1. casa
  2. Domanda e risposta
  3. Applicazione Approfondimenti sicurezza e spoofing

Applicazione Approfondimenti sicurezza e spoofing

2015-01-07 10 views
10

Questo può essere una domanda stupida, ma è approfondimenti applicativi lato client al sicuro da spoofing? Microsoft vi chiedo di aggiungere un po 'di JavaScript nella tua pagina HTML che ha bisogno di registrazione e parte di questa contiene una chiave hard coded strumentazione (non una vera chiave qui sotto!):Applicazione Approfondimenti sicurezza e spoofing

instrumentationKey: "3D486E8C-BDEF-43AB-B27A-9D3F9D42EC14"

Ci non sembra essere qualsiasi altra relazione tra Url e chiave o qualsiasi meccanismo per impedire lo spoofing di questo lato del client chiave (cioè generare casualmente la chiave con numeri diversi e inviare la pagina).

Questo non causerebbe alcun danno, ma sarebbe fastidioso per il destinatario dei dati di monitoraggio non corretti, che possono benissimo essere tutto qualcuno vuole fare "perché possono".

Ho perso qualcosa di fondamentale sul motivo per cui questo non è possibile?

fonte

2015-01-07 GrahamB

risposta

1

Anche se non è esattamente un duplicato, credo che la risposta è praticamente la stessa come questo:

How does Google Analytics prevent traffic spoofing

AI non sa come o dove si sta utilizzando la chiave, così come sarebbe sanno quale traffico è legittimo e quale no?

fonte

2015-01-09 02:06:10

+0

Ok, grazie - dalla discussione sul filo di Google, il feedback sembra essere "Non si può fermare questo" ... – GrahamB

5

Questo è assolutamente corretto che chiunque può registrare i dati fuorvianti o spazzatura per conto IA di nessuno se sanno la chiave strumentazione. Questo è anche corretto per la maggior parte degli altri sistemi di analisi Web: la richiesta di registrare le informazioni viene inviata non autenticata e chiunque abbia competenze sufficienti può emulare dati utente validi. Il fatto che l'intelligenza artificiale abbia la chiave di strumentazione incorporata nella pagina non rende più semplice perché chiunque usi lo strumento di monitoraggio del traffico web come Fiddler può ancora intercettare ed emulare le richieste, anche se la chiave di strumentazione non è stata incorporata nella pagina. Se si sospetta che un utente malintenzionato registrerà volutamente dati fuorvianti utilizzando la chiave di AI, è necessario prestare attenzione e convalidare se i dati ha un senso prima di prendere le decisioni aziendali, per esempio da quanti utenti sono stati i dati ottenuti e in quale periodo di tempo e se i dati di visualizzazione della pagina sul lato client corrispondono ai dati delle richieste sul lato server.

fonte

2015-01-20 06:45:51

Problemi correlati

 Problemi correlati