Pluso начал размещать скрипты и картинки на сторонние ресурсы

Привет, Хабр!

Многим, наверно, известен Pluso — сервис для установки красивых кнопок на сайт. Изначально он привлек внимание своей простотой и удобством работы. Мы пользовались им примерно полгода.

Недавно командой разработчиков нашего сайта был обнаружен необычный код, который встраивался в тег body страницы. Вот некоторые скрипты, которые были обнаружены с помощью инспектора документа:
















Мы попробовали подключить их скрипт на пустую страницу (текст страницы на картинке ниже):

image

И вот что можно увидеть в инспекторе документа:

image

Лог загрузок скриптов:

image

Я не знаю, зачем это все нужно для отображения иконок, но здесь явно много чего лишнего. Возможно, дополнительные скрипты подключаются не сразу, а с течением времени, мне не известно. При первом подключении такого замечено не было.

Поскольку упоминаний о подобной работе сервиса на хабре раньше не встречал, решил написать пост и предупредить пользователей этого сервиса. Возможно, это какой-то вирус или троян.

P.S. После удаления этого плагина с сайта подгрузка всех дополнительных скриптов и фреймов прекратилась. Я намеренно не указал адрес сайта, дабы не вызвать хабраэффект.
Share post
AdBlock has stolen the banner, but banners are not teeth — they will be back

More
Ads

Comments 57

    +39
    Мы обычно не выпускаем из песочницы подобные топики, но за последние дни их было несколько, видимо описываемая проблема действительно есть.
      –39
      Денис, спасибо за материал, внимательно всегда следим за Хабром.

      Рекомендую пользователям, кого смущают встроенные трекеры наших партнеров – мы эту форму монетизации никогда не скрывали – и реклама самого Pluso в виде логотипа (есть и таки пользователи!), попробовать нашу экспериментальную версию x.pluso.ru/

      Там более 1000 вариантов дизайна и компоновки, версия под ретину и куча других мелочей. К тому же на x.pluso.ru/ не требуется регистрация.

      Кстати, 1 сентрября мы запустим хакатон в Pluso с хорошими призами уровня MacBook Pro, было бы интересно посотрудничать с Хабром.
        +5
        >Все экспериментальные разработки Pluso имеют расширенные полномочия кода, необходимые для проведения различных тестов с целью улучшения продуктов.
        Что такое «расширенные полномочия кода»?
          +7
          Николай, спасибо нужно сказать автору, который поднял проблему. Мы здесь исключительно как обслуживающий персонал.

            +4
            «мы эту форму монетизации никогда не скрывали» — ткните пальцем, где у вас на сайте про это написано?
          0
          Сделайте тоже самое со скриптами addthis или sharethis и, скорее всего, увидите аналогичную картину.
            –19
            Так и будет. Любой бесплатный сервис веб-виджетов встраивает партнеров.
              +3
              Вывод, лучше чуть чуть заплатить.
                –17
                Рынка платных веб-виджетов нет и никогда не будет.
                  0
                  Или, если есть время и ресуры, создать еще один велосипед, но свой. :)
                  +8
                  Не любой. Например, Share42
                  +9
                  Проверил свои сайты с ShareThis. Две небольшие JS-ки, одна для кнопки, вторая, похоже, для треканья. Никакой рекламы или типа того.
                  –1
                  Возможно, это какой-то вирус или троян.


                  Какой нафиг вирус или троян?
                  Просто каждая кнопочка лайка желает трекать активность по своему…
                  В общем, для таких комбайнов это нормальное поведение…
                    +6
                    Я не могу понять надобности что-то трекать на сторонние сайты. По сути при открытии этого скрипта нужно сделать запрос лишь количества расшариваний по каждой соц сети и все. Эта информация хранится в Pluso. Я определил это по логу загрузок

                    image

                    На картинке видно что из Pluso передается информация о количестве лайков (из Вконтакте 2 лайка)
                    В API вконтакте написано что для создания окна импорта поста достаточно только ссылки со специальными параметрами. С остальными соцсетями ситуация аналогичная.
                    Я согласен с тем что когда я добавляю Pluso себе на сайт он собирает некоторую статистику о пользователях сайта, но то что он распространяет эту информацию другим сайтам, по моему это не очень хорошо.
                      +5
                      > то что он распространяет эту информацию другим сайтам, по моему это не очень хорошо.

