Комментарии 157
Пару лет назад netbynet (wifire) вставлял свой JavaScript на все http страницы. После обращения в поддержку по крайней мере у меня эти скрипты пропали. А сейчас Теле2 делает тоже самое.
Хакнули, ага… буквально неделю назад друг рассказывал как мегафон подсовывал ему рекламу на локалхост (как и на прочие сайты по хттп)
Репозитории дебиан на мегафоне недоступны. Они там предлагают вообще какую-то чушь вместо этого с платными услугами. Дичь. Вот тебе и хттпс форсированно нужен везде.
А можно подробнее?
Кратко — вместо дебиановского репозитория на мегафоне по http протоколу отдавалась страница-заглушка с какой-то платной услугой мегафона. К сожалению, по какой-то причине могу найти свой комментарий со скриншотом, опубликованный здесь, на хабре. Не иначе как заговор
p.s. я уж начал было сомневаться в своей психической адекватности — но скрин точно был. И это точно была не Йота (я действительно мог с ней спутать, но это не столько важно, т.к., как я помню, Йота все равно принадлежит Мегафону), а Мегафон.
Нет, репы по хттп это норм. У них в пакетах все равно проверка контрольных сумм и подписи gpg, поэтому действительно хттпс тут избыточен — только лишний диоксид углерода в атмосферу выделять
И, да, предложение использовать летс энкрипт на официальных зеркалах… Как бы помягче. Гениально.
1. так сделайте сапомальный сертификат и проверяйте его
2. Ладно, избыточный с точки зрения проверки целостности ок. А что если я не хочу показывать провайдеру какие пакеты я ставлю?
3. Вы сами пишите что недоступны на мегафоне, https решит эту проблему? решит
- так сделайте сапомальный сертификат и проверяйте его
Погодите — репы то официальные, а не мои собственные — как я им пришпилю сертификат? Только если СВОЕ зеркало поднимать, но это вообще ОТДЕЛЬНАЯ ИСТОРИЯ. Так что Ваша фраза и к Вам относится
- Ладно, избыточный с точки зрения проверки целостности ок. А что если я не хочу показывать провайдеру какие пакеты я ставлю?
Соглашусь, но какой прок провайдеру от того, что он знает, что я обновы к убунту качаю? Пускай хоть засмотрятся на трафик — пофиг. Другой вопрос, что повсеместное распространение хттпс благо в ключе того, что тогда не будет оснований подозревать того, кто качает из репок по хттпс в каких-то неправомерных действиях (как и с шифрованием в целом)
- Вы сами пишите что недоступны на мегафоне, https решит эту проблему? решит
не уверен. Ограничение может быть и на уровне ДНС, но я не проверял. Проще было в тот момент переключиться на другую вай фай сеть и скачать необходимое. Касательно мегафона — просто иллюстрация факта, что провайдер вмешивается в плоский хттп трафик, причем самым безобразным образом
2. Отличный аргумент, ну раз вам все равно, значит и всем все равно.
3. Ну раз проще переключится на вайфай, то конечно мой аргумент теряет силу. Тем более учитывая в какой теме вы пишите это, это выглядит еще более странно. Тема про то что в http пихают рекламы, те как минимум это может случится.
Чего-то Вы какой-то деревянный. Ещё раз — как я могу повлиять на наличие у стороннего репо https ссл сертификата? Максимум — я могу переключиться на другое зеркало, НО!!! в стандартной поставке дебиан и убунту все репы по хттп. Для https надо устанавливать дополнительный пакет для апт с хтппс транспортом, а его надо откуда-то скачать. Рекурсия. Но, да, соглашусь только в том, что все сложности не непреодолимы. При желании
2) Скачать через промежуточный сервер.
