Как Мегафон кормит клиентов рекламой за их же деньги

Захожу я как-то на Пикабу и вижу вот такое...

Как Мегафон кормит клиентов рекламой за их же деньги Мегафон, Наглость, Реклама, Длиннопост
Как Мегафон кормит клиентов рекламой за их же деньги Мегафон, Наглость, Реклама, Длиннопост

Грешным делом подумала на админа, написала, но оказалось, что это не реклама сайта

Как Мегафон кормит клиентов рекламой за их же деньги Мегафон, Наглость, Реклама, Длиннопост
Как Мегафон кормит клиентов рекламой за их же деньги Мегафон, Наглость, Реклама, Длиннопост

Искать техподдержку было неохота, обратилась в официальный аккаунт в твиттере и получила великолепный ответ

Как Мегафон кормит клиентов рекламой за их же деньги Мегафон, Наглость, Реклама, Длиннопост
Как Мегафон кормит клиентов рекламой за их же деньги Мегафон, Наглость, Реклама, Длиннопост

Такие дела. На следующий день сменила оператора. Не знаю, есть ли на Пикабу официальный представитель Мегафона и скажет ли он что-то другое по этому поводу, но обнаглевшесть Мегафона просто выбесила. И не только меня.

Как Мегафон кормит клиентов рекламой за их же деньги Мегафон, Наглость, Реклама, Длиннопост
Вы смотрите срез комментариев. Показать все
ещё комментарии
34
Автор поста оценил этот комментарий

Я попробую, вот примерная картинка с просторов интернета:

Http - HyperText Transfer Protocol — «протокол передачи гипертекста», то есть просто протокол, которые пересылает текст, в том числе разметку веб-страниц (все эти формочки, иконки, рамочки и прочие элементы любой страницы в интернете)

Https - HyperText Transfer Protocol Secure - тоже самое, но защищенное

Собственно в чем заключается защита и зачем она нужна. Как показано на приведенной картинке путь от компьютера пользователя до сервера, где находится веб-сайт пролегает через многие промежуточные узлы. Можно провести аналогию с обычными письмами в средние века.

По http вы отправляете на письмо с гонцом в открытом конверте. У вас нет никакой гарантии, что гонец (или цепочка гонцов, если расстояние велико) не откроет письмо и не прочтет его, а возможно даже и допишет в него что-нибудь или даже банально подменит.

По https вы отправляете все то же письмо, но теперь вы на него ставите гербовую печать (шифруете сообщение). Данную печать (в терминах https - это сертификат) вы получили от известного мастера в тридевятом государстве (сертифицирующий центр) в единственном экземпляре и других таких нет. Принимающая же сторона перед прочтением письма теперь удостоверяется, что печать настоящая, сверяясь с рисунком вашего герба, который они получили от известного мастера (расшифровывают сообщение). Таким образом никакой гонец не сможет ни прочитать, ни подменить письмо, т.к. он нарушит целостность печати.


Если ближе к интернетам, то при работе по https ваш браузер устанавливает сначала защищенный канал (через сертифицирующий центр проверяется достоверность сертификата, договариваются об алгоритме шифрования и т.д.), а затем все сообщения, которые вы передаете на сервер и все обратные сообщения шифруются, таким образом промежуточные сервера/маршурутизаторы/провайдер/роутер бесплатного WiFi, не имеют доступа к передаваемым вами данным.


Почему бы весь интернет не перевести на https, раз он такой крутой и вообще? - это дорого и далеко не всегда оправдано. Шифрование затрачивает ресурсы сервера и чем больше данных передается, тем больше шифровать надо (даже вот этот самый комментарий). Шифруются в первую очередь электронные платежи, затем приватный контент.


Кстати в тему паранойи - когда вы сидите в каком-нибудь общественном месте и подключились к местному WiFi и вы пытаетесь залогиниться на какой-нибудь сайт по http, то все ваши логины/пароли проходят через местный роутер, который вполне может спокойно их прочитать (это уголовно наказуемо, но возможность есть). А вот если все тоже самое по https - то возможность такого взлома стремится к нулю, т.к. для местного роутера больше нет красивых логинов/паролей, а есть одна сплошная тарабарщина.