                      так это же их хлеб и бизнес-модель. они именно на этом и живут, на продаже информации о пользователях разным ретаргетинг, rtb и прочим рекламным системам. более того, на этом живут почти все «удобные кнопки для расшаривания контента».
                    +2
                    Мы отказались от них, после того как выяснилось, что у нех +1 работает скольк угодно раз и не отображает реальные +1, которые действительно были сделаны. Или например кто-то расшарил и потом удалил, но в плюсо счетчик это не учитывает.
                      0
                      Аналогичная проблема нам тоже сразу не понравилась.

                      И к чему в итоге пришли? Написали свой сервис шарок или смели на сервис с другого сайта?
                        –10
                        И сделали большую ошибку. Социальные сети не хранят лайки вашей страницы более чем полгода-год обычно, за исключением ВК. Таким образом через год на вашей некогда популярной странице с 1000 лайками будут сиротливые 10.

                        Поэтому мы приняли решение выводить нажатия. К тому же не все действия являются шарингами.
                          +14
                          А какая именно из соц. сетей затирал статистику шаринга? Можно пруф?
                        +9
                        Гордеев тот еще жук. Не помните историю с огромным баннером вверху страницы?
                          +3
                          Пытаются заработать хоть как то через продажу данных и встраивание кодов разных rtb систем.
                            –20
                            В том случае был баг, который быстро исправили. Но некоторым изданиям же не прожить, не создав несколько скандалов в день )
                              +8
                              Баг? Ну да. Хорошее прикрытие откатать рекламку на паре дес тыс сайтов.
                              Баг — это когда ломается, а не когда ВДРУГ появляется дополнительный функционал.
                                –12
                                В нашем случае баг был фильтре, который вместо тестовых 100 сайтов выкатил рекламу на 1000. Но вам, конечно, видней, спорить не буду )
                                  +7
                                  Тесты на продакшене. Весело.
                                    –20
                                    Благодаря этому мы и выросли за два года из простой идеи в компанию с оценков $50 миллионов.
                                      +8
                                      Какое отношение оценка бизнеса имеет к косякам в продакшене? Если только в минус.
                                        –10
                                        Пока другие тестировали и медитировали, мы растем. За июль вот выросли на 8%, что для большого проекта в летние месяцы отличные показатели.
                                        0
                                        А что за оценка?
                                          +2
                                          При продаже долей компании и т.п. производится оценки цены компании. Часто оценка субъективная, например у компании нет ни одного платного клиента, но их 1 млрд. И просто из-за того что у Вас есть терабайты статистики облегчающие работу RTB систем Ваша компания будет стоит дорого (опять же в надежде на продажу данных статистики). Если технологически нет ничего эдакого технологически, то цену можно поднять только статистикой. Сервис который растет быстро — это супер, но монетизировать надо его потом как то.
                                            0
                                            Спасибо!
                                              –4
                                              Научите нас монетизировать сервис, охватывающий 20% Рунета? )
                                                +9
                                                Ну а нафиг делать то, что монетизировать нельзя. Если у Вас экономика не сходится, то поплачьте что ли. Я понимаю, что бурный рост сайтов — это супер, но в рунете это слабо прокатывает если потом данными не барыжить. Тот же AddThis хлебнул говна пачку и сделал платный тариф который 1:10 компенсирует всех бесплатников. 14 млн сайтов всего, около 1 млн платит. В рунете соотношение будет меньше, но это вопрос рентабельности.
                                                  –4
                                                  Там все не так. Обманули вас про AddThis.
                                                    +3
                                                    Про что конкретно?
                                                    Платный тариф есть AddThis Pro monthly subscription $12/mo + 2 бакса за доп сайт. Себестоимость работы системы низкая (особенно если показ чего либо идет без условий).
                                                      –3
                                                      Они не так зарабатывают.
                                                        +1
                                                        А платный тариф не окупает затраты?
                                                          –1
                                                          3% от оборота.
                                            +2
                                            Зачем вы это пишите? Чтобы вас за это похвалили?
                                              0
                                              Видимо это жалобы в стиле что «мир — биоразлагаем», а они, как и создатель МММ, честно признаются что никак больше зарабатывать не умеют :)
                                  0
                                  А наличие более 4 счетчиков различных систем не смутили? В смысле при самой установке не проконтролировали работы корректную или код их?
                                    +5
                                    Насколько я помню, код Pluso работает как контейнер тегов (типа Google Tag manager).
                                    Размещая их кнопки на свой площадке, вы расплачиваетесь тем что он продает данные (third party data) о ваших посетителях собирая их через этот самый контейнер.
                                      +1
                                      Это получается, можно обращаться в Pluso, чтобы купить данные конкурента, если увидел, что он Pluso использует на сайте? Или как это происходит? Хорошо, что я Share42 использую.
                                        0
                                        Судя по всем разработчикам Pluso наверно показалось слишком сложно писать систему сбора данных. Раз они просто подлинковывали скрипты и картинки с чужих сайтов. Скорее всего можно туда обратится с просьбой подлинковать туда и свою ссылку, а там уж делать что угодно: от сбора данных, до баннера поверх сайта.
                                          0
                                          А может это требование «партнеров» обеспечить доступ к телу браузеру пользователя. Ведь в таком «бизнесе» доверия друг другу уж точно нет, поэтому партнеры возможно полагают, что Pluso может им слить не те данные, потому что другие партнеры за это заплатили и так далее.
                                      +9
                                      Мало того, что плюсо грузит много мусора, так этот мусор еще и периодически не отдается, из-за чего сами кнопки могут грузиться минутами. При этом мы ловили затупы даже на скриптах самого плюса. Например, скрипт с каунтером просто не отдавался и на счетчике все время висел 0.

