看網友提到「Google Analytics Dashboard for WP by ExactMetrics (先前的 GADWP)」。
https://tw.wordpress.org/plugins/google-analytics-dashboard-for-wp/
表示這款外掛的授權方式很簡單我就好奇,想說 OAuth2.0 的設計下還可以多簡單,搞不好自己也可以處理上。
結果追查這款外掛的時候發現它居然會偷資料XD
App 因為是用他們自己的這組: Client ID: 65556128672.apps.googleusercontent.com
與 Client secret: Kc7888wgbc_JbeCmApbFjnYpwE 所以可以省掉使用者自己註冊自己 App 的時間與繁瑣流程沒錯,但取回的授權碼送出去授權外掛的時候還會偷偷帶回他們網站儲存(?)這點我存疑....
因為只要有那個 access_token 其實是完全可以不用借助他們的服務就能透過他本地端 Google Client API 去串接,為何還要把使用者這些私密資料帶回去他們主機呢?
他們的 API 端點有:
https:// gadwp[.]exactmetrics[.]com/ gadwp-token.php
https:// gadwp[.]exactmetrics[.]com/ gadwp-revoke.php
https:// gadwp[.]exactmetrics[.]com/ gadwp-report.php
一授權的時候會送出你剛剛取回的 access_token ,這樣等於他那邊主機也同時可以知道你手邊有幾個網站和流量狀態了。
真棒,這麼夯的一個外掛,有百萬網站主流量的秘密!! 哈
下圖為攔截的傳送資訊
![[WordPress] Google Analytics 知名外掛有偷資料嫌疑](https://i0.wp.com/www.mxp.tw/wp-content/uploads/2019/06/65607918_2845008742236220_7448890488737759232_n.png?w=640&ssl=1)
考量目前 GA API 請求有限制但並沒有收費,這檔生意還真是可以搞耶~
解除授權的方法不是移除外掛,是到 Google 帳戶的這個權限管理頁面取消授權。
- Powered by Mxp.TW -FB2WP-