Собственно история встраивания провайдером своих скриптов в посещаемые сайты не нова.
Взять хотя бы эту habrahabr.ru/post/142909.
Сегодня обнаружил аналогичную вставку у Билайна («Домашний интернет). Прямо через их фирменный роутер.
Попробуйте набрать в браузере 192.168.1.1/scwn.js. Что-нибудь есть?
Напоминаю, что 192.168.1.1 — это ip вашего роутера.
Модель Smart Box
Версия ПО v2.0.26
Recovery Version v2.0.19
Дата релиза ПО 2015-04-16, 04:33:58
Метка релиза ПО SERCOMM.BEELINE
Версия оборудования v2
Версия загрузчика 1.05
Загружаем любой сайт (ну, например, lenta.ru) и видим это чудо:
Содержимое этого файла:
Да, все верно — загружается сторонний скрипт (и вот что-то я соовсем не уверен в надежности и безопасности указанного ресурса).
Думаю не стоит объяснять, что это небезопасно и нарушает мои гражданские права (юристы поправьте меня, если не прав).
По сути провайдер встраивает в посещаемые мною сайты свой блок кода, который теоретически (да, думаю, и практически) собирает информацию о посещениях, показывает рекламу и т.д.
Если тут есть представители Билайна, то неплохо было бы прояснить ситуацию. Да и вообще — это нормально?
Update: Ссылка из скрипта ведет на сервис для размещения рекламы в зонах свободного wifi — wifly.net
Update: Небольшое расследование привело к интересной информации о наличии специальной прошивки для данного роутера, которая и реализует данную уязвимость — ru.wiflyad.net/flyadbox.html (кэш гугла)
Update: В комментах получил небольшое разъяснение от представителя билайна — habrahabr.ru/post/262631/#comment_8502213
Комментарии (126)
RPG
14.07.2015 21:22+3Насколько я понял, это не провайдер встраивает
потусторонние скрипты, а роутер с прошивкой от провайдера? Перепрошить и дело в шляпе. Не исключён взлом роутера.
icCE
15.07.2015 12:53+1Нет это именно провайдер встраивает. Он таким образом реализует вход в личный кабинет.
Если вы используете VPN или заход на https все становится хорошо.
Beeline mini_cab
Aclz
14.07.2015 21:37-19Если тут есть представители Билайна, то неплохо было бы прояснить ситуацию. Да и вообще — это нормально?
Лучше написали бы претензию в ближайшем абонентском отделе, дождались ответа и опубликовали тут, толку было бы больше.
antonre Автор
14.07.2015 21:40+5Обязательно. Но зачем ждать ответа и публиковать очередное «расследование»? Есть проблема, а что с этим делать — решать каждому
delicious
14.07.2015 21:42+63Такого рода вещи должны предаваться гласности (т.к. дело не в том, что «проблема» решится для одного абонента).
Aclz
14.07.2015 21:52-1Безусловно, если Билайн взамен предложит «чистый» роутер, это не повод на этом успокоиться. Но и без реакции второй стороны раздувать что-то тут бессмысленно (причем вариантов масса, от «ой, и правда, а роутеры у нас такие из китая идут» до «имеем право, см. пункт приложения к договору-оферте по ссылке, третью сноску мелким шрифтом»), как и бессмысленно ждать официального ответа тут.
delicious
14.07.2015 22:32+25В этом вся наша проблема. В Европе сайты обязали об использовании кук (!) предупреждать, а мы все думаем, «всего лишь» закладка в роутере и, ах, в договоре же прописано, что обязан учавствовать в человеческой многоножке, ну надо, так надо.
vsb
15.07.2015 00:02+16На закон о куках точно равняться не стоит, более идиотский закон ещё поискать надо.
delicious
14.07.2015 21:38+1Ну, кстати, они до сих пор неправильно минифаять трафик, сжимая html и ломая сайт из-за этого (видимо, все на регэкспах). Из-за чего приходится писать костыли.
Master_Dante
14.07.2015 22:42+3И раньше не очень хорошо относился к Билайну, после такого никогда в жизни его не буду использовать и всех буду отговаривать. Такого рода действия это верх наглости. Все больше убеждаюсь в необходимости прокси с возможностью контроля загрузки ресурсов с доменов отличающихся, от домена страницы. Подгружаемый таким образом скрипт, может логировать пароли к ресурсам включая сайты онлайн банков. Так же может красть куки авторизации. Перехватывать личные фото находящиеся в привате в соц. сетях или на хостингах. Кроме того, такой скрипт значительно упрощает использование эксплойтов браузера. Ну и мелочи конечно, это слежка за посещениями сайтов, поисковые запросы, чтение переписки на веб почте(например на сайте gmail).
lair
14.07.2015 22:44+5Подгружаемый таким образом скрипт, может логировать пароли к ресурсам включая сайты онлайн банков. Так же может красть куки авторизации. Перехватывать личные фото находящиеся в привате в соц. сетях или на хостингах. Кроме того, такой скрипт значительно упрощает использование эксплойтов браузера. Ну и мелочи конечно, это слежка за посещениями сайтов, поисковые запросы, чтение переписки на веб почте(например на сайте gmail).
