O2 hijackuje IP spojení a přesměruje na gdpr souhlas

Dnes se mi stala podivná věc, pokud navštívím poprvé libovolný server, je HTTP odpověď (IP odpovídá skutečnému serveru) hijackována hlavičkou Location https://gdprsouhlas.o2.cz/nnn/random/http://cil.cz/
Kód: [Vybrat]
HTTP/1.1 302 Found
Location: https://gdprsouhlas.o2.cz/nnn/yyy/http://pvido.cz/
Content-Type: text/html
Content-Length: 0
Samozřejmě když zadám otevírám https stránky, nic takového se neděje. Z toho dovozuji, že DNS je neotrávaný, že  je falšována  zdrojová IP.
Další věc, nehraje roli, pokud zadám IP adresy místo domén, jen záleží na https vs https


Pokud mám user agent wget nebo jiný, tak k hijacknutí nedochází

je tohle důvod k okamžitému ukončení?
Citace
Bez Vašeho souhlasu se neobejdeme. Pomozte nám chránit své osobní údaje.

Abychom mohli účinně chránit Vaše osobní údaje a dál Vám přinášet to, co Vás zajímá, budeme od Vás potřebovat Souhlas se zpracováním osobních údajů. Vyžaduje ho novela o ochraně osobních údajů.

Můžete se spolehnout, že s Vašimi údaji budeme nakládat důvěrně. A svůj souhlas můžete kdykoli snadno odvolat v Moje O2.

Číslo přípojky:
nnnPotvrdit souhlas

Teď ne
Dodávám, že předím mi internet šel. Nevidím důvod proč nějaký souhlas dávat

Včera se to nedělo, až dnes. na nic jsem neklikal. Nerozumím ani logice , když souhlas (v zápětí)odvolám, k čemu to bude? Opět se mi bude zobrazovat tato hláška

nebo by mě zajímalo, kolikrát se bude tato hláška opakovat, když jsem za natem domácího routeru? Jestli se zobrazuje jen jednou a nebo pro každého user-agenta (z těch, u kterých to není neaktivní)

Dočasný workaround je tedy buď používat https (přesněji řečeno něco jako https everywhere, ne nutně rozšíření ale jako princip) nebo vybraný user agent
« Poslední změna: 06. 10. 2019, 16:01:25 od Pivotal »


Re:O2 hijackuje IP spojení a přesměruje na gdpr souhlas
« Odpověď #1 kdy: 06. 10. 2019, 16:41:02 »
Ano, prosím zavolej na zákaznickou linku a nahlas reklamaci služby. Požaduj odstranění závady a slevu za dobu, kdy služba nebyla plně funkční.

Re:O2 hijackuje IP spojení a přesměruje na gdpr souhlas
« Odpověď #2 kdy: 06. 10. 2019, 16:57:44 »
Asi v tom nejsi sám https://twitter.com/spazef0rze/status/979439690372780033 . Podle mě pěkná prasárna ze strany O2. Jestli má někdo nastavené automatizované scripty, které se napojují na http a najednou začne O2 něco injektovat, tak možná i nějaká ta náhrada škody by byla na místě. Ale možná, že něco takového ve smlouvě nebo v předchozím uděleném souhlasu mají, takže bys to musel prolistovat a zjistit jestli na to mají právo.

Re:O2 hijackuje IP spojení a přesměruje na gdpr souhlas
« Odpověď #3 kdy: 06. 10. 2019, 20:09:12 »
No, pěkná prasárna.
A to se nám tady vedle u článku o zákazu mixed-content v Chromu rozepisují někteří, že HTTPS je zbytečné. Jak vidíte, není.

Re:O2 hijackuje IP spojení a přesměruje na gdpr souhlas
« Odpověď #4 kdy: 06. 10. 2019, 20:21:58 »
ad " Jestli má někdo nastavené automatizované scripty, které se napojují na http a najednou začne O2 něco injektovat, tak možná i nějaká ta náhrada škody by byla na místě".

Nezastavam se O2, ale jestli nekdo provozuje cokoli (nejen skripty) co spoleha na to ze http nikdy nikdo nepodvrhne, patri vytahat za usi. Inherentni vlastnosti http je prave to ze ho muze kdykoli kdokoli povrhnout, takze kdyz stavim skript nebo sluzbu, musim toto riziko osetrit.


