5
簡單場景: 我有一個註冊表單,包含用戶名,密碼,電子郵件地址,可能是信用卡號。谷歌分析 - 它可以收集表格數據嗎?
在頁面底部,我實現了Google Analytics代碼。
當用戶點擊提交,它會轉到一個頁面,沒有谷歌分析。
問題是.. GA可以在用戶輸入數據後以第一種形式獲取數據(用戶naem,password..email..etc)嗎?
他們是否在TOS或隱私政策中對此有任何說明?
A
回答
17
是的。您在該頁面中包含的任何<script>都有完整訪問權限,以改變用戶與該站點之間由於同源策略而發生的交互。谷歌如果今天感覺到邪惡,肯定可以重寫您的<form>的action指向他們自己或記錄每個按鍵,或創建一個包含您的網站上的另一個頁面,並模擬用戶點擊該頁面中的任何操作。
請勿在任何頁面上包含<script>任何頁面來自您完全不信任的一方,並且您的網站上的所有內容都是安全的。即使任何頁面上的單個跟蹤或廣告客戶腳本都會危害同一主機名上的所有內容(如果您將window.domain設置爲允許跨主機名腳本,或在主機名之間共享cookie),也可能影響其他子域。
但是,分析腳本目前不會做任何這些事情和表單提交將不會流向谷歌當然;他們將不得不故意採取行動竊取數據。很明顯,如果發現這樣做會是災難性的,所以他們可能不會這樣做。但從技術上講,他們可能是。在銀行網站上看到第三方廣告和跟蹤腳本總是讓我感到痛苦。
2
UPDATE:,因爲我下面寫原來的答案的格局已經改變了不少過去幾年:現在的腳本一般都提供(或至少要獲取的選項)通過HTTPS,所以這些腳本應要安全抵禦微不足道的中間人攻擊。但是,您仍然相信腳本源不會在您的網頁中執行惡意內容,因爲他們仍然可以完全控制您的網頁上發生的情況。
原來的答覆:
是。我建議不要將任何第三方腳本放在由SSL保護的敏感頁面上。 Google不太可能劫持頁面上的敏感數據,但您應該考慮到惡意ISP可能會劫持對Google Analytics腳本的請求(例如使用DNS)並在頁面上執行任何想要的操作。
+0
我們可以談談嗎,我對此有些懷疑。 – 2017-12-17 02:49:33
+0
@SurajJain在GA獲得HTTPS源腳本之前,答案已經差不多十年了。我更新了答案。感謝您指出了這一點。 – 2017-12-18 06:28:06
+0
我對某些事情有些懷疑,如果你能清除它們,對我來說真的很有幫助,我們可以聊天嗎? – 2017-12-18 07:42:35
相關問題
- 1. 關於谷歌分析收集數據
- 2. 谷歌分析不收集來自.asp的數據頁面
- 3. 如何收集谷歌分析的計時數據
- 4. 我可以使用New Relic進行谷歌風格分析嗎?
- 5. 谷歌分析數據庫
- 6. 谷歌分析谷歌地圖API
- 7. 谷歌分析可以容納多少財產以及高級谷歌分析?
- 8. 谷歌Android分析集成
- 9. 谷歌通用分析表格提交
- 10. 從谷歌結果流收集數據
- 11. 骨幹收集數據谷歌地圖
- 12. javascript谷歌分析API
- 13. 谷歌分析捕獲22
- 14. 谷歌分析 - 事件與綜合瀏覽量,你可以比較它們嗎?
- 15. 谷歌分析可以用於舊的網絡應用嗎?
- 16. 我可以從服務器端調用谷歌分析嗎?
- 17. 我可以在vkontakte上使用谷歌分析嗎?
- 18. 我可以在谷歌分析中濾除我的流量嗎?
- 19. 我可以讓我的谷歌分析結果公開嗎?
- 20. 我可以使用谷歌分析存儲用戶ID嗎?
- 21. 谷歌分析 - 我可以將腳本放在頁腳中嗎?
- 22. 如何從谷歌分析
- 23. 谷歌分析
- 24. 使用谷歌分析收集數據併發送到您的服務器
- 25. 谷歌分析
- 26. 谷歌分析
- 27. 谷歌分析接收數據與轉向導致NS_BINDING_ABORTED
- 28. 您可以調整谷歌圖表表格的列寬嗎?
- 29. 谷歌分析API - 表ID
- 30. 我可以分享YouTube數據集嗎?
我認爲他在問他們是否這樣做,而不是他是否可以接受。 – user103219 2009-11-25 22:06:58
「他們在TOS或隱私政策中對此有何評論?」你能不能簡單**閱讀**並自己找到答案? – 2009-11-25 22:09:01