Комментарии 101
Да, масштабы проблемы впечатляют. Даже задумался о том, чтобы включить обратно Protect.
Для себя взял правило: не устанавливать расширения от тех разработчиков, которым я не доверяю. Иногда проще самому для себя написать простой инструмент на JS, чем доверять случайному расширению.
Именно так и обхожусь, да.
Кстати, про Protect — с очередным обновлением он вдруг без предупреждения исчез из списка установленных программ и превратился в неотключаемую службу. Вы про это нововведение где-нибудь писали? В клубе браузера вроде бы не было.
Кстати, про Protect — с очередным обновлением он вдруг без предупреждения исчез из списка установленных программ и превратился в неотключаемую службу. Вы про это нововведение где-нибудь писали? В клубе браузера вроде бы не было.
Хотел недавно установить пару расширений с chrome webstore, но нигде не нашел информацию о разработчике, которой можно было бы доверять.
Например Элементы Яндекса: Погода, ссылкам «С сайта yandex.ru» и «Политика конфиденциальности» особого доверия нет.
Например Элементы Яндекса: Погода, ссылкам «С сайта yandex.ru» и «Политика конфиденциальности» особого доверия нет.
Домен кликабельный, значит расширение и правда раздается на этом сайте. А дальше все зависит от вашего доверия к этому сайту.
Не совсем понял, т.е. если в поле «С сайта» указан действительный домен, то значит расширение предоставлено владельцем данного сайта? И другой разработчик не сможет опубликовать дополнение с этим же доменом? Просто я не знаком с процедурой публикации расширений.
Когда искал расширения, хотел найти подтверждение того, что это дополнение действительно предоставляется Яндексом. Примерно как поле разработчик в Плей Маркете, но ничего подобного не нашел. Поле «С сайта yandex.ru» не вызвало доверия. В итоге нашел список расширений на сайте яндекса и уже от туда перешел по ссылке к дополнению на chrome webstore. Например у гугловских расширений есть значок категории «От Google».
Когда искал расширения, хотел найти подтверждение того, что это дополнение действительно предоставляется Яндексом. Примерно как поле разработчик в Плей Маркете, но ничего подобного не нашел. Поле «С сайта yandex.ru» не вызвало доверия. В итоге нашел список расширений на сайте яндекса и уже от туда перешел по ссылке к дополнению на chrome webstore. Например у гугловских расширений есть значок категории «От Google».
Если кликабельный домен именно для «С сайта ...», то его подделать нельзя.
А вот на надпись «Автор ...» вообще можно не смотреть. Там все что угодно может быть.
А вот на надпись «Автор ...» вообще можно не смотреть. Там все что угодно может быть.
Думал про свой яндекс.бар рассказать решили
Меня впечатлило, когда здесь, или на ГТ кидали ссылку для проверки работы браузеров с отозванными сертификатами. ЯБ сурово разорвал соединение, а Хром даже не покраснел в адресной строке — с его точки зрения — все было отлично.
В операционной системе Windows любое приложение может вмешиваться в работу любого другого приложения, что и начали использовать против Яндекс.Браузера. Сомнительные программы научились подбрасывать расширения прямо в папку профиля браузера, внося изменения в файлы настроек.
Эм-м… А в других ОС одно приложение разве не может положить файл в «папку другого»?
Добро пожаловать в прекрасный мир браузерных аддонов. Гугл не проверяет свои расширения, чем малвари и пользуются. Не даром там такое кол-во скачивальщиков музыки из вконтакта, все хотят заработать. Вот у мозиллы аж две модерации — автоматическая, затем ручная. Там такое не пройдёт. А тут я вам больше скажу — можете обратиться к любому автору такого трояна, он вам за 2к рублей вставит любой ваш js код к себе на сервер, за этим там и есть eval().
НЛО прилетело и опубликовало эту надпись здесь
К сожалению, есть еще одна причина — у мозилл просто заметно меньше юзеров, увы…
И там (до последнего времени) посложнее было аддоны делать. :)
И там (до последнего времени) посложнее было аддоны делать. :)
Только вот автоматическую модерацию было легко обдурить, а её одной достаточно, чтобы получить подпись и без проблем устанавливаться в Firefox разными способами. Ручная была обязательной только для прохода в их каталог.
