1. дома
  2. Вопрос и ответ
  3. Безопасные файлы отслеживания Google

Безопасные файлы отслеживания Google

2012-02-01 6 views
12

Я использую Google Analytics на некоторых страницах своего сайта. Весь сайт использует SSL. Можно ли защитить куки Goole Analytics __umt*.Безопасные файлы отслеживания Google

По крайней мере, я хотел бы включить на них безопасный флаг. В лучшем случае я также хотел бы установить на них только HTTP-флаг, но я не думаю, что последнее возможно (потому что Google использует JS для использования куки-файлов, которые я думаю).

Возможно ли это? И если да, то как его настроить?

источник

2012-02-01 PeeHaa

ответ

-2

Куки-файлы Google Analytics (да, установленные через Js) являются основными кукисами, поэтому только ваш домен может их написать. Так что если это безопасность, которую вы ищете, это так же безопасно, как и получается.

Хотя, я не уверен на 100% о вашем вопросе здесь, но если вы хотите включить Google Analytics только на страницах HTTP, вы можете изменить код GA на своих страницах, чтобы сделать это таким образом, как пример:

<script type="text/javascript"> 
    if(document.location.protocol != 'https:'){ 
    var _gaq = _gaq || []; 
    _gaq.push(['_setAccount', 'UA-XXXXX-X']); 
    _gaq.push(['_trackPageview']); 

    (function() { 
    var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true; 
    ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js'; 
    var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s); 
    })(); 
    } 
</script>

источник

2012-02-01 10:56:06

+4

ОП спрашивает, можно ли установить cookie GA с помощью безопасного флага, как показано на http://en.wikipedia.org/wiki/HTTP_cookie#Secure_cookie – Yahel

10

Короткие изменения сценария GA и хранения собственной локальной копии, нет, вы не собираетесь быть в состоянии установить безопасные или HTTPOnly флаги. Я полагаю, что Google принял осознанное дизайнерское решение об этом и уверенность, что могут быть преимущества от того, чтобы отслеживать одного и того же пользователя как в безопасных, так и в небезопасных схемах.

Вы должны спросить себя, чего вы пытаетесь достичь с этим, хотя; каков потенциальный эксплойт, если человек посередине может перехватывать и читать или манипулировать файлом cookie из-за отсутствия безопасного флага? То же самое происходит с флагом HttpOnly; Каков потенциал для злоумышленника, если они могут получить этот файл cookie с помощью эксплойта XSS?

Я видел такую ​​обратную связь от автоматических сканеров безопасности, прежде чем это просто вызвано отсутствующими флагами, не имея контекста того, для чего фактически используются файлы cookie. Это было бы моим первым догадком о том, почему такой вопрос даже возникнет.

источник

2013-07-07 21:04:16

Смежные вопросы

 Смежные вопросы