안전한 Google 추적 쿠키

Question

저는 웹 사이트의 일부 페이지에서 Google Analytics를 사용합니다. 내 사이트 전체가 SSL을 사용합니다. Goole Analytics __umt*의 쿠키를 확보 할 수 있습니까?

적어도 보안 플래그를 사용하고 싶습니다. 기껏해야 나는 그 (것)들에 HTTP 전용 깃발을 놓고 싶으면, 그러나 나 생각한다 후자는 가능하다 (Google가 생각하는 과자를 사용하기 위하여 JS를 사용하기 때문에).

가능합니까? 그리고 만약 그렇다면 그것을 설정하는 방법?

Answer 1

Google 애널리틱스 쿠키 (예 : Js를 통해 설정)는 기본 쿠키이므로 도메인 만 해당 쿠키를 쓸 수 있습니다. 따라서 보안이 필요한 경우 보안이 유지됩니다.

질문에 대해서는 100 % 확신 할 수 없지만, HTTP 페이지에서만 Google 웹 로그 분석을 사용하려는 경우 페이지의 GA 코드를 다음과 같이 변경할 수 있습니다. 예 :

조지아 스크립트를 수정하고 자신의 로컬 복사본을 저장

<script type="text/javascript"> 
    if(document.location.protocol != 'https:'){ 
    var _gaq = _gaq || []; 
    _gaq.push(['_setAccount', 'UA-XXXXX-X']); 
    _gaq.push(['_trackPageview']); 

    (function() { 
    var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true; 
    ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js'; 
    var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s); 
    })(); 
    } 
</script> 

Answer 2

짧은, 아니, 당신은 안전하거나 Http 만 플래그를 설정할 수하지 않을거야. 나는 Google이 보안 설계와 비보안 설계에서 동일한 사용자를 추적 할 수 있다는 장점이있을 수 있다는 확신을 바탕으로 설계 결정을 내렸다고 생각합니다.

당신은 당신이 이것으로 달성하고자하는 것을 스스로에게 물어볼 필요가 있습니다; 중간에있는 사람이 보안 플래그가 없기 때문에 쿠키를 가로 채고 읽을 수 있거나 조작 할 수 있다면 잠재적 인 악용은 무엇입니까? HttpOnly 플래그로 다시 동일하게; 공격자가 XSS 익스플로잇을 통해이 쿠키를 검색 할 수 있다면 어떤 단점이 있을까요?

쿠키가 실제로 사용되는 컨텍스트가 없어도 누락 된 플래그로 간단히 트리거되기 전에 자동화 된 보안 스캐너에서 이러한 종류의 피드백을 보았습니다. 그것은 왜 이런 질문이 올지에 대한 나의 첫 번째 추측이 될 것입니다.