Клиенты GoDaddy недовольны JS-инъекциями со стороны хостера

в 12:28, , рубрики: godaddy, JS-инъекции, информационная безопасность, хостинг

Клиенты GoDaddy недовольны JS-инъекциями со стороны хостера - 1

Один из клиентов GoDaddy обратил внимание, что хостер внедряет в HTML-страницы своих пользователей посторонний JavaScript.

На админской стороне никаких скриптов не было, а со стороны клиента в коде появился <script></script> с комментарием от хостера.

<script>'undefined'=== typeof _trfq || (window._trfq = []);'undefined'=== typeof _trfd && (window._trfd=[]),_trfd.push({'tccl.baseHost':'secureserver.net'}),_trfd.push({'ap':'cpsh'},{'server':'xxxxxxxx0000'}) // Monitoring performance to make your website faster. If you want to opt-out, please contact web hosting support.</script><script src='https://img1.wsimg.com/tcc/tcc_l.combined.1.0.6.min.js'></script>

Конечно, комментарий объясняет поведение скрипта, который предназначен для мониторинга производительности. Но пользователь всё равно не мог поверить, что хостер производит инъекции JavaScript без его согласия.

Но GoDaddy действительно делает это. Технология называется Real User Metrics. В правилах использования сервиса написано, что все клиенты из США автоматически подписываются на эту услугу. Имеются в виду клиенты, чьи сайты располагаются в американском дата-центре. На страницы этих сайтов посторонний JavaScript внедряется по умолчанию.

Самое интересное, что даже в справочном разделе GoDaddy признаёт, что эти скрипты «могут замедлить или сломать ваш сайт».

Клиенты GoDaddy недовольны JS-инъекциями со стороны хостера - 2

Для отключения навязанной услуги следует щёлкнуть по кнопке с многоточием в правом верхнем углу админского интерфейса, выбрать пункт Help us, и далее Opt Out.

Клиенты GoDaddy недовольны JS-инъекциями со стороны хостера - 3

Клиенты GoDaddy недовольны JS-инъекциями со стороны хостера - 4

После этого посторонние скрипты исчезнут со страниц сайта.

Автор: Анатолий Ализар

Источник

* - обязательные к заполнению поля