Bonjour communauté. C'est mon premier disque, bien que pas assez long - mais un message important dans le titre.
Il existe un tel service d'autorisation via les réseaux sociaux - uLogin. Les développeurs ont publié de nombreux plug-ins gratuits pour divers CMS et le voici - du fromage dans une souricière.
Apparemment, les choses ne se sont pas très bien passées et les utilisateurs ont commencé à remarquer que le service charge des scripts étranges lorsque le module fonctionnait. J'effectue un audit de mon site - j'ai remarqué que counter.yadro.ru est chargé plusieurs fois. Au total, lors du chargement de la page, ils ont chargé 18 ressources (js, css, autres requêtes) - c'est beaucoup pour mon projet qui ne compte que 47 requêtes. Et leur service en ajoute 18 de plus, y compris des demandes à des sites tiers.
Voici leur réponse du 17 décembre:
Il y a des demandes à notre compteur li.ru et à notre site Web. Les demandes des partenaires étaient antérieures, mais nous les avons finalement supprimées il y a plusieurs mois.
- mais ils ont trompé - une demande à x01.aidata.io ils ont envoyé:
Et sur la ressource, il n'y avait de réponse à personne.
Alors, quel est ce aidata.io? Il s'agit d'une
plateforme de gestion de données pour le marketing logiciel . Donc, ce service s'appelle. Mais pourquoi en ai-je besoin? Oui, je sais: les widgets des réseaux sociaux, les boutons de partage, les compteurs des moteurs de recherche - ils collectent tous des données sur notre site. Mais ils s'envoient des données. Ils utilisent
leurs propres scripts éprouvés - un tiers n'interférera pas avec le script. Et uLogin connecte un tiers et, en tant que propriétaire du site, ne m'en parle pas. Est-ce honnête? Je pense que non. Suis-je contre Bien sûr contre.
Le 25 mai 2018, le règlement général sur la protection des données personnelles de l'Union européenne est entré en vigueur: Règlement sur la protection des données (RGPD) dans la Fédération de Russie, plus tôt - n ° 152- «Sur les données personnelles» - et uLogin n'informe pas les visiteurs de mon site. Je ne savais pas moi-même que les données étaient collectées - comment pourrais-je répondre à cette question si quelqu'un frappait à ma porte? Je ne contrôlais pas mon site.
Doit-on croire qu'ils ont finalement supprimé le suivi? J'ai cru.
Le 24 janvier 2018, j'ai remarqué des erreurs dans la console du site:
et a immédiatement sonné l'alarme. Je me suis inscrit avec l'équipe uLogin par la poste - réponse:
Ceci est un tracker de script de notre partenaire.
C'est une torsion! Il y a un peu plus d'un mois, ils m'ont assuré qu'ils avaient supprimé cela.
Pendant ce temps, sur Internet, sur le site réformateur, il y avait un mouvement sur le sujet. Je ne connais pas les règles de publication - puis-je insérer un lien? Mais je vais tenter ma chance:
sujet du 28 décembre 2017Là, j'ai écrit et présenté pour les têtes brillantes le contenu du script du plug-in.
Ivan Pshenitsyn a répondu au sujet - et il a été très surpris - "comment cela peut-il arriver?" Fin mars, il est apparu pour la dernière fois sur le sujet et a abandonné ses clients qui leur ont confié leurs sites - au gré du destin.
Et même en mai 2018, de nouveaux commentateurs sont venus sur le sujet, fin avril, un utilisateur avec le surnom de Maxim a publié une vidéo - sous forme de script à partir d'un formulaire sur le site, envoie les données personnelles de l'utilisateur (numéro de téléphone) à un site entièrement tiers.
Il y a un mois, le sujet a été soulevé sur le forum officiel de support des plugins WordPress - deux personnes se sont plaintes de la fuite. Il n'y a pas eu de réponse officielle.
Vaut-il la peine de faire confiance à l'équipe de service, qui a affirmé dans la correspondance par e-mail avoir supprimé les demandes des partenaires et continuer à envoyer des chevaux de Troie à nos sites? S'ils permettent à un tiers de charger des js de manière incontrôlable sur nos sites, que veulent-ils (ces tiers) - est-ce vrai? Est-ce sûr? Est-ce légal?
Je poste cette entrée car de l'équipe de service uLogin n'a pas reçu de réponse appropriée.
ps lors de l'installation du plugin WordPress à partir d'uLogin, l'inscription sur leur service n'est pas requise. Et cela signifie que l'accord d'utilisation qu'ils ont posté sur leur site n'a pas de valeur légale.
Si vous avez des idées et des réflexions sur ce produit et la situation actuelle, n'hésitez pas à commenter.
upd. 2018-06-05 - Hier, j'ai écrit une lettre au service de sécurité WordPress. Ils ont répondu (mais malheureusement, ils ne m'ont pas encore envoyé de réponse par mail) - le plugin dans le dépôt WordPress officiel n'est pas disponible en téléchargement. Le visiteur est accueilli avec l'inscription suivante:
Soit comprendre la question, soit donner du temps à l'équipe uLogin pour éliminer ce comportement.