Comments 122
В моих тестах зловредная реклама встраивалась даже на пустой странице с одним лишь пустым тегом script в котором не указана ссылка на источник.
УК РФ Статья 272. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, — наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.
2. То же деяние, причинившее крупный ущерб или совершенное из корыстной заинтересованности, — наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок.
3. Деяния, предусмотренные частями первой или второй настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, — наказываются штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок.
Статья 273. Создание, использование и распространение вредоносных компьютерных программ
1. Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, и т.д.
Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей
(в ред. Федерального закона от 07.12.2011 N 420-ФЗ)
1. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее
Не подпадает — они не вносят изменения в "компьютерную инофрмацию", т.е. не вмешиваются в работу вашего или чего-то ещё компьютера.
Они вмешиваются в транзитный трафик, который пользователь самостоятельно прогоняет через их оборудование.
И уверен, что прикроются либо "внесение изменений, необходимых для осуществления транзита" (посудите сами — они и NAT должны делать и ethernet заголовки править, иначе пакет просто не пройдёт, либо "ПО было атаковано неизвестными хакерами, которые настроили систему для помены трафика. уголовное дело в отношение неустановленных хакеров заведено".
На самом деле грустно это всё.
И ещё один повод для принудительного перехода на HTTPS даже там, где это, на первый взгляд, нафиг никому не надо.
и как бы, всем пофиг.
А уж мелкие шалости с байтиками в потоке…
Нет, не несёт. Почитайте договор внимательно.
Ни один isp не гарантирует целостность передаваемых данных. Так как это технически не возможно.
Подсовывать чужие скрипты явно не является необходимостью...
Вопрос-то изначально был в другом — что можно с этим сделать с юридической точки зрения.
С моей точки зрения — практически ничего.
Первым делом вы задолбаетесь доказывать, что это делает именно ростелек, а не, к примеру, исходный сервер.
Давайте рассмотрим теоретически — вы утверждаете, что ростелек вносит изменения в ваши скрипты с jQuery, ростелек утверждает, что это не они.
Вы через суд требуете экспертизу.
Суд назначает… произвести выемку серверов, на которых лежит jQuery для анализа кода и отдаваемых данных. Дальше продолжать? :)))
Берём более простой случай — данные подменяются в выдаче вашего сайта mysite.ru. Он находится на физическом сервере, принадлежащем вам.
Вы отдаёте ваш сервер на судебную экспертизу, через 3-6 месяцев (хотите быстрее? а вы сможете быстрее проверить всё, включая бинарные библиотеки операционной системы?) «на основе находящейся на серверах информации — данные выдаются без подмены».
Вопрос суда (С) — озачает ли это, что подмену делал ростелек?
Ответ эксперта (Э) — нет, отсюда этого не следует
С — как могла происходить подмена?
Э — подмена могла производиться предыдущей версией ПО, установленной на сервере, подмена может проводиться транзитными операторами, любым из 5 транзитников
Дальше продолжать?
Вы споткнётесь на первом же пункте — на доказательстве, что подмену делает именно ростелек.
1. Ростелеком не имеет права модифицировать данные чужих сайтов. Они не имееют на это согласия владельцев сайтов и не передают им часть прибыли. Возможно эти действия похожи на то, что они пользуются чужой собственностью с целью извлечения прибыли.
2. Получатель услуги (абонент) не давал согласия на модификацию трафика, а именно показ рекламы там, где ее быть не должно.
Не юрист, возможно меня поправят.
Хм.
- РТК и не модифицировал данные. Он добавлял свои данные. Аргумент скользкий, но обычно прокатывает.
- А вы внимательно читали договор? Скорее всего там есть пункт о согласии абонента получать рекламу и таким образом.
РТК и не модифицировал данные. Он добавлял свои данные.Так это и есть модификация данных, разве нет?
Представьте, например, в музее картине Рембрандта добавили новую фигуру.
Посмотрите на это с другой стороны.
Допустим вам в метро будут лепить на спину баннер, без вашего ведома и согласия.
