Google Analytics和其他客户端分析工具的安全性?

bgc*_*ode 14 javascript security analytics google-analytics http

Google Analytics通过客户在其网站上放置的客户端JavaScript来跟踪用户.正如安全社区所熟知的那样,客户端输入不可信.

所以,我想知道,是什么阻止了以下事件的发生:

  • 恶意用户伪造请求以向网站所有者提供误导性信息.例如,他们可能会让他们认为大多数人都会访问页面A而不是页面B,这会影响他们对网络流量的全面分析性理解
  • 只是让网站认为他们获得了比他们更多的流量的恶意用户,让他们认为他们比他们有更多的牵引力.当交通量在稍后开始下坡时,这对投资者来说真的很糟糕.
  • 恶意用户只是淹没日志,无法进行任何类型的分析.

我能想到的唯一可能的保护是基于HTTP头和IP地址速率限制,每个都可以通过分别篡改头和使用代理来避免.

我问,因为我正在考虑编写类似的客户端跟踪JavaScript.但考虑到所有的安全漏洞,我开始想知道为什么有人使用或信任客户端跟踪开始.

Sri*_*nan 9

是的,攻击者可以操纵发送到Google服务器的请求.

我不知道谷歌为防止这种情况做了什么.没有一种好方法可以防止这种行为.

那么为什么用户仍然信任GA呢?恶意攻击者可以欺骗所有请求标头,但不能欺骗IP地址.因此,即使报告显示大量流量,您也会很快发现它们来自同一个IP地址.换句话说,折扣额外的流量是微不足道的.

当然有人可以从遍布全球的几台机器上进行攻击.然后,您将看到来自各地的虚假流量.您仍然可以通过过滤诸如用户代理或其他http标头之类的内容或恶意脚本特有的其他此类"签名"来捕获恶意流量.

你会说"但有人可以编写一个像HTTP头一样模拟现实生活的脚本".当然.但这提高了标准.你说的是谁的人有访问数百台机器遍布世界各地,可以编写数月努力,骗你的脚本,并能产生足够的随机数据,让你不能对任何一个属性进行筛选.

那个坚定的人能够并且将会有自己的方式.