Это каким же образом? HTTPS отменили?
Egor3f
15.07.2015 01:20В теории всё очень хорошо, на практике, к сожалению, не очень.
Хотя да, соцсети, хостинг, банки, почта и прочее на https. Да и те данные провайдер воровать вряд ли будет, так что параноить не нужно.
Но, тем не менее, приятного в таких скриптах всё равно мало.
Master_Dante
15.07.2015 01:26+5Например отправив ajax по http на адрес с которого нужно украсть куки. Даже если настоящий сервер не принимает http, провайдер может перехватить такой запрос и эмулировать его наличие. При этом, пока браузер общается по http, middle может общаться по https. Скрипт может заменить все https на http, на странице. Вариантов тут много. Так же скрипт имеет доступ к DOM, этого хватит для чтения писем. А навешанные обработчики событий редактирования текста позволят вести логи паролей.
lair
15.07.2015 01:38+3Например отправив ajax по http на адрес с которого нужно украсть куки.
На ваших куках все еще не стоит secure и httpOnly?
Скрипт может заменить все https на http, на странице. Вариантов тут много. Так же скрипт имеет доступ к DOM, этого хватит для чтения писем. А навешанные обработчики событий редактирования текста позволят вести логи паролей.
Я захожу в свою почту по https изначально, откуда там возьмется скрипт, у которого будет доступ в DOM и обработчики на текстовых полях?
Понимаете ли, если вы не пользуетесь https, то провайдеру не нужны никакие скрипты, ваши данные и так мимо него летают. А если пользуетесь — то скрипты ему не помогут.
grossws
15.07.2015 01:56На ваших куках все еще не стоит secure и httpOnly?
Чуть выше прекрасный пример ebay ,)lair
15.07.2015 01:57Вопрос в том, сколько из тех кук — sensitive.
grossws
15.07.2015 02:15Поглядел сам, JSESSIONID — http-only, некоторые, выставляемые после авторизации — тоже. Но не secure, т. к. ebay при этом работает по http.
С другой стороны, оплата идёт через палку и совсем приятные данные в открытом виде не летают.
А большая часть этих кук — всякий треккинг.
Master_Dante
15.07.2015 02:30-8Представим сценарий.
1. Провайдер подменил gmail
2. Вы заходите по https.
3. Вам приходит 301 где тот же адрес только http
4. Провайдер с gmail общается по https, вы с провайдером по http
5. Далее вас просят заново ввести пароль…
Такой же вариант прокатит с провайдером VPN и вероятно TOR.
>> Я захожу в свою почту по https изначально, откуда там возьмется скрипт
1. Например если на странице используется скрипт какой нибудь соц сети, или метрики, или баннерной сети не https :)
2. Вы откроете любой не https сайт. А скрипт скрытно загрузит gmail и прошерстит все ваши письма.lair
15.07.2015 02:36+82. Как, ну как провайдер подсунет мне 301 с сайта, с которым я общаюсь по https?
5.… который я не ввожу, потому что я на недоверенной странице.
1. Это называется unsecure content on secure page и по умолчанию блокируется.
2. Как скрипт может скрытно загрузить гмейл?Master_Dante
15.07.2015 10:512. Никак, я не знаю что положенно по протоколу, если https адрес возвращает сетевую ошибку, положено ли здесь перейти на http или нет.
5. вы не будете а кто то будет
1. Я видел блокировку только на серверном IE, которое к тому же сильно раздражает :).
2. Тут есть много тонкостей с кроссдоменными запросами, я их все не знаю ;). Но в случае с провайдерским перехватом все однозначно упрощается.
Кстати говоря у другого провайдера я видел несколько раз попыку подсунуть не правильный сертификат. Это намного проще, люди как правило соглашаются. Хотя тут есть выбор у пользователя. В целом если сайт правильный https, и юзер шарит, и в браузере нет эксплойтов, а так же в сетевых драйверах, и в плагинах типа флеш и downloadmaster, и закладок в сертификатах, то сломать несколько сложнее. :)lair
15.07.2015 11:29+1Ну во-первых, если люди соглашаются на подменный сертификат, не следят за адресом в строке браузера и так далее — уже не важно, вбрасывает ли провайдер скрипт, они все равно уязвимы ко всем другим атакам, начиная от банального фишинга.
