Czy śledzenie użycia aplikacji za pomocą wywołań interfejsu API REST jest nieetyczne?

9

Tworzę aplikację, która komunikuje się z moją witryną za pomocą ASIHTTPRequest z opartym na PHP interfejsem API REST po stronie serwera.

Oczywiście w mojej aplikacji mam różne punkty końcowe po stronie serwera i zwykle zwracam dane JSON.

Czy rejestrowanie liczników, ile razy każdy punkt końcowy został trafiony, jest nieetyczne?

Chciałbym uchwycić, w jaki sposób aplikacja została użyta, przechwytując punkt końcowy, który został trafiony, agent użytkownika, porę dnia, ewentualnie ich adres IP (wizyty grupowe itp.).

Czy powinienem poprosić o pozwolenie?

barfoon
źródło

Odpowiedzi:

7

Powinno tak być w twoich warunkach, ale nie powinieneś informować użytkownika. Technicznie jest to to samo, co tradycyjne pliki dziennika serwera HTTP i uruchamianie statystyk w stosunku do nich.

Chciałbym jednak upewnić się, że nie można zidentyfikować konkretnego użytkownika na podstawie danych, ponieważ może to naruszać lokalne lub międzynarodowe przepisy dotyczące prywatności. Mogą to zrobić, jeśli chcą.

Usunięte
źródło
3

Jedynym wątpliwym elementem, który śledzisz, jest adres IP. Reszta jest dość ogólna. Każda witryna implementująca Google Analytics śledzi prawie to samo ... bez ostrzeżenia.

Jeśli jednak chcesz śledzić adres IP (lub cokolwiek innego, co mogłoby umożliwić osobistą identyfikację użytkownika), powinieneś uzyskać pozwolenie, zanim to zrobisz.

Justin Niessner
źródło
Wysłałem
2
Ponadto - co zrobić, jeśli mam zaszyfrowany adres IP? W ten sposób nie mogłem odzyskać adresu IP, ale nadal mogłem odwiedzać grupy.
barfoon
@barfoon: z technicznego punktu widzenia istnieją tylko 2 ^ 32 adresy IPv4, więc mieszanie ich niekoniecznie jest nieodwracalne nawet przy użyciu soli. Bardziej nieprzenikalne byłoby przypisanie losowo generowanego tokena do każdego adresu IP, utrzymanie tabeli odnośników przez pewien czas (aby można było grupować żądania według tokenu do analizy), a następnie usunięcie tabeli odnośników, aby zniszczyć powiązanie między token i dane osobowe. Oczywiście oznacza to, że możesz grupować według adresów IP tylko przez ograniczony czas, po usunięciu ten sam adres IP otrzyma inny token przy następnej wizycie.
Steve Jessop,
0

Nie ma nic złego w śledzeniu dostępu do własnej witryny po stronie serwera. Tylko nie szpieguj, co robi klient, co nie dotyczy Twojej witryny .

Zapisywanie adresów IP również nie budzi wątpliwości. Nie można ich rozwiązać wobec osoby fizycznej bez pomocy organów ścigania (lub w inny sposób, aby ich usługodawca internetowy przestrzegał przepisów). W rzeczywistości są one niezbędne, jeśli kiedykolwiek zostaniesz wykorzystany przez exploita i chcesz wnieść opłaty.

eevar
źródło