Comments 101
Кстати, про Protect — с очередным обновлением он вдруг без предупреждения исчез из списка установленных программ и превратился в неотключаемую службу. Вы про это нововведение где-нибудь писали? В клубе браузера вроде бы не было.
Например Элементы Яндекса: Погода, ссылкам «С сайта yandex.ru» и «Политика конфиденциальности» особого доверия нет.
Когда искал расширения, хотел найти подтверждение того, что это дополнение действительно предоставляется Яндексом. Примерно как поле разработчик в Плей Маркете, но ничего подобного не нашел. Поле «С сайта yandex.ru» не вызвало доверия. В итоге нашел список расширений на сайте яндекса и уже от туда перешел по ссылке к дополнению на chrome webstore. Например у гугловских расширений есть значок категории «От Google».
А вот на надпись «Автор ...» вообще можно не смотреть. Там все что угодно может быть.
То есть тут домен — это «автор имеет доступ к домену, подтвержденный записью в CNAME» или «автор выложил на сайт, имеющий домен»?
В операционной системе Windows любое приложение может вмешиваться в работу любого другого приложения, что и начали использовать против Яндекс.Браузера. Сомнительные программы научились подбрасывать расширения прямо в папку профиля браузера, внося изменения в файлы настроек.
Эм-м… А в других ОС одно приложение разве не может положить файл в «папку другого»?
И там (до последнего времени) посложнее было аддоны делать. :)
Как услышал на просторах самого хабра:
Лох не мамонт, лох не вымрет
Надёюсь, Edge извлёк урок и такого балагана с расширениями в нём не будет.
Есть ли у chromium и firefox возможность отключить весь функционал расширений к чертовой матери? Специально для пользователей, которые "знать не знают ни о каких расширениях" и знать не хотят. И для тех, которые знают, но знать тоже не хотят.
Можно попробовать запускать их как chromium --disable-extensions
(источник) и firefox --safe-mode
(источник), но я не обещаю, что это сработает. Ещё можно посмотреть, нет ли возможности выключить ненавистные расширения на этапе компиляции и сделать свой билд.
Когда сильно надоело, поставил только ublock и сделал:
# chown root. ~/.config/chromium/Default/Extensions
# chmod 555 ~/.config/chromium/Default/Extensions
С тех пор «вызовы» прекратились. Думаю и в других ОС можно сделать что-то подобное.
Ну и учитывая трюк из статьи с evernote'ом, возможно придётся пройтись и по некоторым подкаталогам.
Номер один конечно — AdwCleaner.
Этим не пользуюсь, но на всякий случай держу на стеке — "Чистилка"
От Google, но про эффективность мне ничего не известно — Инструмент для удаления программ (Инструмент очистки Chrome!).
Вас стоит задуматься на этим.
скорее всего, у вас уже что-то посерьёзнее обычного мусора и это что-то блокирует работу приложений, могущих ему навредить
Может быть, вы что-то делаете не так? Web of trust, самоуправление мейнтейнерами, открытые исходные тексты, довольно строгая полиси, базирующаяся на общественном договоре…
Почему ничего этого нет у вас?
P.S. Доверять Web of trust не рекомендую. Имели место быть случаи накрутки в обе стороны.
P.P.S. Про три с половиной плагина я не понял. Мы поддерживаем не только свой миниСтор, но и Chrome Web Store c Opera Addons.
2. Обычного пользователя проще обмануть, чем админа сервера. Сомневаюсь, что админы вообще ставят случайные приложения на действующие сервера.
Пользователей таких браузеров, полагаю, больше, чем серверов на debian.
В операционной системе Windows любое приложение может вмешиваться в работу любого другого приложения, что и начали использовать против Яндекс.Браузера. Сомнительные программы научились подбрасывать расширения прямо в папку профиля браузера, внося изменения в файлы настроек.
Какие, однако, ленивые хакеры. У них открыт полный доступ к компу через запущеный вирус, а они всего лишь ставят js-расширения в браузерный sandbox. Обычно, по-моему, наоборот хотят вырваться из песочницы в хост-систему с полными правами.
