nik*_*ohn 5 javascript analytics facebook google-analytics data-integrity
在生产环境中,基于Javascript的分析脚本(Google Analytics,Facebook Pixel等)将以简单的Javascript注入大多数Web应用程序以及唯一ID /像素ID.
例如,airbnb使用Google Analytics.我可以打开我的开发控制台并运行
setInterval(function() {ga('send', 'pageview');}, 1000);
这将导致每1秒钟一次请求分析像素.那是我的机器每小时3600个请求.
现在,这可以轻松地以分布式方式完成,每秒产生数百万个请求,完全扭曲了pageview事件的Google Analytics数据.我知道收集到的大量数据会在一定程度上纠正这种偏差,但这可以通过提高请求数量来轻松补偿.
我的问题是:是否有任何保护措施可以防止竞争对手或恶意个人以这种方式破坏应用程序的数据完整性?GA或Facebook是否提供此类选项?
是的,但是不安全的部分不会出现在 Javascript 中。例如,您可以使用测量协议将数据洪泛到一个帐户。在这里,您可以看到同一社区中的很多人都对此感到困扰(而且解决起来很简单。) https://stackoverflow.com/search?q=spam+google+analytics
所有这些测量系统都使用 HTTP 调用来填充“数据库”上的数据。如果您能够建立正确的呼叫,您就可以向每个人、任何地方发送垃圾邮件(但不要这样做,不要作恶)。
https://developers.google.com/analytics/devguides/collection/protocol/v1/?hl=es-419
Google Analytics 的此页面解释了什么是协议测量,Javascript 仅作为构建和发送点击的框架。
https://developers.google.com/analytics/devguides/collection/protocol/v1/?hl=es-419
但是,并不是一切都失去了。例如,如果您尝试使用该代码在浏览器上执行此操作,则 Google Analytics FrameWork 限制为每秒 1 次调用和每个会话 150 次(或 cookie 值)。是的,跨越这个障碍并不复杂,但之后其他障碍就会出现。
所以如果你使用Javascript框架是安全的。现在假设您使用 python 执行相同的操作,将 http 发送到 Google Analytics 服务器。这是可能的,但是:所以这里有两件重要的事情要说。
Google Analytics 有一个主动的“防火墙”,可以检测垃圾邮件发送者并禁止他们。(他们如何以及何时执行此操作并不公开),但就我而言,几年前我看到的垃圾邮件发送者少了很多。
还有一些好的做法可以避免这种情况。例如,仅将域存储在白名单下,创建过滤器以仅允许来自您的域的流量 https://support.google.com/analytics/answer/1033162?hl=en
此外,使用过滤器仅包含来自特定商店或具有特定参数的数据(“例如品牌 == 我的品牌”或“CustomDimension== true”)也是保护电子商务的一个非常好的做法。排除产品超过 1.000 美元的交易(检查您的限额并应用主动过滤器)。所有这些障碍都使得打破起来变得复杂。
如果你这样做,你会保护你的域名很多(因为当你创建机器人时要知道UA + Domain Valid的组合太复杂了),但你知道,所有的系统都可能被破坏。根据我的经验,我只看到 2 到 3 起来自垃圾邮件发送者或想要伤害的人造成的损害,如果我创建主动过滤器,所有这些情况都可以避免。通常垃圾邮件发送者只会向您的帐户发送垃圾广告,几乎不想伤害您。Facebook、Piwik 和其他工具的情况大致相同。
| 归档时间: |
|
| 查看次数: |
87 次 |
| 最近记录: |