GoDaddy stopt met JavaScript-injectie op websites klanten
GoDaddy is per direct gestopt met het ongevraagd injecteren van JavaScript op websites die in de Verenigde Staten worden gehost. De hostingprovider voegde code aan de websites toe om zo prestaties van websites, verbindingstijd en de laadtijd van pagina's in kaart te brengen.
De hostingprovider erkende dat het toevoegen van de code ervoor kon zorgen dat websites in bepaalde gevallen niet meer werkten. Klanten konden zich wel afmelden voor het injecteren van de JavaScript-code. Nadat een programmeur over de werkwijze van GoDaddy schreef ontstond er een golf van kritiek op Hacker News en Reddit.
In een reactie tegenover ZDNet laat het bedrijf nu weten dat het na een "zorgvuldige evaluatie" heeft besloten om het injecteren van JavaScript op het hostingplatform per direct uit te schakelen. De hostingprovider zal het programma in de toekomst wel weer herintroduceren, alleen zal het dan op basis van opt-in zijn. Klanten moeten in dit geval zelf aangeven dat ze de code op hun website willen.
Want jeminee, "zorgvuldige evaluatie" na de ophef? Dan ben je dus gewoon te laat.
Als een niet hosting provider dit doet dan is het meteen hacking. Beetje vreemde zaak, ik vertrouw al die hosting bedrijven voor geen meter! GoDaddy, HostGator. Allemaal dezelfde bs.
Zoveel limitaties, en men injecteert gewoon code. Beter host je alles zelf, veel veiliger.
En andere optredende DNS narigheid, lees maar eens hier:
https://serverfault.com/questions/260072/setting-up-a-master-dns-server-using-godaddy-as-slave
DNS, je moet wel weten van de hoed en de rand en veel is niet te omzeilen
zoals kleine RBN hostertjes in bijvoorbeeld het zuiden des lands. (RBN = Russian Business Network).
Ook is PHISHING een groeiende epidemie overal.
Injectiescripts voor profijtvolle adtracking en monitoring. Wegwezen ermee voor mij althans.
Goed dat ze er niet mee weggekomen zijn.
#sockpuppet
Javascript is vanouds een bekend blik vol wormen.
Kijk bijvoorbeeld hier 's naar:
https://github.com/don-spyker/bootstrap/commit/dca9f22485acd145a223a2fd04c47171481575da
en https://snyk.io/vuln/SNYK-JS-BOOTSTRAP-72890
Klein voorbeeldje uit vele cross-site-scripting gevaren en het blijft maar doorgaan.
Daarom is het zaak als het voor het functioneren niet perse noodzakelijk is 3rd party script te blokkeren.
Jammer dat de doorsnee gebruiker hier niet zinvol kan gaan toggelen met uMatrix bijvoorbeeld.
Daarom goed besluit, beter niet doen.
#sockpuppet
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
