it-swarm.com.de

Ist Google Analytics Tracking tatsächlich sicher für Seiten mit vertraulichen Informationen?

Wenn Sie Google Analytics aktivieren, werden Sie aufgefordert, auf jeder Seite, die Sie verfolgen möchten, ein JS-Snippet einzubetten. Das ist gerecht genug.

Aber wenn Sie diesen Code hinzufügen, geben Sie Google die Möglichkeit, den Inhalt auf jeder einzelnen Seite, auf die der Code geladen wird, zu kratzen? Vermutlich, indem Sie Google Zugriff gewähren, um eine von ihnen kontrollierte JS-Datei auszuführen, könnte diese JS-Datei bearbeitet werden, um alles im DOM zu stehlen?

Ich schlage nicht vor, dass Google dies tatsächlich tut, aber ist es theoretisch ein Risiko?

10
Max Woolf

Jedes Skript eines Drittanbieters kann jede Seite in dieselbe Domain laden, sodass das Risiko besteht.

Wenn Sie Analysen auf vertraulichen Seiten wirklich nachverfolgen müssen, sollten Sie dies serverseitig tun und sicherstellen, dass ein auf einer anderen Seite geladenes Analyse-Snippet die vertrauliche Seite nicht laden und deren Inhalt nicht lesen kann (z. B. über AJAX).

5
Benoit Esnard

Vielleicht zu spät zur Party, aber ich glaube, das braucht eine tiefere Diskussion.

Zuallererst ja. Durch das Einbetten von Code von Drittanbietern in Ihre Website erhalten Drittanbieter viel Macht über Ihre Seiten. Dieser Code kann jedoch von jedem problemlos angezeigt werden, unabhängig davon, ob Sie oder die Benutzer in den meisten Browsern. Das heißt, wenn es tatsächlich schädlichen Code gäbe, würden diese Unternehmen das Risiko eingehen, entlarvt zu werden (obwohl sie nur Einzelpersonen ansprechen könnten, um die Wahrscheinlichkeit, erwischt zu werden, drastisch zu verringern). Es ist daher unwahrscheinlich, dass ein größeres Unternehmen dies tun würde. Sie stellen diesen Unternehmen jedoch immer noch große Datenmengen zur Verfügung, insbesondere wenn es um Analyselösungen geht.

Wenn Sie sich jedoch Sorgen machen, weil Sie möglicherweise mit vertraulichen Daten umgehen, können Sie eine selbst gehostete Open-Source-Tracking-Lösung wie Matomo verwenden. Mit Matomo werden alle Codes und Daten auf Ihrem eigenen Server gehostet und stehen somit unter Ihrer Kontrolle.

1
Peter Harmann

Zusätzlich zu dem impliziten Vertrauen, das Sie Google, den Servern von Google, den Entwicklern von Google und anderen transitiven Parteien gewähren, teilen Sie ihnen ALLE Ihre URLs mit.

Hoffentlich sollte dies keine Rolle spielen, wenn Ihre URL vertrauliche Informationen enthält - z. Token, Schlüssel, IDs usw. - diese werden angezeigt.

(Wenn Ihre URLs vertrauliche Daten enthalten, haben Sie natürlich andere Probleme und stellen diese Informationen wahrscheinlich an anderer Stelle zur Verfügung. Dies bedeutet jedoch, dass Sie Ihre Gefährdung erhöhen.)

1
AviD