Анонимное связывание пользовательских данных с аналитикой

Question

Я хотел бы получить аналитику по нескольким визитам от зарегистрированного пользователя, если он согласился.

Но мне бы очень хотелось, чтобы только пользователь мог связать свою учетную запись с анонимной аналитической записью. Это означает, что когда пользователь вошел в систему, он может управлять аналитической информацией, хранящейся в результате их посещений, но администраторы сайта не смогут связать записи аналитики с этой учетной записью (данные аналитики и данные пользователя, конечно, хранятся отдельно).

Игнорирование неявных ссылок в аналитических данных (таких как идентифицирующие пользователя URL-адреса и т. Д.), Каков наилучший способ реализовать это? Не слишком ли опасно использовать безопасный хэш пароля пользователя и идентификатора учетной записи для идентификации аналитической информации? (администраторы сайта не будут иметь пароль пользователя, поэтому не смогут связать записи).

Answer 1

Вы оделись так, что привязка учетной записи пользователя к данным не предсказуема - но это не значит, что информация, таким образом, скрыта. Независимо от того, что пользователи будут создавать реквизиты, основываясь на ключе, который получен исключительно из их учетной записи - так что на самом деле это просто защита от неясности. Поскольку система должна иметь возможность согласовать идентификационные данные пользователя с ключом, по которому хранятся данные, поэтому для кого-либо с доступом к бэкэнду может быть получена связь - даже если только во время доступа.

Единственный способ предотвратить это - хранить данные на компьютере, к которому у этих администраторов нет доступа.