При этом неплохо зарабатывая на этом.
Заявление В ФАС и Роскомнадзор. С подробным описанием.
Надо посмотреть как будут выкручиваться.-) а так, только поголовное распространение этой информации и демотиваторы на тему Ростелесрам
Не подпадает — они не вносят изменения в "компьютерную инофрмацию", т.е. не вмешиваются в работу вашего или чего-то ещё компьютера.
С точки зрения здравого смысла JS как раз таки является программой (точнее ее частью), которая выполняется на моем компьютере. С 272 тут можно отмазать, но вот 273 уже подгоняется довольно неплохо.
Но юристы наверняка смогут натянуть обратное. А если и нет, то для ростелека это спустят на тормозах
Обе статьи направлены на данные, хранящиеся в вашем компьютере.
Более того, они рассматривают неправомерный доступ к этим данным, т.е. вы не хотели, чтобы кто-то эти данные увидел, а они их увидели и нанесли вред.
А тут речь идёт про те данные, которые передаются по сетям электросвязи.
Во-первых, они уже не хранятся на вашем компьютере и статьи неприменимы.
Во-вторых, доступ правомерный, т.к. по вашему указанию сеть оператора обеспечивает транзит трафика.
А нигде ничего не сказано о возможностях изменять этот трафик.
Поэтому операторы добавляли, добавляют и будут добавлять всякий мусор до тех пор, пока не появится отдельная статья, описывающая работу с транзитом трафика.
_)))
Ну давайте немного посмеемся.
Цитирую: «по вашему указанию сеть оператора обеспечивает транзит трафика.
А нигде ничего не сказано о возможностях изменять этот трафик.»
Вы понимаете под транзитом что? Взял, поиздевался, изнасиловал, выбил глаз, отпустил (или выбросил из машины) домой и сказал ЧТО ТАК И БЫЛО?
или чета ЗдесЯ не так?
Давайте вы тоже определитесь.
«Транзит» — ваше определение
и«возможнсоть изменять трафик» — у вас синонимы, это мы уже поняли.
Но это крайне не вяжется ни с УК ни с ГК.
Готовы доказать обратное?
Вы понимаете под транзитом что?
Вы верно мыслите — в законах такого понятия нет (или я в такой формулировке не видел), а раз нет, то и наказания не предусмотрено. Точнее есть там кое-что о передаче данных, но нет ничего, связанного с (не)модификацией передаваемой информацией (если я ошибся, то дайте ссылку на конкретные статьи).
Я смотрю на эту ситуацию по другому — есть понятия «в соответствии с буквой закона» и «по совести».
Суды наши работают в соответствии с буквой закона (и могут выборочно в разных местах применять разные «букву». что есть, то есть) и я считаю, что текущая формулировка указанных законов не позволяет как-либо наказать «эффективных менеджеров», которые решили пихать рекламу в абонентский трафик.
Не согласны?
Буду ОЧЕНЬ рад ошибиться.
Подавайте в суд, держите в курсе, все будут только «за» вас.
А пока оператора наказать можно только «рублём», когда недовольные абоненты уйдут к конкурентам. Это если есть куда уходить…
www.youtube.com/watch?v=I9dckx73vdI
Почему, собственно, все напрягаются когда заходит речь про список корневых сертификатов (точнее, про установку туда чего-либо).
Ещё в случае если между юзером и сайтом вклинился SSL Strip и юзер это не просёк. Для защиты от такой напасти есть HSTS Preload, но Госуслуги как раз его не используют.
минкомсвязь давно суёт серт на нужных бухгалтерии сайтах, это не оно?
Извините за такую аналогию, но в данном случае обкладывание сертификатами походит на вставляние пробки в одно место для защиты от лося. Не поймите неправильно, я всеми руками за HTTPS (на работе в любом вновь разворачиваемом сервисе с веб-интерфейсом, независимо от его критичности, обязательно настраиваем HTTPS). Но в данной ситуации надо лечить заболевание, а не симптомы. И здесь, наверное, действительно, УК нам в помощь.
