Источник
В последнее время участились случаи инъекций стороннего контента на страницы российских сайтов, не защищённых HTTPS. Этим занимаются некоторые операторы связи, то есть это законная практика.
Логично, что если вам противостоит легальная угроза, то от неё следует защищаться техническими средствами.
Как сообщается, фишинговые подмены в основном происходят с участием доменов
*2ad.wtf и news.truth.delivery: «В параметры запроса фишингового скрипта прокидывается адрес подменённого скрипта и регион подключения абонента (в текущем случае СПб)», — пишет автор. Далее загружается уже настоящий скрипт запрашиваемого сайта, чтобы всё выглядело нормально. Вот как это делается:
По словам пользователя, его провайдер совершал инъекции крайне неприемлемой медийной рекламы с «мусорных» источников.
Старая проблема
На самом деле это довольно старая проблема. Например, крупнейший в России телекоммуникационный провайдер начал встраивать рекламные баннеры на сайты без HTTPS ещё в 2020 году. Тогда представители компании пояснили, что это контекстная персонализированная реклама, которая показывается только по желанию пользователя.
Ранее ещё в 2016 году сообщалось, что из-за рекламной акции одного из мобильных операторов на мобильных сайтах СМИ появлялась реклама его фирменной услуги «Мини-кабинет». А в сентябре 2018 года другой мобильный оператор показывал абонентам рекламу своего сервиса при посещении сайта правительства.
Пользователи в комментариях к текущей записи 2022 года подтверждают наличие проблемы:
Сталкивался с этим в апреле. Переезжал, и интернет проведён не был, пришлось пользоваться телефоном в качестве модема. На проекте по работе [мобильный оператор] подменял скрипты Hubspot на такие же баннеры. [Домен] news.thruth.delivery там же фигурировал.
Такое практикуется и в сетях сотовой связи, и проводного интернета, подтверждают специалисты.
На Хабре публиковалось несколько расследований на эту тему:
-
Рекламные баннеры Ростелекома и как с ними бороться
-
Вы не смотрите рекламу во время разработки? Непорядок
- DPI: Deep Packet INJECTION, или конспирологическая теория о заговоре между RTK и MRG
Решение проблемы — сертификат TLS
Эта история ещё раз показывает, почему все сайты без исключения должны перейти на HTTPS с шифрованием трафика. Только сертификат TLS гарантирует защиту этого канала. В него не проникнет ни провайдер, ни другие третьи лица. Инъекция стороннего контента невозможна.
Согласно отчёту исследовательской компании Frost & Sullivan, в 2018–2022 годы количество публичных сертификатов TLS выросло на 36,0%. В то же время число удостоверяющих центров (УЦ) сократилось.
Основанная в 1996 году GMO GlobalSign остаётся одним из старейших центров сертификации в мире. Компания со штаб-квартирой в Японии входит в число ведущих мировых УЦ, занимая долю 8,9% и 4-е место в 2021 году, сказано в отчёте. Как отмечается, основной рост бизнеса во время пандемии COVID-19 пришёлся на Облачный сервис цифровой подписи, который внедряет юридически законные цифровые подписи в документооборот предприятия. Здесь любой сотрудник может дистанционно подписывать любые документы.
То есть рынок сертификатов TLS вырос и количественно, и качественно — в разные стороны и сферы применения. Конечно, для защиты от вышеупомянутых инъекций «Ростелекома» достаточно стандартного сертификата Let's Encrypt, но вот более комплексные задачи требуют более цельных решений. Сегодня рынок включает в себя сертификаты для веб-приложений, защиты электронной почты, цифровых подписей, Интернета вещей (IoT) и прочих вариантов применения инфраструктуры открытых ключей (PKI).
Публичные УЦ несут огромные капитальные и операционные расходы на создание и поддержание инфраструктуры PKI. Более того, частые обновления стандартов сертификатов, навязываемые форумом CA/Browser Forum, требуют от постоянного обновления инфраструктуры, пишет Frost & Sullivan.
Последние истории в Рунете показывают, что сертификат нужен каждому сайту, даже если это самая простая страничка.
Только HTTPS может гарантировать, что никто не подменит ваш контент на пути от сервера к клиенту.
Комментарии (34)
edo1h
11.07.2022 22:53+7Этим занимаются некоторые операторы связи, то есть это законная практика
сомнительный вывод
но вот более комплексные задачи требуют более цельных решений
ну вот и написали бы об этом.
cepera_ang
12.07.2022 09:57+2Этим занимаются некоторые операторы связи, то есть это законная практика
Тоже триггернулся на этот замечательный вывод. «На дороге отбирают деньги у проезжающих. Этим занимаются уважаемые люди, то есть это законная практика».
dartraiden
11.07.2022 23:14+8Как сообщается, фишинговые подмены в основном происходят с участием доменов *2ad.wtf и news.truth.delivery
Если кому-то интересно, вот такая реклама оттуда лезет.
aamonster
11.07.2022 23:59+2Самое смешное, что иногда приходится специально заходить на http-сайт только для того, чтобы просмотреть, что же тебе пытаются заинжектить (типичная практика публичных wifi). И это чуть ли не единственный случай, когда нужен http.
gecube
12.07.2022 01:53Только HTTPS может гарантировать, что никто не подменит ваш контент на пути от сервера к клиенту.
не гарантирует, увы, достаточно поставить корневой сертификат национального удостоверяющего центра и можно ожидать вполне законный MitM от siloviki
ShadowMaster
12.07.2022 06:03Ругань с провайдером помогает. Хотя найти сайт с http сейчас очень трудно.
DarkPreacher
12.07.2022 09:35+2Не особо помогает. Я примерно час долбился в поддержку, пытаясь объяснить в чём проблема, девочка упорно не хотела понимать. В результате сдалась и зарегистрировала заявку на отключение редиректа с участием 2ad.wtf, пришла смска о том, что заявка зарегистрирована. Примерно через месяц заявка просто исчезла из личного кабинета, ситуация не изменилась.
ShadowMaster
12.07.2022 20:13Раньше когда провайдер просто вставлял рекламу в http звонил, угрожал жалобой в РКН (несанкционированное изменение трафика). Заявку приняли, потом перезвонили, извинились, реклама прекратилась. Домру.
Alphacanalya
12.07.2022 08:48+1Как минимум голосовать рублем нужно пока остаются провайдеры не промышляющие таким.
ZardoZAntony
12.07.2022 09:27+1Их так же прекрасно режет Unlock origin. Без него вообще интернет не посещаю уже много лет. На телефоне тоже он.
Uhhahh
12.07.2022 16:13+1Скорее всего такая практика нарушает сразу несколько законов:
1) Тайну частной переписки, потому что чтобы внедрить посторонний код на сайт, нужно посмотреть что именно на странице отображается.
2) Взлом протокола компьютерных сетей, MITM атака на трафик пользователя с целью извлечения прибыли. Это уголовка. За такое человек может и срок получить, а организация огромный штраф. Как до сих пор такая жопа творится не понятно, видимо всем лень с этим бороться.
beduin01
13.07.2022 10:17Пора просто черный список составить тех, чьи товары\ресурсы рекламировались подобным способом и для браузера плагин сделать, который бы помечал все сайты огромными баннерами. Что сайт является вредоносным и тд.
Жаль это широкое распространение вряд ли получит.
interprise
Да тут пару недель опять была статья типа "https не нужен для блогов". Пора уже понять, что без https заходить на страницу за пределами локал хоста не безопасно.
PereslavlFoto
Внедрение рекламы, конечно, мешает клиентам. Но как это внедрение мешает самим хостам? Вот на картинке показана реклама, которая внедрена в страницу музея. Как это мешает музею?
