Hallo Community. Dies ist meine erste Aufnahme, wenn auch nicht ganz lang - aber eine wichtige Nachricht im Titel.
Es gibt einen solchen Dienst zur Autorisierung über soziale Netzwerke - uLogin. Die Entwickler haben viele kostenlose Plug-Ins für verschiedene CMS veröffentlicht und hier ist es - Käse in einer Mausefalle.
Anscheinend lief es nicht sehr gut und die Benutzer bemerkten, dass der Dienst seltsame Skripte lädt, wenn das Modul funktioniert. Ich führe eine Prüfung meiner Website durch. Ich habe festgestellt, dass counter.yadro.ru mehrmals geladen wird. Insgesamt haben sie beim Laden der Seite 18 Ressourcen geladen (js, css, andere Anfragen) - das ist viel für mein Projekt, das nur 47 Anfragen hat. Und ihr Service fügt 18 weitere hinzu, einschließlich Anfragen an Websites von Drittanbietern.
Hier ist ihre Antwort am 17. Dezember:
Es gibt Anfragen an unseren Schalter li.ru und an unsere Website. Partneranfragen waren früher, aber wir haben sie vor einigen Monaten endgültig entfernt.
- aber sie haben getäuscht - eine Anfrage an x01.aidata.io, die sie gesendet haben:
Und auf die Ressource gab es keine Antwort auf irgendjemanden.
Was ist das für aidata.io? Es ist eine
Datenverwaltungsplattform für Software-Marketing . Dieser Dienst nennt sich also selbst. Aber warum brauche ich das? Ja, ich weiß: Widgets für soziale Netzwerke, Schaltflächen zum Teilen, Suchmaschinenzähler - alle sammeln Daten von unserer Website. Aber sie senden Daten an sich selbst. Sie verwenden
ihre eigenen ,
bewährten Skripte - ein Dritter wird das Skript nicht stören. Und uLogin verbindet einen Dritten und mit mir, da der Eigentümer der Website nicht darüber spricht. Ist das ehrlich Ich glaube nicht. Bin ich dagegen Natürlich dagegen.
Am 25. Mai 2018 trat die allgemeine Verordnung zum Schutz personenbezogener Daten der Europäischen Union in Kraft: Datenschutzverordnung (DSGVO) in der Russischen Föderation, früher - Nr. 152- "Über personenbezogene Daten" - und uLogin benachrichtigt meine Website-Besucher nicht. Ich selbst wusste nicht, dass die Daten gesammelt wurden - wie würde ich diese Frage beantworten, wenn jemand an meine Tür klopfte? Ich habe meine Seite nicht kontrolliert.
Sollte man ihnen glauben, dass sie die Verfolgung endgültig entfernt haben? Ich habe geglaubt.
Am 24. Januar 2018 habe ich Fehler in der Site-Konsole festgestellt:
und sofort Alarm geschlagen. Mit dem uLogin-Team in der Mail angemeldet - Antwort:
Dies ist ein Script Tracker von unserem Partner.
Das ist eine Wendung! Vor etwas mehr als einem Monat haben sie mir versichert, dass sie dies entfernt haben.
Währenddessen gab es im Internet, auf der Reformseite, eine Bewegung in diesem Thema. Ich kenne die Veröffentlichungsregeln nicht - kann ich einen Link einfügen? Aber ich gehe ein Risiko ein:
Thema vom 28. Dezember 2017Dort habe ich den Inhalt des Plug-In-Skripts geschrieben und für helle Köpfe ausgelegt.
Das Thema wurde von Ivan Pshenitsyn beantwortet - und er war sehr überrascht - "wie kann das passieren." Ende März erschien er zuletzt zu diesem Thema und gab seinen Kunden auf, dass sie ihnen ihre Websites auf eigene Faust anvertrauten.
Und selbst im Mai 2018 kamen neue Kommentatoren zu dem Thema. Ende April veröffentlichte ein Benutzer mit dem Spitznamen Maxim ein Video - als Skript aus einem Formular auf der Website sendet er persönliche Benutzerdaten (Telefonnummer) an eine Website eines Drittanbieters.
Vor einem Monat wurde das Thema im offiziellen WordPress-Plugin-Support-Forum angesprochen - zwei Personen haben sich über das Leck beschwert. Es gab keine offizielle Antwort.
Lohnt es sich, dem Serviceteam zu vertrauen, das in der E-Mail-Korrespondenz behauptete, Partneranfragen entfernt zu haben und weiterhin Trojaner auf unsere Websites zu bringen? Wenn sie es einem Dritten ermöglichen, unkontrolliert js auf unsere Websites zu laden, was wollen sie dann (diese Dritten) - ist das richtig? Ist es sicher? Ist es legal?
Ich poste diesen Eintrag, weil Das uLogin-Serviceteam hat keine ordnungsgemäße Antwort erhalten.
ps Bei der Installation des WordPress-Plugins von uLogin ist keine Registrierung für den Dienst erforderlich. Dies bedeutet, dass die Benutzervereinbarung, die sie auf ihrer Website veröffentlicht haben, keine Rechtskraft hat.
Wenn Sie Ideen und Gedanken zu diesem Produkt und der aktuellen Situation haben, können Sie dies gerne kommentieren.
upd. 2018-06-05 - Gestern habe ich einen Brief an den WordPress-Sicherheitsdienst geschrieben. Sie haben geantwortet (aber leider haben sie mir noch keine Antwort per E-Mail gesendet) - das Plugin im offiziellen WordPress-Repository steht nicht zum Download zur Verfügung. Der Besucher wird mit folgender Inschrift begrüßt:
Verstehen Sie entweder die Frage oder geben Sie dem uLogin-Team Zeit, um dieses Verhalten zu beseitigen.