Comments 393
Здравствуйте, Алексей.
>Тем не менее, непонятно, зачем Яндексу нужны эти данные.
Вопрос резонный, отвечаем. В прошлом мы рассказывали (и в блоге Браузера, и на Хабре) о масштабах распростространения приложений, которые формально не считаются вирусами, но при этом вмешиваются в системные файлы (например, в hosts) и подменяют трафик. Они делают это для того, чтобы перенаправлять мошеннические и рекламные страницы.
Читатели Хабра сталкиваются с подобным редко, но в большем масштабе эта проблема куда существенней. Поэтому мы разработали компоненты Яндекс Браузера, например Yandex Rescue Tool, которые предотвращают нежелательные действия. Для этого компоненты мониторят активность подобных программ. А оценка окружения браузера помогает выявлять новые угрозы и адаптировать под них компоненты защиты.
Отдельно хочу сказать спасибо за то, как вы описали наблюдения. Было приятно увидеть адекватный и корректный разбор.
Снёс от греха подальше. А есть такое же, но про Firefox / Chrome?
Надо будет проверить.
А какие данные отправляет Windows там не показывает?)
Все отправляют, но забугорному дяде майору до очередного ивана из россии дела нет и с правительством рф они общаться не хотят, а яндекс контора "местная" и все успешно сливает кому надо и когда надо.
Их разумная слежка
@
Наш тоталитарный ГУЛАГ
Смотри не перепутай
В видеосравнении браузеров от американского блоггера видел ровно такой же посыл. Мол да, Яндекс сливает данные, но это далекая Россия, так что не так уж и страшно. Хром соответственно в списке существенно ниже
Конечно не перепутаю, забугорный Джон знающий про установленный клиент VPN меня не очень волнует, а вот ....
Продолжите фразу? Почему вас волнует что товарищ майор узнает что у вас установлен VPN?
Хорошая попытка, товарищ майор 🤗
Потому что когда использование VPN криминализируют, уже будет готовый список, к кому идти за палками.
Включая 8 человек заминусивших товарища майора.
Закон обратного хода не имеет же.
Длящееся преступление начинается и образует оконченный состав конкретного преступления уже либо с момента совершения первого преступного действия, либо с акта преступного бездействия. Заканчивается такое преступление вследствие либо действия самого виновного, направленного на прекращение преступления, либо наступления событий, препятствующих дальнейшему совершению преступления, либо когда отпала сама обязанность, невыполнение которой составляло содержание длящегося преступления.
https://pravo.ru/story/249593/
Пример с пропагандой чайлдфри можете найти в соседнем моем комментарии в этой же ветке.
Иногда не до законов (с)
В Беларуси этот обратный ход спокойно ингорируют
...поищите "был осужден за старый пост в соцсети"
Мне кажется, вы неверно интерпретировали что такое длящееся преступление.
Например, я написал пост в ВК.
Через год (любой другой срок) содержимое моего поста стало вне закона. Я должен свой пост удалить, тогда наказания не последует. Меня не смогут обвинить в том, что я когда то размещал пост, когда он был еще законен.
Если же я его не удалил, то да, меня могут привлечь. И тут не будет иметь значения когда я его расместил. Будет иметь значение наличие поста сейчас и принятый вчера закон.
Приведу аналогию. Предположим, сейчас выйдет закон о том, что на окне квартиры/дома не должно быть написано слово х@й. Все что мне после этого потребуется сделать - это пойти и стереть это слово со своего окна. Если же я этого не сделаю, то за мной придут. Конечно, я попытаюсь растрезвонить во все СМИ, что меня задержали незаконно, но толку от этого не будет. Правоохранители только еще больше разозлятся :)
С ВПН это так не работает. ВПН это некий сервис, которым вы пользуетесь здесь и сейчас. Вы выключили комп и больше не пользуетесь.
То есть, если выйдет закон о запрете использования ВПН, то вам просто следует перестать им пользоваться и все. Никто задним числом вас не накажет.
Учитывая, что сейчас частенько VPN поднимают на арендованных лично серверах, хранят конфиги и прочее на ПК/смартфонах, то в совокупности этого более чем хватит, чтобы вспомнить про те самые палки.
Это не так работает в России, если какому-то мудаку из роскомпозора покажется нужным запретить хабр - его запретят. Ну или вне всяких законов замедлят. Вы про законы говорите, а плевать на них, разве нет?
Это в идеале. А в реальности никто в суде не будет проверять, когда вы удалили пост - принесут распечатку скриншота в вашем ВК, неважно какого года, да даже не обязательно именно ваш ВК - и вы уедете строчить маскировочные сети. "Нет оснований не доверять сотрудникам полиции", никогда не слышали о таком?
O'rly? хованский смотрит на вас с недоумением
ну и тысячи их
Как минимум, если VPS, могут точечно заблокировать по ip
Оба тоталитарные.
Но капралу Смиту до меня полмира надо протопать, а майор Петров может сидеть на соседней улице.
Этому майору Петрову на вас насрать еще больше, только если вы не торгуете оружием, наркотой или не занимаетесь терроризмом. Но если вы будете этим заниматься, поверьте, взаимодействие спецслужб России и США теснее, чем кажется.
только если вы не торгуете оружием, наркотой или не занимаетесь терроризмом
Я бы понял такие реплики в 2010 году, но в 2025 году я их понять не могу. С тех пор гибридный режим трансформировался в парафашистскую диктатуру, людей штрафуют и сажают за то, что какие-то 15 лет назад было нормальным и безобидным.
А они не верят. Я не знаю, почему, но просто не верят, что можно сесть лет на пятнадцать просто за то, что ты написал статью о чём-то. Тебе даже делать ничего не надо, просто говорить, и ты садишься на срок как за тяжкое преступление, но большая часть пребывает в святой уверенности, что всем на тебя пофиг, пока закладки разносить не начинаешь
Абсолютное большинство людей не пишут статьи на политические темы и находятся вне зоны риска. К тому же вам нужно значительно переврать факты чтобы попасть под статью. Так что это исключительно ваша личная проблема.
Вариант " подкинули" текст не рассматривается? Если ВК говорят под спецслужбами сидит, то думаю могут и настрочить от твоего аккаунта. И поедешь лес валить. Фабрикация улик
Ну как минимум даже статью писать не обязательно - есть случаи, когда для срока хватило комментария или поста в соцсети с картинкой.
Значительно переврать факты
"Переврать факты" и "сказать то что противоречит официальным новостям" для суда значит одно и то же.
Плюс все эти законы успешно имеют обратную силу и постоянно расширяются, хоть под ноль страницу в соцсети чисти и уходи из рунета.
Плюс мы не знаем, куда именно будут расширены эти законы. Может завтра будет запрещено в принципе сомневаться в справедливости законов и государства?
"Правильная" точка зрения может изменится и за многие вещи которые ранее казались вполне невинные - могут появится вопросы.
Даже за некоторые факты (пусть и вида - чего губернатор публично врет что все нормально - у нас тут дрон падают и взрываются/у нас тут с аэродрома тяжелые транспортники пошли/танки, повсюду танки) могут быть вопросы.
Ну или - мнение что нафиг детей потому что <обоснование> - могут посчитать пропагандой чайлдфри(а это кстати запрещено - в прошлом году успели закон принять).
И так далее...
А какая тема политическая? Выбор или обзор смарт-ТВ - это политика или нет?
Просто в наше время, ГЛАВНАЯ функция смарт ТВ - это смотреть ютуб. А для этого нужен VPN. И вот насколько телевизор может легко их ставить (разные - потому что какие-то заблокированы, какие-то нет, это все меняется) - это сегодня гораздо важнее, чем OLED там или QLED или TFT. Потому что ТВ без ютуба даже с OLED не радует. :-)
Вот только видео с прямой фразой, что на него легко поставить vpn (и, для надежности добавлю) - показать, как легко ставится какой-то VPN - уже будет нарушать закон, так как популяризует средства обхода блокировок.
Многим просто страшно или больно признать реальное положение дел. Они пытаются удержать картину действительности, в которой Россия это правовое демократическое и свободное государство, где всё по закону, несменяемый честно побеждает на выборах, людей наказывают справедливо, и т.д.
Также немало латентных (и не очень) фашиков, которые считают нормальными тюремные сроки за "неправильные" слова, "унижающие" государство, армию и т.д.
Некоторых поймали на крючок ложных дилемм и они топят за Кремль просто потому, что считают "зашкварным" в чём-то пересекаться "со всякими соевыми педиками" и "продажными либерахами-грантососами".
А реальное положение дел в том, что одни люди давно уехали из этой плохой страны, но продолжают почему то учить тех, кто остался тому, какая стране нехорошая (давно заметил за релокантами какую то нездоровую тягу к такому поведению относительно своей родины, прям как будто чешется прям, спать спокойно не дает). И реальное положение дел в том, что обе категории неправы, потому что не видят всю правду, а видят лишь часть правды, которую им подсовывает большой брат чтобы переманить на ту или иную сторону
Слушайте, если российская повседневность полностью или частично соответствует почти всем критериям фашизма - мне трудно понять, какую ещё правду мне надо увидеть, чтобы это соответствие я посчитал недействительным. Тут может помочь только объявление всех источников, из которых я знаю про фашизм (а это десятки статей и книг, включая мемуары), враньём госдеповской пропаганды. Ну и блокировка их, конечно. Только я не считаю, что все эти люди исполняли заказ сионских мудрецов или Даллеса или Ктулху или кого там ещё.
Можно ещё попытаться убедить людей в том, что везде то же самое, просто в первом мире оно хитро зашифровано и все притворяются, что у них демократия и свобода. На мой взгляд, это примерно тот же уровень, что и вера в повальную клевету на Россиюшку. Как сказал кто-то на одном форуме, в теме про лунный заговор: "сторонники заговора нарисовали уже такую сложную схему по фальсификации высадки, что проще было бы реально высадить людей на Луну". Тут примерно то же самое.
люди давно уехали из этой плохой страны, но продолжают почему то учить тех, кто остался тому, какая стране нехорошая
Да, странно, что живущие в России не шибко горят желанием писать, например, что в стране диктатура, которая к тому же явно летит с катушек, и что за невосторженные слова можно уехать на зону, а оппозиционеров зачастую просто убивают. Или что Путин пусть идёт сам воюет в своих войнушках за обогащение своих друганов, а мобилизованным мужьям и отцам пора вернуться домой. Просто удивительно, почему такое звучит в основном от уехавших. Не понимаю в чём причина, помогите разобраться.
Поднял карму, жаль, не могу просто пересыпать половину своей
Дело не в российской повседневности, а в том, что про нее пишут как правило те, кто ее давно уже в живую не видел.
Маленькие дети!
Ни за что на свете
Не ходите в Африку,
В Африку гулять!
В Африке акулы,
В Африке гориллы,
В Африке большие
Злые крокодилы
Будут вас кусать,
Бить и обижать,-
Не ходите, дети,
В Африку гулять.
В Африке разбойник,
В Африке злодей,
В Африке ужасный
Бар-ма-лей!
Он бегает по Африке
И кушает детей -
Гадкий, нехороший, жадный Бармалей!
А ещё любопытно, что те, кто пишет про то, как все плохо, как даже за лайки всех поголовно сажают - сами ни разу даже малейшего штрафа не получали за это, а сведения о том, как все плохо... Просто где то услышали)
Да понятное дело, что перегибы есть. Но они есть в любой стране мира. Разница только в том, что когда бомбят одни (и в основном военные объекты) - то в СМИ сообщения вида "да как они вообще посмели", а когда другие сносят с лица земли целые города со всеми жителями - то это освещается как великое благо. Есть и другие СМИ, которые освещают все с точностью наоборот. Соответственно есть 2 категории людей: одни верят в первые сми, другие во вторые. А на самом деле и те и другие - рупор пропаганды, которые из мухи умеют делать слона,а неприятные факты стараются замалчивать или делать вид, что "они сами виноваты"
Вы сами себе придумали какой-то постулат (что о России плохое пишут те, кто её якобы давно не видел) и просто повторяете его по кругу, даже не слыша, что вам пытаются сказать.
