Комментарии 122
НЛО прилетело и опубликовало эту надпись здесь
Первые два хоста uBlock Origin блокирует через список AdGuard Tracking Protection. Но этот список в дефолтной установке не включен, надо включать вручную.
Основную проблему блокировки подменяющего скрипта дописал в PS к статье. Для посетителя сайта это проблему решит — да, баннер показан не будет. Но в этом случае не будет загружен и оригинальный скрипт, который зловред заблокировал, т.к. он кроме рекламы вставляет на страницу и скрипт, который подменил. В этом случае сайт потеряет функциональность, т.к. нужный скрипт не будет загружен.
В моих тестах зловредная реклама встраивалась даже на пустой странице с одним лишь пустым тегом script в котором не указана ссылка на источник.
А они таким образом никаких законов не нарушают, случаем? Понятно, что отстоять это в суде будет проблематично, но хотя бы в теории?
Вероятно,
УК РФ Статья 272. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, — наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.
2. То же деяние, причинившее крупный ущерб или совершенное из корыстной заинтересованности, — наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок.
3. Деяния, предусмотренные частями первой или второй настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, — наказываются штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок.
Статья 273. Создание, использование и распространение вредоносных компьютерных программ
1. Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, и т.д.
Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей
(в ред. Федерального закона от 07.12.2011 N 420-ФЗ)
1. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее
УК РФ Статья 272. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, — наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.
2. То же деяние, причинившее крупный ущерб или совершенное из корыстной заинтересованности, — наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок.
3. Деяния, предусмотренные частями первой или второй настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, — наказываются штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок.
Статья 273. Создание, использование и распространение вредоносных компьютерных программ
1. Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, и т.д.
Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей
(в ред. Федерального закона от 07.12.2011 N 420-ФЗ)
1. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее
Не подпадает — они не вносят изменения в "компьютерную инофрмацию", т.е. не вмешиваются в работу вашего или чего-то ещё компьютера.
Они вмешиваются в транзитный трафик, который пользователь самостоятельно прогоняет через их оборудование.
И уверен, что прикроются либо "внесение изменений, необходимых для осуществления транзита" (посудите сами — они и NAT должны делать и ethernet заголовки править, иначе пакет просто не пройдёт, либо "ПО было атаковано неизвестными хакерами, которые настроили систему для помены трафика. уголовное дело в отношение неустановленных хакеров заведено".
На самом деле грустно это всё.
И ещё один повод для принудительного перехода на HTTPS даже там, где это, на первый взгляд, нафиг никому не надо.
Неужели оператор связи не несет ответственности за целостность передаваемых данных? В этом ведь и есть смысл его существования и основная услуга за которую он деньги от клиента получает
Я разорвал договор с ростелекомом после того как заметил такие баннеры у себя на мониторе. Тогда мне перезванивал специальный уговаривательный человек, который прямым текстом говорил что я могу жаловаться и «ну все же операторы этим занимаются, куда вы пойдете».
Опсосы напропалую подписывают на левые платные подписки.
и как бы, всем пофиг.
А уж мелкие шалости с байтиками в потоке…
и как бы, всем пофиг.
А уж мелкие шалости с байтиками в потоке…
Нет, не несёт. Почитайте договор внимательно.
Ни один isp не гарантирует целостность передаваемых данных. Так как это технически не возможно.
хех, я когда жаловался второй линии на низкую скорость на некоторые хосты, мне сказали «вот спидтест до ростелекома, что вам ещё надо?»
Подсовывать чужие скрипты явно не является необходимостью...
Мы все и так пониманием, что это явный перебор.
Вопрос-то изначально был в другом — что можно с этим сделать с юридической точки зрения.
С моей точки зрения — практически ничего.
Первым делом вы задолбаетесь доказывать, что это делает именно ростелек, а не, к примеру, исходный сервер.
Давайте рассмотрим теоретически — вы утверждаете, что ростелек вносит изменения в ваши скрипты с jQuery, ростелек утверждает, что это не они.
Вы через суд требуете экспертизу.
Суд назначает… произвести выемку серверов, на которых лежит jQuery для анализа кода и отдаваемых данных. Дальше продолжать? :)))
Берём более простой случай — данные подменяются в выдаче вашего сайта mysite.ru. Он находится на физическом сервере, принадлежащем вам.