Меня удивило то, что среди скриншотов был Habrahabr. Неужели есть пользователи данного ресурса, кто мог попасться на подобное рекламное расширение? Или это с одного какого-то демо-браузера открыли разные веб сайты? =)
Вы правы в том, что никто целенаправленно именно на Хабр рекламу не встраивает. Но расширения зачастую ориентируются на код популярных рекламных сетей. И подменяют рекламу везде, где этот код встречается. Хабр и Тостер ровно так и пострадали.
Как услышал на просторах самого хабра:
Лох не мамонт, лох не вымрет
Надёюсь, Edge извлёк урок и такого балагана с расширениями в нём не будет.
Есть ли у chromium и firefox возможность отключить весь функционал расширений к чертовой матери? Специально для пользователей, которые "знать не знают ни о каких расширениях" и знать не хотят. И для тех, которые знают, но знать тоже не хотят.
Можно попробовать запускать их как chromium --disable-extensions (источник) и firefox --safe-mode (источник), но я не обещаю, что это сработает. Ещё можно посмотреть, нет ли возможности выключить ненавистные расширения на этапе компиляции и сделать свой билд.
В прошлом году замучился бегать к родне по просьбе «отключить рекламу», и вычищать тонны расширений которые они «конечно же, не ставили, оно само так сделалось».
Когда сильно надоело, поставил только ublock и сделал:
С тех пор «вызовы» прекратились. Думаю и в других ОС можно сделать что-то подобное.
Ну и учитывая трюк из статьи с evernote'ом, возможно придётся пройтись и по некоторым подкаталогам.
Когда сильно надоело, поставил только ublock и сделал:
# chown root. ~/.config/chromium/Default/Extensions
# chmod 555 ~/.config/chromium/Default/Extensions
С тех пор «вызовы» прекратились. Думаю и в других ОС можно сделать что-то подобное.
Ну и учитывая трюк из статьи с evernote'ом, возможно придётся пройтись и по некоторым подкаталогам.
Даю ссылка на инструменты для борьбы со всякой заразой в браузере.
Номер один конечно — AdwCleaner.
Этим не пользуюсь, но на всякий случай держу на стеке — "Чистилка"
От Google, но про эффективность мне ничего не известно — Инструмент для удаления программ (Инструмент очистки Chrome!).
Номер один конечно — AdwCleaner.
Этим не пользуюсь, но на всякий случай держу на стеке — "Чистилка"
От Google, но про эффективность мне ничего не известно — Инструмент для удаления программ (Инструмент очистки Chrome!).
и AdwCleaner и Чистилка не заработали на Win10
Видимо у вас что-то не так, потому что заявляется — Compatible with Windows 7, 8, 8.1, 10 in 32 & 64 bits.
Вас стоит задуматься на этим.
Вас стоит задуматься на этим.
adwcleaner совершенно точно работает на win10
скорее всего, у вас уже что-то посерьёзнее обычного мусора и это что-то блокирует работу приложений, могущих ему навредить
скорее всего, у вас уже что-то посерьёзнее обычного мусора и это что-то блокирует работу приложений, могущих ему навредить
Скажите, а почему так получается, что в каталоге свободного ПО Debian примерно 58 тысяч приложений (крайне полезных и популярных), и нет ни одной малвари, а в вашем браузере, три с половиной плагина — и тысячи малварь?
Может быть, вы что-то делаете не так? Web of trust, самоуправление мейнтейнерами, открытые исходные тексты, довольно строгая полиси, базирующаяся на общественном договоре…
Почему ничего этого нет у вас?
Может быть, вы что-то делаете не так? Web of trust, самоуправление мейнтейнерами, открытые исходные тексты, довольно строгая полиси, базирующаяся на общественном договоре…
Почему ничего этого нет у вас?
Популярность. Чем популярнее продукт среди простых пользователей, тем больший интерес он представляет для разработчиков всякой гадости. Браузеры на основе Chromium занимают в России от 70 до 80% доли рынка. Это десятки миллионов пользователей. Очень вкусный пирог для малварей разного рода.
P.S. Доверять Web of trust не рекомендую. Имели место быть случаи накрутки в обе стороны.
P.P.S. Про три с половиной плагина я не понял. Мы поддерживаем не только свой миниСтор, но и Chrome Web Store c Opera Addons.