Вот, вроде все

Иллюстрация к комментарию
раскрыть ветку (6)
1
Автор поста оценил этот комментарий
А приложения на смартфоне шифруют передаваемую информацию? Или от приложения зависит?
раскрыть ветку (4)
1
Автор поста оценил этот комментарий

Зависит от приложения, например в контакте была опция "работать только в режиме https", сейчас не нашел, видимо зашили ее включенной без возможности отключения. На сайте контакта осталась галка в настройках (Защита данных - Использовать защищенное соединение (HTTPS))

Но в целом, каждое приложение на свое усмотрение.

Узнать, используется или нет можно, но не так тривиально. Если все-таки интересует, то искать в сторону проброса трафика с телефона через компьютер, а на нем уже ставить программу, которая смотрит, что по сети летает

Автор поста оценил этот комментарий
От приложения, конечно. Приложения онлайн-банков всегда по https работают, ВКонтакте вроде бы тоже, остальные - как повезёт. Шифрование и расшифровка трафика требуют много ресурсов и не всегда в этом есть смысл.
раскрыть ветку (2)
Автор поста оценил этот комментарий

много ресурсов - это сколько? смысл в https есть всегда! как минимум - это безопасность пользователей.

раскрыть ветку (1)
Автор поста оценил этот комментарий
Безопасность имеет свою цену. Ну вот зачем вам на Пикабу, например, шифрование траффика? Чтобы ваши сообщения никто не прочитал? Так вы их для этого и пишете, чтобы их читали, тут нет приватной информации. Мессенджеры или онлайн-банк - там да, там это нужно.

Процессора и памяти на современных телефонах хватает, конечно, но шифровка/дешифровка всё равно даст доп.расход батареи и траффика больше уйдёт. А зачем? Не проще ли поставить на телефон блокировщик рекламы?
Автор поста оценил этот комментарий

спасибо дарагой, теперь я наконец-то понял ;)

1
Автор поста оценил этот комментарий
Шифруются пакеты, сложнее перехватить
раскрыть ветку (23)
2
Автор поста оценил этот комментарий

Если я включу снифер и начну пиздить в коробочку вообще весь трафик, смогу ли я что-то сделать с  трафиком по хттпс? открыть, посмотреть, восстановить?

раскрыть ветку (22)
1
Автор поста оценил этот комментарий

ничего не сможете сделать. Даже если вы АНБ.

раскрыть ветку (20)
3
Автор поста оценил этот комментарий
АНБ может, центры сертификации выдают им ключи
раскрыть ветку (11)
Автор поста оценил этот комментарий

Если только заранее организовать MitM атаку. С записанным шифрованным траффиком и ключами центра сертификации ничего не сделать, для расшифровки нужен только ключ конкретного сайта.

раскрыть ветку (10)
1
Автор поста оценил этот комментарий

Используем arp spoofing (представляемся fake роутером), подменяем https соединение на http (делается это изменением порта, при условии, что сайт поддерживает оба протокола) и сниффим инфу :)

раскрыть ветку (9)
1
Автор поста оценил этот комментарий

Эм, как это делается изменением порта, Я послал запрос на 443, а мне ответ пришел с 80 ? Не получится.

раскрыть ветку (6)
Автор поста оценил этот комментарий

немного не так) только MITM! но можно использовать и спуфинг, ведт задача внедриться между клиентом и сервером. можно dns запросы хватать и перенаправлять куда нужно и т.д.

раскрыть ветку (1)
1
Автор поста оценил этот комментарий

да прям? а если как-то закинуть неведомую хрень на пк? т.е. есть доступ к клиенту пк, возможно реалтайм? а нахрена ссл, если хттпс такой классный?
А в каких сценариях хттпс трафик может быть скомпроментирован?

раскрыть ветку (7)
2
Автор поста оценил этот комментарий

Если вы закинули неведомую хрень на ПК - то вы видите и можете все, что видит и может пользователь.


https это http over ssl.


Трафик может быть скомпрометирован если атакующий имеет полный доступ к браузеру клиента или имеет приватный ключ сервера, либо доступ к самому серверу.

