Comments 45
Сурово. Помню билайн клиентам инъекции делал:
Билайн добавляет тулбар
Но не ожидал такого от заокеанских коллег, в платной услуге.
Билайн добавляет тулбар
Но не ожидал такого от заокеанских коллег, в платной услуге.
Ну в общем-то билайн клиентам тоже интернет не бесплатно предоставлял.
Мегафон и до сих пор время от времени вставляет на какую-нибудь страницу баннер на весь экран с рекламой своих сервисов.
А в МТС при отлове ошибки 404 переадресовывает с сайта на свой сервис. Это нереально раздражает, помню как-то нужно было скопировать ссылку с ошибкой 404, но я не смог этого сделать из-за моментальной переадресации. И самое печальное, что от этой навязанной ерунды никак не отказаться.
Ну это просто вредительство
А когда мегафоновский модем при исчерпании трафика открывает вместо целевых страниц мегафоновскую страницу «У Вас закончился трафик»? Включаешь комп, запускаешь Хром с десятком открытых закладок, которые читаются регулярно, и получаешь вместо них десять мегафоновских страниц. И все, «Назад» не всегда срабатывает. Вот это вот вредительство самое натуральное.
Через HTTPS это сделать нельзя. У Вас что, сайты были HTTP? Думаю, стоило написать админам сайтов с просьбой перевести их на HTTPS.
Через HTTPS это сделать нельзя.
Тем не менее делалось :) Тот же Гиктаймс перенаправлялся на эту страницу — точно помню, а он был через HTTPS.
Вы что-то путаете. Проверьте свою систему на предмет наличия вирусов / поддельных ЦА.
Как было сказано ниже, это не подмена страницы, это, по сути, просто редирект. Его разве нельзя сделать, не зная исходного адреса, а просто отбивая все запросы, кроме white-list?
Ну если только вирус написан самим Мегафоном :) Зачем стороннему вирусу отслеживать остаток трафика на аккаунте и перенаправлять по его окончании на страницы Мегафона — я не могу придумать :)
Продублирую:
Чтобы сделать редирект, нужно, чтобы запрашиваемый сервер вернул ответ с редиректом. А чтобы этот сервер вернул такой ответ, нужно взломать либо его, либо Вас.
Возможно, у Вас стоит какое-то вредоносное ПО от Мегафона, не знаю. Но скорее всего, Вы просто в чём-то ошиблись. Думаю, там просто был HTTP, или же Вы перепутали страницы, которые отредиректились.
Чтобы сделать редирект, нужно, чтобы запрашиваемый сервер вернул ответ с редиректом. А чтобы этот сервер вернул такой ответ, нужно взломать либо его, либо Вас.
Возможно, у Вас стоит какое-то вредоносное ПО от Мегафона, не знаю. Но скорее всего, Вы просто в чём-то ошиблись. Думаю, там просто был HTTP, или же Вы перепутали страницы, которые отредиректились.
Нет, у меня ничего не стоит от Мегафона и я точно помню что это происходило и с сайтом Geektimes в том числе. Да практически все открытые вкладки перенаправлялись, только в одной-двух выскакивала ошибка «Сервер не отвечает». А большинство вкладок у меня на HTTPS-сайтах.
Разве сервер не может ответить редиректом еще до обмена ключами и установления безопасной сессии? Даже если запрос идет на 443-й порт?
Разве сервер не может ответить редиректом еще до обмена ключами и установления безопасной сессии? Даже если запрос идет на 443-й порт?
Не может. Вначале устанавливается защищённое соединение, а уже только после этого по нему передаются данные, в т. ч. заголовки на редирект. Конечно, вместо заголовков можно поюзать тег редиректа или js-редирект. Но и заголовки — это тоже часть ответа на GET или POST запрос. Т. е. это такой же ответ, как и обычный текст.
Ну и понятное дело, что оно так и должно быть. Иначе какой смысл от защищённого соединения? Злоумышленник ещё до установки соединения отредиректит пользователя на фишинговую версию сайта, тот введёт свой логин пароль, и всё пропало.
Ну и понятное дело, что оно так и должно быть. Иначе какой смысл от защищённого соединения? Злоумышленник ещё до установки соединения отредиректит пользователя на фишинговую версию сайта, тот введёт свой логин пароль, и всё пропало.
Тогда не знаю как они это сделали :) И повторить не смогу — несколько месяцев назад я перепрошил модем (именно по этой причине).
А что будет если обычный HTTP-сервер посадить на порт 443 и запросить его через https: //...? Соединение не установится?
А что будет если обычный HTTP-сервер посадить на порт 443 и запросить его через https: //...? Соединение не установится?