Вы отдаёте ваш сервер на судебную экспертизу, через 3-6 месяцев (хотите быстрее? а вы сможете быстрее проверить всё, включая бинарные библиотеки операционной системы?) «на основе находящейся на серверах информации — данные выдаются без подмены».
Вопрос суда (С) — озачает ли это, что подмену делал ростелек?
Ответ эксперта (Э) — нет, отсюда этого не следует
С — как могла происходить подмена?
Э — подмена могла производиться предыдущей версией ПО, установленной на сервере, подмена может проводиться транзитными операторами, любым из 5 транзитников
Дальше продолжать?
Вы споткнётесь на первом же пункте — на доказательстве, что подмену делает именно ростелек.
Вопрос-то изначально был в другом — что можно с этим сделать с юридической точки зрения.
С моей точки зрения — практически ничего.
Первым делом вы задолбаетесь доказывать, что это делает именно ростелек, а не, к примеру, исходный сервер.
Давайте рассмотрим теоретически — вы утверждаете, что ростелек вносит изменения в ваши скрипты с jQuery, ростелек утверждает, что это не они.
Вы через суд требуете экспертизу.
Суд назначает… произвести выемку серверов, на которых лежит jQuery для анализа кода и отдаваемых данных. Дальше продолжать? :)))
Берём более простой случай — данные подменяются в выдаче вашего сайта mysite.ru. Он находится на физическом сервере, принадлежащем вам.
Вы отдаёте ваш сервер на судебную экспертизу, через 3-6 месяцев (хотите быстрее? а вы сможете быстрее проверить всё, включая бинарные библиотеки операционной системы?) «на основе находящейся на серверах информации — данные выдаются без подмены».
Вопрос суда (С) — озачает ли это, что подмену делал ростелек?
Ответ эксперта (Э) — нет, отсюда этого не следует
С — как могла происходить подмена?
Э — подмена могла производиться предыдущей версией ПО, установленной на сервере, подмена может проводиться транзитными операторами, любым из 5 транзитников
Дальше продолжать?
Вы споткнётесь на первом же пункте — на доказательстве, что подмену делает именно ростелек.
В этой ситуации я лично вижу 2 потенциальных нарушения.
1. Ростелеком не имеет права модифицировать данные чужих сайтов. Они не имееют на это согласия владельцев сайтов и не передают им часть прибыли. Возможно эти действия похожи на то, что они пользуются чужой собственностью с целью извлечения прибыли.
2. Получатель услуги (абонент) не давал согласия на модификацию трафика, а именно показ рекламы там, где ее быть не должно.
Не юрист, возможно меня поправят.
1. Ростелеком не имеет права модифицировать данные чужих сайтов. Они не имееют на это согласия владельцев сайтов и не передают им часть прибыли. Возможно эти действия похожи на то, что они пользуются чужой собственностью с целью извлечения прибыли.
2. Получатель услуги (абонент) не давал согласия на модификацию трафика, а именно показ рекламы там, где ее быть не должно.
Не юрист, возможно меня поправят.
Хм.
- РТК и не модифицировал данные. Он добавлял свои данные. Аргумент скользкий, но обычно прокатывает.
- А вы внимательно читали договор? Скорее всего там есть пункт о согласии абонента получать рекламу и таким образом.
РТК и не модифицировал данные. Он добавлял свои данные.Так это и есть модификация данных, разве нет?
Я говорю не о модификации, как таковой. Хотя это тоже есть.
Представьте, например, в музее картине Рембрандта добавили новую фигуру.
Посмотрите на это с другой стороны.
Допустим вам в метро будут лепить на спину баннер, без вашего ведома и согласия.
При этом неплохо зарабатывая на этом.
Представьте, например, в музее картине Рембрандта добавили новую фигуру.
Посмотрите на это с другой стороны.
Допустим вам в метро будут лепить на спину баннер, без вашего ведома и согласия.
При этом неплохо зарабатывая на этом.
Это явно нарушение Закона о Рекламе. И получение выгоды неправомерной методом целенаправленной модификации данных, путем инкапсулирования в пакет данных их рекламного дерьма.
Заявление В ФАС и Роскомнадзор. С подробным описанием.
Надо посмотреть как будут выкручиваться.-) а так, только поголовное распространение этой информации и демотиваторы на тему Ростелесрам
Заявление В ФАС и Роскомнадзор. С подробным описанием.
