Обратите внимание, что новости можно получать по RSS.
X
-

Информационные технологии

27 апреля 2016, 04:54 (3165 дней назад) № 9986
Вчера внезапно обнаружил, что мой провайдер (Beeline) автоматически молча вставляет во все просматриваемые мной сайты некий скрипт. Из которого, взависимости от их настроения, можно делать что угодно - отслеживать, что и где я смотрю, менять содержимое отображаемых страниц и т.д.
По-моему, они там вообще связь с реальностью потеряли.
(технически сделано так: включаемый скрипт scwn.js находится в предоставленном ими роутере, а из него вызывается другой, который уже лежит на их сервере abc.beeline.ru)
Опубликовано: Пётр Соболев
44C

Комментарии (45):
27 апреля 2016, 05:58 Olga Voronetskaya: Ишь ты
27 апреля 2016, 06:19 Sergey Tretyakov: осталось только поменять адрес роутеру
27 апреля 2016, 06:31 Sergey Tretyakov: на хабре обсуждалось еще год назад, даже ответ билайна был странно что не починили
27 апреля 2016, 06:31 Sergey Tretyakov: ссылка 1L
27 апреля 2016, 07:52 Романов Максим: Я это начал ловить через 3G Гдето года три назад. Тогда они ребрендинг делали и начали во все нешифрованные hhtp всовывать свои скрипты. Самое заметное было то, что на некоторых форумах к чертям разваливалось отображение. Половина страницы нормально / половина код и мусор.

Пару раз это чудо даже какие-то свои меню и бары рекламные открывало.

В службе поддержки все отрицали. Это у меня. Типа. Хотя на одном линке хтмл изменений не было, а на другом - сразу.

Даже в fb на их страничке скрины типа твоего постил. Типа мы починили. Прошлось забить на их интернет 3G, особенно после пары повышения тарифов.

Нашёл ссылка

Причём поначалу помогала подмена агента. Потом допилили 1L
27 апреля 2016, 08:26 Denis Vlasov: Попросил саппорт помочь в отключении этой штуки. Отправили в личный кабинет. Ну а там нет ничего. )
27 апреля 2016, 09:46 Albert R. Timashev: Пользуйтесь VPN, например ZenMate (есть клиенты для iOS и Android, extension для Chrome и т.д.). Плюс удобные премиум фичи (причем можно в интернете найти купоны на скидку). Рекомендую!
27 апреля 2016, 09:53 Vsevolod Potapov: а мы несколько лет назад заметили что иногда при запросах со всех мобильных операторов путаются буквы в параметрах запроса. ну типа на сайте url?bt=21 а приходит url?tb=21. причем провайдеры никогда не отвечали на вопросы какого х.
27 апреля 2016, 11:10 Andrey Fesenko: Говорят что прям в нём можно отключит "навсегда" ссылка

