Hola comunidad Este es mi primer disco, aunque no del todo largo, pero es un mensaje importante en el título.
Existe dicho servicio de autorización a través de las redes sociales: uLogin. Los desarrolladores han lanzado muchos complementos gratuitos para varios CMS y aquí está: queso en una trampa para ratones.
Aparentemente, las cosas no salieron muy bien y los usuarios comenzaron a notar que el servicio carga scripts extraños cuando el módulo estaba funcionando. Estoy realizando una auditoría de mi sitio. Noté que counter.yadro.ru se carga varias veces. En total, al cargar la página, cargaron 18 recursos (js, css, otras solicitudes); esto es mucho para mi proyecto, que solo tiene 47 solicitudes. Y su servicio agrega 18 más, incluidas las solicitudes a sitios de terceros.
Aquí está su respuesta el 17 de diciembre:
Hay solicitudes a nuestro contador li.ru y a nuestro sitio web. Las solicitudes de socios fueron anteriores, pero finalmente las eliminamos hace varios meses.
- pero engañaron - una solicitud a x01.aidata.io enviaron:
Y en el recurso no había respuesta para nadie.
Entonces, ¿qué es esto aidata.io? Es una
plataforma de gestión de datos para marketing de software . Entonces este servicio se llama a sí mismo. ¿Pero por qué lo necesito? Sí, lo sé: que los widgets de redes sociales, los botones para compartir, los contadores de motores de búsqueda, todos recopilan datos de nuestro sitio. Pero se envían datos a sí mismos. Usan
sus propios scripts probados ; un tercero no interferirá con el script. Y uLogin conecta a un tercero, y a mí, ya que el propietario del sitio no habla de ello. ¿Eso es honesto? Creo que no ¿Estoy en contra Por supuesto en contra.
El 25 de mayo de 2018, entró en vigencia el reglamento general sobre la protección de datos personales de la Unión Europea: el Reglamento de Protección de Datos (GDPR) en la Federación de Rusia, anterior - No. 152- "Sobre Datos Personales" - y uLogin no notifica a los visitantes de mi sitio. Yo mismo no sabía que se estaban recopilando los datos. ¿Cómo respondería a esta pregunta si alguien llamara a mi puerta? No controlé mi sitio.
¿Deberían creerse que finalmente eliminaron el seguimiento? Yo he creído
El 24 de enero de 2018, noté errores en la consola del sitio:
e inmediatamente sonó la alarma. Registrado con el equipo de uLogin en el correo - respuesta:
Este es un rastreador de guiones de nuestro socio.
Esto es un giro! Hace poco más de un mes, me aseguraron que eliminaron esto.
Mientras tanto, en Internet, en el sitio de reforma, hubo un movimiento en el tema. No conozco las reglas de publicación. ¿Puedo insertar un enlace? Pero me arriesgaré:
tema del 28 de diciembre de 2017Allí escribí y expuse para los brillantes los contenidos del script de complemento.
El tema fue respondido por Ivan Pshenitsyn, y estaba muy sorprendido, "cómo puede suceder esto". A finales de marzo, apareció por última vez sobre el tema y abandonó a sus clientes que les confiaron sus sitios, a merced del destino.
E incluso en mayo de 2018, nuevos comentaristas llegaron al tema, a fines de abril, un usuario con el apodo de Maxim publicó un video; como guión de un formulario en el sitio, envía datos personales del usuario (número de teléfono) a un sitio completamente de terceros.
Hace un mes, el tema se planteó en el foro oficial de soporte de plugins de WordPress: dos personas se quejaron de la filtración. No hubo respuesta oficial.
¿Vale la pena confiar en el equipo de servicio, que afirmó en la correspondencia por correo electrónico que eliminaron las solicitudes de socios y continuaron enviando caballos de Troya a nuestros sitios? Si permiten que un tercero cargue cualquier js de forma incontrolable en nuestros sitios, ¿qué quieren (estos terceros)? ¿Es esto correcto? ¿Es seguro? Es legal?
Estoy publicando esta entrada porque del equipo de servicio de uLogin no recibió una respuesta adecuada.
ps al instalar el complemento de WordPress desde uLogin, no es necesario registrarse en su servicio. Y esto significa que el acuerdo de usuario que publicaron en su sitio no tiene fuerza legal.
Si tiene ideas y pensamientos sobre este producto y la situación actual, bienvenido a comentar.
upd 05/06/2018 - Ayer escribí una carta al servicio de seguridad de WordPress. Ellos respondieron (pero desafortunadamente todavía no me han enviado una respuesta por correo): el complemento en el repositorio oficial de WordPress no está disponible para descargar. El visitante es recibido con la siguiente inscripción:
Comprenda la pregunta o dé tiempo al equipo de uLogin para eliminar este comportamiento.