Надо посмотреть как будут выкручиваться.-) а так, только поголовное распространение этой информации и демотиваторы на тему Ростелесрам
Не подпадает — они не вносят изменения в "компьютерную инофрмацию", т.е. не вмешиваются в работу вашего или чего-то ещё компьютера.
С точки зрения здравого смысла JS как раз таки является программой (точнее ее частью), которая выполняется на моем компьютере. С 272 тут можно отмазать, но вот 273 уже подгоняется довольно неплохо.
Но юристы наверняка смогут натянуть обратное. А если и нет, то для ростелека это спустят на тормозах
Вы просто неверно трактуете статьи.
Обе статьи направлены на данные, хранящиеся в вашем компьютере.
Более того, они рассматривают неправомерный доступ к этим данным, т.е. вы не хотели, чтобы кто-то эти данные увидел, а они их увидели и нанесли вред.
А тут речь идёт про те данные, которые передаются по сетям электросвязи.
Во-первых, они уже не хранятся на вашем компьютере и статьи неприменимы.
Во-вторых, доступ правомерный, т.к. по вашему указанию сеть оператора обеспечивает транзит трафика.
А нигде ничего не сказано о возможностях изменять этот трафик.
Поэтому операторы добавляли, добавляют и будут добавлять всякий мусор до тех пор, пока не появится отдельная статья, описывающая работу с транзитом трафика.
Обе статьи направлены на данные, хранящиеся в вашем компьютере.
Более того, они рассматривают неправомерный доступ к этим данным, т.е. вы не хотели, чтобы кто-то эти данные увидел, а они их увидели и нанесли вред.
А тут речь идёт про те данные, которые передаются по сетям электросвязи.
Во-первых, они уже не хранятся на вашем компьютере и статьи неприменимы.
Во-вторых, доступ правомерный, т.к. по вашему указанию сеть оператора обеспечивает транзит трафика.
А нигде ничего не сказано о возможностях изменять этот трафик.
Поэтому операторы добавляли, добавляют и будут добавлять всякий мусор до тех пор, пока не появится отдельная статья, описывающая работу с транзитом трафика.
А вы значит правиль ТРАКТУЕТЕ СТАТЬИ ???
_)))
Ну давайте немного посмеемся.
Цитирую: «по вашему указанию сеть оператора обеспечивает транзит трафика.
А нигде ничего не сказано о возможностях изменять этот трафик.»
Вы понимаете под транзитом что? Взял, поиздевался, изнасиловал, выбил глаз, отпустил (или выбросил из машины) домой и сказал ЧТО ТАК И БЫЛО?
или чета ЗдесЯ не так?
Давайте вы тоже определитесь.
«Транзит» — ваше определение
и«возможнсоть изменять трафик» — у вас синонимы, это мы уже поняли.
Но это крайне не вяжется ни с УК ни с ГК.
Готовы доказать обратное?
_)))
Ну давайте немного посмеемся.
Цитирую: «по вашему указанию сеть оператора обеспечивает транзит трафика.
А нигде ничего не сказано о возможностях изменять этот трафик.»
Вы понимаете под транзитом что? Взял, поиздевался, изнасиловал, выбил глаз, отпустил (или выбросил из машины) домой и сказал ЧТО ТАК И БЫЛО?
или чета ЗдесЯ не так?
Давайте вы тоже определитесь.
«Транзит» — ваше определение
и«возможнсоть изменять трафик» — у вас синонимы, это мы уже поняли.
Но это крайне не вяжется ни с УК ни с ГК.
Готовы доказать обратное?
Вы понимаете под транзитом что?
Вы верно мыслите — в законах такого понятия нет (или я в такой формулировке не видел), а раз нет, то и наказания не предусмотрено. Точнее есть там кое-что о передаче данных, но нет ничего, связанного с (не)модификацией передаваемой информацией (если я ошибся, то дайте ссылку на конкретные статьи).
Я смотрю на эту ситуацию по другому — есть понятия «в соответствии с буквой закона» и «по совести».
Суды наши работают в соответствии с буквой закона (и могут выборочно в разных местах применять разные «букву». что есть, то есть) и я считаю, что текущая формулировка указанных законов не позволяет как-либо наказать «эффективных менеджеров», которые решили пихать рекламу в абонентский трафик.
Не согласны?