А дальше — да, почти как Вы и сказали. Только не «выкидывать предварительно», а предварительно построить параллельную систему дублирующую необходимый функционал, потом неделя тестов, потом переход на новую и отключение (но не удаление!) старой системы. Ну а потом если через месяцок все хорошо — перемещение старых серверов на склад для списания или дербана на запчасти для тех систем которые пока не получается «выкинуть предварительно».
И, да, предложение использовать летс энкрипт на официальных зеркалах… Как бы помягче. Гениально.
В чём проблема использования Let's Encrypt на официальных зеркалах?
Нераскрыт вопрос направленности рекламы — почему именно женская одежда больших размеров?
В ноябре общался с ними на эту же тему, тоже в сибирском регионе. Официально всё отрицали (это у вас вирусы, ага), но на следующий день проблема резко пропала и пришла sms, что обращение в поддержку было обработано.
Казалось бы, не самая бедная контора, а всё равно норовит срубить денег вот таким скотским образом.
Ага, личная, перегиб на местах.
Вы в это верите?
Репутация и Ростелеком? Вы сейчас шутить изволите? Любая монополия такого размера, да еще и интегрированная в госструктуру, может себе позволить любой беспредел.
У них ведь есть куча других, гораздо более прибыльных методов. Например, в соседней ветке пишут про впаривание допгарантий. Вот это понятно: делать почти ничего не надо, с суммы ощутимые. Чтобы столько на редких баннерах накапало — не дождешься.
Чаще всего это не идея в рамках компании, а идея в рамках отдела, сотрудник и руководитель которого очень хотят показать вовлечённость, преданность и кучу прочих, нужных для личностного роста, качеств.
История знает примеры 'успешных' телеком проектов, на реализацию которых потратили миллионы, а заработали на них хорошо если тысячи, а то и десятки. Людей причастных к этим проектам поздравили и наградили, а большего им и не надо.
Не исключаю, что из ныне сидящей техподдержки никто и не в курсе про это. Сколько-то лет назад в условном Омске сделали неведомую хрень, протестировали, отчитались, получили долгожданное повышение, да и выключили скриптик от греха подальше, а может и вообще не включали никогда. А потом в рамках очередной перетасовки скрытых услуг в биллинге всё включилось обратно.
Другой вопрос, что даже зная точно про какой-то косяк у оператора связи, проще умереть, чем достучаться до тех, кто может составить тикет куда надо. И Ростелеком с огромным отрывом возглавляет лидерство в непробиваемой тупости биороботов техподдержки любого уровня, чья единственная задача — ответить на тридцать типовых вопросов типовой марьиванны. Автору ещё очень повезло.
По опыту работы в сфере телеком услуг — топ-менеджменту обычно без разницы как и на чём будут выполнять, а ещё лучше перевыполнять, поставленный план его подчинённые. Менеджеры на местах, обычно, народ не очень в телеком теме понимающий — они в части увеличения прибыли умеют только поднимать стоимость услуг. А тут кто-то говорит — "А давайте таргетинг рекламу по абонентам запустим. Я уже и рекламодателя нашел". И всё. К технарям прилетает требование как-нибудь воткнуть рекламу в трафик. Все счастливы, и может даже кто-нибудь получит премию.
Подтверждаю, в ходу идея "не обманешь — не продашь". Из свежего: при продаже оборудования клиенту предлагается "дополнительная гарантия", которая никак не увеличивает срок гарантийного периода, но если к вам в окно влетит метеорит и повредит роутер, его поменяют. Так вот, не далее как в начале февраля была указивка: не печатать клиенту вместе с договором страницу доп гарантии, но услугу подключать. Правда через несколько дней отменили, но это один из множества прецедентов. Увы, репутация ничто, планы — всё.
Вся репутация Ростелекома не помешала им ввести платные отключения, по схеме "хочешь отказаться от наших услуг — плати абонентскую плату за следующий месяц, иначе коллекторов нашлём".
Например, Мегафон наглым образом подписывает людей на левые сервисы.
Несколько раз уже отписывал своих знакомых. +1500к в месяц с каждого такого абонента, — очень хороший заработок.
