簡單場景: 我有一個註冊表單,包含用戶名,密碼,電子郵件地址,可能是信用卡號。谷歌分析 - 它可以收集表格數據嗎?
在頁面底部,我實現了Google Analytics代碼。
當用戶點擊提交,它會轉到一個頁面,沒有谷歌分析。
問題是.. GA可以在用戶輸入數據後以第一種形式獲取數據(用戶naem,password..email..etc)嗎?
他們是否在TOS或隱私政策中對此有任何說明?
簡單場景: 我有一個註冊表單,包含用戶名,密碼,電子郵件地址,可能是信用卡號。谷歌分析 - 它可以收集表格數據嗎?
在頁面底部,我實現了Google Analytics代碼。
當用戶點擊提交,它會轉到一個頁面,沒有谷歌分析。
問題是.. GA可以在用戶輸入數據後以第一種形式獲取數據(用戶naem,password..email..etc)嗎?
他們是否在TOS或隱私政策中對此有任何說明?
是的。您在該頁面中包含的任何<script>
都有完整訪問權限,以改變用戶與該站點之間由於同源策略而發生的交互。谷歌如果今天感覺到邪惡,肯定可以重寫您的<form>
的action
指向他們自己或記錄每個按鍵,或創建一個包含您的網站上的另一個頁面,並模擬用戶點擊該頁面中的任何操作。
請勿在任何頁面上包含<script>
任何頁面來自您完全不信任的一方,並且您的網站上的所有內容都是安全的。即使任何頁面上的單個跟蹤或廣告客戶腳本都會危害同一主機名上的所有內容(如果您將window.domain
設置爲允許跨主機名腳本,或在主機名之間共享cookie),也可能影響其他子域。
但是,分析腳本目前不會做任何這些事情和表單提交將不會流向谷歌當然;他們將不得不故意採取行動竊取數據。很明顯,如果發現這樣做會是災難性的,所以他們可能不會這樣做。但從技術上講,他們可能是。在銀行網站上看到第三方廣告和跟蹤腳本總是讓我感到痛苦。
UPDATE:,因爲我下面寫原來的答案的格局已經改變了不少過去幾年:現在的腳本一般都提供(或至少要獲取的選項)通過HTTPS,所以這些腳本應要安全抵禦微不足道的中間人攻擊。但是,您仍然相信腳本源不會在您的網頁中執行惡意內容,因爲他們仍然可以完全控制您的網頁上發生的情況。
原來的答覆:
是。我建議不要將任何第三方腳本放在由SSL保護的敏感頁面上。 Google不太可能劫持頁面上的敏感數據,但您應該考慮到惡意ISP可能會劫持對Google Analytics腳本的請求(例如使用DNS)並在頁面上執行任何想要的操作。
我們可以談談嗎,我對此有些懷疑。 – 2017-12-17 02:49:33
@SurajJain在GA獲得HTTPS源腳本之前,答案已經差不多十年了。我更新了答案。感謝您指出了這一點。 – 2017-12-18 06:28:06
我對某些事情有些懷疑,如果你能清除它們,對我來說真的很有幫助,我們可以聊天嗎? – 2017-12-18 07:42:35
我認爲他在問他們是否這樣做,而不是他是否可以接受。 – user103219 2009-11-25 22:06:58
「他們在TOS或隱私政策中對此有何評論?」你能不能簡單**閱讀**並自己找到答案? – 2009-11-25 22:09:01