В трафик сайтов опять внедряют посторонний контент. Как защититься?

Источник

В последнее время участились случаи инъекций стороннего контента на страницы российских сайтов, не защищённых HTTPS. Этим занимаются некоторые операторы связи, то есть это законная практика.

Логично, что если вам противостоит легальная угроза, то от неё следует защищаться техническими средствами.

Как сообщается, фишинговые подмены в основном происходят с участием доменов *2ad.wtf и news.truth.delivery: «В параметры запроса фишингового скрипта прокидывается адрес подменённого скрипта и регион подключения абонента (в текущем случае СПб)», — пишет автор. Далее загружается уже настоящий скрипт запрашиваемого сайта, чтобы всё выглядело нормально. Вот как это делается:



По словам пользователя, его провайдер совершал инъекции крайне неприемлемой медийной рекламы с «мусорных» источников.

Старая проблема

На самом деле это довольно старая проблема. Например, крупнейший в России телекоммуникационный провайдер начал встраивать рекламные баннеры на сайты без HTTPS ещё в 2020 году. Тогда представители компании пояснили, что это контекстная персонализированная реклама, которая показывается только по желанию пользователя.

Ранее ещё в 2016 году сообщалось, что из-за рекламной акции одного из мобильных операторов на мобильных сайтах СМИ появлялась реклама его фирменной услуги «Мини-кабинет». А в сентябре 2018 года другой мобильный оператор показывал абонентам рекламу своего сервиса при посещении сайта правительства.

Пользователи в комментариях к текущей записи 2022 года подтверждают наличие проблемы:

Сталкивался с этим в апреле. Переезжал, и интернет проведён не был, пришлось пользоваться телефоном в качестве модема. На проекте по работе [мобильный оператор] подменял скрипты Hubspot на такие же баннеры. [Домен] news.thruth.delivery там же фигурировал.

Такое практикуется и в сетях сотовой связи, и проводного интернета, подтверждают специалисты.

На Хабре публиковалось несколько расследований на эту тему:

• Рекламные баннеры Ростелекома и как с ними бороться
  
• Вы не смотрите рекламу во время разработки? Непорядок
  
• DPI: Deep Packet INJECTION, или конспирологическая теория о заговоре между RTK и MRG

Решение проблемы — сертификат TLS

Эта история ещё раз показывает, почему все сайты без исключения должны перейти на HTTPS с шифрованием трафика. Только сертификат TLS гарантирует защиту этого канала. В него не проникнет ни провайдер, ни другие третьи лица. Инъекция стороннего контента невозможна.

Согласно отчёту исследовательской компании Frost & Sullivan, в 2018–2022 годы количество публичных сертификатов TLS выросло на 36,0%. В то же время число удостоверяющих центров (УЦ) сократилось.

Основанная в 1996 году GMO GlobalSign остаётся одним из старейших центров сертификации в мире. Компания со штаб-квартирой в Японии входит в число ведущих мировых УЦ, занимая долю 8,9% и 4-е место в 2021 году, сказано в отчёте. Как отмечается, основной рост бизнеса во время пандемии COVID-19 пришёлся на Облачный сервис цифровой подписи, который внедряет юридически законные цифровые подписи в документооборот предприятия. Здесь любой сотрудник может дистанционно подписывать любые документы.



То есть рынок сертификатов TLS вырос и количественно, и качественно — в разные стороны и сферы применения. Конечно, для защиты от вышеупомянутых инъекций «Ростелекома» достаточно стандартного сертификата Let's Encrypt, но вот более комплексные задачи требуют более цельных решений. Сегодня рынок включает в себя сертификаты для веб-приложений, защиты электронной почты, цифровых подписей, Интернета вещей (IoT) и прочих вариантов применения инфраструктуры открытых ключей (PKI).

Публичные УЦ несут огромные капитальные и операционные расходы на создание и поддержание инфраструктуры PKI. Более того, частые обновления стандартов сертификатов, навязываемые форумом CA/Browser Forum, требуют от постоянного обновления инфраструктуры, пишет Frost & Sullivan.

Последние истории в Рунете показывают, что сертификат нужен каждому сайту, даже если это самая простая страничка.

Только HTTPS может гарантировать, что никто не подменит ваш контент на пути от сервера к клиенту.