ISP Telkom menyisipkan JavaScript pada jaringan non-HTTPS

Saya pakai Indi@Home sebagai jaringan rumah, dan ketika di tempat umum, saya pakai @Wifi.Id. Kedua adalah jaringan internet yang disediakan oleh Telkom Indonesia.

Langsung ke kasus: ISP Telkom menyisipkan JavaScript pada jaringan non-HTTPS
Kapanpun saya akses halaman web pada protkol non-HTTPS, skirp berikut muncul di bagian bawah sebelum tag </body> html.

Gambar: source code dari http://example.com


Gambar: Setelah http diganti menjadi https (https://example.com).


Bisa anda lihat, ada JavaScript sebelum tag body.

Berikut adalah kodenya, dengan XXXXXXXXXXXXXXXXXXXXX adalah placeholder dari text-acak.

HTML:

<script type="text/javascript">
if (self == top) {
  function netbro_cache_analytics(fn, callback) {
  setTimeout(function() {
  fn();
  callback();
  }, 0);
  }

  function sync(fn) {
  fn();
  }

  function requestCfs() {
  var idc_glo_url = (location.protocol == "https:" ? "https://" :
  "http://");
  var idc_glo_r = Math.floor(Math.random() * 99999999999);
  var url = idc_glo_url + "cfs2.uzone.id/2fn7a2/request" + "?id=1" +
  "&enc=9UwkxLgY9" + "&params=" + "XXXXXXXXXXXXXXXXXXXXX" +
  "&idc_r=" + idc_glo_r + "&domain=" + document.domain + "&sw=" +
  screen.width + "&sh=" + screen.height;
  var bsa = document.createElement('script');
  bsa.type = 'text/javascript';
  bsa.async = true;
  bsa.src = url;
  (document.getElementsByTagName('head')[0] || document.getElementsByTagName(
  'body')[0]).appendChild(bsa);
  }
  netbro_cache_analytics(requestCfs, function() {});
};
</script>

Saya pernah akses di jaringan lain seperti BizNet atau Modem USB non-Telkom, dan skrip itu tidak muncul.

Bila anda bertanya, apakah ini mengganggu? Jelas menganggu! Mungkin saja skrip ini memantau dan dataming segala halaman yang kita kunjungi atau meng-inject script pada library javascript lain (misal: JQuery) agar malfungsi. Saya pernah balas thread dari seorang member bersosial.com; ia alami permasalahan pada editor wordpress yang disebabkan jaringan juga.

Ada yang tahu menau? Mari diskusi!

 

Kalau masalah program² gini gakkk paham saya hihihi

 

ada cara untuk mengatasinya...
ubah tag <body> jadi <Body>

atau

ubah </body></html> jadi </Body></html>

semoga membantu

 

Bisa disebut sebagai intrusive ads, jelas sangat menganggu, ada beberapa artikelnya dan sudah cukup lama:
- https://studentpreneur.co/blog/petisi-hentikan-spam-iklan-internet-telkom-speedy/
- https://www.change.org/p/telkomsel-...-deck-tanpa-seijin-pemilik-situs-dan-konsumen

Sebenarnya tidak harus seperti itu, karena cukup membuat html jadi agak terganggu sebaiknya gunakan https aja biar pemilik website gak di inject scriptnya saya rasa ssl sekarang sudah cukup murah, semoga saja internet Indonesia khususnya provider semakin lebih baik lagi..

Update:

Saya sendiri pernah tweet langsung dan ini jawabannya:

https://twitter.com/mohamad_fahmi_/status/603618945661276161

 

Ini cerita lama dan apakah masih terjadi? Di tempat saya nggak pernah terjadi seperti ini sejak dulu, aman.

 

Bener gan.. sering tuh terjadi pada masalah editor.. biasanya pas masuk ke payapal. Nah tuh tiba2 muncul kayak gitu

 

Buka saja example.com liat source codenya, ditempat saya masih ada juga

 

gk cm telkom, tapi indosat, xl dll skrg ada intrusive ads di jaringannya, jadi langkah paling aman pakai https

 

Wah, hati-hati kalau buka situs p0rno. Bisa-bisa, Telkom mantau kita.

