例としてweb広告を上げさせていただきます
web広告はクリック時に単価が発生する仕組みですが、利用するクライアント(広告の表示されたサイト利用者)が仮に
ipアドレスを書き換えて広告をクリックするシステムを作った場合
どのように対策を取ればいいか教えていただきたいです。
考えてみた甘いセキュリティを上げますと、サーバサイドでクリックした利用者の情報を一時的に格納し、一定時間内に特定の回数以上クリックされた場合、ハッキング行為とみなしレスポンスを返さない
とゆうものがありますが、格納しておくべきユーザーの情報とゆうのがいまいち解っていません
ハッカーでもこれだけは書き換え出来ない、、とゆう情報を知っているセキュリティ知識の有る方教えていただきたいです。
気になる質問をクリップする
クリップした質問は、後からいつでもMYページで確認できます。
またクリップした質問に回答があった際、通知やメールを受け取ることができます。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
回答4件
0
利用するクライアント(広告の表示されたサイト利用者)が仮にipアドレスを書き換えて広告をクリックするシステムを作った場合
この仮説がおかしいと思います。
HTTPは、TCP/IPベースのプロトコルですが、TCP/IPでは、送信元がIPアドレスを詐称することはできません。IPアドレスを書き換えて最初のパケットを送ることまではできますが、ハンドシェイク時の応答が帰ってこないため、コネクションを確立できません。結果として、HTTPリクエストは送信されません。
すなわち、HTTPを使う限り、送信元IPアドレスは信頼してよいと考えるのが通常です。今回の目的を考えても、IPアドレス詐称は考慮しなくてよいかと思います。
ちなみに、UDPを使うDNS等では、IPアドレス偽装の可能性は考慮する必要がありますが、HTTPはそうではない、ということです。
投稿2017/10/19 07:02
編集2017/10/19 07:03総合スコア11701
0
ベストアンサー
「ハッカーでもこれだけは書き換え出来ない」情報はHTTPを使っている限り存在しません。接続元IPもProxy等で隠匿できます。
アプリケーションレベルではCookieやユーザーエージェント等、HTTPヘッダに載ってくる情報を元にブラウザの個体識別をやることになるんだと思います。この方式でCookieがないリクエストにセッション管理用途のCookieを食わす様にしたのがいわゆるセッションになります。あとブラウザによってはトラッキングの仕組みがあるみたいですが、プライバシー設定で無効にされる事が多いと想像するので有用性には疑問を持っています。
ネットワークレベルではDNS逆引き参照結果、GEO IP、その他のレピュテーション情報や単位時間あたりの接続数によって、レスポンスを返さない接続元のブラックリストをメンテナンスする方法が考えられます。ただし100%の精度での実現はできませんし、手間もかかるので現実的ではないかもしてません。それでも少なくともアプリケーションレベルでやるブラウザの個体識別に接続元IPを追加する方式は、個体識別の精度向上が見込めるので「アリ」です。
あとは個体別の接続頻度から統計的に異常値を検出する事も検討しても良いかもしれません。今流行りのAIが得意とする分野でしょう。
そもそも、オープンな仕組みであるHTTPの上に用意したオープンな広告システムで、特定条件下のみレスポンスを返したくないという要件なので、なかなか完全無欠な解は存在しないと思います。
投稿2017/10/24 01:32
総合スコア6142
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
退会済みユーザー
2017/10/24 03:31
0
広告系の会社で働いております(が、専門は広告ではないですw)。
隣のチームが作っているのをみていると、
- IP
- Cookie
- セッション
- ユーザエージェント(UA)
- 広告の投下回数の感覚
などで対策をしておりました。
投稿2017/10/18 17:27
総合スコア2004
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/10/24 00:38
2017/10/24 00:56
2017/10/24 03:05
退会済みユーザー
2017/10/24 03:12
2017/10/24 12:31
2017/10/31 00:39
退会済みユーザー
2017/10/31 00:54
2017/10/31 01:22
0
広告の場合、クリックされた後にサイトへの登録であるとか資料請求、
問い合わせの電話などの、いわゆるコンバージョンが発生します。
このクリックからコンバージョンの発生率をCVRとか言ったりしますが、
これが極端に低い場合はユーザの平均利用単価(目標CPA=Cost/Action)からCVRを逆数で割って
広告クリック単価を0.1円とか0.01円などどんどん下げていく仕組みが取られます。
不正の場合はアクセス元のIPが特定のいくつかにパターンに集中し、
全てのクリックに対して取得した標準偏差と大きく乖離が出るので
見る人が見れば分かるといいます。
最近ではスマホが主流なので、JavaScriptのXHRを用いて
広告が画面に表示され、スクロールして画面の見える位置に来て、
さらにクリックされる、などいろんなタイミングでリクエストを投げることが可能なため、
一連の流れがおかしければそこで弾くこともできるでしょう。
広告取得から1秒以内など極端に早いクリックは誤クリックの可能性も高いため、
そもそもクリックしても反応しないようになど細工されていたりするものもあるようです。
広告会社はそれぞれ内情がありますし、
教えるとそれを破るハッカーが現れるため細かい対策は明らかにしないのが通例です。
セキュリティ策には別の例を用いる方が良い回答が得られると思います。
投稿2017/11/07 03:02
総合スコア97
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
あなたの回答
tips
太字
斜体
打ち消し線
見出し
引用テキストの挿入
コードの挿入
リンクの挿入
リストの挿入
番号リストの挿入
表の挿入
水平線の挿入
プレビュー
質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/10/24 03:18
2017/10/24 04:20
2017/10/25 05:11
2017/10/25 08:02
2017/10/29 20:36
2017/11/10 06:21 編集