Rischi per la privacy di inserire informazioni di contatto in moduli che utilizzano le API di Google

2

Molti siti Web utilizzano ajax.googleapis.com. Alcuni lo usano anche per le forme. Poiché i moduli di riempimento spesso comportano l'inserimento di informazioni personali, mi chiedo se vi sia il rischio che tali informazioni siano leggibili su Google.

Ad esempio, quando si ordina un prodotto online, devo inserire un indirizzo di spedizione e altre informazioni di contatto. Google ha ora il mio indirizzo?

Naturalmente spero che tutto questo venga implementato come javascript caricato dai server di Google una volta, senza ulteriori interazioni con Google. Ad esempio, una volta caricato, mi auguro che il codice venga eseguito solo localmente nel mio browser e invii solo i dati inseriti al proprietario del sito web, non a Google.

Domanda correlata, ma dal punto di vista di un designer di siti web: Rischio di privacy nell'uso delle API di Google

    
posta tjalling 07.04.2017 - 08:24
fonte

1 risposta

2

Sì, Google potrebbe eseguire uno script diverso da quello previsto dal creatore del sito e non è difficile avere uno script che invia informazioni immesse. Tuttavia, la reazione su come ottenere il "busted" sarebbe molto severa tra gli sviluppatori, e probabilmente anche tra gli avvocati. Ci sono termini e condizioni, e i contratti devono essere seguiti da entrambi parti. C'è poco incentivo per Google a catturare informazioni che probabilmente hanno già, quindi questa probabilmente non è una preoccupazione realistica.

Puoi vedere tutte le attività dello script negli strumenti di sviluppo, inclusi i browser non Chrome. Suppongo che Google possa ingegnerizzare Chrome in modo da nascondere quale script è stato caricato, oltre a nascondere la richiesta http di ex-filtraggio, ma qui stiamo ottenendo un vero e proprio omicidio, e ci sono altri strumenti come wireshark che li catturerebbero. In breve, semplicemente non è possibile farlo perfettamente, né vale la pena che lo facciano in generale.

In caso di dubbio, e il dubbio è salutare, utilizza l'attributo integrity sulle risorse CDN per impedire questo esatto scenario nei browser di supporto (~ 60% al momento della scrittura).

EDIT: C'è una considerazione segreta sulla privacy qui. Non vengono inserite le informazioni, ma tutto ciò che Google può dire utilizzando un servizio di questo tipo:

  1. Chi - Quale utente sta caricando lo script (IP)
  2. Cosa - quale script; qualcosa per la convalida dei moduli, la visualizzazione dei video, ecc. (URL dello script)
  3. Quando - A che ora è stato caricato lo script
  4. Dove - Quale sito / sezione / pagina è l'utente su (refferer)
  5. Perché - Google è un pioniere nel apprendimento approfondito ;)

Se esegui autonomamente lo script, Google non ottiene nulla e quindi i tuoi utenti ottengono un po 'di privacy.

    
risposta data 07.04.2017 - 09:43
fonte

Leggi altre domande sui tag