Никакой прибыли от сайта музей не получает. Больше того, сайт приносит музею убытки, потому что содействует утечке интеллектуальной собственности.
iMedved2009
Тем что владелец блога никак не регулирует то что будет показано на его сайте? Если в adsense или yandex как то можно это выстроить, то тут то вообще как? К примеру на каком нибудь блоге посвященном детям и материнству пульнуть эротику. А из последних нововведений - не все хотят видеть на своих блогах рекламу того чего нельзя называть ибо не хотят с этим ассоциироваться.
Mishima_Zaibatsu
Мешает хостам быть дружелюбным к пользователю, мешает иметь отличную репутацию.
Ведь если владелец хоста знает, что его клиентам могут внедрять что угодно, и сознательно игнорирует добавление HTTPS с околонулевыми затратами, то владельцу просто наплевать на клиентов.
HTTPS не защитит на 100%, но отсечёт почти все попытки подменить или незаметно что-то внедрить в трафик. Для бытовой защиты это хватает.
PereslavlFoto
Спасибо вам, iMedved2009 и Mishima_Zaibatsu, потому что я, оказывается, предвзят и не замечал всего этого.
0mogol0
ну как минимум, в нормальных условиях, сайт нужен музею, чтобы быть площадкой для контакта с потенциальными посетителями. Информация о новых и прошедших выставках, о том, как к нему добраться, часах работы, ценах на билеты и т.п.
Т.е. хороший сайт может привести посетителей. Да, для небольшого музея возможно проще указать служебную информацию на гугл / яндекс картах. Но рассказы про экспозицию там уже не опубликуешь.
PereslavlFoto
В России поток посетителей от сайтов пренебрежимо мал, если сравнивать с потоками от газетных рекламных статей, от рекламы на радио, от туристических фирм, от дорожных знаков, от афиш на столбах.
Поэтому серьёзное развитие музейных сайтов в России началось только после того, как сайты появились в государственном задании. Однако даже при этом музейные сайты по-прежнему выступают конкурентами для кассы, отвлекая людей от посещения.
Здесь получается противоречие. С одной стороны, заказчик (учредитель) требует делать сайты для людей, тем самым уменьшая потребность в платном посещении. С другой стороны, заказчик (учредитель) требует усилить продажу билетов.
gecube
аргументируйте? Потому что сайт, ну, никак не может людей отвлекать от кассы, даже напротив - упрощает продажу билетов и поэтому запросто может увеличить приток посетителей. При условии того, что в музее все еще хватает места
PereslavlFoto
У посетителя есть выбор: посмотреть на сайте (быстро и бесплатно) или посмотреть в зале (потратить время и деньги). Пока не было сайтов, люди шли в музеи, чтобы узнать, что там показывают. Теперь у них не возникает этот вопрос.
Как сайт упрощает продажу билетов — я могу представить для столичных музеев, где входят по сеансам и проверяют вход через QR-коды. В обычном музее вход бывает без сеансов, при входе контролёр отрывает часть билета. Здесь сайт ничем не поможет.
gecube
С чего Вы взяли? Это если экспозиция на сайте выставлена (и при этом полная, и в хорошем качестве), но люди ведь в музеи не для этого ходят.
Мне лично оплатить удобнее онлайн. По карте. Чем стоять в очереди у кассы. А потом у них терминал сломался для оплаты
PereslavlFoto
Есть такие люди, которые ходят в музей не для этого. Таких людей примерно один процент от всего потока, их заманить нетрудно.
Вопрос в том, как заманить всех остальных. Как стать лучше пива.
0mogol0
я не готов спорить о специфике привлечения посетителей через разные каналы, так сам не специалист, так что готов допустить, что вы правы.
Вот это мне не понятно... Ни разу не отказывался от посещения музея из-за того, что у него есть сайт. Наоборот, мог специально пойти - если обнаруживал, что там идёт какая-то интересная выставка.