А ещё любопытно, что те, кто пишет про то, как все плохо, как даже за лайки всех поголовно сажают - сами ни разу даже малейшего штрафа не получали за это, а сведения о том, как все плохо... Просто где то услышали)
Это откуда вообще взято, что ни малейшего штрафа не получали, что просто услышали где-то? И почему только личный опыт выставляется как единственно верный источник информации об окружающем мире?
Просто чушь какая-то.
Когда убьют - тогда приходите. Вы вообще не замечаете в своих словах детскую демагогию, вотэбаутизм?
А какая вторая категория? Трижды прочитал коммент и увидел только релокантов
Я заметил, что чем больше "патриот" любит родину, тем дальше от родины его дети. И даже текущие события вообще никак на это не повлияли. Вернее, повлияли в сторону увеличения этого расстояния. Это пожалуй единственное, что тревожит моё чувство справедливости. Остальное это просто мысли вслух в процессе наблюдения за террариумом.
Я никуда не уезжал, и я явно вижу, что за неудачный комментарий или лайк можно если не присесть, то быть оштрафованным - запросто.
Многие беженцы из Суджи уехали, но продолжают переживать за то, что там происходит. Интересуются этим, переживают, спорят про это. Прям как будто чешется прям, спать спокойно не дает. Ну уехал себе в Курск и бомжуй там себе тихонечко. Нездоровая тяга к дому какая-то.
Аж прослезился) правда обычно у этих узников совести, если покопать, еще всяких приключений как раз таки лет на 7-10, но о таких вещах свободолюбивые не любят почему-то говорить, вспоминая только статью)
Тарантино подвёл под статью о запрете пропаганды нетрадиционных сексуальных отношений и отказа от деторождения.
Полицейские зорко мониторили интернет и в социальной сети "Вконтакте" усмотрели проявление мизантропических взглядов, а в одной из картинок — высказывание о привлекательности отказа от деторождения в пользу беспечного образа жизни у одного из пользователей.
Несмотря на то, что посты не первой свежести, а закон начал работать позже публикаций - в управлении отметили, что пользовательница не удалила запрещенные материалы со своей страницы, и они оставались доступными.
https://lenta.ru/news/2025/01/31/v-rossii-vpervye-soobschili-o-shtrafe-za-mem-o-chayldfri/
Тут палочная система проявила себя во всей красе - могли бы и сами удалить или заблокировать доступ, но нет, надо состряпать дело.
Кстати, меня вот интересует такой философский вопрос. Если я создал некогда аккаунт в какой-то соцсети. Вот тогда, давно - он был мой, тут все понятно. Однако, потом я забыл от него пароль (и восстановить - тоже не могу).
Вопрос - является ли тот аккаунт (пусть даже с моим именем, фото и сканом паспорта) - моим? Если я уже не имею возможности им владеть, пользоваться и распоряжаться.
Эксперт фсбшный скажет, что ваш - значит ваш. И с 99.999% вероятностью он именно так и скажет.
Я вам больше скажу
К сожалению, не могу назвать конкретное имя, но помню, что журналисту успешно инкриминировали каналы с его именем, хотя никаких доказательств, что именно он их администрирует, а не кто-то, суду не представили. Только утверждения следователя и что-то про "провокативный" характер постов
только если вы не торгуете оружием, наркотой или не занимаетесь терроризмом
А как же пропаганда одобрения и одобрение пропаганды экстремизма? А дискридетация армии? А распространение информации об обходе блокировок? Более того, там кого-то уже судили за публичные действия, потому прослушивающего личный разговор мента судья признал за публику. Так что если кто-то ваш host почитает и там, не дай бог, ересь какая-нибудь присутствует, вас уже могут посадить. Ведь нет оснаваний не доверять сотруднику, да и эксперт все что надо подтвердит. Плюс, список расширяется с умопомрачительной скоростью и рано или поздно даже попытки обхода блокировок будут караться.
Так что если вы еще не сидите, это не ваша заслуга - это их недоработка.
занимаетесь терроризмом
Буквально что угодно в 2025. Может завтра любителей кофе террористами признают откуда вам знать
Вы же понимаете, что в современной России за слова с высокой долей вероятности дадут столько же, сколько за убийство? Скорее чуть меньше, но они абсолютно сравнимы с точки зрения нашей правовой системы. А минимально выходящее за некие рамки количество слов пойдёт по статье об экстремизме или терроризме? Шаг дальше - госизмена. Добавляем сюда построенную на палках и KPI систему силовиков, результат этой дикой смеси - "чем меньше знает обо мне любой хотя бы мент, если не хуже, тем спокойнее я сплю по ночам"
Вы же понимаете, что в современной России за слова с высокой долей вероятности дадут столько же, сколько за убийство? Скорее чуть меньше, но они абсолютно сравнимы с точки зрения нашей правовой системы. А минимально выходящее за некие рамки количество слов пойдёт по статье об экстремизме или терроризме? Шаг дальше - госизмена. Добавляем сюда построенную на палках и KPI систему силовиков, результат этой дикой смеси - "чем меньше знает обо мне любой хотя бы мент, если не хуже, тем спокойнее я сплю по ночам"
Капралу Смиту - да, а Начальнику службы безопасности банка из СБУ достаточно собрать на тебя данные, совершить какую-нибудь подставу и начать шантажировать, что тобой заинтересуется уже наш товарищ майор
Вы не поверите, но "начальник службы безопасности" берёт эти данные не у далёкого мифического капрала, а в даркнете, где одним из основных источников данных для всяческих услуг по пробиву являются как раз желающие подзаработать майоры Петровы. Туда же отправится и любой Ваш конкурент/недоброжелатель. И вот это для меня как раз главная проблема.
Этих сотрудников "СБУ"? https://tass.ru/proisshestviya/22842325 Которым сливают данные из всяких Госуслуг, Банков, Авито и СДЭКов?
Или этих https://smotrim.ru/article/4262328 ?
Это Вы перепутали: нам надо пользоваться их сервисами, а им - нашими. Потому что взаимодействия между соответствующими органами нет.
Суть не в этом. А в том что условная ЦРУ в гости не зайдёт. А вот условная ФСБ может.
Ну так, разумно ведь? Их разумная слежка до тебя не дотянется, а наша - может. Ну это видимо для тех, кто какие то опасные делишки проворачивает) Я вот как то не боюсь, что в какой то базе данных будет что то обо мне, ее же не выставят на всеобщее обозрение, в любом случае.
Для win10 в общем доступе полно способов отключения всего этого шпионстова, в т.ч. вшитых в сборки, кроме всегоэто улучшает производительность, и свободное ОЗУ. Винду по менять не на что, а нормальных браузеров без стилеров и вирусов полно.
Винду по менять не на что
Странно читать такое на Хабре (пишу с линукса, которым успешно заменил винду).
Есть куча софта исключительно для винды, особенно всякое промышленное и дизайнерское.
Для тех кто не умеет читать контекст или не обладает широкими знаниями о софте придётся перефразировать: "Большинству пользователям, которым нужны прикладные задачи от софта, например настольное издательство, управление многими всеми китайскими чпу станками, плоттерами, лазерами, шир.принтерами выбора ОС - нету." (и это только один из прикладных кейсов)
Конечно тем кому нужен майнкрафт и браузер с вк и яндексом, им подойдёт и линукс.
Не попадалось. Может не так явно сливают
Интересно, я правильно вас понял, что по нажатии на чекбокс и отключению статистики ещё на сайте до загрузки сбор статистики отменяется. Если да, то тогда интересно, как реализована передачатрй информации в установщик?.. Возможно, Яндекс могли бы пояснить, если не сложно. Интересно просто как это реализовано...
Просто ссылку на другой установщик яваскрипт подсунет и все.
Это кажется логичным, но тогда непонятно, просто ли в другом установщика по умолчанию отключена часть слежки, или её там нет вовсе, и что происходит при получении крупных обновлений для браузера? Потому что вряд ли они будут поддерживать разные подверсии одной и той же версии браузера даже для одной платформы. Хотя, может, действительно просто там ползунок переключён в disabled, а данную версию они просто компилируют с заданными параметрами, не тратя на это много времени. Может и так..
Вы правы. Скачал оба варианта загрузчика, с галками и без. Размер одинаковый байт в байт, но внутри много отличий.
Скрытый текст
Забавно. Что я видел раньше - когда на сайте настраиваются некоторые параметры установки - то потом просто один и тот же инсталлер, но с разным именем, отдавался, и в зависимости от имени файла уже на компе пользователя вел себя по-разному. Собирать несколько версий инсталлера более хлопотно, но тут выбрали делать так
Все оказалось еще более запущено.
Все скачиваемые установщики бинарно отличаются, даже если галки стояли идентично!
Возможно, сам заход на сайт для скачивания уже инициирует сбор данных и зашитие их в пакет установки...
Или они генерируются постоянно, что бы не светиться как гирлянда на вирустоталах.
Обратите внимание, что вами найденные отличия находятся по одному смещению. Это - последовательности байт (скорее всего строковые ресурсы), в которых содержатся уникальный идентификатор установки для отслеживания поведения пользователя и заранее заданные на сайте параметры, на основе которых установщик выбирает тот или иной сценарий работы.
один и тот же инсталлер, но с разным именем, отдавался, и в зависимости от имени файла уже на компе пользователя вел себя по-разному.
Ой. Это что же, и переименовать файл нельзя, чтобы не сломать?
Скачал два варианта, сравнил текстом.
Скриншот
С галкой:
win10pin=1
&vup=1
&browser=Firefox/64/134.0
&banerid=6302000000:679fdd3b681c785777be5dd0
&bitness=64
&darktheme=0
&statpromo=true
&testids=1114258/-1,1114347/-1,1124063/-1,1127618/-1,1168901/7,1176504/-1,1190159/68
&yandexuid=7229046911738530104
&mongoID=679fdd3b681c785777be5dd0
&pps=installID%3D7229046911738530104_1738530107664%26mongoID%3D679fdd3b681c785777be5dd0
&download_date=1738530107
Без галки:
win10pin=1
&vup=1
&browser=Firefox/64/134.0
&banerid=6302000000:679fdd49681c785777be5df6
&bitness=64
&darktheme=0
&statpromo=false
&testids=1114258/-1,1114347/-1,1124063/-1,1127618/-1,1168901/7,1176504/-1,1190159/68
&yandexuid=7229046911738530104
&mongoID=679fdd49681c785777be5df6
&pps=installID%3D7229046911738530104_1738530121515%26mongoID%3D679fdd49681c785777be5df6
&download_date=1738530121
В ресурсах EXE'шника есть строка с параметрами, которая обрабатывается при запуске, и на основании её содержимого применяются те или иные сценарии поведения.
А Вы не пробовали ЯБ на новой машине, но с откл галочкой? (Влияет галочка или нет?)
так ведь данные уже отправлены :)
С какой-то версии у Fireаoxa в лицензионном соглашении прописывалось что-то со смыслом "Ваши данные - это наши данные" и "кому надо - тому и передаём". И появилось оно как раз после того как они оскандалились с утечкой трафика. После этого я на них забил окончательно. Как сейчас не знаю.
Chrome отстой, на работе 64гб ОЗУ, жрет половину. Щас сб, пруфов не будет
"Тойота - отстой. Купил - еле едет, ревёт и дымит, ремонтирую каждую неделю"
Потом выясняется, что купили малолитражку таскать прицеп с металлоломом по горным дорогам
Иными словами, вы хоть пишите, в каких условиях он столько жрёт. Потому что у меня он жрёт от 1 до 10, в зависимости от того, сколько чего открою. Обычно 2-3 на 10-20 вкладок. Или у вас стартовая страница двадцать гигов жрёт?
