Halo komunitas. Ini adalah catatan pertama saya, meskipun tidak cukup lama - tetapi pesan penting dalam judul.
Ada layanan untuk otorisasi melalui jejaring sosial - uLogin. Para pengembang telah merilis banyak plug-in gratis untuk berbagai CMS dan ini dia - keju dalam perangkap tikus.
Tampaknya segalanya tidak berjalan dengan baik dan pengguna mulai memperhatikan bahwa layanan memuat skrip aneh ketika modul bekerja. Saya sedang melakukan audit situs saya - saya perhatikan bahwa counter.yadro.ru dimuat beberapa kali. Secara total, ketika memuat halaman, mereka memuat 18 sumber daya (js, css, permintaan lainnya) - ini banyak untuk proyek saya, yang hanya memiliki 47 permintaan. Dan layanan mereka menambah 18 lebih, termasuk permintaan ke situs pihak ketiga.
Inilah jawaban mereka pada 17 Desember:
Ada permintaan ke loket li.ru kami dan ke situs web kami. Permintaan mitra lebih awal, tetapi kami akhirnya menghapusnya beberapa bulan yang lalu.
- tetapi mereka menipu - permintaan ke x01.aidata.io yang mereka kirim:
Dan di sumber daya tidak ada jawaban untuk siapa pun.
Jadi apa ini aidata.io? Ini adalah
platform manajemen data untuk pemasaran perangkat lunak . Jadi layanan ini memanggil dirinya sendiri. Tetapi mengapa saya membutuhkannya? Ya, saya tahu: widget jejaring sosial, tombol bagikan, penghitung mesin pencari - mereka semua mengumpulkan data dari situs kami. Tetapi mereka mengirim data ke diri mereka sendiri. Mereka menggunakan
skrip mereka yang sudah terbukti - pihak ketiga tidak akan mengganggu skrip. Dan uLogin menghubungkan pihak ketiga, dan bagi saya, sebagai pemilik situs tidak membicarakannya. Apakah itu jujur? Saya kira tidak. Apakah saya menentang Tentu saja menentang.
Pada 25 Mei 2018, peraturan umum tentang perlindungan data pribadi Uni Eropa mulai berlaku: Peraturan Perlindungan Data (GDPR) di Federasi Rusia, sebelumnya - No. 152- "Tentang Data Pribadi" - dan uLogin tidak memberi tahu pengunjung situs saya. Saya sendiri tidak tahu bahwa data sedang dikumpulkan - bagaimana saya akan menjawab pertanyaan ini jika seseorang mengetuk pintu saya? Saya tidak mengontrol situs saya.
Haruskah mereka percaya bahwa mereka akhirnya menghapus pelacakan? Saya percaya.
Pada 24 Januari 2018, saya melihat ada kesalahan di konsol situs:
dan segera membunyikan alarm. Mendaftar dengan tim uLogin melalui surat - respons:
Ini adalah pelacak skrip dari mitra kami.
Ini adalah twist! Sedikit lebih dari sebulan yang lalu, mereka meyakinkan saya bahwa mereka menghapus ini.
Sementara itu, di Internet, di situs reformasi, ada gerakan dalam subjek. Saya tidak tahu aturan penerbitan - dapatkah saya menyisipkan tautan? Tapi saya akan mengambil kesempatan:
topik 28 Desember 2017Di sana saya menulis dan meletakkan untuk kepala terang isi skrip plug-in.
Topik itu dijawab oleh Ivan Pshenitsyn - dan dia sangat terkejut - "bagaimana ini bisa terjadi." Pada akhir Maret, ia terakhir muncul pada topik dan meninggalkan kliennya bahwa mereka mempercayakan situs mereka kepada mereka - untuk kemurahan nasib.
Dan bahkan pada Mei 2018, komentator baru datang ke topik, pada akhir April, pengguna dengan julukan Maxim memposting video - sebagai skrip dari formulir di situs, mengirim data pribadi pengguna (nomor telepon) ke situs pihak ketiga.
Sebulan yang lalu, topik itu diangkat dalam forum dukungan plugin WordPress resmi - dua orang mengeluh tentang kebocoran. Tidak ada jawaban resmi.
Apakah layak untuk mempercayai tim layanan, yang mengklaim dalam korespondensi email bahwa mereka menghapus permintaan mitra dan terus meninggalkan kuda Troya ke situs kami? Jika mereka memungkinkan pihak ketiga untuk memuat js mana pun secara tidak terkendali di situs kami, lalu apa yang mereka inginkan (pihak ketiga ini) - apakah ini benar? Apakah ini aman? Apakah ini legal?
Saya memposting entri ini karena dari tim layanan uLogin tidak menerima respons yang tepat.
ps ketika menginstal plugin WordPress dari uLogin, pendaftaran pada layanan mereka tidak diperlukan. Dan ini berarti bahwa perjanjian pengguna yang mereka posting di situs mereka tidak memiliki kekuatan hukum.
Jika Anda memiliki ide dan pemikiran tentang produk ini dan situasi saat ini - selamat mengomentari.
upd. 2018-06-05 - Kemarin saya menulis surat ke layanan keamanan WordPress. Mereka merespons (tetapi sayangnya mereka belum mengirim jawaban kepada saya melalui surat) - plugin di repositori WordPress resmi tidak tersedia untuk diunduh. Pengunjung disambut dengan tulisan berikut:
Pahami pertanyaannya, atau berikan waktu kepada tim uLogin untuk menghilangkan perilaku ini.