1. घर
  2. सवाल और जवाब
  3. Google Analytics ट्रैफ़िक स्पूफ़िंग

Google Analytics ट्रैफ़िक स्पूफ़िंग

2010-03-10 25 views
14

को कैसे रोकता है हम एक अद्वितीय एपी कुंजी के साथ हमारी कई वेबसाइटों में एक अजाक्स शैली सेवा एम्बेड करना चाहते हैं। समस्या जो मैं देख सकता हूं वह यह है कि एपीआई कुंजी जावास्क्रिप्ट फ़ाइल में संग्रहीत है क्योंकि उपयोगकर्ता संभावित रूप से कुंजी ले सकता है, http रेफरर को धोखा दे सकता है, और उस एपीआई कुंजी के तहत एपीआई के लाखों अनुरोध कर सकता है।Google Analytics ट्रैफ़िक स्पूफ़िंग

तो मैं सोच रहा हूं कि Google Analytics स्पूफ़िंग को कैसे रोकता है? चूंकि यह लगभग एक ही विचार का उपयोग करता है।

मैं अन्य विचारों के लिए भी खुला हूं, अनिवार्य रूप से यह प्रक्रिया है।

SiteA -> उपयोगकर्ता < -> अजाक्स < -> SiteB

संपादित करें - वहाँ दुरुपयोग किया जा रहा है जबकि यह ajax के माध्यम से कहा जाता रहा है से एपीआई की रक्षा के लिए किसी भी तरह से है?

स्रोत

2010-03-10 user103219

+1

"http संदर्भ को धोखा देने" का क्या अर्थ है? एक नकली HTTP रेफरर हेडर भेजें? मुझे यकीन नहीं है कि जीए इसके खिलाफ सुरक्षा करता है। – bzlm

+0

"http संदर्भक" को स्पष्ट करने के लिए तय – user103219

+0

यह पुराना धागा है, लेकिन किसी ऐसे व्यक्ति की मदद कर सकता है जो गुगल रहा है। यहां स्टैकएक्सचेंज पर एक उत्तर दिया गया है जो इसे संरक्षित करने का एक संभावित तरीका बताता है: http://security.stackexchange.com/questions/106892/how-does-google-analytics-prevent-fake-data-attacks-against-an-entitys- यातायात/1460 9 1 # 1460 9 1 – cephuo

उत्तर

10

मुझे विश्वास नहीं है कि इस तरह के कोई सुरक्षा उपाय हैं। यातायात का स्पूफिंग अन्य Google सेवाओं जैसे एडवर्ड्स के लिए एक गंभीर समस्या है। उदाहरण के लिए, एक दुर्भावनापूर्ण व्यक्ति जो एडवर्ड्स पर बोली लगा रहा है, अपने प्रतिस्पर्धी के विज्ञापनों के लिए अपनी विज्ञापन लागतों को बढ़ाने और Google के शेयर मूल्य को बढ़ाने के लिए कई नकली क्लिक उत्पन्न कर सकता है। उलटा भी सच है, लोग अपनी साइट पर पेपर क्लिक विज्ञापन से अतिरिक्त पैसे प्राप्त करने के लिए अपनी साइट पर नकली क्लिक उत्पन्न करेंगे।

दिन के अंत में एक हैकर 10,000+ अज्ञात प्रॉक्सी सर्वरों की सूची को बहुत अधिक कठिनाई के बिना एकत्र कर सकता है और इसके बारे में आप इतना कुछ नहीं कर सकते हैं। एक हैकर भी एक बोनेट का उपयोग कर सकता है, जिनमें से कुछ आकार में लाखों हैं। एक बोनेट से उत्पन्न यातायात कानूनी Google कुकी के साथ वैध मशीनों के रूप में प्रतीत होता है, क्योंकि जहां वे अपहृत होते हैं।

कई प्रॉक्सी और बोनेट मशीनों को रीयलटाइम ब्लैक लिस्ट (आरबीएल) द्वारा दर्शाया गया है जैसे कि द्वारा चलाया गया, और कई वैध आईपी पते भी उस सूची में हैं। ऐसे प्रॉक्सी भी हैं जिनका उपयोग स्पैम के लिए नहीं किया जा सकता है लेकिन क्लिक धोखाधड़ी के लिए इस्तेमाल किया जा सकता है और इस प्रकार वे उस सूची में नहीं होंगे।

स्रोत

2010-03-10 17:35:21 rook

+0

तो अनिवार्य रूप से आप जो कह रहे हैं वह यह है कि मैंने वर्णन किए गए स्पूफिंग को रोकने का कोई वास्तविक तरीका नहीं है? – user103219

+0

यदि हमलावर के पास प्रॉक्सी या हैक की गई मशीनों का समूह है, तो इस प्रकार के स्पूफिंग को रोकने के लिए कोई रास्ता नहीं है। – rook

+0

हैक की गई मशीन या प्रॉक्सी भी आवश्यक नहीं हैं। यदि मैं आपकी एपीआई कुंजी का उपयोग करता हूं और अपने रेफ़रल हेडर को धोखा देता हूं, तो मैं AJAX शैली सेवा का उपयोग कर सकता हूं। जब तक अन्य उपायों की जगह न हो ... – bzlm

0

अनुमान में, मैं कहूंगा कि कुंजी सार्वजनिक-निजी कुंजी जोड़ी का एक आधा है (किसी भी तरह) यूआरएल को हैश के रूप में शामिल करता है। इस तरह, कुंजी केवल काम करेगी, और हिट केवल पंजीकृत होंगी, अगर अनुरोध यूआरएल के लिए है जिसके लिए कुंजी उत्पन्न हुई थी। आप अनुरोध को खराब नहीं कर सकते हैं, क्योंकि यदि आप ऐसा करते हैं तो यह गलत यूआरएल पर जाता है और कुछ भी नहीं होता है।

स्रोत

2010-03-10 16:34:57

+1

आईई रेफरर जांच यह रेफरर स्पूफिंग के खिलाफ बचाव नहीं करता है (जिसे मैं अनुमान लगा रहा हूं "प्रश्न संदर्भ में" http संदर्भ को खराब करना ")। http://en.wikipedia.org/wiki/Referrer_spoofing – bzlm

+0

@bzlm - हाँ यही मेरा मतलब है। मैं इसे साफ़ करने के लिए संपादित कर दूंगा। – user103219

+4

मुझे नहीं लगता कि आप एक असली सेक्युरी सिस्टम का वर्णन कर रहे हैं। – rook

संबंधित मुद्दे

 संबंधित मुद्दे