Укртелеком начал подменять http-запросы

1984, украина

2

4

С https тоже пытаются что-то делать — стало ощутимо тормозить.

Все http-запросы перенаправляются на http://info.ukrtelecom.ua/pages/page.jsp, который генерирует вредоносный скрипт. Например, для http://google.com сейчас генерирует вот это:

            $(document).ready(function(){
                $(".my-form_onclick__content").hide();
            });

            var count = 0;
            if (true) {
                setTimeout( function(){
                    $.post("../submit",
                            {
                                "isKeyPressed": true
                            },
                            function(data,status){
                                document.location.href = "http://google.com/";
                            }).error(function (){
                                document.location.href = "http://google.com/";
                            });
                }  , 15000);
            }

            document.querySelector(".my-header__btn-close").addEventListener("click", function() {
                    if (count === 0) {
                        $(".my-form_onclick__content").show();
                        $(".my-form__content").hide();
                        var xhr = new XMLHttpRequest();
                        xhr.open('POST', '../submit', true);
                        count++;
                        xhr.send();
                        xhr.onreadystatechange = function() {
                          if (xhr.readyState != 4) return;
                          if (xhr.status != 200) {

                          } else {
                            window.location = "http://google.com/";
                          }
                        }
                    }
                }, false);

Клиенту показывают отвратительную рекламу укртелекомовского телевиденья. Вот скрин.

POST-запрос в скрипте на http://info.ukrtelecom.ua/submit возвращает:

< Server: Apache/2.4.6 (CentOS) mod_jk/1.2.42                       
< Set-Cookie: JSESSIONID=<номер-сессии>.node2; Path=/; HttpOnly

для слежки за клиентом.

Теперь интернетом от Укртелеком точно не следует пользоваться без VPN. Лучше всего вообще перестать быть их клиентом и посмотреть в сторону других провайдеров. В дальнейшем от них следует ожидать еще более враждебных действий.

Ссылка

←	как добавлять ppa репозитории?

mogodb и «optime» : Timestamp

→

Теперь интернетом от Укртелеком точно не следует пользоваться без VPN

Сейчас никаким провайдерам не стоит доверять. Каждый второй из них встраивает какоё-нибудь жабаскрипт в http. А что они делают с твоим трафиком, что ты наблюдать не можешь, лучше вообще не думать.

Наступают времена высоких пингов!

Deleted
(17.08.17 09:14:22 MSK)

Ссылка

Я сейчас в гостях, и тут Укртелеком. Инъекцию не подтверждаю.

aidaho ★★★★★
(17.08.17 09:24:24 MSK)

Ответ на: комментарий от aidaho 17.08.17 09:24:24 MSK

Интересно, спасибо. А роутер свой или от Укртелекома?

Anatolik ★★
(17.08.17 09:47:58 MSK) автор топика

http://google.com/
http

https

Экая дичь в XXI веке.
ТС, а познакомь их с протоколом gopher:// и usenet://

Subhuman провайдеры, шибко обрадуются и такому )

~~blitz~~
(17.08.17 09:50:52 MSK)

подменять http-запросы

Это норма!

Билайн давно пихал свой «личный кабинет» в виде вываливающейся хрени. Хотя вот однако за неделю вынужденного юзания полосатого на обмылке подмен не было, возможно на обмылок не пихают.

mandala ★★★★★
(17.08.17 10:51:36 MSK)

Ответ на: комментарий от blitz 17.08.17 09:50:52 MSK

usenet://

news:// же!

Zmicier ★★★★★
(17.08.17 11:15:20 MSK)

Ответ на: комментарий от Zmicier 17.08.17 11:15:20 MSK

Именно так - newsgroups!

http://i.imgur.com/8wvOwwY.jpg - and closer look: http://i.imgur.com/bEEPgFl.jpg

~~blitz~~
(17.08.17 11:30:55 MSK)

Ссылка

А как проверить, подменяет ли мой провайдер запросы?

Bruce_Lee ★★
(17.08.17 11:31:29 MSK)

Ответ на: комментарий от Bruce_Lee 17.08.17 11:31:29 MSK

Продемонструй - можешь просто для себя - вывод с dnsleaktest.com/dnsleak.com.

Для начала.

~~blitz~~
(17.08.17 11:35:05 MSK)

Ответ на: комментарий от blitz 17.08.17 11:35:05 MSK

Я использую dnscrypt.

dnsleak.com
dnsleaktest.com

показали только используемый для этого resolver1.dnscrypt.eu.

