Пользователь
0,0
рейтинг
14 июля 2015 в 21:12

Разработка → Билайн вмешивается в трафик пользователей



Собственно история встраивания провайдером своих скриптов в посещаемые сайты не нова.
Взять хотя бы эту habrahabr.ru/post/142909.
Сегодня обнаружил аналогичную вставку у Билайна («Домашний интернет). Прямо через их фирменный роутер.
Попробуйте набрать в браузере 192.168.1.1/scwn.js. Что-нибудь есть?
Напоминаю, что 192.168.1.1 — это ip вашего роутера.

О роутере
Производитель Sercomm
Модель Smart Box
Версия ПО v2.0.26
Recovery Version v2.0.19
Дата релиза ПО 2015-04-16, 04:33:58
Метка релиза ПО SERCOMM.BEELINE
Версия оборудования v2
Версия загрузчика 1.05

Загружаем любой сайт (ну, например, lenta.ru) и видим это чудо:



Содержимое этого файла:


Да, все верно — загружается сторонний скрипт (и вот что-то я соовсем не уверен в надежности и безопасности указанного ресурса).

Думаю не стоит объяснять, что это небезопасно и нарушает мои гражданские права (юристы поправьте меня, если не прав).
По сути провайдер встраивает в посещаемые мною сайты свой блок кода, который теоретически (да, думаю, и практически) собирает информацию о посещениях, показывает рекламу и т.д.

Если тут есть представители Билайна, то неплохо было бы прояснить ситуацию. Да и вообще — это нормально?

Update: Ссылка из скрипта ведет на сервис для размещения рекламы в зонах свободного wifi — wifly.net
Update: Небольшое расследование привело к интересной информации о наличии специальной прошивки для данного роутера, которая и реализует данную уязвимость — ru.wiflyad.net/flyadbox.html (кэш гугла)
Update: В комментах получил небольшое разъяснение от представителя билайна — habrahabr.ru/post/262631/#comment_8502213
Алексей @antonre
карма
31,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (131)

  • +4
    Простой вопрос: зачем это делать на роутере (да еще и сервить с него)?
    • 0
      Думаю, чтобы была возможность обновлять скрипт (если понадобится) вместе с прошивкой
      • +10
        Намного проще это делать с сервера, через который проходит трафик.
        • –1
          Для этого нужен очень мощный сервер.
          • 0
            Для анализа уже давно переходят на GPU. Яркий пример сурикат.
  • +3
    Насколько я понял, это не провайдер встраивает потусторонние скрипты, а роутер с прошивкой от провайдера? Перепрошить и дело в шляпе. Не исключён взлом роутера.
    • +1
      Нет это именно провайдер встраивает. Он таким образом реализует вход в личный кабинет.
      Если вы используете VPN или заход на https все становится хорошо.

      Beeline mini_cab



      Честно говоря, такие вещи просто задалбливают тем, что невозможно делать откладку страниц на web сервере.

      P.S> Отписал в твиттер beeline

      twitter.com/icce/status/621256617678503936
  • –19
    Если тут есть представители Билайна, то неплохо было бы прояснить ситуацию. Да и вообще — это нормально?