Буду ОЧЕНЬ рад ошибиться.
Подавайте в суд, держите в курсе, все будут только «за» вас.
А пока оператора наказать можно только «рублём», когда недовольные абоненты уйдут к конкурентам. Это если есть куда уходить…
На дворе 2020 год, прикрутить HTTPS можно бесплатно! У браузеров в планах вообще запретить обращение к сайтам без шифрования. Мне кажется тут наоборот надо сказать спасибо чудакам из ростелекома, за то, что наглядно показывают последствия безалаберности админов.
Тогда придётся ставить вам расширения для браузера, для «доступа к госуслугам», «иначе отключим газ»
www.youtube.com/watch?v=I9dckx73vdI
www.youtube.com/watch?v=I9dckx73vdI
Тогда почему огнелис мне говорит, что госуслуги он мне открыл по https и на них валидный сертификат, подписанный Comodo?
Вы видимо не поняли. Можно любой сайт и по https и с любым сертификатом увешать рекламой и логировать все действия, пароли и даже записывать видео со звуком.
Только если сертификат сайта (или вышележащий) утек/подменили.
Почему, собственно, все напрягаются когда заходит речь про список корневых сертификатов (точнее, про установку туда чего-либо).
Почему, собственно, все напрягаются когда заходит речь про список корневых сертификатов (точнее, про установку туда чего-либо).
Вы используете браузерные расширения?
> Только если сертификат сайта (или вышележащий) утек/подменили.
Ещё в случае если между юзером и сайтом вклинился SSL Strip и юзер это не просёк. Для защиты от такой напасти есть HSTS Preload, но Госуслуги как раз его не используют.
Ещё в случае если между юзером и сайтом вклинился SSL Strip и юзер это не просёк. Для защиты от такой напасти есть HSTS Preload, но Госуслуги как раз его не используют.
минкомсвязь давно суёт серт на нужных бухгалтерии сайтах, это не оно?
Тоесть вы утверждаете, что взлом на лету RSA и прочей криптографии вполне себе возможен для почти любого провайдера? Вариант с «установите наш корневой сертификат» я естественно не рассматриваю, т.к. такое будет делать только клинический идиот, который в криптографии и безопасности ничего не понимает.
Обрадую (нет) вас. Тут недавно подключили интернет на многие «социально-значимые объекты», особенно в регионах. И интернет у них идёт через ресурсы Ростелекома, со своим «прокси-сервером для контент-фильтрации» и корневым сертификатом. Притом не важно кто физически оператор, просто прокидывается L2\аналоги до сети РТК. Такую систему всё-таки постепенно вводят и тестируют.
Тоесть получается, что на таком объекте у меня у google.com будет сертификат, выданный RosKomPozor? Если так, то очень печально, особенно если оно блокирует всякие порты типа 500/4500 и далее.
Не довелось трафик рассмотреть, увы, но я принимал участие в настройке нескольких таких «объектов», и уверен что без «сертификата» сайты не открываются. Так что скорее всего да, там mitm идёт, что в целом то правильное решение для блокировки конкретных страниц, а не всего сайта сразу. Могу с уверенностью сказать что подвержены влиянию учебные заведения.
НЛО прилетело и опубликовало эту надпись здесь
Проблема скорее всего с упомянутыми сайтами местечковых музеев, кружков макраме и т.п., написанных 100 лет назад чьим то сыном школьником. Совсем отказаться от них не получится, т.к.что на таких старых сайтах ценный, и, при не шибкой его популярности, уникальный контент. Перевести всё на https, тоже вряд для всех получится реализуемо, т.к. основные затраты будут не на саму работу, а на её организацию.
Извините за такую аналогию, но в данном случае обкладывание сертификатами походит на вставляние пробки в одно место для защиты от лося. Не поймите неправильно, я всеми руками за HTTPS (на работе в любом вновь разворачиваемом сервисе с веб-интерфейсом, независимо от его критичности, обязательно настраиваем HTTPS). Но в данной ситуации надо лечить заболевание, а не симптомы. И здесь, наверное, действительно, УК нам в помощь.
Просто иначе в какой-то момент нам начнут подсовывать что-то покруче, например, MRG вспомнит былое и начнет пихать Амиго/whateverelse через уязвимости в пользовательском ПО.
хостингер.ру наоборот, сертификат сделали платным. Либо можно его бесплатно обновлять руками.
