Google Analytics - pode coletar dados de formulário?
https://stackoverflow.com/questions/1800253
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Cenário simples: eu tenho um formulário de inscrição, com nome de usuário, senha, endereço de email, pode ser o número do cartão de crédito.
Na parte inferior da página, implemento o código do Google Analytics.
Quando o usuário clica em enviar, ele vai para uma página com o Google Analytics.
Pergunta é .. GA pode obter os dados (usuário Naem, senha .. email..etc) no primeiro formulário após a entrada dos dados do usuário?
Eles dizem alguma coisa sobre isso em seus TOs ou política de privacidade?
Solução
Sim. Algum <script> você inclui na página tem Acesso completo Para alterar a interação do usuário com o site devido à mesma política de origem. Google, se eles estavam se sentindo mal hoje, certamente poderia reescrever o action do seu <form> para apontar para si mesmos, ou registrar todas as teclas ou criar um <iframe> contendo outra página no seu site e simule o usuário clicando em qualquer ação nessa página.
Não inclui <script> em qualquer página De uma festa, você não confia completamente com a segurança de tudo no seu site. Mesmo um único script de rastreamento ou anunciante em qualquer página compromete tudo no mesmo nome de host (e talvez outros subdomínios se você estiver configurando window.domain para permitir scripts de nome cruzado ou compartilhar cookies entre nomes de host).
No entanto, o script de análise não atualmente Faz Qualquer uma dessas coisas e o envio do formulário não fluirão para o Google como questão; Eles teriam que agir deliberadamente para roubar os dados. Claramente, seria desastroso que eles fossem descobertos fazendo isso, então presumivelmente não o farão. Mas tecnicamente, eles poderia. Sempre me dói ver anúncios de terceiros e rastrear scripts nos sites bancários.
Outras dicas
ATUALIZAR: A paisagem mudou bastante ao longo dos anos desde que minha resposta original abaixo foi escrita: os scripts agora são geralmente servidos (ou pelo menos têm a opção de ser buscada) sobre HTTPs, para que esses scripts sejam seguros contra o man-in trivial -Os ataques-médios. No entanto, você ainda está confiando na fonte de script para não fazer coisas maliciosas na sua página, pois elas ainda conseguem controlar completamente o que acontece na sua página da web.
Resposta original:
Sim. Eu recomendo não colocar qualquer script de terceiros em páginas sensíveis garantidas pelo SSL. Não é provável que o Google sequestre dados confidenciais em sua página, mas você deve levar em consideração a possibilidade de um ISP malicioso poder seqüestrar a solicitação (digamos, usando o DNS) para o Google Analytics Script e fazer o que quiser na sua página.
