«Мегафон» (и не только) подкладывает свинью

Тема данного вопроса больше затрагивает разработчиков сайтов, чем пользователей, хотя свою долю неприятных ощущений получит каждый.

Совершенно случайно недавно заметил, пока тестировал один из сайтов на этапе разработки, что при просмотре с мобильных устройств или даже на стационарном компьютере либо ноутбуке, подключенном к интернету через раздачу wi-fi от мобильного устройства, в текст и дизайн тестируемого сайта вклиниваются какие-то «левые» рекламные объявления с непонятным содержанием. При этом, в коде сайта априори не было ничего, что вызывало бы трансляцию рекламы. Несложный анализ довольно быстро показал, что виновником «лишнего» оказался оператор связи «Мегафон».

«На лету», пока страница подгружается с сервера в браузер пользователя, «Мегафон» совершает что-то вроде MITM-атаки, внедряя в текст страницы собственный код, содержащий вызов рекламных блоков каких-то рекламодателей, которые за подобный показ оплачивают в кассу сотового оператора. Опрос других разработчиков показал, что и «Билайн» и «Теле2» в своё время грешили тем же самым.

С одной стороны, проблема лечится довольно просто — на сайт надо установить любой сертификат SSL — достаточно даже бесплатного от Let’s Encrypt, которым можно автоматически разжиться почти у каждого хостинг-провайдера. С другой стороны, удивляет крохоборство «Мегафона», гадящего себе в карму подобными выходками. Да, разумеется, в договоре владельца сим-карты есть пункт, согласно которому оператор связи оставляет за собой право показывать на мобильных устройствах подобную рекламу. Но это ни в какие ворота не лезет…

Если бы дело ограничивалось только рекламными модулями, иногда грубо разрывающими своим присутствием смысловую нагрузку запрограммированного контента, то можно было б просто устно отнести «Мегафон» к ярким представителям сексуальных меньшинств с низкой социальной ответственностью. Хотя, если пользователь не осведомлён о том, что всплывшая реклама к хозяину сайта не имеет отношения, то машинально и его отнесёт в ту же категорию. Проблема ещё и в том, что помимо «просто рекламы» ничего не подозревающему пользователю могут навязываться завуалированные предложения, случайный «клик» на который повлечёт за собой, например, инициацию платной подписки на никому не нужный «мобильный антивирус» или «замену гудка» и т. п. И вот тут, из-за незнания истинной ситуации, юзер, по его мнению, совершенно справедливо будет предъявлять претензии владельцу сайта «с дыркой».
— Платную подписку на чьём сайте «подцепил»? На твоём! Отвечай!

Конечно, где-то в недрах настроек «Мегафона» наверняка есть та самая заветная опция отключения навязчивого спама, для активации которой, конечно же, надо приходить в офис и писать заявления, но кто про неё знает… Поэтому владельцам сайтов, хотели они того, или не хотели, надо принудительно переходить на использование SSL.

Кстати, «гадить» подобным образом в реальности может не только ваш сотовый провайдер, а любой бесплатный (и платный, тоже) хотспот wi-fi, к которым вы так любите подключаться в общественных местах. MITM-атаки как раз и основаны на незащищённости http-соединения, позволяя как внедрять в просматриваемую вами страницу практически любой, в том числе, исполняемый, код, так и считывать вводимую вами в телефоне информацию — фрагменты переписки, пароли, личные данные…

Так что, пользователи — соблюдайте гигиену связи, а сайтостроители — все переходим на SSL! Берегите себя, свои данные, и свои нервы.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *