Две недели назад мы объявили, что с помощью Claude Mythos Preview и других AI-моделей нашли и исправили рекордное количество скрытых уязвимостей в Firefox. В этой статье подробности о подходе, результатах и советы для других проектов, которые хотят применять эти техники.
Две недели назад я писал про Anthropic: Claude Desktop тихо регистрирует модуль Native Messaging сразу в семи браузерах на базе Chromium на машине пользователя. Схема там была чрезвычайно простая: запускаешь одну программу, а она без спроса прописывает себя в настройки других установленных тобой программ. То есть спокойно перелезает через некие «границы доверия» между вендорами. Ни окна согласия, ни понятного отказа в интерфейсе. Удаляешь вручную — при следующем запуске все появляется снова.
Теперь та же история всплыла у Google. Chrome без спроса кладет на диск файл локальной ИИ‑модели размером 4 ГБ. Это weights.bin в каталоге OptGuideOnDeviceModel. По сути, это веса Gemini Nano, локальной языковой модели Google. Браузер не спрашивает разрешения, никак не показывает пользователю, что сделал, а если файл удалить — просто скачивает его снова.
С юридической стороны история очень похожа на кейс Anthropic. Но у Google добавляется еще одна вещь: масштаб. Когда такой файл разъезжается по гигантской аудитории Chrome, экологическая цена уже вполне материальна. В зависимости от числа устройств речь идет примерно о 6–60 тыс. тонн CO2-эквивалента за одну такую волну загрузок. То есть одна компания просто решает, что браузер по умолчанию для миллиардов людей раскатает по их машинам 4 ГБ бинарных данных, которых никто не просил.
Раньше я относился к приватности в браузере довольно наивно. Казалось, что если включить режим инкогнито, поставить блокировщик рекламы и периодически чистить cookies, то ты уже сделал примерно всё, что может обычный пользователь. Потом я начал разбираться в browser fingerprinting и понял неприятную вещь: браузер сам по себе может быть идентификатором. Даже без cookies сайт видит набор технических признаков — от размера окна и WebGL до шрифтов, языка, часового пояса и поведения JavaScript API. И если эти признаки достаточно редкие, пользователя можно узнавать снова и снова.
После этого мне стало интересно посмотреть на браузеры не как на «быстрый/удобный/красивый», а как на инструменты приватности и анонимности. Что реально скрывает Chrome? Почему Firefox нужно настраивать аккуратно? Чем Brave отличается от обычного Chromium? Что DuckDuckGo режет, а что не может скрыть? Почему AI‑браузеры вроде Perplexity создают новую поверхность утечек? И почему Tor остаётся отдельной категорией, но тоже не магической кнопкой «стать невидимым».
В этой статье я разбираю браузеры через модель угроз: кто за вами наблюдает, какие данные получает и где приватность заканчивается маркетингом.
Действия ИИ-агента в браузере через скриншоты и клики — минута и десятки центов. Через WebMCP — секунды и доли цента. Два порядка разницы.
Так что же под этим черновиком стандарта WebMCP и куда он нас ведёт?
Я раньше был уверен, что понимаю, как работает отслеживание в интернете. Очистил cookies - чист. Включил VPN - спрятался. Поставил блокировщик - стал почти невидимым. Звучит логично, правда?
Проблема в том, что всё это работает только на уровне, который уже давно не является основным.
Современные сайты не обязательно знают, кто ты. Им это и не нужно. Достаточно собрать достаточно признаков, чтобы отличить тебя от всех остальных. Версия браузера, разрешение экрана, поведение мыши, особенности рендеринга графики, сетевые характеристики - по отдельности это просто параметры. Но вместе они превращаются в отпечаток, который оказывается гораздо устойчивее, чем кажется.
И самое неприятное - этот отпечаток можно получить без cookies, без авторизации и даже без твоего явного согласия. Ты можешь открыть сайт впервые, но для системы ты уже «кто-то знакомый».
Когда я начал разбираться в теме глубже, оказалось, что классические методы вроде Canvas или WebGL - это лишь вершина айсберга. Под ними скрывается целый слой менее очевидных техник: тайминговые атаки, сетевые отпечатки, поведенческие модели и даже попытки идентификации на уровне конкретного железа.
