Источник

В последнее время участились случаи инъекций стороннего контента на страницы российских сайтов, не защищённых HTTPS. Этим занимаются некоторые операторы связи, то есть это законная практика.

Логично, что если вам противостоит легальная угроза, то от неё следует защищаться техническими средствами.

Как сообщается, фишинговые подмены в основном происходят с участием доменов *2ad.wtf и news.truth.delivery: «В параметры запроса фишингового скрипта прокидывается адрес подменённого скрипта и регион подключения абонента (в текущем случае СПб)», — пишет автор. Далее загружается уже настоящий скрипт запрашиваемого сайта, чтобы всё выглядело нормально. Вот как это делается:



По словам пользователя, его провайдер совершал инъекции крайне неприемлемой медийной рекламы с «мусорных» источников.

Старая проблема


На самом деле это довольно старая проблема. Например, крупнейший в России телекоммуникационный провайдер начал встраивать рекламные баннеры на сайты без HTTPS ещё в 2020 году. Тогда представители компании пояснили, что это контекстная персонализированная реклама, которая показывается только по желанию пользователя.

Ранее ещё в 2016 году сообщалось, что из-за рекламной акции одного из мобильных операторов на мобильных сайтах СМИ появлялась реклама его фирменной услуги «Мини-кабинет». А в сентябре 2018 года другой мобильный оператор показывал абонентам рекламу своего сервиса при посещении сайта правительства.

Пользователи в комментариях к текущей записи 2022 года подтверждают наличие проблемы:

Сталкивался с этим в апреле. Переезжал, и интернет проведён не был, пришлось пользоваться телефоном в качестве модема. На проекте по работе [мобильный оператор] подменял скрипты Hubspot на такие же баннеры. [Домен] news.thruth.delivery там же фигурировал.

Такое практикуется и в сетях сотовой связи, и проводного интернета, подтверждают специалисты.

На Хабре публиковалось несколько расследований на эту тему:


Решение проблемы — сертификат TLS


Эта история ещё раз показывает, почему все сайты без исключения должны перейти на HTTPS с шифрованием трафика. Только сертификат TLS гарантирует защиту этого канала. В него не проникнет ни провайдер, ни другие третьи лица. Инъекция стороннего контента невозможна.

Согласно отчёту исследовательской компании Frost & Sullivan, в 2018–2022 годы количество публичных сертификатов TLS выросло на 36,0%. В то же время число удостоверяющих центров (УЦ) сократилось.

Основанная в 1996 году GMO GlobalSign остаётся одним из старейших центров сертификации в мире. Компания со штаб-квартирой в Японии входит в число ведущих мировых УЦ, занимая долю 8,9% и 4-е место в 2021 году, сказано в отчёте. Как отмечается, основной рост бизнеса во время пандемии COVID-19 пришёлся на Облачный сервис цифровой подписи, который внедряет юридически законные цифровые подписи в документооборот предприятия. Здесь любой сотрудник может дистанционно подписывать любые документы.



То есть рынок сертификатов TLS вырос и количественно, и качественно — в разные стороны и сферы применения. Конечно, для защиты от вышеупомянутых инъекций «Ростелекома» достаточно стандартного сертификата Let's Encrypt, но вот более комплексные задачи требуют более цельных решений. Сегодня рынок включает в себя сертификаты для веб-приложений, защиты электронной почты, цифровых подписей, Интернета вещей (IoT) и прочих вариантов применения инфраструктуры открытых ключей (PKI).

Публичные УЦ несут огромные капитальные и операционные расходы на создание и поддержание инфраструктуры PKI. Более того, частые обновления стандартов сертификатов, навязываемые форумом CA/Browser Forum, требуют от постоянного обновления инфраструктуры, пишет Frost & Sullivan.

Последние истории в Рунете показывают, что сертификат нужен каждому сайту, даже если это самая простая страничка.

Только HTTPS может гарантировать, что никто не подменит ваш контент на пути от сервера к клиенту.

Комментарии (34)


  1. interprise
    11.07.2022 22:42
    +15

    Да тут пару недель опять была статья типа "https не нужен для блогов". Пора уже понять, что без https заходить на страницу за пределами локал хоста не безопасно.


    1. PereslavlFoto
      12.07.2022 01:28
      -5

      Внедрение рекламы, конечно, мешает клиентам. Но как это внедрение мешает самим хостам? Вот на картинке показана реклама, которая внедрена в страницу музея. Как это мешает музею?

      Никакой прибыли от сайта музей не получает. Больше того, сайт приносит музею убытки, потому что содействует утечке интеллектуальной собственности.


