Так что я застреваю, пытаясь понять, как Google Analytics избегает подмены. Конечно, когда вы регистрируетесь для учетной записи, они заставляют вас проверить, что вы являетесь владельцем домена, загрузив файл. Но вам также дают некоторые теги скриптов с уникальным открытым кодом (замененным на «XXXXXXX» ниже). Что мешает кому-то копировать этот код, обманывать заголовки запросов и притворяться моим сайтом, следуя стратегии аутентификации Google с завитом?Как Google Analytics избегает Spoofing?
<script type="text/javascript">
var _gaq = _gaq || [];
_gaq.push(['_setAccount', 'XXXXXXX']);
_gaq.push(['_trackPageview']);
(function() {
var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;
ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);
})();
</script>
Я спрашиваю потому, что я пытаюсь создать подобный плагин JavaScript, который предоставляет данные моего сайта на сайтах-участниках («клиентов»). Я не уверен, как я могу получить эту функциональность без закрытого ключа на стороне сервера клиента. Такого рода отстой, потому что я действительно собираюсь полностью «легко интегрировать Google Analytics». Есть предположения?
Как кто-то подделал бы ваш домен (с файлом на нем)? Я имею в виду, что я знаю, что это можно сделать, но я не думаю, что кто-то пропустит все эти неприятности, чтобы обслуживать статистику. Или я чего-то не хватает? – PeeHaa
Я думал об этом раньше, но не мог придумать причины, почему кто-то захочет это сделать. Сапожник просто будет вставлять данные в мой поток, так что им нужно будет получить? – freejosh
@freejosh Я предполагаю, что Google исправил эту проблему не потому, что мой сайт важен, а потому, что важна целостность всех веб-сайтов, использующих их программное обеспечение для аналитики. Тем не менее, вопрос в меньшей степени связан с Google и более связан с безопасностью в этой конкретной стратегии. Как вы предотвращаете спуфинг в этом сценарии? – leahy16