Привет сообщество. Это моя первая запись, пусть она и не совсем длинная — но важный посыл в заголовке.Есть такой сервис для авторизации через соцсети — uLogin. Разработчики выпустили много бесплатных плагинов под различные CMS и вот он — сыр в мышеловке.
Видно дела пошли не очень и пользователи начали замечать, что сервис подгружает странные скрипты при работе модуля. Я проводя аудит своего сайта — заметил что грузится counter.yadro.ru несколько раз. В общей сложности, при загрузке страницы, они загружали 18 ресурсов (js, css, прочие запросы) — это много для моего проекта у которого всего 47 запросов. А их сервис добавляет еще 18, включая запросы к сторонним сайтам.
Вот их ответ в декабре 17-го:
Там есть запросы на наш счетчик ли.ру и на наш сайт. Партнерские запросы были ранее, но мы их окончательно убрали несколько месяцев назад.— но они слукавили — запрос к x01.aidata.io они отправляли:
И на ресурсе не последовало ответа никому.
Так что это такое этот aidata.io? Это платформа управления данными для программного маркетинга. Так себя этот сервис называет. Но зачем он мне? Да, я знаю: что виджеты социальных сетей, кнопки поделиться, счетчики поисковых систем — все они с нашего сайта собирают данные. Но они отправляют данные к себе. Они используют свои, проверенные скрипты — третья сторона не вмешается в работу скрипта. А uLogin подключает третью сторону и мне, как владельцу сайта не говорит об этом. Это честно? Я думаю нет. Против ли я? Конечно против.
С 25 мая 2018 года вступил в силу общий регламент по защите персональных данных Европейского союза: Data Protection Regulation (GDPR) и в РФ, ранее — №152-ФЗ «О персональных данных» — а uLogin не уведомляет моих посетителей сайта. Я и сам не знал что данные собираются — как я ответил бы на этот вопрос если ко мне постучались в дверь? Я не контролировал свой сайт.
Поверить им стоило, что они окончательно убрали трекинг? Я поверил.
24 января 2018-го я обратил внимание на ошибки в консоли сайта:
и тут же забил тревогу. Списался по почте с командой uLogin — ответ:
Это скрипт-трекер от нашего партнера.
Вот это поворот! Чуть больше месяца назад они меня заверили что убрали подобное.
А между тем в интернете, на площадке reformal, происходило движение в теме. Я не знаю правил публикаций — позволяют вставить ссылку? Но я рискну: тема от 28 декабря 2017-го
Там и я написал и выложил для светлых голов содержимое подключаемого скрипта.
В теме отвечал Иван Пшеницын — и он очень удивлялся — «как же так может происходить». В конце марта он последний раз появился в теме и бросил своих клиентов, что доверили им свои сайты — на произвол судьбы.
И даже в мае 2018-го в тему поступали новые комментаторы, в конце апреля пользователь с ником Maxim, опубликовал видео — как скрипт из формы на сайте, на совсем сторонний сайт отправляет пользовательские персональные данные (номер телефона).
Месяц назад тему подняли в официальном форуме поддержки вордпресс плагина — два человека пожаловались на утечку. Официального ответа там не было.
Стоит ли доверять команде сервиса, которые утверждали в почтовой переписке, что они убрали партнерские запросы, а продолжают подсовывать «троянских коней» на наши сайты? Если они дают возможность третьей стороне грузить бесконтрольно на наши сайты любой js, то что они захотят (эти третьи лица) — правильно ли это? Безопасно ли это? Законно ли это?
Эту запись я публикую — т.к. от команды сервиса uLogin не получил должного ответа.
p.s. при установке WordPress плагина от uLogin не требуется регистрация на их сервисе. А это значит что пользовательское соглашение, что они разместили на своем сайте — не имеет юридической силы.
