Google Analytics ट्रैफ़िक स्पूफ़िंग

को कैसे रोकता है हम एक अद्वितीय एपी कुंजी के साथ हमारी कई वेबसाइटों में एक अजाक्स शैली सेवा एम्बेड करना चाहते हैं। समस्या जो मैं देख सकता हूं वह यह है कि एपीआई कुंजी जावास्क्रिप्ट फ़ाइल में संग्रहीत है क्योंकि उपयोगकर्ता संभावित रूप से कुंजी ले सकता है, http रेफरर को धोखा दे सकता है, और उस एपीआई कुंजी के तहत एपीआई के लाखों अनुरोध कर सकता है।Google Analytics ट्रैफ़िक स्पूफ़िंग

तो मैं सोच रहा हूं कि Google Analytics स्पूफ़िंग को कैसे रोकता है? चूंकि यह लगभग एक ही विचार का उपयोग करता है।

मैं अन्य विचारों के लिए भी खुला हूं, अनिवार्य रूप से यह प्रक्रिया है।

SiteA -> उपयोगकर्ता < -> अजाक्स < -> SiteB

संपादित करें - वहाँ दुरुपयोग किया जा रहा है जबकि यह ajax के माध्यम से कहा जाता रहा है से एपीआई की रक्षा के लिए किसी भी तरह से है?

स्रोत

2010-03-10 user103219

"http संदर्भ को धोखा देने" का क्या अर्थ है? एक नकली HTTP रेफरर हेडर भेजें? मुझे यकीन नहीं है कि जीए इसके खिलाफ सुरक्षा करता है। – bzlm

"http संदर्भक" को स्पष्ट करने के लिए तय – user103219

यह पुराना धागा है, लेकिन किसी ऐसे व्यक्ति की मदद कर सकता है जो गुगल रहा है। यहां स्टैकएक्सचेंज पर एक उत्तर दिया गया है जो इसे संरक्षित करने का एक संभावित तरीका बताता है: http://security.stackexchange.com/questions/106892/how-does-google-analytics-prevent-fake-data-attacks-against-an-entitys- यातायात/1460 9 1 # 1460 9 1 – cephuo

मुझे विश्वास नहीं है कि इस तरह के कोई सुरक्षा उपाय हैं। यातायात का स्पूफिंग अन्य Google सेवाओं जैसे एडवर्ड्स के लिए एक गंभीर समस्या है। उदाहरण के लिए, एक दुर्भावनापूर्ण व्यक्ति जो एडवर्ड्स पर बोली लगा रहा है, अपने प्रतिस्पर्धी के विज्ञापनों के लिए अपनी विज्ञापन लागतों को बढ़ाने और Google के शेयर मूल्य को बढ़ाने के लिए कई नकली क्लिक उत्पन्न कर सकता है। उलटा भी सच है, लोग अपनी साइट पर पेपर क्लिक विज्ञापन से अतिरिक्त पैसे प्राप्त करने के लिए अपनी साइट पर नकली क्लिक उत्पन्न करेंगे।

दिन के अंत में एक हैकर 10,000+ अज्ञात प्रॉक्सी सर्वरों की सूची को बहुत अधिक कठिनाई के बिना एकत्र कर सकता है और इसके बारे में आप इतना कुछ नहीं कर सकते हैं। एक हैकर भी एक बोनेट का उपयोग कर सकता है, जिनमें से कुछ आकार में लाखों हैं। एक बोनेट से उत्पन्न यातायात कानूनी Google कुकी के साथ वैध मशीनों के रूप में प्रतीत होता है, क्योंकि जहां वे अपहृत होते हैं।

कई प्रॉक्सी और बोनेट मशीनों को रीयलटाइम ब्लैक लिस्ट (आरबीएल) द्वारा दर्शाया गया है जैसे कि द्वारा चलाया गया, और कई वैध आईपी पते भी उस सूची में हैं। ऐसे प्रॉक्सी भी हैं जिनका उपयोग स्पैम के लिए नहीं किया जा सकता है लेकिन क्लिक धोखाधड़ी के लिए इस्तेमाल किया जा सकता है और इस प्रकार वे उस सूची में नहीं होंगे।

स्रोत

2010-03-10 17:35:21 rook

तो अनिवार्य रूप से आप जो कह रहे हैं वह यह है कि मैंने वर्णन किए गए स्पूफिंग को रोकने का कोई वास्तविक तरीका नहीं है? – user103219

यदि हमलावर के पास प्रॉक्सी या हैक की गई मशीनों का समूह है, तो इस प्रकार के स्पूफिंग को रोकने के लिए कोई रास्ता नहीं है। – rook

हैक की गई मशीन या प्रॉक्सी भी आवश्यक नहीं हैं। यदि मैं आपकी एपीआई कुंजी का उपयोग करता हूं और अपने रेफ़रल हेडर को धोखा देता हूं, तो मैं AJAX शैली सेवा का उपयोग कर सकता हूं। जब तक अन्य उपायों की जगह न हो ... – bzlm

अनुमान में, मैं कहूंगा कि कुंजी सार्वजनिक-निजी कुंजी जोड़ी का एक आधा है (किसी भी तरह) यूआरएल को हैश के रूप में शामिल करता है। इस तरह, कुंजी केवल काम करेगी, और हिट केवल पंजीकृत होंगी, अगर अनुरोध यूआरएल के लिए है जिसके लिए कुंजी उत्पन्न हुई थी। आप अनुरोध को खराब नहीं कर सकते हैं, क्योंकि यदि आप ऐसा करते हैं तो यह गलत यूआरएल पर जाता है और कुछ भी नहीं होता है।

स्रोत

2010-03-10 16:34:57

आईई रेफरर जांच यह रेफरर स्पूफिंग के खिलाफ बचाव नहीं करता है (जिसे मैं अनुमान लगा रहा हूं "प्रश्न संदर्भ में" http संदर्भ को खराब करना ")। http://en.wikipedia.org/wiki/Referrer_spoofing – bzlm

@bzlm - हाँ यही मेरा मतलब है। मैं इसे साफ़ करने के लिए संपादित कर दूंगा। – user103219

मुझे नहीं लगता कि आप एक असली सेक्युरी सिस्टम का वर्णन कर रहे हैं। – rook

उत्तर

संबंधित मुद्दे