У фаерфокса есть страничка (сей-час под рукой нет ссылки) где описана вся его неявная активность. Включая, например, (но не только) запросы к поисковикам когда вы вводите запрос. И там всё выглядело прилично. Разумеется, всё это отключается.
хром я снёс еще во времена когда яндекс-браузером даже не пахло, когда меня достал гуглапдейт.
В приличном софте пользователя тыкают носом в галочку телеметрии явным образом или отключают по-умолчанию.
которые формально не считаются вирусами, но при этом вмешиваются в системные файлы (например, в hosts)
О, это про меня. Постоянно вмешиваюсь в системные файлы. Например в hosts у меня уже много лет "mc.yandex.ru 127.0.0.1"
Очевидное решение – отключить функцию автоматической отправки статистики.
И проверять после каждого обновления? А оно отключилось или перешло в более умный режим?
Agnitum Outpost Firewall, как же тебя не хватает (режим обучения) в наше безумное время тотальной слежки и сбора информации
А вы загуглите кто его купил и уничтожил. "Совпадение? Не думаю." (с)
в следующий раз будут шифровать и использовать стеганографию, а то ни дай бог кто то узнает что шпион шпионит?
А почему в следующий? Может он сей час уже так делает при снятии галочки?
сервисы mail.ru, yandex.ru, vk.com и т.д. вообще лучше не использовать, если вы находитесь на территории РФ
Можно не сомневаться, что реестр тех, кто ими не пользуется если не ведётся уже, то будет вестись в самое ближайшее время.
Один мой товарищ примерно лет 20 назад завёл в одном гадюшнике аккаунт и стал постить котиков. На вопрос нахуа, ответил что когда я через 20 лет захочу ********** то ОНИ будут смотреть чем я занимался в соцсетях последние 20 лет. И вот недавно оно ему пригодилось.
Дело не в том, сливает или нет, а в том, куда сливает и в какой юрисдикции вы при этом находитесь.
Даже если вы перед тем как лайкнуть котика тщательно проверяете наличие отсутствия на фото с котиком храмов, военных объектов и иноагентов. То вероятность появления ваших данных в даркнете тоже разная.
товарищ примерно лет 20 назад завёл в одном гадюшнике аккаунт и стал постить котиков
Есть ещё одна причина так делать. Если у вас в сети нет аккаунта - то его в любой момент с вашим ФИО заведут. И вы даже не узнаете, что там постится. Поэтому а) лучше завести; и б) хотя бы с десятком человек из реальной жизни виртуально сконнектиться.
Если у вас в сети нет аккаунта - то его в любой момент с вашим ФИО заведут.
И что? По вашему, нужно регистрироваться во всех соцсетях? Нету акка и слава богу.
Для типичного Васи-никто - нормальная стратегия. Для хоть чуть-чуть известного человека, та его страничка (в отсутствии конкуренции) может начать собирать подписчиков и выглядеть очень реальной. Сообщения на ней будут восприниматься как сообщения от самого этого человека.
На медузе (ну и не только) как раз вышла статья про реальный кейс человека по имени Уильям Вудс (чтоб загуглить), которого посадили за то, что он выдавал себя за Уильяма Вудса. Только на самом деле он им и был, а "настоящий" Уильям Вудс был не настоящим. Но он так оброс разными перекрестными подтверждениями, что теперь все знали, кто "настоящий", а кто притворяется.
А что мешает завести еще один эккаунт с такими же Ф.И.О. как и у Вас, а потом объявить его Вашим и подлинным?
Еще один минус: как только Вы регистрируетесь в говно-сетях, тут же вылезают всякие одноклассники и пытаются «дружить», хотя они вроде бы остались в прежней жизни и вспоминать их не хочется от слова «совсем».
Потому что пользователи в сети идентифицируются не по ФИО, а по точке выхода и информационному следу, который они оставляют.
законы яровой не зря принимались, интернет уже давным давно не анонимный, в большинстве своем, и у каждого действия уже давно есть пометка - написано таким то (если нет то может быть получена).
Обычно же аккаунт привязан к почте/телефону ( сейчас все чаще к телефону). А такую подделку будет сложнее сделать.
Именно поэтому нужен коннект с людьми, которых с вами что-то проверяемо связывает. Если есть два акка - один с "друзьями", второй пустой или с рандомными контактами - фейковость второго доказать шансы есть хоть какие-то.
У меня уже много лет два списка: DNS для AdguardHome и лист для uBlockOrigin https://github.com/IRainman/internet_additional_cleanup_and_fix/tree/main
Ну теперь сноси винду, простым удалением ты ничего не изменишь и никакие антивирусы не помогут
1) Автоматическое обновление подразумевает согласие на все галочки по-умолчанию?
2) С галочкой и без качаются разные варианты дистрибутива или как браузер узнаёт, что не надо посылать это всё?
del
Выше есть ответ, собирают и отдают разные инсталлеры в зависимости от галочки
Скорее один и тот же, но с разными параметрами запуска: https://habr.com/ru/articles/878236/#comment_27870976
Отличается statpromo=true/false (ну и незначительные айдишники)
А что хотеть от вредоносного ПО? Все производители антивирусов говорят - не качайте крякнутые программы, потому что там вирусы. А по факту в архиве с крякнутой программой, помимо самой программы, идёт ещё и Яндекс Браузер. Вот если бы антивирусы ещё научились его удалять.
Очевидное решение – отключить функцию автоматической отправки статистики.
Нет, не самое очевидное решение. Очевидное - снести яндекс браузер (и все другие их поделки, на всех устройствах)
Именно
Бля, чуваки, да гугл карты лучше работают в России чем наши отечественные Яндексы-хуяндексы. Надо было пешком пройтись до здания одного в Москве. До прибытия пытался гуглом провести маршрут, но он не пахал. Пришлось яндекс открывать. Иду я по его пути и прямо передо мной возникает... вы не угадайте... забор. Я в ахуе мотанул круг вокруг этой территории (это была то-ли школа то-ли ещё чё-то подобное). От безысходности решил зайти с гугла и прошёл нормально.
Делайте выводы
Насчёт России вы, конечно, дали маху – но в Москве действительно так, согласен.
Более того, Яндекс Карты со временем превратились в огромный тяжеленный суперапп, отягощённый избыточной функциональностью. Плюс обилие рекламы, не отключаемой даже при наличии оплаченного Плюса (в машине, кстати, навигацией можно пользоваться только при условии оплаты последнего, но от рекламы это тоже не спасает). По эргономике и удобству использования до сих пор как до луны по сравнению даже с древними версиями Навител.
Единственный плюс навигации от яндекса – в общем и среднем более точные данные о пробках и заторах, ИМХО.
P.S. Привести к забору с обратной стороны здания или к какой-нибудь железной дороге без переезда – это вообще любимая фишка яндекса с незапамятных времён, которую упорно не хотят пофиксить. Видимо, Алиса важнее.
Параноики, которые бояться их товарищ майор слушает и так не ставили Яндекс.
А остальным нет повода для беспокойства.
Нынче многие госсайты, а скоро — грозятся — многие банки, используют сертификаты, выданные минцифрой. Ставить их корневой сертификат в систему я считаю неприемлемым, поэтому для россайтов использую ЯБ, в котором уже есть этот самый корневой сертификат минцифры. В общем, приходится идти на компромиссы.
Ни разу не удивлен! Навязчиво предлагается к установке...
Пока до уровня браузера Амиго они не дошли
Почему-то с Амиго ни разу не столкнулся, а вот агрессивную рекламу ЯБ заметил ещё много лет назад и тогда зарёкся его ставить из-за этого. Причём аж дважды чуть не установил (шло "в комплекте" с какой-то прогой).
Яндекс-бар в лучшие годы ещё такой был.
Почему-то с Амиго ни разу не столкнулся
Повезло. Помимо Амиго обычно ещё накатывался Спутник, Агент, куча ярлыков на рабочий стол и панель задач и ещё целая гора мусора. Я даже помню софт типа Unchecky, позволявший защититься от собственной невнимательности при установке и вовремя сбрасывавший галочки.
Видел даже ещё спецсофт, позволяющий патчить оригинальные установщики и добавлять туда всякое adware.
Вспоминается пробинг локальных клиентских портов сайтом «Хедхантера». Два десятка запросов к портам лупбэка во всех диапазонах от обфусцированных аналитических скриптов просто при загрузке страниц. Даже eBay от такого сканирования уже отказался — а «Хедхантеру» норм.
А в русском разделе Википедии даже запустили специального бота, который, когда вы делаете правку анонимно (без регистрации, из-за чего в истории правок виден ваш ip-адрес), сканирует все порты чтобы понять, не используете ли вы прокси (при обнаружении прокси ваш адрес улетает в бан, т.к. правка через средства анонимизации запрещена в Википедии глобально (известные диапазоны популярных хостеров перманентно в бане, а в русском разделе ботом отлавливают тех, кто таки прорвался, например, подняв прокси у малоизвестного хостера).
Собственно, для теста я специально поднял прокси на нестандартном порту и сразу после совершения правки tcpdump засёк гостей, а адрес был тут же заблокирован на полгода как прокси
22:28:55.127423 eth0 In IP unn-185.246.211-181.datapacket.com.44059 > <my.domain>.socks: Flags [SEW], seq 3512024762, win 64240, options [mss 1399,nop,wscale 8,nop,nop,sackOK], length 0
22:28:55.132581 eth0 In IP 95.211.172.97.adsl.inet-telecom.org.8153 > <my.domain>.http-alt: Flags [SEW], seq 2163372201, win 64240, options [mss 1399,nop,wscale 8,nop,nop,sackOK], length 0
22:28:56.131392 eth0 In IP unn-185.246.211-181.datapacket.com.44059 > <my.domain>.socks: Flags [SEW], seq 3512024762, win 64240, options [mss 1399,nop,wscale 8,nop,nop,sackOK], length 0
22:28:58.139091 eth0 In IP unn-185.246.211-181.datapacket.com.44059 > <my.domain>.socks: Flags [S], seq 3512024762, win 64240, options [mss 1399,nop,wscale 8,nop,nop,sackOK], length 0
22:28:58.148858 eth0 In IP 95.211.172.97.adsl.inet-telecom.org.8153 > <my.domain>.http-alt: Flags [S], seq 2163372201, win 64240, options [mss 1399,nop,wscale 8,nop,nop,sackOK], length 0
Полагаю где то в дебрях яндекс разработчики этой системы получат легкий айайай... за то что слали эти данные открытым текстом (даже пусть и по https), в следующий раз будут шифровать и использовать стеганографию, а то ни дай бог кто то узнает что шпион шпионит?
Интересно, в версии для линукса так же? А то что-то неприятно, что имена доменных учёток, хоть раз входивших на машину, будут уходить яндексу.
А точная идентификация пользователя (машины) по мак-адресам сетевых карт вас не волнует?
Яндекс.Браузер - самая настоящая малварь. Вышеописанных фактов достаточно, чтобы все известные антивирусные программы считали программы Яндекса вредоносными и удаляли их.
Репутация у Яндекса и так на дне, но каждый раз они стучатся снизу.
Яндекс.Браузер - самая настоящая малварь.
Так это же перекрашенный Хром с которого и скопировали даже методы продвижения
Что-то я не припомню, чтобы Google на своих страницах выкидывал попапы с настоятельным предложением установить Хром
все было, были дикие времена, когда все очень хотели свой бар вставить в браузер, и гугл был впереди всех.
Шутите? Через раз Gmail предлагает установить хром, если зашёл не через хром.
Постоянно пользуюсь Gmail в Opera - не припомню таких предложений. Иногда Edge запускаю, проверить какой-нить сайт рабочий - так этот нудит чтобы его по дефолту поставили.
