domingo, 14 de diciembre de 2008

Danger: 3rd Party Google Analytics Widget


Casi me mando una torpeza, le agregue Google Analytics (GA) a este blog y queria poner un widget del mismo para que los visitantes vean la actividad. Probando los widgets recomendados por Blogger vi que solamente andaba uno que pedia el usuario y password de GA (claro como va a conocer las estadisticas sino, son privadas!). Luego me di cuenta que no esta bueno darles tu password de Google a los que hacen estos widgets porque tu password es tuyo (?) y ninguna 3rd party lo deberia guardar en sus servidores. Pero el problema mas grave fue que descubrí que este widget publica el usuario y el password dentro de su código. Vean:

<img height='1' src='http://gmodules.com/ig/rgp?
synd=blogger&
lang=es&
source=http%3A%2F%2Fmechanicalpoetry.blogspot.com%2F&
n=1&
url1=http%3A%2F%2Fhosting.gmodules.com%2Fig%2Fgadgets%2Ffile%2F113442111111660630273%2FGoogleAnalytics.xml
' width='1'/>

<iframe frameborder='0' height='200' id='1' name='1' src='http://1.blogger.gmodules.com/gadgets/ifr?
container=blogger&
mid=1&
v=cad198147a605c967a79e981625325&
lang=es&
country=ALL&
view=default&
up_selectedTab&
up_username=USUARIO_DE_BLOGGER_Y_O_GOOGLE&
up_password=PASSWORD&
up_account&
up_website&
up_daterange=One+Month&
url=http%3A%2F%2Fhosting.gmodules.com%2Fig%2Fgadgets%2Ffile%2F113442111111660630273%2FGoogleAnalytics.xml&
mid=1&
parent=http%3A%2F%2Fmechanicalpoetry.blogspot.com%2F'
style='width: 100%; display: block'>

</iframe>
La verdad que trate de encontrar gente que haya publicado su password y casi no la encontré (sera porque no existe ningun buscador web para codigo HTML/Javascript?). Lo único que encontre fue esto que sigue, el password no funciona asi que no hace faltan que lo prueben.

La búsqueda:

"up_password=" "gmodules.com"

y solamente encontré este sitio con un usuario y password públicos.

Por lo pronto queda picando el tema de los buscadores web que indexen HTML y Javascript completos. ¿Alguien conoce alguno?

1 comentario:

  1. The reason the password doesn't work is because of this; it would really help a lot of people using third-part widgets if everyone starred this bug so that it would eventually get fixed:

    http://code.google.com/p/igoogle-legacy/issues/detail?id=528&colspec=ID%20Type%20Stars%20Summary%20Status

    As for embedding the password into the page for everyone to see, that'd still be a problem; maybe open another ticket for it?

    ResponderEliminar