P.S. Доверять Web of trust не рекомендую. Имели место быть случаи накрутки в обе стороны.
P.P.S. Про три с половиной плагина я не понял. Мы поддерживаем не только свой миниСтор, но и Chrome Web Store c Opera Addons.
Чего больше в мире — серверов на базе debian/ubuntu или пользователей yandex-браузера? И что вкуснее для malware — сочный сервер с толстым линком или браузер у секретарши?
1. Пользователей Chromium-based браузеров в мире больше, чем серверов.
2. Обычного пользователя проще обмануть, чем админа сервера. Сомневаюсь, что админы вообще ставят случайные приложения на действующие сервера.
2. Обычного пользователя проще обмануть, чем админа сервера. Сомневаюсь, что админы вообще ставят случайные приложения на действующие сервера.
Так эти расширения ставятся не только на yandex-браузер, а на все браузеры на движке Chromium, т.е. и на сам Chrome.
Пользователей таких браузеров, полагаю, больше, чем серверов на debian.
Пользователей таких браузеров, полагаю, больше, чем серверов на debian.
В операционной системе Windows любое приложение может вмешиваться в работу любого другого приложения, что и начали использовать против Яндекс.Браузера. Сомнительные программы научились подбрасывать расширения прямо в папку профиля браузера, внося изменения в файлы настроек.
Какие, однако, ленивые хакеры. У них открыт полный доступ к компу через запущеный вирус, а они всего лишь ставят js-расширения в браузерный sandbox. Обычно, по-моему, наоборот хотят вырваться из песочницы в хост-систему с полными правами.
К сожалению, не только. Они еще свои сертификаты любят подбрасывать для прослушки трафика. Про это писали раньше на хабре: habrahabr.ru/company/yandex/blog/326796
Хорошая попытка, Яндекс, но пользоваться бинарным блобом без открытых исходников я не буду.
НЛО прилетело и опубликовало эту надпись здесь
Хорошо, если вы считаете, что устанавливать на свой компьютер бинарный блоб, доверяя безопасность одной корпорации (Пускай даже с очень хорошей репутацией) лучше, чем пользоваться кодом, написанным сообществом и доступным для аудита каждому — ваше право, спорить об OSS vs CSS нужно не под этим постом.
НЛО прилетело и опубликовало эту надпись здесь
Код Хромиума открыт, и крайне маловероятно, что-то кто-то пойдёт и будет забесплатно делать что-то серьёзное в яндексовой части браузера (а на управление этим делом тоже нужны ресурсы).
Если не изменяет память — в него вообще невозможно добавить то, что не заапрувлено гуглом. А гугл аппрувит только то, что не против видеть в проприетарном хроме(чтобы не так сложно было собирать хромиум в хром). Но если не изменяет память — то несколько крупных патчей от яндекса все же прошли через этот фильтр.
бинарным блобом без открытых исходниковпроприетарным бинарным блобом под собственнической лицензией без открытых исходников
«тайно изменяют/добавляют на страницы свою рекламу.» то есть монитизировать свой плагин даже через «правильный партнерки» которые не надоедают нельзя?
Плагин должен делать то что написано а не все подряд.
функционал и монетизация это разные понятия, вы когда устанавливаете игру на телефон и она показывает какие-то рекламные преролы, это получается что игра делает все в подряд?
мой вопрос это как можно монетизировать плагины?
мой вопрос это как можно монетизировать плагины?
Да пусть показывает что хочет на своей странице. Зачем добавлять ее на чужие?
Делайте платные плагины или платный доп. функционал к ним если хотите денег за них. Все остальные способы отвратительны и подлежат вообще запрету, на мой взгляд. Если плачете по поводу недостатка денег с плагина — уходите и займитесь другими делами (например, устройтесь на работу грузчиком), а плагин сделают другие кто более заинтересован в плагине с таким функционалом а не в доходе с него.
Недавно нужно было промониторить цены на Ali (да, перед 11.11, но речь не об этом). Первое расширение, что я нашел для Chrome было AliTools и я скачал его из Chrome Web Store.
Заподозрить неладное помог uBlock, когда начал блокировать переходы по ссылкам. Оказалось, что AliTools время от времени прогоняет ссылки через Deeplink, т.е. пытается заработать на какой-то партнерке путем замены ссылок в моем браузере.
Расширение отредактировал и выпилил этот функционал, но на мой взгляд Гугл должен обязать указывать в описании, что расширение пользуется такими «приемами».
Заподозрить неладное помог uBlock, когда начал блокировать переходы по ссылкам. Оказалось, что AliTools время от времени прогоняет ссылки через Deeplink, т.е. пытается заработать на какой-то партнерке путем замены ссылок в моем браузере.
Расширение отредактировал и выпилил этот функционал, но на мой взгляд Гугл должен обязать указывать в описании, что расширение пользуется такими «приемами».
Добрый день!
Не подскажете, что там нужно сделать? Тоже недавно поставил данное расширение… после вашего ответа снес его, но ничего лучше не нашел. Буду признателен за помощь… возможно многим этот рецепт пригодится…
Не подскажете, что там нужно сделать? Тоже недавно поставил данное расширение… после вашего ответа снес его, но ничего лучше не нашел. Буду признателен за помощь… возможно многим этот рецепт пригодится…
Если ответа не будет, то логично было бы помониторить, куда ломится аддон и заблочить те хосты, так хотя бы утечки не будет.
Здравствуйте!
Для начала нужно найти и скопировать расширение из папки:
C:\Users\%user_name%\AppData\Local\Google\Chrome\User Data\Default\Extensionsнапример на рабочий стол, скорее всего папка будет называться eenflijjbchafephdplkdmeenekabdfb
В хроме расширение удаляем, оно нам больше не понадобится. Хром оставляем открытым.
Меняем пару символов в названии скопированной папки, затем внутри 3.8.17_0 правим manifest.json, заменяем пару символов в key (мб не обязательно). Удаляем папку _metadata.
Затем в background.js ищем по слову 'deep_link.htm' и внутри найденной функции все удаляем и пишем return null
JS там минимизирован, на всякий случай прикладываю файл в нормальном виде, функция на строке 4290
https://gist.github.com/RTKSoftware/487ed29df4fa1c5876c8dcf3d286b77f#file-gistfile1-txt-L4290
Теперь помещаем переименованную папку обратно в папку с расширениями. В Хроме Дополнительные инструменты->Расширения ставим галочку "Режим разработчика" и жмем "Загрузить распакованное расширение", указываем путь к папке 3.8.17_0.
В Chrome последней версии (62.0.3202.89) работает нормально
Яндекс — молодцы, я с вами!
Примерно так у некоторых пользователей начинал выглядеть YouTube
использую уже несколько лет гугловый хром как основной браузер. на нем около 20 расширений (плохо, что много -не спорю, но мне так удобно и не мешает) — нормально все работает, ютюб том числе (специально для него 2 расширения которые автоматом качество по максимуму устанавливают и позволяют смотреть видео в плавающем окошке..)
что я делаю не так?
Уважаемые разработчики Яндекс.Браузера, попробуйте покопать в другую сторону. Если пользователи скачивают сомнительные расширения, значит, им чего-то в браузере не хватает. Может быть надо предоставить им недостающие фичи и избавить от соблазна что-нибудь левое установить?
Я недавно поставил себе ваш браузер и могу сказать, чего не хватает мне.
Прежде всего раздражают звуки, которые издают самые разные сайты. Почему-то браузер, позиционирующий себя как очень безопасный, не позволяет ограничить доступ сайтов к оборудованию, в частности к устройствам воспроизведения звука. Может быть он и к микрофону доступ по умолчанию всем предоставляет? Чтобы выключить звук на странице, надо чтобы она начала что-нибудь воспроизводить. Оказывается, многие сайты издают короткие звуки, меньше секунды. За это время не успеваешь найти вкладку и кликнуть на mute. В результате, когда у меня открыто много вкладок, то постоянно что-то крякает, звякает или пикает. Когда я сидел в файерфоксе, я даже не догадывался об этой проблеме. Естественно, что у меня возникает желание скачать расширение типа «Permanent Mute without SMS».
В любом браузере сейчас есть возможность остановить анимацию гифок. Эта опция доступна или из коробки, или в виде расширения. Почему в Яндекс.Браузере этого нет? Читать текст, если рядом мелькает какая-то бессмысленная аватарка, неудобно. Вот и приходится гуглить «Stop GIF animation free».
