https://www.opennet.ru/openforum/vsluhforumID3/106836.html Компания Вымпелком, предоставляющая услуги сотовой связи под брендом Билайн, воплотила в жизнь технологию, грубейшим образом нарушающую все мыслимые нормы соблюдения приватности пользователей. В лучших традициях внедрения вредоносного ПО в незашифрованный транзитный HTTP-трафик клиентов началось добавление JavaScript-кода, выполняемого в контексте всех открываемых страниц, без спроса выводящего окно с рекламой услуги "Мини-кабинет (https://tyumen.beeline.ru/customers/products/mobile/services/details/mini-kabinet/)" и размещающего сбоку всех страниц специальную кнопку для быстрого обращения к данному сервису. <br><br><br>Внедряемый JavaScript-код имеет полный доступ к контексту всех незашифрованных страниц и может контролировать весь идущий через них информационный поток, в том числе вводимые пользователем пароли, параметры идентификации, частную переписку и т.п. Согласие на применение данного сервиса абонентом не давалось, подстановка JavaSсript-кода в трафик осуществлена односторонним решением оператора. При попытк https://www.opennet.ru/openforum/vsluhforumID3/106836.html#178 Fri, 25 Mar 2016 10:53:59 GMT Ни разу не встречал за всё время пользования услугами Билайн, но услуга "Мини-кабинет" не подключена по умолчанию и есть в списке возможны для подключения, а так же есть услуга "Запрет Мини-кабинета".<br> https://www.opennet.ru/openforum/vsluhforumID3/106836.html#177 Sat, 27 Feb 2016 17:06:23 GMT &gt; Всё отключается в личном кабинете.<br>&gt; Я, когда увидел, возмутился, полез искать - и отключил.<br>&gt; Было написано, что отключается на месяц, но нет до сих пор (уже <br>&gt; полгода).<br>&gt; И да, "новость" уже попахивает - протухла.<br><br>Отключается отображение левой рекламы "кабинетов" на страницах. Внедрение левого кода в страницы не отключается. Левый код продолжает внедряться, просто перестаёт отображать спам.<br> https://www.opennet.ru/openforum/vsluhforumID3/106836.html#176 Sat, 27 Feb 2016 16:58:06 GMT &gt; Будем HSTS использовать повсеместно.<br><br>Статический список HSTS<br><br>Исходный вариант HSTS не защищает первое подключение пользователя к сайту. Злоумышленник может легко перехватить первое подключение, если оно происходит по протоколу http. Для борьбы с этой проблемой большинство современных браузеров использует дополнительный статический список сайтов (HSTS preload list), требующих использования протокола https. Такой список составляется авторами Google Chrome/Chromium с 2010 года[5][6], на базе него составляются подобные списки для браузеров Microsoft (Edge и Internet Explorer, с 2015 года)[7], Safari[8] и в Mozilla Firefox (с 2012 года)[9]. В подобный список по запросу включаются сайты, использующие HSTS-заголовок с максимальным сроком и флагом preload, и не планирующие отказ от https[9], однако технология плохо масштабируется[8].<br><br>По состоянию на конец 2014 года в статическом списке находилось более тысячи доменов, из них около четверти &#8212; домены Google<br><br>---<br><br>Напоминает технологию сопоставления https://www.opennet.ru/openforum/vsluhforumID3/106836.html#175 Sat, 27 Feb 2016 12:23:32 GMT &gt; не использовать всякий левак типа киви<br><br>В каком смысле?<br> https://www.opennet.ru/openforum/vsluhforumID3/106836.html#174 Sat, 27 Feb 2016 12:21:28 GMT &gt; Чему тут удивляться-то? Эта же контора замешана в темных делишках https://megamozg.ru/post/24246/<br>&gt; После признания вины Vimpelcom Ltd. выплатит $795 млн штрафа<br>&gt; и возврата доходов, полученных от незаконных сделок. Из них<br>&gt; $167,5 млн пойдут в SEC, $230,1 млн минюсту США, а $397,5 млн<br>&gt; правительству Нидерландов. Средства были зарезервированы<br>&gt; на счетах Vimpelcom Ltd. ещё во время судебного процесса,<br>&gt; поэтому их выплата не станет проблемой для компании.<br><br>А Узбекистан, на территории которого преступления совершены, не получит вообще ничего. Хорошо капиталисты работают. Жёсткие профессионалы! :-)<br> https://www.opennet.ru/openforum/vsluhforumID3/106836.html#173 Fri, 26 Feb 2016 19:56:04 GMT &gt; А кубометр леса как был...<br><br>Да чё-то не растёт он "кубометрами"...<br> https://www.opennet.ru/openforum/vsluhforumID3/106836.html#172 Thu, 25 Feb 2016 22:17:14 GMT &gt; Увы, но не поможет. Будут делать прозрачную для обеих сторон двойную подмену <br>&gt; сертификата на узле посередине.<br><br>А как будут делать подмену впн-канала между мобилой и своим впн-сервером?<br> https://www.opennet.ru/openforum/vsluhforumID3/106836.html#171 Thu, 25 Feb 2016 10:12:14 GMT &gt; Это не первая новость про подобное, и Билайн не первый. Голосуем рублем. <br>&gt; Либо нужна серьезная атака на ресурсы Билайна, что бы показать недовольство <br>&gt; клиентов?<br><br>А к кому идти-то? МТС ворует. Открыто, много и нагло, есть куча примеров. Йота это мегафон. Теле2 это ростелеком, а там достаточно неадекватности. Мегафон достаточно дорог, но пока явных перегибов за ним замечено не было, не считая отсутствия борьбы с нелегальным перевыпуском симок, но тут просто -- не хранить больших сумм на балансе и не использовать всякий левак типа киви. И уже 16 лет на мегафоне, было много попыток уйти на что-то подешевле, безуспешно.<br> https://www.opennet.ru/openforum/vsluhforumID3/106836.html#170 Wed, 24 Feb 2016 17:14:53 GMT Вот только не надо про Нидерланды... неделю юзал в Амстере этот ваш Vodafone и плевался: по большей части подмосковный Edge напоминало - можно целый день ходить по городу в поисках хоть какого-нибудь интернета, чтобы проверить почту хотя бы по imap. А цена эдак раза в 4 выше, чем в Москве при качестве раз в 10 хуже...<br>