Google Analytics - Kann es Formulardaten sammeln?

Question

Einfaches Szenario: Ich habe ein Anmeldeformular, mit Benutzername, Passwort, E-Mail-Adresse, möglicherweise Kreditkartennummer.

Am Ende der Seite, implementiere ich den Google Analytics Code.
Wenn der Benutzer auf "Senden" klickt, wird eine Seite ohne Google Analytics angezeigt.

Frage ist .. kann GA die Daten erhalten (Benutzer naem, passwort..email..etc) in der ersten Form nach Benutzereingabe die Daten?

Sagen sie etwas darüber in ihren AGB oder Datenschutz?

Answer 1

Ja. Alle <script>, die Sie in die Seite einschließen, haben vollständigen Zugriff, um die Interaktion des Benutzers mit der Site aufgrund der gleichen Ursprungsrichtlinie zu ändern. Google, wenn sie sich heute schlecht fühlen, könnte die action Ihrer <form> auf sich selbst umschreiben oder jeden Tastendruck protokollieren oder eine erstellen, die eine andere Seite Ihrer Website enthält und den Benutzer simulieren, der auf eine Aktion auf dieser Seite klickt.

Nicht enthalten <script>auf einer Seite von einer Partei, die Sie nicht vollständig mit der Sicherheit von allem auf Ihrer Website vertrauen. Selbst ein einziges Tracking- oder Werbetreibenden-Skript auf einer beliebigen Seite kompromittiert alles auf dem gleichen Hostnamen (und möglicherweise anderen Subdomains, wenn Sie window.domain so einstellen, dass Cross-Hostname-Scripting erlaubt ist oder Cookies zwischen Hostnamen geteilt werden).

Allerdings führt das Analytics-Skript derzeit keine eines dieser Dinge und die Formularübermittlung wird natürlich nicht zu Google fließen; Sie müssten absichtlich handeln, um die Daten zu stehlen. Offensichtlich wäre es katastrophal, wenn sie dabei entdeckt würden, also werden sie es vermutlich nicht tun. Aber technisch können sie sein. Es schmerzt mich immer, Anzeigen- und Tracking-Skripts von Drittanbietern auf Bank-Websites zu sehen.

Answer 2

UPDATE: Die Landschaft unten geschrieben wurde ziemlich viel über die Jahre seit meiner ersten Antwort hat sich geändert: die Skripte werden nun im allgemeinen bedient (oder zumindest die Möglichkeit haben, geholt zu werden) über HTTPS, so sollten diese Skripte sei sicher gegen die trivialen Man-in-the-Middle-Attacken. Sie vertrauen jedoch weiterhin darauf, dass die Skriptquelle keine schädlichen Elemente auf Ihrer Seite ausführt, da sie immer noch vollständig kontrollieren können, was auf Ihrer Webseite passiert.

---

Ursprüngliche Antwort:

Ja. Ich empfehle, kein Skript von Drittanbietern auf sensible Seiten zu stellen, die mit SSL gesichert sind. Es ist nicht wahrscheinlich, dass Google sensible Daten auf Ihrer Seite entwendet, aber Sie sollten die Möglichkeit in Betracht ziehen, dass ein böswilliger ISP die Anfrage (z. B. mit DNS) zum Google Analytics-Skript entführen und alles auf Ihrer Seite tun kann.