[DISCLAIMER] Voglio essere moooolto chiaro fin da subito: non sarò responsabile dell’utilizzo che farai delle informazioni che leggerai.
Tutti abbiamo dei lati oscuri, degli scheletri nell’armadio.
Anche io. Anche tu. Bè oddio… i tuoi non li voglio sapere :O (se vuoi scrivermi un commento qua sotto per raccontarmelo li leggerò volentieri :P)
Come tutti, anche Google Tag Manager ha il suo lato oscuro…
In fondo non può esistere la luce senza oscurità, no?
Con Google Tag Manager puoi certamente fare delle cose bellissimissime, ma anche delle cose moooolto malvagie 🙁 io ovviamente sono buono, quindi non le faccio 😛 Però per dare la caccia ai vampiri, bisogna capire come le loro abitudini. Quindi sarai d’accordo con me che sarebbe utile conoscere tutte queste cose brutte e cattive, non trovi?
Se ti dicessi che potresti hackerare le pagine? Oppure inserire degli script malevoli (malware, script di mining di bitcoin e altre robaccia simile) o denuclearizzare sulla SERP il sito? Oppure fare un deface completo delle pagine?
Whaaaaat??!
Eh sì 👿 Intuisci la forza oscura di questo strumento?
Non lo dire a nessuno, sto per svelarti delle cose che NON dovresti sapere. Non spargere la voce mi raccomando!
[DISCLAIMER 2] Te l’ho già detto che non sarò responsabile di quello che leggerai, vero?
Partiamo da un concetto: Google Tag Manager è installato per inserire dei Tag, o più semplicemente inserire del codice non presente in pagina.
Quindi tipicamente mettere mano su Google Tag Manager significa mettere mano al proprio sito. Giusto?
Eh, dipende.
Se tu riuscissi a ottenere l’accesso a un contenitore di Google Tag Manager di un sito non tuo?
Facciamo finta che tu (per un qualsiasi motivo) abbia l’accesso di pubblicazione ad un contenitore di un tuo concorrente o di qualcuno con cui ce l’hai a morte.
Non vorresti metterci le mani e fare pazzie? (uhhhh sì che lo vuoi)
Chiudi gli occhi. Immagina solo per gioco di poter fare quello che vuoi, le peggio cose. Ovviamente NON ti sto dicendo di farle (ehm potrebbe pure essere illegale, quindi no, non farlo). Ti sto solo dicendo di pensare a cosa si potrebbe fare.
Google Darth Manager (il potere del lato oscuro)
Ti svelo subito una cosa da NERD. I Sith mi hanno sempre affascinato. Confrontati coi Jedi, i Sith sono mooooolto più sboroni e senza timori. Non hanno paura di sporcarsi le mani.
Bene, oggi brandirò la spada laser rossa e indosserò la tunica di Darth Manager. Sì, farò il cattivo. E un po’ mi piacerà, lo ammetto.
Sei pronto a lasciarti tentare dal lato oscuro?
La prima cosa che potresti fare è appropriarti della Search Console così da analizzare meglio l’aspetto SEO e soprattutto utilizzare il sistema di Disavow per eliminare i link più profittevoli 👿
Da qui il passo per fare altri danni a livello SEO come modificare title o description, o eliminare rel canonical o gli hreflang è un attimo. Potresti anche agire direttamente sul meta robot delle singole pagine mettendolo in noindex e nofollow.
Vuoi fare di peggio?
Potresti creare dei redirect 301 e indirizzarli nei siti più orridi che ti vengono in mente.
Potresti letteralmente fare un defacement modificando il DOM della pagina. Quindi potresti cancellare delle parti HTML per metterci qualche bellissima immagine di scimpanzé che mangiano banane.
Non sei ancora contento?
Bene, se vuoi proprio essere il Darth Sidious della questione potresti iniettare dei script malevoli nel sito e iniziare a minare BitCoin alla faccia di chi arriverà nel sito e inconsapevolmente regalerà la sua CPU alla vostra causa.
Ok. Facciamo ora finta che non vuoi essere così crudele ma vuoi essere comunque subdolo.
Potresti cambiare completamente gli ID di tracciamento dei vari sistemi come Google Analytics, il Pixel di Facebook e via discorrendo. In altre parole inzozzi (termine altamente tecnico) i dati di chi sta facendo le cose troppo bene 😀
Ragioniamo come un vero Sith
In effetti se ci pensi bene non ci sono limiti a quello che effettivamente puoi fare se hai il controllo di Google Tag Manager. È un po’ come se il lato oscuro della forza non avesse più alcun segreto.
Potenzialmente potresti riscrivere completamente il sito e modificarlo a tuo piacimento, a seconda del sorgente. Ad esempio potresti decidere che TUTTO il traffico che deriva da AdWords portarlo ad un competitor diretto, magari dopo qualche secondo mostrando un messaggio di attesa del tipo “qualche secondo di attesa e ti mostreremo la nostra migliore offerta”, o addirittura includere con un iframe il sito del competitor dentro al dominio.
