GoDaddy injeta JavaScript que pode afetar o desempenho de sites

GoDaddy injeta JavaScript que pode afetar o desempenho de sites. Registrador de domínios GoDaddy está injetando JavaScript em sites de clientes que pode afetar o desempenho geral do site ou até mesmo inutilizá-lo.

Um administrador da Web que solucionou problemas com a interface de administração de um site encontrou um erro disparado por um arquivo JavaScript que falhou ao carregar. O código já estava carregado pelo site, embora não fosse familiar para o administrador.

Olhando para o comentário no JavaScript recortado, ele percebeu que ele veio do serviço de hospedagem GoDaddy.

Eu comecei recentemente a ter problemas com a interface de administração de um site que eu corro e decidi verificar o console do navegador para ver se algum erro estava sendo exibido lá. Houve e entre eles foi um erro informando que um arquivo de mapa JavaScript está sendo carregado (e falhando) que eu não reconheci. Isso significa que o arquivo JavaScript em si já foi carregado pelo meu site. Isso desencadeou todos os tipos de alarmes para mim e comecei a cavar ainda mais. “ Igor Kromin escreve em um post em seu blog dia 13 de janeiro.

É claro que esse comentário no roteiro foi uma revelação do que estava acontecendo, mas eu não queria acreditar imediatamente que o próprio host do site estaria injetando um script JavaScript no meu site sem o meu consentimento! Descobri que é exatamente isso que o GoDaddy estava fazendo e eles justificaram isso como coleta de métricas para melhorar o desempenho “, complementou.

Blog Igor Kromin

O código faz parte do recurso Real User Metrics (RUM) que monitora sites para gargalos internos. Coleta dados sobre o tempo de conexão e o tempo de carregamento da página.

O script que coleta esses pontos de desempenho é automaticamente adicionado aos sites dos clientes dos EUA que usam o cPanel Shared Hosting ou cPanel Business Hosting, o Blog Minuto da Segurança não conseguiu a confirmação de que site brasileiros recebam a mesma injeção de código, o que seria de se esperar uma vez que o GoDaddy utilizado aqui é apenas uma filial de vendas da empresa americana e não um hosting isolado para o Brasil.

“Embora a GoDaddy diga que utiliza este recurso somente no USA, se voc~e tem site hosteado na GoDaddy, recomendamos verificar a existência deste código”

Em seu site, a GoDaddy, afirma que “Nosso objetivo na GoDaddy é fornecer aos nossos clientes produtos de alto desempenho. Uma das maneiras de fazer isso é através do uso de Real User Metrics (RUM). O RUM nos permite identificar gargalos internos e oportunidades de otimização inserindo um pequeno snippet de código javascript nos sites dos clientes.”

Em uma ironia, mas na sequência na mesma página a GoDaddy afirma “Os dados do RUM são coletados por meio de um pequeno snippet de javascript que inserimos no seu site. A maioria dos clientes não enfrenta problemas quando aceita o RUM, mas o javascript usado pode causar problemas, incluindo desempenho mais lento do site ou um site corrompido / inoperante.Se você estiver usando o AMP (Accelerated Mobile Pages Project ) do Google, você tem páginas que terminam com várias tags de término ou o desempenho do site é mais lento, convém desativar o RUM.”

Os administradores que desejam desativá-lo estão livres para acessar a conta de hospedagem do cPanel. Tanto Kromin como a GoDaddy descrevem como fazer isso:

“Acesse sua conta de hospedagem do cPanel acessando myh.godaddy.com, efetuando login e clicando na conta de hospedagem que deseja desativar no RUM.

Clique no botão … e depois Help Us

Help us
GoDaddy

Clique em Opt Out.

O snippet do javascript é removido do seu website imediatamente após a desativação.

Kromin não é o primeiro a relatar o script RUM. Dois meses atrás, os usuários reclamaram no Reddit sobre o GoDaddy forçar o RUM sem autorização nos sites.

Opt-in é uma coisa, mas isso não deve ser legal. Essa prática comercial ruim. Evite qualquer provedor de serviços que faça isso e seja opt-out“, comentou um usuário.


Kromin complementa seu blog dizendo que “não sou contra os provedores de hospedagem monitorando como seus servidores estão sendo executados. Usando uma tecnologia como o RUM é uma ótima maneira de fazê-lo, mas isso é para ser uma tecnologia passiva que é invisível para o usuário final. Injetar JavaScript em páginas sendo exibidas está longe de ser passivo e, pelo menos aos meus olhos, é uma violação da confiança entre o host e o cliente.

Fonte: Blog Igor Kromin & Bleeping Computer & GoDaddy

Veja também:

Sobre mindsecblog 1759 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!