应用程序洞察安全性和欺骗

时间:2015-01-07 09:45:50

标签: azure azure-application-insights

这可能是一个愚蠢的问题,但客户端应用程序的见解是否可以避免欺骗? Microsoft要求您在需要录制的HTML页面中添加一些JavaScript,其中一部分包含硬编码的检测密钥(下面不是真正的密钥!):

instrumentationKey: "3D486E8C-BDEF-43AB-B27A-9D3F9D42EC14"

Url与密钥或任何机制之间似乎没有任何其他关系来防止此关键客户端的欺骗(即随机生成具有不同数字的密钥并提交页面)。

这不会造成任何损害,但是对于不正确的监控数据的接收者来说会很烦人,这可能是所有人都想做的“因为他们可以”。

我是否错过了为什么不可能这样做的基本原因?

2 个答案:

答案 0 :(得分:6)

如果他们知道仪器密钥,那么任何人都可以将误导或垃圾数据记录到任何人的AI帐户,这是绝对正确的。这对于大多数Web其他分析系统也是正确的:记录信息的请求是未经身份验证的,任何具有足够技能的人都可以模拟有效的用户数据。 AI具有嵌入在页面上的工具密钥的事实并不容易,因为任何使用像Fiddler这样的Web流量监控工具的人仍然可以拦截和模拟请求,即使检测密钥没有嵌入到页面上也是如此。 如果您怀疑恶意用户会使用您的AI密钥有目的地记录误导性数据,您应该谨慎并在做出业务决策之前验证数据是否有意义,例如从获得的数据的用户数量以及在什么时间段内,以及您的客户端页面查看数据是否与服务器端请求数据匹配。

答案 1 :(得分:1)

虽然不完全重复,但我相信答案几乎与此相同:

How does Google Analytics prevent traffic spoofing

AI不知道您使用密钥的方式或位置,因此他们如何知道哪些流量合法,哪些流量不合法?