E 'possibile verificare l'identità del sito che ti ha inviato la richiesta?

Naviga le tue risposte
3

Sto sviluppando un widget JS che può essere incorporato da siti Web di terze parti. Quando viene visualizzato il widget, invia una richiesta al mio sito. Quando viene ricevuta questa richiesta, so che è stato mostrato all'utente e al sito web di pagamento per questa visualizzazione. Quindi non voglio pagare se il widget non viene reso sul sito web di destinazione. Penso che per verificare l'url del sito, ho bisogno di inviare l'url della pagina di incorporamento nel parametro di richiesta quando il widget viene reso. Tuttavia, sarà possibile inviare tale richiesta da qualsiasi luogo, non solo dalla pagina di questo sito.

È possibile verificare l'url in cui è stato posizionato il widget?

    
posta Andrei Botalov 03.10.2012 - 19:03
fonte

1 risposta

1

In alternativa al fatto che il widget "riporta di nuovo a casa", potresti scrivere un semplice robot che esegue la scansione dei siti Web e verifica che i siti Web stiano effettivamente ospitando il widget.

Per evitare frodi, devi costruire il robot con le seguenti considerazioni:

  1. Identità nascosta. Assicurati che il sito non serva solo i widget ai robot camuffando l'identità dei tuoi robot.
  2. Campionamento casuale della scansione. Assicurati che il tuo crawling utilizzi un campionamento casuale per quando esegui la scansione dei siti. Ciò impedisce a un sito di anticipare la ricerca per indicizzazione e di servirlo solo durante tale periodo.
  3. Verifica che il widget sia visibile. Non solo controlla l'esistenza del widget, ma il widget stesso è visibile e non nascosto.
  4. Panoramica manuale. Chiedi al tuo robot di acquisire schermate in modo da poter controllare manualmente se il widget è visualizzato.

Ci sono alcune difficoltà ereditarie che dovrai affrontare in base al tipo di "pay-per-view" del leasing (in che misura, non lo so perché non conosco le specifiche del tuo accordo). Il problema più grande non sono le persone che posizionano il widget in URL non autorizzati, ma piuttosto abusano del sistema automaticamente (fraudolentemente) eseguendo la scansione del sito per aumentare il numero di visualizzazioni. Questa dovrebbe essere la tua preoccupazione principale, poiché è da qui che scaturirà la maggior parte della frode.

Il problema è che è difficile verificare la legittimità di una vista da un widget incorporato. Con solo l'accesso a JavaScript, si dispone di funzionalità limitate per la differenziazione tra un robot, un utente che riceve costantemente un aggiornamento e un utente legittimo. Senza l'accesso al lato server, la migliore opzione per prevenire le frodi è attraverso il fingerprinting del browser. Questo ti aiuterà a monitorare l'abuso del tuo widget tramite aggiornamento costante, et al. Non è un problema, perché è ancora vulnerabile agli utenti di no-js / torbutton che possono falsificare le identità, ma fornisce un buon primo livello di protezione per ripetere le frodi di visualizzazione.

    
risposta data 03.10.2012 - 19:18
fonte

Leggi altre domande sui tag

Riproduzione del traffico SSL in una connessione attiva [duplicato] Vulnerabilità di avere un percorso di app accessibile solo tramite HTTPS ma altri tramite HTTP?