Sì, Google potrebbe eseguire uno script diverso da quello previsto dal creatore del sito e non è difficile avere uno script che invia informazioni immesse. Tuttavia, la reazione su come ottenere il "busted" sarebbe molto severa tra gli sviluppatori, e probabilmente anche tra gli avvocati. Ci sono termini e condizioni, e i contratti devono essere seguiti da entrambi parti. C'è poco incentivo per Google a catturare informazioni che probabilmente hanno già, quindi questa probabilmente non è una preoccupazione realistica.
Puoi vedere tutte le attività dello script negli strumenti di sviluppo, inclusi i browser non Chrome. Suppongo che Google possa ingegnerizzare Chrome in modo da nascondere quale script è stato caricato, oltre a nascondere la richiesta http di ex-filtraggio, ma qui stiamo ottenendo un vero e proprio omicidio, e ci sono altri strumenti come wireshark che li catturerebbero. In breve, semplicemente non è possibile farlo perfettamente, né vale la pena che lo facciano in generale.
In caso di dubbio, e il dubbio è salutare, utilizza l'attributo integrity
sulle risorse CDN per impedire questo esatto scenario nei browser di supporto (~ 60% al momento della scrittura).
EDIT:
C'è una considerazione segreta sulla privacy qui. Non vengono inserite le informazioni, ma tutto ciò che Google può dire utilizzando un servizio di questo tipo:
- Chi - Quale utente sta caricando lo script (IP)
- Cosa - quale script; qualcosa per la convalida dei moduli, la visualizzazione dei video, ecc. (URL dello script)
- Quando - A che ora è stato caricato lo script
- Dove - Quale sito / sezione / pagina è l'utente su (refferer)
- Perché - Google è un pioniere nel apprendimento approfondito ;)
Se esegui autonomamente lo script, Google non ottiene nulla e quindi i tuoi utenti ottengono un po 'di privacy.