Если у вас есть идеи и мысли по поводу данного продукта и сложившейся ситуации — добро пожаловать в комментарии.
upd. 2018-06-05 — Вчера я написал письмо службе безопасности вордпресс. Они отреагировали (но к сожалению ответ мне по почте пока не прислали) — плагин в официальном репозитории вордпресса недоступен для скачивания. Посетителя встречает такая надпись:
Или разбираются в вопросе, или дали время команде uLogin на устранение такого поведения.
Комментарии (57)
morr
04.06.2018 22:25+4Ничего удивительного. Если вы пользуетесь чем-то бесплатно, то вы не клиент, вы товар. Вам ничего не должны, и на вас будут зарабатывать так, как смогут. Наверняка, они ещё и базы емайлов пользователей, проходящих через них, продают.
p.s. сам сервис совершенно бесполезен. Если вы программируете сами, или у вас есть свой разработчик, то прикрутить авторизацию через соц сети дело одного-двух дней. Если у вас какая-то готовая cms/фреймворк, то почти ко всем из них есть готовый плагин для этого.OtshelnikFm Автор
04.06.2018 22:29+1Сторонний js — своих партнеров — они не контролируют его и сами не знают что их партнеры снимают с его помощью. В публикации я этот момент выделял жирным шрифтом.
UksusoFF
05.06.2018 10:17Это все справедливо если вы работает на проекте и получаете с него прибыль.
Соц. сети переодически меняют свое и API и на поддержание хотя бы 3-5 провайдеров уходит время.
И с популярными CMS тоже не все так гладко. Нужно в каждой соц. сети получить токен\секрет и следить за изменениями в их API.
У меня есть небольшой проект на Drupal/MediaWiki.
Давайте рассмотрим вариант модулей доступных для них:
Drupal 8 — https://www.drupal.org/project/social_auth — до сих пор beta.
Drupal 7 — https://www.drupal.org/project/hybridauth — вероятно работает, переодически отваливается.
MediaWiki — https://www.mediawiki.org/wiki/Extension:SocialLogin — unstable, Latest version 0.9.9 (2012-11-26)
Возможно на других движках все гораздо лучше, но вариант "поставил и все работает" очень заманчивый. Однако это ни в коем случае не оправдывает поведение uLogin.
Eldhenn
05.06.2018 15:55Вы так говорите, как будто клиент — не товар.
BD9
05.06.2018 19:18+1С точки зрения продажника клиент — очень ценный ресурс, превращать его в товар означает признать своё поражение как продавца.
При этом если клиент ничего не платит и не будет платить — то это вообще-то и не клиент.Eldhenn
05.06.2018 23:03Вот именно, что клиент — это ресурс. Его надо доить. Когда он перестаёт доиться — он может стать товаром, а может даже и не стать.
php_freelancer
04.06.2018 22:44А сейчас этим еще пользуются? Годик назад сервис вообще не работал, пулялся 500 целый месяц мне при попытке авторизоваться на одном из ресурсов. И к тому же сам ресурс-то был — дичайшее старье. Больше я uLogin нигде не встречал. Вообще.
И ассоциации даже с ним тех времен, когда юзали всю эту тему на Kohana github.com/ulogin/ulogin-Kohana… КОХАНА, КАРЛ.
soshnikov
05.06.2018 01:20Наверное, это какая-то вордпрессовская фишка?
По мне так удивительно, использовать сторонний сервис для авторизации пользователей через сторонние сервисы. Странно было бы, если бы они не сливали все подряд любому, кто покажет доллар.
firk
05.06.2018 01:33+1что виджеты социальных сетей, кнопки поделиться, счетчики поисковых систем — все они с нашего сайта собирают данные
Как хорошо, когда вся эта гадость локально заблокирована и не грузит ни браузер, ни внешний вид страницы.
UksusoFF
05.06.2018 10:19uLogin uloginteam же есть на Хабре. Может быть ответ напишут?
OtshelnikFm Автор
05.06.2018 17:59HeadFore я так понимаю он разработчик uLogin — его публикация от 21 октября 2011 говорит об этом. Но интересно — он сейчас у руля этой команды?
