Mixpanel token 被曝光会有什么后果?
What are consequences of Mixpanel token being exposed?
正如我在 Android Mixpanel SDK setup documentation, a token is used to initialize MixPanel SDK when app starts. When I read about token on Mixpanel 文档中所读到的,它说:
Your token is public, and is the only project-specific object required to send data to Mixpanel. Since Mixpanel users can have multiple projects, and each project has it's own project token, whenever you want to send data to a specific project, you'll need to specify the project token so we know where to send the data.
Android apk 可以使用免费提供的工具轻松反编译。如果有人没有使用过 ProGuard 或其他一些混淆库,如果令牌暴露给攻击者会有什么后果?由于 link 提到它是唯一需要将数据发送到 Mixpanel 的东西,攻击者可以发送他们自己的数据并破坏我们在 Mixpanel 上的数据吗?
这是正确的——如果攻击者反编译您的 apk 并提取您的令牌,他们确实可以代表您恶意地将流量发送到 mixpanel。
几乎每一家网络分析公司都是这种情况(包括google)。
然而,要知道的主要事情是人们这样做很少有用。污染别人的网络分析虽然有可能,但并不是一件有利可图的事情。您还可以创建 server-side 过滤器来帮助防止这种情况发生。
您可以在此处阅读更多相关信息(特别是与 Google Analytics 相关的内容):https://blog.kissmetrics.com/protect-analytics-from-hacking/(原则也适用于 Mixpanel)。
希望对您有所帮助!
正如我在 Android Mixpanel SDK setup documentation, a token is used to initialize MixPanel SDK when app starts. When I read about token on Mixpanel 文档中所读到的,它说:
Your token is public, and is the only project-specific object required to send data to Mixpanel. Since Mixpanel users can have multiple projects, and each project has it's own project token, whenever you want to send data to a specific project, you'll need to specify the project token so we know where to send the data.
Android apk 可以使用免费提供的工具轻松反编译。如果有人没有使用过 ProGuard 或其他一些混淆库,如果令牌暴露给攻击者会有什么后果?由于 link 提到它是唯一需要将数据发送到 Mixpanel 的东西,攻击者可以发送他们自己的数据并破坏我们在 Mixpanel 上的数据吗?
这是正确的——如果攻击者反编译您的 apk 并提取您的令牌,他们确实可以代表您恶意地将流量发送到 mixpanel。
几乎每一家网络分析公司都是这种情况(包括google)。
然而,要知道的主要事情是人们这样做很少有用。污染别人的网络分析虽然有可能,但并不是一件有利可图的事情。您还可以创建 server-side 过滤器来帮助防止这种情况发生。
您可以在此处阅读更多相关信息(特别是与 Google Analytics 相关的内容):https://blog.kissmetrics.com/protect-analytics-from-hacking/(原则也适用于 Mixpanel)。
希望对您有所帮助!