только если провайдер не делает подмену сертификата.
Некоторые именно так и поступают:
картинка
Открывает поверх (с тем же адресом) или перекидывет на свой адрес, всё же?
У меня в мой же блог на вордпрессе мегафон пихал рекламу свою. На длиннопост про конференцию получил пять баннеров.
Пришлось заморочиться с настройкой https.
Пришлось заморочиться с настройкой https.
За последние несколько лет про GoDaddy только плохие новости. Почему его по прежнему кто-то использует?
По инерции, из-за ДНС. Перенос ДНС весьма болезненным для бизнеса может оказаться. А хостинг они впарили в своей вырвиглазной админке за много лет куче компаний.
на время перехода можно задублировать же информацию. несколько дней подождать и уйти со старого
Не помню деталей, но так не получалось сделать. При трансфере домена он сразу исчезал из годедди, а на амазоне появился только через сутки.
потому что нормальная работа чего-либо не попадает в новости
не попадают в новости построенные дома, законченные вовремя проекты, взлетевшие ракеты взлетают тихо
и наоборот, весть о затонувшем Титанике моментально облетает весь мир, лобовое столкновние поездов потрясает людей и за пределами страны, а зафейленный проект продолжают помнить Джону Ромеро — несмотря на то, что у него за плечами куча хорошо сделанной работы до и после «Дайкатаны»
не попадают в новости построенные дома, законченные вовремя проекты, взлетевшие ракеты взлетают тихо
и наоборот, весть о затонувшем Титанике моментально облетает весь мир, лобовое столкновние поездов потрясает людей и за пределами страны, а зафейленный проект продолжают помнить Джону Ромеро — несмотря на то, что у него за плечами куча хорошо сделанной работы до и после «Дайкатаны»
UFO just landed and posted this here
В 2017 году это уже было. Может и раньше. Странно, что заметили сейчас.
GoDaddy и трэш — синонимы, непонятно что за мазохисты такие эти пользователи пострадавшие.
Раздули кипиш из ничего. Добавлять скрипты для измерение производительности страницы — стандартная и хорошая практика веб разработки. Хотите или не хотите, а на дворе 2019 год и на клиенте сидит значительная часть приложения и замерять ее надо.
И эта часть из оригинальной статьи:
Первая часть — бред. Мониторинг на клиенте такой же пассивный как и мониторинг на сервере. Пользователь его не видит. И оба не дают 100% гарантии того, что не ухудшат производительность или не положат страницу или сервер.
Но вопрос с доверием остается. Но тоже непонятно, если godaddy предоставляет какой-то UI-конструктор для создания сайта и они заправляют самим рендерингом html то ожидаемо, что они могут вставлять дополнительные части на страницы.
И эта часть из оригинальной статьи:
I am not against web host providers monitoring how their servers are running. Using a technology like RUM is a great way to do it, but this is meant to be a passive technology that is invisible to the end user. Injecting JavaScript into pages being served is far from passive and, at least in my eyes, is a violation of trust between the web host and the customer.
Первая часть — бред. Мониторинг на клиенте такой же пассивный как и мониторинг на сервере. Пользователь его не видит. И оба не дают 100% гарантии того, что не ухудшат производительность или не положат страницу или сервер.
Но вопрос с доверием остается. Но тоже непонятно, если godaddy предоставляет какой-то UI-конструктор для создания сайта и они заправляют самим рендерингом html то ожидаемо, что они могут вставлять дополнительные части на страницы.
Кому надо замерять? Если я плачу деньги за хостинг, то хочу получать на выходе то что формирую. И хостер не должен засовывать свой нос скрипт в браузер моих клиентов.
В этом случае арендуйте сервер, настройте SSL (который уже похоже норма) и используйте godaddy как регистратора. На другом конце спектра CMS где cвой сайт накликивается с редактора, в этом случае владелец CMS что хочет, то и вставляет. Вопрос где на этом спектре находится godaddy и что понимается под хостингом. Я не знаю.
В свое время хотел зарегистрировать домен в GoDaddy.
В прайс-листе отдельной строкой шла ПЛАТНАЯ возможность застраховать себя от угона домена по причине факапа. ФАКАПА САМОЙ КОМПАНИИ.
Я понял, что не хочу регистрировать домен у этой компании.
В прайс-листе отдельной строкой шла ПЛАТНАЯ возможность застраховать себя от угона домена по причине факапа. ФАКАПА САМОЙ КОМПАНИИ.
Я понял, что не хочу регистрировать домен у этой компании.
Sign up to leave a comment.
Клиенты GoDaddy недовольны JS-инъекциями со стороны хостера