раскрыть ветку (6)
2
Автор поста оценил этот комментарий
Если вы закинули неведомую хрень на ПК - то вы видите и можете все, что видит и может пользователь.

ну на передачу прям картинки нужен широкий канал, а если канал не особо широк, роутер например старый, то это же палево.
Зато если есть рут, можно занести хитрую пуйню, которая будет скидывать тебе на почту ключи сесий, с помощью которых можно будет открыть хттпС трафик из перехваченного ранее? Я правильно понял схему?

хттпс это и есть хттп+ссл? тогда что насчет обложки журнала хакер 2010го года? там ссл сгущенку вскрывали и поясняли что за дела. Если бы кто грамотный разьяснил в чем дело, я был бы рад и возможно чуть образованее.

раскрыть ветку (5)
Автор поста оценил этот комментарий

Если есть рут - прописываешь в систему свой ключ и заворачиваешь весь траффик на себя. Дальше классический mitm.

раскрыть ветку (4)
Автор поста оценил этот комментарий
Только если подменять сертификат будешь на свой. Но это уже совсем другая история)))
3
Автор поста оценил этот комментарий

  + от https еще в том что Google и Яндекс такие сайты будет лучше ранжировать. Так что трафик станет еще больше у Пикабу.

1
Автор поста оценил этот комментарий
Недавно перехватил сессию с покабу подруги то же расстроился что http ресурсозатратно в плане финансов? Мы ведь скинемся если чего.
раскрыть ветку (4)
Автор поста оценил этот комментарий

шифрование как и обратный процесс стоит процессорного времени. одна страчка - пфф ерунда. 100 млн страничек - нефиговые вычислительные ресурсы.

раскрыть ветку (3)
1
Автор поста оценил этот комментарий

не нужно шифровать все, достаточна авторизации, как в ВК реализовано и тогда нагрузка будет минимальна.

раскрыть ветку (2)
Автор поста оценил этот комментарий

тогда и реклама будет лететь безпроблемно

раскрыть ветку (1)
Автор поста оценил этот комментарий

с vk таких проблем почему-то нету

1
Автор поста оценил этот комментарий

куда донатить? :D

Автор поста оценил этот комментарий

nginx же немного жрёт ресурсов. http/2 туда ещё и кеширование грамотное и, мне кажется, можно и с посещаемостью пикабу справиться.

Автор поста оценил этот комментарий

ой да брось, вилдкард серт от комодо стоит копейки если брать на 3 года ) в нгинкс его запихать можно упоротым в хлам с одним только открытым глазом и одним рабочим пальцем )))) Где тут ресурсозатраты ?)

раскрыть ветку (2)
Автор поста оценил этот комментарий

30 тыщ это не совсем уж прям копейки.

раскрыть ветку (1)
Автор поста оценил этот комментарий

не думаю что  с таким траффиком это будет очень долго окупаться. Как  вариант использовать сертификаты клаудфлейр(еще и анти ддос бонусом). Есть сервисы выдающие бесплатные сертификаты раз в 2-3 мес. Накатать скрипт автоматизации даже моя бабушка смогла бы.

Автор поста оценил этот комментарий
Хотя бы на авторизацию.. Разово в день на каждого третьего пользователя(грубо) не должно уж так сильно повысить нагрузку, как полное шифрование всего контента страницы.
раскрыть ветку (2)
1
Автор поста оценил этот комментарий

Постараемся перейти в этом году.

раскрыть ветку (1)
Автор поста оценил этот комментарий

Радостно слышать, спасибо)

Автор поста оценил этот комментарий
Бывают и бесплатные сертификаты, правда не wildcard.
раскрыть ветку (13)
7
Автор поста оценил этот комментарий
Дело не в цене сертификата, даже самые дорогие из них - это копейки.
Дело в возрастающей нагрузке на инфраструктуру из-за шифрования.

Хотя странно, что для пикабу это критично, неужели на текущей архитектуре еле сводите концы с концами?
раскрыть ветку (8)
4
Автор поста оценил этот комментарий
Пикабу -- гребанная куча картинок. Которые выкачивают петабайтами.


С https эти картинки нужно будет не только только читать с диска и отправлять, но и шифровать. Ресурсов нужно будет не на 5, 10% больше, а, вероятно, на 100-200%.

