¿Es posible verificar la identidad del sitio que le envió la solicitud?

3

Estoy desarrollando un widget JS que se puede incrustar en sitios web de terceros. Cuando se muestra el widget, envía solicitud a mi sitio. Cuando se recibe esta solicitud, sé que se mostró al usuario y pagó al sitio web para esta vista. Por lo tanto, no quiero pagar si el widget no se representa en el sitio web de destino. Creo que para verificar la url del sitio, debo enviar la url de la página de inserción en el parámetro de solicitud cuando se genere el widget. Sin embargo, será posible enviar dicha solicitud desde cualquier lugar, no solo desde la página de este sitio.

¿Es posible verificar la URL donde se colocó el widget?

    
pregunta Andrei Botalov 03.10.2012 - 19:03
fuente

1 respuesta

1

Como alternativa a tener el widget "informe a casa", puede escribir un robot simple que rastree los sitios web y verifique que los sitios web realmente alojan el widget.

Para evitar el fraude, debe construir el robot con las siguientes consideraciones:

  1. Identidad oculta. Asegúrese de que el sitio no solo sirva el widget a los robots al disfrazar su identidad de robots.
  2. Muestreo de rastreo aleatorio. Asegúrese de que su rastreo use un muestreo aleatorio para cuando rastree los sitios. Esto evita que un sitio prevea el rastreo y lo sirva solo durante ese tiempo.
  3. Verifique que el widget esté visible. No solo compruebe la existencia del widget, sino que el widget en sí está visible y no oculto.
  4. Descripción del manual. Haga que su robot genere capturas de pantalla para que pueda revisar manualmente si el widget está apareciendo.

Hay algunas dificultades hereditarias a las que se enfrentará en función de la naturaleza de "pago por visión" del arrendamiento (hasta qué punto, no lo sé porque no conozco los detalles de su contrato). El mayor problema no es que las personas coloquen el widget en direcciones URL no autorizadas, sino que abusan del sistema al rastrear automáticamente (de manera fraudulenta) el sitio para aumentar el número de visitas. Esa debería ser su principal preocupación, ya que es de donde surgirá la mayoría del fraude.

El problema es que es difícil verificar la legitimidad de una vista desde un widget incorporado. Con solo acceso a JavaScript, tiene capacidades limitadas para diferenciar entre un robot, un usuario que pulsa constantemente la actualización y un usuario legítimo. Sin acceso al lado del servidor, su mejor opción para prevenir el fraude es a través de las huellas dactilares del navegador. Esto le ayudará a controlar el abuso de su widget a través de la actualización constante, et al. No es un catch-all porque todavía es vulnerable a los usuarios no-js / torbutton que pueden falsificar identidades, pero proporciona un buen primer nivel de protección para repetir el fraude de vista.

    
respondido por el Moses 03.10.2012 - 19:18
fuente

Lea otras preguntas en las etiquetas