А во-вторых…
Никак, я не знаю что положенно по протоколу, если https адрес возвращает сетевую ошибку, положено ли здесь перейти на http или нет.
Естественно, не положено.
Тут есть много тонкостей с кроссдоменными запросами, я их все не знаю ;). Но в случае с провайдерским перехватом все однозначно упрощается.
Не упрощается. На сайте с правильно настроенными куками и CORS это все лишено смысла.
Это все к тому, что вбрасывание скрипта не увеличивает вашу уязвимость перед вашим провайдером: весь ваш открытый обмен он видит и так, и в ваших интересах, если вы ему не доверяете, вести весь обмен в закрытую.
Кстати, вот кого реально надо бояться — так это системного администратора по месту работы.
Alexey2005
15.07.2015 11:37Некоторые провайдеры в последнее время повадились подменять SSL-сертификаты, как раз для того, чтоб была возможность анализировать и этот траффик тоже. Со временем, подозреваю, таких провайдеров будет только больше.
П.С.: Опередили, выше уже отметили про подмену сертификатов.lair
15.07.2015 11:42Вот только эта подмена невозможна без согласия пользователя.
abusalimov
15.07.2015 15:50Когда были блокировки Гихаба, мой провайдер ухитрялся фильтровать только страницу из реестра, даже при том, что весь сайт отдается по HTTPS. Браузер рапортовал, что все хорошо. Подвох вскрылся, только когда я попытался пушнуть код по ssh.
Насколько я понял, провайдер как-то обманывал DNS, и я получал копию сайта по тому же адресу со своим валидным сертификатом. Так что не все так радужно в этом королевстве.lair
15.07.2015 15:52Я не очень понимаю, как это возможно. Можете рассказать поподробнее?
abusalimov
15.07.2015 16:06Боюсь, я и сам не ахти какой специалист в этом вопросе.
Фокус в том, что Гитхаб открывался в браузере, как и раньше, то есть по HTTPS с зеленым бейджем в адресной строке и т.п. Я еще порадовался тогда, что у меня провайдер против идиотских запретов :)
А при попытке пушнуть в командной строке выскакивало предупреждение, кажется, что IP адрес хоста внезапно поменялся, и что-то про fingerprint'ы сертификатов ssh. Возможно там же и было предположение о фейковом DNS, поскольку после этого я сразу проверил и убедился, что github.com резолвился на локальный адрес в сети провайдера. При этом на роутере, если не ошибаюсь, стоял 8.8.8.8 в качестве DNS (т.е. гугловый, не провайдеровский), и видимо провайдер подменял все DNS-запросы к ресурсам из реестра.
Попробуйте погуглить DNS Crypt и связанные с этим темы.lair
15.07.2015 16:13Ну вот подменили они адрес на сервер в своей локальной сети, но как отдавать с него трафик, сохраняя HTTPS? Я такой техники не знаю.
abusalimov
15.07.2015 16:21Видимо получается такой прокси с MitM. Разве нельзя подписать новый сайт новым сертификатом?
Я открываю этот сайт, защищенный сертификатом провайдера. Он расшифровывает мой запрос и проверяет страницу, которую я открываю, после чего запрашивает у настоящего Гитхаба эту же страницу, перешифрует её содержимое и отправляет обратно мне.lair
15.07.2015 16:22Я открываю этот сайт, защищенный сертификатом провайдера.
Сертификат провайдера выдан на адрес провайдера. У провайдера не может быть сертификата на адрес гитхаба.
(иначе вся идея HTTPS скомпроментирована на корню)abusalimov
15.07.2015 16:29Сертификат провайдера выдан на адрес провайдера
На URL или на IP? Получается, нельзя открыть левый сайт с левым серфикатом с хоста github.com, не получив при этом предупреждения браузера? Если это так, то я не прав и прошу прощения, что ввел в заблуждение.lair
15.07.2015 16:33На URL или на IP?
На имя хоста (какой ip, там же балансер наверняка).
Получается, нельзя открыть левый сайт с левым серфикатом с хоста github.com, не получив при этом предупреждения браузера?
Я не понимаю, что вы имеете в виду под «сайт с левым сертификатом с хоста», поэтому не могу ответить на ваш вопрос.abusalimov
15.07.2015 17:18Я ошибочно думал, что провайдер может выпустить свой сертификат на github.com и подписать его у какого-нибудь левого регистратора. Тогда, получая фейковый сайт с фейкового github.com, браузер не стал бы выдавать предупреждений.
lair
15.07.2015 17:19Браузер должен реагировать на левых регистраторов.