                                      Проще сделать свои шаринг-кнопки.

                                      Ссылки расшаривания основных соц. сетей
                                      вк
                                      vk.com/share.php?url=[url]&title=[title]
                                      ок
                                      www.odnoklassniki.ru/dk?st.cmd=addShare&st.s=2&st.noresize=on&st._surl=[url]
                                      меил
                                      connect.mail.ru/share?url=[url]&title=[title]
                                      жж
                                      www.livejournal.com/update.bml?event=[url]
                                      фб
                                      www.facebook.com/sharer/sharer.php?u=[url]
                                      тв
                                      twitter.com/intent/tweet?url=[url]&text=[title]
                                      г+
                                      plus.google.com/share?url=[url]

                                      + добавляете на страницу теги og:image, link rel image_src что картинки норм шарились.
                                        +6
                                        Мы тоже отказались от PLUSO. Под двум причинам:
                                        — отсутствие какого либо API кнопок (необходимо для single page app)
                                        — странное поведение (сабж + другие странности)

                                        Сейчас юзаем "яндекс поделится"
                                          0
                                          О, кажется Яндекс.поделиться перестал требовать доступ к аккаунту соц.сети для Яндекса. Пару лет назад не выбрал его среди прочих подобных сервисов по этой причине.
                                          +1
                                          Лучше всего использовать свои кнопки, подгружаемые со своего сервера. В крайнем случае уже Yandex.Share.
                                            +10
                                            Спасибо, пару дней назад заметил ругань Хрома на небезопасные скрипты. Причем под указателем мыши вслед за ее координатами перемещался какой-то непонятный прозрачный iframe. Пропадал при попытке изучить его Developer tools. Из-за него было невозможно кликнуть нигде на странице. Виновник — тоже Pluso. Побежал менять на share42.com/
                                              +7
                                              Вся эта история и у нас бы не началась если бы мы не заметили какую то непонятную линию внизу сайта в старых версиях браузеров. По началу мы думали что это ошибка верстки но потом выяснилось что это именно pluso в старых браузерах косячит…
                                                +1
                                                линия из-за того, что этот мусор вставляется после body. мало того, что суют, так еще верстку рушат
                                                0
                                                Прозрачный iframe, говорите? Это уже за гранью добра и зла…
                                                +4
                                                Использую эти: github.com/sapegin/social-likes, не всем подойдут, но функционал ок, простые и гибкие шаринг кнопки.
                                                +5
                                                Отказался от этой штуки в своё время по аналогичной причине
                                                  +5
                                                  Это модный ретаргетинг, вашим пользователям потом покажут рекламу ваши же конкуренты.
                                                  Можно сохранить их скрипт локально и выпилить из него лишнее, только это против лицензии.
                                                  Так что свои кнопки это наше все. Например, Share42.com дает скачать скрипт и кнопки.

                                                  Only users with full accounts can post comments. Log in, please.