Yandex Metrika
CIFTIX
sanches.free 1 просмотр

Провайдер подменяет скрипты по HTTP: реклама вместо счётчика Битрикс

HTTPS безопасность провайдер 1С-Битрикс MITM

Симптом: «ломается» сторонний скрипт

При разработке нового проекта на «1С‑Битрикс» в консоли браузера периодически появлялись сообщения, будто не подгружается рекламный или сторонний ресурс. Логично было заподозрить лишний виджет, устаревший плагин или случайно подтянутый со старого шаблона скрипт.

Куда на самом деле уходил запрос

Цепочка оказалась другой: обращение к типичному для Битрикс счётчику аналитики по http к хосту вроде bitrix.info сначала получало временный редирект, а затем отдавалось через промежуточный узел, который подмешивал рекламный код и уже после этого подгружал настоящий файл. Похожая картина воспроизводилась в разных браузерах и на телефоне у нескольких операторов фиксированной и мобильной сети.

Почему это не баг ядра и не «взлом хостинга»

Сначала кажется, что кто‑то на стороне продукта или сервера подставляет лишнее. Но при переключении на мобильный интернет подмена шла уже на другой «обёртке», а при открытии того же сайта по HTTPS артефакты исчезали. Такой набор признаков укладывается в подмену содержимого или маршрута на участке между абонентом и сервером — по сути MITM на уровне доступа в интернет, а не на уровне вашего кода.

В открытых обсуждениях у пользователей разных площадок встречаются похожие истории: у провайдеров нередко по умолчанию включена услуга вроде «монетизации трафика», при которой по нешифрованным запросам к известным URL (в том числе к распространённым CDN‑библиотекам) подставляется своя обвязка.

Что делать владельцу сайта

  • Везде включать HTTPS — не только для оплаты и личного кабинета. Бесплатные сертификаты (например, Let's Encrypt) и принудительное перенаправление с http снимают класс подмены, который опирается на просмотр и изменение незашифрованного трафика.
  • Не подключать критичные скрипты по чистому HTTP, если альтернатива с TLS доступна: иначе посетители из отдельных сетей могут видеть не тот JS, который отдаёт ваш сервер.
  • Информировать пользователей при обращениях «у меня на сайте реклама»: попросить проверить другую сеть или VPN и посмотреть, исчезает ли эффект на HTTPS.

Абоненту

У многих операторов навязанную «услугу» можно отключить через поддержку; сроки обработки заявок различаются. Для разработчика же главный вывод простой: незашифрованный канал сегодня нельзя считать доставкой ресурса «как задумал автор страницы» — в том числе для счётчиков и библиотек на проектах с Битрикс.

Не хотите копаться сами?

Починю за 1-3 дня. Без предоплаты — оплата по результату.

Обсудить задачу Все услуги

15+ лет опыта с 1С-Битрикс · Без предоплаты · 7 дней гарантии