Кстати, не «провайдер выпускает, а регистратор подписывает», а «регистратор выпускает и подписывает».
abusalimov
15.07.2015 16:34Смотрите, было похожее обсуждение: geektimes.ru/post/242306/#comment_8175982
Возможно ли такое, что я видел зеленый валидный сертификат в адресной строке, просто выданный не GitHub Inc. [US], а другой компании?lair
15.07.2015 16:37Нет, этот сертификат не был бы «зеленым», потому что вы бы получали предупреждение вида «сертификат выдан не github.com, а вашпровайдер.ру».
abusalimov
15.07.2015 17:11Странно. Спасибо за разъяснения.
Нашел еще обсуждения на SE:
- Can a HTTPS connection be compromised because of a rogue DNS server
- How feasible is it for a CA to be hacked? Which default trusted root certificates should I remove?
Тоже упоминается Comodo, как и в обсуждении блокировки Гитхаба на GT.
Но судя по всему, это все-таки единичные случаи и что-то из ряда вон выходящее. Вряд ли провайдер станет заморачиваться таким.
JDima
14.07.2015 23:05+6Чтобы было проще и безопаснее жить, исходите из того, что 100% вашего интернет-трафика постоянно кем-то слушается (так оно и есть) и модифицируется (может быть, а может и нет). И создатели интернет-банков, фейсбуков, вконтактиков, яндексов и так далее тоже исходят из компрометации канала связи от клиента до сервера и защищаются соответствующим образом, за это не беспокойтесь. Если видите значок HTTPS, то либо всё хорошо и нет причин заботиться о перехвате данных кем угодно между вами и посещаемым ресурсом, либо скомпрометирована ваша система, а тут уж извиняйте.
Только все равно модифицировать трафик платного клиента (Максиме-Телеком, дающей бесплатный интернет в метро, я прощаю всё, даже периодически закоррапченные страницы часто посещаемого мной сайта, благо перезагрузка страницы помогает) весьма некрасиво.
ademaro
14.07.2015 23:00+4А в 3g сети они добавляют тулбар на любой http сайтег (стучится на toolbar.beeline.ru, добавил в hosts, но на телефоне всё равно показывает, если не по https хожу). Офигел с такого, если честно…
Aquahawk
15.07.2015 08:52+2Пишите в поддержку и долбайте их, мне выключили. Сначала просто заблочили для меня адрес скрипта, но т.к. он дибильно встроен страница дольше грузится, потом сделали так что совсем нет его.
Jeditobe
15.07.2015 00:10+3Короче, не рекомендуете проводной интернет от Билайна?
medvoodoo
15.07.2015 14:00+2Почему, интернет нормальный, я бы не рекомендовал роутеры с прошивками от провайдеров.
lexore
15.07.2015 14:17Если есть хорошие альтернативы среди местных операторов.
Но и там никто не застрахован, крупные провайдеры просто больше на виду.
А если выбирать между крупняками, то субъективно у билайна меньше минусов.
Как плюс, они начали уходить с l2tp.
Остается не использовать их роутер и ждать сентября 2015.Jeditobe
15.07.2015 14:44В чем плюс ухода с l2tp?
icCE
15.07.2015 15:03+2Это ненужный костыль. Удобнее воткнуть провод и не думать о настройках. Меня VPN Internet всегда убивал. VPN, он что бы входить в сеть, а не выходить из нее. Радовало когда vpn шлюз был за пределами твоего шлюзе, это добавляла определенных радостей в настройки с роутингом. Еще добовляла, когда оказывалось что vpn провайдера динамический.
CaptainFlint
15.07.2015 19:01Удобнее воткнуть провод и не думать о настройках.
А авторизацию как проводить? К маку привязывать?grossws
15.07.2015 19:04К порту, Карл!
CaptainFlint
15.07.2015 19:12Это сарказм или нет? Если нет, то в порт вместо моего провода кто угодно переподключиться может. Даже если свитч на замке, провода-то все снаружи…
grossws
15.07.2015 19:26+1С долей сарказма. В реальности обычно на порту (или чуть выше) acl по маку и перенаправление на специальный landing page, если mac не привязан к пользователю. А далее установка оного через личный кабинет.
CaptainFlint
15.07.2015 19:39Ясно, спасибо.
Единственное, что беспокоит в этих планах о переходе на IPoE, — это как они авторизацию будут делать. Не хотелось бы в один прекрасный день запустить браузер с сотней вкладок и обнаружить на них всех форму логина с одним и тем же урлом…icCE
15.07.2015 22:30делают по маку. Если подключите другой пк, то просто не получите интернет, но можно получить доступ к кабинету. По крайне мере у моего провайдера так.
