Oracle软件工程师Igor Kromin在自己的部落格揭露,他意外发现网域注册与网页托管商GoDaddy,会在没有经过使用者同意之下,将JavaScript脚本注入到托管网站中。Igor Kromin之所以发现GoDaddy预设对网页注入JavaScript脚本,是因为当他试图解决自己营运的网站,其管理接口所遭遇的问题,在检查浏览器控制台时,意外看到了一个JavaScript映像档案载入错误,这是一个Igor Kromin从未看过的档案,他提到,这代表这个JavaScript档案确实是透过他的网站载入。Igor Kromin试图找出JavaScript的来源,但并没有在文件系统发现可疑的档案,原始码和样板也都没问题,但是他的所有网页,在</html>结束标签前都被注入了<script>。后来Igor Kromin才发现,原来是网站主机GoDaddy将JavaScript注入他的网页。
他找到GoDaddy网站的说明文件,内容提到,这个脚本是为了收集真实使用者指标(Real User Metrics),以用来提升效能,在美国使用者会自动启用,虽然Igor Kromin并不在美国,但他的网站托管在GoDaddy的美国数据中心,因此也自动启用了这项服务,所有网页都会预设注入GoDaddy的脚本。而GoDaddy的网站说明文件也承认,该JavaScript脚本有可能会减慢,或是造成网站错误。Igor Kromin提到,使用者有办法可以关闭GoDaddy真实使用者指标服务,只要点击主机控制面板中的帮助我们功能,选择弹出对话框的退出选项,就能停止GoDaddy对网页插入脚本,每24小时只能进行一次加入或是退出动作。Igor Kromin表示,他不反对网页主机供货商监控服务器运作,但应该以被动的态度执行这件事,而GoDaddy对客户网页注入脚本的行为过于激进,破坏与客户之间的信任。这件事在网络论坛Hacker News也引发热烈讨论,即便GoDaddy有说明文件说明真实使用者指标服务,但仍有不少网友对此感到惊讶,并表达了负面的意见。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