Сильно ограничена функциональность управления паролями. Нет информации о времени создания и последнего использования пароля. Нет возможности добавить или изменить пароль. Не сохраняются пароли в некоторых онлайн-банкингах, не сохраняются пароли на серверах с самодельными сертификатами, что для работающих в IT особенно неприятно. В результате приходится даже для тестовых серверов держать открытым отдельный менеджер паролей. А кто-то решает эту проблему, устанавливая очередное расширение.
Я недавно поставил себе ваш браузер и могу сказать, чего не хватает мне.
Прежде всего раздражают звуки, которые издают самые разные сайты. Почему-то браузер, позиционирующий себя как очень безопасный, не позволяет ограничить доступ сайтов к оборудованию, в частности к устройствам воспроизведения звука. Может быть он и к микрофону доступ по умолчанию всем предоставляет? Чтобы выключить звук на странице, надо чтобы она начала что-нибудь воспроизводить. Оказывается, многие сайты издают короткие звуки, меньше секунды. За это время не успеваешь найти вкладку и кликнуть на mute. В результате, когда у меня открыто много вкладок, то постоянно что-то крякает, звякает или пикает. Когда я сидел в файерфоксе, я даже не догадывался об этой проблеме. Естественно, что у меня возникает желание скачать расширение типа «Permanent Mute without SMS».
В любом браузере сейчас есть возможность остановить анимацию гифок. Эта опция доступна или из коробки, или в виде расширения. Почему в Яндекс.Браузере этого нет? Читать текст, если рядом мелькает какая-то бессмысленная аватарка, неудобно. Вот и приходится гуглить «Stop GIF animation free».
Сильно ограничена функциональность управления паролями. Нет информации о времени создания и последнего использования пароля. Нет возможности добавить или изменить пароль. Не сохраняются пароли в некоторых онлайн-банкингах, не сохраняются пароли на серверах с самодельными сертификатами, что для работающих в IT особенно неприятно. В результате приходится даже для тестовых серверов держать открытым отдельный менеджер паролей. А кто-то решает эту проблему, устанавливая очередное расширение.
Мое мнение о Яндекс.Браузере после таких статей действительно улучшается. Один вопрос только. Есть довольно много компьютеров с виндой, которую я периодически привожу в порядок, в том числе, очищаю от всяких амиг, макафей и ненужных расширений. По укоренившейся привычке из браузеров оставляю хром и файерфокс. При следующем посещении на компе стоит амиго, макафи, 500 расширений и Яндекс.Браузер. Пользователи ничего не ставили. Откуда, черт возьми, он там берется?
Как насчёт ACL для расширений?
Как минимум, доступ к паролям, к списку табов/окон, применение расширения только на определённых сайтах.
Так же не помешал бы ACL для корневых сертификатов, так как я согласен, к примеру, ходить на госуслуги по https с отдельным доверенным CA, но не согласен ходить к другим сервисам (да хоть тому же яндексу), если показываемый мне сертификат выпущен CA госуслуг (к примеру).
Но, подозреваю, это будет чересчур…
Как минимум, доступ к паролям, к списку табов/окон, применение расширения только на определённых сайтах.
Так же не помешал бы ACL для корневых сертификатов, так как я согласен, к примеру, ходить на госуслуги по https с отдельным доверенным CA, но не согласен ходить к другим сервисам (да хоть тому же яндексу), если показываемый мне сертификат выпущен CA госуслуг (к примеру).
Но, подозреваю, это будет чересчур…
А разве сейчас всего этого нет? Расширения запрашивают разрешения на доступ к определенным возможностям и сайтам при установке. Но никто этого не читает.
Для работы с сайтами, которые поддерживают шифрование по ГОСТу, готовится решение с поддержкой такого шифрования. Конечно же, с защитой от применения такого сертификата на чужих сайтах.
Для работы с сайтами, которые поддерживают шифрование по ГОСТу, готовится решение с поддержкой такого шифрования. Конечно же, с защитой от применения такого сертификата на чужих сайтах.
Не знаю, как в я.браузере (давно не пробовал, если честно), а в том же хроме сии разрешения — уведомительные, а не разрешительные. То есть, невозможно сказать определённому уже установленному расширению работать только на определённых сайтах (список меняется по мере необходимости), если само оно под это не заточено.