    Лучше написали бы претензию в ближайшем абонентском отделе, дождались ответа и опубликовали тут, толку было бы больше.
    • +5
      Обязательно. Но зачем ждать ответа и публиковать очередное «расследование»? Есть проблема, а что с этим делать — решать каждому
    • +63
      Такого рода вещи должны предаваться гласности (т.к. дело не в том, что «проблема» решится для одного абонента).
      • –1
        Безусловно, если Билайн взамен предложит «чистый» роутер, это не повод на этом успокоиться. Но и без реакции второй стороны раздувать что-то тут бессмысленно (причем вариантов масса, от «ой, и правда, а роутеры у нас такие из китая идут» до «имеем право, см. пункт приложения к договору-оферте по ссылке, третью сноску мелким шрифтом»), как и бессмысленно ждать официального ответа тут.
        • +25
          В этом вся наша проблема. В Европе сайты обязали об использовании кук (!) предупреждать, а мы все думаем, «всего лишь» закладка в роутере и, ах, в договоре же прописано, что обязан учавствовать в человеческой многоножке, ну надо, так надо.
          • +16
            На закон о куках точно равняться не стоит, более идиотский закон ещё поискать надо.
            • +1
              Есть такое дело. Но из него, косвенно, родилась опция слать заголовок Do Not Track, которая теперь в каждом бро.
              • 0
                А есть информация о том, насколько эту опцию уважают рекламодатели?
                • 0
                  Можно просто заголовки прочитать тут.
    • 0
      Лучше в суд… выгода третьего лица как на ладони, надо только экспертизу сделать
      • +4
        А в суде выяснится, что описываемое поведение предусмотренно пунктом 48.5 в приложении 17 к подписанному вами договору :)
        • +9
          Пункты договора, противоречащие законодательству — ничтожны. Вроде 168 статья ГК РФ.
          • 0
            А Вы уверены, что это противоречит законодательству?
  • +1
    Ну, кстати, они до сих пор неправильно минифаять трафик, сжимая html и ломая сайт из-за этого (видимо, все на регэкспах). Из-за чего приходится писать костыли.
  • 0
    Сегодня заметил такую же штуку. Нагловато.
  • +3
    И раньше не очень хорошо относился к Билайну, после такого никогда в жизни его не буду использовать и всех буду отговаривать. Такого рода действия это верх наглости. Все больше убеждаюсь в необходимости прокси с возможностью контроля загрузки ресурсов с доменов отличающихся, от домена страницы. Подгружаемый таким образом скрипт, может логировать пароли к ресурсам включая сайты онлайн банков. Так же может красть куки авторизации. Перехватывать личные фото находящиеся в привате в соц. сетях или на хостингах. Кроме того, такой скрипт значительно упрощает использование эксплойтов браузера. Ну и мелочи конечно, это слежка за посещениями сайтов, поисковые запросы, чтение переписки на веб почте(например на сайте gmail).
    • +5
      Подгружаемый таким образом скрипт, может логировать пароли к ресурсам включая сайты онлайн банков. Так же может красть куки авторизации. Перехватывать личные фото находящиеся в привате в соц. сетях или на хостингах. Кроме того, такой скрипт значительно упрощает использование эксплойтов браузера. Ну и мелочи конечно, это слежка за посещениями сайтов, поисковые запросы, чтение переписки на веб почте(например на сайте gmail).


      Это каким же образом? HTTPS отменили?
      • 0
        В теории всё очень хорошо, на практике, к сожалению, не очень.
        Хотя да, соцсети, хостинг, банки, почта и прочее на https. Да и те данные провайдер воровать вряд ли будет, так что параноить не нужно.
        Но, тем не менее, приятного в таких скриптах всё равно мало.

        image

        image
      • +5
        Например отправив ajax по http на адрес с которого нужно украсть куки. Даже если настоящий сервер не принимает http, провайдер может перехватить такой запрос и эмулировать его наличие. При этом, пока браузер общается по http, middle может общаться по https. Скрипт может заменить все https на http, на странице. Вариантов тут много. Так же скрипт имеет доступ к DOM, этого хватит для чтения писем. А навешанные обработчики событий редактирования текста позволят вести логи паролей.
        • +3
          Например отправив ajax по http на адрес с которого нужно украсть куки.

          На ваших куках все еще не стоит secure и httpOnly?

          Скрипт может заменить все https на http, на странице. Вариантов тут много. Так же скрипт имеет доступ к DOM, этого хватит для чтения писем. А навешанные обработчики событий редактирования текста позволят вести логи паролей.

          Я захожу в свою почту по https изначально, откуда там возьмется скрипт, у которого будет доступ в DOM и обработчики на текстовых полях?

          Понимаете ли, если вы не пользуетесь https, то провайдеру не нужны никакие скрипты, ваши данные и так мимо него летают. А если пользуетесь — то скрипты ему не помогут.
          • 0
            На ваших куках все еще не стоит secure и httpOnly?
            Чуть выше прекрасный пример ebay ,)
            • 0
              Вопрос в том, сколько из тех кук — sensitive.
              • 0
                Поглядел сам, JSESSIONID — http-only, некоторые, выставляемые после авторизации — тоже. Но не secure, т. к. ebay при этом работает по http.

                С другой стороны, оплата идёт через палку и совсем приятные данные в открытом виде не летают.

                А большая часть этих кук — всякий треккинг.
          • –8
            Представим сценарий.

            1. Провайдер подменил gmail
            2. Вы заходите по https.
            3. Вам приходит 301 где тот же адрес только http
            4. Провайдер с gmail общается по https, вы с провайдером по http
            5. Далее вас просят заново ввести пароль…

            Такой же вариант прокатит с провайдером VPN и вероятно TOR.

            >> Я захожу в свою почту по https изначально, откуда там возьмется скрипт

            1. Например если на странице используется скрипт какой нибудь соц сети, или метрики, или баннерной сети не https :)
            2. Вы откроете любой не https сайт. А скрипт скрытно загрузит gmail и прошерстит все ваши письма.
            • +8
              2. Как, ну как провайдер подсунет мне 301 с сайта, с которым я общаюсь по https?
              5.… который я не ввожу, потому что я на недоверенной странице.

