Клиенты GoDaddy недовольны JS-инъекциями со стороны хостера

  • Новость


Один из клиентов GoDaddy обратил внимание, что хостер внедряет в HTML-страницы своих пользователей посторонний JavaScript.

На админской стороне никаких скриптов не было, а со стороны клиента в коде появился <script></script> с комментарием от хостера.

<script>'undefined'=== typeof _trfq || (window._trfq = []);'undefined'=== typeof _trfd && (window._trfd=[]),_trfd.push({'tccl.baseHost':'secureserver.net'}),_trfd.push({'ap':'cpsh'},{'server':'xxxxxxxx0000'}) // Monitoring performance to make your website faster. If you want to opt-out, please contact web hosting support.</script><script src='https://img1.wsimg.com/tcc/tcc_l.combined.1.0.6.min.js'></script>

Конечно, комментарий объясняет поведение скрипта, который предназначен для мониторинга производительности. Но пользователь всё равно не мог поверить, что хостер производит инъекции JavaScript без его согласия.

Но GoDaddy действительно делает это. Технология называется Real User Metrics. В правилах использования сервиса написано, что все клиенты из США автоматически подписываются на эту услугу. Имеются в виду клиенты, чьи сайты располагаются в американском дата-центре. На страницы этих сайтов посторонний JavaScript внедряется по умолчанию.

Самое интересное, что даже в справочном разделе GoDaddy признаёт, что эти скрипты «могут замедлить или сломать ваш сайт».



Для отключения навязанной услуги следует щёлкнуть по кнопке с многоточием в правом верхнем углу админского интерфейса, выбрать пункт Help us, и далее Opt Out.





После этого посторонние скрипты исчезнут со страниц сайта.
Поделиться публикацией

Комментарии 45

    +7
    Сурово. Помню билайн клиентам инъекции делал:
    Билайн добавляет тулбар
    Но не ожидал такого от заокеанских коллег, в платной услуге.
      +4
      Ну в общем-то билайн клиентам тоже интернет не бесплатно предоставлял.
        0

        Реклама — тоже интернет. А вот фильтрация рекламы — уже услуга! Хмм, похоже мне пора руководить отделом развития крупного опсоса)

        +2
        Мегафон и до сих пор время от времени вставляет на какую-нибудь страницу баннер на весь экран с рекламой своих сервисов.
          +2

          А в МТС при отлове ошибки 404 переадресовывает с сайта на свой сервис. Это нереально раздражает, помню как-то нужно было скопировать ссылку с ошибкой 404, но я не смог этого сделать из-за моментальной переадресации. И самое печальное, что от этой навязанной ерунды никак не отказаться.

            +2

            Ну это просто вредительство

              0
              А когда мегафоновский модем при исчерпании трафика открывает вместо целевых страниц мегафоновскую страницу «У Вас закончился трафик»? Включаешь комп, запускаешь Хром с десятком открытых закладок, которые читаются регулярно, и получаешь вместо них десять мегафоновских страниц. И все, «Назад» не всегда срабатывает. Вот это вот вредительство самое натуральное.
                0
                Через HTTPS это сделать нельзя. У Вас что, сайты были HTTP? Думаю, стоило написать админам сайтов с просьбой перевести их на HTTPS.
                  0
                  Через HTTPS это сделать нельзя.

                  Тем не менее делалось :) Тот же Гиктаймс перенаправлялся на эту страницу — точно помню, а он был через HTTPS.
                    0
                    Вы что-то путаете. Проверьте свою систему на предмет наличия вирусов / поддельных ЦА.
                      0
                      Как было сказано ниже, это не подмена страницы, это, по сути, просто редирект. Его разве нельзя сделать, не зная исходного адреса, а просто отбивая все запросы, кроме white-list?
                        0
                        Чтобы сделать редирект, нужно, чтобы запрашиваемый сервер вернул ответ с редиректом. А чтобы этот сервер вернул такой ответ, нужно взломать либо его, либо Вас.
                        0
                        Ну если только вирус написан самим Мегафоном :) Зачем стороннему вирусу отслеживать остаток трафика на аккаунте и перенаправлять по его окончании на страницы Мегафона — я не могу придумать :)
                          0
                          Продублирую:

                          Чтобы сделать редирект, нужно, чтобы запрашиваемый сервер вернул ответ с редиректом. А чтобы этот сервер вернул такой ответ, нужно взломать либо его, либо Вас.

                          Возможно, у Вас стоит какое-то вредоносное ПО от Мегафона, не знаю. Но скорее всего, Вы просто в чём-то ошиблись. Думаю, там просто был HTTP, или же Вы перепутали страницы, которые отредиректились.
                            0
                            Нет, у меня ничего не стоит от Мегафона и я точно помню что это происходило и с сайтом Geektimes в том числе. Да практически все открытые вкладки перенаправлялись, только в одной-двух выскакивала ошибка «Сервер не отвечает». А большинство вкладок у меня на HTTPS-сайтах.
                            Разве сервер не может ответить редиректом еще до обмена ключами и установления безопасной сессии? Даже если запрос идет на 443-й порт?
                              0
                              Не может. Вначале устанавливается защищённое соединение, а уже только после этого по нему передаются данные, в т. ч. заголовки на редирект. Конечно, вместо заголовков можно поюзать тег редиректа или js-редирект. Но и заголовки — это тоже часть ответа на GET или POST запрос. Т. е. это такой же ответ, как и обычный текст.