Для владельцев ресурсов — однозначно https.
Для клиентов — после звонка в поддержку отключают рекламу.
В моем случае были еще редиректы эротического характера — проблема была в их ONT-терминале, после сброса настроек все решилось. Пароли на нем по-умолчанию и без танцев с бубном не меняются.
Для клиентов — после звонка в поддержку отключают рекламу.
В моем случае были еще редиректы эротического характера — проблема была в их ONT-терминале, после сброса настроек все решилось. Пароли на нем по-умолчанию и без танцев с бубном не меняются.
Я клиент ростелекома, баннерную рекламу мне отключили по заявлению в техподдержку 1-2 марта, вчера 21-го марта у меня вновь показываются баннеры. Так что есть подозрение что отключение рекламы временное, будет как с мобильными операторами — отключить всякую пакость можно, но они включат под любым предлогом снова.
Я клиент, пришла отписка на почту «приняли в работу», а воз и ныне там. Завтра отключусь.
CF бесплатен и работает проксей которая заведет в https твой http трафик
CSP в этом случае не поможет?
Если соединение не защищено, все заголовки CSP отрезаются с таким же успехом
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Что если злоумышленник вклинится где-то посерёдке и начнёт раздавать фейковые новости вместо настоящих? А если живёте в России, то можете за это попасть на штраф от Роскомнадзора, или даже в тюрьму (если отдаваемые злоумышленником данные на вашем сайте будут нарушать законодательство, но вы не сумеете доказать свою непричастность к ним)
Как бороться с баннерами от Ростелекома? По возможности не подключать Ростелеком. А если вам звонят и предлагают что-то из их услуг, тонко намекните оператору, что РТК поступает подло и гнусно, подсовывая рекламу. Можно попросить рассказать об этом начальству.
Как бороться с баннерами от Ростелекома?
Вообще-то это вторжение в частную жизнь, жилище, как угодно называйте. Я не приглашал к себе тем более Ростелеком (наелся его услугами, будь то телевидение или домашний телефон). За это надо наказывать. Интересно что думает ФАС?
На тех же госуслугах есть сервис «заявление о нарушении законодательства о рекламе», но там достаточно жесткий порог в виде заполнения формы.
я предположу, что в данной ситуации эту проблему лучше решать владельцам сайтов, на которых рт незаконно инжектит свою рекламу.
НЛО прилетело и опубликовало эту надпись здесь
посмотреть есть ли скайнет, если питер, у них с домрой примерно один охват.
Хотя я сам на рт сижу, потому что оптика, очень меня утомили "не работает интернет - оставьте заявку на форуме, доступном только из этой же локалки" и "у вас домовой свич завис (на чердаке), мастер в понедельник придёт". За 4 года никаких проблем со стабильностью, да и баннеров ни разу не было, но тариф топовый.
Про чердак особенно доставляет, когда ключи от него только в ЖЭК и их получить это квест на несколько дней.
У них плата за показы?
А я расцениваю выборочную подмену скриптов для показа рекламы как намёк на то, что однажды (если ещё не) вместо вставки баннера случится нечто гораздо более опасное, но визуально незаметное. Этакое «бегите (срочно примите меры), глупцы!».
Хоть меня и минусили за эту точку зрения, повторюсь. Нужно разработать софт, который будет не просто блокировать такие баннеры, но и идти в атаку. В рекламе указан телефон? Программа звонит туда через SIP и долго донимает менеджера, искусно имитируя живого, просто не очень умного человека, пытается делать заказы на несуществующие адреса (или адреса начальства того, кто заказал рекламу). В сайте по рекламной ссылке есть формы заказа, формы отзывов? Спамим всё, что можно, бессмысленными/оскорбительными комментариями. Далее, просто многогранный и мощный DDoS по сайту рекламодателя, по серверам самих рекламщиков. Имитация кликов по баннерам, чтобы рекламодатель разорился. И прочее в том же духе.
Для простого пользователя это должно выглядеть как расширение для браузера, в которое только надо забить логины и пароли от акаунтов SIP-телефонии, ну и периодически пополнять эти акаунты деньгами и регить новые по мере блокировки старых.
Если такое сделать, это нанесёт мощнейший удар по любителям такой непрошенной рекламы. И реклама, как когда-то, снова станет в виде нетаргетированной jpeg-картинки в углу сайта.
