Неэтично ли отслеживать использование приложения через вызовы REST API?

9

Я создаю приложение, которое связывается с моим веб-сайтом с помощью ASIHTTPRequest для API REST на основе PHP на стороне сервера.

Естественно, в моем приложении у меня разные конечные точки на стороне сервера, и обычно они возвращают данные JSON.

Неэтично ли регистрировать счетчики того, сколько раз была достигнута каждая конечная точка?

Я хотел бы понять, как использовалось приложение, фиксируя, какая конечная точка была поражена, пользовательский агент, время суток, возможно, их IP (для групповых посещений и т. Д.).

Должен ли я попросить разрешения сделать это?

barfoon
источник

Ответы:

7

Это должно быть в ваших условиях, но вы не должны информировать пользователя. Технически это то же самое, что и традиционные файлы журнала HTTP-сервера и статистика по ним.

Однако я хотел бы убедиться, что невозможно идентифицировать отдельного пользователя по данным, поскольку это может нарушать местные или международные законы о конфиденциальности. Они могут сделать это, если захотят.

Исключен
источник
3

Единственный сомнительный фрагмент данных, который вы отслеживаете, - это IP-адрес. Остальное довольно общее. Любой сайт, использующий Google Analytics, отслеживает практически одно и то же ... без предупреждения.

Однако если вы хотите отслеживать IP-адрес (или что-либо еще, что может сделать личность пользователя идентифицируемой), прежде чем сделать это, вы должны получить разрешение.

Джастин Нисснер
источник
Я разместил дополнительный вопрос, касающийся информации об IP: stackoverflow.com/questions/7934312/…
barfoon
2
В дополнение к этому - что если я хэширую IP-адрес? Таким образом, я не мог вернуть IP, но я все еще мог группировать посещения.
Барфун
@ barfoon: с технической точки зрения, есть только 2 ^ 32 IPv4-адреса, поэтому их хеширование не обязательно необратимо даже с солью. Более непростым было бы назначить случайно сгенерированный токен каждому IP-адресу, поддерживать таблицу поиска в течение определенного периода времени (чтобы можно было группировать запросы по токену для анализа), а затем удалять таблицу поиска, чтобы разрушить связь между токен и личная информация. Конечно, это означает, что вы можете группировать по IP в течение ограниченного периода времени, после удаления того же IP-адреса вы получите другой токен при следующем посещении.
Стив Джессоп
0

Нет ничего плохого в отслеживании доступа к вашему сайту на стороне сервера. Только не шпионите за тем, что может делать клиент, это не касается вашего сайта .

Нет ничего сомнительного в регистрации IP-адресов. Они не могут быть разрешены отдельным лицам без помощи правоохранительных органов (или каким-либо другим способом заставить своего интернет-провайдера соблюдать). На самом деле, они очень важны, если вы когда-либо подвергались атаке и хотите предъявить обвинение.

eevar
источник