Рекламные баннеры Ростелекома и как с ними бороться / forpes.ru

Главная
Рекламные баннеры Ростелекома и как с ними бороться

Рекламные баннеры Ростелекома и как с ними бороться +64

22.03.2020 05:18

Bytexpert 113 26700 Источник

Многим уже известно, что Ростелеком при поддержке Mail.ru начал внедрение своих рекламных баннеров на сайтах не защищённых протоколом HTTPS. Защититься от их появления на своём сайте можно переводом его на HTTPS. Но что делать, если у вас нет такой возможности или для вас это слишком трудоёмко? Я провёл своё небольшое исследование и хочу поделиться простым и пока ещё эффективным способом против этой заразы.

На Хабре уже были расследования на эту тему и я опирался на них:

Известно, что баннеры внедряются путём подмены оригинального JavaScript файла на вредоносный через редирект. А уже он вставляет на страницу сайта баннер и загружает оригинальный файл. Таким образом, при проверке на вирусы невозможно сразу обнаружить как на сайте появилась реклама, т.к. оригинальные файлы не изменяются, а редирект выполняется с определённым интервалом и обнаружить его достаточно сложно.

Для исследования нужен сайт работающий по протоколу HTTP и содержащий JS файлы. В качестве примера я взял сайт Музеи Кирова. С некоторой периодичностью на нём можно наблюдать баннеры.

Я написал специальную утилиту. Она делает запрос по определённому URL через равные промежутки времени и сравнивает полученное содержание с предыдущим. Если содержание ответа отличается — оно сохраняется для изучения. При анализе запросов к небольшому скрипту http://muzey43.ru/js/script-eye.js обнаружилось, что всегда возвращается одинаковое содержание — редиректа нет.

Тогда каким образом появляется баннер? При изучении исходного кода сайта обнаружился ещё один JS файл, который загружался по HTTP, но с другого хоста: http://ajax.googleapis.com/ajax/libs/jquery/1.7.0/jquery.min.js. При анализе этого запроса периодически наблюдаем получение содержания вредоносного файла.

Из скриншота видно, что вредоносное содержимое загружается приблизительно два раза в минуту, но могут быть и недолгие перерывы в работе редиректа. Содержимое зловреда каждый раз меняется путём обфускации кода и содержит ссылку на оригинальный скрипт.

Скорее всего, существует некий «белый список» хостов, JS редирект для которых запрещён. Например, сайт Министерства культуры Кировской области. Несмотря на то, что он работает через HTTP протокол, баннеры на нём не появляются. А вот на сайте Музеи Кирова баннер присутствует, хотя редиректа для его скриптов и нет, но через редирект скрипта с другого хоста в него внедряется баннер. Чтоб устранить уязвимость в данном случае, скорее всего, достаточно запрашивать файл по HTTPS протоколу, т.е. просто заменить URL скрипта на

https://ajax.googleapis.com/ajax/libs/jquery/1.7.0/jquery.min.js

Но что делать, если ваш сайт не в «белом списке» и нужно использовать собственные скрипты? Я обнаружил простой способ избежать JS редиректа. Достаточно в URL скрипта добавить произвольный параметр: https://ajax.googleapis.com/ajax/libs/jquery/1.7.0/jquery.min.js?banner=off и редирект выполняться не будет.

Вероятно, это сделано, чтоб редирект не нарушал работу сложных динамических JS сайтов, либо нужные файлы просто определяются по расширению .js. Но в любом случае, достаточно дописать к URL-ам скриптов на страницах вашего сайта случайные параметры и рекламные баннеры Ростелекома на нём появляться не будут.

P.S. Как верно указывают в комментариях, самым правильным решением для владельцев сайтов будет переход на HTTPS, тем более что сейчас некоторые хостинги предлагают установку бесплатного сертификата прямо из панели одной кнопкой. Ведь завтра Ростелеком легко может подкрутить алгоритм редиректа и решение приведённое выше перестанет работать. А просто блокировка редиректа фильтром на клиенте, как некоторые предлагают, сможет решить проблему только клиента — баннера не будет, но не будет и подстановки скрипта который он подменил и при этом функционал сайта может пострадать.

Комментарии (113)

CyclusVitalis
22.03.2020 08:43
#21414474
+2
Можно еще написать заявки во все блокировщики рекламы на бан
http://p.analytic.press/ http://r.analytic.press/
и (так как домен еще активен)
http://p.analytic.host/ http://r.analytic.host/
А то сейчас реклама от mail.ru блокируется, но скрипты ее вызывающие свободно выполняются на открытых сайтах.
1. Ded_Keygen
  22.03.2020 10:43
  #21414674
  Первые два хоста uBlock Origin блокирует через список AdGuard Tracking Protection. Но этот список в дефолтной установке не включен, надо включать вручную.
  1. CyclusVitalis
    22.03.2020 11:25
    #21414752
    Спасибо за информацию!
    Смотрел как-то списки фильтров в uBlock Origin, но не нашел этих доменов. Видимо криво просматривал.
1. Bytexpert Автор
  23.03.2020 02:26
  #21417328
  Основную проблему блокировки подменяющего скрипта дописал в PS к статье. Для посетителя сайта это проблему решит — да, баннер показан не будет. Но в этом случае не будет загружен и оригинальный скрипт, который зловред заблокировал, т.к. он кроме рекламы вставляет на страницу и скрипт, который подменил. В этом случае сайт потеряет функциональность, т.к. нужный скрипт не будет загружен.
  1. CyclusVitalis
    23.03.2020 03:35
    #21417370
    Я, как простой пользователь, а не владелец сайта, решаю проблему подмены скриптов со своей стороны доступными средствами. У меня нет желания запускать подставляемые скрипты с непонятным функционалом.
    