Кто-то говорил, что этот инструментарий можно будет использовать против конкурентов. Ну — возможно, где-то кто-то так сделает. Но и сейчас есть много способов насолить конкуренту, но в глобальном масштабе это не особо заметно.
Для простого пользователя это должно выглядеть как расширение для браузера, в которое только надо забить логины и пароли от акаунтов SIP-телефонии, ну и периодически пополнять эти акаунты деньгами и регить новые по мере блокировки старых.
Если такое сделать, это нанесёт мощнейший удар по любителям такой непрошенной рекламы. И реклама, как когда-то, снова станет в виде нетаргетированной jpeg-картинки в углу сайта.
Кто-то говорил, что этот инструментарий можно будет использовать против конкурентов. Ну — возможно, где-то кто-то так сделает. Но и сейчас есть много способов насолить конкуренту, но в глобальном масштабе это не особо заметно.
Вы только что AdNauseam. Впрочем, до SIP-звонков оно ещё не дошло, да и сомневаюсь, что WebExtensions это позволяют.
НЛО прилетело и опубликовало эту надпись здесь
в свое время Blue Frog пыталась так работать против спама на емайл, пока ее в 2006 не закрыли. интересная история как таковая.
Предлагаете сразу "подписаться на статью"?..
Ваш призыв к преступлению так же попадает под УК.
Да и бороться незаконными методами никогда не помогало. Тем более вполне можно бороться в правовом поле.
Не всем интересно заниматься борьбой. У многих есть более других дел чем заняться.
Тогда начнут размещать рекламу с телефонами конкурентов.
А плагин HTTPS Everywhere тут не поможет?
Согласен с HTTPS, но дополнительно еще developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity.
Кроме того, можно внешние ресурсы подключать по https, даже если сам сайт еще не переведен.
Кроме того, можно внешние ресурсы подключать по https, даже если сам сайт еще не переведен.
У РТ есть еще один мерзкий механизм. К сожалению, из-за редкости проявления (раз в пол года) я не смог его отследить. Суть такая: при открытии ресурса определенной тематики идет редирект на баннер РТ в текущей тематике. У меня это проявлялось при открытии страницы стима — шел редирект на какой-то IP адрес с баннером.
Эпик был когда баннер РТ отобразился вместо контента клиента стима.
В ТП сказали, что такой способ юзают. Но потом в письме сообщили, что ничего не делают и это стим решил показать баннер услуги РТ по игровой тематике.
Эпик был когда баннер РТ отобразился вместо контента клиента стима.
В ТП сказали, что такой способ юзают. Но потом в письме сообщили, что ничего не делают и это стим решил показать баннер услуги РТ по игровой тематике.
Да, встречал такие жалобы в интернете, в этом случае видимо уже выполняется редирект самой страницы — свинство со стороны РТ.
По внешним признакам, там идет атака на dns — отдается ответ с нужным адресом и нулевым временем жизни. Далее редирект на целевую страницу.
Подмена данных ответа стороннего DNS? Или кто-то всё ещё пользуется провайдерскими DNS-серверами?
А что мешает провайдеру завернуть весь трафик udp/53 на свой DNS?
Легко устроить атаку на, пожалуй, самый незащищенный протокол.
Да, я использую гугловые сервера, который умеют в DoH, но не каждый клиент может с этим работать. Мой роутер вроде бы как бы тоже умеет, но видимо не всегда это срабатывает. Подозреваю, что в случае отказа over https идет обычный запрос. Но это не точно — сейчас я сужу только во воспоминаниями внешних признаков.
Кстати, вспомнил еще один мерзкий случай.
Провайдер может сообщить по сети о необходимости авторизации в сети и прислать ссылку, по которой нужно ее провести. Операционна система в данном случае откроет ее и отобразит пользователю для ввода данных авторизации.
Кто догадается какая что находится по ссылке для авторизации в сети? :)
Да, я использую гугловые сервера, который умеют в DoH, но не каждый клиент может с этим работать. Мой роутер вроде бы как бы тоже умеет, но видимо не всегда это срабатывает. Подозреваю, что в случае отказа over https идет обычный запрос. Но это не точно — сейчас я сужу только во воспоминаниями внешних признаков.
Кстати, вспомнил еще один мерзкий случай.
