¿No es ético rastrear el uso de la aplicación a través de llamadas API REST?

9

Estoy creando una aplicación que se comunica con mi sitio web con ASIHTTPRequest a una API REST basada en PHP en el lado del servidor.

Naturalmente, en mi aplicación tengo diferentes puntos finales en el lado del servidor, y generalmente devuelvo datos JSON.

¿No es ético registrar contadores en cuántas veces se golpeó cada punto final?

Me gustaría capturar cómo se usó la aplicación para capturar el punto final afectado, el agente de usuario, la hora del día, posiblemente su IP (para visitas grupales, etc.).

¿Debo pedir permiso para hacer esto?

barfoon
fuente

Respuestas:

7

Debería estar en sus términos y condiciones, pero no debería tener que informar al usuario. Técnicamente, esto es lo mismo que los archivos de registro del servidor HTTP tradicional y las estadísticas de ejecución en su contra.

Sin embargo, me aseguraría de que no sea posible identificar a un usuario individual a partir de los datos, ya que eso puede violar las leyes de privacidad locales o internacionales. Podrían optar por eso si lo desean.

Eliminado
fuente
3

El único dato cuestionable que está rastreando es la dirección IP. El resto es bastante genérico. Cualquier sitio que implemente Google Analytics rastrea más o menos lo mismo ... sin previo aviso.

Sin embargo, si desea realizar un seguimiento de la dirección IP (o cualquier otra cosa que pueda hacer que el usuario sea personalmente identificable), debe obtener permiso antes de hacerlo.

Justin Niessner
fuente
He publicado una pregunta de seguimiento relacionada con la información de IP: stackoverflow.com/questions/7934312/…
barfoon
2
Además de esto, ¿qué pasa si hehizo la dirección IP? De esa manera no pude recuperar la IP, pero aún podía agrupar visitas.
barfoon
@barfoon: en un punto técnico, solo hay 2 ^ 32 direcciones IPv4, por lo que el hash no es necesariamente irreversible incluso con sal. Más impenetrable sería asignar un token generado aleatoriamente a cada dirección IP, mantener una tabla de búsqueda durante un período de tiempo (para que pueda agrupar las solicitudes por token para el análisis) y luego eliminar la tabla de búsqueda para destruir la asociación entre token y la información de identificación personal. Por supuesto, esto significa que solo puede agrupar por IP durante un período limitado, una vez eliminada, esa misma dirección IP obtendrá un token diferente la próxima visita.
Steve Jessop