              1. Это называется unsecure content on secure page и по умолчанию блокируется.
              2. Как скрипт может скрытно загрузить гмейл?
              • +2
                + HSTS
                • 0
                  + certificate pinning для тех же сервисов гугла…
              • 0
                2. Никак, я не знаю что положенно по протоколу, если https адрес возвращает сетевую ошибку, положено ли здесь перейти на http или нет.
                5. вы не будете а кто то будет
                1. Я видел блокировку только на серверном IE, которое к тому же сильно раздражает :).
                2. Тут есть много тонкостей с кроссдоменными запросами, я их все не знаю ;). Но в случае с провайдерским перехватом все однозначно упрощается.

                Кстати говоря у другого провайдера я видел несколько раз попыку подсунуть не правильный сертификат. Это намного проще, люди как правило соглашаются. Хотя тут есть выбор у пользователя. В целом если сайт правильный https, и юзер шарит, и в браузере нет эксплойтов, а так же в сетевых драйверах, и в плагинах типа флеш и downloadmaster, и закладок в сертификатах, то сломать несколько сложнее. :)
                • +1
                  Ну во-первых, если люди соглашаются на подменный сертификат, не следят за адресом в строке браузера и так далее — уже не важно, вбрасывает ли провайдер скрипт, они все равно уязвимы ко всем другим атакам, начиная от банального фишинга.

                  А во-вторых…
                  Никак, я не знаю что положенно по протоколу, если https адрес возвращает сетевую ошибку, положено ли здесь перейти на http или нет.

                  Естественно, не положено.

                  Тут есть много тонкостей с кроссдоменными запросами, я их все не знаю ;). Но в случае с провайдерским перехватом все однозначно упрощается.

                  Не упрощается. На сайте с правильно настроенными куками и CORS это все лишено смысла.

                  Это все к тому, что вбрасывание скрипта не увеличивает вашу уязвимость перед вашим провайдером: весь ваш открытый обмен он видит и так, и в ваших интересах, если вы ему не доверяете, вести весь обмен в закрытую.

                  Кстати, вот кого реально надо бояться — так это системного администратора по месту работы.
      • 0
        Некоторые провайдеры в последнее время повадились подменять SSL-сертификаты, как раз для того, чтоб была возможность анализировать и этот траффик тоже. Со временем, подозреваю, таких провайдеров будет только больше.
        П.С.: Опередили, выше уже отметили про подмену сертификатов.
        • 0
          Вот только эта подмена невозможна без согласия пользователя.
          • 0
            Когда были блокировки Гихаба, мой провайдер ухитрялся фильтровать только страницу из реестра, даже при том, что весь сайт отдается по HTTPS. Браузер рапортовал, что все хорошо. Подвох вскрылся, только когда я попытался пушнуть код по ssh.

            Насколько я понял, провайдер как-то обманывал DNS, и я получал копию сайта по тому же адресу со своим валидным сертификатом. Так что не все так радужно в этом королевстве.
            • 0
              Я не очень понимаю, как это возможно. Можете рассказать поподробнее?
              • 0
                Боюсь, я и сам не ахти какой специалист в этом вопросе.

                Фокус в том, что Гитхаб открывался в браузере, как и раньше, то есть по HTTPS с зеленым бейджем в адресной строке и т.п. Я еще порадовался тогда, что у меня провайдер против идиотских запретов :)

                А при попытке пушнуть в командной строке выскакивало предупреждение, кажется, что IP адрес хоста внезапно поменялся, и что-то про fingerprint'ы сертификатов ssh. Возможно там же и было предположение о фейковом DNS, поскольку после этого я сразу проверил и убедился, что github.com резолвился на локальный адрес в сети провайдера. При этом на роутере, если не ошибаюсь, стоял 8.8.8.8 в качестве DNS (т.е. гугловый, не провайдеровский), и видимо провайдер подменял все DNS-запросы к ресурсам из реестра.

                Попробуйте погуглить DNS Crypt и связанные с этим темы.
                • 0
                  Ну вот подменили они адрес на сервер в своей локальной сети, но как отдавать с него трафик, сохраняя HTTPS? Я такой техники не знаю.
                  • 0
                    Видимо получается такой прокси с MitM. Разве нельзя подписать новый сайт новым сертификатом?

                    Я открываю этот сайт, защищенный сертификатом провайдера. Он расшифровывает мой запрос и проверяет страницу, которую я открываю, после чего запрашивает у настоящего Гитхаба эту же страницу, перешифрует её содержимое и отправляет обратно мне.
                    • 0
                      Я открываю этот сайт, защищенный сертификатом провайдера.

                      Сертификат провайдера выдан на адрес провайдера. У провайдера не может быть сертификата на адрес гитхаба.

                      (иначе вся идея HTTPS скомпроментирована на корню)
                      • 0
                        Сертификат провайдера выдан на адрес провайдера

                        На URL или на IP? Получается, нельзя открыть левый сайт с левым серфикатом с хоста github.com, не получив при этом предупреждения браузера? Если это так, то я не прав и прошу прощения, что ввел в заблуждение.
                        • 0
                          На URL или на IP?