Провайдер может сообщить по сети о необходимости авторизации в сети и прислать ссылку, по которой нужно ее провести. Операционна система в данном случае откроет ее и отобразит пользователю для ввода данных авторизации.
Кто догадается какая что находится по ссылке для авторизации в сети? :)
Было нечто подобное, когда мне, вероятно, по какой-то ошибке подключили ускорение х2 за 0 р/мес, а потом долго пытались упросить подключить его за 100 р/мес. Спасал только VPN.
Скрин
Давно, когда эта фишка только появлялась, у меня она триггерилась на попытку открыть сайт мвидео. Уже не вспомню, что они предлагали (бонусы на покупку через рт?), но эта страница была чётко подписана Ростелекомом, а внизу страницы была ссылка на разработчиков DPI (vasexperts). Повторно не срабатывало.
Просто ростелеком (весь, за исключением личного кабинета если вы их клиент) нужно включить в сетевые фильры (все дропать от них). Так и блокировка ресурсов по списку РКН — тоже блокироваться не будет.
Технические способы борьбы с этой гадостью это конечно полезно, но по-моему тут главная проблема не в самих баннерах а в том что провайдеры себе вообще такое позволяют. Всё-таки у нас не анархия а государство, и надо как-то на этом уровне такие вещи пресекать, наказанием (существенными штрафами или посадками) тех кто это всё организует. Хотя как именно такого добиться, увы, не знаю.
Но вообще индустрия предоставления доступа к интернету, считаю, себя уже дискредитировала в качестве надёжного и безопасного канала (когда-то и в голову прийти не могло, что они станут на официальном уровне подменять контент или шпионить на клиентами), так что лучше делать https, просто на всякий случай от возможных проблем (могут быть и другие).
Этой теме сто лет. Странно, что на Хабре это появилось только-только. Автору респект. По поводу провайдеров — мы в договоре не всегда видим пункт про рекламу. Но. Решается наездом на провайдера услуг. Хотя проще подключить https.
Несмотря на то, что специалистов по поисковому продвижению на Хабре не жалуют, именно они топят за переход на https.
Несмотря на то, что специалистов по поисковому продвижению на Хабре не жалуют, именно они топят за переход на https.
… при поддержке Mail.ru
Опять за старое. Не успели у народа ещё стереться былые воспоминания, а Mail.ru вляпалось в новое.
Здесь никак не применить Закон о рекламе?
«1. Распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы. При этом реклама признается распространенной без предварительного согласия абонента или адресата, если рекламораспространитель не докажет, что такое согласие было получено. »
«1. Распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы. При этом реклама признается распространенной без предварительного согласия абонента или адресата, если рекламораспространитель не докажет, что такое согласие было получено. »
Размещение рекламы без договора на чужих сайтах, это воровство интеллектуальной собственности. Доказательство наличие договора, а так-же оплата за размещение рекламы.
Предположим рекламные щиты размещенные вдоль трассы, все они принадлежат той или иной рекламной компании, которая за них платит аренду, содержит в исправном состоянии. Попробуйте на этом щите наклеить свою рекламу. Точно также и сайтом, Вы несете расходы на доменное имя, содержание и наполнение сайта. Проверяйте куда идут ссылки. Далее пишите претензию, требуйте материальной компенсации пару процентов от их прибыли. Не получили компенсацию и плату, подавайте иск в суд.
А вставки в скрипт это временная полумера, засренец не понес ответственности, в конечном итоге, он и на вставку сделает обход.
Предположим рекламные щиты размещенные вдоль трассы, все они принадлежат той или иной рекламной компании, которая за них платит аренду, содержит в исправном состоянии. Попробуйте на этом щите наклеить свою рекламу. Точно также и сайтом, Вы несете расходы на доменное имя, содержание и наполнение сайта. Проверяйте куда идут ссылки. Далее пишите претензию, требуйте материальной компенсации пару процентов от их прибыли. Не получили компенсацию и плату, подавайте иск в суд.
А вставки в скрипт это временная полумера, засренец не понес ответственности, в конечном итоге, он и на вставку сделает обход.
