Собственно история встраивания провайдером своих скриптов в посещаемые сайты не нова.
Взять хотя бы эту habrahabr.ru/post/142909.
Сегодня обнаружил аналогичную вставку у Билайна («Домашний интернет). Прямо через их фирменный роутер.
Попробуйте набрать в браузере 192.168.1.1/scwn.js. Что-нибудь есть?
Напоминаю, что 192.168.1.1 — это ip вашего роутера.

О роутере
Производитель Sercomm
Модель Smart Box
Версия ПО v2.0.26
Recovery Version v2.0.19
Дата релиза ПО 2015-04-16, 04:33:58
Метка релиза ПО SERCOMM.BEELINE
Версия оборудования v2
Версия загрузчика 1.05

Загружаем любой сайт (ну, например, lenta.ru) и видим это чудо:



Содержимое этого файла:


Да, все верно — загружается сторонний скрипт (и вот что-то я соовсем не уверен в надежности и безопасности указанного ресурса).

Думаю не стоит объяснять, что это небезопасно и нарушает мои гражданские права (юристы поправьте меня, если не прав).
По сути провайдер встраивает в посещаемые мною сайты свой блок кода, который теоретически (да, думаю, и практически) собирает информацию о посещениях, показывает рекламу и т.д.

Если тут есть представители Билайна, то неплохо было бы прояснить ситуацию. Да и вообще — это нормально?

Update: Ссылка из скрипта ведет на сервис для размещения рекламы в зонах свободного wifi — wifly.net
Update: Небольшое расследование привело к интересной информации о наличии специальной прошивки для данного роутера, которая и реализует данную уязвимость — ru.wiflyad.net/flyadbox.html (кэш гугла)
Update: В комментах получил небольшое разъяснение от представителя билайна — habrahabr.ru/post/262631/#comment_8502213

Комментарии (126)


  1. lair
    14.07.2015 21:16
    +4

    Простой вопрос: зачем это делать на роутере (да еще и сервить с него)?


    1. antonre Автор
      14.07.2015 21:41

      Думаю, чтобы была возможность обновлять скрипт (если понадобится) вместе с прошивкой


      1. lair
        14.07.2015 22:06
        +10

        Намного проще это делать с сервера, через который проходит трафик.


        1. miragenn
          15.07.2015 14:48
          -1

          Для этого нужен очень мощный сервер.


          1. icCE
            15.07.2015 14:59

            Для анализа уже давно переходят на GPU. Яркий пример сурикат.


  1. RPG
    14.07.2015 21:22
    +3

    Насколько я понял, это не провайдер встраивает потусторонние скрипты, а роутер с прошивкой от провайдера? Перепрошить и дело в шляпе. Не исключён взлом роутера.


    1. icCE
      15.07.2015 12:53
      +1

      Нет это именно провайдер встраивает. Он таким образом реализует вход в личный кабинет.
      Если вы используете VPN или заход на https все становится хорошо.

      Beeline mini_cab


  1. Aclz
    14.07.2015 21:37
    -19

    Если тут есть представители Билайна, то неплохо было бы прояснить ситуацию. Да и вообще — это нормально?

    Лучше написали бы претензию в ближайшем абонентском отделе, дождались ответа и опубликовали тут, толку было бы больше.


    1. antonre Автор
      14.07.2015 21:40
      +5

      Обязательно. Но зачем ждать ответа и публиковать очередное «расследование»? Есть проблема, а что с этим делать — решать каждому


    1. delicious
      14.07.2015 21:42
      +63

      Такого рода вещи должны предаваться гласности (т.к. дело не в том, что «проблема» решится для одного абонента).


      1. Aclz
        14.07.2015 21:52
        -1

        Безусловно, если Билайн взамен предложит «чистый» роутер, это не повод на этом успокоиться. Но и без реакции второй стороны раздувать что-то тут бессмысленно (причем вариантов масса, от «ой, и правда, а роутеры у нас такие из китая идут» до «имеем право, см. пункт приложения к договору-оферте по ссылке, третью сноску мелким шрифтом»), как и бессмысленно ждать официального ответа тут.


        1. delicious
          14.07.2015 22:32
          +25

          В этом вся наша проблема. В Европе сайты обязали об использовании кук (!) предупреждать, а мы все думаем, «всего лишь» закладка в роутере и, ах, в договоре же прописано, что обязан учавствовать в человеческой многоножке, ну надо, так надо.


          1. vsb
            15.07.2015 00:02
            +16

            На закон о куках точно равняться не стоит, более идиотский закон ещё поискать надо.


            1. marapper
              15.07.2015 10:57
              +1

              Есть такое дело. Но из него, косвенно, родилась опция слать заголовок Do Not Track, которая теперь в каждом бро.


              1. vsb
                15.07.2015 10:58

                А есть информация о том, насколько эту опцию уважают рекламодатели?


                1. GAS_85
                  15.07.2015 11:04

                  Можно просто заголовки прочитать тут.


    1. z0rg
      14.07.2015 22:55

      Лучше в суд… выгода третьего лица как на ладони, надо только экспертизу сделать


      1. Goodkat
        15.07.2015 00:05
        +4

        А в суде выяснится, что описываемое поведение предусмотренно пунктом 48.5 в приложении 17 к подписанному вами договору :)


        1. GAS_85
          15.07.2015 10:57
          +9

          Пункты договора, противоречащие законодательству — ничтожны. Вроде 168 статья ГК РФ.