Просто иначе в какой-то момент нам начнут подсовывать что-то покруче, например, MRG вспомнит былое и начнет пихать Амиго/whateverelse через уязвимости в пользовательском ПО.
хостингер.ру наоборот, сертификат сделали платным. Либо можно его бесплатно обновлять руками.
Для клиентов — после звонка в поддержку отключают рекламу.
В моем случае были еще редиректы эротического характера — проблема была в их ONT-терминале, после сброса настроек все решилось. Пароли на нем по-умолчанию и без танцев с бубном не меняются.
Если соединение не защищено, все заголовки CSP отрезаются с таким же успехом
Как бороться с баннерами от Ростелекома? По возможности не подключать Ростелеком. А если вам звонят и предлагают что-то из их услуг, тонко намекните оператору, что РТК поступает подло и гнусно, подсовывая рекламу. Можно попросить рассказать об этом начальству.
Как бороться с баннерами от Ростелекома?
Вообще-то это вторжение в частную жизнь, жилище, как угодно называйте. Я не приглашал к себе тем более Ростелеком (наелся его услугами, будь то телевидение или домашний телефон). За это надо наказывать. Интересно что думает ФАС?
посмотреть есть ли скайнет, если питер, у них с домрой примерно один охват.
Хотя я сам на рт сижу, потому что оптика, очень меня утомили "не работает интернет - оставьте заявку на форуме, доступном только из этой же локалки" и "у вас домовой свич завис (на чердаке), мастер в понедельник придёт". За 4 года никаких проблем со стабильностью, да и баннеров ни разу не было, но тариф топовый.
Про чердак особенно доставляет, когда ключи от него только в ЖЭК и их получить это квест на несколько дней.
Для простого пользователя это должно выглядеть как расширение для браузера, в которое только надо забить логины и пароли от акаунтов SIP-телефонии, ну и периодически пополнять эти акаунты деньгами и регить новые по мере блокировки старых.
Если такое сделать, это нанесёт мощнейший удар по любителям такой непрошенной рекламы. И реклама, как когда-то, снова станет в виде нетаргетированной jpeg-картинки в углу сайта.
Кто-то говорил, что этот инструментарий можно будет использовать против конкурентов. Ну — возможно, где-то кто-то так сделает. Но и сейчас есть много способов насолить конкуренту, но в глобальном масштабе это не особо заметно.
в свое время Blue Frog пыталась так работать против спама на емайл, пока ее в 2006 не закрыли. интересная история как таковая.
Предлагаете сразу "подписаться на статью"?..
Ваш призыв к преступлению так же попадает под УК.
Да и бороться незаконными методами никогда не помогало. Тем более вполне можно бороться в правовом поле.
Кроме того, можно внешние ресурсы подключать по https, даже если сам сайт еще не переведен.
Эпик был когда баннер РТ отобразился вместо контента клиента стима.
В ТП сказали, что такой способ юзают. Но потом в письме сообщили, что ничего не делают и это стим решил показать баннер услуги РТ по игровой тематике.
По внешним признакам, там идет атака на dns — отдается ответ с нужным адресом и нулевым временем жизни. Далее редирект на целевую страницу.
Да, я использую гугловые сервера, который умеют в DoH, но не каждый клиент может с этим работать. Мой роутер вроде бы как бы тоже умеет, но видимо не всегда это срабатывает. Подозреваю, что в случае отказа over https идет обычный запрос. Но это не точно — сейчас я сужу только во воспоминаниями внешних признаков.
Кстати, вспомнил еще один мерзкий случай.
Провайдер может сообщить по сети о необходимости авторизации в сети и прислать ссылку, по которой нужно ее провести. Операционна система в данном случае откроет ее и отобразит пользователю для ввода данных авторизации.
Кто догадается какая что находится по ссылке для авторизации в сети? :)
Технические способы борьбы с этой гадостью это конечно полезно, но по-моему тут главная проблема не в самих баннерах а в том что провайдеры себе вообще такое позволяют. Всё-таки у нас не анархия а государство, и надо как-то на этом уровне такие вещи пресекать, наказанием (существенными штрафами или посадками) тех кто это всё организует. Хотя как именно такого добиться, увы, не знаю.