Не, там плашка в углу висела и только, без необходимости тыкать на крестик и обращала на себя внимание, если посмотришь на неё
кстати, недавно ставил новую винду в виртуалку, ну и как всегда, ритуал на новой винде - запустить Edge чтобы скачать Brave. По запросу "brave" в адрес-баре открылся Яндекс. И первый результат - "скачать яндекс браузер".
Сейчас проверяю с линука и brave - того эффекта не вижу. Может только с винды и-или только свежеустановленной?
Он прямо сейчас так делает на iOS устройствах.
Этот хром распространялся буквально как вирус. Чуть галочку забудешь снять - всё, попался
Вот как раз Гугл и начал такое продвижение своего браузера... а так как Google были тогда почти монополисты в поиске то и накрутили базу Хрому
Почему то хром не сует себя в автозагрузку
Согласен, всем, всем друзьм/знакомым/клиентам/подписчикам пытаюсь объяснить почему xyяндеx не нужно ставить, ни одно приложение из их списка. Их принцип ведения бизнеса, рекламы своих продуктов попадают под современное понимание скам, спайварь, стилер. Короче вирусный софт. Поисковик их тоже не нужен, уткауткаиди гораздо приятнее становится.
Ниже ада никого нет
Agnitum Outpost Firewall, как же тебя не хватает (режим обучения) в наше безумное время тотальной слежки и сбора информации
Может Malwarebytes Windows Firewall Control поможет?
Я не пользуюсь Windows. Для меня не актуально. На Linux использую программу с аналогичной Outpost функциональностью.
Malwarebytes Windows Firewall Control не имеет встроенный режим обучения. Он предлагает функцию "автоматического разрешения" для новых программ и приложений. В этом режиме Malwarebytes Windows Firewall Control автоматически позволяет новым программам и приложениям получать доступ к сети, если они не являются угрозой. В Outpost же при любой новой попытке соединения появлялось окно с возможностью принять решения. Постепенно Outpost обучался и сообщений было всё меньше.
На Linux использую программу с аналогичной Outpost функциональностью.
и какой же, а интерфейс у нее аналогичный по функциональности и удобству?
Использую https://github.com/evilsocket/opensnitch
Работаю в i3wm, поэтому интерфейсу безразличен, но функциональности хватает.
автоматически позволяет новым программам и приложениям получать доступ к сети, если они не являются угрозой
В настройках нужно включить защиту профиля и защиту правил, выбрав удаление или отключение правила вне доверенных групп. У меня при таких настройках все новые правила отключаются.
Вот в этом режиме прекрасно обо всём спрашивает. Не самая последняя версия, правда, может потом что и поломали. Но в случае браузера.. слабо представляю, как описанное в статье отфильтровать. Очень вероятно, что на тех же хостах, куда уходят данные, и полезный функционал есть
Malwarebytes Windows Firewall Control
Я как раз ищу хороший файрвол под Windows 11, который:
Не стесняется задавать вопросы про каждое приложение.
Не стесняется блокировать виндосервисы, включая МС-телеметрию, и уметь делать это надёжно.
Рекомендуете попробовать этот?
Windows Firewall Control - это просто графическая надстройка над файрволлом Windows. Задавать вопросы он не будет, в лучшем случае - показывать уведомления о созданных правилах или о заблокированных подключениях. Если вы после установки очистите правила, то интернета у вас не будет вообще) Я пользуюсь, в принципе устраивает. Есть только один момент - даже после разрешения ряда программ и служб Windows обновляться через интернет категорически не желает. Но можно без проблем скачать файл кумулятивного обновления и его установить.
Так а что не так с этим "лучшим случаем"? У меня wfc работает в режиме, как работал аутпост, если я правильно помню. Т.е. при открытии неизвестного правилам соединения (например, от нового приложения), оно блокируется и у меня появляется оповещение, как вы пишете, но в этом же окошке есть и возможность тут же создать правило одним кликом. Очень удобно, и вроде бы человек выше про это и спрашивал.
но в этом же окошке есть и возможность тут же создать правило одним кликом
Что-то я такого не помню. Может оно в те времена работало неидеально, не от хорошей же жизни я просто пошёл другим путём - разобрался и создал базовые сетевые правила и заблокировал всё остальное, а потом по мере необходимости разрешал требуемое.
Вообще хорошо, что вы свой комментарий оставили. А у вас версия какая?
Я недавно пользуюсь им, может, год, и всегда так было. Собственно, комментарий чуть выше говорит о том же. Сейчас версия 6.9.2.0, но у них на сайте и поновее. Каких-то проблем при таком методе создания правил я не заметил.
Попробуйте ESET Endpoint Security. Может отключить антивирус, но как фаирволл достаточно неплох, показывает окошки с вопросами, можно ограничить что угодно
Для MS Windows уже давно использую: Comodo FireWall или Comodo Internet Security.
Настроить его и по п.0, и по п.1 можно. К сожалению, "можно" не означает легко.
Simplewall - бесплатный, опенсорс. Вопросы задаёт, сервисы винды блокирует и даже обновления если нужно. Не знаю, правда, насчёт надёжности, пользуюсь несколько лет, если какие-то проблемы и были, то я их не заметил)
Иногда(редко правда) "падает" с ошибкой.
На Win 7 окошко запроса часто не появляется вообще. На Win 10 пока нормально(не факт что), но забавная ситуация когда основное окно(если включено "Поверх всех окон") simplewall перекрывает окошко с запросом.
Нормально не блокирует некоторые приложения. Т.е. приложению запрещен полностью доступ в инет(даже на localhost), а оно всё равно "ходит" в инет.
При первой загрузке нагружает проц до 100%.
По пункту 3. у вышеупомянутого Malwarebytes WFC в Known limitations это указано.
Поэтому ИМХО только Comodo Firewall.
Пользуюсь simplewall, работает ровно как вы и описали, спрашивая, пустить ли в интернет приложение. Можно пустить на определённое время. И пресеты есть для телеметрии и прочего шлака от МС.
(https://github.com/henrypp/simplewall)
Понимаю! Когда я всё же слез с 7-ки, то встал вопрос об управляемом файрволе. Agnitum на 10-ке не работал нормально. Внезапно оказалось, что чистых файрволов уже нет. Попробовав и отвергнув всякие комбайны остановился на Windows Firewall Control, для которого оставил некоторые базовые правила чтобы локальная сеть нормально работала. В режиме строгой фильтрации разрешаете исходящие конкретному приложению и всё. В данном примере процесс bct.exe будет блокироваться по-умолчанию.
P.S.
Прочитал что пишите ниже. Если не секрет - а на Linux чем пользуетесь?
Little Snitch под macOS хорошо с таким справляется. Под Linux / Windows советуют Safing Portmaster.
И, конечно, лучше ставить Open-source браузер. И/или запускать его в песочнице (из flatpack в Linux, например)
Вы на полном серьёзе предлагаете разрешать браузеру каждое tcp соединение с серверами не из списка некой внешней программой и диалоговым окошком?
Что-то подобное видел в ie на свежеустановленных windows server :)
Подтверждать каждое соединение с сервером в зоне internet...
Гора безопасности :)
Если есть много свободного времени, то можно конечно провести все манипуляции, приведенные в статье, делать это при каждом обновлении. Но мой метод быстрее и, как приведены выше комментарии, востребован.
Можно конечно отказаться от Я.Браузер (я его и не использую, его в основном используют те, кто на госсайты ходит), но ведь любое проприетарное ПО тоже надо контролировать :)
eSet это умеет. Я тоже после Outpost долго печалился, что нет вот такого параноика, который на любой чих будет выдавать запрос на разрешение или запрет. Совершенно случайно наткнулся на eSet, который, как оказалось, тоже имеет такой режим
Мне помог Netlimiter я немного гонял по тестам 4 версию (на 10-ке пользуюсь, на 11 не работает, а 5-я версия подозрительна) и она могла даже сама себя ограничить от выхода в инет.
Собственно стоит на всех компах, у жены провёл первичную настройку, и потом раз в неделю подхожу сморю что ещё полезло и обрубаю/разрешаю.
Правда с лицензией они наглы - 40$ вроде бы немного, но на каждую установку, то есть 3 компа для 1 человека и это уже 120$.
Если бесплатно, то можно заменить утилитами Марка Руссиновича (Sysinternals):
TCPView: Эта утилита позволяет отслеживать активные сетевые соединения на вашем компьютере, включая информацию о портах, IP-адресах и процессах, которые используют соединения. Однако она не предоставляет возможности ограничения скорости трафика.
Process Explorer: Хотя основная цель этой утилиты — мониторинг процессов, она также может показать сетевую активность процессов, что может быть полезно для анализа.
Sysmon: Это инструмент для мониторинга событий в системе, включая сетевые подключения. Он больше подходит для анализа и диагностики, чем для управления трафиком.
В последних версиях может:
- Cоздать правило пустышку (Независимо от опций)
- Не запуститься ибо ексцептион файл.
Это не на постоянной основе, но переодичность на нескольких машинах и разных системах стала напрягать. Удалил.
НО! Если буду в буд. чего похожее искать, начну с этой. Ибо во всём остальном понравилась (Да и может пофиксят эти моменты).
А я до сих пор с ним... пожизненная лицензия. С аналогами его плохо, более- менее еще Комодо можно приспособить...
Не хочу вас расстраивать, но ...
Вот, идиоты - даже не удосужились зашифровать или обфускировать...
Кажется это больше относится к тем, кто этот браузер поставил.
Оставив галочку по-умолчанию при скачивании. Не читая eula :)
И без острой на то необходимости.
Не подсказывайте им, а то пофиксят, и мы не узнаем, что сливает следующий релиз.
Вообще здорово, учитывая количество пользователей данного браузера, иметь такой массив данных.
Тут тебе и логины для влома снаружи не надо подбирать, и список ломанного софта, и список машин на которых RDP крутится, и MAC'и.
Преобладающее большинство перечисленного, это проблемы для юрлиц, а не физиков.
Досконально не изучал Соглашение, но могут ли они передавать эти данные третьим лицам? По 152ФЗ это не проходит, коммтайна тоже не при делах... Да и "протечки" никто не отменял.
Амиго от Мэйла уже вспомнили? )
Никакое ПО не должно иметь возможности запускаться из каталога профиля пользователя. Хочет - потенциальное зло.
Но всё больше ПО так и делают, потому что в ProgramFiles прописать может только админ.
Да, они так далают, потому что - зло. Они хотят ЛЮБЫМ способ закрепится в системе. Это поведения вредоносов.
и самый первый нарушитель - сам микрософт. который нарушает же свои политики созданные ранее и упорно тулит новые свои приложения в профиль пользователя.
И какие же это приложения?
VS Code, например
Ну так существует же portable-версия, которую можно запускать откуда угодно. А что касается установки в каталог профиля пользователя, то прочитать инструкцию было не судьба?
Яндекс вот так и "ниасилил" System Setup для своего говнобраузера (даже в версии для организаций)...
То, что можно его поставить хоть на диск E:, даже не в портабельном варианте, доказательств не требует.
Но это не отменяет того, что MS самостоятельно ломает свою же концепцию Program Files как единого контролируемого хранилища исполняемых файлов. Как раз наоборот: от них ожидал бы не просто дефолтной, а обязательной установки в Program Files.
У VS code есть версия, которая спокойно устанавливаетсяв в Program Files, и они специально разделены.
VS Code provides both Windows user and system level setups.
User setup: Does not require administrator privileges to run, as the location is under your user Local AppData (LOCALAPPDATA) folder. Since it requires no elevation, the user setup is able to provide a smoother background update experience. This is the preferred way to install VS Code on Windows. Note: When running VS Code as Administrator in a user setup installation, updates are disabled.
