GoDaddy injeta JavaScript que pode afetar o desempenho de sites. Registrador de domínios GoDaddy está injetando JavaScript em sites de clientes que pode afetar o desempenho geral do site ou até mesmo inutilizá-lo.
Um administrador da Web que solucionou problemas com a interface de administração de um site encontrou um erro disparado por um arquivo JavaScript que falhou ao carregar. O código já estava carregado pelo site, embora não fosse familiar para o administrador.
Olhando para o comentário no JavaScript recortado, ele percebeu que ele veio do serviço de hospedagem GoDaddy.
“Eu comecei recentemente a ter problemas com a interface de administração de um site que eu corro e decidi verificar o console do navegador para ver se algum erro estava sendo exibido lá. Houve e entre eles foi um erro informando que um arquivo de mapa JavaScript está sendo carregado (e falhando) que eu não reconheci. Isso significa que o arquivo JavaScript em si já foi carregado pelo meu site. Isso desencadeou todos os tipos de alarmes para mim e comecei a cavar ainda mais. “ Igor Kromin escreve em um post em seu blog dia 13 de janeiro.
“É claro que esse comentário no roteiro foi uma revelação do que estava acontecendo, mas eu não queria acreditar imediatamente que o próprio host do site estaria injetando um script JavaScript no meu site sem o meu consentimento! Descobri que é exatamente isso que o GoDaddy estava fazendo e eles justificaram isso como coleta de métricas para melhorar o desempenho “, complementou.
O código faz parte do recurso Real User Metrics (RUM) que monitora sites para gargalos internos. Coleta dados sobre o tempo de conexão e o tempo de carregamento da página.
O script que coleta esses pontos de desempenho é automaticamente adicionado aos sites dos clientes dos EUA que usam o cPanel Shared Hosting ou cPanel Business Hosting, o Blog Minuto da Segurança não conseguiu a confirmação de que site brasileiros recebam a mesma injeção de código, o que seria de se esperar uma vez que o GoDaddy utilizado aqui é apenas uma filial de vendas da empresa americana e não um hosting isolado para o Brasil.
“Embora a GoDaddy diga que utiliza este recurso somente no USA, se voc~e tem site hosteado na GoDaddy, recomendamos verificar a existência deste código”
Em seu site, a GoDaddy, afirma que “Nosso objetivo na GoDaddy é fornecer aos nossos clientes produtos de alto desempenho. Uma das maneiras de fazer isso é através do uso de Real User Metrics (RUM). O RUM nos permite identificar gargalos internos e oportunidades de otimização inserindo um pequeno snippet de código javascript nos sites dos clientes.”
Em uma ironia, mas na sequência na mesma página a GoDaddy afirma “Os dados do RUM são coletados por meio de um pequeno snippet de javascript que inserimos no seu site. A maioria dos clientes não enfrenta problemas quando aceita o RUM, mas o javascript usado pode causar problemas, incluindo desempenho mais lento do site ou um site corrompido / inoperante.Se você estiver usando o AMP (Accelerated Mobile Pages Project ) do Google, você tem páginas que terminam com várias tags de término ou o desempenho do site é mais lento, convém desativar o RUM.”
Os administradores que desejam desativá-lo estão livres para acessar a conta de hospedagem do cPanel. Tanto Kromin como a GoDaddy descrevem como fazer isso:
“Acesse sua conta de hospedagem do cPanel acessando myh.godaddy.com, efetuando login e clicando na conta de hospedagem que deseja desativar no RUM.
Clique no botão … e depois Help Us
Clique em Opt Out.
O snippet do javascript é removido do seu website imediatamente após a desativação.
Kromin não é o primeiro a relatar o script RUM. Dois meses atrás, os usuários reclamaram no Reddit sobre o GoDaddy forçar o RUM sem autorização nos sites.
“Opt-in é uma coisa, mas isso não deve ser legal. Essa prática comercial ruim. Evite qualquer provedor de serviços que faça isso e seja opt-out“, comentou um usuário.
Kromin complementa seu blog dizendo que “não sou contra os provedores de hospedagem monitorando como seus servidores estão sendo executados. Usando uma tecnologia como o RUM é uma ótima maneira de fazê-lo, mas isso é para ser uma tecnologia passiva que é invisível para o usuário final. Injetar JavaScript em páginas sendo exibidas está longe de ser passivo e, pelo menos aos meus olhos, é uma violação da confiança entre o host e o cliente.“
Fonte: Blog Igor Kromin & Bleeping Computer & GoDaddy
Veja também:
- Terrorismo e a Continuidade de Negócios no Brasil
- Decreto nº 9.637/2018 – Política Nacional de Segurança da Informação
- Os celulares da mira da Anatel
- CERTISIGN divulga nota sobre vazamento de dados
- PASTEBIN – Certisign Pwned by sup3rm4n – fatal error crew
- Por que você deve ocultar seu endereço IP?
- POSICIONAMENTO da TIVIT sobre novo vazamento de dados
- Novo Vazamento de Dados na TIVIT
- Censura Chinesa treina jovens a buscar conteúdo proibido online
- +2,4 milhões de dados de usuários do gerenciador de senhas do Blur foram expostos on-line
- A arquitetura de proteção de Endpoint da CrowdStrike
- Pesquisador divulga exploração de vulnerabilidade Zero Day no Twitter
Deixe sua opinião!