постоянно приходится отключать какие-нибудь услуги, подключать услуги по отключению платных услуг, заводить отдельные нулевые счета для оплаты подключаемых услуг и всё такое прочее. И всё равно они придумывают новые способы объе… горить своего клиента.
Это всё где-то лет 3-5 назад началось. Руководство смениллось или их покусал кто?
Роуминг за границей вообще самый дешевый из всех операторов.
По большей части он сравним по цене с тиньков-мобайлом, но периодически всплывают нежданчики в виде 700+ рублей за мегабайт в самых непредсказуемых странах. Прошлым летом, например, такой тариф у йоты стоял на Беларусь и Казахстан.
Но 1,6 руб за мегабайт уже нормальная цена и интернетом в роуминге можно осторожно пользоваться. В отличии от других невиртуальных операторов у которых цена упала с 700 до 300 рублей за мегабайт. Либо казино с опциями. У Тинькова тарифы больше рассчитаны на какое-то регулярное потребление. У йоты выгоднее, когда нужно немного интернета, например, вызвать такси, доехать до города и там купить местную сим-карту. Либо как резерв.
В итоге мы решили вопрос очень просто — ушли к пчелам. С пчелами очень удобно, но иногда не слышно.)))
Кстати, действительно очень интересно, что же случилось в Мегафоне, что они так стали себя по-бандитски вести.
Как человек из индустрии могу сказать что там дохнут все, просто Билайн быстрее остальных… Это не компании такие, это страна теперь такаяОтсюда
В РФ, Украине и некоторых других с 2014 идёт кризис. Работа на падающем рынке — она такая.
У телеком-операторов есть экзистенциальная мечта перестать быть "просто трубой" для доставки данных, и вот они все пытаются изо-всех-сил. Эта не просто "забастовка водопровода", а буквально стратегия развития бизнеса, воплощающаяся в самые разнообразные формы.
Человек редко руководствуется логикой в жизни — думать сложно, думать больно физически, оглянитесь вокруг. А если на кону стоят деньги, да даже лишний миллион в месяц с безропотных клиентов, которым некуда податься и которые всё равно не повлияют на ситуацию, т.к. см. историю AT&T?
Давненько заметил, что чем крупнее компания, тем больше ей хочется денег и тем наглее она себя ведёт.
Хотя возможно и обратное — чем наглее компания "продвигает" свои услуги, тем богаче становится)) Особенно, если нет существенных альтернатив.
Они как-то на нескольких аккаунтах вставляли разовый редирект на свою рекламу антивируса Касперского. Он происходил для всех http запросов до тех пор, пока не перейдешь и не выберешь отказаться или согласиться.
Общался с техподдержкой, высказывая своё "фи". Для них это норма: "нам же надо как-то знакомить пользователей с нашими выгодными предложениями"
Принципиально перешел от них к другим именно из-за этого скотского отношения. Влазить в мой трафик неприемлемо!
Потому и не бедная, что норовит поиметь клиента за каждый грош
Мегафон 404 ответ подменяет и кэширует, что этого урла нет (
В проекте надо явно указывать https при подгрузке сторонних ресурсов, а не использовать относительный URL без схемы src="//maps.google.com/...". Это уже давно антипаттерн.
Скорее проекты нужно показывать по https, что бы предотвратить подмену контента и вставку рекламы, а не обзывать явное или не явное указание протокола «не шаблоном».
Это на локалхосте-то нужно только https использовать? Интересно, от чего защищаемся?
Знаете что такое универсальность? Это когда все ресурсы по https. Я не могу представить себе случай когда https не является универсальным.
Ну, случай-то представить можно легко: представьте, что https в браузере поломался. Вроде того, как у Firefox однажды отвалились все расширения, но только с сайтами.
Вот только случается такое с браузерами очень редко, а http ломается очень часто. Так что https всё равно универсальнее выходит...
