Почему НЕЛЬЗЯ использовать Pluso и почему он вставляет iframe

Сервис быстро набрал популярность в виду простой, не требующих глубоких знаний, процедуре интеграции кнопок на сайты. В этой статье расскажем, какие угрозы представляет Pluso сервис и почему стоит выбрать более проверенные и безопасные!

Героем сегодняшнего повествования будет небезызвестный сервис быстрой конфигурации и интеграции социальных кнопок для кросспостинга в социальные сети Pluso. Мотивом для написания статьи послужила ситуация, с которой мы столкнулись однажды на своих проектах.

Сервис быстро набрал популярность в виду простой, не требующих глубоких знаний, процедуре настройки и интеграции кнопок на любые сайты. Красивый современный дизайн кнопок привлек аудиторию к сервису. Сервис быстро набрал популярность и плагин начал разлетаться как горячие пирожки.

ПРИНЦИП РАБОТЫ И УСТАНОВКИ НА САЙТ PLUSO

Для установки на сайт нам предлагают интегрировать JS код на страницу и вставить в нужное вам место HTML разметку, например: 

<script type="text/javascript">(function() {
  if (window.pluso)if (typeof window.pluso.start == "function") return;
  if (window.ifpluso==undefined) { window.ifpluso = 1;
    var d = document, s = d.createElement('script'), g = 'getElementsByTagName';
    s.type = 'text/javascript'; s.charset='UTF-8'; s.async = true;
    s.src = ('https:' == window.location.protocol ? 'https' : 'http')  + '://share.pluso.ru/pluso-like.js';
    var h=d[g]('body')[0];
    h.appendChild(s);
  }})();</script>
<div class="pluso" data-background="#ebebeb" data-options="big,square,line,horizontal,counter,theme=04" data-services="vkontakte,odnoklassniki,facebook,twitter,google,moimir,email,print"></div>

Из JS скрипта видно, что его задача — подключить сторонний JS по ссылки на сервис Pluso, что и происходит при загрузке страницы. Далее, выявленный скрипт выполняет код, который заложил разработчик, а именно:

  1. Инициализирует социальный кнопки
  2. Проводит подсчеты репостов
  3. И всё, что угодно, что захочет разработчик

Если вы уже догадались о какой опасности пойдет речь — вы молодчик! Для тех кто не осознал всю степень риска - поясню.

Дело в том, что скрипт который вы подключаете к своему проекту физически находится на сервисе Pluso и вы не владеете и не контролируете код и логику кода, который запускается на вашем сайте, т.к. физического доступа к скрипту имеет только разработчик! Проще выражаясь — вы добровольно интегрируете код на свой сайт, который легко корректируется разработчиком и выполняет функции, которые захочет реализовать разработчик.

С угрозой внедрения любого кода на ваш сайт мы вроде бы разобрались. Но угрозы угрозами, а факты совсем другое дело.

Время шло, аудитория Pluso росла, сайтов-пользователей становилось больше. В один момент разработчики сервиса все-таки решились воспользоваться возможностью заработать на своих пользователях и, вероятно, слить информацию о посетителях ваших сайтов третьим лицам. Разработчики внедряют в свой JS код скрипты по сбору информации и решению других задач, ведомых только им. Моментально все пользователи сервиса превращаются в дойных коров, обманутых разработчиками сервиса.

PLUSO ВСТАВЛЯЕТ IFRAME В РАЗМЕТКУ СТРАНИЦЫ, КАК ИСПРАВИТЬ?

НИКАК! Нужно полностью отказаться от использования сервисом Pluso и перейти на использование проверенных временем и безопасных скриптов интеграции социальных кнопок, например: share42.

В ряде случаев при подключении плагина Pluso происходит динамическая подгрузка iframe в разметку кода страницы. Происходит это спустя какое-то время.

DtaIONQI-2

Происходит динамическая подгрузка неведомого лишнего кода и контента:

5fca257dde2bc6e3749052fc03c1c544-2

ВЫВОДЫ

Подведем итоги данной статьи с нашими рекомендациями на будущее:

  1. В срочно порядке отказывайтесь от использования сервиса Pluso, если только вы не желаете быть добровольно обманутым.
  2. Остерегайтесь сторонних скриптов, которые размещены на сторонних сервисах — у вас нет контроля за их содержимым.

Всем спасибо за внимание! Будьте осторожны! Надеемся, что статья была полезна для вас.


Выберите город