    P.S. Идея для браузерного расширения, чтобы пользователь не терял функционал, если владелец сайта о пользователе не побеспокоился: Если на странице есть вызов скрипта по http протоколу и у скрипта нет параметров, то добавить параметр при вызове.

wxmaper
22.03.2020 08:47
#21414480
+1
В моих тестах зловредная реклама встраивалась даже на пустой странице с одним лишь пустым тегом script в котором не указана ссылка на источник.
1. Bytexpert Автор
  22.03.2020 08:49
  #21414482
  Да, я тоже проводил такой эксперимент — всё так. Пустая страница и баннер.

adictive_max
22.03.2020 09:01
#21414510
А они таким образом никаких законов не нарушают, случаем? Понятно, что отстоять это в суде будет проблематично, но хотя бы в теории?
1. Tsvetik
  22.03.2020 09:56
  #21414592
  +7
  Вероятно,
  УК РФ Статья 272. Неправомерный доступ к компьютерной информации
  1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, — наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.
  
  2. То же деяние, причинившее крупный ущерб или совершенное из корыстной заинтересованности, — наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок.
  
  3. Деяния, предусмотренные частями первой или второй настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, — наказываются штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок.
  
  Статья 273. Создание, использование и распространение вредоносных компьютерных программ
  
  1. Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, и т.д.
  
  Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей
  (в ред. Федерального закона от 07.12.2011 N 420-ФЗ)
  
  1. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее
  1. vp7
    22.03.2020 11:31
    #21414774
    -1
    Не подпадает — они не вносят изменения в "компьютерную инофрмацию", т.е. не вмешиваются в работу вашего или чего-то ещё компьютера.
    
    Они вмешиваются в транзитный трафик, который пользователь самостоятельно прогоняет через их оборудование.
    И уверен, что прикроются либо "внесение изменений, необходимых для осуществления транзита" (посудите сами — они и NAT должны делать и ethernet заголовки править, иначе пакет просто не пройдёт, либо "ПО было атаковано неизвестными хакерами, которые настроили систему для помены трафика. уголовное дело в отношение неустановленных хакеров заведено".
    
    На самом деле грустно это всё.
    И ещё один повод для принудительного перехода на HTTPS даже там, где это, на первый взгляд, нафиг никому не надо.
    
    AVL93
    22.03.2020 15:38
    #21415532
    +2
    Неужели оператор связи не несет ответственности за целостность передаваемых данных? В этом ведь и есть смысл его существования и основная услуга за которую он деньги от клиента получает
    
    kolabaister
    22.03.2020 15:47
    #21415560
    +2
    Я разорвал договор с ростелекомом после того как заметил такие баннеры у себя на мониторе. Тогда мне перезванивал специальный уговаривательный человек, который прямым текстом говорил что я могу жаловаться и «ну все же операторы этим занимаются, куда вы пойдете».
    
    saege5b
    22.03.2020 20:48
    #21416526
    Опсосы напропалую подписывают на левые платные подписки.
    и как бы, всем пофиг.
    А уж мелкие шалости с байтиками в потоке…
    
    Crazyvlad
    23.03.2020 08:31
    #21417612
    +1
    Нет, не несёт. Почитайте договор внимательно.
    Ни один isp не гарантирует целостность передаваемых данных. Так как это технически не возможно.
    
    Lennonenko
    24.03.2020 16:33
    #21423364
    хех, я когда жаловался второй линии на низкую скорость на некоторые хосты, мне сказали «вот спидтест до ростелекома, что вам ещё надо?»
    
    Areso
    22.03.2020 19:14
    #21416160
    +1
    Подсовывать чужие скрипты явно не является необходимостью...
    
    vp7
    23.03.2020 10:48
    #21418080
    Мы все и так пониманием, что это явный перебор.
    Вопрос-то изначально был в другом — что можно с этим сделать с юридической точки зрения.
    
    С моей точки зрения — практически ничего.
    Первым делом вы задолбаетесь доказывать, что это делает именно ростелек, а не, к примеру, исходный сервер.
    
    Давайте рассмотрим теоретически — вы утверждаете, что ростелек вносит изменения в ваши скрипты с jQuery, ростелек утверждает, что это не они.
    Вы через суд требуете экспертизу.
    Суд назначает… произвести выемку серверов, на которых лежит jQuery для анализа кода и отдаваемых данных. Дальше продолжать? :)))
    
    Берём более простой случай — данные подменяются в выдаче вашего сайта mysite.ru. Он находится на физическом сервере, принадлежащем вам.
    Вы отдаёте ваш сервер на судебную экспертизу, через 3-6 месяцев (хотите быстрее? а вы сможете быстрее проверить всё, включая бинарные библиотеки операционной системы?) «на основе находящейся на серверах информации — данные выдаются без подмены».
    Вопрос суда (С) — озачает ли это, что подмену делал ростелек?
    Ответ эксперта (Э) — нет, отсюда этого не следует
    С — как могла происходить подмена?
    Э — подмена могла производиться предыдущей версией ПО, установленной на сервере, подмена может проводиться транзитными операторами, любым из 5 транзитников
    
    Дальше продолжать?
    Вы споткнётесь на первом же пункте — на доказательстве, что подмену делает именно ростелек.
    
    sumanai
    23.03.2020 13:09
    #21418724
    Вопрос-то изначально был в другом — что можно с этим сделать с юридической точки зрения.
    
