uLogin для WordPress — доступ третьих лиц к вашим формам


- именно такое выражение лица было у меня, когда один из пользователей спросил - "ну что там: uLogin - можно использовать на своем сайте?". Я посмотрел и увидел что воз и ныне там. А полгода пролетели и все как бы забыли...

Начало истории было тут

Кратко: третьи лица, партнёры сервиса uLogin, получают доступы к вашим формам ввода информации на сайте. Они видят что туда вписывает пользователь и используют для себя. Поведение, что uLogin на мой сайт, без моего согласия, загружает чужие скрипты - считаю неприемлемым и опасным. Ни я, ни специалисты по безопасности из uLogin (если такие есть вообще) - не могут контролировать что за скрипт подсунет нам их партнер. А это, вдруг, может быть сбор паролей - и в том числе админа. Как потом админский пароль можно использовать - думаю говорить не нужно.

Я полез вновь в сервис реформал, нашел ту тему, где уже публично обращался с комментарием убрать подобное.
Вот оффлайн версия этой страницы.

В общем видно: что пользователям не отвечают, а я команде uLogin-а дважды писал письма в декабре и в январе... Пользователи жалуются и выкладывают видео - как собирают данные из их форм. Как и обещал им в письме - раскрыл на хабре эту неприятную историю. Опрос показывает мнение IT-сообщества.

Кому лень читать на хабре (хотя каменты на хабре это всегда познавательно) вот видеоверсия от Дмитрия:

Также я написал в техподдержку официального репозитория плагинов. ulogin плагин был убран из репозитория WordPress.

Через 1 день после публикации на хабре я написал письмо команде uLogin:

Письмо ушло в uLogin

- пригласил объяснить ситуацию. Ответа не было. По этой почте ранее я общался с ними по многим вопросам - теперь они молчат.

IT-сообщество хабра попыталось тоже позвать разработчиков этого сервиса, а я нашел первого разработчика этого сервиса (тот кто дал жизнь этому сервису) и пригласил его на хабре - прокомментировать ситуацию. Вот что он ответил:

Ответ самого первого разработчика

- как видим, он не у руля компании сейчас, но не поддерживает такие методы заработка.


Выводы:
Если вам дорога безопасность на вашем сайте - не используйте этот сервис.
Мой отзыв о uLogin: это опасно для вашего сайта или приложения!
Всегда думайте: если вы используете сторонние сервисы, они могут поступать так же.


Хотя мне не понятен такой аспект: сотни плагинов строят империю вокруг своих бесплатных плагинов. Многие разработчики выпускают PRO-версию - премиум версию, которую продают и живут этим. Они продают пакеты услуг, аддоны и подписки на техподдержку, кастомизацию. Заработать белыми методами можно. Но вот некоторые плагины выбирают темную сторону силы: Вспомним Display Wigets - новые владельцы вредонос туда внедрили. Si captcha anti-spam - тоже новые владельцы поступили неправильно.

И если вы захотите написать свой плагин, подумайте о его монетизации. И пусть пример этих нечестных методов заработка будет у вас в голове. Сделать можно всегда правильно. Не стоит думать что вордпрессеры - это модераторы и домохозяйки и ваш черный ход никто не заметит.

Аналог ulogin (альтернативу) плагину я могу пока посоветовать только этот: WordPress Social Login. Пока я не задавался этим вопросом. Буду посвободнее - обязательно проведу исследование этого вопроса.


Вопросы к читателям:
1. Что вы думаете о случившейся ситуации?
2. Использовали этот плагин и отказались ли от него?
3. Какие методы заработка на своем плагине вы бы выбрали?

3 комментария

  1. Печально конечно, особенно для тех, кто использует данный плагин на протяжении многих лет, отключить его - значит лишить возможности авторизоваться под своим аккаунтом для тех, кто входил через соцсети или предложить им процедуру восстановления доступа (

    0
  2. Здравствуйте, Владимир!

    Жаль, что ситуация не меняется. И, как верно говорит Андрей, удалить плагин, значит лишить возможности авторизоваться зарегистрированных через соцсети юзеров. Поэтому я до сих пор держу этот плагин активным.

    Володя, как думаете, если поставить предложенный вами плагин от вордпресса, зарегистрированные ранее пользователи смогут логиниться?

    0
    1. Здравствуйте.

      Я не проверял этот момент. Но если нет - как вариант спросить на форуме поддержки другого плагина для авторизации через соцсети - чтобы они подсказали: как мигрировать данные пользователей с uLogin таблицы БД, в таблицу от нового плагина. Этакий мигратор. Думаю что они должны быть заинтересованы в притоке новых юзеров от конкурента

      1

Оставьте комментарий

Авторизация
*
*
Регистрация
*
*
*
Настоящим подтверждаю, что я ознакомлен и согласен с условиями политики конфиденциальности
Генерация пароля
Написать
*
*