HeadFore
05.06.2018 18:08+1Уже очень давно нет, в той публикации есть актуальные контакты.
OtshelnikFm Автор
05.06.2018 18:12Спасибо за ответ — а как вы оцениваете подобную ситуацию?
Читал вашу запись «Биглион освоил чёрное продвижение?» — вы в конце записи оставили «Update» — и говорили, цитирую:
В комментариях отмечают, что это может быть деятельность исключительно партнёров, что на самом-то деле не сильно обеляет компанию, если не противодействуешь, значит одобряешь.
Но со «скидкой»-лотереей на покупку Ford Focus, где ни ответа, ни привета о чёткой дате, когда хоть кто-нибудь сможет купить автомобиль со скидкой 70%, складывается ощущение, что они пытаются выжать максимум из тех сотен тысяч, которые придётся выложить для реализации акции, в последние дни.HeadFore
05.06.2018 18:58Сейчас могу только как потенциальный пользователь оценить: негативно. Для своего проекта скорее всего бы писал код авторизации сам. Про цитирование поста про биглион не понял.
OtshelnikFm Автор
05.06.2018 19:20Про биглион — я заметил в той статье, что вы тоже крайне негативно отнеслись, когда компания начинает работать с партнерами и они в итоге начинают использовать черные методы.
OtshelnikFm Автор
05.06.2018 10:53+1Продукт бесплатный — а значит или отказаться или согласиться при условии что об этом будет сказано:
1. Если они хотят собирать данные:
1.1. пусть трекают через свой сервер и свой js скрипт (потому что я на своем сайте — контролирую работу своих скриптов, ну они будут контролировать работу своих — обеспечивая отсутствия в логах моего сайта ошибок, а не третья сторона — которая лезет: см. скрин выше в записи)
1.2. на странице плагина в ВП репозитории надо написать что они собирают и зачем
1.3. при активации плагина я должен согласиться с тем что они собирают данные. Если я не принял попап с этой информацией — плагин у меня работать не должен.
Больше 2-х месяцев не отвечать своим пользователям на площадке что они завели сами — это не дело.
Аналогично и на форуме поддержки плагина — больше месяца тишина. Если вы делаете сервис — вы ответственно должны подходить.
Но я выбираю отказаться от них. У меня пользователи входят с 3-х соцсетей максимум — буду токены прописывать сам и контролировать процесс.KYuri
05.06.2018 12:11+11.1 «Пусть трекают так, а не иначе»
1.2 «Надо прописать»
1.3 «Они должны получать моё согласие так, а не иначе»
«Если делаете сервис — вы должны»
Внимание, вопрос: почему кто-то Вам что-то должен?
Вы договор с ними заключили?
Если да и они нарушили — идите в суд.
Если нет — нечего плакать. Никто Вас не заставлял использовать сторонний продукт.
Использование стороннего продукта — всегда риск (даже если продукт платный, даже если есть договор).
Если Вы этого не понимаете — ССЗБ.
ЗЫ. У них на странице русским по белому указано: «Другие сайты – эта политика конфиденциальности относится исключительно к службам uLogin. Сайты, на которые есть ссылки, непосредственно из этих служб, сайты, использующие продукты, приложения и службы uLogin компания не контролирует. Эти сайты могут самостоятельно помещать на электронное устройство пользователя файлы cookie, а также заниматься сбором данных или присылать запросы о личной информации.»
Кто Вам виноват, что вы не читаете?OtshelnikFm Автор
05.06.2018 12:17+1У них на странице
— пользователь, ставя плагин из репозитория ВП ничего не знает про «их страницу» и их правила что они прописали. Только регистрируясь на их сайте ему дают возможность увидеть эти правила.
p.s. плагин из репозитория вордпресс безопасники удалили (закрыли возможность скачать)
Сейчас дополню постKYuri
05.06.2018 12:31+11) Кто виноват, что Вы устанавливаете плагины без описания?
