javascript ajax security spoofing

javascript - ¿Cómo evita Google Analytics la falsificación de tráfico?



ajax security (2)

En una conjetura, diría que la clave es la mitad de un par de claves público-privado que (de alguna manera) incluye la URL como un hash. De esta manera, la clave solo funcionará y los resultados solo se registrarán, si la solicitud es para la URL para la cual se generó la clave. No puede falsificar la solicitud, porque si lo hace va a la URL incorrecta y no sucede nada.

Queremos integrar un servicio de estilo ajax en varios de nuestros sitios web, cada uno con una clave de API única. El problema que puedo ver es que debido a que la clave api se almacena en el archivo javascript, el usuario podría tomar la clave, falsificar la referencia http y hacer millones de solicitudes a la api bajo esa clave api.

¿Entonces me pregunto cómo evita Google Analytics la falsificación? Como esto usa casi la misma idea.

También estoy abierto a otras ideas, esencialmente aquí está el proceso.

SiteA -> Usuario <-> Ajax <-> SiteB

EDITAR: ¿existe alguna forma de proteger la API de ser abusada mientras se llama a través de ajax?

No creo que existan tales medidas de protección. La suplantación de tráfico es un problema grave para otros servicios de Google, como Adwords. Por ejemplo, una persona maliciosa que está haciendo una oferta en adwords puede generar muchos clics falsos para los anuncios de sus competidores para aumentar sus costos publicitarios y, por lo tanto, el precio de las acciones de Google. Lo inverso también es cierto, las personas generarán clics falsos en su sitio para obtener dinero extra de un anuncio PayPer Click en su sitio.

Al final del día, un pirata informático puede acumular una lista de más de 10,000 servidores proxy anónimos sin demasiada dificultad y no hay mucho que puedas hacer al respecto. Un pirata informático también podría usar una red de bots, algunas de las cuales son millones en tamaño. El tráfico generado desde una botnet puede parecer máquinas legítimas con una cookie de Google legítima, porque fueron secuestradas.

Muchos servidores proxy y máquinas bonet''ed se enumeran mediante listas negras en tiempo real (RBL), como la que se ejecuta en http://www.spamhaus.org , y muchas direcciones IP legítimas también están en esa lista. También hay proxies que no pueden usarse para el spam, pero podrían usarse para el fraude de clics y, por lo tanto, no estarán en esa lista.