谷歌分析电子商务跟踪安全吗？答案

【问题标题】：Is google analytics ecommerce tracking safe?谷歌分析电子商务跟踪安全吗？
【发布时间】：2011-11-09 16:15:26
【问题描述】：

使用谷歌分析，您可以跟踪电子商务事件，

http://code.google.com/apis/analytics/docs/tracking/gaTrackingEcommerce.html

我想知道这是否是跟踪这些交易的一种安全可靠的方式。

我看到的问题是攻击者可以添加新事件，所以如果这是您存储金融交易的方式，任何人都可以看到您的 javascript 代码来更改它们。

这是此代码可能被滥用的场景。

你有一个客户叫客户 C，他去网站购买产品 P，然后你使用这个工具存储交易。然后攻击者进入您的网站并修改您的 javascript 并跟踪其他 10 次购买，这样您的数据显示客户 C 购买了 10 Ps，当您向客户 C 开具发票时，他会生您的气。

这样，攻击者基本上可以攻击您的客户，并损害您的声誉。

我这样说有错吗？有没有办法解决这个问题？在我看来，使用 Javascript 跟踪任何内容都可能容易受到此类攻击，或者可能有任何方法可以使它们安全或不安全。我不知道它们是否可以称为请求伪造攻击。你怎么看？

【问题讨论】：

根据跟踪工具的数据进行计费似乎很不寻常。实际的电子商务系统不应该这样做吗？但要回答你的问题，我认为你是对的——没有安全的方法可以通过 JavaScript 做到这一点。另外，我可以简单地关闭 Javascript 以完全不计费。
如果 js 处于禁用状态，分析是否不会跟踪？我认为 Google 在这次活动中使用的图片有什么用？
Alex，它可能仍会跟踪访问，但不会跟踪这些电子商务事件。

标签： javascript security google-analytics e-commerce csrf

【解决方案1】：

哇！出于您刚才所说的确切原因，我永远不会使用分析来帮助为客户开具发票！如果您想关注交易并可能对这些交易进行一些报告，那就太好了，但数据永远不应该按字面意思计算 100%，因为有很多原因导致某些交易可能无法跟踪，而其他交易可能略有错误/重复。您应该有一个系统来存储交易并根据安全存储在服务器上的交易生成发票。

【讨论】：

看来我们都同意，google做出来的东西不能靠，它只是给你一个想法，如果有人想惹你，它会给你一个错误的想法。跨度>

【解决方案2】：

只是为了确保，听起来您担心有人会修改其他人看到的代码，这是不可能的。一个人不能修改您的服务器发送给所有人的 JavaScript。他只能修改你的服务器发送给他的JavaScript。

但是，除此之外。使用 JavaScript 做任何应该在服务器端完成的事情（比如跟踪/记录购买）是一个坏主意。 JavaScript 仅用于查看您不关心的内容（如果它们被用户更改）。

【讨论】：

我的意思不是实际修改服务器上的 javascript 文件，因此它会因每个人而改变，攻击者总是可以在他的浏览器中修改您的 javascript 文件，并在他们的浏览器中将修改后的数据发送到谷歌分析，并且谷歌分析无法知道这实际上是来自您的 javascript 文件还是修改后的数据。