2. 질의 응답
  3. Javascript 분석 스크립트가 데이터 해킹의 영향을 받기 쉽지 않습니까?

Javascript 분석 스크립트가 데이터 해킹의 영향을 받기 쉽지 않습니까?

2017-03-16 7 views
5

프로덕션 환경에서는 Javascript 기반 분석 스크립트 (Google Analytics, Facebook Pixel 등)가 일반 자바 스크립트로 고유 ID/픽셀 ID와 함께 대부분의 웹 응용 프로그램에 주입됩니다.Javascript 분석 스크립트가 데이터 해킹의 영향을 받기 쉽지 않습니까?

예를 들어 airbnb은 Google 웹 로그 분석을 사용합니다. 나는 내 dev에 콘솔을 열고 분석 픽셀 영원히, 1 초를 요청하게됩니다

setInterval(function() {ga('send', 'pageview');}, 1000);

를 실행할 수 있습니다. 그것은 내 컴퓨터 한 대당 한 번에 3600 건의 요청입니다.

이제 분산 방식으로 쉽게이 작업을 수행 할 수 있으므로 초당 수백만 개의 요청이 발생하여 pageview 이벤트에 대한 Google 웹 로그 분석 데이터가 완전히 왜곡됩니다. 나는 수집 된 엄청난 양의 데이터가 이러한 비뚤어 짐을 어느 정도 연장 할 수 있다고 생각하지만 요청량을 늘리면 쉽게 보상 할 수 있습니다.

내 질문은 : 경쟁 업체 또는 악의적 인 사용자가 이러한 방식으로 응용 프로그램의 데이터 무결성을 파괴하는 것을 방지하기위한 안전 장치가 있습니까? GA 나 Facebook이 그런 옵션을 제공합니까?

출처

2017-03-16 nikjohn

답변

1

예,하지만 안전하지 않은 부분은 자바 스크립트에 제공되지 않습니다. 예를 들어 측정 프로토콜을 사용하여 하나의 계정으로 데이터를 플러드 할 수 있습니다. 여기에서 동일한 공동체에서 많은 사람들이 이것을 볼 수 있습니다. (해결하기가 조용합니다.) https://stackoverflow.com/search?q=spam+google+analytics

이 측정 시스템은 모두 HTTP 호출을 사용하여 "데이터베이스"의 데이터를 채 웁니다. 올바른 전화를 걸 수 있다면 누구나 어디서나 스팸 메일을 보낼 수 있습니다 (단, 악의적 인 행동은하지 마십시오).

https://developers.google.com/analytics/devguides/collection/protocol/v1/?hl=es-419

Google 웹 로그 분석의이 페이지는 프로토콜 측정 무엇인지 설명, 자바 스크립트는 빌드의 히트를 보낼 수있는 프레임 워크로 작동합니다.

https://developers.google.com/analytics/devguides/collection/protocol/v1/?hl=es-419

그러나이 때문에 모든 것이 손실됩니다. 예를 들어 브라우저에서 해당 코드로 브라우저를 실행하려고하면 Google 애널리틱스 프레임 워크가 초당 1 회, 세션 당 150 회 (또는 쿠키 값)로 제한됩니다. 그렇습니다. 장벽을 뛰어 넘기는 어렵지 않습니다.하지만 다른 장벽이 올 것입니다.

Javascript 프레임 워크를 사용하는 경우 안전합니다. 이제 httpthon을 Google 애널리틱스 서버로 전송하여 파이썬과 동일한 작업을 수행한다고 가정 해 보겠습니다. 그것은 가능하지만 : 그래서 여기에 2 가지 중요한 것들이 있습니다.

  • Google 웹 로그 분석. 스패머를 감지하고이를 금지하는 사전 "방화벽"이 (어떻게 그들이 수행 할 때이 공개되지 않습니다)하지만 내 경우에는 내가 덜 스팸을 많이 그 몇 년 전에 참조 .

  • 또한이를 피하기위한 몇 가지 좋은 방법이 있습니다.예를 들어, 저장은 도메인에서 트래픽 만 허용하는 필터를 생성, 화이트리스트에서 도메인을 https://support.google.com/analytics/answer/1033162?hl=en

  • 또한 그것은 당신에게 전자 상거래를 보호 할 수있는 아주 좋은 방법이 특정 상점 또는 데이터 만 포함하도록 필터를 사용하여,의 특정 매개 변수, 예를 들어 "brand == my brand"또는 "CustomDimension == true". $ 1.000 이상의 제품으로 거래를 제외하십시오 (한도를 확인하고 능동적 인 필터 적용). 이 모든 장벽은 복잡하게 얽혀 있습니다.

이렇게하면, 당신은 (그것이 너무 많은 당신이 로봇을 만들 때 유효한 UA + 도메인의 조합을 알고 복잡하기 때문에), 그러나 당신이 알고있는 모든 시스템이 될 수있는 많은 도메인을 보호 할 것 부서진. 제 경험상 스팸 발송자 나 상처 입은 사람들이 2 ~ 3 건의 피해를 보았을 뿐이므로 사전 예방 적 필터를 만들면 예방할 수 있습니다. 일반적으로 귀하의 계정에 스팸 광고 만 스패머, 거의 당신을 해치지 않으려는. Facebook, Piwik 및 기타 도구는 거의 비슷하게 발생합니다.

출처

2017-03-16 21:06:27

+0

감사합니다 @ kemen는 나를 조금 더 쉽게 호흡하게하지만, 여전히 많은 사람들이 여기에 타고있는 것처럼 보입니다 :) – nikjohn

+0

haha ​​yes, Goodwill and Filters :) –

 관련 문제

  • 관련 문제 없음^_^