      1. iMedved2009
        12.07.2022 02:20
        +4

        Тем что владелец блога никак не регулирует то что будет показано на его сайте? Если в adsense или yandex как то можно это выстроить, то тут то вообще как? К примеру на каком нибудь блоге посвященном детям и материнству пульнуть эротику. А из последних нововведений - не все хотят видеть на своих блогах рекламу того чего нельзя называть ибо не хотят с этим ассоциироваться.


      1. Mishima_Zaibatsu
        12.07.2022 03:27
        +5

        Внедрение рекламы, конечно, мешает клиентам. Но как это внедрение мешает самим хостам?

        Мешает хостам быть дружелюбным к пользователю, мешает иметь отличную репутацию.

        Ведь если владелец хоста знает, что его клиентам могут внедрять что угодно, и сознательно игнорирует добавление HTTPS с околонулевыми затратами, то владельцу просто наплевать на клиентов.

        HTTPS не защитит на 100%, но отсечёт почти все попытки подменить или незаметно что-то внедрить в трафик. Для бытовой защиты это хватает.


        1. PereslavlFoto
          12.07.2022 08:59
          +2

          Спасибо вам, iMedved2009 и Mishima_Zaibatsu, потому что я, оказывается, предвзят и не замечал всего этого.


      1. 0mogol0
        12.07.2022 11:07

        Никакой прибыли от сайта музей не получает. Больше того, сайт приносит музею убытки, потому что содействует утечке интеллектуальной собственности.

        ну как минимум, в нормальных условиях, сайт нужен музею, чтобы быть площадкой для контакта с потенциальными посетителями. Информация о новых и прошедших выставках, о том, как к нему добраться, часах работы, ценах на билеты и т.п.

        Т.е. хороший сайт может привести посетителей. Да, для небольшого музея возможно проще указать служебную информацию на гугл / яндекс картах. Но рассказы про экспозицию там уже не опубликуешь.


        1. PereslavlFoto
          12.07.2022 16:15

          В России поток посетителей от сайтов пренебрежимо мал, если сравнивать с потоками от газетных рекламных статей, от рекламы на радио, от туристических фирм, от дорожных знаков, от афиш на столбах.

          Поэтому серьёзное развитие музейных сайтов в России началось только после того, как сайты появились в государственном задании. Однако даже при этом музейные сайты по-прежнему выступают конкурентами для кассы, отвлекая людей от посещения.

          Здесь получается противоречие. С одной стороны, заказчик (учредитель) требует делать сайты для людей, тем самым уменьшая потребность в платном посещении. С другой стороны, заказчик (учредитель) требует усилить продажу билетов.


          1. gecube
            12.07.2022 16:49

            Однако даже при этом музейные сайты по-прежнему выступают конкурентами для кассы, отвлекая людей от посещения.

            аргументируйте? Потому что сайт, ну, никак не может людей отвлекать от кассы, даже напротив - упрощает продажу билетов и поэтому запросто может увеличить приток посетителей. При условии того, что в музее все еще хватает места


            1. PereslavlFoto
              12.07.2022 18:46

              У посетителя есть выбор: посмотреть на сайте (быстро и бесплатно) или посмотреть в зале (потратить время и деньги). Пока не было сайтов, люди шли в музеи, чтобы узнать, что там показывают. Теперь у них не возникает этот вопрос.

              Как сайт упрощает продажу билетов — я могу представить для столичных музеев, где входят по сеансам и проверяют вход через QR-коды. В обычном музее вход бывает без сеансов, при входе контролёр отрывает часть билета. Здесь сайт ничем не поможет.


              1. gecube
                12.07.2022 19:05
                +1

                посетителя есть выбор: посмотреть на сайте (быстро и бесплатно)

                С чего Вы взяли? Это если экспозиция на сайте выставлена (и при этом полная, и в хорошем качестве), но люди ведь в музеи не для этого ходят.

                В обычном музее вход бывает без сеансов, при входе контролёр отрывает часть билета. Здесь сайт ничем не поможет.

                Мне лично оплатить удобнее онлайн. По карте. Чем стоять в очереди у кассы. А потом у них терминал сломался для оплаты


                1. PereslavlFoto
                  12.07.2022 19:15

                  Есть такие люди, которые ходят в музей не для этого. Таких людей примерно один процент от всего потока, их заманить нетрудно.

                  Вопрос в том, как заманить всех остальных. Как стать лучше пива.


          1. 0mogol0
            12.07.2022 16:51

            я не готов спорить о специфике привлечения посетителей через разные каналы, так сам не специалист, так что готов допустить, что вы правы.