Re:O2 hijackuje IP spojení a přesměruje na gdpr souhlas
« Odpověď #5 kdy: 06. 10. 2019, 20:56:06 »
ad " Jestli má někdo nastavené automatizované scripty, které se napojují na http a najednou začne O2 něco injektovat, tak možná i nějaká ta náhrada škody by byla na místě".

Nezastavam se O2, ale jestli nekdo provozuje cokoli (nejen skripty) co spoleha na to ze http nikdy nikdo nepodvrhne, patri vytahat za usi. Inherentni vlastnosti http je prave to ze ho muze kdykoli kdokoli povrhnout, takze kdyz stavim skript nebo sluzbu, musim toto riziko osetrit.
Měl jsem na mysli testovací scripty. Firefox + Selenium. Když potřebuješ otestovat web zákazníka, který https nemá, tak nemáš možnost volby. Večer to spustíš a ráno to musí být hotové, protože na to navazují další práce. Kvůli O2 by to hotové nebylo. Takže prostoj programátora, více práce programátora a další věci něco stojí a proto by nějaká ta náhrada škody byla na místě. Něco jiného je když uhodí blesk a net přes noc nepůjde - zasáhla vyšší moc, nedá se nic dělat. V tomto případě, ale tu injektáž dělá O2 zcela záměrně a pokud na to nemá právo, tak by v těchto případech měla platit.

Re:O2 hijackuje IP spojení a přesměruje na gdpr souhlas
« Odpověď #6 kdy: 06. 10. 2019, 22:37:44 »
To by mě zajímalo, jaká kombinace právníků a ajtáků toto vymyslela. Vyžadují souhlas zákazníka, ale částečně jej na Internet pustí i bez toho souhlasu. K čemu to je, jaký zákon to vyžaduje a jaktože se ostatní ISP obejdou bez této prasárny?

Testování webu zákazníka bez HTTPS – to možná není ideální příklad. Prvně by tu měla být otázka, proč ten web nemá HTTPS.

Ale můžeme po HTTPS stahovat něco, co netajíme a čehož integritu a autenticitu si ověříme jinak. Může jít i jen o apt update. (Mimochodem, zrovna nedávno jsem se na tom nachytal – kdysi jsem úmyslně zablokoval port 80 a zapomněl na to, pak jsem se divil, proč v Dockeru nefunguje apt update.)

Re:O2 hijackuje IP spojení a přesměruje na gdpr souhlas
« Odpověď #7 kdy: 07. 10. 2019, 00:03:35 »
K čemu to je, jaký zákon to vyžaduje a jaktože se ostatní ISP obejdou bez této prasárny?
Podle mě to žádný zákon nevyžaduje, vypadá to na čistě marketingový souhlas. Kdyby to bylo ze zákona, tak by aktualizovali všeobecné podmínky. Buď to dělají proto, že na dané lidi nemají jiný kontakt nebo zjistili, že přes email jim to lidi neodklikávají, tak to dělají takhle.

Re:O2 hijackuje IP spojení a přesměruje na gdpr souhlas
« Odpověď #8 kdy: 07. 10. 2019, 01:00:55 »
O2 to uz raz skusalo a nevyslo im to.

O2 chcelo využiť 17.11. Kritizovalo socializmus, pre chybu nasadilo reálnu cenzúru
http://www.dsl.sk/article.php?article=20459

Re:O2 hijackuje IP spojení a přesměruje na gdpr souhlas
« Odpověď #9 kdy: 07. 10. 2019, 01:07:22 »
Je to vobec legalne zo strany ISP?

jvb

Re:O2 hijackuje IP spojení a přesměruje na gdpr souhlas
« Odpověď #10 kdy: 07. 10. 2019, 09:55:44 »
ad " Jestli má někdo nastavené automatizované scripty, které se napojují na http a najednou začne O2 něco injektovat, tak možná i nějaká ta náhrada škody by byla na místě".

Nezastavam se O2, ale jestli nekdo provozuje cokoli (nejen skripty) co spoleha na to ze http nikdy nikdo nepodvrhne, patri vytahat za usi. Inherentni vlastnosti http je prave to ze ho muze kdykoli kdokoli povrhnout, takze kdyz stavim skript nebo sluzbu, musim toto riziko osetrit.
Měl jsem na mysli testovací scripty. Firefox + Selenium. Když potřebuješ otestovat web zákazníka, který https nemá, tak nemáš možnost volby. Večer to spustíš a ráno to musí být hotové, protože na to navazují další práce. Kvůli O2 by to hotové nebylo. Takže prostoj programátora, více práce programátora a další věci něco stojí a proto by nějaká ta náhrada škody byla na místě. Něco jiného je když uhodí blesk a net přes noc nepůjde - zasáhla vyšší moc, nedá se nic dělat. V tomto případě, ale tu injektáž dělá O2 zcela záměrně a pokud na to nemá právo, tak by v těchto případech měla platit.