раскрыть ветку (7)
2
Автор поста оценил этот комментарий

Картинки выдавать по http, сами страницы -- по https, жизнь прекрасна?

раскрыть ветку (5)
7
Автор поста оценил этот комментарий

весь контент на странице https должен отдаваться с https ресурсов, иначе будут некрасивые варниги в браузерах.

Опера вообще лочит http контент на https страницах, до выяснения.

Поэтому нет, лучше так не делать.

раскрыть ветку (3)
Автор поста оценил этот комментарий

Нет, это зависит от настроек сервера, в том числе HSTS. Хотя я, конечно, за Full HTTPS)

раскрыть ветку (1)
2
Автор поста оценил этот комментарий

в полном нет смысла :) достаточно грамотно настроенного.

Автор поста оценил этот комментарий
Вот не помню уж где, но точно видел что страница https, но если открыть шифрование, то высвечивается предупреждение что не все элементы страницы зашифрованы (такие как картинки и т.д.), и вполне себе нормально обрабатывалась страница без никаких уведомлений лисой.
1
Автор поста оценил этот комментарий

браузер будет постоянно кричать про невалидность хттпс страницы.

Автор поста оценил этот комментарий
Вообще, удивляет этот факт, когда на пикабу можно было добавить только текст или только картинку, это было дико не удобно, люди извращались, пилили посты в виде картинок с текстом, осбобо умные даже длинно пост организовали, но пользовались именно пикабу, хотя в тоже время существует полно других развлекательных сайтов, где можно удобно как в ворде оформить пост. И дело не только в геморойности создания поста, но и его просмотре, ведь пост из 2-3 картинок и 5 строчек текста, зафигаченный одной картинкой весит гораздо больше.
Думаю, когда появилась возможность создавать нормальные посты, нагрузка сильно снизилась, так что https особых проблем не доставит.
1
Автор поста оценил этот комментарий
Есть Let's Encrypt, там и wildcard тоже есть.
раскрыть ветку (3)
Автор поста оценил этот комментарий

Ходили слухи что китайцев хотят убрать из корневых.

раскрыть ветку (2)
2
Автор поста оценил этот комментарий
Let's Encrypt - не китайцы же, вы спутали с другим CA.
1
Автор поста оценил этот комментарий

Let's Encrypt — сервис американской ISRG

Автор поста оценил этот комментарий

Да, мне уже объяснили, в чем я заблуждался, но спасибо за ответ

Автор поста оценил этот комментарий
Мне одному кажется, что @admin создал пикабу?
раскрыть ветку (1)
1
Автор поста оценил этот комментарий
Одному. Все остальные это знают.
131
Автор поста оценил этот комментарий

*почему не перевести

раскрыть ветку (14)
151
Автор поста оценил этот комментарий
*бы
раскрыть ветку (10)
256
Автор поста оценил этот комментарий
Иллюстрация к комментарию
62
Автор поста оценил этот комментарий

*благородным донам

раскрыть ветку (8)
63
Автор поста оценил этот комментарий

Бабушку через дорогу

раскрыть ветку (2)
113
Автор поста оценил этот комментарий
Ярости
раскрыть ветку (1)
43
Автор поста оценил этот комментарий
Иллюстрация к комментарию
3
Автор поста оценил этот комментарий

сразу шпаги над звездами вспоминаются при этих словах))

раскрыть ветку (4)
8
Автор поста оценил этот комментарий
Первыми вспоминаются Стругатские, а потом да, шпаги над звездами.
раскрыть ветку (3)
9
Автор поста оценил этот комментарий
Блин, Ц!!! Стругацкие!!!
раскрыть ветку (1)
4
Автор поста оценил этот комментарий
Извини бро.
Иллюстрация к комментарию
3
Автор поста оценил этот комментарий

Вечному бы понравилось.

4
Автор поста оценил этот комментарий

не перевести ли или почему бы не перевести

раскрыть ветку (2)
4
Автор поста оценил этот комментарий
И мне 1000$ на счет переведите заодно
раскрыть ветку (1)
7
Автор поста оценил этот комментарий

"Готово! Деньги отправлены вам по эмейлу." © Хоттабыч.