2) С чего вы решили, что плагин в репозитории WP связан с ulogin.ru? Ссылка с ulogin.ru ведет на GitHub
BD9
05.06.2018 19:38+1При работе какой-либо организации она должна исполнять местные законы (Евросоюз, РФ, ...). Законы о персональных данных — есть. При нарушении законов нарушитель преследуется по закону уполномоченными органами. Пользователь услуги (в данном случае — другая организация) может предполагать добросовестность другой стороны. У обычного участника рыночных отношений не должно быть особых прав по борьбе с нарушителями законодательства, соответственно, у него нет и не будет возможностей для расширенной проверки контрагента. А у уполномоченных органов это есть.
В данном случае пользователь обнаружил нарушения правил добросовестного ведения дел и законодательства, решил вопрос, обнародовал решение. Бизнес-среда от этого — улучшилась. Автор — молодец.KYuri
05.06.2018 20:16+1Давайте я изменю антураж, чтобы лучше разъяснить свою позицию.
Автор нашёл в парке на скамейке коробку с надписью «вкусный торт».
Он не пришёл в магазин, где совершил сделку купли-продажи «я вам деньги — вы мне торт». Не заказал торт в пекарне «сделайте мне такой-то и такой-то торт».
Нашёл и забрал. Никто никаких гарантий о содержимом коробки ему не давал. А маленькую записку, что лежала рядом с коробкой, автор проигнорировал.
С этой коробкой он пришёл в гости к знакомым.
Открыли коробку, стали пить чай. И в процессе чаепития выяснилось, что в качестве ингредиента в торт кто-то добавил собачье [censored].
Я не одобряю добавления [censored] в торты.
Но в сложившейся ситуации, на мой взгляд, виноват только автор — изготовитель торта не обещал, что его (изготовителя) цели совпадут с ожиданиями автора.
И более того — рядом поместил бумажку, которую автор либо невнимательно прочитал, либо не обратил на неё внимания.
Нет договора — не должно быть и ожиданий. Ожидаешь чего-то без договора — ССЗБ.hexploy
06.06.2018 02:57Без договора обычно ожидают исполнение требований законодательства. В том числе касательно персональных данных.
Кроме того, пострадавшие — это не те, кто установил себе подобный виджет на сайт, а пользователи этого сайта, которые о uLogin могли никогда и не слышать.
И да, оставлять испорченные продукты питания на скаймейке в парке с умыслом отравить других лиц — уже состав преступления. Даже если где-то рядом (да хоть на самом торте) была бумажка с описанием ингредиентов.KYuri
06.06.2018 07:34Поехали от конца к началу:
И да, оставлять испорченные продукты питания на скаймейке в парке с умыслом отравить других лиц — уже состав преступления. Даже если где-то рядом (да хоть на самом торте) была бумажка с описанием ингредиентов.
От [censored] не умирают.
Закон не запрещает изготовления [censored].
Закон не запрещает даже предоставления [censored] для потребления в пищу.
Закон от поставщика (не производителя!) только требует предварительно получить у потребителя галку «согласен потреблять [censored]».
Изготовитель торта не нарушил закон.
Он создал продукт, соответствующий закону.
И честно рассказал, что полученный продукт содержит [censored].
Нарушение закона может произойти при использовании определенного способа потребления данного продукта.
Нарушил закон автор, не получив от друзей перед чаепитием галку «согласен потреблять [censored]».
Автор может теперь рассказывать всем «я не знал, что там [censored]», но по закону виноват будет именно он.
И может сколько угодно кричать «изготовитель торта мне должен то-то и то-то». Изготовитель торта ему ничего не обещал, и поэтому — не должен.
Кроме того, пострадавшие — это не те, кто установил себе подобный виджет на сайт, а пользователи этого сайта, которые о uLogin могли никогда и не слышать.
Ещё раз — ответственность несет поставщик, а не изготовитель.
