正如我在 Android Mixpanel SDK setup documentation 中读到的那样,一个 token 用于在应用程序启动时初始化 MixPanel SDK。当我读到 token在 Mixpanel 文档上,它说:
Your token is public, and is the only project-specific object required to send data to Mixpanel. Since Mixpanel users can have multiple projects, and each project has it's own project token, whenever you want to send data to a specific project, you'll need to specify the project token so we know where to send the data.
Android apk 可以使用免费提供的工具轻松反编译。如果有人没有使用过 ProGuard 或其他一些混淆库,如果 token 暴露给攻击者会有什么后果?由于链接提到它是将数据发送到 Mixpanel 所需的唯一东西,攻击者可以发送他们自己的数据并破坏我们在 Mixpanel 上的数据吗?
最佳答案
这是正确的——如果攻击者反编译您的 apk 并提取您的 token ,他们确实可以代表您恶意地将流量发送到 mixpanel。
几乎所有网络分析公司(包括谷歌)都是这种情况。
然而,要知道的主要事情是人们这样做很少有用。污染别人的网络分析虽然有可能,但并不是一件有利可图的事情。您还可以创建服务器端过滤器来帮助防止这种情况发生。
您可以在此处阅读更多相关信息(特别是与 Google Analytics 相关的内容):https://blog.kissmetrics.com/protect-analytics-from-hacking/ (这些原则也适用于 Mixpanel)。
希望对您有所帮助!
关于android - Mixpanel token 被曝光会有什么后果?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/41729774/