          1. Snowly
            16.07.2015 02:38

            А Вы уверены, что это противоречит законодательству?


  1. delicious
    14.07.2015 21:38
    +1

    Ну, кстати, они до сих пор неправильно минифаять трафик, сжимая html и ломая сайт из-за этого (видимо, все на регэкспах). Из-за чего приходится писать костыли.


  1. Slash
    14.07.2015 21:52

    Сегодня заметил такую же штуку. Нагловато.


  1. Master_Dante
    14.07.2015 22:42
    +3

    И раньше не очень хорошо относился к Билайну, после такого никогда в жизни его не буду использовать и всех буду отговаривать. Такого рода действия это верх наглости. Все больше убеждаюсь в необходимости прокси с возможностью контроля загрузки ресурсов с доменов отличающихся, от домена страницы. Подгружаемый таким образом скрипт, может логировать пароли к ресурсам включая сайты онлайн банков. Так же может красть куки авторизации. Перехватывать личные фото находящиеся в привате в соц. сетях или на хостингах. Кроме того, такой скрипт значительно упрощает использование эксплойтов браузера. Ну и мелочи конечно, это слежка за посещениями сайтов, поисковые запросы, чтение переписки на веб почте(например на сайте gmail).


    1. lair
      14.07.2015 22:44
      +5

      Подгружаемый таким образом скрипт, может логировать пароли к ресурсам включая сайты онлайн банков. Так же может красть куки авторизации. Перехватывать личные фото находящиеся в привате в соц. сетях или на хостингах. Кроме того, такой скрипт значительно упрощает использование эксплойтов браузера. Ну и мелочи конечно, это слежка за посещениями сайтов, поисковые запросы, чтение переписки на веб почте(например на сайте gmail).


      Это каким же образом? HTTPS отменили?


      1. Egor3f
        15.07.2015 01:20

        В теории всё очень хорошо, на практике, к сожалению, не очень.
        Хотя да, соцсети, хостинг, банки, почта и прочее на https. Да и те данные провайдер воровать вряд ли будет, так что параноить не нужно.
        Но, тем не менее, приятного в таких скриптах всё равно мало.

        image

        image


      1. Master_Dante
        15.07.2015 01:26
        +5

        Например отправив ajax по http на адрес с которого нужно украсть куки. Даже если настоящий сервер не принимает http, провайдер может перехватить такой запрос и эмулировать его наличие. При этом, пока браузер общается по http, middle может общаться по https. Скрипт может заменить все https на http, на странице. Вариантов тут много. Так же скрипт имеет доступ к DOM, этого хватит для чтения писем. А навешанные обработчики событий редактирования текста позволят вести логи паролей.


        1. lair
          15.07.2015 01:38
          +3

          Например отправив ajax по http на адрес с которого нужно украсть куки.

          На ваших куках все еще не стоит secure и httpOnly?

          Скрипт может заменить все https на http, на странице. Вариантов тут много. Так же скрипт имеет доступ к DOM, этого хватит для чтения писем. А навешанные обработчики событий редактирования текста позволят вести логи паролей.

          Я захожу в свою почту по https изначально, откуда там возьмется скрипт, у которого будет доступ в DOM и обработчики на текстовых полях?

          Понимаете ли, если вы не пользуетесь https, то провайдеру не нужны никакие скрипты, ваши данные и так мимо него летают. А если пользуетесь — то скрипты ему не помогут.


          1. grossws
            15.07.2015 01:56

            На ваших куках все еще не стоит secure и httpOnly?
            Чуть выше прекрасный пример ebay ,)


            1. lair
              15.07.2015 01:57

              Вопрос в том, сколько из тех кук — sensitive.


              1. grossws
                15.07.2015 02:15

                Поглядел сам, JSESSIONID — http-only, некоторые, выставляемые после авторизации — тоже. Но не secure, т. к. ebay при этом работает по http.

                С другой стороны, оплата идёт через палку и совсем приятные данные в открытом виде не летают.

                А большая часть этих кук — всякий треккинг.


          1. Master_Dante
            15.07.2015 02:30
            -8

            Представим сценарий.

            1. Провайдер подменил gmail
            2. Вы заходите по https.
            3. Вам приходит 301 где тот же адрес только http
            4. Провайдер с gmail общается по https, вы с провайдером по http
            5. Далее вас просят заново ввести пароль…

            Такой же вариант прокатит с провайдером VPN и вероятно TOR.

            >> Я захожу в свою почту по https изначально, откуда там возьмется скрипт

            1. Например если на странице используется скрипт какой нибудь соц сети, или метрики, или баннерной сети не https :)
            2. Вы откроете любой не https сайт. А скрипт скрытно загрузит gmail и прошерстит все ваши письма.


            1. lair
              15.07.2015 02:36
              +8

              2. Как, ну как провайдер подсунет мне 301 с сайта, с которым я общаюсь по https?
              5.… который я не ввожу, потому что я на недоверенной странице.

              1. Это называется unsecure content on secure page и по умолчанию блокируется.
              2. Как скрипт может скрытно загрузить гмейл?


