Telemeter waarschuwing in browser: hoe werkt dat?

[liegebeestig]

Ik zit zo goed als aan mijn limiet voor Telenet Basic Internet. Niet erg op zich, ware het niet dat Telenet graag nag-schermen stuurt naar je browser, die je eerst moet wegklikken. Sommige iot dingen hier (SMA zonnepanelen) waren daardoor even geblokkeerd tot ik 't op een browser kon wegklikken. Ook de Huawei P30Pro chrome browser bleef af en toe hangen op een telenetpagina die niet geladen geraakte (in een loop liep)

Nu, het rare is dat ik OpenDNS heb ingesteld op routerniveau (fritzbox 7590) dus in principe heeft Telenet niks te zeggen over website-resolving. Hoe gaat dat dan? Hoe kunnen ze dat browserscherm toch overnemen?

Edit: in mijn telenet kan je blijkbaar aanvinken om geen schermen te krijgen. Maar hoe krijgen ze die schermen uberhaupt in je browser als je hun dns niet gebruikt?

[ITnetadmin]

Ben je zeker dat je enkel opendns ips binnenkrijgt?
Want in sommige routers kan je dan wel custom dns ips instellen, toch gaan ze eerst het dns ip meegeven dat ze via hun wan poort geassigned kregen.
Learned that the hard way.

Mag ook niet overigens.
Het overnemen van browser schermen in deze geencrypteerde tijden noemt browser hijacking.

[GuntherDW]

Ik denk dat ze dat gewoon doen met een proxy achtige setup.
In de beginjaren moest je nog met proxy.telenet.be het net op (of via pac.pandora.be achtige dingen), nadien is dat een hidden proxy geworden.

Ik denk dat ze "gewoon" alles op 443 en 80 afvangen en een custom reply terugsturen om je op die pagina te doen landen.

In het HTTP protocol is daar al sinds het begin zowat een methode voor
https://en.wikipedia.org/wiki/HTTP_302

Al heb ik zelf al 10+ jaar geen telenet meer (en wil het ook niet) dus kan het niet met zekerheid zeggen.

Het is zeg maar dezelfde methode dat "free wifi portals" je eerst een "accept our terms" pagina voorschotelen.

[CCatalyst]

Volgens mij gebruiken ze geen proxies meer.

Ik denk dat ze u gewoon in een firewall groep steken die je verkeer omleidt naar de waarschuwingspagina. Pas als je de waarschuwing aanvaard hebt word je weer uit die groep gezet.

Enfin zo zou ik het toch doen

Soit, de manier waarop de URL van de waarschuwingspagina precies geconstrueerd is en evt de source code van de pagina zelf zouden wel duidelijk moeten verschaffen over de manier die men toepast. Als je die hebt mag je die zeker hier eens posten. Heb zelf "unlimited" volume bij TN dus ik heb die pagina al in geen jaren meer gezien.

[liegebeestig]

Bedankt! Wat betreft die dns: ik stel opendns in op de Fritzbox en zou het wel fijn vinden als telenet er met zijn grijpgrage handjes vanaf blijft. Iemand een idee hoe je dat kunt doen?

Wat ook opvalt: je kunt die waarschuwingspagina dan wel afvinken in mijn telenet webportaal maar om de x maanden activeren ze dat toch weer. Nu weer eens afgevinkt. Als de pagina toch nog eens passeert post ik de url.

[GuntherDW]

Soit, de manier waarop de URL van de waarschuwingspagina precies geconstrueerd is en evt de source code van de pagina zelf zouden wel duidelijk moeten verschaffen over de manier die men toepast.

Daarom dat ik "proxy achtige setup" zei, en "invisible" proxies. Al is de officiele term "transparant" proxies. Proxy server zonder dat de end user weet van een proxy server heeft.
Njagoed, de source code op zich heeft geen nut, eerder de HTTP Header dump (dus de request + antwoorden). Met de source code alleen ben je niet veel eigenlijk.
Zonder proxy server kan je ook niet zomaar die dingen injecten trouwens. Tenzij je een L7 firewall draait. Dan weer wel, maar dat is dan weer wat vuiler eigenlijk.

