Est-il contraire à l'éthique de suivre l'utilisation des applications via les appels d'API REST?

9

Je crée une application qui communique avec mon site Web avec ASIHTTPRequest vers une API REST basée sur PHP côté serveur.

Naturellement, dans mon application, j'ai différents points de terminaison côté serveur et je retourne généralement des données JSON.

Est-il contraire à l'éthique de consigner des compteurs sur le nombre de fois où chaque point de terminaison a été atteint?

Je voudrais capturer la façon dont l'application a été utilisée en capturant quel point de terminaison a été atteint, l'agent utilisateur, l'heure de la journée, éventuellement leur adresse IP (pour les visites de groupe, etc.).

Dois-je demander la permission de le faire?

barfoon
la source

Réponses:

7

Cela devrait être dans vos termes et conditions, mais vous ne devriez pas avoir à en informer l'utilisateur. Techniquement, c'est la même chose que les fichiers journaux du serveur HTTP traditionnel et l'exécution de statistiques sur eux.

Je m'assurerais cependant qu'il n'est pas possible d'identifier un utilisateur individuel à partir des données car cela pourrait violer les lois locales ou internationales sur la confidentialité. Ils pourraient opter pour cela s'ils le souhaitent.

Effacé
la source
3

La seule donnée discutable que vous suivez est l'adresse IP. Le reste est assez générique. Tout site mettant en œuvre Google Analytics suit à peu près la même chose ... sans avertissement.

Si vous souhaitez suivre l'adresse IP (ou toute autre chose qui pourrait rendre l'utilisateur personnellement identifiable), vous devez obtenir une autorisation avant de le faire.

Justin Niessner
la source
J'ai posté une question de suivi concernant les informations IP: stackoverflow.com/questions/7934312/…
barfoon
2
De plus, que se passe-t-il si j'ai haché l'adresse IP? De cette façon, je ne pouvais pas récupérer l'adresse IP, mais je pouvais toujours des visites de groupe.
barfoon
@barfoon: sur un point technique, il n'y a que 2 ^ 32 adresses IPv4, donc les hacher n'est pas forcément irréversible même avec du sel. Plus impénétrable serait d'attribuer un jeton généré de manière aléatoire à chaque adresse IP, de maintenir une table de recherche pendant un certain temps (afin que vous puissiez grouper les demandes par jeton pour analyse), puis de supprimer la table de recherche pour détruire l'association entre le jeton et les informations d'identification personnelle. Bien sûr, cela signifie que vous ne pouvez regrouper par IP que sur une période limitée, une fois supprimée, cette même adresse IP obtiendra un jeton différent lors de votre prochaine visite.
Steve Jessop
0

Rien de mal avec le suivi côté serveur de l'accès à votre propre site. N'espionnez simplement pas ce que le client pourrait faire qui ne concerne pas votre site .

L'enregistrement des adresses IP n'est pas non plus discutable. Ils ne peuvent pas être résolus en tant qu'individu sans l'aide des forces de l'ordre (ou d'une autre manière pour obliger leur FAI à se conformer). En fait, ils sont essentiels si vous êtes touché par un exploit et que vous souhaitez porter plainte.

eevar
la source