Один из клиентов GoDaddy обратил внимание, что хостер внедряет в HTML-страницы своих пользователей посторонний JavaScript.
На админской стороне никаких скриптов не было, а со стороны клиента в коде появился <script></script> с комментарием от хостера.
<script>'undefined'=== typeof _trfq || (window._trfq = []);'undefined'=== typeof _trfd && (window._trfd=[]),_trfd.push({'tccl.baseHost':'secureserver.net'}),_trfd.push({'ap':'cpsh'},{'server':'xxxxxxxx0000'}) // Monitoring performance to make your website faster. If you want to opt-out, please contact web hosting support.</script><script src='https://img1.wsimg.com/tcc/tcc_l.combined.1.0.6.min.js'></script>
Конечно, комментарий объясняет поведение скрипта, который предназначен для мониторинга производительности. Но пользователь всё равно не мог поверить, что хостер производит инъекции JavaScript без его согласия.
Но GoDaddy действительно делает это. Технология называется Real User Metrics. В правилах использования сервиса написано, что все клиенты из США автоматически подписываются на эту услугу. Имеются в виду клиенты, чьи сайты располагаются в американском дата-центре. На страницы этих сайтов посторонний JavaScript внедряется по умолчанию.
Самое интересное, что даже в справочном разделе GoDaddy признаёт, что эти скрипты «могут замедлить или сломать ваш сайт».
Для отключения навязанной услуги следует щёлкнуть по кнопке с многоточием в правом верхнем углу админского интерфейса, выбрать пункт Help us, и далее Opt Out.
После этого посторонние скрипты исчезнут со страниц сайта.
Комментарии (30)
berezuev
14.01.2019 17:40+3За последние несколько лет про GoDaddy только плохие новости. Почему его по прежнему кто-то использует?
robert_ayrapetyan
14.01.2019 19:33По инерции, из-за ДНС. Перенос ДНС весьма болезненным для бизнеса может оказаться. А хостинг они впарили в своей вырвиглазной админке за много лет куче компаний.
Borz
14.01.2019 20:09+1на время перехода можно задублировать же информацию. несколько дней подождать и уйти со старого
robert_ayrapetyan
14.01.2019 20:12Не помню деталей, но так не получалось сделать. При трансфере домена он сразу исчезал из годедди, а на амазоне появился только через сутки.
Hilbert
14.01.2019 22:12+1Проблемы могут возникнуть, только если в NS-записях серверы GoDaddy. Никто не мешает перед переносом указать другие нейм-серверы.
robert_ayrapetyan
14.01.2019 22:33Возможно я не подождал 48 часов после дублирования ДНС записей перед трансфером самого домена. Но помню что ситуация была «ни туда ни сюда» и все простояло много часов.
Zoolander
15.01.2019 10:01потому что нормальная работа чего-либо не попадает в новости
не попадают в новости построенные дома, законченные вовремя проекты, взлетевшие ракеты взлетают тихо
и наоборот, весть о затонувшем Титанике моментально облетает весь мир, лобовое столкновние поездов потрясает людей и за пределами страны, а зафейленный проект продолжают помнить Джону Ромеро — несмотря на то, что у него за плечами куча хорошо сделанной работы до и после «Дайкатаны»
Javid_Musayev
14.01.2019 18:10+1Странно. В комментарии пишут "… to make your website faster", а в справочном разделе "… slower site performance, or broken/inoperable website.". Остаётся догадываться, что же он в конце концов делает.
zelenin
14.01.2019 19:37+7ты когда включаешь отладочную информацию в код, делаешь его медленнее, но медленнее ты его делаешь, чтобы сделать быстрее. Вроде все логично.
0xd34df00d
15.01.2019 15:26Сделать код быстрее помогает профайлер. А дебаг-символы код медленнее не делают.
zelenin
15.01.2019 15:33дебаг-символы?.. я так и написал — дебаг-символы?
0xd34df00d
15.01.2019 15:34Можно, конечно, предположить, что вы имели в виду отсутствие оптимизаций, но обычно отладочной информацией называют не это.
ideological
15.01.2019 02:04GoDaddy и трэш — синонимы, непонятно что за мазохисты такие эти пользователи пострадавшие.
