[DISCLAIMER] Voglio essere moooolto chiaro fin da subito: non sarò responsabile dell’utilizzo che farai delle informazioni che leggerai.
Tutti abbiamo dei lati oscuri, degli scheletri nell’armadio.
Anche io. Anche tu. Bè oddio… i tuoi non li voglio sapere :O (se vuoi scrivermi un commento qua sotto per raccontarmelo li leggerò volentieri :P)
Come tutti, anche Google Tag Manager ha il suo lato oscuro…
In fondo non può esistere la luce senza oscurità, no?
Con Google Tag Manager puoi certamente fare delle cose bellissimissime, ma anche delle cose moooolto malvagie 🙁 io ovviamente sono buono, quindi non le faccio 😛 Però per dare la caccia ai vampiri, bisogna capire come le loro abitudini. Quindi sarai d’accordo con me che sarebbe utile conoscere tutte queste cose brutte e cattive, non trovi?
Se ti dicessi che potresti hackerare le pagine? Oppure inserire degli script malevoli (malware, script di mining di bitcoin e altre robaccia simile) o denuclearizzare sulla SERP il sito? Oppure fare un deface completo delle pagine?
Whaaaaat??!
Eh sì 👿 Intuisci la forza oscura di questo strumento?
Non lo dire a nessuno, sto per svelarti delle cose che NON dovresti sapere. Non spargere la voce mi raccomando!
[DISCLAIMER 2] Te l’ho già detto che non sarò responsabile di quello che leggerai, vero?
Partiamo da un concetto: Google Tag Manager è installato per inserire dei Tag, o più semplicemente inserire del codice non presente in pagina.
Quindi tipicamente mettere mano su Google Tag Manager significa mettere mano al proprio sito. Giusto?
Facciamo finta che tu (per un qualsiasi motivo) abbia l’accesso di pubblicazione ad un contenitore di un tuo concorrente o di qualcuno con cui ce l’hai a morte.
Non vorresti metterci le mani e fare pazzie? (uhhhh sì che lo vuoi)
Chiudi gli occhi. Immagina solo per gioco di poter fare quello che vuoi, le peggio cose. Ovviamente NON ti sto dicendo di farle (ehm potrebbe pure essere illegale, quindi no, non farlo). Ti sto solo dicendo di pensare a cosa si potrebbe fare.
Google Darth Manager (il potere del lato oscuro)
Ti svelo subito una cosa da NERD. I Sith mi hanno sempre affascinato. Confrontati coi Jedi, i Sith sono mooooolto più sboroni e senza timori. Non hanno paura di sporcarsi le mani.
Bene, oggi brandirò la spada laser rossa e indosserò la tunica di Darth Manager. Sì, farò il cattivo. E un po’ mi piacerà, lo ammetto.
Sei pronto a lasciarti tentare dal lato oscuro?
La prima cosa che potresti fare è appropriarti della Search Console così da analizzare meglio l’aspetto SEO e soprattutto utilizzare il sistema di Disavow per eliminare i link più profittevoli 👿
Da qui il passo per fare altri danni a livello SEO come modificare title o description, o eliminare rel canonical o gli hreflang è un attimo. Potresti anche agire direttamente sul meta robot delle singole pagine mettendolo in noindex e nofollow.
Vuoi fare di peggio?
Potresti creare dei redirect 301 e indirizzarli nei siti più orridi che ti vengono in mente.
Potresti letteralmente fare un defacement modificando il DOM della pagina. Quindi potresti cancellare delle parti HTML per metterci qualche bellissima immagine di scimpanzé che mangiano banane.
Non sei ancora contento?
Bene, se vuoi proprio essere il Darth Sidious della questione potresti iniettare dei script malevoli nel sito e iniziare a minare BitCoin alla faccia di chi arriverà nel sito e inconsapevolmente regalerà la sua CPU alla vostra causa.
Ok. Facciamo ora finta che non vuoi essere così crudele ma vuoi essere comunque subdolo.
Potresti cambiare completamente gli ID di tracciamento dei vari sistemi come Google Analytics, il Pixel di Facebook e via discorrendo. In altre parole inzozzi (termine altamente tecnico) i dati di chi sta facendo le cose troppo bene 😀
Ragioniamo come un vero Sith
In effetti se ci pensi bene non ci sono limiti a quello che effettivamente puoi fare se hai il controllo di Google Tag Manager. È un po’ come se il lato oscuro della forza non avesse più alcun segreto.
Potenzialmente potresti riscrivere completamente il sito e modificarlo a tuo piacimento, a seconda del sorgente. Ad esempio potresti decidere che TUTTO il traffico che deriva da AdWords portarlo ad un competitor diretto, magari dopo qualche secondo mostrando un messaggio di attesa del tipo “qualche secondo di attesa e ti mostreremo la nostra migliore offerta”, o addirittura includere con un iframe il sito del competitor dentro al dominio.
Hai altre idee malvagie? Proponimele qui sotto 🙂
Richiedi il webinar intensivo di Tag Money
Se vuoi rivedere il webinar intensivo di Tag Money puoi farlo semplicemente iscrivendoti qui: www.tagmoney.it
Ciao Matteo,
a proposito del lato oscuro di TGM, ho notato una cosa strana quando installo TGM sul sito. In pratica mi compare un Pixel Facebook sconosciuto (verifica fatta con Facebook Pixel Helper). Ovviamente il codice di questo pixel non è presente nel file sorgente e scompare quando disinstallo Tag Manager .