Иллюстрация к комментарию
85
Автор поста оценил этот комментарий

Не уверен, что затраты копеечные. Как минимум придётся вложиться в новое железо, т.к. повысится нагрузка. Шифрование данных, увы, не бесплатно в плане ресурсов вычислительных.

раскрыть ветку (22)
48
Автор поста оценил этот комментарий

+ сертификат купить

+ пилить показ рекламы

+ еще что то

раскрыть ветку (10)
45
Автор поста оценил этот комментарий

Сертификаты есть и бесплатные.

Не понял во второму пункту... Она и так будет, но только та, что разместили админы, а не провайдер подсунул...

раскрыть ветку (9)
14
Автор поста оценил этот комментарий

Пикабу нужен wildcard (с поддержкой неограниченного количества поддоменов), а они бесплатными не бывают, вроде. В любом случае, для такого проекта потратить $150 раз в год вполне позволительно

раскрыть ветку (8)
13
Автор поста оценил этот комментарий

letsencrypt давно доступен бестплатно

раскрыть ветку (4)
Автор поста оценил этот комментарий

Максимум 5 сертификатов в неделю

раскрыть ветку (3)
1
Автор поста оценил этот комментарий

wut

> You can create a maximum of 500 Registrations per IP Address per 3 hours.

раскрыть ветку (2)
1
Автор поста оценил этот комментарий

Оттуда же:
>We also have a Duplicate Certificate limit of 5 certificates per week
Это для доменов с www и без. Что они имеет в виду под registrations я хз.

раскрыть ветку (1)
2
Автор поста оценил этот комментарий

Сертификат на домен и поддомены выдается один.

Это лимит на один IP и один аккаунт, если проектов (основных доменов) много.


Для одного сайта и всех его поддоменов можно сгенерировать до 5 сертификатов в неделю. Учитывая то, что сертификаты выдаются аж на 3 месяца можно вполне обновлять его раз в неделю (автоматически), и не париться.

2
Автор поста оценил этот комментарий

А какие адреса есть на поддоменах пикабу? Не вижу что-то ничего такого?

А хотя есть u, cs и циферки.

8
Автор поста оценил этот комментарий

@wildcard ты нужен пикабу

Автор поста оценил этот комментарий

Опять вы забыли про железо (я вам выше уже про это говорил), так что это не 150$ совсем...

3
Автор поста оценил этот комментарий

Не разбирался в механизме, но, уверен, там есть возможность кэширования, так что вряд ли сильно затратно

ещё комментарии
14
Автор поста оценил этот комментарий

Нет, не копеечная, но задуматься стоит, в свете последних событий.

раскрыть ветку (15)
2
Автор поста оценил этот комментарий

Ничего что есть летсэндкрипт? Затрат нет вообще.

раскрыть ветку (14)
6
Автор поста оценил этот комментарий

Кроме железа, ага... Оно ж бесплатное наверно, да?

ещё комментарии
3
Автор поста оценил этот комментарий
Может надо устранять причину, а не следствие?
раскрыть ветку (4)
13
Автор поста оценил этот комментарий

Мегафон убрать? Остальные операторы одобрят.

раскрыть ветку (3)
2
Автор поста оценил этот комментарий
Бойкот, жалобы, если на это действительно не имеют права. Поднятый шум.
раскрыть ветку (2)
7
Автор поста оценил этот комментарий
Иллюстрация к комментарию
раскрыть ветку (1)
Автор поста оценил этот комментарий
Именно так.
3
Автор поста оценил этот комментарий

В любом случае надо https. А то, например, на старой работе стояла блокировка на развлекательные сайты, но с https не справлялась

раскрыть ветку (8)
22
Автор поста оценил этот комментарий
А может стоить начать работать, вместо того чтобы сидеть на пикабу?
Иллюстрация к комментарию
раскрыть ветку (3)
1
Автор поста оценил этот комментарий

Да скорее вопрос принципа был. Вирусы ловят бухгалтера, а кислород перекрывают всем.