Addendum
Bila tidak bisa dihentikan dari pusat, kita bisa blok dari client-side.

A) Blokir transmisi dari uzone.id

1. Install NoScript (untuk Chrome: SafeScript)
2. Buka sembarang domain non-HTTPs
3. Lalu klik Mark uzone.id as Untrusted.
   

B) Disable tracking dengan AdBlock

1. Install AdBlockPlus
2. Kunjungi chrome://adblockplus/content/ui/firstRun.html
3. Lalu klik "Disable tracking".

 

Lagu lama bersemi kembali

Indihome Telkom Fiber Internet Ngiklan di WordPress
https://tarjiem.com/2015/09/indihome-telkom-fiber-internet-ngiklan-di-wordpress.html

Cara Menghilangkan Iklan di WordPress Indihome
https://tarjiem.com/2015/09/cara-menghilangkan-iklan-di-wordpress-indihome.html

dan hal yang wajar kenapa Blogspot akhirnya menerapkan default protokol https .
https://tarjiem.com/2015/10/pengguna-blogspot-segeralah-ganti-alamat-blognya.html

 

Cara ini berhasil @Fahmi ?

 

Sayangnya gak berhasil,

 

Nah itu dia... belum pernah lihat. Kalau dulu pernah, semua layanan Google nggak dapat diakses kecuali browser chrome. Blogger, yutube, email, dll jadi blank. Berhasil setelah modem di reset ulang.

 

Bandel juga telkom yah... tukang spam

 

Orang makin pintar, bandelnya juga makin pintar.

 

Ya inijelas menggangu. sebenarnya ini untuk ,emcari profit semata. biasanya bakalan ada iklan yg muncul.

 

ane udah pasang adblocker aja masih ada muncul panel blank diatas @@ ribet iklannya, kadang website suka ngebug kalau ada iklan nempel diatas

 

Sebenarnya ada juga melalui meta-tag Content Security Policy untuk pemilik website, bisa dilihat disini:
http://www.html5rocks.com/en/tutorials/security/content-security-policy/

Jadi untuk panggil external script dari yg kita percayakan saja, bisa di setting di head htmlnya.
contoh:

 

Kayaknya hampir semua provider di Indonesia pakai cara nakal tak beretika seperti ini. Padahal kita membayar untuk pakai layanan mereka, tapi mereka seenaknya pasang iklan.

 

Telkomsel aman, XL sering banget redirect ke ibnads.xl.co.id, mana bikin lemot lagi

Dalam beberapa kondisi, saya pindah ke opera untuk mengenkripsi + mengkompres halaman non-https

Update:

Tidak hanya disisipkan melainkan halaman diubah secara keseluruhan oleh mereka. Dibuat sedemikian rupa supaya dialihkan ke halaman lain yang berisi iklan

HTML:

<!DOCTYPE html PUBLIC "-//WAPFORUM//DTD XHTML Mobile 1.0//EN" "http://www.wapforum.org/DTD/xhtml-mobile10.dtd">
<html>
<head>
    <noscript>
        <meta http-equiv="refresh"content="0;URL=http://ibnads.xl.co.id/ads-request?t=3&j=0&i=174952830&s=I04059147080454086785&a=http://example.com/"/>
    </noscript>
    <link href="http://ibnads.xl.co.id:8004/COMMON/css/ibn_20150915.css" rel="stylesheet" type="text/css" />
</head>
<body>
    <script type="text/javascript">
        p={'t':'3', 'i':'174952830', 's':'I04059147080454086785'};
        d='';
    </script>
    <script type="text/javascript">
        var b=location;
        setTimeout(function(){
            if(typeof window.iframe=='undefined'){
                b.href=b.href;
            }
        },15000);
    </script>
    <script src="http://ibnads.xl.co.id:8004/COMMON/js/if_20150915.min.js"></script>
    <script src="http://ibnads.xl.co.id:8004/COMMON/js/ibn_20160330.min.js"></script>
</body>
</html>