Cosa fa scorecardsresearch.com/beacon.js - aggiunto da Disqus.com - fare?

Naviga le tue risposte
7

Recentemente ho aggiunto Disqus al mio sito. Guardando la scheda "script" su Firebug, ho notato uno script chiamato, link ( qui è una versione utile - lo script non è accessibile direttamente tramite l'url fornito).

Che cosa fa beacon.js? Che cosa significa questo rapporto significa?

Per quanto ne so, beacon.js insieme ai cookie fa un po 'di tracciamento dei visitatori, ma non sono chiaro per quanto riguarda i dettagli e le implicazioni.

Questo è l'unico JS codificato sulle pagine che mostra lo script beacon.js 

<script type="text/javascript">
    /* * * CONFIGURATION VARIABLES: EDIT BEFORE PASTING INTO YOUR WEBPAGE * * */
    var disqus_shortname = 'netlumination'; // required: replace example with your forum shortname

    /* * * DON'T EDIT BELOW THIS LINE * * */ (function () {
        var dsq = document.createElement('script');
        dsq.type = 'text/javascript';
        dsq.async = true;
        dsq.src = 'http://' + disqus_shortname + '.disqus.com/embed.js';
        (document.getElementsByTagName('head')[0] || document.getElementsByTagName('body')[0]).appendChild(dsq);
    })();
</script>

Quanto sopra finisce modificando l'html sulla mia pagina per includere un link di script a "scorecardresearch.com/beaons.js"

Questa è la richiesta get a scorecardresearch.com quando sono completamente disconnesso in modalità incongnito di Chrome: 

http://b.scorecardresearch.com/b2?c1=7&c2=10137436&c3=1&ns__t=1356321346996&ns_c=UTF-8&c8=Disqus%20Comments&c7=http%3A%2F%2Fdisqus.com%2Fembed%2Fcomments%2F%3Ff%3Dnetlumination%26t_u%3Dhttp%253A%252F%252Fnetlumination.com%252Fdo-not-stop-not-thinking-negatively%252F%26t_t%3DDo%2520not%2520stop%2520not%2520thinking%2520negatively%26s_o%3Dpopular%231&c9=http%3A%2F%2Fnetlumination.com%2Fdo-not-stop-not-thinking-negatively%2F

Ed ecco lo script embed di Disqus, che aggiunge anche in scorecardresearch.com e google-analytics:

link

Versione prettifed di embed.js

Le mie domande:

  1. Sto essenzialmente dando accesso a scorecardresearch.com ai miei utenti e ai cookie dell'utente per il mio dominio, dal momento che il tag dello script si trova sulla mia pagina?
  2. Che cosa significa? Presumo che abbiano lo stesso potere di analizzare il traffico degli utenti come, ad esempio, Google Analytics.
  3. Potrebbero usare i cookie Disqus memorizzati sul mio sito per accedere all'account Disqus di un utente o accedere a Disqus su un altro dominio in qualche modo?
  4. Quale implicazione pratica ha questo rapporto xss ?
  5. Quali sono gli svantaggi di consentire i cookie di terze parti sul tuo sito?
posta Peter Ajtai 24.12.2012 - 04:47
fonte

4 risposte

9

Am I essentially giving scorecardresearch.com access to my users and user's cookies for my domain, since the script tag is on my page?

Sì. Qualsiasi script incluso nella tua pagina direttamente o indirettamente (tramite disqus) ha pieno accesso per interferire con l'esperienza dell'utente per tutto il nome host in cui è incluso.

Rubare i cookie lato client (non httponly) è solo un potenziale attacco - se lo volessero, potrebbero includere un keylogger JavaScript per intercettare tutti i tasti sul tuo sito, rubare le password, fare in modo che l'utente elimini automaticamente il proprio account, e così via.

Dovrai decidere quanto ti fidi di Disqus e dei loro partner e valutare la sensibilità del materiale sul tuo sito per giungere a una conclusione sul fatto che questo livello di accesso sia accettabile a vantaggio della chat sistema gratis. Sono un tipo paranoico che ricorda i giorni in cui TMRG (scorecardresearch) aveva installato il software spyware MarketScore in pacchetti software, quindi non ne sono entusiasta, personalmente.

Se sei preoccupato di questo, ma vuoi comunque mantenere la funzione di chat, una potenziale soluzione potrebbe essere quella di includere la chat in un iframe servito da un altro dominio che non ottiene l'accesso agli script nel dominio del tuo sito principale.

