¿El seguimiento de Google Analytics es realmente seguro de usar en páginas con información confidencial?

7

Al habilitar Google Analytics, le piden que incruste un fragmento de código JS en cada página que desee rastrear. Eso es lo suficientemente justo.

¿Pero cuando agrega este código, le está dando a Google la capacidad de raspar el contenido en cada página en la que se carga el código? Presumiblemente, al dar acceso a Google para ejecutar un archivo JS que ellos controlan, ¿ese archivo JS podría editarse para robar todo en el DOM?

No estoy sugiriendo que Google realmente haga esto, pero ¿es teóricamente un riesgo?

    
pregunta Max Woolf 05.03.2018 - 16:54
fuente

3 respuestas

4

Cada secuencia de comandos de terceros tiene la capacidad de cargar todas las páginas en el mismo dominio para que exista el riesgo.

Si realmente necesita realizar un seguimiento de análisis en páginas confidenciales, considere hacerlo del lado del servidor y asegúrese de verificar que un fragmento de análisis cargado en otra página no pueda cargar la página sensible y leer su contenido (a través de AJAX, por ejemplo) ).

    
respondido por el Benoit Esnard 05.03.2018 - 17:16
fuente
1

Además de la confianza implícita que le otorga a Google, los servidores de Google, los desarrolladores de Google y otras partes transitivas, también comparte con ellos TODAS sus URL.

Esperemos que esto no importe, sin embargo, si tiene información confidencial en su URL, por ejemplo. tokens, claves, ids, etc. - estos serán expuestos.

(Por supuesto, si tiene datos confidenciales en sus URL, tiene otros problemas y es probable que exponga esta información en otro lugar, pero eso significa que está aumentando su exposición).

    
respondido por el AviD 05.03.2018 - 17:28
fuente
0

Tal vez tarde a la fiesta, pero creo que esto necesita una discusión más profunda.

En primer lugar, sí. La incorporación de código de terceros en su sitio le otorga una gran cantidad de poder sobre sus páginas a terceros. Sin embargo, este código puede ser visto fácilmente por cualquier persona, ya sea usted o los usuarios en la mayoría de los navegadores. Esto significa que, si en realidad hubiera un código dañino, estas compañías se arriesgarían a exponerse (aunque solo podrían apuntar a individuos, para reducir drásticamente las posibilidades de ser atrapados). Por lo tanto, es poco probable que una empresa más grande haga esto. Sin embargo, sigue proporcionando una gran cantidad de datos a estas compañías, especialmente cuando se trata de soluciones de análisis.

Sin embargo, si está preocupado, quizás debido a que maneja datos confidenciales, puede usar una solución de seguimiento de código abierto auto hospedada, como Matomo . Con Matomo, todo el código y los datos se alojan en su propio servidor, por lo tanto, bajo su control.

    
respondido por el Peter Harmann 26.04.2018 - 23:51
fuente

Lea otras preguntas en las etiquetas