Кстати, лайвхак, они в твитере и по почте всё же весьма толково и оперативно реагируют
27 апреля 2016, 11:18 Valentin Kozin: Та же штука раньше внедрялась при использовании мобильного интернета от них. Один раз помогла - стал заканчиваться оплаченный трафик, мне выдалось сообщение.
27 апреля 2016, 11:20 Елена Жукова: а на телефоне это можно как-то отключить? Только я не настолько продвинута, чтобы понимать все эти ваши термины. Но почитала - не понравилось мне все это. Дома у меня другой провайдер, а телефон билайновый. Можно сказать, какие кнопочки нужно нажать?
27 апреля 2016, 11:53 Елена Жукова: Спасибо! Кажется, это стало их девизом: "мы предлагаем Вам все для Вашего удобства". Вот недавно они для нашего удобства убрали в роуминге единичные звонки за 25 рублей/мин и дали пакет 200 рублей/20 минут. Позвонил тебе пожилой родственник, ответил ты на его звонок. И вот плати 200 рублей, даже если сказал лишь: "я долетел, все в порядке". Недавно ругались здесь, в фб, с билайном. Они делают вид, что ничего не понимают. Думаю, скоро выдумают еще что-нибудь, чтобы за нами следить, но об этом опять ничего не скажут. Пока кто-то умный не обнаружил
27 апреля 2016, 13:04 Елена Жукова: а вот теперь вопрос по теме. Я все отключила и получила сообщение (в ответ на вторую комбинацию знаков), что мне отключили сервис бесплатных сообщений. А что это для меня будет означать? Что именно теперь я не буду получать?
27 апреля 2016, 13:32 Andrey Fesenko: Видимо, он какие то нотификации ещё может хотеть прислать, о эти волшебные номера оказывается есть на странице услуги ссылка если пооткрывать все скрытые тексты
27 апреля 2016, 13:45 Cate T Archer: Я звонила в билайн, разговаривала, плакала, орала, запретила вставлять свои скрипты в мои сайты... Им пофик.
27 апреля 2016, 14:40 Peter Sobolev: После моего им письма они написали, что выключили и, по крайней мере сейчас, скрипт не вставляется. Т.е. если кто-то начинает возмущаться, они индивидуально такое практикуют. Без всяких извинений - просто как будто отключили ненужную услугу.
Думаю заметили этот скрипт доли процента от всех их клиентов, так что на их глобальную деятельность (какие бы цели они там не преследовали) отдельные запросы конечно не влияют.
Вот здесь, кстати, любопытная ветка на их форуме:
ссылка
27 апреля 2016, 14:43 Andrey Fesenko: Ага, меня вон тоже в твитере убеждают, что я чуть ли не благодарен должен быть, что они способны это выключить для меня
27 апреля 2016, 15:05 Sergei Frolov: А можно ли средствами просматриваемой страницы как-то проанализировать, что ее код изменен?
27 апреля 2016, 15:08 Andrey Fesenko: Ну просто посмотреть код страницы, на мобильном хроме и ff кстати тоже можно, добавив перед адресом view-source:, и там поискать beeline.
Если же про верификацию содержимого как таковую, то такое возможно если страница сознательно содержин тапример подпись, ну или лучше просто если доступна по hhtps, в него вмешаться куда сложнее и он как раз поддерживает средства, что бы сообщить что канал доставки доверен или нет. 1L
27 апреля 2016, 15:22 Andrey Fesenko: Что бы по https что то "вставить" нужно валидный сертификат, что не очень просто, так же есть специальные методы, что бы владелец сайта мог указать, какому именно сертификату он просит доверять, и даже имея валидный но не тот сертификат, ничего ничего не получится.
27 апреля 2016, 16:32 Peter Sobolev: По https конечно не вставляет (не потому, что они не хотели бы, а потому, что не могут :) )
27 апреля 2016, 17:06 Peter Sobolev: Сергей: смотря что называть "изменён". Можно в самой странице встроить свой код который будет, скажем, считать количество тэгов или что-нибудь в таком духе. И ругаться если оно не соответствует заданному. Но это прокатит только со статическими страницами. Можно аналогичным образом искать в странице тэги, которые предназначены для загрузки других скриптов. Но опять же - это не универсальное решение и при желании легко обходится.
Целесообразнее написать плагин для браузера, следящий, обратилась ли страница к какому-нибудь хосту из чёрного списка (в данном случае к abc.beeline.ru). Но если хост сменится то, опять же, это не сработает.
27 апреля 2016, 18:29 ALex Vertinsky: Noscript аддон
28 апреля 2016, 00:02 Alex Childermas: или не юзать их роутеры))
28 апреля 2016, 02:47 Pyotr Fomin: это , как скажем , внезапно обнаружить в chrome скрипт , который пытается исполнить методами opengl на встроенной видеокарте ...
28 апреля 2016, 09:40 Vadim L. Priluzkiy: Это ещё по божески. Вот где страх потеряли вообще... ссылка
28 апреля 2016, 14:08 Artem Rezinkin: как дети чесслово...
28 апреля 2016, 18:45 Екатерина Вараница: Здравствуйте, Пётр! Вставка контента не меняет исходный код web-ресурсов в интернете и, с точки зрения закона, является абсолютно легитимной при использовании для контакта с абонентами. Что касается безопасности, то данный код ни в коей мере не может использоваться для мошеннических действий в виду того, что любая конфиденциальная и наиболее важная информация пользователя в интернете всегда передается с использованием зашифрованного протокола HTTPS, при котором данная услуга не задействована. В случае использования открытого протокола HTTP вся информация в любом случае проходит через сеть оператора в открытом виде. При этом, информация о пользователе никогда не выходит за рамки операторской инфраструктуры и данное требование было согласованно с внутренней службой безопасности.
28 апреля 2016, 19:00 Peter Sobolev: Екатерина: Вас в нарушении закона никто и не обвиняет. Не сомневаюсь, что юридически всё прикрыто. Людей, однако, больше интересует практическая сторона вопроса, как мне кажется.
То что, как вы говорите, это всё согласовано с вашей службой безопасности лишь подверждает, что подобная вставка кода в страницы является не чьей-то частной инициативой, а санкционирована компанией.
Если вы считаете подобные репутационные издержки приемлимыми, ок - продолжайте. 1L
28 апреля 2016, 19:04 Andrey Fesenko: А меня например как то не очень убеждает " с точки зрения закона, является абсолютно легитимной" помнится мегафон вроде так же скандалился, да и много кто палился с таким.

