Oracle軟體工程師Igor Kromin在自己的部落格揭露,他意外發現網域註冊與網頁託管商GoDaddy,會在沒有經過使用者同意之下,將JavaScript腳本注入到託管網站中。
Igor Kromin之所以發現GoDaddy預設對網頁注入JavaScript腳本,是因為當他試圖解決自己營運的網站,其管理介面所遭遇的問題,在檢查瀏覽器控制臺時,意外看到了一個JavaScript映射檔案載入錯誤,這是一個Igor Kromin從未看過的檔案,他提到,這代表這個JavaScript檔案確實是透過他的網站載入。
Igor Kromin試圖找出JavaScript的來源,但並沒有在檔案系統發現可疑的檔案,原始碼和樣板也都沒問題,但是他的所有網頁,在</html>結束標籤前都被注入了<script>。後來Igor Kromin才發現,原來是網站主機GoDaddy將JavaScript注入他的網頁。
他找到GoDaddy網站的說明文件,內容提到,這個腳本是為了收集真實使用者指標(Real User Metrics),以用來提升效能,在美國使用者會自動啟用,雖然Igor Kromin並不在美國,但他的網站託管在GoDaddy的美國資料中心,因此也自動啟用了這項服務,所有網頁都會預設注入GoDaddy的腳本。而GoDaddy的網站說明文件也承認,該JavaScript腳本有可能會減慢,或是造成網站錯誤。
Igor Kromin提到,使用者有辦法可以關閉GoDaddy真實使用者指標服務,只要點擊主機控制台中的幫助我們功能,選擇彈出對話框的退出選項,就能停止GoDaddy對網頁插入腳本,每24小時只能進行一次加入或是退出動作。Igor Kromin表示,他不反對網頁主機供應商監控伺服器運作,但應該以被動的態度執行這件事,而GoDaddy對客戶網頁注入腳本的行為過於激進,破壞與客戶之間的信任。
這件事在網路論壇Hacker News也引發熱烈討論,即便GoDaddy有說明文件說明真實使用者指標服務,但仍有不少網友對此感到驚訝,並表達了負面的意見。
新聞來源:https://www.ithome.com.tw/news/128220
Views: 3