¿Qué hace scorecardsresearch.com/beacon.js (agregado por Disqus.com)?

Navega tus respuestas
7

Recientemente agregué Disqus a mi sitio. Al mirar la pestaña "scripts" en Firebug, noté un script llamado, enlace ( aquí hay una versión prectificada (no se puede acceder al script directamente a través de la url proporcionada).

¿Qué hace beacon.js? ¿Qué significa este informe ?

Por lo que yo entiendo, beacon.js junto con las cookies hace un montón de seguimiento de visitantes, pero no estoy claro en cuanto a detalles e implicaciones.

Aquí está el único JS codificado en las páginas que muestran el script beacon.js 

<script type="text/javascript">
    /* * * CONFIGURATION VARIABLES: EDIT BEFORE PASTING INTO YOUR WEBPAGE * * */
    var disqus_shortname = 'netlumination'; // required: replace example with your forum shortname

    /* * * DON'T EDIT BELOW THIS LINE * * */ (function () {
        var dsq = document.createElement('script');
        dsq.type = 'text/javascript';
        dsq.async = true;
        dsq.src = 'http://' + disqus_shortname + '.disqus.com/embed.js';
        (document.getElementsByTagName('head')[0] || document.getElementsByTagName('body')[0]).appendChild(dsq);
    })();
</script>

Lo anterior termina modificando el html en mi página para incluir un enlace de script a "scorecardresearch.com/beaons.js"

Esta es la solicitud de obtención en scorecardresearch.com cuando estoy completamente desconectado en el modo incongnito de Chrome: 

http://b.scorecardresearch.com/b2?c1=7&c2=10137436&c3=1&ns__t=1356321346996&ns_c=UTF-8&c8=Disqus%20Comments&c7=http%3A%2F%2Fdisqus.com%2Fembed%2Fcomments%2F%3Ff%3Dnetlumination%26t_u%3Dhttp%253A%252F%252Fnetlumination.com%252Fdo-not-stop-not-thinking-negatively%252F%26t_t%3DDo%2520not%2520stop%2520not%2520thinking%2520negatively%26s_o%3Dpopular%231&c9=http%3A%2F%2Fnetlumination.com%2Fdo-not-stop-not-thinking-negatively%2F

Y aquí está el script de inserción de Disqus, que se agrega en scorecardresearch.com y también en google-analytics:

enlace

Versión precargada de embed.js

Mis preguntas:

  1. ¿Estoy esencialmente dando acceso a scorecardresearch.com a mis usuarios y las cookies de usuario para mi dominio, ya que la etiqueta de script está en mi página?
  2. ¿Qué significa esto? Supongo que tienen el mismo poder para analizar mi tráfico de usuario que, digamos Google Analytics.
  3. ¿Podrían usar las cookies Disqus almacenadas en mi sitio para iniciar sesión en la cuenta Disqus de un usuario o acceder a Disqus en otro dominio de alguna manera?
  4. ¿Qué implicación práctica tiene xss report ?
  5. ¿Cuáles son las desventajas de permitir cookies de terceros en su sitio?
pregunta Peter Ajtai 24.12.2012 - 04:47
fuente

4 respuestas

9
  

¿Estoy esencialmente dando acceso a scorecardresearch.com a mis usuarios y las cookies de usuario para mi dominio, ya que la etiqueta de script está en mi página?

Sí. Cualquier secuencia de comandos incluida en su página, ya sea directa o indirectamente (a través de disqus) tiene acceso completo para interferir con la experiencia del usuario para todo lo que se incluye en el nombre de host en el que se incluye.

Robar cookies del lado del cliente (no httponly) es solo un posible ataque: si lo desean, podrían incluir un keylogger de JavaScript para interceptar todas las pulsaciones de tecla en su sitio, robar contraseñas, hacer que el usuario elimine automáticamente su cuenta y etc.

Tendrá que decidir cuánto confía en Disqus y sus socios, y evaluar qué tan sensible es el material en su sitio, para llegar a una conclusión sobre si este nivel de acceso es una ganga aceptable para el beneficio de tener un chat. Sistema de forma gratuita. Soy un tipo paranoico que puede recordar los días en que TMRG (scorecardresearch) tenía su software espía MarketScore instalado de forma silenciosa en paquetes de software, así que no estoy interesado, personalmente.

Si está preocupado por esto pero aún desea mantener la función de chat, una posible solución podría ser incluir el chat en un iframe servido desde otro dominio que no tenga acceso a las secuencias de comandos en el dominio del sitio principal.

  

Por lo que yo entiendo, beacon.js junto con las cookies hace un montón de seguimiento de visitantes

Sí.