[ubremoved_2964]

Ik heb ooit de volgende cronjob geschreven omdat ik die telegate shit beu was:

/usr/bin/curl -q --dump-header /tmp/flubbernet.header "https://telegate.telenet.be/telegate/dy ... cript=true"

die liep elke minuut

en dan de response, die is wel interessant:

Code: Selecteer alles

# cat /tmp/flubbernet.header
HTTP/1.1 302 Found
Expires: Thu, 01 Jan 1970 00:00:00 GMT
Cache-Control: no-cache, no-store, must-revalidate
Set-Cookie: JSESSIONID=Sqas1MqirZMgZto5sVUnO7Ap1wbWdiaK-OarMBEK.machineD:wlfciaTlgD1; path=/telegate
X-XSS-Protection: 1; mode=block
Pragma: no-cache
X-Frame-Options: DENY
Location: https://www.telenet.be?locale=nl_NL
Date: Sat, 07 Sep 2019 20:19:25 GMT
Connection: keep-alive
X-Content-Type-Options: nosniff
Content-Type: text/html;charset=UTF-8
Content-Length: 0
Content-Language: nl-NL
Set-Cookie: BIGipServerwlfciaTlg.prd.cust.telenet.be=!Xv50zmxh40Dt9U5D9y2UIoB2YyX9h6Rsbii2m5GK1FMotFoIxGPg1E9NPapBMr8T0Vq9C5FcpiEoyW6/F6D8Z+ePCBycsRrxCZDgOQrU; path=/; Httponly; Secure

Ze gebruiken dus BigIP, zie de cookie die gezet wordt:
https://www.owasp.org/index.php/SCG_D_BIGIP

Als je zo'n redirect pagina krijgt, post dan de HTML code hier aub ...

Dit breekt idd een hoop zaken die nog via http werken, omdat telenet hun onzin in de response injecteert. Ik heb er ooit nog voor gebeld, om te vragen of je dat niet kon uitzetten, maar toen was die waarschuwing bij 100% niet uitzetbaar ....

In hun telegate pagina zaten trouwens ooi fouten, waardoor je nooit kon doorclicken naar de URL om die onzin uit te zetten ....

https://www.netweters.be/t5/Instellinge ... td-p/34074

En onmogelijk om die onzin bij 100% uit te zetten, Telenet weet dit, maar ze doen er niks aan:

Liever klanten pesten door HTTP te onderscheppen en dan die pagina die IOT breekt. Ik vraag me trouwens af of het termineren van traffiek die bedoel is voor internet, op een eigen server, met volledig andere content, geen valsheids in geschrifte is, of onderschepping van data...

Immers stel dat je naar een http site gaat waar in de query string gevoelige data staat, dan komt die query string wel in de log van die telegate onzin. Zo krijgt dus telenet toegang tot de inhoud van communicatie waar ze helemaal geen zaken mee heeft.

De STOP pagina van de overheid, die DNS hijacked, is zo'n gelijkaardig verhaal.

[liegebeestig]

Inderdaad. Bij 100 procent kun je de pagina niet meer uitzetten. Eigenlijk is dit gewoon browser hijacking als ik het een beetje begrijp. Mijn Sma logging kan er duidelijk niet mee om. Dat is dan ook weer stom van Sma natuurlijk (om mijn cijfers blijkbaar via http en niet via https door te geven) .

Helaas gisteren de pagina gemist en vandaag alweer gereset naar volle snelheid. Het te veel verbruik van gisteren (Amazon prime gekeken) wordt overigens wel al op de nieuwe periode bijgeteld.

[ubremoved_2964]

Ik vraag me trouwens af of die 100% melding wel wettelijk is. Het is geen browser hijacking maar een variant op de captive portal:

https://en.wikipedia.org/wiki/Captive_portal

DIe redirecten alle HTTP traffic naar een eigen pagina. Wat telenet doet is niet anders.

Bij sommige captive portals moet je op een button clicken om er voorbij te geraken (en bij sommige moet je eerst je email adres geven, of je CC), bij telenet moet je op een link clicken om van die zever af te zijn. Technich gezien is dat dus hetzelfde principe.

[GuntherDW]

Exactly wat ik eerder dus al zei ub4b
Alleen met iets meer woorden dan

[tommekentom]

Ik vraag me trouwens af of die 100% melding wel wettelijk is.

Ik ga ervan uit dat een bedrijf als Telenet zich wel indekt. Iedereen die klant is geworden is akkoord gegaan met hun algemene voorwaarden in elk geval.