                          На имя хоста (какой ip, там же балансер наверняка).

                          Получается, нельзя открыть левый сайт с левым серфикатом с хоста github.com, не получив при этом предупреждения браузера?

                          Я не понимаю, что вы имеете в виду под «сайт с левым сертификатом с хоста», поэтому не могу ответить на ваш вопрос.
                          • 0
                            Я ошибочно думал, что провайдер может выпустить свой сертификат на github.com и подписать его у какого-нибудь левого регистратора. Тогда, получая фейковый сайт с фейкового github.com, браузер не стал бы выдавать предупреждений.
                            • 0
                              Браузер должен реагировать на левых регистраторов.

                              Кстати, не «провайдер выпускает, а регистратор подписывает», а «регистратор выпускает и подписывает».
                              • 0
                                Да, теперь ясно, большое спасибо!
                      • 0
                        Смотрите, было похожее обсуждение: geektimes.ru/post/242306/#comment_8175982

                        Возможно ли такое, что я видел зеленый валидный сертификат в адресной строке, просто выданный не GitHub Inc. [US], а другой компании?
                        • 0
                          Нет, этот сертификат не был бы «зеленым», потому что вы бы получали предупреждение вида «сертификат выдан не github.com, а вашпровайдер.ру».
          • 0
            Если CA подконтрольного нет -да, невозможна.
            • 0
              Подконтрольного и доверенного для пользователя.
    • +6
      Чтобы было проще и безопаснее жить, исходите из того, что 100% вашего интернет-трафика постоянно кем-то слушается (так оно и есть) и модифицируется (может быть, а может и нет). И создатели интернет-банков, фейсбуков, вконтактиков, яндексов и так далее тоже исходят из компрометации канала связи от клиента до сервера и защищаются соответствующим образом, за это не беспокойтесь. Если видите значок HTTPS, то либо всё хорошо и нет причин заботиться о перехвате данных кем угодно между вами и посещаемым ресурсом, либо скомпрометирована ваша система, а тут уж извиняйте.

      Только все равно модифицировать трафик платного клиента (Максиме-Телеком, дающей бесплатный интернет в метро, я прощаю всё, даже периодически закоррапченные страницы часто посещаемого мной сайта, благо перезагрузка страницы помогает) весьма некрасиво.
    • 0
      У мегафона такие вещи так же есть. У МТС не знаю, так как его не использую.
  • 0
    (не тот уровень)
  • +4
    А в 3g сети они добавляют тулбар на любой http сайтег (стучится на toolbar.beeline.ru, добавил в hosts, но на телефоне всё равно показывает, если не по https хожу). Офигел с такого, если честно…
    • +2
      Пишите в поддержку и долбайте их, мне выключили. Сначала просто заблочили для меня адрес скрипта, но т.к. он дибильно встроен страница дольше грузится, потом сделали так что совсем нет его.
  • +3
    Короче, не рекомендуете проводной интернет от Билайна?
    • +2
      Почему, интернет нормальный, я бы не рекомендовал роутеры с прошивками от провайдеров.
    • 0
      Если есть хорошие альтернативы среди местных операторов.
      Но и там никто не застрахован, крупные провайдеры просто больше на виду.
      А если выбирать между крупняками, то субъективно у билайна меньше минусов.
      Как плюс, они начали уходить с l2tp.
      Остается не использовать их роутер и ждать сентября 2015.
      • 0
        В чем плюс ухода с l2tp?
        • +2
          Это ненужный костыль. Удобнее воткнуть провод и не думать о настройках. Меня VPN Internet всегда убивал. VPN, он что бы входить в сеть, а не выходить из нее. Радовало когда vpn шлюз был за пределами твоего шлюзе, это добавляла определенных радостей в настройки с роутингом. Еще добовляла, когда оказывалось что vpn провайдера динамический.
          • 0
            Удобнее воткнуть провод и не думать о настройках.
            А авторизацию как проводить? К маку привязывать?
            • 0
              К порту, Карл!
              • 0
                Это сарказм или нет? Если нет, то в порт вместо моего провода кто угодно переподключиться может. Даже если свитч на замке, провода-то все снаружи…
                • +1
                  С долей сарказма. В реальности обычно на порту (или чуть выше) acl по маку и перенаправление на специальный landing page, если mac не привязан к пользователю. А далее установка оного через личный кабинет.
                  • 0
                    Ясно, спасибо.
                    Единственное, что беспокоит в этих планах о переходе на IPoE, — это как они авторизацию будут делать. Не хотелось бы в один прекрасный день запустить браузер с сотней вкладок и обнаружить на них всех форму логина с одним и тем же урлом…
                    • 0
                      делают по маку. Если подключите другой пк, то просто не получите интернет, но можно получить доступ к кабинету. По крайне мере у моего провайдера так.