    Для начала захватить власть в стране.
    
    itl
    23.03.2020 02:07
    #21417288
    В этой ситуации я лично вижу 2 потенциальных нарушения.
    
    1. Ростелеком не имеет права модифицировать данные чужих сайтов. Они не имееют на это согласия владельцев сайтов и не передают им часть прибыли. Возможно эти действия похожи на то, что они пользуются чужой собственностью с целью извлечения прибыли.
    
    2. Получатель услуги (абонент) не давал согласия на модификацию трафика, а именно показ рекламы там, где ее быть не должно.
    
    Не юрист, возможно меня поправят.
    
    Crazyvlad
    23.03.2020 08:13
    #21417590
    +1
    Хм.
    
    РТК и не модифицировал данные. Он добавлял свои данные. Аргумент скользкий, но обычно прокатывает.
    
    А вы внимательно читали договор? Скорее всего там есть пункт о согласии абонента получать рекламу и таким образом.
    
    Fenzales
    23.03.2020 14:20
    #21419138
    РТК и не модифицировал данные. Он добавлял свои данные.
    Так это и есть модификация данных, разве нет?
    
    itl
    23.03.2020 14:26
    #21419174
    Я говорю не о модификации, как таковой. Хотя это тоже есть.
    Представьте, например, в музее картине Рембрандта добавили новую фигуру.
    
    Посмотрите на это с другой стороны.
    Допустим вам в метро будут лепить на спину баннер, без вашего ведома и согласия.
    При этом неплохо зарабатывая на этом.
    
    Andrey_Green
    24.03.2020 16:14
    #21423270
    Это явно нарушение Закона о Рекламе. И получение выгоды неправомерной методом целенаправленной модификации данных, путем инкапсулирования в пакет данных их рекламного дерьма.
    Заявление В ФАС и Роскомнадзор. С подробным описанием.
    Надо посмотреть как будут выкручиваться.-) а так, только поголовное распространение этой информации и демотиваторы на тему Ростелесрам
    
    DerRotBaron
    23.03.2020 03:13
    #21417358
    Не подпадает — они не вносят изменения в "компьютерную инофрмацию", т.е. не вмешиваются в работу вашего или чего-то ещё компьютера.
    С точки зрения здравого смысла JS как раз таки является программой (точнее ее частью), которая выполняется на моем компьютере. С 272 тут можно отмазать, но вот 273 уже подгоняется довольно неплохо.
    Но юристы наверняка смогут натянуть обратное. А если и нет, то для ростелека это спустят на тормозах
    
    vp7
    23.03.2020 10:53
    #21418108
    Вы просто неверно трактуете статьи.
    Обе статьи направлены на данные, хранящиеся в вашем компьютере.
    Более того, они рассматривают неправомерный доступ к этим данным, т.е. вы не хотели, чтобы кто-то эти данные увидел, а они их увидели и нанесли вред.
    
    А тут речь идёт про те данные, которые передаются по сетям электросвязи.
    Во-первых, они уже не хранятся на вашем компьютере и статьи неприменимы.
    Во-вторых, доступ правомерный, т.к. по вашему указанию сеть оператора обеспечивает транзит трафика.
    А нигде ничего не сказано о возможностях изменять этот трафик.
    
    Поэтому операторы добавляли, добавляют и будут добавлять всякий мусор до тех пор, пока не появится отдельная статья, описывающая работу с транзитом трафика.
    
    Andrey_Green
    24.03.2020 16:21
    #21423308
    А вы значит правиль ТРАКТУЕТЕ СТАТЬИ ???
    _)))
    Ну давайте немного посмеемся.
    Цитирую: «по вашему указанию сеть оператора обеспечивает транзит трафика.
    А нигде ничего не сказано о возможностях изменять этот трафик.»
    Вы понимаете под транзитом что? Взял, поиздевался, изнасиловал, выбил глаз, отпустил (или выбросил из машины) домой и сказал ЧТО ТАК И БЫЛО?
    или чета ЗдесЯ не так?
    Давайте вы тоже определитесь.
    «Транзит» — ваше определение
    и«возможнсоть изменять трафик» — у вас синонимы, это мы уже поняли.
    Но это крайне не вяжется ни с УК ни с ГК.
    Готовы доказать обратное?
    
    vp7
    24.03.2020 16:37
    #21423382
    Вы понимаете под транзитом что?
    
    Вы верно мыслите — в законах такого понятия нет (или я в такой формулировке не видел), а раз нет, то и наказания не предусмотрено. Точнее есть там кое-что о передаче данных, но нет ничего, связанного с (не)модификацией передаваемой информацией (если я ошибся, то дайте ссылку на конкретные статьи).
    
    Я смотрю на эту ситуацию по другому — есть понятия «в соответствии с буквой закона» и «по совести».
    Суды наши работают в соответствии с буквой закона (и могут выборочно в разных местах применять разные «букву». что есть, то есть) и я считаю, что текущая формулировка указанных законов не позволяет как-либо наказать «эффективных менеджеров», которые решили пихать рекламу в абонентский трафик.
    
