それぞれが一意のAPIキーを使用して、ajaxスタイルのサービスを多数のWebサイトに組み込みたいと考えています。私が見ることができる問題は、APIキーがjavascriptファイルに保存されているため、ユーザーがキーを取得し、httpリファラーをスプーフィングし、そのAPIキーの下でAPIに何百万ものリクエストを行う可能性があることです。
では、GoogleがAnalyticsのなりすましをどのように防ぐのか疑問に思っていますか?これはほとんど同じ考えを使用しているので。
私は他のアイデアにもオープンです。基本的にここにプロセスがあります。
SiteA->ユーザー<->Ajax<-> SiteB
編集-APIをajax経由で呼び出しているときにAPIが悪用されるのを防ぐ方法はありますか?
そのような保護措置は講じられていないと思います。トラフィックのなりすましは、アドワーズ広告などの他のGoogleサービスにとって深刻な問題です。たとえば、アドワーズ広告に入札している悪意のある個人は、競合他社の広告に対して多くの偽のクリックを生成して、広告費用、ひいてはGoogleの株価を押し上げる可能性があります。逆もまた真であり、人々は自分のサイトで偽のクリックを生成して、自分のサイトのクリック課金広告から追加のお金を得るでしょう。
結局のところ、ハッカーは10,000以上の匿名プロキシサーバーのリストをそれほど困難なく集めることができ、それについてできることはあまりありません。ハッカーはボットネットを使用することもできますが、その中には数百万のサイズのものもあります。ボットネットから生成されたトラフィックは、ハイジャックされた場所にあるため、正当なGoogleCookieを備えた正当なマシンのように見える可能性があります。
多くのプロキシと骨の折れるマシンは、http://www.spamhaus.orgによって実行されるものなどのリアルタイムブラックリスト(RBL)によって列挙され、多くの正当なIPアドレスもそのリストに含まれています。スパムには使用できないがクリック詐欺には使用できるプロキシもあるため、そのリストには含まれません。
推測では、キーは公開鍵と秘密鍵のペアの半分であり、(どういうわけか)URLがハッシュとして含まれていると思います。このように、リクエストがキーが生成されたURLに対するものである場合、キーは機能し、ヒットのみが登録されます。リクエストをスプーフィングすることはできません。スプーフィングすると、間違ったURLに移動し、何も起こらないためです。