System setup: Requires elevation to administrator privileges to run and places the installation under the system's Program Files. The in-product update flow also requires elevation, making it less streamlined than the user setup. On the other hand, installing VS Code using the system setup means that it is available to all users in the system.
Но при этом именно установка в профиль: "This is the preferred way to install".
Я ещё раз говорю: можно. И так, и эдак. Но вот это всё и называется "упорно тулить свои приложения в профиль" - с чего, собственно, обсуждение и закрутилось.
Потому что смартфонная логика - обновляться каждый день.
the user setup is able to provide a smoother background update experience
Не понимаю, зачем десктопный телеграм каждую неделю, а то и чаще, просит перезагрузиться из-за апдейтов - после перезапуска ничего толком не меняется. Зато частые апдейты позволят вставлять любые зонды, те кто пытался что-то там проверять, рано или поздно сдадутся исследовать каждый новый билд.
Чтобы разные пользователи/учетки на компе могли использовать разные extensions в программе. Видимо есть проблемы с хранением их в папке пользователя.
Именно, поэтому SRP. Ну а тормознутых антивирусов, от которых проблем больше чем пользы уж точно не нужно.
Господа, вы же сами делаете программу, которая шпионит за пользователем (DLP). Что именно вас удивляет?
Разгадка довольно простая и проистекает ещё из давних лет, когда Я.Браузер только появился. Тогда в далёком 2012 в русскоязычном сегменте сети творились АдЪ и Израиль: drive-by download эксплоиты повсеместно, программы-обёртки, расставляющие в системе spyware, подменяющие рекламу на сайтах и страницу поисковой выдачи.
Фичи безопасности были тогда особенно важны. И в Хроме и в Я.Браузере работал, к примеру, по умолчанию safebrowsing API, проверяющий загружаемые URL и файлы на вредоносность. Рядом же работал по похожему принципу Secure DNS. Иногда приходилось заходить дальше и собирать системную диагностику, чтобы выявлять проблемы, которые препятствуют нормальной работе веба. Сбор hosts файла как раз отсюда. В Windows-версию Я.Браузера даже в какой-то момент надумали драйвер добавлять, для решения особо тяжёлых случаев, но быстро отказались от этой идеи, уж слишком риск большой поломать систему.
Товарищу майору содержимое вашего hosts файла совершенно не интересно.
Ну понятно что т-щу майору намного интересней учетки, RDP, списки софта и МАСи
Господа, вы же сами делаете программу, которая шпионит за пользователем (DLP)
Особенно смешно, что эта программа (а расшифровывается как Data Leak Prevention) не смогла, собственно, предотвратить утечку.
Тогда в далёком 2012 в русскоязычном сегменте сети творились АдЪ и Израиль:
...
Фичи безопасности были тогда особенно важны. И в Хроме и в Я.Браузере работал, к примеру, по умолчанию safebrowsing API, проверяющий загружаемые URL и файлы на вредоносность.
И уже тогда это не работало так, как задумано. Вирусы, стилеры, шифровальщики спокойно загружались и исполнялись. Зато при попытке скачать другой браузер вываливалась целая куча сообщений, а потом "Менеджер браузеров", висящий в трее, всё равно перехватывал все запросы на открытие гиперссылок и отправлял их в Яндекс Браузер.
А ещё, может быть, я выскажу непростительно революционную мысль, но всё же: а давайте браузер будет браузером, антивирус – антивирусом, голосовой помощник – голосовым помощников, и каждый будет выполнять свою работу; а действий, выполняемых без ведома пользователя, не будет вообще?
А ещё, может быть, я выскажу непростительно революционную мысль, но всё же: а давайте браузер будет браузером, антивирус – антивирусом, голосовой помощник – голосовым помощников, и каждый будет выполнять свою работу; а действий, выполняемых без ведома пользователя, не будет вообще?
— Это, как его… волюнтаризм!— В моём доме… не выражаться!— А чего я сказал? ©
Товарищу майору hosts случайного парня совершенно не интересен, это верно. Но как только вы стали интересны, хотя бы просто на уровне любопытства и интуитивного профессионального подозрения - так сразу интересен и hosts и все прочее, что есть. Мало ли что найдется. Курочка по зернышку клюет. Если вы еще на свободе - это наша недоработка.
Как вы самое главное то не рассказали ? Самое важное. Что браузер устанавливает в систему корневые ру сертификаты.
Без которых не будет работать всякое российское ПО типа личный кабинет налогоплательщика юр лица и прочее.
Это всё, слава Богу, работает в Chromium-GOST. Я как параноик ещё и в отдельную виртуалку его установил, в которой смело работаю и с софтом для ЭЦП (тоже тянет за собой чёрт знает что), и со всевозможными государственными АРМами (один другого ужаснее) и т.п.
А основной браузер лучше от этого держать чистым. Лучше и рабочий комп с данными в целом, но программа-минимум - отдельный браузер для гос. сервисов, сертификатов и иже с ними.
Не везде сейчас Chromium-GOST работает. Точно не скажу, но кажется гос услуги уже его не поддерживаю, что бы авторизоваться как юрик
Использую его и для Госуслуг, и для ЛК ФНС во всех трёх ипостасях - как физ. лицо, ИП и юр. лицо. Всё работает. Но вообще конкретно Госуслуги пока что и в любом обычном браузере работают, если не по ЭЦП заходить, а по логину/паролю.
Вполне себе работает если авторизовываться как юрик на госулугах через ЭЦП. Может Вы путаете с этим:
По информации на 18 октября 2024 года, Google Chrome планирует прекратить поддержку расширения CryptoPro Extension for CAdES Browser Plug-in. Об этом говорится в сообщении браузера, которое предлагает удалить расширение или заменить его другими из интернет-магазина Chrome
Такая же плашка висит и для расширения к плагину "Госуслуги".
Ну ставить плагины от Крипто-Про и Госуслуг в основной рабочий браузер я и не пробовал, для таких безрассудных экспериментов как раз и держу Хромиум-Гост в виртуалке :) Я про то, что без ЭЦП оно работает в любом браузере без плагинов, корневых сертификатов и т.п.
Ну ставить плагины от Крипто-Про и Госуслуг в основной рабочий браузер я и не пробовал, для таких безрассудных экспериментов как раз и держу Хромиум-Гост в виртуалке
Как говорится, "плюс один".
Я про то, что без ЭЦП оно работает в любом браузере без плагинов, корневых сертификатов и т.п.
А я про то, что слухи о неработоспособности Хромиум-Госта с российскими ЭЦП на российских же госсайтах сильно преувеличены.
Это не так. Яндекс Браузер не устанавливает корневые сертификаты в систему.
Мы поддерживаем в нашем Браузере открытие сайтов, которые используют национальный сертификат. При условии, что он внесён в публичный лог по стандарту Certificate Transparency.
Подробнее об этом решении писали на Хабре:
https://habr.com/ru/companies/yandex/articles/655185/
https://habr.com/ru/companies/yandex/articles/667300/
Кроме того, мы опубликовали на гитхабе исходный код нашего решения:
https://github.com/yandex/domestic-roots-patch
Это не так. Яндекс Браузер не устанавливает корневые сертификаты в систему.
А куда он их устанавливает? Я правильно понимаю, что они автомтически становятся доступными для всех профилей в браузере?
Как я понял, никуда не устанавливает, в себе таскает. Поэтому этим сертификатам доверяет лишь он сам, а не все браузеры в системе (как было бы, если бы сертификат устанавливался в систему).
Как я понял, никуда не устанавливает, в себе таскает.
Да, конечно. И еще почти наверняка, хрен выстрижешь.
И еще почти наверняка, хрен выстрижешь.
Отреверсить бинарники, найти сертификат и поменять там какой-нибудь символ. Он станет невалидным.
Вдобавок использование скрепных сертификатов разрешено лишь сайтам, которым сертификат выдали в соответствии с Certificate Transparency (плюс ограниченному списку сайтов, которым, видимо, выдали до ввода в строй CT).
Так что, если товарищ майор захочет, чтобы ему выпустили сертификат для какого-нибудь домена "втихую" (в обход публичного лога), потребуется внести домен в исходники браузера и раскатать обновление пользователям, иначе, необновлённый браузер не станет доверять сертификату, видя, что он выпущен в обход CT и отсутствует во встроенном списке доменов.
Так что, если товарищ майор захочет, чтобы ему выпустили сертификат для какого-нибудь "втихую", потребуется внести домен и в исходники браузера.
Это если верить, что код с гитхаба без изменений вставлен в браузер и действительно обойти его нельзя, как ту микросхему в "импортозамещенном" мониторе, припаянную для "галочки". Или, да, реверсить. Но проще не использовать. И речь не "втихую", а об утекании "валидного" сертификата или к товарищу, или от него совсем налево.
Это - не так.
Они даже патч к хромиуму выложили как у них это сделано - https://github.com/yandex/domestic-roots-patch/blob/main/domestic_roots.patch и насколько помню - была на хабре статья про детали реализации.
Да, может быть прямая лож и реально в коде - другое но зачем? И пока что вот чего не замечалось за яндексом так это прямого обмана в таких вот ситуациях.
Именно поэтому - если уж надо к сайтам с такими сертификатами - уж лучше яндекс браузер чем ставить их на систему и заходить хромом (еще лучше конечно хромиум с тем патчем собрать или запускать в виртуалке)...
Именно поэтому - если уж надо к сайтам с такими сертификатами - уж лучше яндекс браузер чем ставить их на систему и заходить хромом (еще лучше конечно хромиум с тем патчем собрать или запускать в виртуалке)...
Firefox позволяет установить сертификат только для одного профиля.
Вот оно как. Хорошо видать спрятали.
И речь же про профили (те что https://support.mozilla.org/en-US/kb/profile-manager-create-remove-switch-firefox-profiles ) а не контейнеры (те что Firefox Multi-account containers - чуть ли не штатное решение для работы с кучей сайтов)?
Тоже пользуюсь FF с отдельным профилем с сертами Минцифры, и из эдонов ничего кроме КриптоПро. Внезапно оказалось что в FF частично неработоспособны часть функций в онлайн банкинге некоторых банков(например, в ВТБ24 не отображался контрол для ввода проверочного кода при смене емейла, вместо этого появлялась плашка "что-то пошло не так"). Сначала грешил на общие проблемы сайта, но как-то(в конце декабря) не выдержал, и постучался в чат поддержки, где сказали что в Я.Браузере всё работает.
Сначала посмеялся(про себя), потом решил проверить(и поставить Я.Браузер) - не соврали, в Я.Браузере всё отработало. Новый кандидат на звание IE?
P.S. Потом конечно я Я.Браузер удалил(нафига мне пятый браузер?), пока снова не потребуется.
Внезапно оказалось что в FF частично неработоспособны часть функций в онлайн банкинге некоторых банков(например, в ВТБ24 не отображался контрол для ввода проверочного кода при смене емейла, вместо этого появлялась плашка "что-то пошло не так").
Я бы только переформулировал вашу фразу как "Сайт ВТБ24 не совместим со вторым (третьим?) по распространенности в мире браузером Firefox.
Здравствуйте, Алексей.
>Тем не менее, непонятно, зачем Яндексу нужны эти данные.
Вопрос резонный, отвечаем. В прошлом мы рассказывали (и в блоге Браузера, и на Хабре) о масштабах распростространения приложений, которые формально не считаются вирусами, но при этом вмешиваются в системные файлы (например, в hosts) и подменяют трафик. Они делают это для того, чтобы перенаправлять мошеннические и рекламные страницы.
Читатели Хабра сталкиваются с подобным редко, но в большем масштабе эта проблема куда существенней. Поэтому мы разработали компоненты Яндекс Браузера, например Yandex Rescue Tool, которые предотвращают нежелательные действия. Для этого компоненты мониторят активность подобных программ. А оценка окружения браузера помогает выявлять новые угрозы и адаптировать под них компоненты защиты.
Отдельно хочу сказать спасибо за то, как вы описали наблюдения. Было приятно увидеть адекватный и корректный разбор.
С hosts понятно. Спорно, но можно понять.
А вот список учеток для каких целей?
Вот эта волшебная строчка для чего - replace dns? И потом замена на свой?
MAC'и как влияют на поиск вредоносов?
Еще вопрос - а зачем постоянно всё это слать? Ну сработала утилита, нашла вредонос - пусть шлет для статистики, но перманентно то зачем?
Что значит зачем мак и список учеток?
А что делать бедному Яндексу если на вашей машине главный вредонос это Вы?
Сатанизм, например, исповедуете, чайлдфри группу в телеге ведете. Медузе донатите.
Яндекс ведь заботится о своих пользователях, значит и от Вас ему их надобно быть в состоянии оградить, а то интернет-то не православный получится.
Так и c hosts та же история. Или какие-то злобные URL отправлены в 127.0.0.1 или наоборот, для "почему-то" отказывающихся резолвиться на провайдерских DNS поддоменах freemyip.com прописаны их IP. Мое это личное дело. Исключительно. Настолько, что этого браузера у меня нет, не было и не будет.
Или какие-то злобные URL отправлены в 127.0.0.1 или наоборот, для "почему-то" отказывающихся резолвиться на провайдерских DNS поддоменах freemyip.com прописаны их IP. Мое это личное дело
Более распространённый случай, когда в hosts написано что-то типа "<ip злоумышленника> vk.com" или "127.0.01 kaspersky.ru"
Последний вариант буквально в прошлом году тут всплывал в комментах на Хабре, когда юзер жаловался, что у него не открываются сайты антивирусных компаний и браузер закрывается сам при попытке гуглить статьи про избавление от вирусов. Я ему сразу посоветовал посмотреть в hosts, где он и обнаружил всё это непотребство, после чего даже ему стало очевидно, что его машину поимели и заразили.
"127.0.01 kaspersky.ru"
Это правильно. Та еще зараза, почище яндекс-браузера. И вообще, не дело браузера с вирусами и пр. бороться. Ну и, чтобы hosts поменять, надо все-таки локальные административные права получить? И тот же Comodo, увы, не совместимый до сих пор с Windows 11, умел такие тихие замены отслеживать и предотвращать.
Поддерживаю, у меня свой DNS и своя инфраструктура всю жизнь была и такой наглости я от браузера не потерплю.
приложений, которые формально не считаются вирусами, но при этом вмешиваются в системные файлы (например, в hosts)
Ну то есть таких, как «Яндекс Браузер».
А сессии rdp нахрена вам?
Давайте как подробное описание каждого пункта, для чего воруются и как используют эти данные вашим стиллером вредносной программой "браузером"
Ваш браузер и есть приложение, которое «формально не считается вирусом», но им является.
Я вижу такую вероятность. Заинтересованные лица требуют у Яндекс отчёт о пользователях, у которых установлена нежелательная программа. Вспоминаем новость о предполагаемом учёте домохозяйств, использующих средства-обхода-сами-знаете-чего.
Для этого компоненты мониторят активность подобных программ. А оценка окружения браузера помогает выявлять новые угрозы и адаптировать под них компоненты защиты.
Т.е., если при скачивании браузера снять галку про статистику, то выключается вся эта "защита"?
Вы знаете, и вариант того, что вы не понимаете что собираете важную и чувствительную информацию, и то что вы собираете её для каких-то не совсем приятных целей соответствуют аксиоме Эскобара, что не делает хорошей репутации вашему продукту, мягко говоря.
P.s. Однажды работал на одну госкомпанию, которая делала ПО для другой "дружественной" страны, которая не очень хотела раскрывать часть информации, с которой это ПО должно было работать. И впринципе у нас было решение для этого, но сверху поступил чёткий приказ убедить, что по другому нельзя и получить доступ к информации.
Что мешает браузеру локально заботиться о безопасности? нет, надо же всю инфу сначала слить неведомо куда и кто её там будет защищать, тоже не известно... мало сливов из компаний в нашей стране, так и вы еще обогащаете эти сливы, а ответственности за это перед пользователями ни-ка-кой. удобненько устроились, однако.
это правильно я понимаю, что малварю достаточно будет заблочить ваш сесурити апи эндпоинт и вся ваша "защита" коту под хвост?
Как отключить функцию отправки статистики?
Яндекс, какие же вы полные доброты и заботы плюшевые единорожки!!! А можно заботится обо мне инсталлятором браузера с отдельными (и выключенными по-умолчанию) галочками рескью тулов, голосовых поисков и иного крайне необходимого для браузинга функционала?Автору спасибо! Вспомнил, что давно собирался с силами попробовать на android анально оградить яндекс карты и музыку в песочницы(у), чтобы оно и там заботилось обо мне исключительно "кусанием" своего собственно "хвоста". Кстати, буду благодарен сообществу если кто-то ткнёт в готовые рецепты универсально работающие в андроид не зависимо от вендора прошивки устройства.
если кто-то ткнёт в готовые рецепты универсально работающие в андроид не зависимо от вендора прошивки устройства
Shelter. Использует встроенную в андроид 5+ фичу "профиль для работы". Не на всех андроидах работают все фичи навроде удобного переноса файлов из основного профиля в рабочий и обратно, но основная (изоляция приложений) работает везде где я пробовал. Помещаю туда и приложения, охочие до батарейки - для них там имеется кнопка "заморозить".
Параноики, которые думают что за ними постоянно следят, составляют абсолютное меньшинство. Вот они пусть и лезут в все возможные настройки чтобы вручную отключать тот или иной функционал. А для массового пользователя это не нужно
Дело не в паранойе. Дело в мусоре и спаме. У меня, например, полностью отключены, уведомления от многих приложений, типа Яндекс Маркета и прочего подобного барахла, потому что нельзя просто включить уведомления о доставке и отключить остальное.
Это неуважение к пользователям банальное.
Формально кстати можно. Notification channels с 8-й чтоли версии Android (и можно выборочно выключать например). Вот только очень редко кто прописывает их нормально. Ну и получают общий блок.
Да, так можно, в том то и дело, но пункта доставка или чего-то такого просто нет :) В итоге куча рекламы, спама и полное отключение. Я интровертная няшка, достаточно умная чтобы самостоятельно найти то что мне нужно и когда нужно. Меня откровенно раздражает навязывание мне чего-либо.
В общем и целом, сео, маркетинг и прочий бред победили здравый смысл и технологии.
Посоветуйте, чем можно оградить программу в песочницу на Android, кроме создания отдельного профиля?
Уже больше двух лет снёс Яндекс браузер с компа, а на телефоне на других сервисах отозвал почти все разрешения. Сильно косячите со сбором данных, совершенно не вашего ума дела, с утечками, с передачей без санкции суда. Браузер был удобный, а вот это вот все я вас не просил, расходимся
А это браузер или антивирус? Или все же это оправдание мутной деятельности?
Объясните кто это плюсует? Эффективный недоменеджер по связям с общественностью изворотливо ушёл от ответов, ответил только на удобное, 71 плюса ;). Неуже ли на хабре 71 сотрудник этой в конец обнаглевшей конторы? Что они здесь делают в таком количестве?
Не, не так. Неужели в яндексе как в школе - требуют проголосовать до 11 утра и прислать подтверждающую фотку?
Я проплюсовал. В первую очередь из-за самого наличия ответа. Во-вторых за невозможностью этот плюс убрать после прочтения комментариев. В конце-концов, комментарии важнее и разнесли этот ответ в пух и прах.
моя милиция меня бережёт без моего ведома
Ради нашей безопасности собирает все что может и продает всем кому не попадя и случайно сливает.
Во-первых, про большую часть описанного в статье вы промолчали. Зачем вам учётки? РДП интересует ещё больше
Во-вторых, это задача антивируса, а не браузера. Браузер должен открывать сайты, предупреждать об угрозах на них и не отсвечивает в системе. То есть сидеть ровно в поле своей ответственности - веб, - и не лезть в систему грязными лапками
Верим?
"Правообладатель вправе использовать указанные данные в иных своих сервисах и программах в любых целях."
Не очень понял, а вы что зашищаете то? браузер трафик на я.ру или что? В какой момент вы стали edr или антивирусом?
Нет никакой необходимости заливать в облако локальный файл hosts. Достаточно скачивать на комп список вредоносных хостов и сравнить локально, но вы почему-то решили сделать иное...
Но вы же не антивирус? Например, мой антивирус говорит мне, что обнаружил и спрашивает, что с этим делать. Есть такие, которые молча делают, что надо - но люди ставят себе антивирус и понимают, чем он будет заниматься. А вы - браузер. Браузеру рыться в системе совершенно ни к чему.
Ну теперь разобрался. Если нужен антивирус - качай яндекс-браузер. А если нужен браузер, то пожалуй какой-нибудь Firefox.
Кстати, а какой сейчас самый лучший аналог Agnitum Outpost Firewall под Линукс?
Android Firewall легковесная надстройка над системным iptables (нужно, чтобы netfilter был в ядре). Галочками можно отмечать приложения, которым разрешен трафик в разрезе интерфейсов (WiFi/LTE/VPN). Если логи, можно посмотреть какое приложение куда ходило (или пыталось) недавно.
Нет такого, как в Outpost, чтобы можно было разрешать приложениям определённые адреса или диапазоны. Но это уже и не актуально в связи в повальными CDN и балансировщиками. Хотя можно в юзер-скриптах дописать правила. Вряд ли это удобно делать с телефона.
Странный вопрос в статье. Зачем браузер, в который стараются загнать всех с хрома, собирает о вас данные и влияет на процессы на вашем ПК? Не знаю, давайте подумаем.
Уверен, яндекс запросто объяснит это заботой о безопасности пользователя. Конечно же, все только и делают, что заботятся о пользователях, данные никуда сливаться не будут, как и попыток влиять на ваш ПУ. Да-да, твёрдо и чётко
Кажется, пора задуматься, стоит ли ставить российский софт себе на компьютер. Ну или хотя бы стоит закрыть доступ его в сеть.
Очевидное решение - не играть с напёрсточниками
В жизни важно уметь вовремя сказать "Нет". Иначе жизнь поставит тебе Яндекс-Браузер.
Вопрос - получает ли Яндекс-браузер ответ от своего сервера после отправки данных? Если не получает, то можно достаточно просто сделать фильтрацию трафика на FPGA. Подключить её по Gig-Ethernet с одной стороны к компу, а с другой к роутеру. И прозрачно транслировать все пакеты, кроме тех, что содержат шпионскую инфу. Причем это легко сделать таким образом, что ни браузер, ни операционка не узнают, что их трафик фильтруется.
Во-первых, не сильно понятно, как пробить https при помощи FPGA, причем, еще и незаметно для ОС. Во-вторых, не сильно понятно, зачем нужен троллейбус из хлеба в принципе. Сегодня у пакетов один формат и апи эндпоинт, завтра другой. Соотвественно, нужен специально обученный человек, который это все мониторит, и перешивает эти чудо-девайсы. А что делать в промежуток времени, пока формат уже изменился, а девайсы еще не перепрошиты?
Идея достаточно простая на самом деле.
FPGA подключается в разрыв между сетевой картой компьютера и роутером (или иным устройством, к которому до этого подключалась сетевая карта). Ни компьютер, ни ОС на нем, ни роутер не знают про это подключение.
FPGA фильтрует трафик. Например дропает пакеты c IP-адресами, на которые браузер или ОС сливают инфу.
Так же можно настроить поиск по словам или данным внтури сетевых пакетов. И дропать те, в которых есть подозрение на слитие данных на сторону.
То есть получается некий аппаратный файервол, на который ни браузер, ни операционка ни коем образом не могут воздействовать.