    Не согласны?
    Буду ОЧЕНЬ рад ошибиться.
    Подавайте в суд, держите в курсе, все будут только «за» вас.
    
    А пока оператора наказать можно только «рублём», когда недовольные абоненты уйдут к конкурентам. Это если есть куда уходить…

Scratch
22.03.2020 09:17
#21414532
На дворе 2020 год, прикрутить HTTPS можно бесплатно! У браузеров в планах вообще запретить обращение к сайтам без шифрования. Мне кажется тут наоборот надо сказать спасибо чудакам из ростелекома, за то, что наглядно показывают последствия безалаберности админов.
1. kovserg
  22.03.2020 10:58
  #21414706
  -2
  Тогда придётся ставить вам расширения для браузера, для «доступа к госуслугам», «иначе отключим газ»
  www.youtube.com/watch?v=I9dckx73vdI
  1. JerleShannara
    22.03.2020 13:30
    #21415090
    Тогда почему огнелис мне говорит, что госуслуги он мне открыл по https и на них валидный сертификат, подписанный Comodo?
    
    kovserg
    22.03.2020 14:35
    #21415282
    Вы видимо не поняли. Можно любой сайт и по https и с любым сертификатом увешать рекламой и логировать все действия, пароли и даже записывать видео со звуком.
    
    Vindicar
    22.03.2020 19:51
    #21416306
    Только если сертификат сайта (или вышележащий) утек/подменили.
    Почему, собственно, все напрягаются когда заходит речь про список корневых сертификатов (точнее, про установку туда чего-либо).
    
    kovserg
    22.03.2020 20:20
    #21416384
    Вы используете браузерные расширения?
    
    JerleShannara
    23.03.2020 00:45
    #21417148
    Нет, не использую.
    
    kovserg
    24.03.2020 10:52
    #21422000
    Судя по минусам. Вы единственный. Остальные плотно используют.
    
    pae174
    23.03.2020 22:30
    #21416830
    > Только если сертификат сайта (или вышележащий) утек/подменили.
    
    Ещё в случае если между юзером и сайтом вклинился SSL Strip и юзер это не просёк. Для защиты от такой напасти есть HSTS Preload, но Госуслуги как раз его не используют.
    
    Wingtiger
    23.03.2020 10:19
    #21417948
    минкомсвязь давно суёт серт на нужных бухгалтерии сайтах, это не оно?
    
    JerleShannara
    23.03.2020 00:45
    #21417146
    Тоесть вы утверждаете, что взлом на лету RSA и прочей криптографии вполне себе возможен для почти любого провайдера? Вариант с «установите наш корневой сертификат» я естественно не рассматриваю, т.к. такое будет делать только клинический идиот, который в криптографии и безопасности ничего не понимает.
    
    Doctor5772
    23.03.2020 11:26
    #21418218
    Обрадую (нет) вас. Тут недавно подключили интернет на многие «социально-значимые объекты», особенно в регионах. И интернет у них идёт через ресурсы Ростелекома, со своим «прокси-сервером для контент-фильтрации» и корневым сертификатом. Притом не важно кто физически оператор, просто прокидывается L2\аналоги до сети РТК. Такую систему всё-таки постепенно вводят и тестируют.
    
    JerleShannara
    23.03.2020 14:43
    #21419258
    Тоесть получается, что на таком объекте у меня у google.com будет сертификат, выданный RosKomPozor? Если так, то очень печально, особенно если оно блокирует всякие порты типа 500/4500 и далее.
    
    Doctor5772
    23.03.2020 15:00
    #21419338
    -1
    Не довелось трафик рассмотреть, увы, но я принимал участие в настройке нескольких таких «объектов», и уверен что без «сертификата» сайты не открываются. Так что скорее всего да, там mitm идёт, что в целом то правильное решение для блокировки конкретных страниц, а не всего сайта сразу. Могу с уверенностью сказать что подвержены влиянию учебные заведения.
    
    sumanai
    23.03.2020 21:29
    #21420606
    Лучше сайт по IP блокировать, чем взламывать трафик. Тут и результат работы РКН сразу виден, и безопасность в порядке.
    
    Doctor5772
    24.03.2020 07:58
    #21421532
    Я не поддерживаю блокировки, а пытаюсь рассудить с точки зрения «контент-фильтрации», которую навязывают нам. Понятное дело что любые блокировки — зло. Информация должна распространяться, иначе прогресс будет сильно заторможен
    
    sumanai
    23.03.2020 21:28
    #21420604
    Если так, то очень печально
    
    Если это так, то оно работать не будет, у гугла сертификаты прибиты в хроме.
    
    Andy_U
    24.03.2020 10:15
    #21421876
    Если он не «корпоративный».
    