Нормально? Если отключить dnscrypt, то находит список гугловых, что естественно, т.к. dns в роутере 8.8.8.8

Bruce_Lee ★★
(17.08.17 11:44:02 MSK)

Ответ на: комментарий от mandala 17.08.17 10:51:36 MSK

Хм, никогда не замечал. Уж сколько проблем в последнее время наблюдаю в билайне, а такого не было никогда.

l0stparadise ★★★★★
(17.08.17 11:52:19 MSK)

Ответ на: комментарий от l0stparadise 17.08.17 11:52:19 MSK

Было-было, на хттп-сайтах с краю страницы ярлык, клацаешь на него и «вываливается» панелька с парой кнопок и инфой по счёту и трафику (вроде «мини-кабинет» называлось). Хотя возможно из-за бурлений (в основном бурлили на хабре и уже растаскивали по всему рунету) могли и отказаться от этого дерьма, я тут утверждать на 100% не берусь. Это московский филиал, а по филиалам у них сильные различия, это тоже надо учитывать.

mandala ★★★★★
(17.08.17 12:01:45 MSK)
Последнее исправление: mandala 17.08.17 12:03:01 MSK (всего исправлений: 2)

Ответ на: комментарий от mandala 17.08.17 12:01:45 MSK

Речь о мобильном интернете или о шнурке? Мобильным не пользовался, на шнурке не было такого.

l0stparadise ★★★★★
(17.08.17 12:13:39 MSK)

Например, для http://google.com

Э... Расскажи, как получить http у Гугла? Он же сразу редиректит на https.

~~KRoN73~~ ★★★★★
(17.08.17 12:19:17 MSK)

Кто ж http пользуется? Везде https.

Deleted
(17.08.17 12:25:06 MSK)

Ссылка

Ответ на: комментарий от l0stparadise 17.08.17 12:13:39 MSK

Мобильный пущеный на десктоп. Я вот и думаю: может обмылков это не касается.

mandala ★★★★★
(17.08.17 13:08:06 MSK)

Ссылка

Ответ на: комментарий от Bruce_Lee 17.08.17 11:44:02 MSK

Не нормально, использовать IPv4 resolver DNSCrypt Proxy.
Нормально - использовать IPv6 resolver DNSCrypt Proxy.

Почему? Подробно и в примерами, обсудили недавно в теме о безопасности в сети.

~~blitz~~
(17.08.17 13:50:33 MSK)

Ссылка

Ответ на: комментарий от KRoN73 17.08.17 12:19:17 MSK

легко. надо просто ответить на http от имени гугла

~~ckotinko~~ ☆☆☆
(17.08.17 14:18:14 MSK)

Ссылка

Лучше всего вообще перестать быть их клиентом и посмотреть в сторону других провайдеров

угу, только куда, вымпелком?

wxw ★★★★★
(17.08.17 14:23:35 MSK)

Ссылка

Ответ на: комментарий от mandala 17.08.17 10:51:36 MSK

подменять http-запросы
Это норма!
Билайн давно пихал свой «личный кабинет» в виде вываливающейся хрени. Хотя вот однако за неделю вынужденного юзания полосатого на обмылке подмен не было, возможно на обмылок не пихают.

Нет, не норма. Если билайн подменяет трафик, то его надо за это бить, а не равняться на него.

Deleted
(17.08.17 14:42:01 MSK)

Ссылка

Ответ на: комментарий от Anatolik 17.08.17 09:47:58 MSK

От Укртелекома.

aidaho ★★★★★
(17.08.17 15:14:07 MSK)

Ссылка

У меня (ОГО) ничего не подменяется.

urxvt ★★★★★
(17.08.17 15:21:26 MSK)

Провайдеры офигели в край. Нужна глобальная децентрализованная сеть.

th3m3 ★★★★★
(17.08.17 22:14:50 MSK)

Ссылка

Совсем обнаглели.

~~Deathstalker~~ ★★★★★
(17.08.17 23:00:01 MSK)

Ссылка

Ответ на: комментарий от urxvt 17.08.17 15:21:26 MSK

urxvt, aidaho Спасибо за информацию. У меня перестало подменяться(или подменяется скрытнее).

Anatolik ★★
(17.08.17 23:04:44 MSK) автор топика

Ответ на: комментарий от Anatolik 17.08.17 23:04:44 MSK

Возможно тестировали на небольшом семпле.
Как бы ни была плоха порнография с доверенными цепочками сертификатов, но https подобные MitM-фантазии свёл практически на нет.

У меня такое ощущение, что появись инициатива только сейчас, протокол был бы запрещён и порезан много где прямо на государственном уровне.

aidaho ★★★★★
(17.08.17 23:21:20 MSK)