              1. Bo0oM
                15.07.2015 10:34
                +2

                + HSTS


                1. KorDen32
                  16.07.2015 14:03

                  + certificate pinning для тех же сервисов гугла…


              1. Master_Dante
                15.07.2015 10:51

                2. Никак, я не знаю что положенно по протоколу, если https адрес возвращает сетевую ошибку, положено ли здесь перейти на http или нет.
                5. вы не будете а кто то будет
                1. Я видел блокировку только на серверном IE, которое к тому же сильно раздражает :).
                2. Тут есть много тонкостей с кроссдоменными запросами, я их все не знаю ;). Но в случае с провайдерским перехватом все однозначно упрощается.

                Кстати говоря у другого провайдера я видел несколько раз попыку подсунуть не правильный сертификат. Это намного проще, люди как правило соглашаются. Хотя тут есть выбор у пользователя. В целом если сайт правильный https, и юзер шарит, и в браузере нет эксплойтов, а так же в сетевых драйверах, и в плагинах типа флеш и downloadmaster, и закладок в сертификатах, то сломать несколько сложнее. :)


                1. lair
                  15.07.2015 11:29
                  +1

                  Ну во-первых, если люди соглашаются на подменный сертификат, не следят за адресом в строке браузера и так далее — уже не важно, вбрасывает ли провайдер скрипт, они все равно уязвимы ко всем другим атакам, начиная от банального фишинга.

                  А во-вторых…

                  Никак, я не знаю что положенно по протоколу, если https адрес возвращает сетевую ошибку, положено ли здесь перейти на http или нет.

                  Естественно, не положено.

                  Тут есть много тонкостей с кроссдоменными запросами, я их все не знаю ;). Но в случае с провайдерским перехватом все однозначно упрощается.

                  Не упрощается. На сайте с правильно настроенными куками и CORS это все лишено смысла.

                  Это все к тому, что вбрасывание скрипта не увеличивает вашу уязвимость перед вашим провайдером: весь ваш открытый обмен он видит и так, и в ваших интересах, если вы ему не доверяете, вести весь обмен в закрытую.

                  Кстати, вот кого реально надо бояться — так это системного администратора по месту работы.


      1. Alexey2005
        15.07.2015 11:37

        Некоторые провайдеры в последнее время повадились подменять SSL-сертификаты, как раз для того, чтоб была возможность анализировать и этот траффик тоже. Со временем, подозреваю, таких провайдеров будет только больше.
        П.С.: Опередили, выше уже отметили про подмену сертификатов.


        1. lair
          15.07.2015 11:42

          Вот только эта подмена невозможна без согласия пользователя.


          1. abusalimov
            15.07.2015 15:50

            Когда были блокировки Гихаба, мой провайдер ухитрялся фильтровать только страницу из реестра, даже при том, что весь сайт отдается по HTTPS. Браузер рапортовал, что все хорошо. Подвох вскрылся, только когда я попытался пушнуть код по ssh.

            Насколько я понял, провайдер как-то обманывал DNS, и я получал копию сайта по тому же адресу со своим валидным сертификатом. Так что не все так радужно в этом королевстве.


            1. lair
              15.07.2015 15:52

              Я не очень понимаю, как это возможно. Можете рассказать поподробнее?


              1. abusalimov
                15.07.2015 16:06

                Боюсь, я и сам не ахти какой специалист в этом вопросе.

                Фокус в том, что Гитхаб открывался в браузере, как и раньше, то есть по HTTPS с зеленым бейджем в адресной строке и т.п. Я еще порадовался тогда, что у меня провайдер против идиотских запретов :)

                А при попытке пушнуть в командной строке выскакивало предупреждение, кажется, что IP адрес хоста внезапно поменялся, и что-то про fingerprint'ы сертификатов ssh. Возможно там же и было предположение о фейковом DNS, поскольку после этого я сразу проверил и убедился, что github.com резолвился на локальный адрес в сети провайдера. При этом на роутере, если не ошибаюсь, стоял 8.8.8.8 в качестве DNS (т.е. гугловый, не провайдеровский), и видимо провайдер подменял все DNS-запросы к ресурсам из реестра.

                Попробуйте погуглить DNS Crypt и связанные с этим темы.


                1. lair
                  15.07.2015 16:13

                  Ну вот подменили они адрес на сервер в своей локальной сети, но как отдавать с него трафик, сохраняя HTTPS? Я такой техники не знаю.


                  1. abusalimov
                    15.07.2015 16:21

                    Видимо получается такой прокси с MitM. Разве нельзя подписать новый сайт новым сертификатом?

                    Я открываю этот сайт, защищенный сертификатом провайдера. Он расшифровывает мой запрос и проверяет страницу, которую я открываю, после чего запрашивает у настоящего Гитхаба эту же страницу, перешифрует её содержимое и отправляет обратно мне.


                    1. lair
                      15.07.2015 16:22

                      Я открываю этот сайт, защищенный сертификатом провайдера.

                      Сертификат провайдера выдан на адрес провайдера. У провайдера не может быть сертификата на адрес гитхаба.

                      (иначе вся идея HTTPS скомпроментирована на корню)


                      1. abusalimov
                        15.07.2015 16:29

                        Сертификат провайдера выдан на адрес провайдера

                        На URL или на IP? Получается, нельзя открыть левый сайт с левым серфикатом с хоста github.com, не получив при этом предупреждения браузера? Если это так, то я не прав и прошу прощения, что ввел в заблуждение.


