Google Analytics - هل يمكنه جمع بيانات النماذج؟
https://stackoverflow.com/questions/1800253
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
السيناريو البسيط: لدي نموذج تسجيل ، مع اسم المستخدم ، كلمة المرور ، عنوان البريد الإلكتروني ، قد يكون رقم بطاقة الائتمان.
في أسفل الصفحة ، أقوم بتنفيذ رمز Google Analytics.
عندما ينقر المستخدم على إرسال ، ينتقل إلى صفحة wihtout Google Analytics.
السؤال هو .. هل يمكن لـ GA الحصول على البيانات (المستخدم NAEM ، كلمة المرور .. EMAIL..ETC) في النموذج الأول بعد إدخال البيانات؟
هل يقولون أي شيء عن ذلك في TOS أو سياسة الخصوصية الخاصة بهم؟
المحلول
نعم. أي <script> تضم في الصفحة وصول كامل لتغيير تفاعل المستخدم مع الموقع بسبب نفس سياسة الأصل. جوجل ، إذا كانوا يشعرون بالشر اليوم ، يمكن بالتأكيد إعادة كتابة action من الخاص بك <form> للإشارة إلى أنفسهم ، أو تسجيل كل keypress ، أو إنشاء <iframe> تحتوي على صفحة أخرى على موقعك ومحاكاة المستخدم الذي ينقر على أي إجراء في تلك الصفحة.
لا يشمل <script> على أي صفحة من حفلة لا تثق بها تمامًا في أمان كل شيء على موقعك. حتى البرنامج النصي التتبع أو المعلن على أي صفحة يضعف كل شيء على اسم المضيف نفسه (وربما نطاقات فرعية أخرى إذا كنت مثبتًا window.domain للسماح بالشخص المتقاطع ، أو مشاركة ملفات تعريف الارتباط بين أسماء المضيف).
ومع ذلك ، فإن البرنامج النصي التحليلي لا يفعل حاليًا فعل لن يتدفق أي من هذه الأشياء وتقديم النموذج إلى Google بالطبع ؛ سيتعين عليهم العمل عمدا لسرقة البيانات. من الواضح أنه سيكون من الكارثية بالنسبة لهم اكتشافهم ، لذلك من المفترض أنهم لن يفعلوا ذلك. لكن من الناحية الفنية ، هم استطاع. يؤلمني دائمًا أن أرى إعلانًا عن طرف ثالث وتتبع البرامج النصية على مواقع البنوك.
نصائح أخرى
تحديث: لقد تغير المشهد إلى حد ما على مر السنين منذ أن تمت كتابة إجابتي الأصلية أدناه: يتم الآن تقديم البرامج النصية عمومًا (أو على الأقل لديها خيار الجلب) عبر HTTPs ، لذلك يجب أن تكون هذه البرامج النصية آمنة ضد الرجل التافهة في -الهجمات المتوسطة. ومع ذلك ، لا تزال تثق في مصدر البرنامج النصي بعدم القيام بأشياء ضارة في صفحتك ، حيث لا يزالون يتحكمون تمامًا في ما يحدث في صفحة الويب الخاصة بك.
الإجابة الأصلية:
نعم. أوصي بعدم وضع أي نص طرف ثالث على صفحات حساسة مضمونة بواسطة SSL. ليس من المحتمل أن تقوم Google باختطاف بيانات حساسة على صفحتك ، لكن يجب أن تأخذ في الاعتبار إمكانية أن يقوم ISP الضار باختطاف الطلب (على سبيل المثال ، باستخدام DNS) لنص Google Analytics والقيام بكل ما تريد في صفحتك.
