucho que pueda hacer al respecto. Un hacker también podría usar un botnet, algunos de los cuales tienen millones de tamaño. El tráfico generado a partir de una red de bots puede parecer máquinas legítimas con una Cookie legítima de Google, porque fueron secuestradas.

Muchos proxies y máquinas con bonet'ed están enumerados por Realtime Black Lists (RBL) como el ejecutado por , y muchas direcciones IP legítimas también están en esa lista. También hay proxies que no se pueden usar para el correo no deseado, pero podrían utilizarse para el fraude de clics y, por lo tanto, no se incluirán en esa lista.

Fuente

2010-03-10 17:35:21 rook

¿Entonces, básicamente, lo que estás diciendo es que no hay una manera real de evitar la suplantación de identidad como lo describí? – user103219

Si el atacante tiene un grupo de proxies o máquinas pirateadas, entonces no hay forma de evitar este tipo de falsificación. – rook

Las máquinas o los proxies pirateados ni siquiera son necesarios. Si utilizo su clave API y parodio su encabezado de referencia, puedo usar el servicio de estilo AJAX que describe la pregunta. A menos que otras medidas estén en su lugar ... – bzlm

Supongo que la clave es la mitad de un par de claves públicas y privadas que (de alguna manera) incluye la URL como hash. De esta forma, la clave solo funcionará, y los hits solo se registrarán, si la solicitud es para la URL para la cual se generó la clave. No puede falsificar la solicitud, porque si lo hace va a la URL incorrecta y no ocurre nada.

Fuente

2010-03-10 16:34:57

Es decir comprobación de referencia. Esto no defiende contra el spoofing del referidor (que supongo que "parodia de la referencia http" en la pregunta significa). http://en.wikipedia.org/wiki/Referrer_spoofing – bzlm

@bzlm - sí, eso es lo que quise decir. Editaré para aclarar eso. – user103219

No creo que estés describiendo un sistema real de seguridad. – rook

¿Cómo evita Google Analytics la suplantación de tráfico?

Respuesta

Cuestiones relacionadas