                        1. lair
                          15.07.2015 16:33

                          На URL или на IP?

                          На имя хоста (какой ip, там же балансер наверняка).

                          Получается, нельзя открыть левый сайт с левым серфикатом с хоста github.com, не получив при этом предупреждения браузера?

                          Я не понимаю, что вы имеете в виду под «сайт с левым сертификатом с хоста», поэтому не могу ответить на ваш вопрос.


                          1. abusalimov
                            15.07.2015 17:18

                            Я ошибочно думал, что провайдер может выпустить свой сертификат на github.com и подписать его у какого-нибудь левого регистратора. Тогда, получая фейковый сайт с фейкового github.com, браузер не стал бы выдавать предупреждений.


                            1. lair
                              15.07.2015 17:19

                              Браузер должен реагировать на левых регистраторов.

                              Кстати, не «провайдер выпускает, а регистратор подписывает», а «регистратор выпускает и подписывает».


                              1. abusalimov
                                15.07.2015 17:21

                                Да, теперь ясно, большое спасибо!


                      1. abusalimov
                        15.07.2015 16:34

                        Смотрите, было похожее обсуждение: geektimes.ru/post/242306/#comment_8175982

                        Возможно ли такое, что я видел зеленый валидный сертификат в адресной строке, просто выданный не GitHub Inc. [US], а другой компании?


                        1. lair
                          15.07.2015 16:37

                          Нет, этот сертификат не был бы «зеленым», потому что вы бы получали предупреждение вида «сертификат выдан не github.com, а вашпровайдер.ру».


                          1. abusalimov
                            15.07.2015 17:11

                            Странно. Спасибо за разъяснения.

                            Нашел еще обсуждения на SE:


                            Тоже упоминается Comodo, как и в обсуждении блокировки Гитхаба на GT.

                            Но судя по всему, это все-таки единичные случаи и что-то из ряда вон выходящее. Вряд ли провайдер станет заморачиваться таким.


          1. mickvav
            15.07.2015 19:17

            Если CA подконтрольного нет -да, невозможна.


            1. lair
              15.07.2015 19:55

              Подконтрольного и доверенного для пользователя.


    1. JDima
      14.07.2015 23:05
      +6

      Чтобы было проще и безопаснее жить, исходите из того, что 100% вашего интернет-трафика постоянно кем-то слушается (так оно и есть) и модифицируется (может быть, а может и нет). И создатели интернет-банков, фейсбуков, вконтактиков, яндексов и так далее тоже исходят из компрометации канала связи от клиента до сервера и защищаются соответствующим образом, за это не беспокойтесь. Если видите значок HTTPS, то либо всё хорошо и нет причин заботиться о перехвате данных кем угодно между вами и посещаемым ресурсом, либо скомпрометирована ваша система, а тут уж извиняйте.

      Только все равно модифицировать трафик платного клиента (Максиме-Телеком, дающей бесплатный интернет в метро, я прощаю всё, даже периодически закоррапченные страницы часто посещаемого мной сайта, благо перезагрузка страницы помогает) весьма некрасиво.


    1. icCE
      15.07.2015 12:59

      У мегафона такие вещи так же есть. У МТС не знаю, так как его не использую.


  1. lair
    14.07.2015 22:44

    (не тот уровень)


  1. ademaro
    14.07.2015 23:00
    +4

    А в 3g сети они добавляют тулбар на любой http сайтег (стучится на toolbar.beeline.ru, добавил в hosts, но на телефоне всё равно показывает, если не по https хожу). Офигел с такого, если честно…


    1. Aquahawk
      15.07.2015 08:52
      +2

      Пишите в поддержку и долбайте их, мне выключили. Сначала просто заблочили для меня адрес скрипта, но т.к. он дибильно встроен страница дольше грузится, потом сделали так что совсем нет его.


  1. Jeditobe
    15.07.2015 00:10
    +3

    Короче, не рекомендуете проводной интернет от Билайна?


    1. medvoodoo
      15.07.2015 14:00
      +2

      Почему, интернет нормальный, я бы не рекомендовал роутеры с прошивками от провайдеров.


    1. lexore
      15.07.2015 14:17

      Если есть хорошие альтернативы среди местных операторов.
      Но и там никто не застрахован, крупные провайдеры просто больше на виду.
      А если выбирать между крупняками, то субъективно у билайна меньше минусов.
      Как плюс, они начали уходить с l2tp.
      Остается не использовать их роутер и ждать сентября 2015.


      1. Jeditobe
        15.07.2015 14:44

        В чем плюс ухода с l2tp?


        1. icCE
          15.07.2015 15:03
          +2

          Это ненужный костыль. Удобнее воткнуть провод и не думать о настройках. Меня VPN Internet всегда убивал. VPN, он что бы входить в сеть, а не выходить из нее. Радовало когда vpn шлюз был за пределами твоего шлюзе, это добавляла определенных радостей в настройки с роутингом. Еще добовляла, когда оказывалось что vpn провайдера динамический.


          1. CaptainFlint
            15.07.2015 19:01

            Удобнее воткнуть провод и не думать о настройках.
            А авторизацию как проводить? К маку привязывать?


            1. grossws
              15.07.2015 19:04

              К порту, Карл!


              1. CaptainFlint
                15.07.2015 19:12

                Это сарказм или нет? Если нет, то в порт вместо моего провода кто угодно переподключиться может. Даже если свитч на замке, провода-то все снаружи…


                1. grossws
                  15.07.2015 19:26
                  +1

                  С долей сарказма. В реальности обычно на порту (или чуть выше) acl по маку и перенаправление на специальный landing page, если mac не привязан к пользователю. А далее установка оного через личный кабинет.


                  1. CaptainFlint
                    15.07.2015 19:39

                    Ясно, спасибо.
                    Единственное, что беспокоит в этих планах о переходе на IPoE, — это как они авторизацию будут делать. Не хотелось бы в один прекрасный день запустить браузер с сотней вкладок и обнаружить на них всех форму логина с одним и тем же урлом…


                    1. icCE
                      15.07.2015 22:30

                      делают по маку. Если подключите другой пк, то просто не получите интернет, но можно получить доступ к кабинету. По крайне мере у моего провайдера так.

                      Ну а для вкладок используйте например Session Buddy в chrome


                      1. CaptainFlint
                        16.07.2015 00:59

                        Не знаю, что даёт Session Buddy. Судя по описанию, примерно то же, что встроенный инструмент управления сессиями в моей Opera Presto. Конечно, я могу сохранять сессию в отдельный файл каждый раз перед выходом из браузера (чтобы подгрузить его, если при следующем запуске огребу редиректы, которые тут же пропишутся в автосохраняющуюся сессию). Но речь о том, что на ровном месте появляется необходимость делать действие, которое сейчас делать не требуется.
                        Если Beeline сделает без редиректов, я буду счастлив. Но пока что все служебные страницы, которые я от них видел (блокировки от РКН, информация о неоплаченном инете) были сделаны через редиректы, что наводит на грустные мысли.


                    1. vorphalack
                      16.07.2015 00:46
                      +1

                      у нормальных провайдеров либо «ошибка соединения» в таком случае, либо да, вкладка с логином НО без редиректа — то есть после прописки мака и перезапуска, оно всё загрузится обратно


                      1. CaptainFlint
                        16.07.2015 00:52

                        Вот в том и вопрос, поступят они как нормальные провайдеры, или сделают редирект. Инфу о блокировке РКН, например, отображают через редирект…


                        1. vorphalack
                          16.07.2015 07:13

                          как говорится, время покажет. в смысле, будет зависеть от количества вкладок у тех, кто будет тестировать оный механизм, подозреваю.


        1. lexore
          15.07.2015 15:07
          +2

          * Не нужно настраивать l2tp :)
          У корбины/билайна немного кастомизированный l2tp сервер, допиленный под совместимость с windows.
          Остальные *nix получают геморрой там, где все отлично работает в windows.
          На некоторых форумах можно найти длинные топики про настройку роутера или *nix сервера для l2tp корбины.
          Один умелец, после долгих мучений, даже написал статью в wiki openwrt Подключение к провайдеру используя L2TP с Dual Access.
          В скриптах до сих пор можно найти «tunnel_name=corbina», что как бы намекает, с каким провайдером он мучался.

          * l2tp иногда отваливается (в последние годы — редко).
          В логах роутера идут ошибки что-то типа «too many retransmit».

          * После этого он иногда очень не сразу подключается (особенно в 21-22 часа, когда все пришли домой и l2tp сервера нагружены).

          * В некоторых роутерах скорость через l2tp не поднималась выше 16 мегабит.
          Был какой-то баг в l2tp модуле для ядра linux, который использовался в пакете xl2tpd.
          Если использовать модуль от openl2tp, проблемы со скоростью не наблюдаются.
          Но не всегда можно заменить модуль ядра в роутере.

          * Ну и просто лишняя нагрузка на роутер.


          1. icCE
            15.07.2015 22:27

            И скрипты писали и понимание делали к микротикам.
            Рядом человек вообще писал настройку под Cisco, так как она у него была.
            Но все равно, это все извращение — особенного когда есть провайдеры, которые дают все без этого.
            Говорю как старый пользователь корбины/пчелайна. Но в одно прекрасно утро все задолбало и свалил :)


        1. ornic
          15.07.2015 15:08
          +3

          как минимум в том, что l2tp на высоких скоростях требует дорогих роутеров


    1. blind_oracle
      15.07.2015 14:23

      Не рекомендует роутеры от билайна :) Сам интернет, в общем, неплох.


  1. Methos
    15.07.2015 00:35
    +11

    thanks

    added to hosts

    127.0.0.1 wifly.net
    127.0.0.1 beeline.wifly.net
    127.0.0.1 wiflyad.net
    127.0.0.1 ru.wiflyad.net


    1. KorDen32
      16.07.2015 14:11

      Может стоит попробовать 0.0.0.0?


      1. Methos
        16.07.2015 17:26

        а как лучше?


        1. KorDen32
          16.07.2015 18:31

          Лучше 0.0.0.0, но в редких случаях может не работать. С 0.0.0.0 браузер сразу обрывает запрос, с 127.0.0.1 будет пытаться подключиться к localhost:80 — если у вас вебсервер стоит или еще чего, то запросы будут валиться на него, или же если не приходит сразу ответ что порт закрыт (такое происходит на винде и в частных случаях настройки iptables на линуксе) — браузер будет пытаться соединиться и будет долго крутиться кружок загрузки мол что-то не загрузилось, ожидание ответа сервера…


  1. vshemarov
    15.07.2015 00:39
    +4

    По опыту своих знакомых: если Билайн затегировать в Фейсбуке, то реагируют довольно быстро.