В случае сертификатов — речь не про гост вообще, а про атаку MitM, когда на основе ключа доверенного CA создаются сертификаты для вообще всех сайтов.
Вот этого хотелось бы избежать путём ограничения области доверия для CA.
В случае сертификатов — речь не про гост вообще, а про атаку MitM, когда на основе ключа доверенного CA создаются сертификаты для вообще всех сайтов.
Вот этого хотелось бы избежать путём ограничения области доверия для CA.
А зачем доверенный СА вообще нужен, если сертификат можно просто в системное хранилище для всех сайтов добавить? Да и что это за доверенный СА, который позволяет подписывать сертификаты для митма? У нас есть вот такая штука: habrahabr.ru/company/yandex/blog/326796
Что касается расширений, то такая мера, к сожалению, будет работать только для опытных пользователей.
Что касается расширений, то такая мера, к сожалению, будет работать только для опытных пользователей.
Про доверенность сертификатов и MitM: habrahabr.ru/post/272207 — подозреваю, что на казахский аналог госуслуг без этого CA не зайти, а с ним — вполне себе MitM на всю страну.
Как минимум, я хотел бы знать, что сертификат сайта выдан не тем CA ДО ТОГО, как отправлю туда что-то важное. Независимо от того, поставлен он общесистемно или только в конкретном браузере.
То, что у вас есть такая штука — хорошо, но маловато…
Насчёт ACL расширений — да, это для опытных пользователей. Или тех, кто не настраивает браузер сам (при наличии сисадмина в организации — вполне решение для большинства пользователей).
Как минимум, я хотел бы знать, что сертификат сайта выдан не тем CA ДО ТОГО, как отправлю туда что-то важное. Независимо от того, поставлен он общесистемно или только в конкретном браузере.
То, что у вас есть такая штука — хорошо, но маловато…
Насчёт ACL расширений — да, это для опытных пользователей. Или тех, кто не настраивает браузер сам (при наличии сисадмина в организации — вполне решение для большинства пользователей).
В той новости сертификат как раз добавлялся вручную в системное хранилище. Все браузеры, кроме Яндекс.Браузера, после этого покажут зеленый замочек. Яндекс.Браузер покажет предупреждение и откроет замочек. Вроде же ровно то, что надо?
Почти. Тут надо бы для всех сайтов делать то, что вы делаете для важных (с галочкой «больше не спрашивать», не установленной по-умолчанию, отсутствующей на странице предупреждения). Ну и, с учётом скандалов подобных startssl, стоит выкидывать скомпрометированные CA из рассмотрения даже если они установлены в системе.
Так проблема-то глубже: браузер пытается защититься от зловредов, которые уже имеют доступ к файловой системе компьютера. Т.е. от атаки изнутри, а не снаружи.
Такому зловреду ACL — не помеха: он пропишет любые нужные права. И даже флажок поставит чтобы защитить ACL от модификации пользователем.
Такому зловреду ACL — не помеха: он пропишет любые нужные права. И даже флажок поставит чтобы защитить ACL от модификации пользователем.
Если зловред добрался до файловой системы на уровне «могу менять настройки браузера» — уже поздно что-либо делать в самом браузере.
Меня больше интересует превентивная защита от случая, когда дополнение после обновления внезапно оказалось небезопасным. Скажем, стала отсылаться небольшая статистика по заголовкам открытых вкладок :-)
Меня больше интересует превентивная защита от случая, когда дополнение после обновления внезапно оказалось небезопасным. Скажем, стала отсылаться небольшая статистика по заголовкам открытых вкладок :-)
Обожаю Яндекс-браузер! И десктопную и мобильную версии (пользуюсь Бета-версией). Кстати, сейчас эту страницу читаю именно с него.
Что касается проблемы, то она во многом — в «user.dll».
Ради эксперимента — установил на компе Win7 без антивируса, без файервола. Из браузеров — Яндекс, флешки открываю только через Total Commander (он не использует автозагрузки). На все неожиданные предложения «установить расширение» — отказываюсь, предпочитая закрыть браузер. Перед скачиванием приложения — проверяю адрес страницы (именно адрес). Если качаю самораспаковывающийся архив — меняю ему расширение на .RAR и смотрю/извлекаю содержимое — при помощи архиватора. Ну и обязательно — прислушиваюсь к советам от Яндекса, что тот или иной сайт может представлять угрозу…
Итог: за год — ни одного вируса (проверялся через Kaspersky Rescue Disk).
