Один из клиентов GoDaddy обратил внимание, что хостер внедряет в HTML-страницы своих пользователей посторонний JavaScript.

На админской стороне никаких скриптов не было, а со стороны клиента в коде появился <script></script> с комментарием от хостера.

<script>'undefined'=== typeof _trfq || (window._trfq = []);'undefined'=== typeof _trfd && (window._trfd=[]),_trfd.push({'tccl.baseHost':'secureserver.net'}),_trfd.push({'ap':'cpsh'},{'server':'xxxxxxxx0000'}) // Monitoring performance to make your website faster. If you want to opt-out, please contact web hosting support.</script><script src='https://img1.wsimg.com/tcc/tcc_l.combined.1.0.6.min.js'></script>

Конечно, комментарий объясняет поведение скрипта, который предназначен для мониторинга производительности. Но пользователь всё равно не мог поверить, что хостер производит инъекции JavaScript без его согласия.

Но GoDaddy действительно делает это. Технология называется Real User Metrics. В правилах использования сервиса написано, что все клиенты из США автоматически подписываются на эту услугу. Имеются в виду клиенты, чьи сайты располагаются в американском дата-центре. На страницы этих сайтов посторонний JavaScript внедряется по умолчанию.

Самое интересное, что даже в справочном разделе GoDaddy признаёт, что эти скрипты «могут замедлить или сломать ваш сайт».



Для отключения навязанной услуги следует щёлкнуть по кнопке с многоточием в правом верхнем углу админского интерфейса, выбрать пункт Help us, и далее Opt Out.





После этого посторонние скрипты исчезнут со страниц сайта.

Комментарии (30)


  1. brzsmg
    14.01.2019 16:12
    +1

    Сурово. Помню билайн клиентам инъекции делал:
    Билайн добавляет тулбар
    Но не ожидал такого от заокеанских коллег, в платной услуге.


    1. mistergrim
      14.01.2019 19:49
      +3

      Ну в общем-то билайн клиентам тоже интернет не бесплатно предоставлял.


      1. x67
        15.01.2019 16:15

        Реклама — тоже интернет. А вот фильтрация рекламы — уже услуга! Хмм, похоже мне пора руководить отделом развития крупного опсоса)


    1. Andy_Big
      14.01.2019 20:50
      +1

      Мегафон и до сих пор время от времени вставляет на какую-нибудь страницу баннер на весь экран с рекламой своих сервисов.


      1. wxmaper
        15.01.2019 05:10

        А в МТС при отлове ошибки 404 переадресовывает с сайта на свой сервис. Это нереально раздражает, помню как-то нужно было скопировать ссылку с ошибкой 404, но я не смог этого сделать из-за моментальной переадресации. И самое печальное, что от этой навязанной ерунды никак не отказаться.


        1. some_x
          15.01.2019 10:19

          Ну это просто вредительство


          1. Andy_Big
            15.01.2019 15:59

            А когда мегафоновский модем при исчерпании трафика открывает вместо целевых страниц мегафоновскую страницу «У Вас закончился трафик»? Включаешь комп, запускаешь Хром с десятком открытых закладок, которые читаются регулярно, и получаешь вместо них десять мегафоновских страниц. И все, «Назад» не всегда срабатывает. Вот это вот вредительство самое натуральное.


      1. JediPhilosopher
        15.01.2019 15:40

        У меня в мой же блог на вордпрессе мегафон пихал рекламу свою. На длиннопост про конференцию получил пять баннеров.
        Пришлось заморочиться с настройкой https.


  1. berezuev
    14.01.2019 17:40
    +3

    За последние несколько лет про GoDaddy только плохие новости. Почему его по прежнему кто-то использует?


    1. robert_ayrapetyan
      14.01.2019 19:33

      По инерции, из-за ДНС. Перенос ДНС весьма болезненным для бизнеса может оказаться. А хостинг они впарили в своей вырвиглазной админке за много лет куче компаний.


      1. Borz
        14.01.2019 20:09
        +1

        на время перехода можно задублировать же информацию. несколько дней подождать и уйти со старого


        1. robert_ayrapetyan
          14.01.2019 20:12

          Не помню деталей, но так не получалось сделать. При трансфере домена он сразу исчезал из годедди, а на амазоне появился только через сутки.


          1. Hilbert
            14.01.2019 22:12
            +1

            Проблемы могут возникнуть, только если в NS-записях серверы GoDaddy. Никто не мешает перед переносом указать другие нейм-серверы.