  1. Disen
    15.07.2015 07:09
    +4

    Скажем так — это не первый, и, вероятнее всего, не последний случай модифицирования трафика со стороны черно-желтых:
    Билайн автоматически добавляет тулбар с поиском Mail.Ru


  1. lamerman
    15.07.2015 09:56
    +1

    То же самое было полтора года назад с их мобильным трафиком, написал в Роскомнадзор о том, что они вмешиваются в мой трафик и создают угрозу утечки персональных данных, на что получил ответ:

    В соответствии с п. 5 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152ФЗ «О персональных данных» оператор вправе обрабатывать персональные данные без предварительного согласия субъекта персональных данных, в случае если обработка персональных данных необходима для исполнения договора, одной из сторон которого является субъект персональных данных. Таким образом, учитывая, что обработка Ваших персональных данных осуществляется ОАО «ВымпелКом» с целью исполнения заключенного между Вами договора на оказание услуг связи, сообщаем, что нарушений Ваших прав и законных интересов в области персональных данных в данном случае не усматривается.
    В случае если у Вас имеется конкретная информация о нарушении ОАО «ВымпелКом» Ваших прав как субъекта персональных данных, Вы вправе повторно обратиться в Управление с приложением информации, подтверждающей указанные в Вашем обращении доводы, либо в суд в соответствии со ст. 3 Гражданского процессуального кодекса Российской Федерации за защитой нарушенных, либо оспариваемых Вами прав и свобод.


    В итоге сменил оператора на Мегафон, за ним такого не замечал. Причем Билайн вставлял скрипт с багом, который появлялся на экране и из-за бага кнопка отключить не работала :) Да даже если бы работала, все равно бы поменял оператора.


    1. m0Ray
      15.07.2015 10:26
      +2

      На мегафоне полно других вмешательств. Блокировка отдельных протоколов (SIP, например), встраивание хедеров с номером телефона в HTTP-запрос… Я этого наелся и до сих пор его использую только потому, что в наших краях нет альтернатив. Вообще нет.


      1. dibr51
        15.07.2015 11:16
        +1

        встраивание хедеров с номером телефона в HTTP-запрос

        Можно подробнее? Номер абонента? В каждый HTTP-запрос?


        1. m0Ray
          15.07.2015 12:01
          +1

          Не в каждый. Только при открытии сайтов так называемых «контент-провайдеров». Некоторые сайты вообще невозможно использовать, сразу редиректит на страницу «оплатите наши услуги со счёта мобильного» и номер показывает. На некоторых просто висит навязчивый баннер с твоим реальным номером и балансом. Конкретную технологию не раскрывают, но, судя по поведению (редирект идёт сразу протоколом HTTP), это добавочный HTTP-хедер. Ну, может быть и модификация куков, конечно, но это сложнее да и зачем?


          1. bougakov
            15.07.2015 14:56
            +1

            Это именно HTTP-заголовок с MSISDN абонента. Оно используется не только (и не столько) для контента — а для авторизации.

            Например, я организовывал систему сбора отзывов о качестве связи — IP-адрес серверной части приложения заносился в список сайтов, для которых при GPRS-соединении добавлялся этот заголовок. Плюс, до кучи, выставляли нулевую тарификацию трафика на этот IP.

            Сответственно, на клиенте вам не надо городить никакую авторизацию — вы просто знаете, от какого абонента пришёл HTTP-запрос.

            Штука простая, но включается строго по whitelist IP-адресов и URL (и СБ требует, чтобы физически сервер стоял в ДЦ оператора).


            1. m0Ray
              15.07.2015 16:00
              +2

              Благодарю за пояснение.
              Ну, итог закономерен: некоторые особо жадные сервисы начали использовать это для вымогательства денег. Мол, раз мы про вас уже всё знаем и денежки у вас водятся, гоните их немедленно, а то файл не отдадим/новость не покажем. А вот анонимусу из TOR-а отдадим/покажем, потому что ой. Это и бесит.


          1. ValdikSS
            15.07.2015 15:33

            То же самое есть и у МТС. Достаточно зайти на yandex.ru с телефона, нажать на «узнать баланс счета на телефоне» и ваш номер высветится на странице яндекса.


            1. fshp
              15.07.2015 16:14

              У меня нет такой ссылки. И по поисковому запросу ничего.


              1. ValdikSS
                15.07.2015 16:19
                +1

                Скрытый текст
                image

                image


      1. constnw88
        15.07.2015 11:56

        Блокировка отдельных протоколов (SIP, например)
        Без проблем использую рабочий SIP-аккаунт sip.net на смартфоне с симкой Мегафона. Как через родной клиент HTC, так и через МультиФон для Android (использую в роуминге с местными сим-картами, но попробовал ради интереса).
        встраивание хедеров с номером телефона в HTTP-запрос
        Все этим грешат. Yota и Tele 2 в расчет не беру, в Карелии первые только появились, у вторых нет ни 3G, ни LTE.


        1. m0Ray
          15.07.2015 12:04

          С мегафона без включенной услуги «мультифон» SIP блокирован. Проверял неоднократно на множестве устройств, когда заводил свой SIP-сервис. А «мультифон» сам по себе платный, что всё объясняет.
          Ну а модификация незашифрованного HTTP — это, конечно, само по себе нехорошо, но делать так, чтобы нельзя было бесплатно пользоваться сайтами, которые через других операторов открываются нормально — это совсем отвратительно.