    Wingtiger
    24.03.2020 11:03
    #21422028
    какие именно? С какой-то версии (довольно давно) хром стал брать сертификаты из хранилища винды. Либо Вы говорите о чём-то таком, до чего я не добирался
    
    sumanai
    24.03.2020 18:32
    #21423892
    Берёт то берёт, но на свои сайты и некоторые другие серты вшиты в исходники. К сожалению статью сейчас найти нее могу.
1. shaggyone
  22.03.2020 13:33
  #21415100
  +1
  Проблема скорее всего с упомянутыми сайтами местечковых музеев, кружков макраме и т.п., написанных 100 лет назад чьим то сыном школьником. Совсем отказаться от них не получится, т.к.что на таких старых сайтах ценный, и, при не шибкой его популярности, уникальный контент. Перевести всё на https, тоже вряд для всех получится реализуемо, т.к. основные затраты будут не на саму работу, а на её организацию.
  1. Revertis
    23.03.2020 22:56
    #21416904
    Можно включить банальный CDN, который даст HTTPS.
1. vehicross
  22.03.2020 15:15
  #21415448
  +2
  Извините за такую аналогию, но в данном случае обкладывание сертификатами походит на вставляние пробки в одно место для защиты от лося. Не поймите неправильно, я всеми руками за HTTPS (на работе в любом вновь разворачиваемом сервисе с веб-интерфейсом, независимо от его критичности, обязательно настраиваем HTTPS). Но в данной ситуации надо лечить заболевание, а не симптомы. И здесь, наверное, действительно, УК нам в помощь.
  Просто иначе в какой-то момент нам начнут подсовывать что-то покруче, например, MRG вспомнит былое и начнет пихать Амиго/whateverelse через уязвимости в пользовательском ПО.
  1. interprise
    23.03.2020 00:48
    #21417154
    Так https и лечит болезнь. Поменяйте провайдера ростелекома на открытую wifi сеть и все идет по новой.
    
    vehicross
    23.03.2020 10:19
    #21417958
    Нет, на мой взгляд, в данной ситуации https это как маски в борьбе с коронавирусом — защищают, но не лечат. Дискуссию об эффективности защиты предлагаю не поднимать.
1. Wingtiger
  23.03.2020 10:18
  #21417942
  хостингер.ру наоборот, сертификат сделали платным. Либо можно его бесплатно обновлять руками.

verstoff
22.03.2020 09:21
#21414542
Для владельцев ресурсов — однозначно https.

Для клиентов — после звонка в поддержку отключают рекламу.
В моем случае были еще редиректы эротического характера — проблема была в их ONT-терминале, после сброса настроек все решилось. Пароли на нем по-умолчанию и без танцев с бубном не меняются.
1. Kostushko
  22.03.2020 17:32
  #21415846
  +1
  Я клиент ростелекома, баннерную рекламу мне отключили по заявлению в техподдержку 1-2 марта, вчера 21-го марта у меня вновь показываются баннеры. Так что есть подозрение что отключение рекламы временное, будет как с мобильными операторами — отключить всякую пакость можно, но они включат под любым предлогом снова.
1. IvanSCM
  22.03.2020 18:28
  #21415984
  +1
  Я клиент, пришла отписка на почту «приняли в работу», а воз и ныне там. Завтра отключусь.

pr0l
22.03.2020 10:08
#21414616
CF бесплатен и работает проксей которая заведет в https твой http трафик
1. sumanai
  23.03.2020 13:11
  #21418740
  Пока конечно же сам CF не начал чего пихать.

CoolCmd
22.03.2020 10:10
#21414624
CSP в этом случае не поможет?
1. namikiri
  22.03.2020 10:53
  #21414692
  Если соединение не защищено, все заголовки CSP отрезаются с таким же успехом
1. CyclusVitalis
  22.03.2020 11:30
  #21414772
  +1
  Может помочь, но для этого нужно быть владельцем сайта. А если вы владелец сайта, то лучше перевести свой сайт на https.
  1. mikhailian
    22.03.2020 13:19
    #21415060
    -2
    HTTPD — это лишняя нагрузка и лишние задержки. Новостным сайтам или архивам оно не нужно.
    
    SagePtr
    23.03.2020 06:12
    #21417488
    Что если злоумышленник вклинится где-то посерёдке и начнёт раздавать фейковые новости вместо настоящих? А если живёте в России, то можете за это попасть на штраф от Роскомнадзора, или даже в тюрьму (если отдаваемые злоумышленником данные на вашем сайте будут нарушать законодательство, но вы не сумеете доказать свою непричастность к ним)

namikiri
22.03.2020 10:47
#21414680
+10
Как бороться с баннерами от Ростелекома? По возможности не подключать Ростелеком. А если вам звонят и предлагают что-то из их услуг, тонко намекните оператору, что РТК поступает подло и гнусно, подсовывая рекламу. Можно попросить рассказать об этом начальству.
1. saipr
  22.03.2020 12:05
  #21414872
  Как бороться с баннерами от Ростелекома?
  Вообще-то это вторжение в частную жизнь, жилище, как угодно называйте. Я не приглашал к себе тем более Ростелеком (наелся его услугами, будь то телевидение или домашний телефон). За это надо наказывать. Интересно что думает ФАС?
  1. d-stream
    22.03.2020 13:06
    #21415032
    На тех же госуслугах есть сервис «заявление о нарушении законодательства о рекламе», но там достаточно жесткий порог в виде заполнения формы.
    
