Есть разница в размере аудитории. У расширения аудитория скорее всего небольшая. А если наша гипотеза верна, то код начал исполняться у значительно большего количества пользователей, пользователей, которые расширения с рекламой не ставят, пользователей разных браузеров. Тут открываются бОльшие возможности для "злоупотреблений".
Администратор, тут не очень удачно использовано, конечно. Имелся в виду кто-нибудь типа контент-менеджер или кто-то еще, кто на госуслугах менял содержимое.
Было бы здорово получить примеры потенциально ложных срабатываний, чтобы механизмы защиты можно было улучшить.
Но относительно «100% нормальных» сайтов можно сказать, что даже опытный аналитик не всегда сходу может определить, что, например, на сайт был внедрен код, использующий уязвимость клиента. И даже популярные сайты взламывают, чтобы такой код внедрить. Или он «прилетает» через рекламу.
Ну и страницы-предупреждения Яндекс.Браузера имеют возможность проигнорировать его и перейти на сайт.
Все опасные сайты вообще никому не известны, так же как нет антивируса, который защищает на 100%. Поэтому важно насколько хорошо и полно проверяются сайты, которые посещаются большинством пользователей, в данном случае, из России.
Сейчас заражение пользоватлей по большей части происходит через сайты, куда внедрен вредоносный код и через уязвимости в браузере и компонентах. Скачивание файлов — не основной метод инфицирования.
По SB API браузер проверяет ссылки, по которым переходит пользователь, чтобы предупредить и предотвратить заражение drive-by-download.
Есть разница в размере аудитории. У расширения аудитория скорее всего небольшая. А если наша гипотеза верна, то код начал исполняться у значительно большего количества пользователей, пользователей, которые расширения с рекламой не ставят, пользователей разных браузеров. Тут открываются бОльшие возможности для "злоупотреблений".
Мы смотрели, что случилось, после появления новости от Dr.Web. Многие делали то же самое. А подготовка текста для Хабра заняла время.
Какая версия более вероятна?
Администратор, тут не очень удачно использовано, конечно. Имелся в виду кто-нибудь типа контент-менеджер или кто-то еще, кто на госуслугах менял содержимое.
Но относительно «100% нормальных» сайтов можно сказать, что даже опытный аналитик не всегда сходу может определить, что, например, на сайт был внедрен код, использующий уязвимость клиента. И даже популярные сайты взламывают, чтобы такой код внедрить. Или он «прилетает» через рекламу.
Ну и страницы-предупреждения Яндекс.Браузера имеют возможность проигнорировать его и перейти на сайт.
Сейчас заражение пользоватлей по большей части происходит через сайты, куда внедрен вредоносный код и через уязвимости в браузере и компонентах. Скачивание файлов — не основной метод инфицирования.
По SB API браузер проверяет ссылки, по которым переходит пользователь, чтобы предупредить и предотвратить заражение drive-by-download.