Хорошая попытка, Яндекс, но пользоваться бинарным блобом без открытых исходников я не буду.
Код Хромиума открыт, и крайне маловероятно, что-то кто-то пойдёт и будет забесплатно делать что-то серьёзное в яндексовой части браузера (а на управление этим делом тоже нужны ресурсы).
Если не изменяет память — в него вообще невозможно добавить то, что не заапрувлено гуглом. А гугл аппрувит только то, что не против видеть в проприетарном хроме(чтобы не так сложно было собирать хромиум в хром). Но если не изменяет память — то несколько крупных патчей от яндекса все же прошли через этот фильтр.
бинарным блобом без открытых исходниковпроприетарным бинарным блобом под собственнической лицензией без открытых исходников
Плагин должен делать то что написано а не все подряд.
мой вопрос это как можно монетизировать плагины?
Делайте платные плагины или платный доп. функционал к ним если хотите денег за них. Все остальные способы отвратительны и подлежат вообще запрету, на мой взгляд. Если плачете по поводу недостатка денег с плагина — уходите и займитесь другими делами (например, устройтесь на работу грузчиком), а плагин сделают другие кто более заинтересован в плагине с таким функционалом а не в доходе с него.
Заподозрить неладное помог uBlock, когда начал блокировать переходы по ссылкам. Оказалось, что AliTools время от времени прогоняет ссылки через Deeplink, т.е. пытается заработать на какой-то партнерке путем замены ссылок в моем браузере.
Расширение отредактировал и выпилил этот функционал, но на мой взгляд Гугл должен обязать указывать в описании, что расширение пользуется такими «приемами».
Не подскажете, что там нужно сделать? Тоже недавно поставил данное расширение… после вашего ответа снес его, но ничего лучше не нашел. Буду признателен за помощь… возможно многим этот рецепт пригодится…
Здравствуйте!
Для начала нужно найти и скопировать расширение из папки:
C:\Users\%user_name%\AppData\Local\Google\Chrome\User Data\Default\Extensions
например на рабочий стол, скорее всего папка будет называться eenflijjbchafephdplkdmeenekabdfb
В хроме расширение удаляем, оно нам больше не понадобится. Хром оставляем открытым.
Меняем пару символов в названии скопированной папки, затем внутри 3.8.17_0 правим manifest.json, заменяем пару символов в key (мб не обязательно). Удаляем папку _metadata.
Затем в background.js ищем по слову 'deep_link.htm' и внутри найденной функции все удаляем и пишем return null
JS там минимизирован, на всякий случай прикладываю файл в нормальном виде, функция на строке 4290
https://gist.github.com/RTKSoftware/487ed29df4fa1c5876c8dcf3d286b77f#file-gistfile1-txt-L4290
Теперь помещаем переименованную папку обратно в папку с расширениями. В Хроме Дополнительные инструменты->Расширения ставим галочку "Режим разработчика" и жмем "Загрузить распакованное расширение", указываем путь к папке 3.8.17_0.
В Chrome последней версии (62.0.3202.89) работает нормально
Примерно так у некоторых пользователей начинал выглядеть YouTube
использую уже несколько лет гугловый хром как основной браузер. на нем около 20 расширений (плохо, что много -не спорю, но мне так удобно и не мешает) — нормально все работает, ютюб том числе (специально для него 2 расширения которые автоматом качество по максимуму устанавливают и позволяют смотреть видео в плавающем окошке..)
что я делаю не так?
Я недавно поставил себе ваш браузер и могу сказать, чего не хватает мне.