В этой статье я разберу, какие данные реально собирает браузер, как из них строится цифровой отпечаток и почему простые меры вроде VPN не дают той анонимности, на которую многие рассчитывают.
Если вы пользуетесь только интерфейсами социальных сетей и видеохостингов, поглощая рекомендации алгоритмов и ежедневно машинально пролистывая одну и ту же горстку сайтов, то по-настоящему живого интернета не видели. Такой опыт раскрывает, пожалуй, лишь 3–5% от реального потенциала веб-среды.
Да, для подавляющего числа людей интернет умирает. Они живут внутри контролируемых алгоритмами эхо-камер, из которых никогда не вырвутся. Живут и умирают, видя только то, что им «положено видеть». Но это не приговор, и всё вполне может быть иначе.
В свете нарастающей волны слопа, который всё активнее создаётся с помощью LLM, шума на таких платформах становится ещё больше. Это говорит о том, что впереди нас ждёт менее глубокий контент, менее интересная информация и в целом меньше человеческого содержания. Ни одну из этих тенденций не назовёшь положительной.
Устали от блокировок CloudFlare и капч? Показываю библиотеку rtfox-browser — готовое решение для автоматизации Chrome с прокси и решением капчи «из коробки». Установка, настройка, примеры кода и создание своих солверов.
Если вы в последнее время пытались прикрутить к своему любимому LLM‑агенту возможность самостоятельно гулять по интернету, дебажить веб‑приложения, и даже верстать, вы наверняка столкнулись с суровой реальностью. Оказывается, засунуть современный веб в контекстное окно нейросети — очень «дорогая» задача.
Обычно в таких случаях не глядя берут проверенные инструменты вроде Puppeteer или Playwright, которые обернуты в те самые три буквы MCP. Но ребята из Vercel недавно выкатили свою альтернативу — agent‑browser (cli‑утилиту, написанную на связке Rust и, некогда Node, но об этом позже). Зачем понадобился еще один велосипед для автоматизации, если у нас уже есть стандарты индустрии? Давайте разбираться.
В статьях2021 года можно встретить довольно пессимистичный вывод: «ресурс окончательно уничтожил возможность сбора информации с помощью Selenium». Но, как оказалось, это не совсем так.
Сайт kad.arbitr.ru — предоставляет информацию о гражданских делах, в первую очередь данная информация интересна юристам. Также там можно найти информацию о начале\конце банкротства и много другой информации связанной с юридической составляющей нашей жизни как граждан данной страны. На практике часто возникает задача мониторинга состояния дел по заданному списку — допустим по ИНН или же по ФИО. Именно такая задача была поставлена предо мной, найти дело по ИНН (если оно существует) и открыть его карточку чтобы собрать информацию.
При первом знакомстве сайт выглядит довольно устаревшим — как и многие государственные сайты, тем не менее, первое впечатление бывает обманчиво, ведь тут достаточно неплохая защита от тех кто хочет собрать много информации автоматически. Далее разбор будет строиться по следующей схеме: простой способ сбора информации → анализ, почему он работает или нет и так далее.
Первое, что приходит в голову при решении задачи парсинга по конкретному полю — это использование API.
Возможны три варианта.
WebAssembly находится в разработке уже более 8 лет. Технология прошла долгий путь развития и недавно разработчики из Bytecode Alliance выкатили версию 3.0.
О WebAssembly уже много материалов, но сегодня нам важна сама суть. У нас есть возможность, воспользовавшись любым из доступных языков программирования, написать модуль с необходимой нам логикой и запустить в исполняемой среде браузера. Разработчики обещают: модули будут быстрее и безопаснее, чем JavaScript, а также созданные ранее технологии, наподобие asm.js.
На связи Борис Мещеряков, frontend-разработчик в ПСБ и чаще всего мне приходится работать с javascript-фреймворками - React, Angular и прочими. Узнав о WebAssembly, я какое-то время наблюдал за его развитием. Мне стало интересно, может ли новая технология помочь мне уже сейчас? Какие ее возможности существуют на данный момент и какие реальны в будущем?
