Google Analytics: ¿puede recopilar datos de formulario?
https://stackoverflow.com/questions/1800253
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Escenario simple: Tengo un formulario de registro, con nombre de usuario, contraseña, dirección de correo electrónico, puede ser el número de tarjeta de crédito.
Al final de la página, implemento el código de Google Analytics.
cuando el usuario hace clic en enviar, se dirige a una página sin Google Analytics.
la pregunta es ... ¿Puede GA obtener los datos (nombre de usuario, contraseña, correo electrónico, etc.) en el primer formulario después de que el usuario ingrese los datos?
¿Dicen algo al respecto en sus TOS o política de privacidad?
Solución
Sí Cualquier <script> que incluya en la página tiene acceso completo para alterar la interacción del usuario con el sitio debido a la Política del mismo origen. Google, si se sintieran mal hoy, ciertamente podría reescribir el action de su <form> para apuntar a sí mismos, o registrar cada pulsación de tecla, o crear un <iframe> que contenga otra página en su sitio y simular al usuario haciendo clic en cualquier acción en esa página.
No incluya window.domain en ninguna página de una parte en la que no confíe por completo con la seguridad de todo en su sitio. Incluso un solo script de seguimiento o de anunciante en cualquier página compromete todo en el mismo nombre de host (y tal vez otros subdominios si está configurando <=> para permitir secuencias de comandos de nombre de host cruzado o compartir cookies entre nombres de host).
Sin embargo, la secuencia de comandos de Analytics no hace actualmente ninguna de estas cosas y el envío del formulario no fluirá a Google de forma habitual; tendrían que actuar deliberadamente para robar los datos. Claramente, sería desastroso para ellos ser descubiertos haciéndolo, por lo que presumiblemente no lo harán. Pero técnicamente, ellos podrían . Siempre me duele ver anuncios de terceros y secuencias de comandos de seguimiento en sitios bancarios.
Otros consejos
ACTUALIZACIÓN: El panorama ha cambiado bastante a lo largo de los años desde que se escribió mi respuesta original a continuación: los scripts ahora se sirven generalmente (o al menos tienen la opción de ser recuperados) a través de HTTPS, entonces esos guiones deben ser seguros contra los triviales ataques de hombre en el medio. Sin embargo, aún confía en la fuente del script para que no haga cosas maliciosas en su página, ya que aún pueden controlar completamente lo que sucede en su página web.
Respuesta original:
Sí Recomiendo no colocar ningún script de terceros en páginas confidenciales protegidas por SSL. No es probable que Google vaya a secuestrar datos confidenciales en su página, pero debe tener en cuenta la posibilidad de que un ISP malintencionado pueda secuestrar la solicitud (por ejemplo, usando DNS) al script de Google Analytics y hacer lo que quiera en su página. / p>
