Встраиваемые сторонние веб-инструменты защиты от кражи ключа - PullRequest
Новая
       13

Встраиваемые сторонние веб-инструменты защиты от кражи ключа

1 голос
/ 29 марта 2019

Мы создаем веб-сайт и используем множество сторонних инструментов, которые в основном предоставляют тег HTML-сценария и просят вас разместить его в вашем index.html. Вот несколько примеров таких инструментов:

  • Google Analytics
  • Google Maps
  • Zendesk Web Widget

Обычно такие инструменты дают вам ключ, идентифицирующий вашу учетную запись. Но этот ключ публично виден каждому посетителю сайта, поскольку он жестко закодирован в HTML.

Поэтому мне было интересно, существуют ли какие-либо средства защиты от злонамеренных пользователей, которые получают мой ключ и используют его в плохих целях, например

  • рассылка спама в мой почтовый ящик Zendesk.
  • спам в моей Google Analytics поддельными данными, которые неотличимы от реальных пользовательских данных.
  • израсходовав всю мою квоту запросов в Картах Google, повторно используя этот же ключ на их веб-сайте.

Я не проверял все сценарии, но, например, Zendesk работает над нашими средами разработки и тестирования "из коробки", предполагая, что это может быть проблемой.

1 Ответ

0 голосов
/ 29 марта 2019

Поскольку проблемы с Google Analytics и фальшивыми данными были самой большой болью в нашей заднице, мы пытались кое-что попробовать.

Добавление доменов (спама) в htaccess и запрет доступа к сайту: 

RewriteCond %{HTTP_REFERER} net-profits\.xyz [NC,OR]
RewriteCond %{HTTP_REFERER} social-widget\.xyz [NC,OR]
RewriteCond %{HTTP_REFERER} share-buttons\.xyz [NC,OR]
RewriteCond %{HTTP_REFERER} free-traffic\.xyz [NC,OR]
RewriteCond %{HTTP_REFERER} traffic2cash\.xyz [NC,OR]
RewriteCond %{HTTP_REFERER} website-analyzer.info\.xyz [NC,OR]
RewriteCond %{HTTP_REFERER} semalt\.com [NC,OR]
RewriteCond %{HTTP_REFERER} buttons-for-website\.com [NC,OR]
RewriteCond %{HTTP_REFERER} make-money-online\.7makemoneyonline\.com
RewriteRule .* - [F]

Это держало их подальше. Может быть, у вас будет больше или других доменов. Я думаю, что где-то есть список OpenSource на GitHub, который является поддерживаемым списком.

Возможно, вы могли бы заблокировать всех рефереров, оканчивающихся на xyz или xxx (и другие экзотические домены), при условии, что вы уверены, что никто не ЗНАЕТ, что ссылается на ваш сайт законным способом.

Я немного почитал, и, возможно, мы не можем решить все: https://medium.com/@gajus/do-not-protect-your-website-from-scraping-part-1-technology-barriers-b0ced398d16d

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Похожие темы

...