고유 한 API 키를 사용하여 다수의 Google 웹 사이트에 ajax 스타일 서비스를 포함하고자합니다. 볼 수있는 문제는 api 키가 javascript 파일에 저장되어 있기 때문에 사용자가 잠재적으로 키를 가져 와서 http 리퍼러를 스푸핑하고 api 키 아래에서 수백만 개의 요청을 API에 요청할 수 있다는 것입니다.Google 웹 로그 분석은 트래픽 스푸핑을 어떻게 방지합니까?
Google이 웹 로그 분석 스푸핑을 어떻게 막을 수 있는지 궁금합니다. 이것은 거의 동일한 아이디어를 사용하기 때문입니다.
다른 아이디어에도 열려 있습니다. 본질적으로 프로세스입니다.
사이트 A -> 사용자 < -> 아약스 < -> 사이트 B
편집 -이 아약스를 통해 호출 한 동안 학대로부터 API를 보호 할 수있는 방법이있다?
나는 그런 보호 조치가되어 있다고 생각지 않습니다. 트래픽 스푸핑은 애드워즈와 같은 다른 Google 서비스에서 심각한 문제입니다. 예를 들어 애드워즈에 입찰하는 악의적 인 개인은 광고 비용과 Google의 주가를 높이기 위해 경쟁자의 광고에 대해 많은 가짜 클릭을 생성 할 수 있습니다. 반대의 경우도 마찬가지입니다. 사람들은 자신의 사이트에서 PayPer Click 광고를 통해 추가 돈을 얻기 위해 가짜 클릭을 발생시킵니다.
하루가 끝날 무렵 해커가 너무 많은 어려움없이 10,000 이상의 익명 프록시 서버 목록을 수집 할 수 있으며 그에 대한 많은 조치는 없습니다. 해커는 봇넷을 사용할 수도 있습니다. 그 중 일부는 수백만 크기입니다. 봇넷에서 생성 된 트래픽은 합법적 인 Google 쿠키가있는 곳의 합법적 인 기계로 보일 수 있습니다. 왜냐하면 어디에서 하이재킹 되었기 때문입니다.
많은 프록시와 bonet'ed 머신은 에 의해 실행되는 것과 같은 RBL (Realtime Black List)에 의해 열거되며 많은 합법적 인 IP 주소도이 목록에 있습니다. 스팸에는 사용할 수 없지만 클릭 사기에 사용될 수있는 프록시도 있으므로 목록에 포함되지 않습니다.
본질적으로 내가 말했던 것처럼 스푸핑을 방지 할 실제 방법이 없다는 것이 무엇입니까? – user103219
공격자가 프락시 또는 해킹 된 시스템을 가지고 있다면 이러한 유형의 스푸핑을 방지 할 방법이 없습니다. – rook
해킹 된 기계 또는 프록시가 필요하지 않습니다. API 키를 사용하고 추천 헤더를 스푸핑하면 질문에서 설명하는 AJAX 스타일 서비스를 사용할 수 있습니다. 다른 조치가없는 한 ... – bzlm
짐작할 수 있듯이, 키는 (어쨌든) URL을 해시로 포함하는 공용 - 개인 키 쌍 중 절반이라고 할 수 있습니다. 이 방법은 키가 생성 된 URL에 대한 요청 인 경우에만 키가 작동하고 히트는 등록 된 것입니다. 요청을 잘못된 URL로 보내고 아무 일도 일어나지 않기 때문에 요청을 스푸핑 할 수 없습니다.
즉 리퍼러 점검. 이것은 리퍼러 스푸핑에 대한 방어가되지 않습니다. (질문 방법에서는 "http reference를 스푸핑하는 것"이라고 추측합니다). http://en.wikipedia.org/wiki/Referrer_spoofing – bzlm
@bzlm - 예, 그것이 제가 의미했던 것입니다. 나는 그것을 정리하기 위해 편집 할 것입니다. – user103219
나는 진짜 보안 시스템을 설명하고 있다고 생각하지 않는다. – rook
"http 참조 스푸핑"의 의미는 무엇입니까? 가짜 HTTP 리퍼러 헤더를 보내시겠습니까? 나는 GA가 이것에 대해 보호하는지 모르겠습니다. – bzlm
은 "http 리퍼러"로 명확하게 고정되었습니다. – user103219
낡은 실이지만, 인터넷 검색을하는 사람을 도울 수 있습니다. 다음은 이것을 보호 할 수있는 방법 중 하나를 설명하는 stackexchange에 대한 대답입니다. http://security.stackexchange.com/questions/106892/how-does-google-analytics-prevent-fake-data-attacks-against-anentity- 트래픽/146091 # 146091 – cephuo