Прошло больше года, но ничего не поменялось:
P.S. На сайте другого банка аналогичную проблему устранили почти сразу после обращения.
А в чем проблема? В том что маркетологи засунули в контейнер системы аналитики и ретаргета? Дак им тоже надо анализировать поведение для улучшения сайта и смотреть конверсии, ну и конечно потом продавать вам свои продукты везде.
Все скрипты в такой системе нужно хранить у себя на сервере. Тут же часть скриптов подгружается с других серверов, т.е. в любой момент можно подменить/модифицировать скрипт на стороннем сервере и он будет загружаться на страницы пользователей твоей системы.
Все эти скрипты они могли бы залить на свой сервер и брать их с него же, либо использовать нескриптовые версии счётчиков.
Проблема не в использовании скриптов как таковых, а в загрузке их с чужих серверов.
Милионы сайтов так работают, а здесь это проблема. Что вообще с этим можно сделать? Какие скрипты ты на свой сервер зальёшь? Гугл аналитики?
Милионы сайтов так работают, а здесь это проблемаНа миллионах сайтов это не может привести к потере денег посетителями. А здесь может.
То есть мы сейчас всерьёз рассматриваем слом гугла и распространение трояна на весь мир в gtm?
Только не надо делать вид, будто это что-то нереальное.
Сайт банка требует повышенной безопасности.
Да именно эти скрипты залить на свой серв. Возможно, для тебя станет новостью, что весь JavaScript выполняется на твоём компьютере твоим браузером. Поэтому нет никакой разницы, на чьём сервере эти скрипты будут лежать.
Для меня это не новость, я с этим работаю, как уже сказал - удачи. Объяснять почему это бред не буду
Ну вот например яндекс метрика говорит, как поставить локальную копию скрипта счетчика на свой сервер: https://yandex.ru/support/metrika/code/separate-code-file.ht...
И все проблема решена, скрипт счетчика загружается не откуда-то там из cdn, а непосредственно с твоего сервера.
Ps: ещё надо скопировать скрипт с mc.yandex.ru/metrika/watch.js и в скрипте счетчика заменить ссылку на локальную копию.
Там первая сноска же «Код счетчика, размещенный в файле на вашем сервере может устареть при обновлении кода на стороне Яндекс.Метрики. Поэтому рекомендуем устанавливать код счетчика на сайт стандартным образом.»
Это очевидно и неизбежно при использовании локальных копий.
А по поводу eval(), по крайней мере в этом скрипте его нет. Но он подключает ещё 4 скрипта, так что все эти зависимости тоже придётся загружать к себе на сервер. Проверить скрипты на eval не сложно.
В любом случае при желании можно адаптировать все это дело под работу с локальными копиями. Я не производил реверс инженеринг всего этого, но скорее всего это все сводится к обычным запросам к апи яндекса.
Я бы не был так уверен если он просто не ищется по коду. Пришлось мне пока покупали лизензию ломать скрипт один в месте проверки лицензии, и скажу это было довольно не тривиально. И я бегло просмотрев код, все таки вижу подозрительные места. Я вообще к чему, сегодня мы адаптировали скрипты что бы они работали с локалки, а завтра яндекс поменял апи и все это сломалось, аналитика не собираются, нас дрбчат пока мы расковыриваем новый скрипт. Никто так не делает, об этом я и говорил. Данные текут не смертельные, с оговоркой возможен только вызов апи сбера, но я не думаю что в Сбербанке в айти отделе работают люди глупее нас с вами, думаете этот риск не был оценён? Сомневаюсь.
Действительно, пусть умные люди сами решают откуда скрипты подгружать, не буду с вами спорить.
