Comme je l'ai lu dans le Android Mixpanel SDK setup documentation, un jeton est utilisé pour initialiser MixPanel SDK lorsque l'application démarre. Quand je lis à propos token sur le document Mixpanel, il est dit:Quelles sont les conséquences de l'exposition du jeton Mixpanel?
Votre jeton est public et est le seul objet spécifique au projet requis pour envoyer des données à Mixpanel. Puisque les utilisateurs de Mixpanel peuvent avoir plusieurs projets et que chaque projet possède son propre jeton de projet, chaque fois que vous voulez envoyer des données à un projet spécifique, vous devez spécifier le jeton de projet pour savoir où envoyer les données.
Les apk peuvent être facilement décompilés en utilisant les outils gratuits. Si quelqu'un n'a pas utilisé ProGuard ou une autre bibliothèque d'obfuscation, quelles seront les conséquences si le jeton est exposé à un attaquant? Puisque le lien mentionne que c'est la seule chose nécessaire pour envoyer des données à Mixpanel, un attaquant peut-il envoyer ses propres données et corrompre nos données sur Mixpanel?
Merci pour votre réponse. Ça aide. Comme mentionné sur le lien, sur le portail Google Analytics, nous pouvons filtrer par URL source. Je pensais peut-être qu'il y en a pour Mixpanel. Ils peuvent lier le jeton au nom du package ou quelque chose. Si le nom du package à partir duquel ils reçoivent la requête ne correspond pas, ils n'incluent pas cet événement. Puisque seulement la personne qui a ma clé privée serait capable de signer l'application, cela aiderait à déterminer la fausse application de la vraie. –
Cela fait un petit moment que j'ai utilisé mixpanel, mais la dernière fois que je l'ai utilisé ce n'était pas possible. Cela a peut-être changé, mais je ne suis honnêtement pas sûr à 100% et je ne veux pas vous donner d'informations trompeuses. – rdegges
Mais vous avez raison - les filtres sont le moyen de résoudre ce problème =) – rdegges