Безопасность в Google Analytics и других клиентских аналитических инструментах?

Question

Google Analytics отслеживает пользователей с помощью клиентского JavaScript, который клиенты размещают на своем сайте.Как известно в сообществе безопасности, ввод на стороне клиента не может быть доверенным.

Итак, мне было интересно, что мешает следующему:

• Вредоносные пользователи, подделывающие запросы напредоставлять вводящую в заблуждение информацию владельцу сайта.Например, они могут заставить их думать, что большинство людей переходят на страницу A, а не на страницу B, что портит их полное аналитическое понимание их веб-трафика
• Вредоносные пользователи, которые просто заставляют сайт думать, что они получаютнамного больше трафика, чем они, заставляя их думать, что у них больше тяги, чем они делают.Это действительно испортит подачу для инвесторов, когда на более позднем этапе трафик начнет снижаться.
• Злонамеренные пользователи, которые просто заполняют журналы, делая невозможной любую аналитику.

Единственные возможные способы защиты, о которых я могу подумать, основаны на HTTP-заголовках и ограничении скорости IP-адресов, каждой из которых можно избежать путем подмены заголовков и использования прокси-серверов соответственно.

Я спрашиваю, потому что я думал о написании подобногоJavaScript отслеживания на стороне клиента.Но, подумав обо всех недостатках безопасности, я начал задумываться, почему кто-то использует или доверяет отслеживанию на стороне клиента.

Answer 1

Да, злоумышленник может манипулировать запросами, отправляемыми на серверы Google.

Я ничего не знаю о том, что Google делает для защиты от этого.Просто нет хорошего способа предотвратить такое поведение.

Так почему же пользователи все еще доверяют GA?Злоумышленник может подделать все заголовки запроса, но не может подделать IP-адрес.Таким образом, даже если отчеты показывают большой трафик, вы очень быстро выясните, все ли оно поступает с одного IP-адреса.Другими словами, скидка на дополнительный трафик тривиальна.

Конечно, кто-то может запустить атаку с нескольких машин, разбросанных по всему миру.Затем вы увидите фальшивый трафик со всего места.Вы все еще можете поймать вредоносный трафик, фильтруя такие вещи, как пользовательский агент или другие заголовки http, или другие подобные «сигнатуры», уникальные для вредоносного сценария.

Вы скажете: «Но кто-то может написать сценарий, имитирующийв реальной жизни, как HTTP-заголовки ".Конечно.Но это поднимает планку довольно высоко.Вы говорите о ком-то, кто имеет доступ к сотням машин по всему миру, может написать сценарии, которые работают несколько месяцев, чтобы обмануть вас, и может генерировать достаточно случайные данные, чтобы вы не могли фильтровать ни по одному атрибуту.

Тот, кто решителен, может и будет иметь свой путь.