Само собой, такая вещь - это не для простых пользователей. Это для компаний, для которых важна конфиденциальность их данных.
По поводу https. Если автор статьи смог вручную найти слив информации, значит можно попробовать это дело автоматизировать. Не всё же подряд шифруется. Как написал выше, IP-адрес передается явно. Уже по ним можно проводить предварительную фильтрацию.
Ну, раз речь идет о серьезных людях, или, как вы выразились, компаний, для которых важна конфиденциальность их данных, то им, как правило, нужны еще и доп требования по аудиту использования и конфигурирования, логгированию, быстрому обновлению правил, удаленному менеджменту. Для этого всего есть серьезные железяки, которые могут в одиночку пропустить через себя траффик всех рабочих станций организации (в том числе, при удаленной работе), и, при этом, соответсвующие всем критериям, описанным выше. Да, занимают существенную часть серверного река, и стоят, как крыло от боинга. Но, задачу закрывают, и не создают доп гемора, который обязательно возникнет от 10000 чудо девайсов, которые, еще и придется почтой по всему миру рассылать, если если удаленщики.
Ну и да, делать девайс незаметным для остальных частей системы очень глупо. Какой-то раздолбай забудет воткнуть через него (или намеренно мимо подключит, ошибочно предположив, что этот чудо-девайс является причиной фризов во время видеоконференции), и к моменту, когда специально обученный человек сие неподобство заметит, уже все утечет
Мне интересны именно технические моменты. Какие форматы пакетов со слитой информацией, каким образом они меняются время от времени? Есть ли ответы от сервера? Какие адреса и порты у пакетов?
Флудить про "требования по аудиту", "серьезные железяки" и прочее - мне не интересно. Если вы в технической части не разбираетесь - не нужно засорять комменты. Спасибо за понимание.
Технически, это обычный HTTPS-запрос на сервера яндекса. Порт - 443.
Ответы от сервера разумеется есть, в рамках протокола TCP нужно подтверждать факт приёма.
Формат пакета - стандартный TCP/SSL, под которым всё зашифровано и пассивный наблюдатель в сети прочесть не может.
То есть, чтобы фильтровать это простой железкой, придётся закрыть все подсети Яндекса и все его сервисы: Карты, Поиск, Алису, Дзен и т.д... Что довольно радикально. Проще не устанавливать шпионское ПО.
Формат пакета - стандартный TCP/SSL, под которым всё зашифровано и пассивный наблюдатель в сети прочесть не может.
Существуют ли какие-либо технические средства, чтобы дать возможность железу расшифровать пакеты? Например, передать железу ключи или сертификаты. Они ведь имеются на компьютере, с которого идет передача?
Идея здесь в том, что я могу доверять своему железу, и при этом абсолютно не могу доверять софту и операционной системе, установленной на моем ПК. И я хочу дать доступ своему железу ко всей информации, которую ПК отдает в сеть.
Вам нужны ключи не на вашем компьютере а с удаленного, до которого идет соединение ssl... то что на вашем - публичное.
Для тех приложений, что используют системную базу сертификатов, вы можете установить свой сертификат, это даст вам возможность на своем железе, подключенном в разрыв сети, совершать атаку MitM (в этом случае реальное соединение с удаленным сервером будет вести ваша атакующая железка, а компьютер будет общаться с этой железкой, думая что общается с удаленным сервером.
Против этой атаки есть средства защиты - использовать свое хранилище сертификатов и проверять их,.. в этом случае придется реверсить и модифицировать сами приложения.
я могу доверять своему железу, и при этом абсолютно не могу доверять софту и операционной системе, установленной на моем ПК. И я хочу дать доступ своему железу ко всей информации, которую ПК отдает в сеть
Эта задача алгоритмически неразрешима. На входе у вас заранее неизвестный алгоритм, получающий доступ к чувствительным (конечно, проще надавать программе по рукам и не дать доступ к MAC-адресам, личным файлам и т.п., но по условиям задачи мы этого не делаем). На выходе эта программа общается со своим сервером. Ваш агент, заранее написанный, должен определить утечку и отфильтровать её. В общем случае, это невозможно. Против любого агента можно написать такой алгоритм обфускации, что он ничего не заподозрит и пропустит данные.
Вообще, если как-то пропатчить софт на вашем компе, чтобы он передавал сессионные ключи железке, то все расшифровывается. Эти ключи для каждого соеденения свои и их нельзя никак отгадать. Можно эти ключи теоретически прямо из памяти выцарапать. Но, если итак софт надо зондировать или патчить, то можно точно также просто посмотреть, что он пытается посылать до шифрования. Так что эта задача желаемым вами методом не решается.
Большое спасибо всем ответившим!
То есть основная проблема для железа - это шифрование. И если так, то лучше решать вопрос программно. Но если с тем же Я.браузером это можно решить софтом, который будет блокировать отправку еще незашифрованных пакетов, то как быть с ОС? Она ведь может делать всё в своих процессах, которые она не даст заблокировать или отключить.
И насколько сложно вытащить сертификаты из памяти? Если это можно сделать программно, то получив их, я смогу передать сертификаты на своё железо.
Вам нужны не сертификаты, а сессионные ключи, они генерируются по определенному алгоритму на основе сертификатов сервера, клиента и случайных чисел. Что бы их отгадать вам надо эти самые случайные числа знать, что вы на железке никак знать не можете. Надо для каждого соединения из памяти эти самые ключи выдергивать. Это весьма сложно. На вскидку, самый простой способ - пропатчить библиотеку SSL, это надо будет в дизассемблере копаться, найти место, где эти ключи используются и там их как-то отправить на железо. Но куча софта имеет защиту от отладки и вот такую пропатченную библиотеку есть откажется. При обновлении оно все слетит. А уж ОСные процессы вы так не расковыряете никогда. Там надо читать память процесса и отгадывать, где этот сертификат лежит. Это надо быть весьма крутым хакером, чтобы такое сделать.
Есть альтернативный способ: MiTM. Вы добавляете ваш личный сертификат в доверенные на компе. А железка с этим сертификатом представляется удаленным сервером, перехватывая пакеты установки соединения и потом передает данные удаленному серверу и обратно. Но это работает не везде и не всегда. Какие-то приложения могут иметь свой вшитый сертификат, есть технология certificate pinning, что тоже затрудняет вот такую работу. Но для этого есть готовые решения.
Ну то есть по сути - делаем свой аппаратный DPI.
И зачем? Если человек (или компания) понимает зачем оно ему надо - ему намного проще в качестве роутера - сервер на линуксе.
И всплывет проблема с тем что DPI от https в лучшем случае видит hostname, чтобы видел остальное - надо MITM, а это значит - установку своего Root CA на клиентские устройства.
И...есть такие решения, много, фильтруйте как хотите :).
Из Opensource - например OPNsense.
Но вот только на практике всплывает проблема что есть софт:
который ну вот не может принять просто общесистемные настройки прокси и общесистемные сертификаты, прописать ему свой https-прокси чтобы хоть исключить из фильтрации - тоже нельзя.
есть софт который тупо глючит при MITM при установленном локально root CA (причем в форме - что-то где то не работает, последний раз у меня такая проблема была с видео в вконтакте на андроид)
Mitm можно гораздо проще сделать. Основную задачу для Mitm Я.Браузер уже решил ведь: сертификат внутри браузера есть, значит можно трафик до любого сайта подменить, ну и ага.
Мне сейчас нужно было скачать один учебник, а есть только одной старом файлообменнике. Так вот либо там качать по чайной ложке в час, либо купить премиум недёшевый с нынешним урсом доллара если нужно скачать 5-10 файлов, либо .. да-да поставить "быстрый" яндексбраузер. И в голову лезут, а что они с этого имеют? К слову яндекс и касперский удаляю со смартфонов в первую очередь, это и есть вирус
Партнёрская программа.
Вы устанавливаете браузер, владелец файлопомойки получает некую денюжку
Для таких ситуаций использую виртуальную машину Windows под Virtualbox. Сделал снимок системы (сохранение состояния виртуалки на текущий момент). Затем установил что требуется, скачал что надо, передал на основную систему, а затем восстановил из снимка состояние виртуалки. Как ничего и не было.
да-да поставить "быстрый" яндексбраузер
А можно было просто (попробовать хотя бы) поставить расширение (для Firefox точно есть), которое позволяет браузеру прикинуться другим браузером?
юзерагент поменять?
Очевидное решение – отключить функцию автоматической отправки статистики.
Нет! Самое очевидное, никогда ни прикаких условиять не ставить вредоносы от этой компании в ОС, и также советовать всем знакомым, клиентам, подписчикам. Со времен яндыксбара и прочих поделок, мало что изменилось в их политике бизнеса, рекламмы и обращения с данными пользователей.
Спасибо за сатью, ни разу не устанавливал это на свою ОС, но постоянно отговариваю, всех неопытных пользователей, которые лепят это себе, по причине долбаных спам-окон на йа.ру. Спасибо что альтернативных поисков много и йа ру мне давно уже не нужен.
В этом случае не заметил ни процесса bct.exe
Файл этого процесса где-то выложен в открытом доступе? Если сохранился, закинь кудато.
Лично я пользуюсь от Яндекса приложениями: Yandex go, навигатор, диск, определитель номера отлично помогает от спама. Но агрессивная реклама браузера отталкивает, как в свое время продукты от mail.ru
Стараюсь свести к минимуму использованию продуктов Яндекса, он уже нет тот, хотя какое-то время назад был фанатом его )
Яндекс.браузер, Punto Switcher, Касперский, сертификаты Минцифры, софт для работы с ЭЦП, скрепное ПО, необходимое для взаимодействия с нашими гос. органами и т.д. нужно ставить на отдельную машину. Также сервисы mail.ru, yandex.ru, vk.com и т.д. вообще лучше не использовать, если вы находитесь на территории РФ. Это азы ИБ.
Там еще есть милый ньюнс - почта с Proton Mail (включая платные планы с custom domain) до яндекса (включая их платный сервис по почте для домена) доходит далеко не всегда (в обратном направлении - тоже). Раньше было еще хуже а сейчас то в 30% случаев. Отбой идет либо что якобы спам либо просто failed to connect.
А гугл хром не сливает? А винда в телеметрии? Чё конкретно к Яндексу прикопались )
Дело не в том, сливает или нет, а в том, куда сливает и в какой юрисдикции вы при этом находитесь.
И гугл хром сливает и винда сливает. Но от этого такое поведение не становится нормой. Эта статья про яндекс. Про хром и винду - напишите - с удовольствием почитаем.
Те, кому сливают гугл и винда, за палками к тебе не придут. Если ты понял, о чём я
На территории РФ ПО от таких контор просто опасно
Они за океаном, а Яндекс за окном...
мы разработали компоненты Яндекс Браузера, например Yandex Rescue Tool, которые предотвращают нежелательные действия. Для этого компоненты мониторят активность подобных программ.
Я думал, браузер должен показывать пользователю веб-страницы. А поиском вирусов должен заниматься антивирус. Пойду открою свой антивирь, вдруг в нём можно читать Хабр
В какой то момент у многих, начиная от президентов государств, до вот таких яндексов, закрепилось мнение что МОЯ/НАША безопасность в прямой зависимости от, что Я/МЫ смотрим/что читаем, что покупаем, что говорим, что слушаем, что "делаем под одеялом и с кем", и далее в бесконечность.
Закрепленный ответ прекрасен.
Вся суть такого подхода.
Пункт лицензионного соглашения 5.9 особенно прекрасен.
Браузер это просто браузер, простой инструмент для выполнения конкретного действия, как крестовая отвёртка чтоб вкручивать/откручивать крестовые винт/крепеж.
Не надо к ней приделывать молоток.
А с предустановленной версией как?
Которую сейчас в новые компьютеры\ноутбуки ставят
Очевидное решение – отключить функцию автоматической отправки статистики.
