Героем сегодняшнего повествования будет небезызвестный сервис быстрой конфигурации и интеграции социальных кнопок для кросспостинга в социальные сети Pluso. Мотивом для написания статьи послужила ситуация, с которой мы столкнулись однажды на своих проектах.
Сервис быстро набрал популярность в виду простой, не требующих глубоких знаний, процедуре настройки и интеграции кнопок на любые сайты. Красивый современный дизайн кнопок привлек аудиторию к сервису. Сервис быстро набрал популярность и плагин начал разлетаться как горячие пирожки.
ПРИНЦИП РАБОТЫ И УСТАНОВКИ НА САЙТ PLUSO
Для установки на сайт нам предлагают интегрировать JS код на страницу и вставить в нужное вам место HTML разметку, например:
<script type="text/javascript">(function() {
if (window.pluso)if (typeof window.pluso.start == "function") return;
if (window.ifpluso==undefined) { window.ifpluso = 1;
var d = document, s = d.createElement('script'), g = 'getElementsByTagName';
s.type = 'text/javascript'; s.charset='UTF-8'; s.async = true;
s.src = ('https:' == window.location.protocol ? 'https' : 'http') + '://share.pluso.ru/pluso-like.js';
var h=d[g]('body')[0];
h.appendChild(s);
}})();</script>
<div class="pluso" data-background="#ebebeb" data-options="big,square,line,horizontal,counter,theme=04" data-services="vkontakte,odnoklassniki,facebook,twitter,google,moimir,email,print"></div>
Из JS скрипта видно, что его задача — подключить сторонний JS по ссылки на сервис Pluso, что и происходит при загрузке страницы. Далее, выявленный скрипт выполняет код, который заложил разработчик, а именно:
- Инициализирует социальный кнопки
- Проводит подсчеты репостов
- И всё, что угодно, что захочет разработчик
Если вы уже догадались о какой опасности пойдет речь — вы молодчик! Для тех кто не осознал всю степень риска - поясню.
Дело в том, что скрипт который вы подключаете к своему проекту физически находится на сервисе Pluso и вы не владеете и не контролируете код и логику кода, который запускается на вашем сайте, т.к. физического доступа к скрипту имеет только разработчик! Проще выражаясь — вы добровольно интегрируете код на свой сайт, который легко корректируется разработчиком и выполняет функции, которые захочет реализовать разработчик.
С угрозой внедрения любого кода на ваш сайт мы вроде бы разобрались. Но угрозы угрозами, а факты совсем другое дело.
Время шло, аудитория Pluso росла, сайтов-пользователей становилось больше. В один момент разработчики сервиса все-таки решились воспользоваться возможностью заработать на своих пользователях и, вероятно, слить информацию о посетителях ваших сайтов третьим лицам. Разработчики внедряют в свой JS код скрипты по сбору информации и решению других задач, ведомых только им. Моментально все пользователи сервиса превращаются в дойных коров, обманутых разработчиками сервиса.
PLUSO ВСТАВЛЯЕТ IFRAME В РАЗМЕТКУ СТРАНИЦЫ, КАК ИСПРАВИТЬ?
НИКАК! Нужно полностью отказаться от использования сервисом Pluso и перейти на использование проверенных временем и безопасных скриптов интеграции социальных кнопок, например: share42.
В ряде случаев при подключении плагина Pluso происходит динамическая подгрузка iframe в разметку кода страницы. Происходит это спустя какое-то время.
Происходит динамическая подгрузка неведомого лишнего кода и контента:
ВЫВОДЫ
Подведем итоги данной статьи с нашими рекомендациями на будущее:
- В срочно порядке отказывайтесь от использования сервиса Pluso, если только вы не желаете быть добровольно обманутым.
- Остерегайтесь сторонних скриптов, которые размещены на сторонних сервисах — у вас нет контроля за их содержимым.
Всем спасибо за внимание! Будьте осторожны! Надеемся, что статья была полезна для вас.
