Có phải là phi đạo đức để theo dõi việc sử dụng ứng dụng thông qua các cuộc gọi API REST không?


9

Tôi đang xây dựng một ứng dụng giao tiếp với trang web của mình với ASIHTTPRequest với API REST dựa trên PHP ở phía máy chủ.

Đương nhiên, trong ứng dụng của tôi, tôi có các điểm cuối khác nhau ở phía máy chủ và thường trả về dữ liệu JSON.

Có phải là phi đạo đức khi đăng nhập quầy trên số lần mỗi điểm cuối bị tấn công không?

Tôi muốn nắm bắt cách ứng dụng được sử dụng để ghi lại điểm cuối bị tấn công, tác nhân người dùng, thời gian trong ngày, có thể là IP của họ (để truy cập nhóm, v.v.).

Tôi có nên xin phép để làm điều này?

Câu trả lời:


7

Nó phải nằm trong các điều khoản và điều kiện của bạn, nhưng bạn không cần phải thông báo cho người dùng. Về mặt kỹ thuật, đây giống như các tệp nhật ký máy chủ HTTP truyền thống và chạy các số liệu thống kê chống lại chúng.

Tuy nhiên, tôi sẽ đảm bảo rằng không thể xác định một người dùng cá nhân từ dữ liệu vì điều đó có thể vi phạm luật riêng tư địa phương hoặc quốc tế. Họ có thể chọn tham gia nếu họ muốn.


3

Phần dữ liệu nghi vấn duy nhất mà bạn đang theo dõi là địa chỉ IP. Phần còn lại là khá chung chung. Bất kỳ trang web nào triển khai Google Analytics đều theo dõi khá nhiều điều tương tự ... mà không có cảnh báo.

Tuy nhiên, nếu bạn muốn theo dõi địa chỉ IP (hoặc bất cứ điều gì khác có thể khiến người dùng nhận dạng cá nhân), tuy nhiên, bạn nên xin phép trước khi làm như vậy.


Tôi đã đăng câu hỏi tiếp theo liên quan đến thông tin IP: stackoverflow.com/questions/7934312/iêu
barfoon

2
Hơn nữa - nếu tôi băm địa chỉ IP thì sao? Bằng cách đó, tôi không thể lấy lại IP, nhưng tôi vẫn có thể truy cập nhóm.
barfoon

@barfoon: trên quan điểm kỹ thuật, chỉ có 2 ^ 32 địa chỉ IPv4, vì vậy việc băm chúng không nhất thiết là không thể đảo ngược ngay cả với muối. Không thể xuyên thủng hơn là gán mã thông báo được tạo ngẫu nhiên cho từng địa chỉ IP, duy trì bảng tra cứu trong một khoảng thời gian (để bạn có thể nhóm các yêu cầu bằng mã thông báo để phân tích), sau đó xóa bảng tra cứu để hủy liên kết giữa mã thông báo và thông tin nhận dạng cá nhân. Tất nhiên, điều này có nghĩa là bạn chỉ có thể nhóm theo IP trong một khoảng thời gian giới hạn, một khi đã xóa cùng một địa chỉ IP đó sẽ nhận được mã thông báo khác trong lần truy cập tiếp theo.
Steve Jessop

0

Không có gì sai với theo dõi phía máy chủ truy cập vào trang web của riêng bạn. Đừng theo dõi những gì khách hàng có thể làm mà không liên quan đến trang web của bạn .

Không có gì đáng nghi ngờ về việc đăng nhập địa chỉ IP. Họ không thể được giải quyết cho một cá nhân mà không cần sự trợ giúp từ cơ quan thực thi pháp luật (hoặc một số cách khác để khiến ISP của họ tuân thủ). Trên thực tế, chúng rất cần thiết nếu bạn từng bị khai thác và muốn nộp phí.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.