Hallo,

ich programmiere derzeit ein Tracking System für ein Partnernetzwerk, welches durch Einbindung eines IMG-Tags auf der Bestell-Seite des Advertisers ausgeführt wird.

z.B. so <IMG SRC="http://www.xxx.de/newsale.php?site=12345&order=bla123&price=12.34" WIDTH="1" HEIGHT="1">

Mein Problem ist nun, wie kann ich verhindern, dass nicht irgendwelche Faker das Skript ausführen und sich bspw. eine Fantastilliarde Leads/Sales selber generieren?

Natürlich muss der Advertiser die Sales noch bestätigen (identifizierbar durch "order"). Aber schön wäre das ja auch nicht, wenn er erstmal zwölf tausend gefakte Bestellungen im Partnernetzwerk stornieren müsste.

Da dass IMG-Tag ja für alle sichtbar ist, kann man hier auch nicht mit einem Shared Secret Code arbeiten. Welche Möglichkeiten habe ich, festzustellen, ob das IMG Tag bzw. das Skript auch wirklich von der Seite des Advertisers ausgeführt wurde.

Sachen wie HTTP_REFERER sind ja auch manipulierbar etc.
Hat da jemand eine Idee/Erfahrung, um dort Sicherheit reinzubringen?

Du musst ein mehrstufiges Sicherheitssystem implementieren.

- Mit einer ID arbeiten. Nuer ein Sale pro ID
- Cookies
- Referer
- ...

Kann man die IP nicht auch noch mit einbringen?

Ich arbeite selbstverständlich mit IDs etc., aber wo soll mir das helfen? Der Angreifer kann ja alles dynamisch ändern wie er will. Und selbst wenn er nur irgendeinen Mist reinschreibt, hab ich trotzdem am Ende Müll in der Datenbank mit dem sich der Advertiser rumquälen muss.

Mit Cookies arbeite ich auch, aber auch die kann der Faker ja manipulieren.


Wenn Du mir sagst, wie ich an zuverlässige Referer Daten komme, wäre mir ja geholfen!
Ich kenne nur die Variante über $_SERVER['HTTP_REFERER'], aber das ist ebenfalls manipulierbar.

Ja, IP kann auch verwendet werden.

Ja, die ID kann verändert werden ABER Du musst halt selbst kreativ werden. Du könntest ja die ID über eine Schnittstelle verifizierne lannsen, ob diese ID vom Shop erstellt wurde.

Der Referer kann immer manipuliert werden. Aber wenn Du eine 30 stellige ID in einem Cookie hast, dann kannst Du den User ja für die nächsten 24 Stunden sperren. z.B.

Pro IP gibt es max. 5 neue ID's am Tag, etc.

Damit man nicht einfach das Cookie löschen kann, kannst Du mit div. anderen erkennungsmethoden arbeiten. Dazu hab ich schon mehrmals geschrieben.

Du hast unendlich viele Möglichkeiten...

Du könntest z. B. Die IP des Useres aufrufen, wenn auf Port 80 eine Antwort kommt, ist die wahrscheinlichkeit gross, dass es ein Server ist.

Du könntest die Mausbewegungen Tracken.

Überhaupt würde ich von der Idee weggehen, dass Du dem Webmaster ein Bild zum einbinden gibst, mit JS kannst Du viel mehr machen. Oder vielleicht auch mit einem Iframe...