          1. ErgoZru
            15.07.2015 13:08

            у меня только пакет инета подключен, сип работает, каждый день пользуюсь, ЧЯДНТ?


            1. m0Ray
              15.07.2015 13:32

              Возможно, у вас в другом регионе другие правила. У нас, в Поволжье, SIP работает только с подключенным «мультифоном», проверено неоднократно. С других операторов — да, только инет нужен.


          1. constnw88
            15.07.2015 15:15

            С мегафона без включенной услуги «мультифон» SIP блокирован.
            Не припомню, что использовал первым. Спорить не стану, потому что не знаю.
            А «мультифон» сам по себе платный, что всё объясняет.
            Платные звонки, но абонентской платы нет. Никто не заставляет вас звонить через него в обязательном порядке. Подключил и забыл.


            1. m0Ray
              15.07.2015 15:55
              +1

              Пардон, забыл уже в чём подвох был. Сама услуга действительно бесплатная, но пакетный интеренет переставал действовать и включались дефолтные конские цены за мегабайт (7 рублей, по-моему). По крайней мере так было год назад в нашем регионе, когда мы плясали с бубном вокруг нашего сервиса SIP/TLS+SRTP. В итоге отказались от поддержки клиентов с Мегафона вообще, столько неудобств эта компания доставила и нам, и абонентам. Впрочем, понятно зачем: чтоб пользовались только «мультфоном» и на сторонние сервисы и смотреть боялись.


              1. constnw88
                15.07.2015 17:34

                У меня пакетный тариф, никаких казусов не возникало. Впрочем, возможно раньше ситуация была иная и тогда еще использовал БиЛайн.


      1. FloppyFormator
        15.07.2015 14:50

        Модификация заголовков HTTP это достаточно мягкий вариант вмешательства (так делают многие прокси), а встраивание скрипта в тело ответа — уже перебор.


    1. icCE
      15.07.2015 13:02

      >В итоге сменил оператора на Мегафон, за ним такого не замечал.
      Вы просто этого не видите.
      Тут BeeLine вам показывает, а мегафон молча вставляет скрипты в html трафик.
      Статьи на habre пролетали.


    1. msfs11
      15.07.2015 15:04

      Пока у нас нет доказательств использования ПД нет — Роскомнадзор формально прав. Жаль, что РКН не предотвращает злоупотребление. Кстати, я не нашел в законе «О связи», что оператору запрещено изменять трафик абонента.


      1. grossws
        15.07.2015 19:04

        Такого ограничения там быть и не может. Т. к. это автоматически запретит даже работу роутеров (т. к. меняются, как минимум, MAC-адреса в ethernet frame'ах).


  1. john_samilin
    15.07.2015 10:19

    А еще они каким-то чудесным образом стали навешивать на любую страницу ссылку на личный кабинет (даже если использовать планшет/телефон в качестве роутера). В ТП настаивают на том, что это некая уникальная возможность, которая прямо-таки нужна всем. В личном кабинете ссылка «отключается», но при этом на каждую страницу продолжает подгружаться css, который изменяет внешний вид всех тегов button


    1. Aquahawk
      15.07.2015 12:32

      Долбите поддержку, мне после нескольких звонков помогло. Отключали поэтапно, но в итог всё чисто.


    1. TheRaven
      15.07.2015 12:34

      Это где такое? Мобильный интернет? На домашнем проводном не наблюдал подобного.


      1. john_samilin
        15.07.2015 13:48

        Мобильный, да


  1. Viacheslav01
    15.07.2015 12:38
    +1

    Официальный комментарий билайна будет в духе «Как мы обеспечивали связь для членов собрания фиг его знает кого фиг его знает где».
    Из личного опыта, заставить оператора связи вести себя «корректно» очень сложно!


  1. linqu
    15.07.2015 12:45

    Немного не в тему, но у меня смежная проблема с домашним провайдером: недавно обнаружил что они почему-то подменяют адреса google (судя по всему — на свои прокси). Попадает ли такая подмена (и перехват dns запросов) под какие-либо статьи? Да и вообще как с ними лучше бороться?


    1. icCE
      15.07.2015 12:57

      Использовать VPN. Под статью не уверен, что попадает.


    1. ascending
      15.07.2015 14:14

      Гугл сам провайдерам ставит свои коробки для кэширования ответов, скорее всего это вы и наблюдаете


      1. lexore
        15.07.2015 14:19

        Они ставят коробки для кеширования видео.
        Про кеширование _ответов_ не слышал.


        1. ascending
          15.07.2015 14:21
          +1

          Вы не слышали, а они всё равно берут, и кэшируют
          peering.google.com/about/faq.html — тут есть список сервисов


          1. lexore
            15.07.2015 14:23

            Спасибо за ссылку, буду знать


  1. Mishok2000
    15.07.2015 21:05

    Почему-то, я не удивлен. Хотя с этим нужно пытаться бороться, этого я не отрицаю.