Екатерина Вараница, вот если бы вы привели цитату с какого нибудь решения суда или от того же роспотребнадзора, то было бы интереснее
28 апреля 2016, 19:17 Andrey Fesenko: Екатерина Вараница "Не меняет исходный код web-ресурсов"
Кто вам сказал такую чушь? как минимум она мне добавляет нежалательный контент на страничку, на тех же смартфонах, в него очень легко случайно попасть пальцем и откроется не нужный мне кабинет
28 апреля 2016, 19:29 Maxim Muchkaev: Я в последнее время практикую простую позицию - если оператор чудак = отключаемся от оператора. Проблема лишь в том, что чудаки в нашей стране все операторы и тут лишь два варианта - отказ от интернетов или эскалация на высший уровень. Оба главных по интернету в стране - бывшие активные спектрумисты. Сценарий очевиден. 2L
28 апреля 2016, 19:55 Alexander Shalugin: гугл с яндексом и майкрософтом следят гораздо больше. и что из этого?
28 апреля 2016, 19:58 Peter Sobolev: Саша: ну вообще-то они периодически и расхлёбывают разного рода скандалы, по-очереди.
28 апреля 2016, 20:00 Alexander Shalugin: я к тому, что слежка сейчас - это норма жизни
28 апреля 2016, 20:02 Peter Sobolev: Я бы не стал обобщать. Стоит рассматривать конкретные случаи и конкретные технологии.
28 апреля 2016, 20:03 Alexander Shalugin: современные смартфоны отслеживают кучу всего, это ли не повсеместно?
28 апреля 2016, 20:43 Irina Bubnova: Жаль, впрочем, за всем не уследишь;) а кто уследит, тот сам дурак).
28 апреля 2016, 21:56 Max Tulyev: Я чет не понимаю. Почему все спорят с какой стороны кактус жрать вкуснее?
Во-первых, отключать к чертям собачьим за такое нужно весь билайн целиком. Конкуренция среди провайдеров слава боу есть еще.
Во-вторых, эти ихние хрени - дополнительный трафик, незапрошенный, случайно или специально. Надо бы письменную жалобу написать.
28 апреля 2016, 22:08 Mihail Vasiliev: Это уже довольно старый боян. На хабре народ вроде писал, что можно умеючи проесть мозг билайну, чтоб отрубил.
28 апреля 2016, 22:41 Yuriy Novostavsky: abc.beeline.ru в /etc/hosts на 127.0.0.1 и менять роутер и/или провайдера 1L
28 апреля 2016, 23:56 Alex Childermas: всё интересней и интересней)) интересно, чем закончится
29 апреля 2016, 06:17 Dmitry Klymenko: Не расстраивайтесь:) государство тут бандитизмом занимается а вы поповоду мелкого хулиганства переживаете
29 апреля 2016, 08:37 Кирилл Горбачёв: ссылка
30 апреля 2016, 19:20 Georgii Kyrylenko: Бредовая делитантная публикация! Где исходный код этого скрипта???? Любой Java Script априори не сможет без дополнительных сценариев на сервере сайта передавать какие либо данные! Бред сивой кабылы! А точнее данные передаются исключительно Ajax запросом post или get методом но Ajax запросы на сторонние вебсайты, как правило, невозможны из-за ограничений безопасности в самой технологии и Но есть несколько методов обхода данных ограничений только php командой которая разрешает этот обход на Apache. И больше никак! Ваш Билайн скорее всего JavaScript(Ом) корректирует ip адрес в зависимости от местонахождения и не более того.
Эта заметка и комментарии к ней в Facebook: ссылка

Случайная заметка

9002 дня назад, 18:024 мая 2000 Время покупать GPS-приемники: системы позиционирования, базирующиеся на GPS , теперь будут выдавать координаты на порядок точнее - американцы выключили деградацию сигнала. Теперь точность возросла с сотни метров до десятка. #p# И время писать новые аппликухи и продавать их вместе с приемниками. Потенциальных применений ...далее

Избранное

2792 дня назад, 01:575 мая 2017 Часть 1: От четырёх до восьми Я люблю читать воспоминания людей, заставших первые шаги вычислительной техники в их стране. В них всегда есть какая-то романтика, причём какого она рода — сильно зависит от того, с каких компьютеров люди начали. Обычно это определяется обстоятельствами — местом работы, учёбы, а иногда и вовсе — ...далее

2304 дня назад, 20:305 сентября 2018 "Finally, we come to the instruction we've all been waiting for – SEX!" / из статьи про микропроцессор CDP1802 / В начале 1970-х в США были весьма популярны простые электронные игры типа Pong (в СССР их аналоги появились в продаже через 5-10 лет). Как правило, такие игры не имели микропроцессора и памяти в современном понимании этих слов, а строились на жёсткой ...далее