            1. robert_ayrapetyan
              14.01.2019 22:33

              Возможно я не подождал 48 часов после дублирования ДНС записей перед трансфером самого домена. Но помню что ситуация была «ни туда ни сюда» и все простояло много часов.


    1. Zoolander
      15.01.2019 10:01

      потому что нормальная работа чего-либо не попадает в новости
      не попадают в новости построенные дома, законченные вовремя проекты, взлетевшие ракеты взлетают тихо

      и наоборот, весть о затонувшем Титанике моментально облетает весь мир, лобовое столкновние поездов потрясает людей и за пределами страны, а зафейленный проект продолжают помнить Джону Ромеро — несмотря на то, что у него за плечами куча хорошо сделанной работы до и после «Дайкатаны»


  1. Javid_Musayev
    14.01.2019 18:10
    +1

    Странно. В комментарии пишут "… to make your website faster", а в справочном разделе "… slower site performance, or broken/inoperable website.". Остаётся догадываться, что же он в конце концов делает.


    1. tuxx
      14.01.2019 18:48
      +1

      Сделаем медленнее, чтобы отключить и сделать быстрее


    1. zelenin
      14.01.2019 19:37
      +7

      ты когда включаешь отладочную информацию в код, делаешь его медленнее, но медленнее ты его делаешь, чтобы сделать быстрее. Вроде все логично.


      1. 0xd34df00d
        15.01.2019 15:26

        Сделать код быстрее помогает профайлер. А дебаг-символы код медленнее не делают.


        1. zelenin
          15.01.2019 15:33

          дебаг-символы?.. я так и написал — дебаг-символы?


          1. 0xd34df00d
            15.01.2019 15:34

            Можно, конечно, предположить, что вы имели в виду отсутствие оптимизаций, но обычно отладочной информацией называют не это.


  1. MiXei4
    14.01.2019 22:44

    В 2017 году это уже было. Может и раньше. Странно, что заметили сейчас.


  1. ideological
    15.01.2019 02:04

    GoDaddy и трэш — синонимы, непонятно что за мазохисты такие эти пользователи пострадавшие.


  1. Nikelandjelo
    15.01.2019 06:02

    Раздули кипиш из ничего. Добавлять скрипты для измерение производительности страницы — стандартная и хорошая практика веб разработки. Хотите или не хотите, а на дворе 2019 год и на клиенте сидит значительная часть приложения и замерять ее надо.

    И эта часть из оригинальной статьи:

    I am not against web host providers monitoring how their servers are running. Using a technology like RUM is a great way to do it, but this is meant to be a passive technology that is invisible to the end user. Injecting JavaScript into pages being served is far from passive and, at least in my eyes, is a violation of trust between the web host and the customer.


    Первая часть — бред. Мониторинг на клиенте такой же пассивный как и мониторинг на сервере. Пользователь его не видит. И оба не дают 100% гарантии того, что не ухудшат производительность или не положат страницу или сервер.

    Но вопрос с доверием остается. Но тоже непонятно, если godaddy предоставляет какой-то UI-конструктор для создания сайта и они заправляют самим рендерингом html то ожидаемо, что они могут вставлять дополнительные части на страницы.


    1. brzsmg
      15.01.2019 09:02

      Кому надо замерять? Если я плачу деньги за хостинг, то хочу получать на выходе то что формирую. И хостер не должен засовывать свой нос скрипт в браузер моих клиентов.


      1. Nikelandjelo
        15.01.2019 09:16

        В этом случае арендуйте сервер, настройте SSL (который уже похоже норма) и используйте godaddy как регистратора. На другом конце спектра CMS где cвой сайт накликивается с редактора, в этом случае владелец CMS что хочет, то и вставляет. Вопрос где на этом спектре находится godaddy и что понимается под хостингом. Я не знаю.


        1. sergeysm128
          15.01.2019 12:21

          зачем арендовать целый сервер из-за «хотелок» godaddy, проще сменить хостинг


  1. v1000
    15.01.2019 09:01
    +1

    В свое время хотел зарегистрировать домен в GoDaddy.
    В прайс-листе отдельной строкой шла ПЛАТНАЯ возможность застраховать себя от угона домена по причине факапа. ФАКАПА САМОЙ КОМПАНИИ.
    Я понял, что не хочу регистрировать домен у этой компании.


    1. Cerberuser
      15.01.2019 14:23

      Мне аж интересно, как это "по причине факапа" называлось официально...


      1. v1000
        15.01.2019 22:49

        Я запомнил это как «случайную смену владельца домена, в том числе и по виде компании».
        Возможно я мог неточно перевести эту фразу, но на тот момент меня она удивила.