Можно также сделать отдельное правило..
Пошагово, пожалуйста, для юзеров. Или ссыль на имеющийся комментарий.
А что скажете насчет того, что при включенной Алисе, она буквально начинает перманентно прослушивать вас? А по поводу их политики которую они подсовывают пользователям, это вообще отдельная история
Алиса, как и любой другой голосовой помощник это другое всё так.
Нет, в данном случае как раз понятно. Она же должна активироваться на слово: "Алиса". А чтобы его услышать в любой момент - в любой же момент должна работать прослушка микрофона. Вопрос только в том, идёт ли всё то, чего Алиса наслушалась на удалённые сервера или нет.
Большой брат, под именем Яндекс, давно следит за нами.
А что делать когда Яндекс браузер необходим для работы с электронной подписью и налоговой? Они другой браузер не признают) Вопрос, скорее, риторический.
Выше как раз про это писал.
В Яндекс Диске есть совершенно "легитимная" функция создания снимков экрана.
В Punto Switcher'е - запись ввода с клавиатуры.
Какие удобные функции зашиты в ПО, которое постоянно работает в фоне. :)
Тут еще браузер, который постоянно висит в фоне и зачем-то сливает список установленного ПО и прочее.
Яндекс Колонку с микрофоном люди сами домой приносят. А че такова, удобная вещь.
Недавно Apple поймали на прослушке пользователей через микрофоны. Но Яндекс-то, уверен, не такие. :) Не будут же они делать снимки экрана, ввод с клавиатуры, запись с микрофона и прочее. И, уж тем более, передавать собранные данные "кому надо" по запросу. Зачем им это. :)
В Яндекс Диске есть совершенно "легитимная" функция создания снимков экрана.
В Punto Switcher'е - запись ввода с клавиатуры.
Какие удобные функции зашиты в ПО
я покупаю диктофон и удивляюсь что от делает аудиозаписи
В Пунто эта штука выключена по дефолту. Но решил снести его на всякий, удобно было переключать язык правым контролом, конечно, но лучше без неё.
BladeMight/Mahou: Mahou(魔法) - The magic layout switcher. - Mahou - Gitea: Git with a cup of tea
Опенсорс, пользую давно, полная кастомизация, рул/лат на Капслоке. А вирусы от хуяндыкса в свою ос ставить - глупость.
Удивляет и возмущает в Я.Б. то что при первом запуске, без запросов к пользователю, он получает все сохранённые логин/пароль в соседних браузерах и предлагает их перенести.
Другие предварительно спрашивают- "получить/ перенести данные из других?"
Браузер "Я" себе не ставлю.
Отклоняясь от темы, хранить чувствительные данные в браузере — любом — сидеть на пороховой бочке.
Кто вообще хранит логины и пароли в браузере? Тем более без мастер-пароля (не помню, но он вроде шифрует хотя бы?)
Это ж хранение всего в открытом для любого процесса виде...
Так, а на всех жизненно важных сайтах двухфакторка, в большинстве российских сайтах она по умолчанию. Недавно встретился с комментарием, что зумер не знает что такое имейл: следовательно жмёт "войти с гуглом\яндексом\эпл айди"
А, то есть если двухфакторка, то хранение паролей в открытом виде - абсолютная норма? Интересно...
Да. Геморрой с менеджерами паролей того не стоит. Если сайт достаточно важный, на нем есть 2FA. Если на нем нет 2FA, то он не важный, и если у меня угонят аккаунт, то я просто зарегистрирую новый.
Даже считать не буду, сколько в этой идее дыр и потенциальных провалов. А геморрой... Ну не знаю. Пароль, который автоматически сохраняется, разлетается по всем устройствам, вставляется на них же, хранится зашифрованным, доступен по биометрии. Вставляется одним кликом в любое приложение или сайт, или сочетанием клавиш. Рискну предположить, что это даже удобнее)
А геморрой... Ну не знаю.
Я знаю. Я 99% паролей использую на ПК без биометрии, и каждый раз вводить мастер-пароль, чтобы заполнить поле - нет, спасибо.
+, тем более что постоянный ввод пароля гораздо опаснее, чем 2FA
Microsoft вообще избавился от паролей, passwordless policy
Не каждый раз. После перезагрузки - основной вариант. Цель - не оставить их в постоянной памяти, хотя можно, конечно, палец после каждого использования прикладывать
Я в целом не агитирую, каждому своё и свои представления о безопасности, просто менеджеры паролей выглядят не так, как вы их себе представляете
Хуже бывает когда на сайтах кнопки войти с e-mail и паролем...тупо нет. А уже появляются такие.
Не самая плохая идея, если есть возможность для одноразовых паролей использовать только мэйл, а телефон вообще не отдавать.
Как раз сайты где одноразовый код на email(в дополнение к паролю или вместо) - мне тоже встречались, иногда - (subscribestar тот же) - это можно отключить если подключить полноценную двухфакторку через TOTP.
Но комментарий изначально был про другой случай, сайты где есть выбор как войти - по Apple ID и Google. И все. (В российских версиях - Яндекс и ВК).
Таких, чтобы прям совсем без опции одноразового пароля, хотя б на телефон, честно говоря, не припомню даже.
Это мой опыт, не говорю, что вообще таких нету. Легко могу себе представить какой-нибудь стартап, которому проще пока что один OAuth реализовать, чем городить множественные варианты.
Как пример из того что недавно попалось - https://nomi.ai/ сайт + мобильные клиенты. Там целых 2 варианта OAuth :). Все.
Не буду оригинальным и напомню, что всё то на что ругаются в комментариях и что ставит под угрозу туеву хучу пользователей, было кем-то реализовано за не очень большие деньги, которые были заплачены за реализацию этого функционала.
ФСБ-шники дуреют с этой прикормки!
Оригинально. Пользователи, о которых корпорации и правительства в каждый момент знают где они находятся, с кем и о чём беседуют, что едят, с кем спят итп, вдруг озаботились утечками файлов hosts))) А если серьёзно, то трындец конечно. Пока не будет повсеместной уголовной ответственности за сбор любых данных о пользователе, кроме явно введенных им в полях ввода при регистрации, ничего не изменится, но это конечно утопия. Вон у Microsoft от сбора "обязательных диагностических данных" вообще нельзя отказаться — есть только выбор "собирать о вас много данных" и "собирать о вас очень много данных" — и никаких законодательств это видимо не нарушает(
Попросите нейроредактор испавить ошибки в предложении на скрине.
Нейроредактор исправит ошибки, напишет текст, или перепишет как попросите.
Ну то есть, как был малварью, так и остался
А если посмотреть, сколько данных сливает "на базу" любой сайт из экосистемы Яндекса даже без Я.Браузера, волосы встают дыбом! Например, типичный запрос к https://mc.yandex.ru через параметры запросто может передать "наверх" 2-3 килобайта неизвестно чего с вашего компьютера...
Я даже не спрашиваю, зачем им это? Мне интереснее, как они это используют? Если используют, конечно.
Однажды установил Яндекс.браузер. После этого обнаружив все мои пароли хранившиеся в Google Chrome в яндекс.браузере удалил его и больше не устанавливал. Аминь.
Читатели Хабра, Вы что реально ЯБ пользуетесь? Может быть еще и IE?!
Вы можете иронизировать, но чтобы использовать весь функционал HP ILO2 держал виртуалку со старой виндой, т.к. удалённый экран работал только в IE.
Сейчас уже не держу, но только потому что сервер стал сбоить, а ремонт его абсолютно нерентабелен - вывел его из эксплуатации(зато в кабинете стало тихо, новые Деллы не шумнее ПК :)). Но кому-то всё ещё может требоваться даже IE... Про то что некоторые банки(как минимум) похоже тестируют свой интернет банкинг только под Я.Браузером я выше уже писал. Так что да, и Я.Браузер иногда приходится держать на компе для узкого списка ресурсов.
Windows 11, Edge - режим совместимости с IE прекрасно отображает iLO старых серверов, Web-интерфейсы видеорегистраторов с необходимостью установки ActiveX и прочее древнее Legacy(-железо).
Если сильно надо, есть отдельный vbs-скрипт для запуска оригинального IE, который якобы выпилили из 11-й винды.
Интерфейс да, доступен из любого браузера. А вот для подключения в экран сервера требуется работа через JAVA-аплет, причём в браузере(тупо запуск скачанного аплета явой не прокатывал, авторизация протухала). Ни с одним современным(не на текущий момент, а несколько лет назад) браузером подружить его не удалось. Даже более того - это не работало уже в IE11, потому и держал XP-шку под рукой, с ИЕ7 всё было хорошо.
В iDRAC(Dell) тоже возникали нюансы с режимом подключения к экрану сервера(по крайней мере на Т130), но там по крайней мере ФФ работал, проблемы наблюдались в хромо-браузерах.
В общем была печаль с ХэПэ, и дальше может появиться с Делл(когда из браузеров выпилят очередную "ненужную" технологию). Работа с iLO4 через нативное приложение мне больше всего понравилась.
Это у меня есть древний IP-KVM от Avocent и он прекрасно из Эджа на Вин11 запускает Яву с клиентом. Надо смотреть протоколы, доверенные адреса в настройках Явы (т.к. сертификаты зашитые давно не валидны уже) и алгоритмы хэширования
Например, такая инструкция есть:
В браузере прописываем, что открывать в режиме совместимости.
Редактируем файл java.security по адресу C:\Program Files\Java\jre1.8.****\lib\security\
Убираем MD5 в строке
jdk.jar.disabledAlgorithms=MD2, MD5, RSA keySize < 1024Убираем DH keySize < 768
jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 768Открываем "Панель управления"-"Программы"-"Java"
Security tab -> Edit Site List -> Добавляем IP адрес KVM "http://X.X.X.X" (+https)
Правда после обновления на последний Эдж появился баг: сперва надо жмякнуть Сохранить, после появится кнопка Открыть и уже она запустит ява-апплет в отдельном окне.
На Edge под десяткой сейчас iLO2 у меня даже вэб интерфейс не хочет открывать:
10.10.10.10 использует неподдерживаемый протокол.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH
В св-вах браузера все версии TLS и SSL активированы.
Сервак брался году в 2007-2008(ProLiant ML350 G5). Последнее обновление на айло2 датируется 2018-м годом(согласно википедии) - не знаю может с последней прошивкой что-то поменялось(если на данный пролиант это обновление шло), но у меня там "2.23 11/05/2013". Мне кажется, на момент когда столкнулся с проблемой, стояла последняя доступная прошивка. Ну и не все обновления у ХэПэ доступны для всех линеек.
С 2008-го сервера(IE9) в вэб интерфейс заходит, но консоль не открывается, ни обычный режим(через эдон к браузеру), ни "полнооконный"(через аплет). Просто белая страница на месте где должен быть экран, без ошибок, без попыток подгрузки аплета, без предложения установить в браузер эдон. На XP с IE8 работает.
Учитывая потерю актуальности вопроса, а так же состояние последнего оставшегося сервера с айло2 - экспериментировать уже не вижу смысла. Он бы сейчас максимум за простенький NAS сошёл, и скорее всего безо всяких ZFS(даже со вторым процом), но учитывая его шумность и энергопотребление(порядка 300Вт в среднем на одном проце) - ну его нафиг :).
Это странно, мой IP-KVM тех-же годов, но в IE11 (или режиме совместимости с IE11) работает нормально.
Хотя сам Эдж пишет что он в режиме совместимости с IE5 аж:
Медленная работа iLO2 в Internet Explorer 11 : Обновляем прошивку до версии 2.25 - Блог IT-KB
частая проблема с иЛО, похоже...
Нужен совет по настройке проф. сервера - lleo — LiveJournal
тут ещё и режим совместимости в самом ие рекомендуют включить (добавить туда ип-адрес)
Зачем Яндекс.Браузеру эти данные?