なんらかのパブリック Web サービスを実行していて、明らかにメトリックを収集したいとします。この議論のために、私が興味を持っているデータは、標準の Apache アクセス ログを解析して得られるものだけであると仮定しましょう。ユーザーに関する識別情報を保持せずに、この種の分析を維持する方法はありますか?
IP アドレスのハッシュなどについて考えてみましたが、これには多くの明らかな問題があります。
質問する
88 次
1 に答える
1
はい。IP アドレスを平文で保存したくない場合は、HMAC を使用して IP を匿名化できます。問題は、リクエストと同じようにクエリ パラメータを含むリファラー URL にある可能性があります。たとえば、ユーザーのメールがクエリに含まれている場合は、それを置き換える必要があります (例: uuid)。
IPv4 アドレスをハッシュ化する際の問題は、アドレスが 32 ビットであるため、ブルート フォース検索を非常に簡単に実行できることです。キーが保護されていない限り、HMAC はこの状況を少し改善することができます。 https://panopticlick.eff.org/はこの手法を使用しています (定期的なキーの削除/変更を伴う)。
実際にはhttp://bug.st/mod_anonstatsを使用して IP を匿名化できますが、それでもユーザーをカウントできます。
機密性の高いリンクのリファラーは非常に簡単に解決できます: http://www.whatwg.org/specs/web-apps/current-work/multipage/links.html#link-type-noreferrer ただし、これは最新のブラウザーを想定しています。
于 2013-09-02T15:18:44.333 に答える