Google Analytics: può raccogliere i dati dei moduli?
https://stackoverflow.com/questions/1800253
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Scenario semplice: Ho un modulo di iscrizione, con nome utente, password, indirizzo e-mail, potrebbe essere il numero della carta di credito.
In fondo alla pagina, implemento il codice di Google Analytics.
quando l'utente fa clic su Invia, passa a una pagina senza google analytics.
la domanda è .. GA può ottenere i dati (naem utente, password..email..etc) nel primo modulo dopo che l'utente ha inserito i dati?
Dicono qualcosa al riguardo nella loro politica sulla privacy o sulla privacy?
Soluzione
Sì. Qualsiasi <script> che includi nella pagina ha accesso completo per modificare l'interazione dell'utente con il sito a causa della stessa politica di origine. Google, se sentissero il Male oggi, potrebbe certamente riscrivere il action del tuo <form> per puntare a se stesso, o registrare ogni tasto premuto o creare un <iframe> contenente un'altra pagina sul tuo sito e simulare l'utente facendo clic su qualsiasi azione in quella pagina.
Non includere window.domain in nessuna pagina di una parte di cui non ti fidi completamente della sicurezza di tutto sul tuo sito. Anche un singolo script di tracciamento o inserzionista su qualsiasi pagina compromette tutto sullo stesso nome host (e forse altri sottodomini se si sta impostando <=> per consentire lo scripting tra nomi host incrociati o la condivisione di cookie tra nomi host).
Tuttavia, lo script di Analytics attualmente non fa nessuna di queste cose e l'invio del modulo non passerà a Google come ovvio; dovrebbero agire deliberatamente per rubare i dati. Chiaramente sarebbe disastroso per loro essere scoperti mentre lo fanno, quindi presumibilmente non lo faranno. Ma tecnicamente, potrebbero . Mi fa sempre male vedere annunci di terze parti e script di tracciamento sui siti delle banche.
Altri suggerimenti
AGGIORNAMENTO: Il panorama è cambiato un po 'nel corso degli anni da quando è stata scritta la mia risposta originale di seguito: gli script sono ora generalmente pubblicati (o almeno hanno l'opzione da recuperare) su HTTPS, quindi quegli script dovrebbero essere sicuri contro i banali attacchi man-in-the-middle. Tuttavia, stai ancora confidando nella fonte dello script di non fare cose dannose nella tua pagina, poiché continuano a controllare completamente ciò che accade sulla tua pagina web.
Risposta originale:
Sì. Sconsiglio di mettere qualsiasi script di terze parti su pagine sensibili protette da SSL. È improbabile che Google stia per dirottare i dati sensibili sulla tua pagina, ma dovresti tenere conto della possibilità che un ISP dannoso possa dirottare la richiesta (diciamo, usando DNS) allo script di Google Analytics e fare ciò che vuole sulla tua pagina.