Per essere sicuro che il problema fosse proprio in TGM e non nel mio sito o anche nel mio Pixel FB, ho disinstallato TGM e installato il Pix di FB direttamente nel file Head del codice html. Nessun problema, il pixel “fantasma” non compare e ho soltanto il mio Pixel.
Dunque reinstallo TGM e taaac…eccolo di nuovo, Leggendo il tuo articolo mi viene il dubbio che qualcuno, pur essendo io l’unico a gestire il sito, sia in qualche modo riuscito a fare qualcosa di simile a ciò che tu descrivi in questo post. C’è un modo per difendersi oltre a disinstallare TGM? Grazie.
Matteo Zambon
21 03 2019
Ciao Cesko, sei sicuro che dentro a GTM tu non abbia altri tag che installano quel pixel? Cosa usi per installare GTM? Un plugin? Magari è proprio quel plugin che installa tutto.
Fai una verifica 🙂
Scusa Matteo ma non capisco il punto del tuo articolo… È ovvio che con GTM è possibile modificare la DOM della pagina, ma non vedo “il lato oscuro” visto che per farlo servono le credenziali del container.
Matteo Zambon
18 06 2018
Ciao Michele, se noti le mie supposizioni è se hai l’accesso ad un contenitore con il quale vorresti fare danni (per dimenticanza, o perché magicamente hai l’accesso ad un account di google che li contiene).
Il succo dell’articolo è far capire che potenzialmente puoi fare anche molti danni con GTM 🙂
Matteo
21 06 2018
QUOTO…
Matteo Zambon
26 06 2018
Eh se non quoti te 😀
Hai ancora qualche dubbio? Chiedi pure qui sotto, sarò pronto a risponderti!
![[Server-Side Talk] Difficoltà e rischi del tracciamento Server-Side con GTM](//www.tagmanageritalia.it/GTM/guida/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif "[Server-Side Talk] Difficoltà e rischi del tracciamento Server-Side con GTM")
![[Server-Side Talk] Difficoltà e rischi del tracciamento Server-Side con GTM](https://www.tagmanageritalia.it/GTM/guida/uploads/2021/10/Difficolta-e-rischi-del-tracciamento-Server-Side-con-GTM-350x150.png "[Server-Side Talk] Difficoltà e rischi del tracciamento Server-Side con GTM")
![[Server-Side Talk] Conversion API: un tracciamento Server-Side da configurare](https://www.tagmanageritalia.it/GTM/guida/uploads/2021/10/le-Conversion-API-un-tracciamento-Server-Side-da-configurare-350x150.png "[Server-Side Talk] Conversion API: un tracciamento Server-Side da configurare")
![[Server-Side Talk] Un caso di Server-Side tracking che vale più di 1000 parole](https://www.tagmanageritalia.it/GTM/guida/uploads/2021/10/un-caso-di-server-side-tracking-che-vale-1000-parole-350x150.png "[Server-Side Talk] Un caso di Server-Side tracking che vale più di 1000 parole"){kind=tracking}
Cesko
21 03 2019
Ciao Matteo,
a proposito del lato oscuro di TGM, ho notato una cosa strana quando installo TGM sul sito. In pratica mi compare un Pixel Facebook sconosciuto (verifica fatta con Facebook Pixel Helper). Ovviamente il codice di questo pixel non è presente nel file sorgente e scompare quando disinstallo Tag Manager .
Per essere sicuro che il problema fosse proprio in TGM e non nel mio sito o anche nel mio Pixel FB, ho disinstallato TGM e installato il Pix di FB direttamente nel file Head del codice html. Nessun problema, il pixel “fantasma” non compare e ho soltanto il mio Pixel.
Dunque reinstallo TGM e taaac…eccolo di nuovo, Leggendo il tuo articolo mi viene il dubbio che qualcuno, pur essendo io l’unico a gestire il sito, sia in qualche modo riuscito a fare qualcosa di simile a ciò che tu descrivi in questo post. C’è un modo per difendersi oltre a disinstallare TGM? Grazie.
Matteo Zambon
21 03 2019
Ciao Cesko, sei sicuro che dentro a GTM tu non abbia altri tag che installano quel pixel? Cosa usi per installare GTM? Un plugin? Magari è proprio quel plugin che installa tutto.
Fai una verifica 🙂
Liuk Skayuolker
18 06 2018
Oppure quando ti copiano pari pari il tag e lo incollano in un loro sito, si possono fare cose belle per proteggere lo script 🙂
Matteo Zambon
18 06 2018
Si, direi che anche questo è fattibile 😀
Michele
18 06 2018
Scusa Matteo ma non capisco il punto del tuo articolo… È ovvio che con GTM è possibile modificare la DOM della pagina, ma non vedo “il lato oscuro” visto che per farlo servono le credenziali del container.
Matteo Zambon
18 06 2018
Ciao Michele, se noti le mie supposizioni è se hai l’accesso ad un contenitore con il quale vorresti fare danni (per dimenticanza, o perché magicamente hai l’accesso ad un account di google che li contiene).
Il succo dell’articolo è far capire che potenzialmente puoi fare anche molti danni con GTM 🙂
Matteo
21 06 2018
QUOTO…
Matteo Zambon
26 06 2018
Eh se non quoti te 😀