Как Google Analytics предотвращает трафик трафика

Мы хотим внедрить службу стиля ajax на несколько наших веб-сайтов с уникальным ключом api. Проблема, которую я вижу, состоит в том, что, поскольку ключ api хранится в файле javascript, пользователь может потенциально взять ключ, подделать http-реферер и сделать миллионы запросов к api под этим ключом api.

Итак, мне интересно, как Google предотвращает спуфинг Google Analytics? Поскольку это использует почти ту же идею.

Я также открыт для других идей, по сути, вот этот процесс.

SiteA → Пользователь ↔ Ajax ↔ SiteB

EDIT - есть ли способ защитить API от злоупотребления при его вызове через ajax?

ОТВЕТЫ

Ответ 1

Я не считаю, что существуют такие меры защиты. Подмена трафика является серьезной проблемой для других сервисов Google, таких как Adwords. Например, злонамеренный человек, предлагающий рекламу на adwords, может генерировать множество поддельных кликов для своих объявлений конкурентов, чтобы увеличить свои рекламные расходы и, следовательно, цену акций Google. Обратное также верно, люди будут генерировать поддельные клики на своем сайте, чтобы получить дополнительные деньги от объявления PayPer Click на своем сайте.

В конце дня хакер может без лишних трудностей собрать список из 10 000 + анонимных прокси-серверов, и вы не можете с этим справиться. Хакер также может использовать ботнет, некоторые из которых имеют миллионы. Трафик, созданный с помощью ботнета, может казаться законным машиной с законным Google Cookie, потому что они были захвачены.

Многие прокси и бонусные машины перечислены в виде списков Realtime Black (RBL), например, один из http://www.spamhaus.org, и многие законные IP-адреса также включены в этот список. Существуют также прокси-серверы, которые нельзя использовать для спама, но могут использоваться для мошенничества с кликами, и поэтому они не будут включены в этот список.

Ответ 2

Угадаю, я бы сказал, что ключ - это половина пары открытых и закрытых ключей, которая (каким-то образом) включает URL-адрес в качестве хэша. Таким образом, ключ будет работать только, и только зарегистрированные хиты, если запрос указан для URL-адреса, для которого был сгенерирован ключ. Вы не можете обманывать запрос, потому что, если вы делаете это, он поступает неправильно, и ничего не происходит.