  

¿Qué significa este informe?

Es un análisis de vulnerabilidad automatizado del servicio de baliza; no se ha procesado manualmente para evaluar la cantidad de un problema que realmente son los problemas detectados.

A partir de los problemas que se enumeran aquí, tenemos la capacidad de inyectar contenido HTML sin escapar en archivos de scorecardresearch.com. Eso normalmente sería una vulnerabilidad de XSS, aunque mitigada por los archivos que se están inyectando en archivos de JavaScript. Por lo tanto, podría ingresar a scorecardresearch.com si pudiera hacer alguna visita a esa dirección usando un navegador que pueda ser engañado y pensar que el archivo es HTML por la presencia de contenido como <html> . Esto es 'MIME-sniffing' y generalmente es un problema mayor para los navegadores más antiguos.

En cualquier caso, esto probablemente no te afecte. Está incluyendo la secuencia de comandos de scorecardressearch en el contexto de seguridad de su sitio, no utilizando el contexto propio potencialmente comprometido de scorecardresearch. Incluir un archivo como <script> no le da a MIME sniffing ninguna posibilidad de malinterpretar el contenido de la cadena literal como HTML, y no hay evidencia de ningún agujero en el script que permita que el contenido se escape de la cadena literal de Javascript (sin escaparse comillas).

    
respondido por el bobince 26.12.2012 - 18:10
fuente
7

Trabajo en Disqus y creo que las respuestas anteriores están mal informadas sobre cómo funciona nuestra aplicación.

Básicamente, nuestra aplicación se carga casi por completo dentro de un iframe. Esto cambia drásticamente la forma en que su sitio está expuesto a nuestro código y al código de terceros.

  

¿Estoy esencialmente dando acceso a scorecardresearch.com a mis usuarios y las cookies de usuario para mi dominio, ya que la etiqueta de script está en mi página?

No. Estos scripts (beacon.js) se cargan en un iframe, en un documento servido desde disqus.com (disqus.com/embed/comments). Debido a la Política del mismo origen, este código no puede acceder a su documento ni a las cookies asociadas con el dominio de su sitio.

  

¿Qué significa esto? Supongo que tienen el mismo poder para analizar mi tráfico de usuario que, digamos Google Analytics.

Es posible que el código de baliza, cargado en nuestro iframe, pueda ver la URL de referencia del documento (la URL de la página principal).

  

¿Podrían usar las cookies de Disqus almacenadas en mi sitio para iniciar sesión en la cuenta de Disqus de un usuario o acceder a Disqus en otro dominio de alguna manera?

Las cookies de Disqus no se almacenan en su sitio; están asociados con disqus.com. Entonces, sí, el script podría potencialmente leer y abusar de la cookie Disqus del usuario. Pero esto es muy poco probable: scorecardresearch.com/beacon.js es en realidad comScore, una de las firmas de análisis web más grandes.

  

¿Qué implicación práctica tiene ese informe xss?

La respuesta anterior cubre este pozo: enlace

Pero vale la pena mencionar que Disqus sirve Política de seguridad de contenido para evitar la ejecución de secuencias de comandos en línea, lo que mitiga en gran medida los ataques de XSS.

    
respondido por el bentlegen 26.03.2014 - 22:18
fuente
2

Considere la posibilidad de dejar de usar Disqus o cualquier otro script / plugin social que inserte scripts de scorecardresearch.com, ya que tanto los scripts de scorecardresearch.com como los de voicefive.com han demostrado causar interminables cargas de páginas y afectarán negativamente su SEO como le gusta a Google para ver las páginas que cargan fast y los scripts que son asíncronos. Aquí hay un artículo sobre por qué Scorecardresearch.com y voicefive.com son perjudiciales. Cuantos más scripts tengas, más problemas tendrás.

enlace

    
respondido por el Osman 02.10.2013 - 10:01
fuente
1

Muy generalmente, un beacon es un mensaje enviado periódicamente que se transmite al proveedor del servicio para mostrar que el usuario todavía está presente. Los ejemplos de balizas incluyen puntos de acceso a Wi-Fi (baliza su presencia), Google Analytics (las balizas de los usuarios muestran cuánto tiempo ha estado el usuario en el sitio), etc.

Por cierto, esta pregunta podría responderse mejor en el Superusuario.

    
respondido por el Henning Klevjer 24.12.2012 - 15:32
fuente

Lea otras preguntas en las etiquetas

¿Por qué mi programa de prueba shellcode x86 segfault? Una vez que se desconecta la VPN, ¿puede funcionar aún el monitor?