2min

Tags in dit artikel

,

GoDaddy heeft een JavaScript-injectie in de website van zijn klanten verwijderd, omdat deze websites flink vertraagde of zelfs kapot maakte. Dat meldt ZDNet. De injectie werd toegevoegd om te volgen welke websites trager werden. 

De injectie werd ontdekt door programmeur Igor Kromin, die problemen had in de admin interface van zijn eigen website die door GoDaddy wordt gehost. Door die problemen besloot hij de code te bekijken om te zien of er problemen waren. Daarbij ontdekte hij dat een JavaScript-bestand niet kon laden. Dat impliceerde dat er een onbekend JavaScript-bestand geladen werd op zijn website.

Er was weinig bewijs van dit bestand in de broncode of in de templates, maar alle pagina’s op de website bleken JavaScript te laden. Het bestand in kwestie komt van GoDaddy’s Real User Metrics (RUM) systeem. Het bedrijf beschrijft dat systeem als een manier om “interne bottlenecks en mogelijkheden voor optimalisatie te identificeren, door een klein stukje JavaScript-code te injecteren in de websites van hun klanten.”

“Het stuk code laat ons de prestaties van je website meten en volgen, en verzamelt informatie als de verbindingstijd en de tijd die het kost om een pagina te laden”, aldus het hostingbedrijf. “We verzamelen geen gebruikersdata met RUM.” Klanten in de Verenigde Staten en degenen die cPanel Shared Hosting of cPanel Business gebruikten, werden automatisch aangemeld voor de dienst.

Impact op website

GoDaddy heeft toegegeven dat de code impact kan hebben op de prestaties van websites. Gebruikers zouden daarom op de hoogte moeten zijn van wat vertragingen en kapotte websites kan veroorzaken. “De JavaScript die gebruikt is kan problemen veroorzaken, zoals het vertragen van de prestaties van de websites of een kapotte website.” De meeste websites hebben hier geen last van, maar websites met Google’s AMP en pagina’s die eindigen met meerdere tags kunnen wel het slachtoffer worden.

Gebruikers van GoDaddy konden aangeven niet mee te willen werken met het systeem. Om dat te doen moesten ze naar een myh.godaddy.com, klikken op de ‘…’-knop, ‘Help us’ en ‘Opt Out’. Daarna werd het script automatisch van de website verwijderd. Maar toen GoDaddy op de hoogte werd gesteld van de zogen rondom het RUM-programma, beloofde het bedrijf de functie direct uit te schakelen.

“We zullen het programma in de toekomst opnieuw introduceren, maar dat is alleen op opt-in-basis. We bieden onze excuses aan voor enige verwarring en problemen bij onze klanten.”