От локального антивируса, например :(
Аналогичную историю раскопал 10 дней назад. Провайдер Ростелеком. Тоже делают 301 на рекламный хост переадресацию при загрузке скриптов гуглокарт по HTTP. Пришлось по коду заменить "//maps.google.com/..." на "https://maps.google.com/..."
В поддержке сначала пообещали исправиться и отключить рекламу в течение 48 часов. Не отключили, на повторное обращение ответили, что у всех операторов так. Буду менять провайдера, благо что рынок конкурентный и есть более выгодные предложения.
Честно, день было изучить договор, неужели такие действия находятся в рамках правового поля?
Лишняя копейка никогда не помешает.
А если серьезно, маржинальность проводных операторов стремится к 0. Вот и ищут более или менее законные способы…
Нечего было тарифы снижать. Причём снижали их в первую очередь как раз крупные компании, почти что демпингуя.
Был бы не против если бы все тарифы на проводной инет стали в 10 раз больше чем текущие рыночные в Москве.
Тарифы еще вырастут… Но я рад, что у нас почти самые низкие тарифы в Европе. Результат конкуренции…
Хотите тарифы в 10 раз больше? Оформитесь как юр лицо…
Низкая стоимость подобных услуг — это признак и следствие проблем в экономике.— т.е. если поднять цены в 10 раз и деньги отдать руководству и/или владельцам компании, то эта «проблема в экономике» исчезнет?
т.е. если поднять цены в 10 раз и деньги отдать руководству и/или владельцам компании
А почему не рассматривается вариант — увеличить зарплату тем же монтажникам? Ах, да, извините — я забыл, что РСТ — социалистическая компания, но только по отношению к руководствам/владельцам компании, а не ее сотрудникам
не совсем так. Во многих странах с более низким ВВП на душу населения и более низкими реальными доходами интернет намного дороже.
У нас реально сыграли следующие факторы: действительно реальная конкуренция (такого ни в Европе, ни в США практически нет), почти полное отсутствие контроля (в Москве примерно до 2015г.), высокая урбанизация и концентрация потребителей услуг.
Судя по формулировкам, это что-то близкое к 272 и 274 УК РФ, особенно в случае с заменой исполняемого JS. Правда операторы наверняка съедут, интересно только как.
Перешел на другого провайдера на следующий день.
Всегда было интересно, разве такие действия не подпадают под статью про "незаконное вмешательство в работу электронно-вычислительных машин"?
На днях был похожий случай.
Со свежеустановленного линукса зашёл на личный сайт по http, а там рекламные баннеры. Проверял и в chromium и в мозиле — вылезает реклама то там, то тут.
Сразу отмёл заражение пк (ведь только установил же ос, ну) и сайта, т.к. реклама даже на пустых html-страницах появлялась, но что примечательно: она никогда не появлялась, если на странице отсутствовал тег < script >. Вот если он есть, пусть даже пустой, то в аккурат под ним на страницу встраивалась куча js-кода и скрипты с mail.ru.
Полез смотреть настройки роутера и там оказался изменён пароль от админки. Скинул роутер до заводских кнопкой, скачал прошивку с сайта провайдера и накатил. Третий день идёт, пока рекламы нет.
Ростелеком, Кубань. Роутер zte zxhn h298a.
Возможно у автора аналогичная проблема, хотя всё же похоже больше на вмешательство провайдера.
У меня роутер от провайдера. Инструкция по его перепрошивке имеется на их же сайте, сама прошивка там же. Вот про модель, о которой я писал http://bz.south.rt.ru/?p=2060
п.с. обратите внимание, что база знаний по ссылке принадлежит ПАО "Ростелеком ЮГ", возможно что для других регионов инструкции и прошивки могут быть другими.