Именно поэтому виноват автор, накормивший непроверенным тортом друзей, а не изготовитель торта.
Без договора обычно ожидают исполнение требований законодательства. В том числе касательно персональных данных.
Создание торта с [censored] не нарушает никаких законов.
Предоставление такого торта потребителю — может.
Ожидания автора о том, что кто-то за него должен решать его проблемы — необоснованны.
Barafu_Albino_Cheetah
06.06.2018 05:20Если потребитель торта отравится, у поставщика торта будут проблемы независимо от цены торта и наличия сопроводительных записок.
BD9
06.06.2018 21:09Отсутствие бумаги с заглавием «Договор ...» не означает отсутствие договора.
Когда владелец открывает магазин и вешает ценники на товар, он начинает действовать в рамках договора публичной оферты (офёрты?). Когда покупатель приходит с улицы и покупает в магазине товар, скажем, булку хлеба, он присоединяется к дорговору оферты (акцептирует его). Подтверждением заключения договора является кассовый чек.
Наличие или отсутствие бумаги с текстом договором, подписью и печатями — вопрос удобства.
Без закона о защите ПД WordPress не стали бы так быстро закрывать плагин от скачивания.
Valsha
05.06.2018 12:22uLogin совершенно бессмысленный сервис, уже примерно около 5 лет. Как писали выше все давно сами делают авторизацию через соцсети, благо у всех соцсетей есть уже толковые API и SDK.
OtshelnikFm Автор
05.06.2018 12:29Но им пользовались, а их поведение никто в интернете не оглашал. Общественность должна знать.
Сам смотрю на вот этот набор «Hybridauth»: github.com/hybridauth/hybridauth
Valsha
05.06.2018 12:34+1Мы тоже использовали HybridAuth, вполне вменяемо. Ну uLogin действительно когда то использовали (в далеко прошедшем времени), но как писал выше, его давно уже почти никто не использует. Поэтому у них и «плохие времена» и они сливают данные. Вы подождите немного, когда станет вообще плохо они подсунут JS лоадер с малварью.
Erohudni
05.06.2018 13:19Для кого придумали плагин Ghostery?
Ссылка Для хрома.extensionsapp
05.06.2018 14:04+1Джентельменский набор нового браузера:
AdBlock Plus (блокирует рекламу)
uBlock Origin (защищает IP от слива через WebRTC)
Ghostery (блокирует все трекеры и статистики)
HTTPS Everywhere (всегда использовать HTTPS)JC_IIB
05.06.2018 14:48+1и все это — в виртуальной машине, используемой только для веб-серфинга. Срок жизни такой машины должен исчисляться часами — пришел вечером с работы, поднял из шаблона, посерфил, перед сном — грохнул всю целиком, вместе со всем следящим дерьмом, которое расползлось по разным там каталогам, LSO, флэш-куки и прочему.
На этой ВМ вполне можно использовать Linux. Плюс, сейчас уже вроде есть какие-то решения для подделки browser fingerprinting, надо бы почитать.
Если лень ВМ шаблонить — регулярно использовать плагин Click&Clean.
dartraiden
05.06.2018 19:37AdBlock Plus (блокирует рекламу)
uBlock Origin (защищает IP от слива через WebRTC)
Я, наверное, скажу общеизвестную вещь, но uBlock тоже блокирует рекламу.
smallreg
05.06.2018 13:23Я пару лет назад попробовал логин от Яндекса, и он мне понравился, правда API потом меняли, но старые примеры продолжают работать (они выглядят лучше). В тот момент с uLogin сравнивал, но почему-то выбрал Яндекс.
fukkit
05.06.2018 15:16+1Комментаторы, которые поддерживают идею о том что «оно же бесплатное, а значит вы — товар, прав у вас нет, на вас будут зарабатывать, продавая ваши персональные данные кому угодно, установил — сам виноват» повергают меня в уныние.
hexploy
06.06.2018 03:14Известная тема:
'Шёл ночью по темной улице — сам виноват.'