            Однако даже при этом музейные сайты по-прежнему выступают конкурентами для кассы, отвлекая людей от посещения. Здесь получается противоречие. С одной стороны, заказчик (учредитель) требует делать сайты для людей, тем самым уменьшая потребность в платном посещении.

            Вот это мне не понятно... Ни разу не отказывался от посещения музея из-за того, что у него есть сайт. Наоборот, мог специально пойти - если обнаруживал, что там идёт какая-то интересная выставка.

            Возможно тут проблема с сайтом, и вместо афиши / информации о музее, там пытаются сделать он-лайн каталог экспонатов?

            Повторюсь, не готов спорить, так как не эксперт, но личный опыт мне говорит обратное.


            1. PereslavlFoto
              12.07.2022 18:51

              Вот видите, как хорошо. Вы теперь ходите в музей, только если там идёт какая-то интересная для вас выставка. Во всех остальных случаях вы не пойдёте.

              Без сайтов модель поведения была другая. Человеку хочется как-нибудь развеяться. Он идёт в музей и только там обнаруживает, какие есть выставки. Он уже пришёл, не уходить же обратно. Поэтому он покупает какой-нибудь входной билет хотя бы на одну выставку.

              Была и ещё одна модель поведения. Человек прочитал в газете, что открылась выставка. Он не может увидеть ни одного снимка с неё (сайтов-то нету), поэтому вынужден идти и платить сначала за входной билет, а потом за билет на выставку.

              Весь этот маркетинг исчез из-за сайтов, и теперь намного сложнее заманить случайного посетителя.


              1. 0mogol0
                12.07.2022 19:23
                +1

                Вот видите, как хорошо. Вы теперь ходите в музей, только если там идёт какая-то интересная для вас выставка. Во всех остальных случаях вы не пойдёте.

                совершенно наоборот, если я не знаю, что музей существует (а для этого я обычно смотрю в интернете афиши) - то я туда точно не пойду.
                Если я уже был в этом музее - то снова я скорее всего пойду только на какую-то выставку, ну или спустя 10-20 лет, чтобы освежить воспоминания про постоянную экспозицию.

                Человеку хочется как-нибудь развеяться. Он идёт в музей и только там обнаруживает, какие есть выставки. Он уже пришёл, не уходить же обратно. Поэтому он покупает какой-нибудь входной билет хотя бы на одну выставку.

                Если я пошёл в музей, чтобы развеяться - значит я видел его сайт или читал про его экспозицию. Иначе я пойду гулять в сторону чего-то ещё. Если я не знаю, что за выставка, если я не читал отзывов критиков, если я не видел фотографии с неё - я на неё не пойду, а пойду дальше гулять.

                Исключение, если музей у чёрта на куличках, где кроме него делать нечего. Ну или я заранее знаю про участников выставки, например, привезли художника, чьи работы мне интересны.

                Была и ещё одна модель поведения. Человек прочитал в газете, что открылась выставка. Он не может увидеть ни одного снимка с неё (сайтов-то нету), поэтому вынужден идти и платить сначала за входной билет, а потом за билет на выставку.

                эээ, обычно в газетах как раз публиковали фото с выставки, чтобы читатели лучше понимали, о чем идёт речь.

                То что вы описываете очень напоминает маркетинг в стиле Герцога и Короля в приключениях Гека Финна, которые организовывали спектакли для деревенской публики...


                1. PereslavlFoto
                  12.07.2022 22:18

                  маркетинг в стиле Герцога и Короля

                  Да! Изумительно работал этот маркетинг, а теперь никак не работает.


      1. DaemonGloom
        12.07.2022 15:31

        Я добавлю ещё одну особенность — сторонние скрипты могут ломать разметку/работу самого сайта. Поплывшие шрифты, блоки не в тех местах, переставшие работать кнопки.
        И музей такие проблемы решить просто так уже не может — ведь сам сайт работает правильно через нормальных провайдеров.
        С таким я сталкивался лично у Билайна, если мне не изменяет память.


      1. 13oz
        14.07.2022 08:44
        -1

        Но как это внедрение мешает самим хостам?

        На моем ресурсе появляется содержимое, которое я туда не клал, и которое может показаться моим посетителя неприемлемым. И я потеряю трафик.

        А еще оно может показаться неприемлемым товарищу майору.

        Никакой прибыли от сайта музей не получает. Больше того, сайт приносит музею убытки, потому что содействует утечке интеллектуальной собственности.

        Што


        1. PereslavlFoto
          14.07.2022 13:18

          Изображение, которое уже скачали с веб-сайта, музей не сможет продать, то есть не выполнит государственное задание по собственным доходам.