    SvyatoslavMC
    22.03.2020 18:14
    #21415940
    +1
    О, я переступал этот порог по другим вопросам. В ответе они укажут, что нужны доказательства, свидетели… короче надо сделать работу за них, а только потом обращаться.
    
    d-stream
    23.03.2020 11:02
    #21418136
    +1
    С другой стороны, не будь этих порогов — можно тупо заддосить и орган и «жертву».
    Но если все-таки преодолеть эти пороги — куснет спамера нехило (размеры штрафов для юрлиц приличные [хотя для рт — что слону дробинка]).
1. sbanger3000
  23.03.2020 02:07
  #21417290
  я предположу, что в данной ситуации эту проблему лучше решать владельцам сайтов, на которых рт незаконно инжектит свою рекламу.
  1. Bytexpert Автор
    23.03.2020 02:09
    #21417292
    Для владельцев таких сайтов я и написал эту статью, те у кого сайты на HTTP и как можно, пока это работает, заблокировать показ такой рекламы.
1. sumanai
  23.03.2020 13:16
  #21418772
  По возможности не подключать Ростелеком.
  
  Когда Магомед не идёт к горе… Моего прова РТ тупо купил. В итоге выбор между этим купленным, самим РТ, дом ру и… И кажись всё.

Andrey_Dolg
22.03.2020 11:52
#21414832
+1
У них плата за показы?
1. Bytexpert Автор
  22.03.2020 14:27
  #21415246
  Наверняка они получают за показы деньги, иначе зачем всё это затевать. Но я понимаю, если бы трафик был бесплатным, но платить деньги за Интернет и получать за это дополнительную рекламу — перебор.
  1. Revertis
    23.03.2020 22:59
    #21416914
    Это как в транспорте. Платите за проезд, но при этом весь вагон/автобус/маршрутка обвешаны рекламой, да ещё и на экране, где должна быть важная информация о маршруте и будущих остановках, мелькает что-то рекламное. Вот в Нидерландах такого не видел.

Dukat
22.03.2020 13:26
#21415076
+2
А я расцениваю выборочную подмену скриптов для показа рекламы как намёк на то, что однажды (если ещё не) вместо вставки баннера случится нечто гораздо более опасное, но визуально незаметное. Этакое «бегите (срочно примите меры), глупцы!».

stalinets
22.03.2020 14:30
#21415256
+2
Хоть меня и минусили за эту точку зрения, повторюсь. Нужно разработать софт, который будет не просто блокировать такие баннеры, но и идти в атаку. В рекламе указан телефон? Программа звонит туда через SIP и долго донимает менеджера, искусно имитируя живого, просто не очень умного человека, пытается делать заказы на несуществующие адреса (или адреса начальства того, кто заказал рекламу). В сайте по рекламной ссылке есть формы заказа, формы отзывов? Спамим всё, что можно, бессмысленными/оскорбительными комментариями. Далее, просто многогранный и мощный DDoS по сайту рекламодателя, по серверам самих рекламщиков. Имитация кликов по баннерам, чтобы рекламодатель разорился. И прочее в том же духе.
Для простого пользователя это должно выглядеть как расширение для браузера, в которое только надо забить логины и пароли от акаунтов SIP-телефонии, ну и периодически пополнять эти акаунты деньгами и регить новые по мере блокировки старых.
Если такое сделать, это нанесёт мощнейший удар по любителям такой непрошенной рекламы. И реклама, как когда-то, снова станет в виде нетаргетированной jpeg-картинки в углу сайта.
Кто-то говорил, что этот инструментарий можно будет использовать против конкурентов. Ну — возможно, где-то кто-то так сделает. Но и сейчас есть много способов насолить конкуренту, но в глобальном масштабе это не особо заметно.
1. dvrpd
  22.03.2020 19:25
  #21416212
  Вы только что AdNauseam. Впрочем, до SIP-звонков оно ещё не дошло, да и сомневаюсь, что WebExtensions это позволяют.
1. 0xd34df00d
  23.03.2020 00:04
  #21417064
  Достаточно размещать номер телефона вместе с красивыми фотками на сайтах с девушками определенного рода деятельности.
1. v1000
  23.03.2020 01:32
  #21417230
  в свое время Blue Frog пыталась так работать против спама на емайл, пока ее в 2006 не закрыли. интересная история как таковая.
1. Crazyvlad
  23.03.2020 08:51
  #21417666
  -1
  Предлагаете сразу "подписаться на статью"?..
  Ваш призыв к преступлению так же попадает под УК.
  Да и бороться незаконными методами никогда не помогало. Тем более вполне можно бороться в правовом поле.
1. 9660
  24.03.2020 09:37
  #21421712
  +1
  Не всем интересно заниматься борьбой. У многих есть более других дел чем заняться.
1. Dunke1heit
  27.03.2020 20:17
  #21434522
  Тогда начнут размещать рекламу с телефонами конкурентов.

AndreyYu
22.03.2020 14:41
#21415306
А плагин HTTPS Everywhere тут не поможет?
1. Andy_U
  22.03.2020 15:19
  #21415458
  Он помогает, только если на сайт можно зайти и так и этак.

MRD000
22.03.2020 14:55
#21415346
+1
Согласен с HTTPS, но дополнительно еще developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity.
Кроме того, можно внешние ресурсы подключать по https, даже если сам сайт еще не переведен.

ZaEzzz
22.03.2020 16:32
#21415664
У РТ есть еще один мерзкий механизм. К сожалению, из-за редкости проявления (раз в пол года) я не смог его отследить. Суть такая: при открытии ресурса определенной тематики идет редирект на баннер РТ в текущей тематике. У меня это проявлялось при открытии страницы стима — шел редирект на какой-то IP адрес с баннером.
Эпик был когда баннер РТ отобразился вместо контента клиента стима.