'Надела короткую юбку — сама виновата.'
…
У некоторых людей «талант» перекладывать вину с преступника на жертву. Особенно повергает в уныние видеть таких людей на хабре :(Barafu_Albino_Cheetah
06.06.2018 05:24Равно как у некоторых талан ожидать, что вот прямо сейчас, в 2018 году, кто-то мифический им предоставит стерильную среду для существования, где не нужно себя защищать.
Если нарвался на очевидное и предсказуемое преступление в отношении тебя — виноват сам.hexploy
07.06.2018 00:00Даже читать мерзко. Логика преступников и им сочувствующих.
Предлагаю ознакомиться с уголовным правом современных цивилизованных стран. Оно как раз не о защите и стерильной среде, а о наказании за содеянное. Узнаете много нового, в частности — кто же является виновным в тех или иных ситуациях.Barafu_Albino_Cheetah
07.06.2018 05:34Ага, мне тоже кажется, что преступник и честный человек давно стало одно и то же. Какая разница, кто там виноват по закону? Закон написан, чтобы держать в узде толпу, а интеллект толпы, как известно, всегда низводится к наихудшему её представителю. Ни ум, ни совесть к уголовному праву отношения не имеют, это вообще несвязанные вещи. Иногда взаимно враждебные.
Если кто с криком «Эй вы, дайте пива!» подходит к незнакомой толпе быдловатой наружности, то во всём, что последует, виноват он. Не по закону виноват, а по уму.JC_IIB
07.06.2018 09:18Какая разница, кто там виноват по закону?
Это вот вы шутите так сейчас?
интеллект толпы, как известно, всегда низводится к наихудшему её представителю
«Как известно, лучший способ протащить какуюнибудь сомнительную идею — начать ее со слов «естественно», «очевидно» или «как известно»» (С)
Не по закону виноват, а по уму.
Хорошо, что в уголовном праве отсутствуют фразы вида «по уму», «по-людски», ну и «по понятиям» тоже.
Frankenstine
05.06.2018 16:23Нашёл доступ для uLogin к моим данным в фейсбуке (когда-то пользовался для входа куда-то). На всякий случай удалил.
2bione
05.06.2018 17:45На всякий случай удалил.
Периодически проверяйте свои аккаунты в соц. сетях на наличия доступов к персональной информации от сторонних приложений.
Около 2 лет назад я начал проверять аккаунт гугл, вк и нашел такие приложения и сайты, у которых домены уже просрочены и никому не нужны. После этого начал делать подобные проверки раз в несколько месяцев.
Большое спасибо гуглу, который периодически в последнее время начал об этом напоминать.
SerafimArts
05.06.2018 17:28Не пользовался никогда этой штукой, за сим могу ошибаться в суждениях:
Это ведь JS скрипт? Если да, то почему тогда просто не прописать integrity атрибут и на всякий залочить его cors правами (same-origin)?
Первое зафиксирует версию и любые изменения будут блочиться браузером, а второе избавляет от утечек кукисов, если разраб не прикрыл их http-only.
customtema
05.06.2018 21:08Давно-давно прикрутил uLogin. Мимодумно. Потом заказчик сделал замечание — зачем заставляем пользователей нажимать лишнюю кнопку? Посмотрел и подумал, в самом деле, зачем?
Написал 10 строк для oAuth2, теперь нажимают одну кнопку для авторегистрации или входа.
prs123
надо в опрос добавить вариант: «не поддерживаю их действия, но юридически возможно»
нашёл у них политику конфидициальности, там написано:
То есть если это некто «aidata» их афилированная компания, то вроде как и законно. Но вот является ли она таковой?
OtshelnikFm Автор
Вы не обратили в конце публикации я в p.s. сразу добавил на этот счет:
prs123
Как раз таки заметил, более того, где-то у вордпресса было (не помню где), что конфидициальность работы со сторонними плагинами не гарантируется.