Разберёмся вместе?
Когда компания Anthropic анонсировала свою большую языковую модель Mythos , на первый взгляд этот инструмент произвёл неиллюзорное впечатление, а кого-то и всерьёз озаботил. Но, вчитавшись в материалы о Mythos, замечаешь, что общественный отклик не столь однозначен, как броские заголовки. То и дело приводится цифра «до 20 000 долларов», но она не означает, что Mythos походя нашла один катастрофический баг, поиск которого был оценён в такую сумму. В собственном отчёте компании Anthropic описано, что в эту сумму входит обширный поиск, сложившийся из тысячи взаимодополняющих прогонов, а найдено было несколько десятков трофеев. Бесспорно, это тоже замечательное достижение, но правда отличается от той патетической версии событий, которую подхватила молва. Далее компания Mozilla выпустила статью, в которой рассказала, что при помощи Mythos удалось выявить в браузере Firefox 150 множество проблем, найденных средствами ИИ, причём, они клонят всё к тому же: искусственный интеллект всерьёз заявил о себе в поиске уязвимостей. В оригинале этот пост называется «The zero-days are numbered» (Нулевые дни сочтены).
Эпичная история установки всех* расширений для браузера Firefox. Это был непростой процесс, который-таки увенчался успехом. Не обошлось в нём и без некоторых любопытных поворотов, неразрешённых вопросов и помощи друга.
Как выяснилось, всего у Firefox 84 тысячи расширений. Вроде бы не особо много, и по факту даже меньше 50 ГБ. Так что приступим!
*Всех, кроме 8, которые мы не соскрейпили (или которые удалили в промежутке между моментом проверки их списка на сайте и запуском скрипта), и 42, которые отсутствовали в extensions.json.1 Так что чисто технически мы установили 99,94% всех расширений.
В ходе моего переезда с российского софта очередь дошла и до Яндекс Браузера, коим я пользовался с момента бета тестирования и очень привык. Основным кандидатом на замену стал Vivaldi как наиболее кастомизируемый. Однако, как оказалось его кастомизации недостаточно для удовлетворения моих привычек, а именно: возможности проскроллить вверх нажав на активную вкладку и... видео‑обоев. Да, я очень к ним привык. Если с обоями еще как‑то можно было бы решить найти или написав свой экран новой вкладки, то менеджмент вкладок это уже вне уровня доступа расширений. Было принято решение изучить «а как оно там устроено внутри», что оказалось достаточно интересным исследованием. Забегая вперед, результата я добился, пусть и с «но». А если интересно и вам — добро пожаловать.
Недавно выяснилось, что довольно легко на смартфоне (Android) передать IP VPS в РКН с учеом следующих вещей:
1. Многие российские сервисы превращаются в филиалы РКН.
2. Приложение на Android может получить список сетевых интерфейсов на устройстве через NetworkInterface/ConnectivityManager. После чего обнаружить IP-адрес путем выполнения сетевого запроса через найденный интерфейс: curl -shttps://ifconfig.me/ip --interface $interface либо найдя запущенный socks5 прокси без авторизации. И от этой проблемы страдают большинство клиентов
Но как обстоят дела на desktop?
Огромное число авторов используют хэштеги для пометки своих постов. А также для заголовков, вносят эту информацию на картинки, в инфографику для видео и всячески применяют для поиска.
Хочу рассказать о наблюдаемом мной парадоксе этой технологии с точки зрения IT и обычной жизни.
Этот термин состоит из конкатенации двух слов: hash и tag. Hash - это прежде всего понятие про уникальность с шифрованием.
Изначально, для того, чтобы добиться создания строки, которая точно будет отличаться от других, программисты придумали различные хэш-функции, которые на вход получали исходные данные, добавляли к ним какие-то индивидуальные или уникальные свойства, и с помощью арифметических вычислений и преобразований строк получали на выходе строку, которая являлась кандидатом на полную уникальность.
Такие функции не всегда могут однозначно давать уникальные ответы в виде строк, поэтому существуют так называемые коллизии.