В ТП сказали, что такой способ юзают. Но потом в письме сообщили, что ничего не делают и это стим решил показать баннер услуги РТ по игровой тематике.
1. Bytexpert Автор
  22.03.2020 17:23
  #21415818
  Да, встречал такие жалобы в интернете, в этом случае видимо уже выполняется редирект самой страницы — свинство со стороны РТ.
  1. ZaEzzz
    22.03.2020 19:00
    #21416112
    +1
    По внешним признакам, там идет атака на dns — отдается ответ с нужным адресом и нулевым временем жизни. Далее редирект на целевую страницу.
    
    ArtRoman
    23.03.2020 14:12
    #21419098
    Подмена данных ответа стороннего DNS? Или кто-то всё ещё пользуется провайдерскими DNS-серверами?
    
    JerleShannara
    23.03.2020 14:46
    #21419266
    А что мешает провайдеру завернуть весь трафик udp/53 на свой DNS?
    
    ArtRoman
    23.03.2020 16:13
    #21419616
    Появление DoH, например.
    
    JerleShannara
    24.03.2020 00:49
    #21421164
    По борьбе с которым у одной конторы вроде как уже прошли учения.
    
    DaemonGloom
    24.03.2020 10:41
    #21421960
    И как вы включите DoH в том же steam, например? Тут только локально поднимать свой dns proxy с заворотом вообще всех запросов своей сети туда.
    
    ZaEzzz
    24.03.2020 08:57
    #21421622
    +1
    Легко устроить атаку на, пожалуй, самый незащищенный протокол.
    Да, я использую гугловые сервера, который умеют в DoH, но не каждый клиент может с этим работать. Мой роутер вроде бы как бы тоже умеет, но видимо не всегда это срабатывает. Подозреваю, что в случае отказа over https идет обычный запрос. Но это не точно — сейчас я сужу только во воспоминаниями внешних признаков.
    
    Кстати, вспомнил еще один мерзкий случай.
    Провайдер может сообщить по сети о необходимости авторизации в сети и прислать ссылку, по которой нужно ее провести. Операционна система в данном случае откроет ее и отобразит пользователю для ввода данных авторизации.
    Кто догадается какая что находится по ссылке для авторизации в сети? :)
1. Destructive
  23.03.2020 07:44
  #21417566
  Было нечто подобное, когда мне, вероятно, по какой-то ошибке подключили ускорение х2 за 0 р/мес, а потом долго пытались упросить подключить его за 100 р/мес. Спасал только VPN.
  
  Скрин
1. 1x1
  23.03.2020 16:50
  #21419760
  Давно, когда эта фишка только появлялась, у меня она триггерилась на попытку открыть сайт мвидео. Уже не вспомню, что они предлагали (бонусы на покупку через рт?), но эта страница была чётко подписана Ростелекомом, а внизу страницы была ссылка на разработчиков DPI (vasexperts). Повторно не срабатывало.

Sly_tom_cat
22.03.2020 17:22
#21415810
Просто ростелеком (весь, за исключением личного кабинета если вы их клиент) нужно включить в сетевые фильры (все дропать от них). Так и блокировка ресурсов по списку РКН — тоже блокироваться не будет.

firk
22.03.2020 17:45
#21415868
+1
Технические способы борьбы с этой гадостью это конечно полезно, но по-моему тут главная проблема не в самих баннерах а в том что провайдеры себе вообще такое позволяют. Всё-таки у нас не анархия а государство, и надо как-то на этом уровне такие вещи пресекать, наказанием (существенными штрафами или посадками) тех кто это всё организует. Хотя как именно такого добиться, увы, не знаю.

Но вообще индустрия предоставления доступа к интернету, считаю, себя уже дискредитировала в качестве надёжного и безопасного канала (когда-то и в голову прийти не могло, что они станут на официальном уровне подменять контент или шпионить на клиентами), так что лучше делать https, просто на всякий случай от возможных проблем (могут быть и другие).

wilelf
22.03.2020 19:50
#21416300
+1
Этой теме сто лет. Странно, что на Хабре это появилось только-только. Автору респект. По поводу провайдеров — мы в договоре не всегда видим пункт про рекламу. Но. Решается наездом на провайдера услуг. Хотя проще подключить https.
Несмотря на то, что специалистов по поисковому продвижению на Хабре не жалуют, именно они топят за переход на https.
1. Viacheslav01
  23.03.2020 22:23
  #21416816
  Пункт про рекламу это одно, а подмена трафика и вмешательство в содержимое страницы это другое. Или все же нет?
1. sumanai
  23.03.2020 13:20
  #21418790
  о поводу провайдеров — мы в договоре не всегда видим пункт про рекламу.
  