                      Ну а для вкладок используйте например Session Buddy в chrome
                      • 0
                        Не знаю, что даёт Session Buddy. Судя по описанию, примерно то же, что встроенный инструмент управления сессиями в моей Opera Presto. Конечно, я могу сохранять сессию в отдельный файл каждый раз перед выходом из браузера (чтобы подгрузить его, если при следующем запуске огребу редиректы, которые тут же пропишутся в автосохраняющуюся сессию). Но речь о том, что на ровном месте появляется необходимость делать действие, которое сейчас делать не требуется.
                        Если Beeline сделает без редиректов, я буду счастлив. Но пока что все служебные страницы, которые я от них видел (блокировки от РКН, информация о неоплаченном инете) были сделаны через редиректы, что наводит на грустные мысли.
                    • +1
                      у нормальных провайдеров либо «ошибка соединения» в таком случае, либо да, вкладка с логином НО без редиректа — то есть после прописки мака и перезапуска, оно всё загрузится обратно
                      • 0
                        Вот в том и вопрос, поступят они как нормальные провайдеры, или сделают редирект. Инфу о блокировке РКН, например, отображают через редирект…
                        • 0
                          как говорится, время покажет. в смысле, будет зависеть от количества вкладок у тех, кто будет тестировать оный механизм, подозреваю.
        • +2
          * Не нужно настраивать l2tp :)
          У корбины/билайна немного кастомизированный l2tp сервер, допиленный под совместимость с windows.
          Остальные *nix получают геморрой там, где все отлично работает в windows.
          На некоторых форумах можно найти длинные топики про настройку роутера или *nix сервера для l2tp корбины.
          Один умелец, после долгих мучений, даже написал статью в wiki openwrt Подключение к провайдеру используя L2TP с Dual Access.
          В скриптах до сих пор можно найти «tunnel_name=corbina», что как бы намекает, с каким провайдером он мучался.

          * l2tp иногда отваливается (в последние годы — редко).
          В логах роутера идут ошибки что-то типа «too many retransmit».

          * После этого он иногда очень не сразу подключается (особенно в 21-22 часа, когда все пришли домой и l2tp сервера нагружены).

          * В некоторых роутерах скорость через l2tp не поднималась выше 16 мегабит.
          Был какой-то баг в l2tp модуле для ядра linux, который использовался в пакете xl2tpd.
          Если использовать модуль от openl2tp, проблемы со скоростью не наблюдаются.
          Но не всегда можно заменить модуль ядра в роутере.

          * Ну и просто лишняя нагрузка на роутер.
          • 0
            И скрипты писали и понимание делали к микротикам.
            Рядом человек вообще писал настройку под Cisco, так как она у него была.
            Но все равно, это все извращение — особенного когда есть провайдеры, которые дают все без этого.
            Говорю как старый пользователь корбины/пчелайна. Но в одно прекрасно утро все задолбало и свалил :)
        • +3
          как минимум в том, что l2tp на высоких скоростях требует дорогих роутеров
    • 0
      Не рекомендует роутеры от билайна :) Сам интернет, в общем, неплох.
  • +11
    thanks

    added to hosts

    127.0.0.1 wifly.net
    127.0.0.1 beeline.wifly.net
    127.0.0.1 wiflyad.net
    127.0.0.1 ru.wiflyad.net
    • 0
      Может стоит попробовать 0.0.0.0?
      • 0
        а как лучше?
        • 0
          Лучше 0.0.0.0, но в редких случаях может не работать. С 0.0.0.0 браузер сразу обрывает запрос, с 127.0.0.1 будет пытаться подключиться к localhost:80 — если у вас вебсервер стоит или еще чего, то запросы будут валиться на него, или же если не приходит сразу ответ что порт закрыт (такое происходит на винде и в частных случаях настройки iptables на линуксе) — браузер будет пытаться соединиться и будет долго крутиться кружок загрузки мол что-то не загрузилось, ожидание ответа сервера…
  • +4
    По опыту своих знакомых: если Билайн затегировать в Фейсбуке, то реагируют довольно быстро.
  • +4
    Скажем так — это не первый, и, вероятнее всего, не последний случай модифицирования трафика со стороны черно-желтых:
    Билайн автоматически добавляет тулбар с поиском Mail.Ru
  • +1
    То же самое было полтора года назад с их мобильным трафиком, написал в Роскомнадзор о том, что они вмешиваются в мой трафик и создают угрозу утечки персональных данных, на что получил ответ:

    В соответствии с п. 5 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152ФЗ «О персональных данных» оператор вправе обрабатывать персональные данные без предварительного согласия субъекта персональных данных, в случае если обработка персональных данных необходима для исполнения договора, одной из сторон которого является субъект персональных данных. Таким образом, учитывая, что обработка Ваших персональных данных осуществляется ОАО «ВымпелКом» с целью исполнения заключенного между Вами договора на оказание услуг связи, сообщаем, что нарушений Ваших прав и законных интересов в области персональных данных в данном случае не усматривается.
    В случае если у Вас имеется конкретная информация о нарушении ОАО «ВымпелКом» Ваших прав как субъекта персональных данных, Вы вправе повторно обратиться в Управление с приложением информации, подтверждающей указанные в Вашем обращении доводы, либо в суд в соответствии со ст. 3 Гражданского процессуального кодекса Российской Федерации за защитой нарушенных, либо оспариваемых Вами прав и свобод.