Короче, здесь главный приоритет - уникальность, "не как у других".
Тег, или тэг - это обозначение какой-то метки.
В HTML используются теги верстки, в разработке через систему контроля версий тегами помечали стабильную версию кода. tag-1.2.3
В общем, эти два термина несут окрас, который применяется во многих отраслях разработки.
dc.send(file) не означает, что файл уже доставлен. Между отправкой и реальной доставкой – буфер, relay, запись на диск, ACK, reconnect и потерянный после refresh File. Разбираю шесть production-проблем WebRTC-файлообмена, которые обычно остаются за пределами туториалов.
Идея этого проекта пришла мне в голову около семи лет назад, но до реализации я добрался только сейчас, т.к. есть некоторое время на это, пока ищу новую работу. Ну, и важно упомянуть, что я уже более 10 лет занимаюсь русской локализацией продуктов и сервисов Mozilla.
Мы привыкли говорить о защите серверов, рабочих станций, сетевого периметра, удостоверяющих систем, средств контроля доступа и ещё десятка важных вещей. Но браузер в организациях при этом слишком часто остаётся где-то в серой зоне. Он как будто есть сам по себе: установлен, как-то настроен, где-то применяются политики — и на этом разговор обычно заканчивается.
Хотя на практике браузер давно уже не просто программа для просмотра сайтов. Это рабочий шлюз ко всему: внутренним системам, облачным службам, корпоративной почте, документообороту, административным панелям, порталам, личным кабинетам и множеству других сервисов, через которые в компании реально проходят данные и процессы. Именно об этом я недавно писал в BIS Journal, где попытался показать браузер как важное, но часто недооценённое звено корпоративной кибербезопасности.
Для меня эта тема не случайна. Раньше я занимался развитием продукта X-Config в Spacebit — решения, связанного с безопасностью конфигураций программного обеспечения. Тогда мне пришлось довольно глубоко погрузиться в саму логику безопасной настройки: как появляются профили, как они согласуются, где заканчивается методология и начинается ручная рутина, почему даже хорошие требования без нормального инструментария быстро превращаются в набор разрозненных действий. В интервью для «Банковского обозрения» мы как раз обсуждали профили безопасного конфигурирования, роли специалистов по ИБ и администраторов, а также то, что такие профили должны жить не как памятка в PDF, а как часть управляемого процесса.
Если кратко - да все с ними ТАК. Это замечательный набор современных браузерных технологий, для решения реальных задач веб-разработки. Веб-компоненты позволяют делать очень многое, более просто и элегантно, чем это было бы без них. А главное, они позволяют, с потрясающей гибкостью, решать задачи “со звездочкой” - те, которые немного выходят за рамки и требуют более творческого подхода от разработчика.
Почему-же тогда по Хабру гуляют, кхм… некие одиозные личности (не будем показывать пальцем) и рассказывают нам про то, что веб-компоненты это ужас-ужас и полный провал? Давайте разберемся.
Если у вас есть собственный сайт — вы наверняка проверяли его работу с телефона. Открыли, полистали, остались довольны: «Всё летает». Но это не гарантия, что так же быстро сайт загрузится у ваших посетителей.
Представьте: пользователь заходит на ваш сайт с iPhone (неважно, нового или трёхлетней давности) — и страница зависает, изображения грузятся по одному, скролл дёргается. Через 5–10 секунд он просто закрывает вкладку и уходит к конкурентам. Проблема не в вашем телефоне или интернете, а в скрытых особенностях браузера Safari и устройств iOS.
Ниже — руководство по оптимизации, которое поможет избежать таких сценариев. Пройдитесь по чек‑листу и убедитесь, что каждый пункт выполнен. Даже если ваш сайт кажется быстрым, с большой вероятностью он теряет часть аудитории на Safari.
Привет, Хабр. Расскажу, как устроен мой сайд-проект — пиксельная аркада Прикольня, где у каждой компании друзей своя 3D-квартира с мебелью, аватарами и контентом на стенах. Под капотом — Next.js 16, Three.js через React Three Fiber, WebSocket-мультиплеер и PWA. Без единого .glTF файла — вся мебель процедурная.