У меня уже давненько был похожий опыт и сталкивался со взломом АДСЛ-роутера из инета, после чего он активно встраивал на страницы ссылки, открывающиеся при нажатии в любом месте страницы. Думал было что-то интегрировано в браузеры на компах, но потом увидели, что роутер дропает пакеты к себе и соответственно в админку не зайти. После перепрошивки роутера и установки длинющего пароля, часов 12 все было ок и потом опять началось.
Так что допускаю, что встраивание редиректов может быть из-за взлома оборудования провайреров.
Интересно, а оборудование СОРМ в теории могло бы оказывать "услугу" таргетированная рекламы? Или оно только на чтение?
Вот что собственно техподдержка ростелекома ответила по этому поводу:
А сегодня открываю собственный сайт и вижу баннер в шапке. Иронично, что рекламируется защита от кибератак и фишинга в лице Касперского. В коде страницы упоминания mailru и analytic.press. Внедрено в строчке, содержащей jquery, после открытия тега body и перед закрытием тега html.
Провайдер местный, которого пару лет назад купил Ростелеком.
Кто виноват в итоге? Ростелеком?
Бороться только https-ом?
Так вот откуда у меня swagger в api на http://localhost:some_port частенько ловит 307 при использовании try it it out! (через раз), хотя на сервере включен авторедирект на https (ростелек, GPON)
А если сайт при обнаружении вмешательства выдает попап на вида «Ваш провайдер Тут_Данные_из_Whois нарушает статьи УК…. Настоятельно рекомендуется сменить провайдера. Настоятельно рекомендуется отправить жалобу в РКН через <ссылка>» -:)
А то — провайдер.
А провайдеру, к сожалению, можно всё.
Определять нарушает ли кто-то статьи УК или нет — прерогатива суд, а вы можете быть привлечены за клевету, за заведомо ложное обвинение в совершении преступления.
И вообще юрлицо УК не может нарушать в принципе, субъекты уголовных преступлений — физические лица. Бывают дела, в которых формулировки встречаются типа "группа лиц по предварительному сговору создало ООО "Рога и копыта" для отмывания денежных средств, полученных преступных путём" или "Директор ООО "Рога и копыта", пользуясь служебным положением отдал преступное распоряжение сотрудникам", но не более
А так выглядит:
Недавно такое же было на экотелеком, я тоже подумал сначала что хакнули vps, даже систему снёс (в принципе давно пора было), оказалось провайдер. Причем тоже не всегда реклама вставлялась.
УК РФ Статья 272. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации
…
3. Деяния, предусмотренные частями первой или второй настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, — наказываются штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок.
…
Примечания. 1. Под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи.
www.consultant.ru/document/cons_doc_LAW_10699/5c337673c261a026c476d578035ce68a0ae86da0
Тут бы мнение юриста
Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло ...
Что бы это значило? Что входит в "охраняемую законом" компьютерную информацию?
Там есть, как минимум, коммерческая тайна, профессиональная тайна и тайна переписки.
Я просто оставлю это здесь. Во всём виновато dpi-оборудование от компании RDP.ru, и «технологии», которые рекламируются в вакансии. Недоступность многих ресурсов в определённые часы тоже связана с этим оборудованием.
Но в последние пару дней стали происходить более странные вещи:
IOS-приложения тинькова перестали работать
Переход по рекламе googleadservices — CONNECTION_REFUSED
Многими сайтами теперь вообще не воспользоваться — идет редирект на левые ресурсы / порно-сайты / баннеры во весь экран. Покопавшись, становится видно, что JS разных рекламных сетей (marketgid, braun634) подменяется.
Поддержка, кстати, предлагает купить антивирус через их личный кабинет :)
Воспроизводится только на localhost. Даже site.local не работает.
Редиректят downloads.mailchimp.com/js/goal.min.js на
r.analytic.press/?orig=http%3A%2F%2Fdownloads.mailchimp.com%2Fjs%2Fgoal.min.js&id=5efafa901502d95fbb03253fe31040eb7595®=61
Вы не смотрите рекламу во время разработки? Непорядок