通過將谷歌分析納入網站(特別是Javascript版本)是不是真的讓你完全訪問所有的cookie和網站信息? (即它可能是一個安全漏洞)。「沙盒」谷歌分析安全
這可以通過將Google放入沙盒的iFrame中來緩解嗎?或者,也許只能通過谷歌必要的信息(即瀏覽器類型,屏幕分辨率等)?
如何在不離開整個網站的情況下充分發揮Google Analytics的作用?或者可能通過我自己的服務器傳遞數據,然後將其上傳到Google?
您可以通過measurement protocol(對於啓用Universal Analytics的屬性)創建無腳本實現。這不僅避免了腳本的任何安全問題(儘管我寧願相信Google),也意味着您可以更好地控制將數據提交給Google Server的方式。
在您的網站上運行的腳本可以讀取您網站上的Cookie,是的。這些數據可以發回谷歌,是的。這就是爲什麼你不應該在cookies中存儲敏感信息的原因。即使你不使用谷歌分析,你也不應該這樣做。即使你不使用除你自己以外的任何其他代碼。瀏覽器和瀏覽器插件也可以閱讀這些內容,而且你肯定無法控制它。再次,從來沒有在Cookie中存儲敏感信息。
至於訪問.. JavaScript可以閱讀網頁上的內容「網站信息」,知道的頁面,網址等..督察任何你成爲了一個網頁上。任何不在牆後面的東西(例如登錄屏障)肯定會被搶走。但是爬行者無論如何都會看這些東西。東西後面的牆壁仍然可以自動抓取,具體取決於他們實際做些什麼來穿越這些牆壁(例如簡單的註冊/登錄屏障很容易通過)。
這也是爲什麼您不應該在您的網站內容中顯示敏感信息的原因。例如。信用卡號碼,密碼等等。這就是爲什麼幾乎每個去過的網站都有遠程敏感信息,總是顯示一個掩碼(例如* *)而不是實際值。
谷歌分析並沒有積極地做這些事情,但你是對的:沒有什麼能夠阻止他們這樣做,而且你已經賦予他們使用他們的腳本的權利。
你說得對:控制Google實際可以看到的最安全的方法是向服務器端發送請求。並且將所有內容放在不容易被抓取或刮取的障礙之後。最大的障礙是涉及不得不支付訪問費用的障礙。人們很聰明地製作機器人,使得爬蟲和機器人能夠通過各種形式和「人類」檢查等等。而且你正在爲這個計數而戰鬥一場失敗的戰鬥,但是沒有什麼能比要求某人給你更快地阻止機器人錢來訪問你的東西。當然,這也意味着你必須讓每個人都支付訪問...
無論如何..如果你是這種偏執狂的東西,爲什麼要使用GA?使用你自己託管的東西(例如Piwik)。這顯然不會解決爬蟲/機器人的問題,但它會解決GA對你的攫取問題的擔憂。
感謝您的詳細回覆。你是說從不在cookie中存儲會話ID?你會在哪裏存儲它?不會使用安全的HttpOnly cookie是否相當安全? (非常安全,因爲沒有絕對安全的東西) –
此外,通過敏感信息,我的意思是用戶的分數,電子郵件地址,圖像等不是信用卡號碼。這個定義必須被顯示,它是用戶使用服務的原因。 –
測量協議似乎有承諾,我可以通過這種方式獲得所有相同的分析數據嗎?此外,你是什麼意思「我寧願相信Google」? –
語法錯誤,我的意思是我更喜歡Google(因爲我的大部分日常工作都依賴於Google產品)。您可以使用測量協議完成所有工作(支持通過用戶IP進行地理位置最近已宣佈),但是您必須自己收集這些值並將它們作爲參數傳遞給API端點。 –