  Я заключал договор лет 10 назад, и такой фигни там не было.
  А вообще, бесят договора с условиями, размещёнными где-то на сайте, типа, проверяйте сами. Я бы такое запретил вообще.

grey_rat
23.03.2020 21:31
#21416676
… при поддержке Mail.ru

Опять за старое. Не успели у народа ещё стереться былые воспоминания, а Mail.ru вляпалось в новое.

castelloalex
23.03.2020 02:03
#21417280
Здесь никак не применить Закон о рекламе?
«1. Распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы. При этом реклама признается распространенной без предварительного согласия абонента или адресата, если рекламораспространитель не докажет, что такое согласие было получено. »
1. EgorZanuda
  23.03.2020 04:22
  #21417402
  Размещение рекламы без договора на чужих сайтах, это воровство интеллектуальной собственности. Доказательство наличие договора, а так-же оплата за размещение рекламы.
  Предположим рекламные щиты размещенные вдоль трассы, все они принадлежат той или иной рекламной компании, которая за них платит аренду, содержит в исправном состоянии. Попробуйте на этом щите наклеить свою рекламу. Точно также и сайтом, Вы несете расходы на доменное имя, содержание и наполнение сайта. Проверяйте куда идут ссылки. Далее пишите претензию, требуйте материальной компенсации пару процентов от их прибыли. Не получили компенсацию и плату, подавайте иск в суд.
  А вставки в скрипт это временная полумера, засренец не понес ответственности, в конечном итоге, он и на вставку сделает обход.

ska32com
23.03.2020 02:03
#21417282
Если половина пользователей Ростелекома от них отключится — тогда пропадёт всякое желание беспределить
1. vikarti
  23.03.2020 09:02
  #21417698
  У некоторых госорганизаций других вариантов просто — нет.
  1. sumanai
    23.03.2020 13:21
    #21418798
    У многих пользователей тоже.

WixxTeR
23.03.2020 02:03
#21417284
Ребята, я в этом не шарю, но хочу узнать побольше. что это значит ""Достаточно в URL скрипта добавить произвольный параметр:" где добавлять, что за параметр, откуда он возьмётся.? где об этом можно почитать
1. Bytexpert Автор
  23.03.2020 02:16
  #21417304
  Если на вашем сайте есть скрипты в отдельных файлах:
  
  <script src="/path/to/script.js"></script>
  
  добавьте в конц пути скрипта знак вопроса и любые символы:
  
  <script src="/path/to/script.js?param"></script>
  
  и такой скрипт не будет подменён у пользователей вашего сайта которые просматривают его через Ростелеком

NBAH79
23.03.2020 04:08
#21417392
полез разбираться с сертификатом: у хостера действительно одной кнопкой его выписывают за секунды, потом берете .htaccess и дописываете туда строки, по крайней мере у нашего так:

RewriteEngine On RewriteCond %{HTTP:X-Forwarded-Protocol} !=https RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI} [R=301,L]

И всё, 2 минуты. Зашел на сайт проверил: замочек появился у строки броузера и на нем можно посмотреть сертификат. Http можно совсем заглушить у хостера в панели управления

OstJoker
23.03.2020 04:49
#21417426
Проблема напоминает проблему курицы и яйца.
1. HTTPS на сайте решает проблему, но многие сайты написанные «школьниками» сложно переводить\никто не будет заниматься.
2. Со стороны продвинутого пользователя советуют настраивать адблоки, обращаться в поддержку, голосовать рублем и не подключать ростелеком. Но процент таких пользователей слишком мал для создания критической массы и резонанса, что бы это дошло до кого нужно и они перестали внедрять рекламу. Большинство пользователей понятия не имеет откуда реклама, с сайта или от ростелекома, думают что так и должно быть.
3. Спамить\ддосить рекламные номера телефонов примерно так же эффективно как и во втором пункте. Конечный заказчик рекламы может и сном-духом не знать где его рекламу крутят, ибо размещением рекламы может заказать какой то там эффективный менеджер через рекламное агенство в каком нибудь «комплексном пакете продвижения вашего бизнеса», где частью этого продвижения и будут эти баннеры. Я уже молчу, что спам\ддос это незаконно и может еще и прилететь.
Вот и выходить что в адекватном гражданском обществе, в нормальном государстве, граждане не допустили чтоб за их деньги им насильно впихивали то, что они не просили и чего нету в договоре о предоставлении услуг, а провайдер в свою очередь, деже не думал бы таким заниматься ибо репутация дороже и можно обанкротиться на судах. В реалиях рф, нету ни гражданского общества, ни адекватной власти и судов. Закон если и существует, то заставят пройти три круга ада чтоб потом ничего не добиться.
«Верхи не могут, низы не хотят»
Завтра вместо баннера начнут подсовывать майнера, почему бы и нет?
1. fpir
  23.03.2020 11:15
  #21418180
  +1
  п2. Критическая масса набирается довольно легко. Просто надо пользоваться приоритетным каналом связи — телефоном. Девочки на сапорте не смогут решить 99% ваших проблем, но они могут поставить на ваш как теги —" Клинт выражает недовольство",«клиент на удержании» или «клиент выражает РЗО(раздражение, злость, обиду)». Это может серьёзно апнуть качество услуги. И вообще, с ком. услугами лучше забыть про email, только телефон. А вот с гос.услугами наоборот, мыла они боятся, потому, что мыло, на следующей итерации, превращается в оф.запос, требующий оф.ответа.
  1. sumanai
    23.03.2020 13:23
    #21418812
    Девочки на сапорте
    
    А вы достучитесь до этих девочек. Везде тупые роботы, которые стоят для них копейки на 1000 вызовов, потому что скрипт. В итоге тратится только число линий, но не думаю, что это дорого.

Рекламные баннеры Ростелекома и как с ними бороться +64

Комментарии (113)

Bytexpert Автор

Bytexpert Автор

Bytexpert Автор

Bytexpert Автор

Bytexpert Автор

Bytexpert Автор