Hai altre idee malvagie? Proponimele qui sotto 🙂
Richiedi il webinar intensivo di Tag Money
Se vuoi rivedere il webinar intensivo di Tag Money puoi farlo semplicemente iscrivendoti qui: www.tagmoney.it
Altre Guide che potrebbero interessarti
- [Server-Side Talk] Conversion API: un tracciamento…
- Glossario: Modello di Attribuzione Data Driven
- Caso Studio: Fondo per l’Ambiente Italiano (FAI) realizza un…
- Cos'è e come funziona il tracciamento Server-Side in Google…
- Alternativa a Google Optimize: usa Google Tag Manager per…
- Cosa cambia con il nuovo Data Privacy Framework UE-USA per…
Chiedi pure qui sotto, sarò pronto a risponderti!
Unisciti alla più grande community italiana dedicata alla Digital Analytics!
Iscrivendoti alla newsletter gratuita di Tag Manager Italia riceverai:
- guide (base/avanzate) passo passo
- news di approfondimento
- webinar gratuiti
- offerte esclusive
e altre risorse di 1°classe sul mondo della Digital Analytics!
- Caso studio: LUISAVIAROMA ottimizza il tracciamento dei dati Ecommerce e le performance Advertising grazie a GA4 e BigQuery
- Caso studio: Mondo Convenienza realizza +85% di vendite ecommerce e +100% di conversioni aggiuntive per le campagne Meta Ads grazie a GA4 e Server-Side Tracking
- Come creare un report in GA4 per analizzare il funnel di conversione di un sito web o ecommerce
- Seconda edizione del GA4 Summit: oltre 500 partecipanti per due giorni di formazione e confronti sul presente e futuro dell’Analytics per il Marketing e l’Advertising
- Attribuzioni errate in GA4: cause e soluzioni al problema
- Matteo Zambon su Come installare Google Analytics 4 (GA4) con Google Tag Manager
- Matteo Zambon su Guida Base: come tracciare l’E-commerce in GA4 con Google Tag Manager Server-Side
- Matteo Zambon su Guida Avanzata: come tracciare in GA4 l’Invio Contact Form 7 con Google Tag Manager
- Matteo Zambon su I segreti di GA4: best practice e soluzioni ai problemi di utilizzo e implementazione di Google Analytics 4
- Matteo Zambon su Guida Base: come rilevare automaticamente il traffico dei bot in Google Universal Analytics e GA4
Cesko
21 03 2019
Ciao Matteo,
a proposito del lato oscuro di TGM, ho notato una cosa strana quando installo TGM sul sito. In pratica mi compare un Pixel Facebook sconosciuto (verifica fatta con Facebook Pixel Helper). Ovviamente il codice di questo pixel non è presente nel file sorgente e scompare quando disinstallo Tag Manager .
Per essere sicuro che il problema fosse proprio in TGM e non nel mio sito o anche nel mio Pixel FB, ho disinstallato TGM e installato il Pix di FB direttamente nel file Head del codice html. Nessun problema, il pixel “fantasma” non compare e ho soltanto il mio Pixel.
Dunque reinstallo TGM e taaac…eccolo di nuovo, Leggendo il tuo articolo mi viene il dubbio che qualcuno, pur essendo io l’unico a gestire il sito, sia in qualche modo riuscito a fare qualcosa di simile a ciò che tu descrivi in questo post. C’è un modo per difendersi oltre a disinstallare TGM? Grazie.
Matteo Zambon
21 03 2019
Ciao Cesko, sei sicuro che dentro a GTM tu non abbia altri tag che installano quel pixel? Cosa usi per installare GTM? Un plugin? Magari è proprio quel plugin che installa tutto.
Fai una verifica 🙂
Liuk Skayuolker
18 06 2018
Oppure quando ti copiano pari pari il tag e lo incollano in un loro sito, si possono fare cose belle per proteggere lo script 🙂
Matteo Zambon
18 06 2018
Si, direi che anche questo è fattibile 😀
Michele
18 06 2018
Scusa Matteo ma non capisco il punto del tuo articolo… È ovvio che con GTM è possibile modificare la DOM della pagina, ma non vedo “il lato oscuro” visto che per farlo servono le credenziali del container.
Matteo Zambon
18 06 2018
Ciao Michele, se noti le mie supposizioni è se hai l’accesso ad un contenitore con il quale vorresti fare danni (per dimenticanza, o perché magicamente hai l’accesso ad un account di google che li contiene).
Il succo dell’articolo è far capire che potenzialmente puoi fare anche molti danni con GTM 🙂
Matteo
21 06 2018
QUOTO…
Matteo Zambon
26 06 2018
Eh se non quoti te 😀