Сначала заблочили сайты. Я поднял дома openvpn и сидел через него. Потом обнаружил, что у меня на рабочем компе потерт клиент, а при попытке его скачать браузер вылетает. Любой. Выключил рабочий комп, принес с работы ноут, сижу через него. Пытались блокировать домашний ip, я написал письмо, что мне доступ туда нужен для работы. Доказать, что я развлекаюсь, они не смогли, трафик шифруется.

В конце концов, мне деньги платят за выполненную работу, а не за восемь часов воздержания от пикабу. От того, что мне кго перекроют, я быстрее работать не буду. Не люблю пахать на износ, это нигде не ценится должным образом.

ещё комментарии
1
Автор поста оценил этот комментарий

Админы не знают про DNS? Странная какая-то у вас блокировка стояла.

раскрыть ветку (1)
1
Автор поста оценил этот комментарий

У меня гугловый днс всегда стоит. Четыре восьмерки.

Автор поста оценил этот комментарий

видно айтишник у вас ленивый, squid под https лень запиливать. я такой же

раскрыть ветку (1)
Автор поста оценил этот комментарий

Дружелюбный)

12
Автор поста оценил этот комментарий
Не переведёт, потому что если Роскомнадзор/суд Урюпинска/ещё кто втихую заблокируют страницу пикабу, то при HTTPS будет заблокирован весь сайт.
раскрыть ветку (5)
27
Автор поста оценил этот комментарий

Не роскомнадзор заблокирует пикабу, а роскомназдор заблокирует жителей России. Разница большая

4
Автор поста оценил этот комментарий

Роскомнадзор не может заблокировать пикабу при чем своем желании. Роскомнадзор (гипотетически) может напрячь провайдеров блокировать пикабу. И уж как реализуют блокировку провайдеры - это вопрос.

Большинство заблокируют тупо весь ресурс. Потому что так проще.

Роскомнадзору же, в свою очередь, похер. Конкретная страница перестает быть доступной => там довольны. Остальная часть ресурса их вообще не парит.

1
Автор поста оценил этот комментарий

Приличному сайту в наши дни должно быть стыдно не быть заблокированным роскомнадзирателями.

DELETED
Автор поста оценил этот комментарий
А можно давать доступ по двум протоколам, так делают многие.
раскрыть ветку (1)
Автор поста оценил этот комментарий
Если сайт будет доступен по https, один хрен заблокируют по домену и на сайт просто так уже не получится зайти.
1
Автор поста оценил этот комментарий

А почему пикабу то то должен переходить , почему б мегафону б нахуй б не пойти за это все.

1
Автор поста оценил этот комментарий

можно установить https everywhere

1
Автор поста оценил этот комментарий
Тогда уж весь инет надо шифровать, реклама может появиться на любом сайте.
раскрыть ветку (2)
1
Автор поста оценил этот комментарий
Так и нужно делать
Автор поста оценил этот комментарий

Не все сразу, но когда нибудь.

Автор поста оценил этот комментарий
Let’s Encrypt
https://letsencrypt.org
Если интересно, могу помочь с внедрением.
6
Автор поста оценил этот комментарий

Мегафон просто продвигает использование https на сайтах))

раскрыть ветку (1)
Автор поста оценил этот комментарий
Еще бы денег закинули в let's encrypt. 😮
8
Автор поста оценил этот комментарий
Эстафету принял :/
Извиняюсь, что под топом, с телефона
Иллюстрация к комментарию
1
Автор поста оценил этот комментарий

Сорри что под топовым, но раз уж пошла такая пьянка. У моей жены сняли 300 в день, в итоге оказалось что она автоматически подписалась на какую-то хрень типа фильмы он-лайн. в итоге оператор Мегафона посоветовал подключить услугу "Отключение от автоматической подписки" 0_О
Как оказалась эта услуга только на три месяца! То есть каждые три месяца, если эту "услугу" не активируете, то вас подсадят на очередной автоматический деньгасос!

Автор поста оценил этот комментарий

На https не подсовывают (невозможно), с него даже не могут переадресовать на страницу оплаты (в случае конца абонентки или трафика). Билайн кстати тоже страдает этой фигне, даже больше, он первый начал. На хабре уже обсуждали.

ещё комментарии
Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку