Q&A
回答ありがとうございます
非常にわかりやす読んでいて勉強になりました、ありがとうございます!
例としてweb広告を上げさせていただきます
web広告はクリック時に単価が発生する仕組みですが、利用するクライアント(広告の表示されたサイト利用者)が仮に
ipアドレスを書き換えて広告をクリックするシステムを作った場合
どのように対策を取ればいいか教えていただきたいです。
考えてみた甘いセキュリティを上げますと、サーバサイドでクリックした利用者の情報を一時的に格納し、一定時間内に特定の回数以上クリックされた場合、ハッキング行為とみなしレスポンスを返さない
とゆうものがありますが、格納しておくべきユーザーの情報とゆうのがいまいち解っていません
ハッカーでもこれだけは書き換え出来ない、、とゆう情報を知っているセキュリティ知識の有る方教えていただきたいです。
回答4件
0
利用するクライアント(広告の表示されたサイト利用者)が仮にipアドレスを書き換えて広告をクリックするシステムを作った場合
この仮説がおかしいと思います。
HTTPは、TCP/IPベースのプロトコルですが、TCP/IPでは、送信元がIPアドレスを詐称することはできません。IPアドレスを書き換えて最初のパケットを送ることまではできますが、ハンドシェイク時の応答が帰ってこないため、コネクションを確立できません。結果として、HTTPリクエストは送信されません。
すなわち、HTTPを使う限り、送信元IPアドレスは信頼してよいと考えるのが通常です。今回の目的を考えても、IPアドレス詐称は考慮しなくてよいかと思います。
ちなみに、UDPを使うDNS等では、IPアドレス偽装の可能性は考慮する必要がありますが、HTTPはそうではない、ということです。
投稿2017/10/19 07:02
編集2017/10/19 07:03
総合スコア11701
0
ベストアンサー
「ハッカーでもこれだけは書き換え出来ない」情報はHTTPを使っている限り存在しません。接続元IPもProxy等で隠匿できます。
アプリケーションレベルではCookieやユーザーエージェント等、HTTPヘッダに載ってくる情報を元にブラウザの個体識別をやることになるんだと思います。この方式でCookieがないリクエストにセッション管理用途のCookieを食わす様にしたのがいわゆるセッションになります。あとブラウザによってはトラッキングの仕組みがあるみたいですが、プライバシー設定で無効にされる事が多いと想像するので有用性には疑問を持っています。
ネットワークレベルではDNS逆引き参照結果、GEO IP、その他のレピュテーション情報や単位時間あたりの接続数によって、レスポンスを返さない接続元のブラックリストをメンテナンスする方法が考えられます。ただし100%の精度での実現はできませんし、手間もかかるので現実的ではないかもしてません。それでも少なくともアプリケーションレベルでやるブラウザの個体識別に接続元IPを追加する方式は、個体識別の精度向上が見込めるので「アリ」です。
あとは個体別の接続頻度から統計的に異常値を検出する事も検討しても良いかもしれません。今流行りのAIが得意とする分野でしょう。
そもそも、オープンな仕組みであるHTTPの上に用意したオープンな広告システムで、特定条件下のみレスポンスを返したくないという要件なので、なかなか完全無欠な解は存在しないと思います。
投稿2017/10/24 01:32
総合スコア6142
この辺の仕組みって、契約にも関わるのでやっかいですね。。。
0
広告系の会社で働いております(が、専門は広告ではないですw)。
隣のチームが作っているのをみていると、
- IP
- Cookie
- セッション
- ユーザエージェント(UA)
- 広告の投下回数の感覚
などで対策をしておりました。
投稿2017/10/18 17:27
総合スコア2004
解答が曖昧模糊としており具体的なソリューションに欠ける。(平たく言えば、あってもなくても大差ない、どうでも良い内容)
NAPTやProxy配下に多数のクライアントがいる実情を踏まえた良い回答。
回答ありがとうございます、やはり多方面からのサポートとゆう点が大切なのですね、、
この情報の有用性が理解できない人っているんですね。。。
小野妹子の曖昧模糊。
この情報、使い方次第ですからね…
提示したデータをすべてDBで持っておき、様々なバリデーションロジックを組む必要があります。
この情報だけを使うとなると、まあ、意味のない文字列に成り下がりますね。
例えばIPアドレスだけ書き換えて広告をクリックした場合、Cookieを削除していないわけですから、
Cookie情報とSession情報は残ります。(PHPの話ですが)
なので、そこから判断して重複クリックとみなすことができますね。
このようにロジックを考えれるだけ上げて、実装していく必要があります。
> この情報の有用性が理解できない人っているんですね。。。
この程度の情報で有用とは、レベルの低さにびっくりしました。
> この程度の情報で有用とは、レベルの低さにびっくりしました。
なんの追加情報もないコメントにびっくりです。
実務で使っているっていう事がどれだけ有用か理解しないと、社会人になれないですよ。。。
皆様の貴重なご意見ありがとうございます。
とてもありがたいのですが、このお話はここまでにさせていただきたいと思います。
せっかくの質問の場、争いあっていては空気が悪くなってしまいます。
0
広告の場合、クリックされた後にサイトへの登録であるとか資料請求、
問い合わせの電話などの、いわゆるコンバージョンが発生します。
このクリックからコンバージョンの発生率をCVRとか言ったりしますが、
これが極端に低い場合はユーザの平均利用単価(目標CPA=Cost/Action)からCVRを逆数で割って
広告クリック単価を0.1円とか0.01円などどんどん下げていく仕組みが取られます。
不正の場合はアクセス元のIPが特定のいくつかにパターンに集中し、
全てのクリックに対して取得した標準偏差と大きく乖離が出るので
見る人が見れば分かるといいます。
最近ではスマホが主流なので、JavaScriptのXHRを用いて
広告が画面に表示され、スクロールして画面の見える位置に来て、
さらにクリックされる、などいろんなタイミングでリクエストを投げることが可能なため、
一連の流れがおかしければそこで弾くこともできるでしょう。
広告取得から1秒以内など極端に早いクリックは誤クリックの可能性も高いため、
そもそもクリックしても反応しないようになど細工されていたりするものもあるようです。
広告会社はそれぞれ内情がありますし、
教えるとそれを破るハッカーが現れるため細かい対策は明らかにしないのが通例です。
セキュリティ策には別の例を用いる方が良い回答が得られると思います。
投稿2017/11/07 03:02
総合スコア97
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/10/24 03:18
2017/10/24 04:20
2017/10/25 05:11
2017/10/25 08:02
2017/10/29 20:36
2017/11/10 06:21 編集