Провайдер подменяет скрипты по HTTP: почему важен HTTPS даже без оплаты

Симптомы

В консоли браузера время от времени всплывают ошибки, похожие на сбой рекламного баннера, хотя на проекте нет очевидных сторонних виджетов. В трассировке сети у выбранного .js может быть ответ не 200, а редирект 307 на сторонний хост.

Почему так бывает

На незашифрованном трафике посредине цепочки может оказаться «монетизация» у оператора связи: перехват запросов к известным путям CDN и аналитики, временный редирект на промежуточный скрипт и только потом загрузка оригинала. То же наблюдалось для запросов к официальной аналитике продукта 1С‑Битрикс и для других частых URL.

На том же клиентском устройстве при доступе по HTTPS к сайту такие подстановки как правило не проявляются: шифрование не даёт провайдеру свободно менять содержимое ответов.

Что делать владельцу сайта

• Включить HTTPS для публичного сайта полностью, а не только для форм оплаты.
• Использовать бесплатные сертификаты (Let's Encrypt и аналоги) или корпоративный PKI.
• Принудительно отправлять пользователей с http:// на https:// через веб‑сервер.

Подписчикам связи

У части операторов навязанная «услуга» по дополнительной монетизации трафика отключается в поддержке после обращения. Имеет смысл сохранять скриншоты заголовков и цепочки редиректов.