Ist es unethisch, die App-Nutzung über REST-API-Aufrufe zu verfolgen?

9

Ich erstelle eine App, die mit ASIHTTPRequest mit meiner Website über eine PHP-basierte REST-API auf der Serverseite kommuniziert .

Natürlich habe ich in meiner App verschiedene Endpunkte auf der Serverseite und gebe normalerweise JSON-Daten zurück.

Ist es unethisch, Zähler zu protokollieren, wie oft jeder Endpunkt getroffen wurde?

Ich möchte erfassen, wie die App verwendet wurde, um zu erfassen, welcher Endpunkt getroffen wurde, der Benutzeragent, die Tageszeit und möglicherweise die IP-Adresse (für Gruppenbesuche usw.).

Soll ich um Erlaubnis bitten, dies zu tun?

Barfoon
quelle

Antworten:

7

Es sollte in Ihren Allgemeinen Geschäftsbedingungen sein, aber Sie sollten den Benutzer nicht informieren müssen. Technisch ist dies dasselbe wie bei herkömmlichen HTTP-Server-Protokolldateien und deren Ausführung von Statistiken.

Ich würde jedoch sicherstellen, dass es nicht möglich ist, einen einzelnen Benutzer anhand der Daten zu identifizieren, da dies möglicherweise gegen lokale oder internationale Datenschutzgesetze verstößt. Sie könnten sich dafür entscheiden, wenn sie es wünschen.

Gelöscht
quelle
3

Das einzige fragwürdige Datenelement, das Sie verfolgen, ist die IP-Adresse. Der Rest ist ziemlich allgemein. Jede Website, die Google Analytics implementiert, verfolgt so ziemlich dasselbe ... ohne Vorwarnung.

Wenn Sie jedoch die IP-Adresse verfolgen möchten (oder etwas anderes, das den Benutzer persönlich identifizierbar machen könnte), sollten Sie vorher die Erlaubnis einholen.

Justin Niessner
quelle
Ich habe eine Folgefrage zu IP-Informationen gepostet
Barfoon
2
Weiter dazu - was ist, wenn ich die IP-Adresse gehasht habe? Auf diese Weise konnte ich die IP nicht zurückerhalten, aber ich konnte trotzdem Gruppenbesuche durchführen.
Barfoon
@barfoon: In technischer Hinsicht gibt es nur 2 ^ 32 IPv4-Adressen, so dass das Hashing dieser Adressen auch mit Salt nicht unbedingt irreversibel ist. Undurchdringlicher wäre es, jeder IP-Adresse ein zufällig generiertes Token zuzuweisen, eine Nachschlagetabelle für einen bestimmten Zeitraum zu verwalten (damit Sie Anforderungen nach Token für die Analyse gruppieren können) und dann die Nachschlagetabelle zu löschen , um die Zuordnung zwischen dem zu zerstören Token und die personenbezogenen Daten. Dies bedeutet natürlich, dass Sie nur über einen begrenzten Zeitraum nach IP gruppieren können. Sobald diese IP-Adresse gelöscht wurde, wird beim nächsten Besuch ein anderes Token angezeigt.
Steve Jessop
0

An der serverseitigen Verfolgung des Zugriffs auf Ihre eigene Site ist nichts auszusetzen. Spionieren Sie nur nicht aus, was der Client möglicherweise tut, was Ihre Website nicht betrifft .

Es ist auch nicht fraglich, IP-Adressen zu protokollieren. Sie können nicht ohne Hilfe der Strafverfolgungsbehörden (oder auf andere Weise, um ihren ISP zur Einhaltung zu bewegen) an eine Person weitergegeben werden. In der Tat sind sie unerlässlich, wenn Sie jemals von einem Exploit getroffen werden und Anklage erheben möchten.

Eevar
quelle