Google Analytics 和其他客户端分析工具的安全性？

Posted 2023-03-17

【中文标题】Google Analytics 和其他客户端分析工具的安全性？

【英文标题】：Security on Google Analytics and other client-side analytics tools?

【发布时间】：2012-02-28 06:34:51

【问题描述】：

Google Analytics 通过客户放置在其网站上的客户端 javascript 来跟踪用户。众所周知，在安全社区中，客户端输入是不可信的。

所以，我想知道是什么阻止了以下情况的发生：

恶意用户伪造请求向网站所有者提供误导性信息。例如，他们可能会让他们认为大多数人会访问页面 A 而不是页面 B，这会打乱他们对网络流量的整个分析理解 恶意用户只是让网站认为他们获得的流量比实际多得多，从而使他们认为自己比实际拥有更多的吸引力。当流量在稍后开始走下坡路时，这真的会让投资者感到困惑。 恶意用户只会淹没日志，从而无法进行任何类型的分析。

我能想到的唯一可能的保护措施是基于 HTTP 标头和 IP 地址速率限制，可以分别通过篡改标头和使用代理来避免每种情况。

我问是因为我正在考虑编写一个类似的客户端跟踪 JavaScript。但考虑到所有的安全漏洞，我开始想知道为什么有人一开始就使用或信任客户端跟踪。

【问题讨论】：

关于客户端跟踪 JavaScript 安全性的问题与编程有关。我也相信网站分析是“[网络]程序员经常使用的工具”

这是我发现的 - groups.google.com/a/googleproductforums.com/forum/…

【参考方案1】：

是的，攻击者可以操纵发送到 Google 服务器的请求。

我不知道 Google 会采取什么措施来防止这种情况发生。只是没有防止这种行为的好方法。

那么为什么用户仍然信任 GA？恶意攻击者可以欺骗所有请求标头，但不能欺骗 IP 地址。因此，即使报告显示大量流量，您也会很快发现所有流量都来自同一个 IP 地址。换句话说，打折额外的流量是微不足道的。

当然，有人可以从遍布全球的多台机器发起攻击。然后，您将看到来自各地的虚假流量。您仍然可以通过过滤用户代理或其他 http 标头或恶意脚本独有的其他此类“签名”等内容来捕获恶意流量。

您会说“但有人可以编写一个模拟现实生活的脚本，例如 HTTP 标头”。当然。但这提高了相当高的标准。您说的是可以访问世界各地数百台机器的人，可以编写可以运行几个月的脚本来欺骗您，并且可以生成足够随机的数据，因此您无法过滤任何一个属性。

有决心的人可以并且会为所欲为。