    В итоге сменил оператора на Мегафон, за ним такого не замечал. Причем Билайн вставлял скрипт с багом, который появлялся на экране и из-за бага кнопка отключить не работала :) Да даже если бы работала, все равно бы поменял оператора.
    • +2
      На мегафоне полно других вмешательств. Блокировка отдельных протоколов (SIP, например), встраивание хедеров с номером телефона в HTTP-запрос… Я этого наелся и до сих пор его использую только потому, что в наших краях нет альтернатив. Вообще нет.
      • +1
        встраивание хедеров с номером телефона в HTTP-запрос

        Можно подробнее? Номер абонента? В каждый HTTP-запрос?
        • +1
          Не в каждый. Только при открытии сайтов так называемых «контент-провайдеров». Некоторые сайты вообще невозможно использовать, сразу редиректит на страницу «оплатите наши услуги со счёта мобильного» и номер показывает. На некоторых просто висит навязчивый баннер с твоим реальным номером и балансом. Конкретную технологию не раскрывают, но, судя по поведению (редирект идёт сразу протоколом HTTP), это добавочный HTTP-хедер. Ну, может быть и модификация куков, конечно, но это сложнее да и зачем?
          • +1
            Это именно HTTP-заголовок с MSISDN абонента. Оно используется не только (и не столько) для контента — а для авторизации.

            Например, я организовывал систему сбора отзывов о качестве связи — IP-адрес серверной части приложения заносился в список сайтов, для которых при GPRS-соединении добавлялся этот заголовок. Плюс, до кучи, выставляли нулевую тарификацию трафика на этот IP.

            Сответственно, на клиенте вам не надо городить никакую авторизацию — вы просто знаете, от какого абонента пришёл HTTP-запрос.

            Штука простая, но включается строго по whitelist IP-адресов и URL (и СБ требует, чтобы физически сервер стоял в ДЦ оператора).
            • +2
              Благодарю за пояснение.
              Ну, итог закономерен: некоторые особо жадные сервисы начали использовать это для вымогательства денег. Мол, раз мы про вас уже всё знаем и денежки у вас водятся, гоните их немедленно, а то файл не отдадим/новость не покажем. А вот анонимусу из TOR-а отдадим/покажем, потому что ой. Это и бесит.
          • 0
            То же самое есть и у МТС. Достаточно зайти на yandex.ru с телефона, нажать на «узнать баланс счета на телефоне» и ваш номер высветится на странице яндекса.
            • 0
              У меня нет такой ссылки. И по поисковому запросу ничего.
              • +1
                Скрытый текст
                image

