Známá „bezpečnostní“ chyba Google analytics

Roman Appeltauer — Mon, 16 Feb 2009 11:45:01 +0000

I když se dobře staráte o to, kdo má přístup k vašim statistikám, nemusí to stačit. Google Analytics má takovou jednu nepříjemnou vlastnost naplánovaných e-mailových reportů. Ty totiž chodí i poté, co uživateli odepřete přístupová práva k vašim statistikám.

Polovičaté řešení

Prakticky to jde řešit např. tím, že přístupy budete uživatelům přidělovat tak, že pro ně vždy založíte e-mail, nad kterým máte kontrolu jen vy. Poté, co budete chtít uživateli vzít přístup, se můžete přihlásit s jeho e-mailem a naplánované e-mailové reproty zkontrolovat a případně zrušit. Účet Google Analytics si můžete přepnout do jiného jazyka. Pokud např. v anglickém prostředí nastavíte pravidelný report a následně se přepnete do českého, tak se vám přehled anglických reportů nezobrazí. Pouze uvidíte záložku Naplánované e-maily. Je tedy potřeba se přepnout do jiného jazyka a report odstranit.

Tohle řešení je na nic, pokud potřebujete někomu udělit administrátorská práva. Prakticky je možné, aby si takový uživatel přidal svůj e-mail, naplánoval si na něm reporty a e-mail zase odstranil. Vy si ničeho nevšimnete a reporty vesele chodí.

A taky je to pro případné uživatele pěkně nepraktické a kvůli přístupu k vašim statistikám by se museli odhlašovat a přihlašovat. Nezbývá tedy než dané osobě či firmě věřit, a rovnou si podle tohoto kritéria vybírat ty, se kterými spolupracujete.

Zasaďte se o opravu

Google už tento problém zařadil do seznamu Known issues. Pokud vás tento (a jiný zmíněný) problém trápí, u daného issue kliknout na Let us know. Tento problém se jmenuje “Removing user with scheduled emails from account does not deactivate emails“. Teoreticky se tento problém může týkat každého z vás, kdo jste kdykoli v minulosti zřídili přístup někomu jinému.

Doufejme, že to Google opraví brzy. A hlavně, že vaše data takto nikdo nezneužije.

Napadá vás lepší dočasné řešení? (Krom toho, že nikomu přístup nedáte, jen nastavíte pravidelné reporty, které mohou potřebovat.)

Kdo má přístup k vašim statistikám

Roman Appeltauer — Fri, 14 Nov 2008 09:10:48 +0000

Zní to jako banální rada, ale ze zkušenosti vím, že podnikatelé docela často rozdávají přístup kúčtům Analytics, ale méně často je zase odebírají. To první chápu – potřebují s něčím pomoci. To druhé taky – zapomínají. Chápu, lidi jsou dneska hrozně byzy.

Zkontrolujte si to ještě dnes

Podívejte se ještě dnes do všech svých účtů Google Analytics (a jiných služeb) a zkontrolujte si, kdo má do nich přístup. Mnoho z vás tam jistě najde:

bývalé kolegy a programátorry,
zaměstnance agentur, se kterými už nespolupracujete,
kamarády a známé, od kterých jste chtěli pomoci,
bývalého inzerenta nebo obchodního partnera.

A kdo ví koho ještě.

Mějte v tom systém

Je téměř jisté, že tam najdete i spoustu e-mailových adres, o kterých ani nevíte, komu vůbec patří. I proto jsem si zvykl přidělovat přístupy výhradně na adresy, ze kterých poznám, komu patří.

Jméno firmy za zavináčem vám mnoho řekne – např. @h1.cz – a má to další výhody – v případě, že už osoba není zaměstnancem agentury, je docela pravděpodobné, že už se na váš účet nedostane.
Srozumitelný výraz před zavináčem. Např. z loginu jako pepazdepa@gmail.com dost možná nepoznáte ani vlastního kolegu a nastane problém, když bude chtít, abyste mu přidělili přístup k dalším profilům apod.

Nikdy mi to nepřišlo až tak podstatné. Až teď když spravuji účet, ke kterému má přístup čím dál víc uživatelů a ne všichni do stejných profilů, jejichž počet se taky mění.