Aż dziw bierze, że do tej pory polską geekblogosferą, tak lubującą się we wszelkich aferach, nie wstrząsnęła jeszcze sprawa pewnych “właściwości” MyBlogLog. Ogólnie rzecz opisując MyBlogLog to taki fajny gadżecik do wstawienia na swoją stronę/blog, dzięki któremu widać, kto nas odwiedza. “Aferę” zapoczątkował najprawdopodobniej ShoeMoney, co ostatecznie doprowadziło do zbanowania go na pewien czas.
Zanim przejdę dalej, chciałbym napisać, że zupełnie nie pojmuję sensu umieszczania zewnętrznych plików JavaScript na swoich stronach (wyjątkiem jest może AdSense googielowy i inne programy, dzięki którym mam korzyść finansową). JS umożliwiają przejęcie całkowitej kontroli nad naszym serwisem. Zewnętrzny plik JS może być wykorzystany do przechwytywania haseł, pobierania wszelkich danych nt. użyszkodników czy praktycznie zmieniania całej strony w dowolny niemal sposób.
Można oczywiście stwierdzić, że plik JS w łatwy sposób ściągnąć i przeglądnąć, czy nie zawiera szkodliwych wywołań. Oczywiście, ale trzeba zdać sobie sprawę, że nietrudno jest sprawić, by na przykład tylko co tysięczne wywołanie skryptu zawierało szkodliwy kod. Statystycznie jest to niemal niewykrywalne. A jeśli mamy kilka(dziesiąt) milionów wywołań dziennie i tylko co tysięcznego użyszkodnika szpiegujemy to i tak mamy dość sporo informacji…
Zdaję sobię sprawę, że podchodzi to pod teorie spiskowe, ale cóż, skoro istnieje szansa na przejmowanie przez zewnętrzny podmiot danych moich lub moich klientów, to ja dziękuję-poczekam.
Ale wracając do MyBlogLog… W pewnym momencie kilku znaczących blogerów zaczęło losować nagrody spośród ludzi, którzy przyłączyli się do ich “community”. A okazja do zarobku jest zawsze najlepszym sposobem na przetestowanie aplikacji przez ludzi pod względem błędów i bugów. I zaczęło się:
możliwość umieszczania “najczęściej klikanych” linków do swoich stron na podstronie MyBlogLog – wystarczyło skopiować kod atakowanej strony na inną przygotowaną z linkiem, który chcemy promować i klikać samodzielnie; następnego dnia nasz link ukazywał się w sekcji “Yesterday’s Top5 Links. W tej chwili jestem w trakcie testowania czy to jeszcze działa. 😉
możliwość podpięcia innej osobie strony, która w rzeczywistościnie nie należała do niej – wystarczyło odpowiednio przetworzyć link jaki sami dostajemy przy aktywacji swojej strony. W tej chwili błąd już nie działa.
zmiana naszej tożsamości – odpowiednia zmiana w pliku cookie i możemy serfować po Sieci jako Tomasz Topa, czy Piotr Konieczny. Całość opisana doskonale przez wspomnianego wyżej ShoeMoney.
ostatnia sprawa to śledzenie kliknięć w reklamy na naszej stronie przez MBL. W wersji płatnej mamy podgląd w jakie i kiedy użyszkodnicy klikają reklamy. Służy do tego odpowiednia cześć skryptu skopiowana stąd: AdSense Clik Pepper:
//start IFrame ad tracking
//from https://www.digitalmediaminute.com/article/1715/adsense-click-pepper
var m_px=0,m_py=0,m_as_frms=new Array(),is_ie=document.all?true:false;
function m_as_init() {
var ad=document.getElementsByTagName(’iframe’);
for(var i=0;i if(ad[i].src.indexOf(’googlesyndication.com’)>-1){
m_as_frms[m_as_frms.length]=new Array(ad[i], 'https://pagead2.googlesyndication.com’, 'Google AdSense’);
if(is_ie){ad[i].onfocus=m_trk_as;}
} else if(ad[i].src.indexOf(’ypn-js.overture.com’) > -1) {
m_as_frms[m_as_frms.length]=new Array(ad[i], 'https://ypn-js.overture.com’, 'Yahoo! Publisher Network’);
if(is_ie){ad[i].onfocus=m_trk_as;}
} else {}
}
]
Kod ten znajduje się w pliku jsserv.php, który jest include’owany do głownego pliku JS – przy okazji, ciekawe czemu zostało totak ukryte…
Wszystko byłoby pięknie, gdyby nie fakt, że umieszczony powyżej kod jest wysyłany również użyszkodnikom, którzy nie mają konta Premium. Zatem MBL (czy też w tej chwili Yahoo, które przejęło serwis) ma dostęp do większości statystyk dotyczących klikania w reklamy!
Być może są ludzie, którzy lubią, kiedy informacje przeznaczone zasadniczo tylko dla nich, przejmuje korporacja zajmująca się marketingiem. Ja osobiście do takich ludzi nie należę i z powodu tego śledzenia reklam nie mam zamiaru instalować MBL (co wcale nie oznacza, że nie będę go wykorzystywał do spamu. 😉 )
Ciekawe jakie jeszcze błędy czekają na spamerów w MyBlogLog…
