Google Analytics – может ли он собирать данные форм?
https://stackoverflow.com/questions/1800253
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Простой сценарий:У меня есть форма регистрации с именем пользователя, паролем, адресом электронной почты, возможно, номером кредитной карты.
Внизу страницы я реализую код Google Analytics.
когда пользователь нажимает кнопку «Отправить», он переходит на страницу без Google Analytics.
вопрос в том..Может ли GA получить данные (имя пользователя, пароль...электронная почта...и т.д.) в первой форме после ввода данных пользователем?
Говорят ли они что-нибудь об этом в своих TOS или Политике конфиденциальности?
Решение
Да.Любой <script> вы включаете на страницу полный доступ изменить взаимодействие пользователя с сайтом в соответствии с Политикой одного и того же происхождения.Google, если бы они сегодня чувствовали Зло, наверняка могли бы переписать action вашей <form> указывать на себя, или регистрировать каждое нажатие клавиши, или создавать <iframe> содержащий другую страницу вашего сайта и имитирующий нажатие пользователем любого действия на этой странице.
Не включать <script> на любой странице от лица, которому вы не полностью доверяете безопасность всего на своем сайте.Даже один скрипт отслеживания или рекламодателя на любой странице ставит под угрозу все, что находится на одном и том же имени хоста (и, возможно, на других поддоменах, если вы настраиваете window.domain чтобы разрешить выполнение сценариев между именами хостов или совместное использование файлов cookie между именами хостов).
Однако сценарий Analytics в настоящее время не поддерживает делать любые из этих вещей и отправка формы, естественно, не будут передаваться в Google;им придется сознательно действовать, чтобы украсть данные.Очевидно, что для них будет катастрофой, если их обнаружат за этим, поэтому, по-видимому, они этого не сделают.Но технически они мог.Мне всегда больно видеть стороннюю рекламу и скрипты отслеживания на сайтах банков.
Другие советы
ОБНОВЛЯТЬ: За прошедшие годы с тех пор, как был написан мой первоначальный ответ ниже, ландшафт немного изменился:сценарии теперь обычно обслуживаются (или, по крайней мере, имеют возможность получения) через HTTPS, поэтому эти сценарии должны быть защищены от тривиальных атак «человек посередине».Однако вы по-прежнему доверяете источнику сценария, который не будет делать вредоносных действий на вашей странице, поскольку он по-прежнему может полностью контролировать то, что происходит на вашей веб-странице.
Оригинальный ответ:
Да.Я не рекомендую размещать сторонние скрипты на конфиденциальных страницах, защищенных SSL.Маловероятно, что Google собирается перехватить конфиденциальные данные на вашей странице, но вы должны принять во внимание возможность того, что злонамеренный интернет-провайдер может перехватить запрос (скажем, с помощью DNS) к сценарию Google Analytics и делать все, что захочет, на вашей странице.
