簡単なシナリオ: ユーザー名、パスワード、電子メール アドレス、クレジット カード番号などを含むサインアップ フォームがあります。
ページの下部に、Google アナリティクス コードを実装します。
ユーザーが送信をクリックすると、Google アナリティクスのないページに移動します。
質問は..ユーザーがデータを入力した後、GAは最初のフォームでデータ(ユーザー名、パスワード..電子メール..など)を取得できますか?
彼らは、TOS またはプライバシー ポリシーでそれについて何か述べていますか?
はい。<script>ページに含めるすべてのユーザーは、Same Origin ポリシーにより、サイトとのユーザーの対話を変更するための完全なアクセス権を持っています。Google が今日悪意を感じている場合は、action自分<form>自身を指すように を書き直すか、すべてのキープレスをログに記録するか<iframe>、サイトに別のページを含むページを作成して、そのページのアクションをクリックするユーザーをシミュレートすることができます。
サイト上のすべてのセキュリティを完全に信頼していない団体の<script> ページには含めないでください。window.domain任意のページの 1 つのトラッキングまたは広告主スクリプトでさえ、同じホスト名 (ホスト名間のスクリプティングまたはホスト名間での Cookie の共有を許可するように設定している場合は、他のサブドメイン) のすべてを危険にさらします。
ただし、Analytics スクリプトは現在、これらのことを何も行っておらず、フォームの送信は当然のこととして Google に流れません。データを盗むために意図的に行動する必要があります。明らかに、彼らがそれを行っていることが発見されると悲惨なことになるため、おそらくそうはならないでしょう. しかし、技術的には可能でした。銀行のサイトでサードパーティの広告や追跡スクリプトを目にするのはいつも苦痛です。
更新:以下の私の最初の回答が書かれてから、ランドスケープは何年にもわたってかなり変化しました: 現在、スクリプトは一般的に HTTPS 経由で提供されている (または少なくとも取得するオプションがある) ため、これらのスクリプトは些細な人に対して安全である必要があります。・中間攻撃。ただし、スクリプト ソースは Web ページで何が起こるかを完全に制御できるため、スクリプト ソースがページ内で悪意のあることを行わないことを依然として信頼しています。
元の答え:
はい。SSL で保護された機密性の高いページにサードパーティのスクリプトを配置しないことをお勧めします。Google があなたのページの機密データをハイジャックする可能性は低いですが、悪意のある ISP が (たとえば DNS を使用して) Google アナリティクス スクリプトへのリクエストをハイジャックし、ページで必要なことを何でも実行できる可能性を考慮する必要があります。