Почему нужно использовать HTTPS или как Дом.ру вмешивается в трафик
Сегодня довольно-таки крупный провайдер "Дом.ру" (АО «ЭР-Телеком Холдинг») вмешался в мой трафик.
Ползая по гитхабу и изучая различные js-библиотеки, я наткнулся на крупный баннер с рекламой. Вот он.
Кроме баннера подключается ещё и отслеживающий скрипт. Напрямую с сервера провайдера.
Сама страница - это демонстрация работы js-библиотеки. Вот ссылка на страницу: http://guardian.github.io/scribe/ . Примечательно, что на странице нет скриптов Яндекса или иных рекламных площадок. Посмотрев код страницы, видно, что загружается библиотека RequireJS (https://requirejs.org/), с помощью которой подгружается скрипт, демонстрация работы которого и представлена на странице. А именно - текстовый редактор (уже неподдерживаемый) Scribe (https://github.com/guardian/scribe).
Баннер появляется и исчезает случайным образом при перезагрузке страницы.
Очевидно, что это проделки провайдера. На указанном сайте используется незащищенный протокол HTTP, следовательно, провайдер на своей стороне имеет доступ к коду ответа и может модифицировать его. Ранее подобная история была с билайном. Закончилась она тем, что пользователь Хабра, представившийся сотрудником провайдера, объяснил, что всё это - ошибка и человеческий фактор (https://habr.com/ru/post/262631/#comment_8502213).
А вот что ответил оператор Дом.ру.
Оператор отрицает причастность провайдера к подмене трафика и утверждает, что баннер выше - это контекстная реклама. Но это не так, и выше я объяснил, почему.
Обращение продублировал через форму обратной связи. Буду ждать ответа.
Если бы сайт использовал протокол HTTPS, подобной проблемы бы не было, т.к. у провайдера нет возможности вмешаться в зашифрованный трафик. Ну, для надежности неплохо ещё VPN использовать. Опасность ещё в том, что провайдер может внедрить в код не только рекламный баннер, но и любой, даже вредоносный, скрипт.
Я смирился с тем, что даже при выключенных уведомлениях периодически происходит переадресация на очередное "важное" сообщение от Дом.ру (последнее из них - "обращение президента Дом.ру" в связи с короновирусом, которое никак не относится к информации о состоянии счёта), но такое?
В общем, я чего-то не понимаю, или они охренели?