Email or username:

Password:

Forgot your password?
def 🇬🇪 #nowar

что. за. пиздец.

Вот вам немного жести из России: Ростелеком занимается вставкой (инжектированием) лютейшей провоенной пропаганды на сайты без протокола HTTPS. Заметил, когда буквально тестил свой сайт на Гитхабе

(ссылку на автора не даю по личным причинам)

31 comments
Данила

@dettlaff пиздец, слава богу ушел от телекома из-за того что в мой дом шла только старая линия с тремя мегабитами скорости

Шуро
@dettlaff Он просто рекламу втыкает, что купили - то и воткнулось. В Москве есть хороший оператор публичных сетей Максима Телеком, тоже на этом попадались.

Кстати, интересно, не попадает ли это по закону под взлом :)
D:\side\

@shuro Мегафон годами подобным развлекается, ему до сих пор ничего за это не стало:
habr.com/ru/post/506218/

@dettlaff

def 🇬🇪 #nowar

@dside @shuro пидорасы бл, таких нужно закапывать в землю живьем

Мя :sparkles_lesbian:

@dettlaff и остались люди, которые уверяют, что "если на сайте не передается конфиденциальная информация, то и HTTPS не нужно" :blobfoxgooglyholdingitsheadinitshands:

localhost(tech_mode=True)
@mo
Кстати, а шифровка вроде будет работать и с самоподписанным сертом вродь, да браузер и другое будет орать, мол не ходи опасна, но лучше чем ничего?
@dettlaff
MrClon

@frssoft самоподписанный сертификат скорее всего сломает работу подобного инжектора рекламы, но только потому что его разработчики (скорее всего) не озаботились подменой самоподписанных сертификатов на свои. Подменить один самоподписанный сертификат на другой не трудно, но какой в этом смысл ели самоподписанные серты используют редко и в основном для всяких админок и прочих технических вещей

@dettlaff @mo

Шуро
@dettlaff @mo @frssoft С самоподписанным проблема в отсутствии проверок. Злодей может точно так же подпихнуть свой трафик с самоподписанным сертом (своим), а сверять их свойства вряд ли кто будет.
Мя :sparkles_lesbian:

@dettlaff собственно вот живой пример

Шуро
@dettlaff @mo Ну, там возможны варианты. Например, можно подгрузить форму для ввода этих самых данных :)
MrClon

@dettlaff вот поэтому, при всех недостатках существующей PKI, HTTPS это маст хэв. Дело даже не в военной пропаганде, а в том что перехват и модификация трафика превратился из элемента историй про Алису, Боба и Труди в устоявшуюся бизнес-практику

Gitt

@MrClon @dettlaff
Давно пора уже всем браузерам перестать открывать ресурсы по голому HTTP. А порты 80 и 21 прописать во все файерволлы по умолчанию с завода.

def 🇬🇪 #nowar

@gitterhub @MrClon бред, у меня 10% сайтов без https

MrClon

@gitterhub чтобы что? https и без эдакого эктремизма победно шагает по планете. Зачем вводить ограничения без нужды?

@dettlaff

Gitt

@MrClon @dettlaff Чтобы последние 10% вымерли побыстрее.

def 🇬🇪 #nowar

@gitterhub @MrClon если какой -то мудозвон будет мне запрещать мне ходить туда куда я хочу ходить, я пошлю его на х-й, и поставлю другой браузер. вот и все, точно так же сделают 99% других юзеров

Gitt

@dettlaff @MrClon Идешь в настройки и разрешаешь хттп, после ста тридцати предупреждений и согласившись на риски. Еще можно разрешалку сделать на индивидуальные урлы.

Шуро
@MrClon @dettlaff @gitterhub > Идешь в настройки и разрешаешь хттп, после ста тридцати предупреждений и согласившись на риски. Еще можно разрешалку сделать на индивидуальные урлы.

Это уже так и есть :)
MrClon

@gitterhub чтобы что? Проблем эти оставшиеся 10 или сколько там процентов никому не создают, так зачем регулировать то что можно не регулировать?
Зачем принудительно осчасливливать других людей?

@dettlaff

Gitt

@MrClon @dettlaff Если даже 1% населения будет продолжать ходить на эти оставшиеся 10%, это 0.1% популяции. Если хотя бы 10% этой популяции использовать для ботнета, это ж какие широкомасштабные атаки можно разворачивать.

MrClon

@gitterhub какая связь между http и ботнетами? Вирусню практически всегда не MitM подсовывает, а вполне легитимный сервер (взломанный, или изначально контролируемый злоумышленником).

Ох уж мне эти любители кому-нибудь что-нибудь запретить во имя всеобщего блага, не подумав и не разобравшись помогает-ли решению проблемы предложенная мера, какие у неё будут побочные эффекты, и существует-ли вообще эта проблема.

Некогда думать, надо же что-то делать, привлекать внимание к проблеме, демонстрировать своё неравнодушие

@dettlaff

@gitterhub какая связь между http и ботнетами? Вирусню практически всегда не MitM подсовывает, а вполне легитимный сервер (взломанный, или изначально контролируемый злоумышленником).

Ох уж мне эти любители кому-нибудь что-нибудь запретить во имя всеобщего блага, не подумав и не разобравшись помогает-ли решению проблемы предложенная мера, какие у неё будут побочные эффекты, и существует-ли вообще эта проблема.

Gitt

@MrClon @dettlaff Запретить - это если бы я позвонил своему избранному депутату в Госдуме, и предложил выдвинуть законопроект, обязывающий всех ISP закрыть порт 80. А так, это не запрет, а просто избавление от легаси балласта.

MrClon

@gitterhub ты предлагаешь принудить других людей (у которых вообще-то своя голова на плечах, свои задачи, обстоятельства и представления о прекрасном и должном) делать (или не делать) то что хочется тебе. Не озаботившись серьёзным обоснованием и вообще обдумыванием ситуации.

Кончай страдать ерундой

@dettlaff

Gitt

@MrClon @dettlaff Не надо мне приписывать принуждения кого-то. Я просто высказал свое мнение "пора бы уже". Это может быть не сейчас и не сегодня. Не завтра, а когда-нибудь, скоро, может быть. Но надо к этому готовиться.

Но с другой стороны, я понимаю вашу острую реакцию на любое посягательство на свободу личности. В таком обществе живем. Я и сам устал.

Vftdan

@gitterhub
Когда шифрование на сетевом уровне, то можно
@MrClon @dettlaff

Gitt

@vftdan
Виртуально личная сеть (VPN) что-ли? У тебя от браузера до ингресса трафик все равно не зашифрован. И от егресса до веб сервера тоже. Если это публичный VPN, то смысл шифрования теряется. А если туннель прокладывать от порта до порта, то это по сути и получается TLS. Зачем колхозить самодельный e2ee, когда есть готовое решение: https?

@MrClon @dettlaff

Шуро
@MrClon @vftdan @dettlaff @gitterhub > У тебя от браузера до ингресса трафик все равно не зашифрован

Это внутри устройства? :)
Vftdan

@gitterhub
Когда снизу не голый IP, а yggdrasil/i2p (хотя там не уверен, есть ли сетевой уровень)/... ну или обычный vpn до самого сайта наверное может быть
@MrClon @dettlaff

Шуро
@dettlaff Вчера тоже столкнулся с этим говном, причём врезали почти идентичную рекламу - война, Су, дадим пососать и всё такое.

Но на Мегафоне, мобильная сеть. На улице дали листовку нового ресторана, зашёл с телефона меню посмотреть - а там http и прямо в середине меню это говно. Аппетит пропал :)
Go Up