Прежде всего раздражают звуки, которые издают самые разные сайты. Почему-то браузер, позиционирующий себя как очень безопасный, не позволяет ограничить доступ сайтов к оборудованию, в частности к устройствам воспроизведения звука. Может быть он и к микрофону доступ по умолчанию всем предоставляет? Чтобы выключить звук на странице, надо чтобы она начала что-нибудь воспроизводить. Оказывается, многие сайты издают короткие звуки, меньше секунды. За это время не успеваешь найти вкладку и кликнуть на mute. В результате, когда у меня открыто много вкладок, то постоянно что-то крякает, звякает или пикает. Когда я сидел в файерфоксе, я даже не догадывался об этой проблеме. Естественно, что у меня возникает желание скачать расширение типа «Permanent Mute without SMS».
В любом браузере сейчас есть возможность остановить анимацию гифок. Эта опция доступна или из коробки, или в виде расширения. Почему в Яндекс.Браузере этого нет? Читать текст, если рядом мелькает какая-то бессмысленная аватарка, неудобно. Вот и приходится гуглить «Stop GIF animation free».
Сильно ограничена функциональность управления паролями. Нет информации о времени создания и последнего использования пароля. Нет возможности добавить или изменить пароль. Не сохраняются пароли в некоторых онлайн-банкингах, не сохраняются пароли на серверах с самодельными сертификатами, что для работающих в IT особенно неприятно. В результате приходится даже для тестовых серверов держать открытым отдельный менеджер паролей. А кто-то решает эту проблему, устанавливая очередное расширение.
Как минимум, доступ к паролям, к списку табов/окон, применение расширения только на определённых сайтах.
Так же не помешал бы ACL для корневых сертификатов, так как я согласен, к примеру, ходить на госуслуги по https с отдельным доверенным CA, но не согласен ходить к другим сервисам (да хоть тому же яндексу), если показываемый мне сертификат выпущен CA госуслуг (к примеру).
Но, подозреваю, это будет чересчур…
Для работы с сайтами, которые поддерживают шифрование по ГОСТу, готовится решение с поддержкой такого шифрования. Конечно же, с защитой от применения такого сертификата на чужих сайтах.
В случае сертификатов — речь не про гост вообще, а про атаку MitM, когда на основе ключа доверенного CA создаются сертификаты для вообще всех сайтов.
Вот этого хотелось бы избежать путём ограничения области доверия для CA.
Что касается расширений, то такая мера, к сожалению, будет работать только для опытных пользователей.
Как минимум, я хотел бы знать, что сертификат сайта выдан не тем CA ДО ТОГО, как отправлю туда что-то важное. Независимо от того, поставлен он общесистемно или только в конкретном браузере.
То, что у вас есть такая штука — хорошо, но маловато…
Насчёт ACL расширений — да, это для опытных пользователей. Или тех, кто не настраивает браузер сам (при наличии сисадмина в организации — вполне решение для большинства пользователей).
Такому зловреду ACL — не помеха: он пропишет любые нужные права. И даже флажок поставит чтобы защитить ACL от модификации пользователем.
Меня больше интересует превентивная защита от случая, когда дополнение после обновления внезапно оказалось небезопасным. Скажем, стала отсылаться небольшая статистика по заголовкам открытых вкладок :-)
Что касается проблемы, то она во многом — в «user.dll».
Ради эксперимента — установил на компе Win7 без антивируса, без файервола. Из браузеров — Яндекс, флешки открываю только через Total Commander (он не использует автозагрузки). На все неожиданные предложения «установить расширение» — отказываюсь, предпочитая закрыть браузер. Перед скачиванием приложения — проверяю адрес страницы (именно адрес). Если качаю самораспаковывающийся архив — меняю ему расширение на .RAR и смотрю/извлекаю содержимое — при помощи архиватора. Ну и обязательно — прислушиваюсь к советам от Яндекса, что тот или иной сайт может представлять угрозу…
Итог: за год — ни одного вируса (проверялся через Kaspersky Rescue Disk).
P.S. Извините, если что, за рекламу.
Про браузер будущего у меня вообще куча идей. Бердяев на иконке, тулзы для ремарок на просмотренные ресурсы, для самоанализа (спрашивайте — расскажу), анализа времени, проведённого в сети (умный таймер), ограничение количества одновременно открытых вкладок — тремя (ограничить одной — это насилие над собой)… В общем, всё для воинствующего персонализма, хотя я сам это философское мировоззрение не вполне разделяю.
Если расширения будут платными — то контроль будет по всей строгости закона (хотя возникнет, конечно, проблема юрисдикций, которой дотоле не знал Интернет). Появляются вполне юридические определения «мошенничества», «злоупотребления доверием», появляется процедура преследования. Ошибочно думать, что расширить спектр применения финансового контроля и имущественного права в Интернете — это то же самое, что привлечь каких-нибудь депутатов к той работе, которую должна выполнять команда Яндекс. Институт денег и институт государства — прежде всего, различаются по вовлечённости общества.
анализа времени, проведённого в сети (умный таймер)Уже есть. Rescutime называется.
Для корректного логирования в Яндекс-Браузере опции расширения должны быть такими: i.imgur.com/oyGy0Pc.png
В настройках www.rescuetime.com/accounts/monitoring_options надо включичть игнор для самого приложения «Яндекс Браузер», иначе будет считать 2 раза. i.imgur.com/onHz2Wi.png
.
.
для самоанализа (спрашивайте — расскажу)Neradivy, расскажите, плз. Интересно.
Мечтаю о консольном браузере Яндекс для linux. Можно надстройку над elinks
Чтобы работал так: пишешь в консоли ya <поисковый запрос>, получаешь ответ в виде списка ссылок с кратким описанием. Только вот не знаю, как реализовать деление на страницы, если вывода много.
Еще бы хотелось, чтобы были флаги:
ya -s — обычный поиск,
ya -i — поиск по изображениям,
ya -d — поиск по словарям,
ya -v — поиск по видео.
Может быть еще какие-то опции.
sudo apt-get install googler
.Блин, промахнулся, это для dcc0.
Например, Plus for Trello (тайм-трекинг, отчёты, Scrum) — очень удобная надстройка для Trello, но при попытке поставить в Я.Браузер получаем это: i.imgur.com/tKiQb8v.png
Из-за такого приходится использовать 2 браузера, что не удобно.
Все остальные расширения хром для trello, которые меняют его интерфейс или добавляют функций — работают, в том числе и те, которые логируют данные из trello на своём сервере (например, toggl, PomoDoneApp).
При чем здесь api (и api чего?) я понять не могу.
Dear user, sorry, currently we cannot yet support Yandex. We would love to, however we use web sql, which is not supported in yandex.
Скрытой настройки browser://flags/ про web sql я не нашел.
Что-то ещё можно сделать? Или только ждать, когда ЯБ включит поддержку web sql?
Причина не в web sql. Его-то мы поддерживаем. Причина в GCM API, это гугловское API синхронизации данных с использованием серверов Гугла. Раньше поддержать его было нельзя. Сейчас работаем над вариантом, который должен помочь.
Но при отключении любого расширения через эту программу (или аналогичную, пробовал) выскакивает окно предупреждения: i.imgur.com/awhB1IH.png
Как отключить это предупреждение? Оно не нужно и только раздражает.
В browser://flags/ найти такую опцию не смог.
Как отключить это окно?
Злоумышленники с полным доступом к компу и так могут отключить что угодно. А если доступ ограничен браузерной песочницей, то можно сделать так, чтобы из неё его отключить было нельзя, а явно по желанию пользователя — можно.
Если речь идёт про внешнюю программу, которая шлёт клики по нужным кнопкам через winapi, то у такой программы будут возможности куда шире, чем вышеуказанные мелкие шалости. Если речь про имитацию из js на сайтах — то это дыра в браузере получается.
Вдруг выясняется, что внутри этого фото с помощью стеганографии скрыто еще одно, например с детским порно.
Вопрос:
Можно ли в этом случае предъявить Джиму и Джону обвинения в распространении детского порно, при условии, что они оба настаивают на том, что не знали о том, что внутри фото с закатом было еще что-то?
Эволюция вредоносных расширений: от любительских поделок до стеганографии. Опыт команды Яндекс.Браузера