As far as I understand beacon.js along with cookies does a bunch of tracking of visitors

Sì.

What does this report mean?

È una scansione di vulnerabilità automatizzata del servizio beacon; non è stato elaborato manualmente per valutare la quantità di problemi effettivamente rilevati.

Dai problemi elencati qui abbiamo la capacità di iniettare contenuti HTML senza escape in file da scorecardresearch.com. Questa sarebbe normalmente una vulnerabilità XSS, anche se mitigata dai file che vengono iniettati in file JavaScript. Quindi potresti iniettare in scorecardresearch.com se potessi fare qualche visita a quell'indirizzo usando un browser che può essere ingannato nel pensare che il file sia HTML per la presenza di contenuti come <html> . Questo è 'sniffing MIME' ed è tipicamente più un problema per i browser più vecchi.

In ogni caso, questo probabilmente non ti influenza. Stai includendo lo script di scorecardressearch nel contesto di sicurezza del tuo sito, non utilizzando il proprio contesto potenzialmente compromesso di scorecardresearch. L'inclusione di un file come <script> non fornisce alcuna possibilità di interpretare erroneamente il contenuto letterale della stringa come HTML e non ci sono prove di buchi nello script che consentano al contenuto di uscire dalla stringa letterale Javascript (senza escape virgolette).

    
risposta data 26.12.2012 - 18:10
fonte
7

Lavoro su Disqus e ritengo che le risposte sopra riportate siano disinformate su come funziona la nostra applicazione.

Fondamentalmente, la nostra applicazione è caricata quasi interamente all'interno di un iframe. Questo cambia drasticamente il modo in cui il tuo sito è esposto sia al nostro codice che al codice di terze parti.

Am I essentially giving scorecardresearch.com access to my users and user's cookies for my domain, since the script tag is on my page?

No. Questi script (beacon.js) sono caricati in un iframe, su un documento pubblicato da disqus.com (disqus.com/embed/comments). A causa della stessa politica sull'origine, questo codice non può accedere al tuo documento, né ai cookie associati al dominio del tuo sito.

What does this mean? I assume they have the same power to parse my user traffic as, say Google Analytics.

È possibile che il codice beacon, caricato nel nostro iframe, possa guardare l'URL di riferimento del documento (l'URL della pagina padre).

Could they use the Disqus cookies stored on my site to log in to a user's Disqus account or access Disqus on another domain somehow?

I cookie Disqus non sono memorizzati sul tuo sito; sono associati a disqus.com. Quindi, sì, lo script potrebbe potenzialmente leggere e abusare del cookie Disqus dell'utente. Ma questo è altamente improbabile: scorecardresearch.com/beacon.js è in realtà comScore - una delle più grandi aziende di analisi web.

What practical implication does that xss report have?

La risposta sopra copre questo bene: link

Ma vale la pena ricordare che Disqus serve le intestazioni Content Security Policy per impedire l'esecuzione di script in linea, il che riduce notevolmente gli attacchi XSS.

    
risposta data 26.03.2014 - 22:18
fonte
2

Considera di interrompere completamente l'uso di Disqus o di qualsiasi altro social script / plug-in che inserisca script di scorecardresearch.com sia come scorecardresearch.com che come script di voicefive.com abbiano provocato carichi di pagine senza fine e influenzeranno negativamente il tuo SEO come piace a Google per vedere le pagine che caricano digiuni e script che sono asincroni. Ecco un articolo sul perché Scorecardresearch.com e voicefive.com sono dannosi. Più script hai più problemi.

link

    
risposta data 02.10.2013 - 10:01
fonte
1

Molto in generale, un beacon è un messaggio inviato periodicamente che viene trasmesso al fornitore di servizi per mostrare che l'utente è ancora presente. Esempi di beacon includono punti di accesso Wi-Fi (beaconing), google analytics (i beacon degli utenti indicano per quanto tempo l'utente è stato sul sito), ecc.

A proposito, a SuperUser è meglio rispondere a questa domanda.

    
risposta data 24.12.2012 - 15:32
fonte

Leggi altre domande sui tag

Quali sono i fattori che determinano l'idoneità di una domanda di sicurezza? Infezioni da malware provenienti dalla visita o dall'utilizzo di YouTube