Il monitoraggio di Google Analytics è effettivamente sicuro da utilizzare su pagine con informazioni sensibili?

8

Quando attivi Google Analytics, ti chiedono di incorporare uno snippet JS su ogni pagina che desideri monitorare. Questo è abbastanza giusto.

Ma quando aggiungi questo codice, offri a Google la possibilità di analizzare il contenuto di ogni singola pagina su cui è caricato il codice? Presumibilmente dando a Google l'accesso per eseguire un file JS che controllano, che il file JS potrebbe essere modificato per rubare tutto nel DOM?

Non sto suggerendo che Google lo faccia effettivamente, ma in teoria è un rischio?

    
posta Max Woolf 05.03.2018 - 16:54
fonte

3 risposte

5

Ogni script di terze parti ha la possibilità di caricare ogni pagina sullo stesso dominio in modo che il rischio esista.

Se hai davvero bisogno di tracciare l'analisi su pagine sensibili, considera di farlo lato server, e assicurati di controllare che uno snippet di analisi caricato su un'altra pagina non possa caricare la pagina sensibile e leggerne il contenuto (tramite AJAX, ad esempio ).

    
risposta data 05.03.2018 - 17:16
fonte
1

Oltre alla fiducia implicita che concedi a Google, ai server di Google, agli sviluppatori di Google e ad altre parti transitive, condividi anche con loro TUTTI i tuoi URL.

Speriamo che ciò non dovrebbe avere importanza, tuttavia se hai qualche informazione sensibile nel tuo URL - ad es. token, chiavi, id, ecc. - questi saranno esposti.

(Naturalmente se hai dati sensibili nei tuoi URL hai altri problemi e probabilmente esponi queste informazioni altrove - ma vuol dire che stai aumentando la tua esposizione.)

    
risposta data 05.03.2018 - 17:28
fonte
0

Forse in ritardo per la festa, ma credo che questo abbia bisogno di una discussione più profonda.

Prima di tutto, sì. L'incorporamento del codice di terze parti sul tuo sito offre una grande quantità di potere sulle tue pagine a terze parti. Tuttavia, questo codice può essere facilmente visualizzato da chiunque, sia tu che gli utenti nella maggior parte dei browser. Ciò significa che se esistesse effettivamente un codice dannoso, queste aziende rischierebbero di essere esposte (sebbene potessero rivolgersi solo a individui, per ridurre drasticamente le possibilità di essere scoperti). È quindi improbabile che una società più grande lo farebbe. Tuttavia stai fornendo ancora grandi quantità di dati a queste aziende, specialmente quando si tratta di soluzioni di analisi.

Se sei preoccupato, forse, perché gestisci dati sensibili, puoi utilizzare la soluzione di monitoraggio open source self-hosted, come Matomo . Con Matomo, tutto il codice e i dati sono ospitati sul tuo server, quindi sotto il tuo controllo.

    
risposta data 26.04.2018 - 23:51
fonte

Leggi altre domande sui tag