Ну а для вкладок используйте например Session Buddy в chromeCaptainFlint
16.07.2015 00:59Не знаю, что даёт Session Buddy. Судя по описанию, примерно то же, что встроенный инструмент управления сессиями в моей Opera Presto. Конечно, я могу сохранять сессию в отдельный файл каждый раз перед выходом из браузера (чтобы подгрузить его, если при следующем запуске огребу редиректы, которые тут же пропишутся в автосохраняющуюся сессию). Но речь о том, что на ровном месте появляется необходимость делать действие, которое сейчас делать не требуется.
Если Beeline сделает без редиректов, я буду счастлив. Но пока что все служебные страницы, которые я от них видел (блокировки от РКН, информация о неоплаченном инете) были сделаны через редиректы, что наводит на грустные мысли.
vorphalack
16.07.2015 00:46+1у нормальных провайдеров либо «ошибка соединения» в таком случае, либо да, вкладка с логином НО без редиректа — то есть после прописки мака и перезапуска, оно всё загрузится обратно
CaptainFlint
16.07.2015 00:52Вот в том и вопрос, поступят они как нормальные провайдеры, или сделают редирект. Инфу о блокировке РКН, например, отображают через редирект…
vorphalack
16.07.2015 07:13как говорится, время покажет. в смысле, будет зависеть от количества вкладок у тех, кто будет тестировать оный механизм, подозреваю.
lexore
15.07.2015 15:07+2* Не нужно настраивать l2tp :)
У корбины/билайна немного кастомизированный l2tp сервер, допиленный под совместимость с windows.
Остальные *nix получают геморрой там, где все отлично работает в windows.
На некоторых форумах можно найти длинные топики про настройку роутера или *nix сервера для l2tp корбины.
Один умелец, после долгих мучений, даже написал статью в wiki openwrt Подключение к провайдеру используя L2TP с Dual Access.
В скриптах до сих пор можно найти «tunnel_name=corbina», что как бы намекает, с каким провайдером он мучался.
* l2tp иногда отваливается (в последние годы — редко).
В логах роутера идут ошибки что-то типа «too many retransmit».
* После этого он иногда очень не сразу подключается (особенно в 21-22 часа, когда все пришли домой и l2tp сервера нагружены).
* В некоторых роутерах скорость через l2tp не поднималась выше 16 мегабит.
Был какой-то баг в l2tp модуле для ядра linux, который использовался в пакете xl2tpd.
Если использовать модуль от openl2tp, проблемы со скоростью не наблюдаются.
Но не всегда можно заменить модуль ядра в роутере.
* Ну и просто лишняя нагрузка на роутер.icCE
15.07.2015 22:27И скрипты писали и понимание делали к микротикам.
Рядом человек вообще писал настройку под Cisco, так как она у него была.
Но все равно, это все извращение — особенного когда есть провайдеры, которые дают все без этого.
Говорю как старый пользователь корбины/пчелайна. Но в одно прекрасно утро все задолбало и свалил :)
Methos
15.07.2015 00:35+11thanks
added to hosts
127.0.0.1 wifly.net
127.0.0.1 beeline.wifly.net
127.0.0.1 wiflyad.net
127.0.0.1 ru.wiflyad.net
KorDen32
16.07.2015 14:11Может стоит попробовать 0.0.0.0?
Methos
16.07.2015 17:26а как лучше?
KorDen32
16.07.2015 18:31Лучше 0.0.0.0, но в редких случаях может не работать. С 0.0.0.0 браузер сразу обрывает запрос, с 127.0.0.1 будет пытаться подключиться к localhost:80 — если у вас вебсервер стоит или еще чего, то запросы будут валиться на него, или же если не приходит сразу ответ что порт закрыт (такое происходит на винде и в частных случаях настройки iptables на линуксе) — браузер будет пытаться соединиться и будет долго крутиться кружок загрузки мол что-то не загрузилось, ожидание ответа сервера…
vshemarov
15.07.2015 00:39+4По опыту своих знакомых: если Билайн затегировать в Фейсбуке, то реагируют довольно быстро.
orosz
15.07.2015 09:17К сказанному vshemarov можно добавить:
1 блог М.Слободина в ЖЖ
2. Инстаграм Слободина
3. Твиттер Слободина
4. Твиттер Билайна
Disen
15.07.2015 07:09+4Скажем так — это не первый, и, вероятнее всего, не последний случай модифицирования трафика со стороны черно-желтых:
Билайн автоматически добавляет тулбар с поиском Mail.Ru
lamerman
15.07.2015 09:56+1То же самое было полтора года назад с их мобильным трафиком, написал в Роскомнадзор о том, что они вмешиваются в мой трафик и создают угрозу утечки персональных данных, на что получил ответ:
В соответствии с п. 5 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152ФЗ «О персональных данных» оператор вправе обрабатывать персональные данные без предварительного согласия субъекта персональных данных, в случае если обработка персональных данных необходима для исполнения договора, одной из сторон которого является субъект персональных данных. Таким образом, учитывая, что обработка Ваших персональных данных осуществляется ОАО «ВымпелКом» с целью исполнения заключенного между Вами договора на оказание услуг связи, сообщаем, что нарушений Ваших прав и законных интересов в области персональных данных в данном случае не усматривается.
