Героем сегодняшнего повествования будет небезызвестный сервис быстрой конфигурации и интеграции социальных кнопок для кросспостинга в социальные сети PLUSO. Мотивом для написания статьи послужила ситуация, с которой мы столкнулись однажды на своих проектах.
Сервис быстро набрал популярность в виду простой, не требующих глубоких знаний, процедуре настройки и интеграции кнопок на любые сайты. Красивый современный дизайн кнопок привлек аудиторию к сервису. Сервис быстро набрал популярность и плагин начал разлетаться как горячие пирожки.
ПРИНЦИП РАБОТЫ И УСТАНОВКИ НА САЙТ PLUSO
Для установки на сайт нам предлагают интегрировать JS код на страницу и вставить в нужное вам место HTML разметку, например:
<script type="text/javascript">(function() {
if (window.pluso)if (typeof window.pluso.start == "function") return;
if (window.ifpluso==undefined) { window.ifpluso = 1;
var d = document, s = d.createElement('script'), g = 'getElementsByTagName';
s.type = 'text/javascript'; s.charset='UTF-8'; s.async = true;
s.src = ('https:' == window.location.protocol ? 'https' : 'http') + '://share.pluso.ru/pluso-like.js';
var h=d[g]('body')[0];
h.appendChild(s);
}})();</script>
<div class="pluso" data-background="#ebebeb" data-options="big,square,line,horizontal,counter,theme=04" data-services="vkontakte,odnoklassniki,facebook,twitter,google,moimir,email,print"></div>
Из JS скрипта видно, что его задача - подключить сторонний JS по ссылки на сервис PLUSO, что и происходит при загрузке страницы. Далее, выявленный скрипт выполняет код, который заложил разработчик, а именно:
1) Инициализирует социальный кнопки
2) Проводит подсчеты репостов
3) И все что угодно, что захочет разработчик
Если вы уже догадались о какой опасности пойдет речь - вы молодчик! Для тех кто не осознал всю степень риска - поясню.
Дело в том, что скрипт который вы подключаете к своему проекту физически находится на сервисе PLUSO и вы не владеете и не контролируете код и логику кода, который запускается на вашем сайте, т.к. физического доступа к скрипту имеет только разработчик! Проще выражаясь - вы добровольно интегрируете код на свой сайт, который легко корректируется разработчиком и выполняет функции, которые захочет реализовать разработчик.
С угрозой внедрения любого кода на ваш сайт мы вроде бы разобрались. Но угрозы угрозами, а факты совсем другое дело.
Время шло - аудитория PLUSO росла, сайтов-пользователей становилось больше. В один момент разработчики сервиса все-таки решились воспользоваться возможностью заработать на своих пользователях и, вероятно, слить информацию о посетителях ваших сайтов третьим лицам. Разработчики внедряют в свой JS код скрипты по сбору информации и решению других задач, ведомых только им. Моментально все пользователи сервиса превращаются в дойных коров, обманутых разработчиками сервиса.
PLUSO ВСТАВЛЯЕТ IFRAME В РАЗМЕТКУ СТРАНИЦЫ - КАК ИСПРАВИТЬ?
НИКАК! Нужно полностью отказаться от использования сервисом PLUSO и перейти на использование проверенных временем и безопасных скриптов интеграции социальных кнопок, например: share42.
В ряде случаев при подключении плагина PLUSO происходит динамическая подгрузка iframe в разметку кода страницы. Происходит это спустя какое-то время.
Происходит динамическая подгрузка неведомого лишнего кода и контента:
ВЫВОДЫ
Подведем итоги данной статьи с нашими рекомендациями на будущее:
1) В срочно порядке отказывайтесь от использования сервиса PLUSO, если только вы не желаете быть добровольно обманутым
2) Остерегайтесь сторонних скриптов, которые размещены на сторонних сервисах - у вас нет контроля за их содержимым
Всем спасибо за внимание! Будьте осторожны! Надеемся, что статья была полезна для вас.
Лучший способ сказать автору «СПАСИБО»рассказать друзьям или поделиться ссылкой!
Другие статьи:
19/08/2020
Цвет – один из основных компонентов дизайна, поэтому каждый уважающий себя дизайнер должен знать разницу между RGB и CMYK, а также области их использования. Разберёмся в этих тонких отношениях!
«Дело» о цвете. RGB против CMYK
18/08/2020
Когда вы вспоминаете о мониторах и дисплеях различных устройств, то одним из первых терминов, которые приходят на ум, является разрешение экрана. Но так ли оно важно? Сегодня разберемся как разрешение экрана влияет на наше восприятие.
Что такое разрешение и почему оно важно?
25/03/2020
Обсудим, имеет ли большое значение размер шрифта на сайте? И сразу спойлер: имеет!
Шрифт в веб-дизайне
17/02/2020
Шрифты – это одежда для текста! Разберём 10 основных ошибок типографики.
10 ошибок начинающих дизайнеров
24/01/2020
Кнопки обеспечивают взаимодействие пользователя с сайтом, а также помогают принять финальное решение (совершить покупку, заказать услугу или обратную связь). Поэтому на них стоит обратить особое внимание при разработке.
Правила дизайна успешной кнопки - требования юзабилити
11/06/2018
Мошенники от лица R01 рассылают фальшивые письма с уведомлением о продлении доменных имен и других услуг регистраторов. 4-го июня один из наших клиентов получит уведомление от "регистратора r01" с предложением продлить домен.
Мошенники от лица R01 рассылают фальшивые письма c уведомлениями о продлении доменов
08/06/2018
Сервис Beget 5-6 июня лишился права доступа к инструментам API REG.RU. В следствии чего многие тысячи пользователей остались в подвешенном состоянии.
REG.RU лишил партнерского статуса хостинг-провайдера «Beget»
14/10/2016
Итак, для чего вообще нужно развивать свою страницу в соцсетях? Многие люди склонны считать, что им следует заниматься не продажей рекламы, а её покупкой. Например, мы слишком привыкли следовать классической парадигме: получить высшее образование и найти хорошую работу.
Как бесплатно заработать на своей странице в Instagram
24/08/2016
Чтобы быстро завоевать приличные места в рейтингах поисковых систем, необходимо эффективно использовать все доступные средства продвижения. Конечно, на первом месте идёт оптимизация контента сайта и его HTML-кода как основа SEO.