          1. gecube
            14.07.2022 16:09

            Хватит нести чушь! Как вам не стыдно! Музей не торгует изображениями. Музей торгует … услугами. Доступом к знаниям. В конце-концов никто не мешает сделать на сайте музея платный раздел с дополнительными картинками, если выражаться Вашей убогой терминологией. Вот вам и источник дополнительной монетизации

            Я уж не говорю о том, откуда Вы взяли, что все музеи должны быть прибыльными? В конце-концов, это не про бизнес, а про культуру. Никого же не расстраивает, что образование то же убыточно в моменте, но так как оно готовит квалифицированных специалистов - на долгосроке это выгода для экономики????


            1. PereslavlFoto
              14.07.2022 16:25

              Музей не торгует изображениями.

              Если вы попробуете запросить у музея изображение, вам предложат за него заплатить.

              откуда Вы взяли, что все музеи должны быть прибыльными

              Из требований учредителей, которые требуют увеличивать долю собственных доходов в годовой смете. Учредителями у музеев являются либо Министерство культуры, либо Департаменты культуры региональных администраций, либо муниципальные власти. (Пример.)


  1. edo1h
    11.07.2022 22:53
    +7

    Этим занимаются некоторые операторы связи, то есть это законная практика

    сомнительный вывод


    но вот более комплексные задачи требуют более цельных решений

    ну вот и написали бы об этом.


    1. cepera_ang
      12.07.2022 09:57
      +2

      Этим занимаются некоторые операторы связи, то есть это законная практика

      Тоже триггернулся на этот замечательный вывод. «На дороге отбирают деньги у проезжающих. Этим занимаются уважаемые люди, то есть это законная практика».


  1. dartraiden
    11.07.2022 23:14
    +8

    Как сообщается, фишинговые подмены в основном происходят с участием доменов *2ad.wtf и news.truth.delivery

    Если кому-то интересно, вот такая реклама оттуда лезет.


  1. aamonster
    11.07.2022 23:59
    +2

    Самое смешное, что иногда приходится специально заходить на http-сайт только для того, чтобы просмотреть, что же тебе пытаются заинжектить (типичная практика публичных wifi). И это чуть ли не единственный случай, когда нужен http.


  1. gecube
    12.07.2022 01:53

    Только HTTPS может гарантировать, что никто не подменит ваш контент на пути от сервера к клиенту.

    не гарантирует, увы, достаточно поставить корневой сертификат национального удостоверяющего центра и можно ожидать вполне законный MitM от siloviki


  1. ShadowMaster
    12.07.2022 06:03

    Ругань с провайдером помогает. Хотя найти сайт с http сейчас очень трудно.


    1. DarkPreacher
      12.07.2022 09:35
      +2

      Не особо помогает. Я примерно час долбился в поддержку, пытаясь объяснить в чём проблема, девочка упорно не хотела понимать. В результате сдалась и зарегистрировала заявку на отключение редиректа с участием 2ad.wtf, пришла смска о том, что заявка зарегистрирована. Примерно через месяц заявка просто исчезла из личного кабинета, ситуация не изменилась.


      1. ShadowMaster
        12.07.2022 20:13

        Раньше когда провайдер просто вставлял рекламу в http звонил, угрожал жалобой в РКН (несанкционированное изменение трафика). Заявку приняли, потом перезвонили, извинились, реклама прекратилась. Домру.


  1. Alphacanalya
    12.07.2022 08:48
    +1

    Как минимум голосовать рублем нужно пока остаются провайдеры не промышляющие таким.


  1. ZardoZAntony
    12.07.2022 09:27
    +1

    Их так же прекрасно режет Unlock origin. Без него вообще интернет не посещаю уже много лет. На телефоне тоже он.


  1. cepera_ang
    12.07.2022 09:58

    Туннель до своего сервера и гори операторский надзор синим пламенем.


  1. Uhhahh
    12.07.2022 16:13
    +1

    Скорее всего такая практика нарушает сразу несколько законов:

    1) Тайну частной переписки, потому что чтобы внедрить посторонний код на сайт, нужно посмотреть что именно на странице отображается.

    2) Взлом протокола компьютерных сетей, MITM атака на трафик пользователя с целью извлечения прибыли. Это уголовка. За такое человек может и срок получить, а организация огромный штраф. Как до сих пор такая жопа творится не понятно, видимо всем лень с этим бороться.


    1. space2pacman
      13.07.2022 19:07

      Мне кажется там автоматом пихается скрипт в head если идет http трафик


  1. beduin01
    13.07.2022 10:17

    Пора просто черный список составить тех, чьи товары\ресурсы рекламировались подобным способом и для браузера плагин сделать, который бы помечал все сайты огромными баннерами. Что сайт является вредоносным и тд.

    Жаль это широкое распространение вряд ли получит.