webew
Войти » Регистрация
 
JavaScript
Протоколы :: HTTP

Что противопоставить фальсификации HTTP Referer?

1 ноября 2011, 22:03
Автор: 1234ru
Всяким third-party включениям на веб-страницах часто нужна информация о том, с какого сайта сделан к ним запрос (например, системам рекламы нужно знать, что за сайт собирается показывать у себя их объявления, и т.п.).

Ничто не мешает передать такой системе запрос, подсунув ему идентификатор произвольного сайта-участника (подсмотрев его в HTML-коде) и реферер (на случай, если он используется для дополнительной проверки/определения адреса страницы, где установлен скрипт, которая по отношению к такому скрипту является реферером).

Если система не предусматривает больше никаких проверок, то таким образом запрос будет сфальсифицирован.

Какие есть методы предотвращения таких действий?
Добавить комментарий
Отображение комментариев: Древовидное | Плоское
NO USERPIC

rgbeast

С какой целью нужно защищаться?

Теоретически, рекламный сервер может по своему протоколу обратиться к сайту, разместившему информацию и спросить приходил ли пользователь с данным IP и User-Agent.
02.11.2011, 10:59
Ответить

1234ru

Цитата:
С какой целью нужно защищаться?


Ну как с какой? Просто потому, что так можно исказить картину: сделать вид, что запросы с некоторого сайта были, хотя их не было.

Например, есть какой-нибудь партнер какой-нибудь рекламной сети, и есть у него конкурент.
Некоторые рекламные сети при расчете цены за переход по объявлению учитывают CTR (чем больше CTR - тем большая доля доходов полагается владельцу сайта-партнера, который используется как рекламня площадка), который напрямую зависит от числа показов.
Если конкурент сможет имитировать показы на сайте, это исказит статистику и повредит владельцу сайта, снизив его доходы.

Да и другие примеры можно привести.
То, что не убивает нас, делает нас инвалидами.
02.11.2011, 16:07
Ответить
NO USERPIC

rgbeast

Не очень понятен пример. Конкурент будет обращаться к баннеру, подделывая реферер, чтобы испортить статистику. Но он может с таким же успехом загружать реальные страницы автоматически, ничего не подделывая. Есть техники, которые позволяют не учитывать слишком много просмотров с одного ip и иным способом убирать накрутки (техники придуманы для того, чтобы, в том числе, исключить злонамеренные действия самого владельца).
02.11.2011, 19:24
Ответить

1234ru

Цитата:
Конкурент будет обращаться к баннеру, подделывая реферер, чтобы испортить статистику. Но он может с таким же успехом загружать реальные страницы автоматически, ничего не подделывая.

Не совсем с таким же.
Если обращаться не напрямую через сайт, а с подделкой реферера, то сам сайт про это никак знать не будет и предотвратить, соответственно, с помощью своих механизмов тоже никак не сможет.
То, что не убивает нас, делает нас инвалидами.
03.11.2011, 15:42
Ответить

1234ru

Цитата:
Теоретически, рекламный сервер может по своему протоколу обратиться к сайту, разместившему информацию и спросить приходил ли пользователь с данным IP и User-Agent.


Хочется как-то сделать, не затрагивая механизм работы сайта-партнера, т.к. такое - это довольно сильное усложнение по сравнению с тем, чтобы просто зарегистрироваться и установить код счетчика, например.
То, что не убивает нас, делает нас инвалидами.
02.11.2011, 16:08
Ответить
NO USERPIC

rgbeast

Браузер обращается к рекламодателю по HTTP. Не затрагивая сайт партнера, непонятно как отличить настоящее обращение от подделки.
03.11.2011, 19:09
Ответить

1234ru

Ну да, про то и речь :)
То, что не убивает нас, делает нас инвалидами.
03.11.2011, 22:20
Ответить
Добавить комментарий
Отображение комментариев: Древовидное | Плоское
© 2008—2024 webew.ru, связаться: x собака webew.ru
Сайт использует Flede и соответствует стандартам WAI-WCAG 1.0 на уровне A.
Rambler's Top100

Реклама: