Telemetrie-Beacons

CSD-Telemetrie läuft in zwei Phasen ab. Zunächst werden Instrumentierungsskripte über Standard-GET-Anfragen vom Anwendungs-Ursprungsserver geladen — diese schleusen den Überwachungscode von CSD in die Seite ein. Das URL-Muster des Skripts folgt dem Format https://<collection-domain>/__imp_apg__/js/<tenant-script>.js, wobei der genaue Pfad je nach Deployment variiert. Nach der Initialisierung senden die Skripte regelmäßig Telemetriedaten an F5 zurück, und zwar über POST-Anfragen, die als Beacons bezeichnet werden. Diese Beacons werden an von F5 betriebene Signal-Sammeldomänen (*.zeronaught.com) gesendet, nicht an den Anwendungs-Ursprungsserver.

Eigenschaft	Wert
Skript-Ladevorgänge	CSD-Instrumentierungsskripte werden über `GET`-Anfragen am Anwendungs-Ursprungsserver geladen — filtern Sie in den DevTools nach `__imp_apg__` oder `zeronaught`, um diese zu identifizieren
Beacon-Ziele	`POST` an die F5-Signal-Sammelinfrastruktur (z. B. `us.gimp.zeronaught.com`, `csd.zeronaught.com`)
Payload-Format	Kodiertes Binärformat — kein menschenlesbares JSON
Häufigkeit	Regelmäßig während der Seitenlebensdauer; zusätzliche Beacons werden bei bestimmten Ereignissen ausgelöst (Zugriff auf Formularfelder, Laden neuer Skripte)

Was Beacons melden

CSD-Beacons übertragen Skript-Verhaltensmetadaten, keine Benutzereingaben:

Skript-Inventar — welche Skripte auf der Seite geladen wurden und von welchen Quelldomänen
Formularfeld-Zugriffsereignisse — welche Skripte auf welche Eingabefelder zugegriffen oder mit diesen interagiert haben (Feldnamen und -typen)
Seitenmetadaten — aktuelle URL, Zeitstempel, Seitenlebenszyklus-Ereignisse

CSD ist darauf ausgelegt, Skript-Verhaltensmetadaten zu melden — Feldnamen, Eingabetypen und Zugriffsmuster — und nicht die vom Benutzer eingegebenen Formulardaten. Die F5 CSD-Datenschutzerklärung beschreibt CSD als eine Lösung, die „Informationen darüber erfasst, welche Assets auf verschiedene Seitenelemente oder Datenstrukturen zugreifen”, wobei der Fokus auf dem Skriptverhalten und nicht auf dem Inhalt von Benutzereingaben liegt.

Beacons in den DevTools beobachten

Öffnen Sie die Chrome DevTools (F12) und wechseln Sie zur Registerkarte Netzwerk
Navigieren Sie in der Anwendung oder interagieren Sie mit Formularfeldern, um Datenverkehr zu erzeugen
Geben Sie zeronaught in die Filterleiste ein, um den CSD-Datenverkehr zu isolieren — Sie sehen den Skript-Ladevorgang (GET) sowie die Telemetrie-Beacons (POST) an us.gimp.zeronaught.com
Achten Sie auf die Spalte Methode: GET-Einträge sind der ladende CSD-Instrumentierungscode; POST-Einträge mit dem Namen dip sind die Telemetrie-Beacons, die Signaldaten zurück an F5 übertragen
Klicken Sie auf einen dip-Beacon, um dessen Header und Payload zu untersuchen; beachten Sie, dass der Anfrage-Body kodiertes Binärformat ist und kein menschenlesbares JSON

DevTools Network tab filtered to zeronaught showing GET script load and POST telemetry beacons

CSD-Telemetrie-Beacons sind POST-Anfragen, die an von F5 betriebene Infrastruktur (*.zeronaught.com-Domänen) gesendet werden. Ein bösartiges Formjacking-Skript hingegen exfiltriert gestohlene Daten an eine vom Angreifer kontrollierte Domäne — typischerweise über fetch(), XMLHttpRequest oder Image-Beacon (new Image().src).

Sowohl CSD-Beacons als auch Angriffs-Exfiltration sind ursprungsübergreifende Anfragen, aber die wesentlichen Unterschiede liegen in Ziel und Inhalt: CSD sendet Skript-Verhaltensmetadaten an bekannte F5-Infrastruktur, während Exfiltration vom Benutzer eingegebene Daten (Passwörter, Kartennummern) an den Server eines Angreifers sendet. Diese Unterscheidung ist zentral dafür, wie CSD Angriffe erkennt — siehe CSD-Fähigkeiten — Erkennungsgrenzen für das, was CSD erkennen kann und was nicht.