Если половина пользователей Ростелекома от них отключится — тогда пропадёт всякое желание беспределить
Ребята, я в этом не шарю, но хочу узнать побольше. что это значит ""Достаточно в URL скрипта добавить произвольный параметр:" где добавлять, что за параметр, откуда он возьмётся.? где об этом можно почитать
Если на вашем сайте есть скрипты в отдельных файлах:
добавьте в конц пути скрипта знак вопроса и любые символы:
и такой скрипт не будет подменён у пользователей вашего сайта которые просматривают его через Ростелеком
<script src="/path/to/script.js"></script>добавьте в конц пути скрипта знак вопроса и любые символы:
<script src="/path/to/script.js?param"></script>и такой скрипт не будет подменён у пользователей вашего сайта которые просматривают его через Ростелеком
полез разбираться с сертификатом: у хостера действительно одной кнопкой его выписывают за секунды, потом берете .htaccess и дописываете туда строки, по крайней мере у нашего так:
И всё, 2 минуты. Зашел на сайт проверил: замочек появился у строки броузера и на нем можно посмотреть сертификат. Http можно совсем заглушить у хостера в панели управления
RewriteEngine On
RewriteCond %{HTTP:X-Forwarded-Protocol} !=https
RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI} [R=301,L]И всё, 2 минуты. Зашел на сайт проверил: замочек появился у строки броузера и на нем можно посмотреть сертификат. Http можно совсем заглушить у хостера в панели управления
НЛО прилетело и опубликовало эту надпись здесь
п2. Критическая масса набирается довольно легко. Просто надо пользоваться приоритетным каналом связи — телефоном. Девочки на сапорте не смогут решить 99% ваших проблем, но они могут поставить на ваш как теги —" Клинт выражает недовольство",«клиент на удержании» или «клиент выражает РЗО(раздражение, злость, обиду)». Это может серьёзно апнуть качество услуги. И вообще, с ком. услугами лучше забыть про email, только телефон. А вот с гос.услугами наоборот, мыла они боятся, потому, что мыло, на следующей итерации, превращается в оф.запос, требующий оф.ответа.
НЛО прилетело и опубликовало эту надпись здесь
Входящий звонок на 8-800 всё рано оплачивается компанией, в которую звонят. Понятно, что в случае Ростелекома такой звонок вызовет лишь перекладывание денег из одного кармана в другой, но в случае более мелкой компании… Не вижу законодательных препятствий позвонить и доходчиво изложить свою точку зрения. А вы, коллеги?
На личном опыте…
Дважды обращался в тех.поддержку РТ. Оба раза согласились отключить.
Когда по истечении 10 дней (столько, согласно ответу оператора они обязаны обрабатывать заявку) ничего не изменилось, отправил две жалобы в РКН и в ФАС.
После этого в третий раз обратился в РТ и попросил отключить загрузку доп. ПО.
Мне ответили, что ничего не загружают, на что я попросил, письменный ответ выслать в том, что ничего не загружают.
Спустя пару дней все прекратилось…
Правда, позже выяснилось, что РКН и ФАС перенаправили жалобу в МВД, а те уже связались с РТ и брали объяснения с них.
И еще один итог… РКН и ФАС ничего в рамках своих компетенций не нашли, судя по их ответам.
Дважды обращался в тех.поддержку РТ. Оба раза согласились отключить.
Когда по истечении 10 дней (столько, согласно ответу оператора они обязаны обрабатывать заявку) ничего не изменилось, отправил две жалобы в РКН и в ФАС.
После этого в третий раз обратился в РТ и попросил отключить загрузку доп. ПО.
Мне ответили, что ничего не загружают, на что я попросил, письменный ответ выслать в том, что ничего не загружают.
Спустя пару дней все прекратилось…
Правда, позже выяснилось, что РКН и ФАС перенаправили жалобу в МВД, а те уже связались с РТ и брали объяснения с них.
И еще один итог… РКН и ФАС ничего в рамках своих компетенций не нашли, судя по их ответам.
Столкнулся с этой бедой только сейчас, при разработке своего сайта.
Решил вопрос изменив расширения фала скрипта. Вероятно, что "?banner=off" решает ту же самую задачу, Ростелеком просто сравнивает последние 3 символа с ".js" и тогда начинает делать свои злые дела.
Тоже с таким столкнулся как раз работа удаленно. В итоге нарыл, что РТ работает совместно с https://qt.media/ - вот эти вот нехорошие люди показывают рекламу которую вы и оплачиваете.
Весьма эффективно эту беду устраняет заявление в полицию ... Проверено
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Рекламные баннеры Ростелекома и как с ними бороться