Google Analytics - peut-il collecter des données de formulaire?
https://stackoverflow.com/questions/1800253
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Scénario simple: J'ai un formulaire d'inscription, avec nom d'utilisateur, mot de passe, adresse email, peut être un numéro de carte de crédit.
Au bas de la page, j'implémente le code Google Analytics.
Lorsque l'utilisateur clique sur Soumettre, il affiche une page sans Google Analytics.
question est .. GA peut-il obtenir les données (nom d'utilisateur, mot de passe..email..etc) dans le premier formulaire après la saisie des données par l'utilisateur?
En parlent-ils dans leur TOS ou leur politique de confidentialité?
La solution
Oui. Tout <script> que vous incluez dans la page dispose d'un accès complet permettant de modifier l'interaction de l'utilisateur avec le site en raison de la stratégie d'origine identique. Si, aujourd’hui, ils se sentaient mal, ils pourraient certainement réécrire le action de votre <form> pour se désigner eux-mêmes, ou consigner chaque frappe au clavier, ou créer un <iframe> contenant une autre page sur votre site et simuler le clic de l'utilisateur action dans cette page.
N'incluez pas window.domain sur les pages d'une partie en laquelle vous ne faites pas complètement confiance avec la sécurité de tout ce qui se trouve sur votre site. Même un seul script de suivi ou un seul script d'annonceur sur une page compromet tout ce qui se trouve sur le même nom d'hôte (et peut-être d'autres sous-domaines si vous configurez <=> pour autoriser la création de scripts entre noms d'hôte ou le partage de cookies entre les noms d'hôte).
Toutefois, le script Analytics ne pas pour l'instant et la soumission du formulaire ne sera pas automatiquement transmise à Google. ils devraient délibérément agir pour voler les données. Clairement, il serait désastreux pour eux d'être découverts en train de le faire, alors ils ne le feront probablement pas. Mais techniquement, ils pourraient . Cela me fait toujours mal de voir des annonces tierces et des scripts de suivi sur les sites bancaires.
Autres conseils
UPDATE: Le paysage a beaucoup changé au fil des ans depuis que ma réponse originale a été écrite ci-dessous: les scripts sont maintenant généralement servis (ou au moins ont la possibilité d'être récupérés) via HTTPS, ces scripts doivent donc être sécurisés contre les attaques insignifiantes de type man-in-the-middle. Cependant, vous faites toujours confiance à la source de script pour ne pas créer de contenu malveillant dans votre page, car elle contrôle toujours parfaitement ce qui se passe sur votre page Web.
Réponse originale:
Oui. Je déconseille de placer un script tiers sur des pages sensibles sécurisées par SSL. Il est peu probable que Google pirate des données sensibles sur votre page, mais vous devez tenir compte de la possibilité qu'un fournisseur de services Internet malveillant puisse pirater la requête (par exemple, à l'aide de DNS) vers un script Google Analytics et faire ce qu'il souhaite sur votre page.
