Olá comunidade. Este é o meu primeiro disco, embora não seja muito longo - mas uma mensagem importante no título.
Existe um serviço desse tipo para autorização através de redes sociais - uLogin. Os desenvolvedores lançaram muitos plug-ins gratuitos para vários CMS e aqui está - queijo em uma ratoeira.
Aparentemente, as coisas não correram muito bem e os usuários começaram a perceber que o serviço carrega scripts estranhos quando o módulo estava funcionando. Estou realizando uma auditoria no meu site - notei que o counter.yadro.ru é carregado várias vezes. No total, ao carregar a página, eles carregaram 18 recursos (js, css, outras solicitações) - isso é muito para o meu projeto, que possui apenas 47 solicitações. E seu serviço adiciona mais 18, incluindo solicitações para sites de terceiros.
Aqui está a resposta deles em 17 de dezembro:
Existem pedidos para o nosso contador li.ru e para o nosso site. As solicitações de parceiros foram anteriores, mas finalmente as removemos há alguns meses.
- mas eles enganaram - uma solicitação para x01.aidata.io eles enviaram:
E no recurso não houve resposta para ninguém.
Então, o que é esse aidata.io? É uma
plataforma de gerenciamento de dados para marketing de software . Portanto, este serviço se autodenomina. Mas por que eu preciso disso? Sim, eu sei: que widgets de redes sociais, botões de compartilhamento, contadores de mecanismos de pesquisa - todos eles coletam dados do nosso site. Mas eles enviam dados para si mesmos. Eles usam
scripts próprios e
comprovados - terceiros não interferem no script. E o uLogin conecta terceiros e para mim, pois o proprietário do site não fala sobre isso. Isso é honesto? Eu acho que não. Sou contra Claro contra.
Em 25 de maio de 2018, entrou em vigor o regulamento geral sobre a proteção de dados pessoais da União Europeia: Regulamento de Proteção de Dados (GDPR) na Federação Russa, anteriormente - Nº 152- "Sobre Dados Pessoais" - e o uLogin não notifica os visitantes do meu site. Eu mesmo não sabia que os dados estavam sendo coletados - como responderia a essa pergunta se alguém batesse à minha porta? Eu não controlei meu site.
Eles deveriam acreditar que finalmente removeram o rastreamento? Eu acreditei.
Em 24 de janeiro de 2018, notei erros no console do site:
e imediatamente soou o alarme. Excluído por e-mail com a equipe do uLogin - resposta:
Este é um rastreador de scripts do nosso parceiro.
Esta é uma torção! Há pouco mais de um mês, eles me garantiram que removeram isso.
Enquanto isso, na Internet, no site reformado, houve um movimento no assunto. Não conheço as regras de publicação - posso inserir um link? Mas vou me arriscar:
tópico de 28 de dezembro de 2017Lá, escrevi e expus para cabeças brilhantes o conteúdo do script do plug-in.
O tópico foi respondido por Ivan Pshenitsyn - e ele ficou muito surpreso - "como isso pode acontecer". No final de março, ele apareceu pela última vez no tópico e abandonou seus clientes por confiarem seus sites a seus próprios dispositivos.
E mesmo em maio de 2018, novos comentaristas abordaram o assunto, no final de abril, um usuário com o apelido Maxim postou um vídeo - como um script de um formulário no site, envia dados pessoais do usuário (número de telefone) para um site completamente de terceiros.
Há um mês, o tópico foi levantado no fórum oficial de suporte do plugin WordPress - duas pessoas reclamaram do vazamento. Não houve resposta oficial.
Vale a pena confiar na equipe de serviço, que alegou na correspondência por e-mail que removeu solicitações de parceiros e continua a enviar cavalos de Tróia para nossos sites? Se eles permitem que um terceiro carregue js incontrolavelmente em nossos sites, o que eles querem (esses terceiros) - está certo? Isso é seguro? Isso é legal?
Estou postando esta entrada porque da equipe de serviço do uLogin não recebeu uma resposta adequada.
ps ao instalar o plugin WordPress a partir do uLogin, o registro em seu serviço não é necessário. E isso significa que o contrato do usuário que eles postaram em seu site não tem força legal.
Se você tiver idéias e pensamentos sobre este produto e a situação atual - seja bem-vindo a comentar.
upd. 05-06-2018 - Ontem escrevi uma carta para o serviço de segurança do WordPress. Eles responderam (mas infelizmente ainda não me enviaram uma resposta por e-mail) - o plug-in no repositório oficial do WordPress não está disponível para download. O visitante é recebido com a seguinte inscrição:
Entenda a pergunta ou dê tempo à equipe do uLogin para eliminar esse comportamento.