lunes, 14 de enero de 2019

Inyección de JavaScript en GoDaddy que puede romper sitios de los clientes.


El registrador de dominios GoDaddy está inyectando JavaScript en los sitios web de los clientes de EE. UU. Que podrían afectar el rendimiento general del sitio web o incluso dejarlo inoperable.

Un administrador web que estaba resolviendo problemas con la interfaz de administración de un sitio web encontró un error provocado por un archivo JavaScript que no se carga. El código ya estaba cargado por el sitio web, aunque no era familiar para el administrador.

Mirando el comentario en el JavaScript cortado, se dio cuenta de que venía del servicio de alojamiento GoDaddy.



"Por supuesto, ese comentario en el guión fue una revelación de lo que estaba sucediendo, pero no quise creer de inmediato que el host del sitio web inyectaría un script de JavaScript en mi sitio web sin mi consentimiento. Resultó que eso es exactamente lo que GoDaddy hizo. "Lo estaba haciendo y lo justificaron como una recopilación de métricas para mejorar el rendimiento", escribió Igor Kromin en una publicación de blog ayer.

El código forma parte de la función Real User Metrics (RUM) que controla los sitios web para detectar cuellos de botella internos. Recopila datos sobre el tiempo de conexión y el tiempo de carga de la página.

La característica es de exclusión

El script que recopila estos puntos de rendimiento se agrega automáticamente a los sitios web de los clientes de los EE. UU. Que utilizan cPanel Shared Hosting o cPanel Business Hosting.

En un giro de ironía, este fragmento de código "puede causar problemas que incluyen un rendimiento más lento del sitio o un sitio web roto / inoperable", admite GoDaddy en la página de soporte de RUM.


Los administradores que quieren desactivarlo son libres de tener un ir desde la cuenta de alojamiento cPanel. Ambos Kromin y GoDaddy describen cómo hacer esto: desactive la función Ayudarnos que está disponible junto al botón Administrador de cPanel.




Otros vieron esto, tampoco les gustó.

Kromin no es el primero en reportar la secuencia de comandos RUM. Hace dos meses, los usuarios se quejaron en Reddit de que GoDaddy había decidido forzar el RUM sin estar en los sitios web.


"Opt-in es una cosa, pero esto no debería ser legal. Esta mala práctica comercial. Evite a cualquier proveedor de servicios que haga esto y no pueda participar", comentó un usuario.

La práctica de 'opt-in / opt out' está lejos de ser un nuevo truco. Se observó en los días en que los desarrolladores de software libre decidieron ganar dinero al promocionar varios productos cuando los usuarios instalaron el programa gratuito.

De esta manera, un usuario desatento terminaría agregando el software de su sistema que no necesitaban mientras se pagaba al desarrollador del producto gratuito.

De esta manera, las barras de herramientas del navegador y las aplicaciones sombrías que realizan actividades no deseadas que un usuario nunca instalaría voluntariamente, encontrarían su camino en miles de computadoras.


Los usuarios no estaban de acuerdo con la práctica de 'opt-in' en ese momento y tampoco lo están hoy. Los proveedores que intentan obtener estadísticas que les ayuden a mejorar sus servicios deberían ser transparentes al respecto y permitir a los usuarios

Fuente:  https://www.bleepingcomputer.com/

Compartir...

Siguenos en twitter: @disoftin

No hay comentarios:

Publicar un comentario

Más leídas este mes