In welchem Fall macht Java Script mit NONC Tracking überhaupt Sinn?

  • Resolved gesineli

    (@gesineli)


    2 years, 5 months ago

    Hallo,

    zunächst einmal vielen Dank für die Entwicklung des Plugins Statify und dessen Support! Ich habe eine Frage zu den Einstellungen für die Art des Trackings. Mit Java Script kennen ich mich nicht wirklich aus. Aber soviel ich bisher verstanden habe, muss ich in jedem Fall Java Script basiertes Tracking selektieren, sofern ich ein Caching Plugin im Einsatz habe.

    Mit und ohne Nonce-Prüfung leuchtet mir nur so halb ein. Ich habe mich jetzt für “ohne Nonce-Prüfung” entschieden, weil ich aus diverse Posts und der Dokumentation auf der Statify Website herauslese, dass ich mir damit ein eventuelles Problem, das durch Cache-bedingtes Ablaufen der Nonces entsteht, erspare. Ich würde das aber gerne richtig verstehen. In diesem Zusammenhang stellt sich mir die Frage, unter welchen Bedingungen aber “mit Nonce Prüfung” die bessere Wahl ist?! Selbst wenn aufgrund des Caches die Nonce nicht abgelaufen sein sollte: welchen Vorteil hätte es, die Nonce Prüfung zu aktivieren?

    Für eine kurze Rückmeldung hierzu wäre ich sehr dankbar!

    Viele Grüße
    Gesine

    The page I need help with: [log in to see the link]

Viewing 2 replies - 1 through 2 (of 2 total)
  • Plugin Support Torsten Landsiedel

    (@zodiac1978)

    2 years, 4 months ago

    Hallo @gesineli

    erst einmal entschuldige bitte die späte Antwort!

    Aber soviel ich bisher verstanden habe, muss ich in jedem Fall Java Script basiertes Tracking selektieren, sofern ich ein Caching Plugin im Einsatz habe.

    Das ist genau richtig.

    In diesem Zusammenhang stellt sich mir die Frage, unter welchen Bedingungen aber “mit Nonce Prüfung” die bessere Wahl ist?! Selbst wenn aufgrund des Caches die Nonce nicht abgelaufen sein sollte: welchen Vorteil hätte es, die Nonce Prüfung zu aktivieren?

    Dazu verweise ich mal auf diese Erklärung von Nonces (für die technischen Details):
    https://developer.wordpress.org/themes/theme-security/using-nonces/

    Es ist eine Schutzfunktion, um eine Formularübermittlung abzusichern. Insbesondere automatisierte Übermittlungen können so nicht dauerhaft die gleichen Requests abschicken, sondern müssen alle x Stunden einen Nonce neu generieren (und dafür ggf. die Berechtigung haben).

    In unserem Kontext eines Requests für eine Statistik wäre die einzige mögliche Ausnutzung die Verfälschung der Daten durch automatisierte (und damit falsche) Aufrufe, die wurde standardmäßig eingebaut. Dann haben wir sie optional gemacht, um Probleme mit zu langen Cache-Zeiten zu verhindern.

    Sofern deine Cache-Zeit nicht die Lebensdauer des Nonce überschreitet kannst du den Nonce anlassen und so diese “Angriffsmöglichkeit” unterbinden.

    Hier die Details zur Umstellung:
    https://github.com/pluginkollektiv/statify/pull/168

    Hoffe das hilft dir weiter (ist leider etwas technisch und sehr komplex, wenn verschiedene Kompontenten wie Hoster, andere Plugins beteiligt sind).

    Beste Grüße
    Torsten

    Thread Starter gesineli

    (@gesineli)

    2 years, 4 months ago

    Hallo Torsten,

    vielen Dank für die ausführliche Erklärung und euren Support!

    Verstehe ich das richtig: Wenn ich die Nonce Prüfung deaktiviere, dann kann es sein, dass Seitenaufrufe von Bots beispielsweise mitgezählt werden?

    Für den Moment denke ich, dass die Einstellung der unterschiedlichen Cache-Ebenen in ihrem Aufwand nicht im Verhältnis steht zu der gewonnen Genauigkeit and Erhebungsdaten bei aktivierter Nonce Prüfung…

    Lieben Dank!
    Gesine

Viewing 2 replies - 1 through 2 (of 2 total)
  • The topic ‘In welchem Fall macht Java Script mit NONC Tracking überhaupt Sinn?’ is closed to new replies.