P.S. Извините, если что, за рекламу.
Что касается проблемы, то она во многом — в «user.dll».
Ради эксперимента — установил на компе Win7 без антивируса, без файервола. Из браузеров — Яндекс, флешки открываю только через Total Commander (он не использует автозагрузки). На все неожиданные предложения «установить расширение» — отказываюсь, предпочитая закрыть браузер. Перед скачиванием приложения — проверяю адрес страницы (именно адрес). Если качаю самораспаковывающийся архив — меняю ему расширение на .RAR и смотрю/извлекаю содержимое — при помощи архиватора. Ну и обязательно — прислушиваюсь к советам от Яндекса, что тот или иной сайт может представлять угрозу…
Итог: за год — ни одного вируса (проверялся через Kaspersky Rescue Disk).
P.S. Извините, если что, за рекламу.
Мне кажется, надо, чтобы в каком-нибудь браузере будущего широкому потребителю были доступны только платные расширения. А для программистов и просто гиков существовали ресурсы с отдельной особой сертификацией, по которой браузер будущего одобрит установку бесплатного расширения; для соответствующей сертификации ресурса понадобится код-ревью сообщества, обязательная (непростая) регистрация для доступа к контенту, закрытость от поисковиков контента.
Про браузер будущего у меня вообще куча идей. Бердяев на иконке, тулзы для ремарок на просмотренные ресурсы, для самоанализа (спрашивайте — расскажу), анализа времени, проведённого в сети (умный таймер), ограничение количества одновременно открытых вкладок — тремя (ограничить одной — это насилие над собой)… В общем, всё для воинствующего персонализма, хотя я сам это философское мировоззрение не вполне разделяю.
Если расширения будут платными — то контроль будет по всей строгости закона (хотя возникнет, конечно, проблема юрисдикций, которой дотоле не знал Интернет). Появляются вполне юридические определения «мошенничества», «злоупотребления доверием», появляется процедура преследования. Ошибочно думать, что расширить спектр применения финансового контроля и имущественного права в Интернете — это то же самое, что привлечь каких-нибудь депутатов к той работе, которую должна выполнять команда Яндекс. Институт денег и институт государства — прежде всего, различаются по вовлечённости общества.
Про браузер будущего у меня вообще куча идей. Бердяев на иконке, тулзы для ремарок на просмотренные ресурсы, для самоанализа (спрашивайте — расскажу), анализа времени, проведённого в сети (умный таймер), ограничение количества одновременно открытых вкладок — тремя (ограничить одной — это насилие над собой)… В общем, всё для воинствующего персонализма, хотя я сам это философское мировоззрение не вполне разделяю.
Если расширения будут платными — то контроль будет по всей строгости закона (хотя возникнет, конечно, проблема юрисдикций, которой дотоле не знал Интернет). Появляются вполне юридические определения «мошенничества», «злоупотребления доверием», появляется процедура преследования. Ошибочно думать, что расширить спектр применения финансового контроля и имущественного права в Интернете — это то же самое, что привлечь каких-нибудь депутатов к той работе, которую должна выполнять команда Яндекс. Институт денег и институт государства — прежде всего, различаются по вовлечённости общества.
анализа времени, проведённого в сети (умный таймер)Уже есть. Rescutime называется.
Для корректного логирования в Яндекс-Браузере опции расширения должны быть такими: i.imgur.com/oyGy0Pc.png
В настройках www.rescuetime.com/accounts/monitoring_options надо включичть игнор для самого приложения «Яндекс Браузер», иначе будет считать 2 раза. i.imgur.com/onHz2Wi.png
.
.
для самоанализа (спрашивайте — расскажу)Neradivy, расскажите, плз. Интересно.
I have a dream.
Мечтаю о консольном браузере Яндекс для linux. Можно надстройку над elinks
Чтобы работал так: пишешь в консоли ya <поисковый запрос>, получаешь ответ в виде списка ссылок с кратким описанием. Только вот не знаю, как реализовать деление на страницы, если вывода много.
Еще бы хотелось, чтобы были флаги:
ya -s — обычный поиск,
ya -i — поиск по изображениям,
ya -d — поиск по словарям,
ya -v — поиск по видео.