Bude se to řídit smlouvou a vyjednaným SLA. Dokážu si tipnout, jaký SLA bude mít weblopata a kolik za to asi bude platit :)

Re:O2 hijackuje IP spojení a přesměruje na gdpr souhlas
« Odpověď #11 kdy: 07. 10. 2019, 11:02:06 »
Měl jsem na mysli testovací scripty. Firefox + Selenium. Když potřebuješ otestovat web zákazníka, který https nemá, tak nemáš možnost volby. Večer to spustíš a ráno to musí být hotové, protože na to navazují další práce. Kvůli O2 by to hotové nebylo. Takže prostoj programátora, více práce programátora a další věci něco stojí a proto by nějaká ta náhrada škody byla na místě. Něco jiného je když uhodí blesk a net přes noc nepůjde - zasáhla vyšší moc, nedá se nic dělat. V tomto případě, ale tu injektáž dělá O2 zcela záměrně a pokud na to nemá právo, tak by v těchto případech měla platit.
Bude se to řídit smlouvou a vyjednaným SLA. Dokážu si tipnout, jaký SLA bude mít weblopata a kolik za to asi bude platit :)
Moc nechápu co tím chceš říct. Jestli to, že náhrada škody za takovou ijektáž bude nízká, tak to nemůžeme vědět. Kdyby se takto poškozených ozvalo víc, tak by to už mohl být pěkný balík peněz + případná pokuta od ČTU. Pokud nad tím každý poškozený mávne rukou, tak v tom O2 bude pokračovat.

jvb

Re:O2 hijackuje IP spojení a přesměruje na gdpr souhlas
« Odpověď #12 kdy: 07. 10. 2019, 13:53:04 »
Moc nechápu co tím chceš říct. Jestli to, že náhrada škody za takovou ijektáž bude nízká, tak to nemůžeme vědět. Kdyby se takto poškozených ozvalo víc, tak by to už mohl být pěkný balík peněz + případná pokuta od ČTU. Pokud nad tím každý poškozený mávne rukou, tak v tom O2 bude pokračovat.

Chcu tím říct, ať si prvně zákazník přečte smlouvu, aby zjistil, co podepsal. Zjistí, že pravděpodobně nemá garanci ničeho, nikdo mu negarantuje, že služba bude fungovat jak on potřebuje, v časy, kdy on potřebuje, atd. Tím naznačuju, že pokud bude brečet za pětikilo měsíčně, že se kvůli tomu zpozdí velký projekt za desetitisíce (a více), tak se mu maximálně jen vysmějí za jeho workflow.

Re:O2 hijackuje IP spojení a přesměruje na gdpr souhlas
« Odpověď #13 kdy: 07. 10. 2019, 14:39:24 »
Moc nechápu co tím chceš říct. Jestli to, že náhrada škody za takovou ijektáž bude nízká, tak to nemůžeme vědět. Kdyby se takto poškozených ozvalo víc, tak by to už mohl být pěkný balík peněz + případná pokuta od ČTU. Pokud nad tím každý poškozený mávne rukou, tak v tom O2 bude pokračovat.
Chcu tím říct, ať si prvně zákazník přečte smlouvu, aby zjistil, co podepsal. Zjistí, že pravděpodobně nemá garanci ničeho, nikdo mu negarantuje, že služba bude fungovat jak on potřebuje, v časy, kdy on potřebuje, atd. Tím naznačuju, že pokud bude brečet za pětikilo měsíčně, že se kvůli tomu zpozdí velký projekt za desetitisíce (a více), tak se mu maximálně jen vysmějí za jeho workflow.
Ano určitě O2 takové ujednání ve všeobecných podmínkách má, že není povinna hradiš škodu a ušlý zisk, ale určitě by to nebyl první případ co by soud takové ujednání označil za neplatné. Když např. jako prodejce elektroniky prodáš televizi a do smluvních podmínek si dáš, že se zákakazník (občan) vzdává práva na reklamaci, a že nejsi jako prodejce povinen uhrazovat případnou škodu, která vznikne z vadného výrobku, tak takové ujednání ve smlouvě stejně nebude platné.