В случае если у Вас имеется конкретная информация о нарушении ОАО «ВымпелКом» Ваших прав как субъекта персональных данных, Вы вправе повторно обратиться в Управление с приложением информации, подтверждающей указанные в Вашем обращении доводы, либо в суд в соответствии со ст. 3 Гражданского процессуального кодекса Российской Федерации за защитой нарушенных, либо оспариваемых Вами прав и свобод.
В итоге сменил оператора на Мегафон, за ним такого не замечал. Причем Билайн вставлял скрипт с багом, который появлялся на экране и из-за бага кнопка отключить не работала :) Да даже если бы работала, все равно бы поменял оператора.
m0Ray
15.07.2015 10:26+2На мегафоне полно других вмешательств. Блокировка отдельных протоколов (SIP, например), встраивание хедеров с номером телефона в HTTP-запрос… Я этого наелся и до сих пор его использую только потому, что в наших краях нет альтернатив. Вообще нет.
dibr51
15.07.2015 11:16+1встраивание хедеров с номером телефона в HTTP-запрос
Можно подробнее? Номер абонента? В каждый HTTP-запрос?m0Ray
15.07.2015 12:01+1Не в каждый. Только при открытии сайтов так называемых «контент-провайдеров». Некоторые сайты вообще невозможно использовать, сразу редиректит на страницу «оплатите наши услуги со счёта мобильного» и номер показывает. На некоторых просто висит навязчивый баннер с твоим реальным номером и балансом. Конкретную технологию не раскрывают, но, судя по поведению (редирект идёт сразу протоколом HTTP), это добавочный HTTP-хедер. Ну, может быть и модификация куков, конечно, но это сложнее да и зачем?
bougakov
15.07.2015 14:56+1Это именно HTTP-заголовок с MSISDN абонента. Оно используется не только (и не столько) для контента — а для авторизации.
Например, я организовывал систему сбора отзывов о качестве связи — IP-адрес серверной части приложения заносился в список сайтов, для которых при GPRS-соединении добавлялся этот заголовок. Плюс, до кучи, выставляли нулевую тарификацию трафика на этот IP.
Сответственно, на клиенте вам не надо городить никакую авторизацию — вы просто знаете, от какого абонента пришёл HTTP-запрос.
Штука простая, но включается строго по whitelist IP-адресов и URL (и СБ требует, чтобы физически сервер стоял в ДЦ оператора).m0Ray
15.07.2015 16:00+2Благодарю за пояснение.
Ну, итог закономерен: некоторые особо жадные сервисы начали использовать это для вымогательства денег. Мол, раз мы про вас уже всё знаем и денежки у вас водятся, гоните их немедленно, а то файл не отдадим/новость не покажем. А вот анонимусу из TOR-а отдадим/покажем, потому что ой. Это и бесит.
constnw88
15.07.2015 11:56Блокировка отдельных протоколов (SIP, например)
Без проблем использую рабочий SIP-аккаунт sip.net на смартфоне с симкой Мегафона. Как через родной клиент HTC, так и через МультиФон для Android (использую в роуминге с местными сим-картами, но попробовал ради интереса).
встраивание хедеров с номером телефона в HTTP-запрос
Все этим грешат. Yota и Tele 2 в расчет не беру, в Карелии первые только появились, у вторых нет ни 3G, ни LTE.m0Ray
15.07.2015 12:04С мегафона без включенной услуги «мультифон» SIP блокирован. Проверял неоднократно на множестве устройств, когда заводил свой SIP-сервис. А «мультифон» сам по себе платный, что всё объясняет.
Ну а модификация незашифрованного HTTP — это, конечно, само по себе нехорошо, но делать так, чтобы нельзя было бесплатно пользоваться сайтами, которые через других операторов открываются нормально — это совсем отвратительно.
ErgoZru
15.07.2015 13:08у меня только пакет инета подключен, сип работает, каждый день пользуюсь, ЧЯДНТ?
m0Ray
15.07.2015 13:32Возможно, у вас в другом регионе другие правила. У нас, в Поволжье, SIP работает только с подключенным «мультифоном», проверено неоднократно. С других операторов — да, только инет нужен.
constnw88
15.07.2015 15:15С мегафона без включенной услуги «мультифон» SIP блокирован.
Не припомню, что использовал первым. Спорить не стану, потому что не знаю.
А «мультифон» сам по себе платный, что всё объясняет.
Платные звонки, но абонентской платы нет. Никто не заставляет вас звонить через него в обязательном порядке. Подключил и забыл.m0Ray
15.07.2015 15:55+1Пардон, забыл уже в чём подвох был. Сама услуга действительно бесплатная, но пакетный интеренет переставал действовать и включались дефолтные конские цены за мегабайт (7 рублей, по-моему). По крайней мере так было год назад в нашем регионе, когда мы плясали с бубном вокруг нашего сервиса SIP/TLS+SRTP. В итоге отказались от поддержки клиентов с Мегафона вообще, столько неудобств эта компания доставила и нам, и абонентам. Впрочем, понятно зачем: чтоб пользовались только «мультфоном» и на сторонние сервисы и смотреть боялись.
constnw88
15.07.2015 17:34У меня пакетный тариф, никаких казусов не возникало. Впрочем, возможно раньше ситуация была иная и тогда еще использовал БиЛайн.
FloppyFormator
15.07.2015 14:50Модификация заголовков HTTP это достаточно мягкий вариант вмешательства (так делают многие прокси), а встраивание скрипта в тело ответа — уже перебор.
icCE
15.07.2015 13:02>В итоге сменил оператора на Мегафон, за ним такого не замечал.
Вы просто этого не видите.
Тут BeeLine вам показывает, а мегафон молча вставляет скрипты в html трафик.
Статьи на habre пролетали.
msfs11
15.07.2015 15:04Пока у нас нет доказательств использования ПД нет — Роскомнадзор формально прав. Жаль, что РКН не предотвращает злоупотребление. Кстати, я не нашел в законе «О связи», что оператору запрещено изменять трафик абонента.
grossws
15.07.2015 19:04Такого ограничения там быть и не может. Т. к. это автоматически запретит даже работу роутеров (т. к. меняются, как минимум, MAC-адреса в ethernet frame'ах).
john_samilin
15.07.2015 10:19А еще они каким-то чудесным образом стали навешивать на любую страницу ссылку на личный кабинет (даже если использовать планшет/телефон в качестве роутера). В ТП настаивают на том, что это некая уникальная возможность, которая прямо-таки нужна всем. В личном кабинете ссылка «отключается», но при этом на каждую страницу продолжает подгружаться css, который изменяет внешний вид всех тегов button
Aquahawk
15.07.2015 12:32Долбите поддержку, мне после нескольких звонков помогло. Отключали поэтапно, но в итог всё чисто.
TheRaven
15.07.2015 12:34Это где такое? Мобильный интернет? На домашнем проводном не наблюдал подобного.
Viacheslav01
15.07.2015 12:38+1Официальный комментарий билайна будет в духе «Как мы обеспечивали связь для членов собрания фиг его знает кого фиг его знает где».
Из личного опыта, заставить оператора связи вести себя «корректно» очень сложно!
linqu
15.07.2015 12:45Немного не в тему, но у меня смежная проблема с домашним провайдером: недавно обнаружил что они почему-то подменяют адреса google (судя по всему — на свои прокси). Попадает ли такая подмена (и перехват dns запросов) под какие-либо статьи? Да и вообще как с ними лучше бороться?
ascending
15.07.2015 14:14Гугл сам провайдерам ставит свои коробки для кэширования ответов, скорее всего это вы и наблюдаете
Mishok2000
15.07.2015 21:05Почему-то, я не удивлен. Хотя с этим нужно пытаться бороться, этого я не отрицаю.
lexore
16.07.2015 00:07+4Ув. сотрудники Билайна, которые это читают, обращаюсь к вам.
Как вы можете заметить, в этом топике довольно мал процент людей, которые стали поносить и неистово ругать Билайн.
На мой взгляд, это заслуга положительной репутации, которую Билайн заслужил своими делами (а не топиками «какие мы классные»).
Эту репутацию сложно заслужить и легко профукать.
Очень не рекомендую думать в стиле «с каждым новым действием вякают все меньше», особенно на этом ресурсе (где умеют придавать огласке интересные новости).
На мой взгляд, хорошая репутация может принести куда больше прибыли, чем встраивание левых рекламных скриптов втихушку (а так же в нарушение законов).
gre
16.07.2015 09:17+2Странно, что автор не написал апдейт, хотя ему Билайн в твиттер ответил 19 часов назад.
@icce Здравствуйте! Нажмите "Начать пользоваться" и после нажмите на иконку кабинета и заблокируйте на время или навсегда. #билайн
— Билайн (@Beeline_RUS) 15 июля 2015
@neptunix @icce А ещё можно набрать команду *110*364#. :) #билайн
— Билайн (@Beeline_RUS) 15 июля 2015
Ну немного информации по приведённой команде:
- «Мини-кабинет» – это сервис самообслуживания в браузере, с помощью которого можно узнавать баланс, остаток интернет трафика, управлять услугами связи и менять тарифные планы, а также получать ссылки на полезные сервисы от «Билайн»
- Использование сервиса бесплатно, интернет-трафик не тарифицируется
- Услуга предоставляется абонентам только в филиалах Оператора Северо-Западного региона: Петрозаводском, Архангельском, Вологодском, Мурманском, Новгородском, Псковском, Санкт-Петербургском
- Данная услуга не предоставляется в роуминге
- Услуга доступна только для абонентов использующих Браузер Safari версии 6 и выше на мобильных устройствах c iOS, Браузер Chrome версии 30 и выше на мобильных устройствах с операционной системой iOS и Android, а также Браузер Internet Explorer версии 9 и выше на персональном компьютере с операционной системой Windows, Браузер Safari версии 6 и выше на персональном компьютере с операционной системой MAC OS и Браузер Chrome версии 30 и выше на персональном компьютере с операционными системами Windows и MAC OS при использовании USB-модема с телефонным номером «Билайн»
lexore
16.07.2015 12:07Есть одно маленькое «НО».
Мини-кабинет - это мобильный билайн
givtone
16.07.2015 13:11-4У нас нет и не будет планов по перехвату и анализу вашего траффика. Но есть желание информировать о новых акциях и предложениях, оповещать в случае Ч/С, плановых работ или аварий. Само собой, эту функцию можно отключить. Но все же я думаю, что гораздо эффективнее увидеть один маленький баннер с хорошей или действительно важной новостью, чем получать нетаргетированный спам на телефон.
То, что произошло – исключительно человеческий фактор. Кроме сотрудников в тест попали и абоненты. Как говорится, shit happens, и это полностью наша вина.
Автору antonre и всем участникам дискуссии большое спасибо за отзывы. После такого feedback'а, задумались, а стоит ли вообще запускать систему оповещения.lexore
16.07.2015 13:52+5Но есть желание информировать о новых акциях и предложениях, оповещать в случае Ч/С, плановых работ или аварий.
Для того, чтобы запустить систему баннеров или оповещения, достаточно в нужный момент отдавать 302 редирект на требуемую страничку.
Обычный Captive portal.
Для этого не нужно постоянно вставлять js во все странички.
Но все же я думаю, что гораздо эффективнее увидеть один маленький баннер с хорошей или действительно важной новостью, чем получать нетаргетированный спам на телефон.
Простите, но это уже слишком толсто.
Так много спорных утверждений в одном предложений.
> я думаю
> эффективнее
> с хорошей
> важной новостью
> спам на телефон
Для хороших и важных новостей есть email с ссылкой «отписаться».
Конечно, если абонент давал согласие на получение рекламных сообщений.
Сейчас встраивается js код с серверов третьей стороны.
И хочу напомнить, что сторонний js код может:
— сливать данные, введенные в поля ввода;
— перехватывать cookie;
— подменять ссылки;
Поэтому, на текущий момент, встраивание js:
— нарушает законы и положения лицензии на передачу данных;
— дает третьему лицу (ООО «Рубик про», владельцу WiFly) доступ к данным пользователя (просматриваемым и вводимым);
— нигде не афишируется (в том числе, не указано, как это отключить);
А за это уже бывает атата.
antonre Автор
16.07.2015 15:47Думаю, это не очень хороший метод оповещения. Как с юридической, так и с технической точек зрения. Неужели у вас нет толковых разработчиков/архитекторов, которые могут сделать такую систему технически грамотно? Могу посоветовать)
babay88
22.07.2015 01:05это весьма убогое оправдание.
может быть у вас и есть желание информировать об акциях. но для этого следует получить разрешение абонента на такое информирование.
вы спросили у клиента, хочет ли он видеть ваше «информирование»?
Drag13
16.07.2015 16:13+1Меня всегда удивляла позиция государства в таких вопросах. На абсолютно законных и справедливых основаниях можно и бюджет пополнить, и имидж поднять среди населения. Но нет, все или молчат, или тихо берут в свой карман…
NickKolok
21.07.2015 18:35Закидывайте РКН обращениями, не стесняйтесь. Они же для граждан, т. е. для нас, должны работать? Вякаем, товарищи, не стесняемся. Даже если заранее известно, что текущему законодательству это не противоречит.
lair
Простой вопрос: зачем это делать на роутере (да еще и сервить с него)?
antonre Автор
Думаю, чтобы была возможность обновлять скрипт (если понадобится) вместе с прошивкой
lair
Намного проще это делать с сервера, через который проходит трафик.
miragenn
Для этого нужен очень мощный сервер.
icCE
Для анализа уже давно переходят на GPU. Яркий пример сурикат.