  1. lexore
    16.07.2015 00:07
    +4

    Ув. сотрудники Билайна, которые это читают, обращаюсь к вам.
    Как вы можете заметить, в этом топике довольно мал процент людей, которые стали поносить и неистово ругать Билайн.
    На мой взгляд, это заслуга положительной репутации, которую Билайн заслужил своими делами (а не топиками «какие мы классные»).
    Эту репутацию сложно заслужить и легко профукать.
    Очень не рекомендую думать в стиле «с каждым новым действием вякают все меньше», особенно на этом ресурсе (где умеют придавать огласке интересные новости).
    На мой взгляд, хорошая репутация может принести куда больше прибыли, чем встраивание левых рекламных скриптов втихушку (а так же в нарушение законов).


  1. gre
    16.07.2015 09:17
    +2

    Странно, что автор не написал апдейт, хотя ему Билайн в твиттер ответил 19 часов назад.




    Ну немного информации по приведённой команде:
    • «Мини-кабинет» – это сервис самообслуживания в браузере, с помощью которого можно узнавать баланс, остаток интернет трафика, управлять услугами связи и менять тарифные планы, а также получать ссылки на полезные сервисы от «Билайн»
    • Использование сервиса бесплатно, интернет-трафик не тарифицируется
    • Услуга предоставляется абонентам только в филиалах Оператора Северо-Западного региона: Петрозаводском, Архангельском, Вологодском, Мурманском, Новгородском, Псковском, Санкт-Петербургском
    • Данная услуга не предоставляется в роуминге
    • Услуга доступна только для абонентов использующих Браузер Safari версии 6 и выше на мобильных устройствах c iOS, Браузер Chrome версии 30 и выше на мобильных устройствах с операционной системой iOS и Android, а также Браузер Internet Explorer версии 9 и выше на персональном компьютере с операционной системой Windows, Браузер Safari версии 6 и выше на персональном компьютере с операционной системой MAC OS и Браузер Chrome версии 30 и выше на персональном компьютере с операционными системами Windows и MAC OS при использовании USB-модема с телефонным номером «Билайн»


    1. lexore
      16.07.2015 12:07

      Есть одно маленькое «НО».

      Мини-кабинет - это мобильный билайн
      image


  1. givtone
    16.07.2015 13:11
    -4

    У нас нет и не будет планов по перехвату и анализу вашего траффика. Но есть желание информировать о новых акциях и предложениях, оповещать в случае Ч/С, плановых работ или аварий. Само собой, эту функцию можно отключить. Но все же я думаю, что гораздо эффективнее увидеть один маленький баннер с хорошей или действительно важной новостью, чем получать нетаргетированный спам на телефон.

    То, что произошло – исключительно человеческий фактор. Кроме сотрудников в тест попали и абоненты. Как говорится, shit happens, и это полностью наша вина.

    Автору antonre и всем участникам дискуссии большое спасибо за отзывы. После такого feedback'а, задумались, а стоит ли вообще запускать систему оповещения.


    1. lexore
      16.07.2015 13:52
      +5

      Но есть желание информировать о новых акциях и предложениях, оповещать в случае Ч/С, плановых работ или аварий.

      Для того, чтобы запустить систему баннеров или оповещения, достаточно в нужный момент отдавать 302 редирект на требуемую страничку.
      Обычный Captive portal.
      Для этого не нужно постоянно вставлять js во все странички.

      Но все же я думаю, что гораздо эффективнее увидеть один маленький баннер с хорошей или действительно важной новостью, чем получать нетаргетированный спам на телефон.

      Простите, но это уже слишком толсто.
      Так много спорных утверждений в одном предложений.

      > я думаю
      > эффективнее
      > с хорошей
      > важной новостью
      > спам на телефон

      Для хороших и важных новостей есть email с ссылкой «отписаться».
      Конечно, если абонент давал согласие на получение рекламных сообщений.

      Сейчас встраивается js код с серверов третьей стороны.
      И хочу напомнить, что сторонний js код может:
      — сливать данные, введенные в поля ввода;
      — перехватывать cookie;
      — подменять ссылки;

      Поэтому, на текущий момент, встраивание js:
      — нарушает законы и положения лицензии на передачу данных;
      — дает третьему лицу (ООО «Рубик про», владельцу WiFly) доступ к данным пользователя (просматриваемым и вводимым);
      — нигде не афишируется (в том числе, не указано, как это отключить);

      А за это уже бывает атата.


    1. antonre Автор
      16.07.2015 15:47

      Думаю, это не очень хороший метод оповещения. Как с юридической, так и с технической точек зрения. Неужели у вас нет толковых разработчиков/архитекторов, которые могут сделать такую систему технически грамотно? Могу посоветовать)


    1. babay88
      22.07.2015 01:05

      это весьма убогое оправдание.
      может быть у вас и есть желание информировать об акциях. но для этого следует получить разрешение абонента на такое информирование.
      вы спросили у клиента, хочет ли он видеть ваше «информирование»?


  1. Drag13
    16.07.2015 16:13
    +1

    Меня всегда удивляла позиция государства в таких вопросах. На абсолютно законных и справедливых основаниях можно и бюджет пополнить, и имидж поднять среди населения. Но нет, все или молчат, или тихо берут в свой карман…


    1. NickKolok
      21.07.2015 18:35

      Закидывайте РКН обращениями, не стесняйтесь. Они же для граждан, т. е. для нас, должны работать? Вякаем, товарищи, не стесняемся. Даже если заранее известно, что текущему законодательству это не противоречит.