Nikelandjelo
15.01.2019 06:02Раздули кипиш из ничего. Добавлять скрипты для измерение производительности страницы — стандартная и хорошая практика веб разработки. Хотите или не хотите, а на дворе 2019 год и на клиенте сидит значительная часть приложения и замерять ее надо.
И эта часть из оригинальной статьи:
I am not against web host providers monitoring how their servers are running. Using a technology like RUM is a great way to do it, but this is meant to be a passive technology that is invisible to the end user. Injecting JavaScript into pages being served is far from passive and, at least in my eyes, is a violation of trust between the web host and the customer.
Первая часть — бред. Мониторинг на клиенте такой же пассивный как и мониторинг на сервере. Пользователь его не видит. И оба не дают 100% гарантии того, что не ухудшат производительность или не положат страницу или сервер.
Но вопрос с доверием остается. Но тоже непонятно, если godaddy предоставляет какой-то UI-конструктор для создания сайта и они заправляют самим рендерингом html то ожидаемо, что они могут вставлять дополнительные части на страницы.brzsmg
15.01.2019 09:02Кому надо замерять? Если я плачу деньги за хостинг, то хочу получать на выходе то что формирую. И хостер не должен засовывать свой
носскрипт в браузер моих клиентов.Nikelandjelo
15.01.2019 09:16В этом случае арендуйте сервер, настройте SSL (который уже похоже норма) и используйте godaddy как регистратора. На другом конце спектра CMS где cвой сайт накликивается с редактора, в этом случае владелец CMS что хочет, то и вставляет. Вопрос где на этом спектре находится godaddy и что понимается под хостингом. Я не знаю.
sergeysm128
15.01.2019 12:21зачем арендовать целый сервер из-за «хотелок» godaddy, проще сменить хостинг
v1000
15.01.2019 09:01+1В свое время хотел зарегистрировать домен в GoDaddy.
В прайс-листе отдельной строкой шла ПЛАТНАЯ возможность застраховать себя от угона домена по причине факапа. ФАКАПА САМОЙ КОМПАНИИ.
Я понял, что не хочу регистрировать домен у этой компании.Cerberuser
15.01.2019 14:23Мне аж интересно, как это "по причине факапа" называлось официально...
v1000
15.01.2019 22:49Я запомнил это как «случайную смену владельца домена, в том числе и по виде компании».
Возможно я мог неточно перевести эту фразу, но на тот момент меня она удивила.
brzsmg
Сурово. Помню билайн клиентам инъекции делал:
Билайн добавляет тулбар
Но не ожидал такого от заокеанских коллег, в платной услуге.
mistergrim
Ну в общем-то билайн клиентам тоже интернет не бесплатно предоставлял.
x67
Реклама — тоже интернет. А вот фильтрация рекламы — уже услуга! Хмм, похоже мне пора руководить отделом развития крупного опсоса)
Andy_Big
Мегафон и до сих пор время от времени вставляет на какую-нибудь страницу баннер на весь экран с рекламой своих сервисов.
wxmaper
А в МТС при отлове ошибки 404 переадресовывает с сайта на свой сервис. Это нереально раздражает, помню как-то нужно было скопировать ссылку с ошибкой 404, но я не смог этого сделать из-за моментальной переадресации. И самое печальное, что от этой навязанной ерунды никак не отказаться.
some_x
Ну это просто вредительство
Andy_Big
А когда мегафоновский модем при исчерпании трафика открывает вместо целевых страниц мегафоновскую страницу «У Вас закончился трафик»? Включаешь комп, запускаешь Хром с десятком открытых закладок, которые читаются регулярно, и получаешь вместо них десять мегафоновских страниц. И все, «Назад» не всегда срабатывает. Вот это вот вредительство самое натуральное.
JediPhilosopher
У меня в мой же блог на вордпрессе мегафон пихал рекламу свою. На длиннопост про конференцию получил пять баннеров.
Пришлось заморочиться с настройкой https.