갱신일자 : 2023-11-27
 
해당 글을 발행하는 이유
  • 해당 서비스(SaaS)는 광고 차단 해제를 목적으로 사회적 비용을 모든 사용자에게 전가하며, 사용자도 모르는 감시 시스템을 탑재한 광고를 포함하여 리소스 저하 등의 퇴행적 행보를 보이고있기에 이에 반대하고자 해당 글을 발행함.

현재 해당 서비스의 문제점

  • Noscript 사용자를 전혀 배려하지 않는 SPA등의 자바스크립트 어플리케이션이 아닌 사이트에 도입한 CSS 사이드로딩
  • 광고를 차단할 경우 사이트 메인 css를 불러오지 않게 하기 위하였기에, 사용자에게 선택권을 주지 않음.
  • 광고가 차단될 경우 혹은 스크립트가 차단될경우 사이트 내에 로드된 CSS를 강제로 분해하여 사용자의 사이트 이용이 원활하지 않은 척 교묘하게 이용
  • Javascript 난독화 관련 툴을 사용하여 페이지에 특정 스크립트 호출때마다 더 불필요한 호출이 선언되기에, 브라우저의 성능저하, 모바일기기의 배터리 드레인 유발가능.
  • eval을 이용한 난독화된 스크립트의 실행을 통한 보안 취약점 개방
  • 쿠팡의 광고를 단순히 디스플레이 하는것이 아닌, 사용자가 쿠팡서버에 지속적으로 로깅하는 배너광고 형태를 표출하여 더욱 더 적극적인 개인정보 유출 진행

서비스 자체 도메인

  • content-loader.com
  • error-report.com
  • css-load.com
  • 07c225f3.online

고객사

  • dogdrip.net
  • ygosu.com
    • style inject 형태
  • loawa.com
    • style inject 형태
  • a-ha.io
등등
 

역분석

  • 자바스크립트가 특정 키워드들을 모두 함수로 때려박고 호출하는 형태. 익명함수와 로컬함수를 섞어 외부에서 쉽게 호출하지 못하도록 만들었음.
  • 특정 파일에서 고객사의 모든 스크립트 파일 데이터베이스를 내재함
    • 모든 고객사를 방문하지 않는 고객에 대한 의미없는 네트워크 비용 증가
    badge