C’era una volta il nostro sistema di commenti. L’avevamo sviluppato nel lontano 2002 e l’abbiamo abbandonato quest’anno per dare spazio a Disqus.
Disqus è più moderno, Disqus offre servizi di moderazione e strumenti antispam, Disqus è “gggiovane“.
Disqus lo trovate praticamente su ogni sito web perché è diventato il sistema per la gestione dei commenti più “gettonato” e amato dai webmaster di tutto il mondo.
Consente a chiunque di inviare un commento, sia con un account Facebook, Twitter o Google, sia da “utenti anonimi” ed è quindi praticissimo da usare perché non richiede alcun tipo di registrazione.
Peccato però che quest’oggi abbiamo fatto una scoperta che ci ha lasciato di stucco.
Dall’ottimo store Gearbest ci hanno fatto sapere che i link esterni che puntano verso alcuni prodotti da noi recensiti (li selezioniamo sempre con cura nel vastissimo catalogo della società cinese) transitavano attraverso il sito ShareASale.
Per chi non lo conoscesse, ShareASale è una piattaforma online che permette ai webmaster di guadagnare denaro sui prodotti che vengono effettivamente acquistati dai lettori. È un modello molto simile a quello utilizzato da Amazon che, anche in Italia, ha permesso a molti siti web di fare fortuna.
Il fatto è che IlSoftware.it ad oggi non utilizza e non ha mai utilizzato ShareASale né è in alcun modo collegato o collegabile con tale piattaforma.
Ci siamo quindi messi subito al lavoro per capire la natura del problema pensando, in primis, a un reindirizzamento svolto da Gearbest. Le supposizioni iniziali sono però immediatamente crollate quando ci siamo trovati dinanzi a un comportamento all’apparenza decisamente anomalo.
Realizzando un paio di pagine di test, abbiamo subito potuto verificare che il codice di Disqus, che dovrebbe gestire solamente i commenti e, al limite, con il piano Basic del servizio, mostrare dei messaggi pubblicitari, in realtà modifica di sua sponte il codice di alcuni link presenti nelle nostre pagine web.
Nel nostro caso, abbiamo potuto accertare che Disqus modificava tutti i link facenti riferimento a www.gearbest.com alterandoli con un reindirizzamento verso la piattaforma ShareASale.
Capire che i link verso l’esterno (nel nostro caso diretti verso Gearbest) erano modificati da Disqus è stato piuttosto facile: abbiamo innanzi tutto creato una pagina inserendovi solo un testo casuale e una tag HTML anchor facente riferimento a un URL www.gearbest.com.
Abbiamo quindi aperto la pagina nel browser e cliccato sul link: la pagina di destinazione su Gearbest si apriva correttamente e senza redirect su ShareASale.
Abbiamo allora provveduto a inserire nel sorgente della stessa pagina di test il codice che richiama Disqus:
Nell’immagine precedente l’output della pagina e di seguito quanto inserito a livello di codice HTML:
Come si vede, la pagina è estremamente semplice e pulita: ci sono solo il link (anchor) verso Gearbest e il codice “standard” che richiama Disqus.
Risultato? Ricaricando la pagina e cliccando sul link verso Gearbest si verificava il redirect indesiderato verso ShareASale!
Bingo! Abbiamo così verificato che – almeno con il piano Basic e con l’esposizione dei messaggi pubblicitari (advertising) disattivati da piattaforma Disqus (vedere l’immagine seguente) – è proprio Disqus ad alterare il comportamento dei link presenti nelle nostre pagine web.
Com’è possibile? Disqus ha impostato un event handler JavaScript che intercetta quando il clic su un link contenuto della pagina web punta a un URL Gearbest www.gearbest.com (sugli URL it.gearbest.com il redirect non avviene…). A quel punto Disqus si “intromette” e modifica il flusso degli eventi aggiungendo, arbitrariamente, un reindirizzamento verso il suo account ShareASale.
Visitando una pagina contenente un link Gearbest, poi, si nota subito che il browser viene inviato all’indirizzo di destinazione corretto quando il codice di Disqus non si è ancora caricato completamente.
Immaginate il nostro stupore nel capire che l’event handler “incriminato” era contenuto in un file JavaScript ospitato appunto sui server di Disqus (grazie anche al nostro insuperabile Andrea d’Alessandro per tutte le verifiche del caso).
A questo punto abbiamo contattato Disqus per avere chiarimenti sul comportamento del servizio: nel caso in cui dovesse arrivare per i canali di tipo tradizionale non mancheremo di darvere notizia.
Abbiamo altresì potuto verificare che Disqus modifica i link verso Gearbest su pagine ospitate sull’intero nostro dominio *.ilsoftware.it.
Specie se utilizzaste Disqus con il piano Basic sui vostri siti web vi invitiamo quindi a verificare che il codice del sistema di commento non attivi redirect arbitrari a vostra insaputa.
La società statunitense aveva già fatto qualcosa di molto simile anche in passato, attivando il redirect anche su altre tipologie di link.
Ne sono testimonianza questo post sul forum di supporto (che tra l’altro appare chiuso) e questa “colorita” ridda di tweet (ci dissociamo dal linguaggio usato).
Aggiornamento: Disqus ha chiarito che l’aggiunta del redirect è disattivabile disabilitando l’opzione Automatically append merchant codes to product links on your site nelle impostazioni avanzate dell’account.
Restano però due domande: perché attivare di default il redirect su ShareASale (fino a qualche settimana fa non era attivo) senza informare adeguatamente editori e webmaster? E perché farlo con i link verso alcuni siti di e-commerce e con altri no? Mistero.