                image
      • 0
        Блокировка отдельных протоколов (SIP, например)
        Без проблем использую рабочий SIP-аккаунт sip.net на смартфоне с симкой Мегафона. Как через родной клиент HTC, так и через МультиФон для Android (использую в роуминге с местными сим-картами, но попробовал ради интереса).
        встраивание хедеров с номером телефона в HTTP-запрос
        Все этим грешат. Yota и Tele 2 в расчет не беру, в Карелии первые только появились, у вторых нет ни 3G, ни LTE.
        • 0
          С мегафона без включенной услуги «мультифон» SIP блокирован. Проверял неоднократно на множестве устройств, когда заводил свой SIP-сервис. А «мультифон» сам по себе платный, что всё объясняет.
          Ну а модификация незашифрованного HTTP — это, конечно, само по себе нехорошо, но делать так, чтобы нельзя было бесплатно пользоваться сайтами, которые через других операторов открываются нормально — это совсем отвратительно.
          • 0
            у меня только пакет инета подключен, сип работает, каждый день пользуюсь, ЧЯДНТ?
            • 0
              Возможно, у вас в другом регионе другие правила. У нас, в Поволжье, SIP работает только с подключенным «мультифоном», проверено неоднократно. С других операторов — да, только инет нужен.
          • 0
            С мегафона без включенной услуги «мультифон» SIP блокирован.
            Не припомню, что использовал первым. Спорить не стану, потому что не знаю.
            А «мультифон» сам по себе платный, что всё объясняет.
            Платные звонки, но абонентской платы нет. Никто не заставляет вас звонить через него в обязательном порядке. Подключил и забыл.
            • +1
              Пардон, забыл уже в чём подвох был. Сама услуга действительно бесплатная, но пакетный интеренет переставал действовать и включались дефолтные конские цены за мегабайт (7 рублей, по-моему). По крайней мере так было год назад в нашем регионе, когда мы плясали с бубном вокруг нашего сервиса SIP/TLS+SRTP. В итоге отказались от поддержки клиентов с Мегафона вообще, столько неудобств эта компания доставила и нам, и абонентам. Впрочем, понятно зачем: чтоб пользовались только «мультфоном» и на сторонние сервисы и смотреть боялись.
              • 0
                У меня пакетный тариф, никаких казусов не возникало. Впрочем, возможно раньше ситуация была иная и тогда еще использовал БиЛайн.
      • 0
        Модификация заголовков HTTP это достаточно мягкий вариант вмешательства (так делают многие прокси), а встраивание скрипта в тело ответа — уже перебор.
    • 0
      >В итоге сменил оператора на Мегафон, за ним такого не замечал.
      Вы просто этого не видите.
      Тут BeeLine вам показывает, а мегафон молча вставляет скрипты в html трафик.
      Статьи на habre пролетали.
    • 0
      Пока у нас нет доказательств использования ПД нет — Роскомнадзор формально прав. Жаль, что РКН не предотвращает злоупотребление. Кстати, я не нашел в законе «О связи», что оператору запрещено изменять трафик абонента.
      • 0
        Такого ограничения там быть и не может. Т. к. это автоматически запретит даже работу роутеров (т. к. меняются, как минимум, MAC-адреса в ethernet frame'ах).
  • 0
    А еще они каким-то чудесным образом стали навешивать на любую страницу ссылку на личный кабинет (даже если использовать планшет/телефон в качестве роутера). В ТП настаивают на том, что это некая уникальная возможность, которая прямо-таки нужна всем. В личном кабинете ссылка «отключается», но при этом на каждую страницу продолжает подгружаться css, который изменяет внешний вид всех тегов button
    • 0
      Долбите поддержку, мне после нескольких звонков помогло. Отключали поэтапно, но в итог всё чисто.
    • 0
      Это где такое? Мобильный интернет? На домашнем проводном не наблюдал подобного.
      • 0
        Мобильный, да
  • +1
    Официальный комментарий билайна будет в духе «Как мы обеспечивали связь для членов собрания фиг его знает кого фиг его знает где».
    Из личного опыта, заставить оператора связи вести себя «корректно» очень сложно!
  • 0
    Немного не в тему, но у меня смежная проблема с домашним провайдером: недавно обнаружил что они почему-то подменяют адреса google (судя по всему — на свои прокси). Попадает ли такая подмена (и перехват dns запросов) под какие-либо статьи? Да и вообще как с ними лучше бороться?
    • 0
      Использовать VPN. Под статью не уверен, что попадает.
    • 0
      Гугл сам провайдерам ставит свои коробки для кэширования ответов, скорее всего это вы и наблюдаете
      • 0
        Они ставят коробки для кеширования видео.
        Про кеширование _ответов_ не слышал.
        • +1
          Вы не слышали, а они всё равно берут, и кэшируют
          peering.google.com/about/faq.html — тут есть список сервисов
          • 0
            Спасибо за ссылку, буду знать
  • 0
    Почему-то, я не удивлен. Хотя с этим нужно пытаться бороться, этого я не отрицаю.
  • +4
    Ув. сотрудники Билайна, которые это читают, обращаюсь к вам.
    Как вы можете заметить, в этом топике довольно мал процент людей, которые стали поносить и неистово ругать Билайн.
    На мой взгляд, это заслуга положительной репутации, которую Билайн заслужил своими делами (а не топиками «какие мы классные»).
    Эту репутацию сложно заслужить и легко профукать.
    Очень не рекомендую думать в стиле «с каждым новым действием вякают все меньше», особенно на этом ресурсе (где умеют придавать огласке интересные новости).
    На мой взгляд, хорошая репутация может принести куда больше прибыли, чем встраивание левых рекламных скриптов втихушку (а так же в нарушение законов).
  • +2
    Странно, что автор не написал апдейт, хотя ему Билайн в твиттер ответил 19 часов назад.



