In welchem Fall macht Java Script mit NONC Tracking überhaupt Sinn?

  • Resolved gesineli

    (@gesineli)


    3 years ago

    Hallo,

    zun?chst einmal vielen Dank für die Entwicklung des Plugins Statify und dessen Support! Ich habe eine Frage zu den Einstellungen für die Art des Trackings. Mit Java Script kennen ich mich nicht wirklich aus. Aber soviel ich bisher verstanden habe, muss ich in jedem Fall Java Script basiertes Tracking selektieren, sofern ich ein Caching Plugin im Einsatz habe.

    Mit und ohne Nonce-Prüfung leuchtet mir nur so halb ein. Ich habe mich jetzt für “ohne Nonce-Prüfung” entschieden, weil ich aus diverse Posts und der Dokumentation auf der Statify Website herauslese, dass ich mir damit ein eventuelles Problem, das durch Cache-bedingtes Ablaufen der Nonces entsteht, erspare. Ich würde das aber gerne richtig verstehen. In diesem Zusammenhang stellt sich mir die Frage, unter welchen Bedingungen aber “mit Nonce Prüfung” die bessere Wahl ist?! Selbst wenn aufgrund des Caches die Nonce nicht abgelaufen sein sollte: welchen Vorteil h?tte es, die Nonce Prüfung zu aktivieren?

    Für eine kurze Rückmeldung hierzu w?re ich sehr dankbar!

    Viele Grü?e
    Gesine

    The page I need help with: [log in to see the link]

Viewing 2 replies - 1 through 2 (of 2 total)
  • Plugin Support Torsten Landsiedel

    (@zodiac1978)

    Hallo @gesineli

    erst einmal entschuldige bitte die sp?te Antwort!

    Aber soviel ich bisher verstanden habe, muss ich in jedem Fall Java Script basiertes Tracking selektieren, sofern ich ein Caching Plugin im Einsatz habe.

    Das ist genau richtig.

    In diesem Zusammenhang stellt sich mir die Frage, unter welchen Bedingungen aber “mit Nonce Prüfung” die bessere Wahl ist?! Selbst wenn aufgrund des Caches die Nonce nicht abgelaufen sein sollte: welchen Vorteil h?tte es, die Nonce Prüfung zu aktivieren?

    Dazu verweise ich mal auf diese Erkl?rung von Nonces (für die technischen Details):
    https://developer.www.ads-software.com/themes/theme-security/using-nonces/

    Es ist eine Schutzfunktion, um eine Formularübermittlung abzusichern. Insbesondere automatisierte übermittlungen k?nnen so nicht dauerhaft die gleichen Requests abschicken, sondern müssen alle x Stunden einen Nonce neu generieren (und dafür ggf. die Berechtigung haben).

    In unserem Kontext eines Requests für eine Statistik w?re die einzige m?gliche Ausnutzung die Verf?lschung der Daten durch automatisierte (und damit falsche) Aufrufe, die wurde standardm??ig eingebaut. Dann haben wir sie optional gemacht, um Probleme mit zu langen Cache-Zeiten zu verhindern.

    Sofern deine Cache-Zeit nicht die Lebensdauer des Nonce überschreitet kannst du den Nonce anlassen und so diese “Angriffsm?glichkeit” unterbinden.

    Hier die Details zur Umstellung:
    https://github.com/pluginkollektiv/statify/pull/168

    Hoffe das hilft dir weiter (ist leider etwas technisch und sehr komplex, wenn verschiedene Kompontenten wie Hoster, andere Plugins beteiligt sind).

    Beste Grü?e
    Torsten

    Thread Starter gesineli

    (@gesineli)

    Hallo Torsten,

    vielen Dank für die ausführliche Erkl?rung und euren Support!

    Verstehe ich das richtig: Wenn ich die Nonce Prüfung deaktiviere, dann kann es sein, dass Seitenaufrufe von Bots beispielsweise mitgez?hlt werden?

    Für den Moment denke ich, dass die Einstellung der unterschiedlichen Cache-Ebenen in ihrem Aufwand nicht im Verh?ltnis steht zu der gewonnen Genauigkeit and Erhebungsdaten bei aktivierter Nonce Prüfung…

    Lieben Dank!
    Gesine

Viewing 2 replies - 1 through 2 (of 2 total)
  • The topic ‘In welchem Fall macht Java Script mit NONC Tracking überhaupt Sinn?’ is closed to new replies.