                              Ну и понятное дело, что оно так и должно быть. Иначе какой смысл от защищённого соединения? Злоумышленник ещё до установки соединения отредиректит пользователя на фишинговую версию сайта, тот введёт свой логин пароль, и всё пропало.
                                0
                                Тогда не знаю как они это сделали :) И повторить не смогу — несколько месяцев назад я перепрошил модем (именно по этой причине).
                                А что будет если обычный HTTP-сервер посадить на порт 443 и запросить его через https: //...? Соединение не установится?
                                  0
                                  Да, не установится. Но если убрать «s» и запросить через http по этому же порту, то установится.
                      0

                      только если провайдер не делает подмену сертификата.
                      Некоторые именно так и поступают:


                      картинка

                      image

                        0
                        Так если Вы разрешили, то уже сами виноваты. Нужно срочно менять провайдера, или даже подать на него в суд за неправомерный доступ к компьютерной информации / нарушение тайны переписки / кражу приватных данных / etc.
                      0
                      Открывает поверх (с тем же адресом) или перекидывет на свой адрес, всё же?
                        0
                        На свой адрес перекидывает (только не помню точно — на локальный модемовский или на внешний мегафоновский), в том-то и проблема.
                  0
                  У меня в мой же блог на вордпрессе мегафон пихал рекламу свою. На длиннопост про конференцию получил пять баннеров.
                  Пришлось заморочиться с настройкой https.
                +4
                За последние несколько лет про GoDaddy только плохие новости. Почему его по прежнему кто-то использует?
                  0
                  По инерции, из-за ДНС. Перенос ДНС весьма болезненным для бизнеса может оказаться. А хостинг они впарили в своей вырвиглазной админке за много лет куче компаний.
                    +1

                    на время перехода можно задублировать же информацию. несколько дней подождать и уйти со старого

                      0
                      Не помню деталей, но так не получалось сделать. При трансфере домена он сразу исчезал из годедди, а на амазоне появился только через сутки.
                        +1
                        Проблемы могут возникнуть, только если в NS-записях серверы GoDaddy. Никто не мешает перед переносом указать другие нейм-серверы.
                          0
                          Возможно я не подождал 48 часов после дублирования ДНС записей перед трансфером самого домена. Но помню что ситуация была «ни туда ни сюда» и все простояло много часов.
                    +3
                    потому что нормальная работа чего-либо не попадает в новости
                    не попадают в новости построенные дома, законченные вовремя проекты, взлетевшие ракеты взлетают тихо

                    и наоборот, весть о затонувшем Титанике моментально облетает весь мир, лобовое столкновние поездов потрясает людей и за пределами страны, а зафейленный проект продолжают помнить Джону Ромеро — несмотря на то, что у него за плечами куча хорошо сделанной работы до и после «Дайкатаны»
                    +2
                    Странно. В комментарии пишут "… to make your website faster", а в справочном разделе "… slower site performance, or broken/inoperable website.". Остаётся догадываться, что же он в конце концов делает.
                      +2
                      Сделаем медленнее, чтобы отключить и сделать быстрее
                        +8

                        ты когда включаешь отладочную информацию в код, делаешь его медленнее, но медленнее ты его делаешь, чтобы сделать быстрее. Вроде все логично.

                          0
                          Сделать код быстрее помогает профайлер. А дебаг-символы код медленнее не делают.
                            0

                            дебаг-символы?.. я так и написал — дебаг-символы?

                              0
                              Можно, конечно, предположить, что вы имели в виду отсутствие оптимизаций, но обычно отладочной информацией называют не это.
                        0
                        В 2017 году это уже было. Может и раньше. Странно, что заметили сейчас.
                          +3
                          GoDaddy и трэш — синонимы, непонятно что за мазохисты такие эти пользователи пострадавшие.
                            –11
                            Раздули кипиш из ничего. Добавлять скрипты для измерение производительности страницы — стандартная и хорошая практика веб разработки. Хотите или не хотите, а на дворе 2019 год и на клиенте сидит значительная часть приложения и замерять ее надо.

                            И эта часть из оригинальной статьи:
                            I am not against web host providers monitoring how their servers are running. Using a technology like RUM is a great way to do it, but this is meant to be a passive technology that is invisible to the end user. Injecting JavaScript into pages being served is far from passive and, at least in my eyes, is a violation of trust between the web host and the customer.


                            Первая часть — бред. Мониторинг на клиенте такой же пассивный как и мониторинг на сервере. Пользователь его не видит. И оба не дают 100% гарантии того, что не ухудшат производительность или не положат страницу или сервер.

                            Но вопрос с доверием остается. Но тоже непонятно, если godaddy предоставляет какой-то UI-конструктор для создания сайта и они заправляют самим рендерингом html то ожидаемо, что они могут вставлять дополнительные части на страницы.
                              +1
                              Кому надо замерять? Если я плачу деньги за хостинг, то хочу получать на выходе то что формирую. И хостер не должен засовывать свой нос скрипт в браузер моих клиентов.
                                –2
                                В этом случае арендуйте сервер, настройте SSL (который уже похоже норма) и используйте godaddy как регистратора. На другом конце спектра CMS где cвой сайт накликивается с редактора, в этом случае владелец CMS что хочет, то и вставляет. Вопрос где на этом спектре находится godaddy и что понимается под хостингом. Я не знаю.
                                  +1
                                  зачем арендовать целый сервер из-за «хотелок» godaddy, проще сменить хостинг
                              +6
                              В свое время хотел зарегистрировать домен в GoDaddy.
                              В прайс-листе отдельной строкой шла ПЛАТНАЯ возможность застраховать себя от угона домена по причине факапа. ФАКАПА САМОЙ КОМПАНИИ.
                              Я понял, что не хочу регистрировать домен у этой компании.
                                +1

                                Мне аж интересно, как это "по причине факапа" называлось официально...

                                  0
                                  Я запомнил это как «случайную смену владельца домена, в том числе и по виде компании».
                                  Возможно я мог неточно перевести эту фразу, но на тот момент меня она удивила.

                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                              Самое читаемое