    Ну немного информации по приведённой команде:
    • «Мини-кабинет» – это сервис самообслуживания в браузере, с помощью которого можно узнавать баланс, остаток интернет трафика, управлять услугами связи и менять тарифные планы, а также получать ссылки на полезные сервисы от «Билайн»
    • Использование сервиса бесплатно, интернет-трафик не тарифицируется
    • Услуга предоставляется абонентам только в филиалах Оператора Северо-Западного региона: Петрозаводском, Архангельском, Вологодском, Мурманском, Новгородском, Псковском, Санкт-Петербургском
    • Данная услуга не предоставляется в роуминге
    • Услуга доступна только для абонентов использующих Браузер Safari версии 6 и выше на мобильных устройствах c iOS, Браузер Chrome версии 30 и выше на мобильных устройствах с операционной системой iOS и Android, а также Браузер Internet Explorer версии 9 и выше на персональном компьютере с операционной системой Windows, Браузер Safari версии 6 и выше на персональном компьютере с операционной системой MAC OS и Браузер Chrome версии 30 и выше на персональном компьютере с операционными системами Windows и MAC OS при использовании USB-модема с телефонным номером «Билайн»
    • 0
      Есть одно маленькое «НО».
      Мини-кабинет - это мобильный билайн
      image

      А тут Билайн поймали за руку на проводном интернете
      image

    • 0
      >Странно, что автор не написал апдейт, хотя ему Билайн в твиттер ответил 19 часов назад.

      Странно то, что автор не писал в Билайн, а написал я и мой знакомый.
      Поэтому собственно, автор темы не мог знать про ответ от Билайн.
  • –4
    У нас нет и не будет планов по перехвату и анализу вашего траффика. Но есть желание информировать о новых акциях и предложениях, оповещать в случае Ч/С, плановых работ или аварий. Само собой, эту функцию можно отключить. Но все же я думаю, что гораздо эффективнее увидеть один маленький баннер с хорошей или действительно важной новостью, чем получать нетаргетированный спам на телефон.

    То, что произошло – исключительно человеческий фактор. Кроме сотрудников в тест попали и абоненты. Как говорится, shit happens, и это полностью наша вина.

    Автору antonre и всем участникам дискуссии большое спасибо за отзывы. После такого feedback'а, задумались, а стоит ли вообще запускать систему оповещения.
    • +5
      Но есть желание информировать о новых акциях и предложениях, оповещать в случае Ч/С, плановых работ или аварий.

      Для того, чтобы запустить систему баннеров или оповещения, достаточно в нужный момент отдавать 302 редирект на требуемую страничку.
      Обычный Captive portal.
      Для этого не нужно постоянно вставлять js во все странички.

      Но все же я думаю, что гораздо эффективнее увидеть один маленький баннер с хорошей или действительно важной новостью, чем получать нетаргетированный спам на телефон.

      Простите, но это уже слишком толсто.
      Так много спорных утверждений в одном предложений.

      > я думаю
      > эффективнее
      > с хорошей
      > важной новостью
      > спам на телефон

      Для хороших и важных новостей есть email с ссылкой «отписаться».
      Конечно, если абонент давал согласие на получение рекламных сообщений.

      Сейчас встраивается js код с серверов третьей стороны.
      И хочу напомнить, что сторонний js код может:
      — сливать данные, введенные в поля ввода;
      — перехватывать cookie;
      — подменять ссылки;

      Поэтому, на текущий момент, встраивание js:
      — нарушает законы и положения лицензии на передачу данных;
      — дает третьему лицу (ООО «Рубик про», владельцу WiFly) доступ к данным пользователя (просматриваемым и вводимым);
      — нигде не афишируется (в том числе, не указано, как это отключить);

      А за это уже бывает атата.
    • 0
      Думаю, это не очень хороший метод оповещения. Как с юридической, так и с технической точек зрения. Неужели у вас нет толковых разработчиков/архитекторов, которые могут сделать такую систему технически грамотно? Могу посоветовать)
    • 0
      это весьма убогое оправдание.
      может быть у вас и есть желание информировать об акциях. но для этого следует получить разрешение абонента на такое информирование.
      вы спросили у клиента, хочет ли он видеть ваше «информирование»?
    • 0
      А почему нельзя было эту опцию сделать по-умолчанию выключенной? Если ваши эффективные менеджеры реально считают, что эта фича может быть полезна — пусть пользователи ее ручками включают.
    • 0
      Для оповещения о ЧС есть стандартная технология для мобильных операторов и интернет тут вообще не нужен.
  • +1
    Меня всегда удивляла позиция государства в таких вопросах. На абсолютно законных и справедливых основаниях можно и бюджет пополнить, и имидж поднять среди населения. Но нет, все или молчат, или тихо берут в свой карман…

    • 0
      Закидывайте РКН обращениями, не стесняйтесь. Они же для граждан, т. е. для нас, должны работать? Вякаем, товарищи, не стесняемся. Даже если заранее известно, что текущему законодательству это не противоречит.
  • 0
    Сегодня заметил это дело за Башинформсвязью.
    Не ожидал от них такого.
  • +2
    Очередной кейс от Степан Данилов и компании http://meyou.ru/
    https://www.facebook.com/photo.php?fbid=10205842565083274&set=a.1220718518071.2030726.1232185804&type=3&theater

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.