Но вообще индустрия предоставления доступа к интернету, считаю, себя уже дискредитировала в качестве надёжного и безопасного канала (когда-то и в голову прийти не могло, что они станут на официальном уровне подменять контент или шпионить на клиентами), так что лучше делать https, просто на всякий случай от возможных проблем (могут быть и другие).
Несмотря на то, что специалистов по поисковому продвижению на Хабре не жалуют, именно они топят за переход на https.
… при поддержке Mail.ru
Опять за старое. Не успели у народа ещё стереться былые воспоминания, а Mail.ru вляпалось в новое.
«1. Распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы. При этом реклама признается распространенной без предварительного согласия абонента или адресата, если рекламораспространитель не докажет, что такое согласие было получено. »
Предположим рекламные щиты размещенные вдоль трассы, все они принадлежат той или иной рекламной компании, которая за них платит аренду, содержит в исправном состоянии. Попробуйте на этом щите наклеить свою рекламу. Точно также и сайтом, Вы несете расходы на доменное имя, содержание и наполнение сайта. Проверяйте куда идут ссылки. Далее пишите претензию, требуйте материальной компенсации пару процентов от их прибыли. Не получили компенсацию и плату, подавайте иск в суд.
А вставки в скрипт это временная полумера, засренец не понес ответственности, в конечном итоге, он и на вставку сделает обход.
Ребята, я в этом не шарю, но хочу узнать побольше. что это значит ""Достаточно в URL скрипта добавить произвольный параметр:" где добавлять, что за параметр, откуда он возьмётся.? где об этом можно почитать
<script src="/path/to/script.js"></script>
добавьте в конц пути скрипта знак вопроса и любые символы:
<script src="/path/to/script.js?param"></script>
и такой скрипт не будет подменён у пользователей вашего сайта которые просматривают его через Ростелеком
RewriteEngine On
RewriteCond %{HTTP:X-Forwarded-Protocol} !=https
RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI} [R=301,L]
И всё, 2 минуты. Зашел на сайт проверил: замочек появился у строки броузера и на нем можно посмотреть сертификат. Http можно совсем заглушить у хостера в панели управления
Входящий звонок на 8-800 всё рано оплачивается компанией, в которую звонят. Понятно, что в случае Ростелекома такой звонок вызовет лишь перекладывание денег из одного кармана в другой, но в случае более мелкой компании… Не вижу законодательных препятствий позвонить и доходчиво изложить свою точку зрения. А вы, коллеги?
Дважды обращался в тех.поддержку РТ. Оба раза согласились отключить.
Когда по истечении 10 дней (столько, согласно ответу оператора они обязаны обрабатывать заявку) ничего не изменилось, отправил две жалобы в РКН и в ФАС.
После этого в третий раз обратился в РТ и попросил отключить загрузку доп. ПО.
Мне ответили, что ничего не загружают, на что я попросил, письменный ответ выслать в том, что ничего не загружают.
Спустя пару дней все прекратилось…
Правда, позже выяснилось, что РКН и ФАС перенаправили жалобу в МВД, а те уже связались с РТ и брали объяснения с них.
И еще один итог… РКН и ФАС ничего в рамках своих компетенций не нашли, судя по их ответам.
Столкнулся с этой бедой только сейчас, при разработке своего сайта.
Решил вопрос изменив расширения фала скрипта. Вероятно, что "?banner=off" решает ту же самую задачу, Ростелеком просто сравнивает последние 3 символа с ".js" и тогда начинает делать свои злые дела.
Тоже с таким столкнулся как раз работа удаленно. В итоге нарыл, что РТ работает совместно с https://qt.media/ - вот эти вот нехорошие люди показывают рекламу которую вы и оплачиваете.
Весьма эффективно эту беду устраняет заявление в полицию ... Проверено
Рекламные баннеры Ростелекома и как с ними бороться