Возможно тут проблема с сайтом, и вместо афиши / информации о музее, там пытаются сделать он-лайн каталог экспонатов?
Повторюсь, не готов спорить, так как не эксперт, но личный опыт мне говорит обратное.
PereslavlFoto
Вот видите, как хорошо. Вы теперь ходите в музей, только если там идёт какая-то интересная для вас выставка. Во всех остальных случаях вы не пойдёте.
Без сайтов модель поведения была другая. Человеку хочется как-нибудь развеяться. Он идёт в музей и только там обнаруживает, какие есть выставки. Он уже пришёл, не уходить же обратно. Поэтому он покупает какой-нибудь входной билет хотя бы на одну выставку.
Была и ещё одна модель поведения. Человек прочитал в газете, что открылась выставка. Он не может увидеть ни одного снимка с неё (сайтов-то нету), поэтому вынужден идти и платить сначала за входной билет, а потом за билет на выставку.
Весь этот маркетинг исчез из-за сайтов, и теперь намного сложнее заманить случайного посетителя.
0mogol0
совершенно наоборот, если я не знаю, что музей существует (а для этого я обычно смотрю в интернете афиши) - то я туда точно не пойду.
Если я уже был в этом музее - то снова я скорее всего пойду только на какую-то выставку, ну или спустя 10-20 лет, чтобы освежить воспоминания про постоянную экспозицию.
Если я пошёл в музей, чтобы развеяться - значит я видел его сайт или читал про его экспозицию. Иначе я пойду гулять в сторону чего-то ещё. Если я не знаю, что за выставка, если я не читал отзывов критиков, если я не видел фотографии с неё - я на неё не пойду, а пойду дальше гулять.
Исключение, если музей у чёрта на куличках, где кроме него делать нечего. Ну или я заранее знаю про участников выставки, например, привезли художника, чьи работы мне интересны.
эээ, обычно в газетах как раз публиковали фото с выставки, чтобы читатели лучше понимали, о чем идёт речь.
То что вы описываете очень напоминает маркетинг в стиле Герцога и Короля в приключениях Гека Финна, которые организовывали спектакли для деревенской публики...
PereslavlFoto
Да! Изумительно работал этот маркетинг, а теперь никак не работает.
DaemonGloom
Я добавлю ещё одну особенность — сторонние скрипты могут ломать разметку/работу самого сайта. Поплывшие шрифты, блоки не в тех местах, переставшие работать кнопки.
И музей такие проблемы решить просто так уже не может — ведь сам сайт работает правильно через нормальных провайдеров.
С таким я сталкивался лично у Билайна, если мне не изменяет память.
13oz
На моем ресурсе появляется содержимое, которое я туда не клал, и которое может показаться моим посетителя неприемлемым. И я потеряю трафик.
А еще оно может показаться неприемлемым товарищу майору.
Што
PereslavlFoto
Изображение, которое уже скачали с веб-сайта, музей не сможет продать, то есть не выполнит государственное задание по собственным доходам.
gecube
Хватит нести чушь! Как вам не стыдно! Музей не торгует изображениями. Музей торгует … услугами. Доступом к знаниям. В конце-концов никто не мешает сделать на сайте музея платный раздел с дополнительными картинками, если выражаться Вашей убогой терминологией. Вот вам и источник дополнительной монетизации
Я уж не говорю о том, откуда Вы взяли, что все музеи должны быть прибыльными? В конце-концов, это не про бизнес, а про культуру. Никого же не расстраивает, что образование то же убыточно в моменте, но так как оно готовит квалифицированных специалистов - на долгосроке это выгода для экономики????
PereslavlFoto
Если вы попробуете запросить у музея изображение, вам предложат за него заплатить.
Из требований учредителей, которые требуют увеличивать долю собственных доходов в годовой смете. Учредителями у музеев являются либо Министерство культуры, либо Департаменты культуры региональных администраций, либо муниципальные власти. (Пример.)