Может быть еще какие-то опции.
Мечтаю о консольном браузере Яндекс для linux. Можно надстройку над elinks
Чтобы работал так: пишешь в консоли ya <поисковый запрос>, получаешь ответ в виде списка ссылок с кратким описанием. Только вот не знаю, как реализовать деление на страницы, если вывода много.
Еще бы хотелось, чтобы были флаги:
ya -s — обычный поиск,
ya -i — поиск по изображениям,
ya -d — поиск по словарям,
ya -v — поиск по видео.
Может быть еще какие-то опции.
Возможно, вам понравится googler, который есть в репах части дистров линукса:
Блин, промахнулся, это для dcc0.
sudo apt-get install googler.Блин, промахнулся, это для dcc0.
Скажите, а почему некоторые гуглорасширения не устанавливаются в Я.Браузер?
Например, Plus for Trello (тайм-трекинг, отчёты, Scrum) — очень удобная надстройка для Trello, но при попытке поставить в Я.Браузер получаем это: i.imgur.com/tKiQb8v.png
Из-за такого приходится использовать 2 браузера, что не удобно.
Например, Plus for Trello (тайм-трекинг, отчёты, Scrum) — очень удобная надстройка для Trello, но при попытке поставить в Я.Браузер получаем это: i.imgur.com/tKiQb8v.png
Из-за такого приходится использовать 2 браузера, что не удобно.
Не все API поддерживаются.
Поясните, плз, причем тут api.
Все остальные расширения хром для trello, которые меняют его интерфейс или добавляют функций — работают, в том числе и те, которые логируют данные из trello на своём сервере (например, toggl, PomoDoneApp).
При чем здесь api (и api чего?) я понять не могу.
Все остальные расширения хром для trello, которые меняют его интерфейс или добавляют функций — работают, в том числе и те, которые логируют данные из trello на своём сервере (например, toggl, PomoDoneApp).
При чем здесь api (и api чего?) я понять не могу.
Связался с разработчиком этого расширения. Его ответ:
Скрытой настройки browser://flags/ про web sql я не нашел.
Что-то ещё можно сделать? Или только ждать, когда ЯБ включит поддержку web sql?
Dear user, sorry, currently we cannot yet support Yandex. We would love to, however we use web sql, which is not supported in yandex.
Скрытой настройки browser://flags/ про web sql я не нашел.
Что-то ещё можно сделать? Или только ждать, когда ЯБ включит поддержку web sql?
BarakAdama, для удобного управления расширениями я использую менеджер расширений «SimpleExtManager» chrome.google.com/webstore/detail/simpleextmanager/kniehgiejgnnpgojkdhhjbgbllnfkfdk
Но при отключении любого расширения через эту программу (или аналогичную, пробовал) выскакивает окно предупреждения: i.imgur.com/awhB1IH.png
Как отключить это предупреждение? Оно не нужно и только раздражает.
В browser://flags/ найти такую опцию не смог.
Но при отключении любого расширения через эту программу (или аналогичную, пробовал) выскакивает окно предупреждения: i.imgur.com/awhB1IH.png
Как отключить это предупреждение? Оно не нужно и только раздражает.
В browser://flags/ найти такую опцию не смог.
Это окно и добавили в целях безопасности. Потому что появились расширения, которые тайно удаляют другие расширения своих конкурентов.
Это я понимаю. Но я сам слежу за своей безопасностью в сети.
Как отключить это окно?
Как отключить это окно?
Никак. Иначе бы его отключили не только вы, но и злоумышленники.
Злоумышленники с полным доступом к компу и так могут отключить что угодно. А если доступ ограничен браузерной песочницей, то можно сделать так, чтобы из неё его отключить было нельзя, а явно по желанию пользователя — можно.
«Явное желание пользователя» легко имитируется.
Если речь идёт про внешнюю программу, которая шлёт клики по нужным кнопкам через winapi, то у такой программы будут возможности куда шире, чем вышеуказанные мелкие шалости. Если речь про имитацию из js на сайтах — то это дыра в браузере получается.
Имитация со стороны локальной программы, конечно же. Они это практикуют для отключения защиты Protect, чтобы открывать в браузере мошеннические сайты. Именно поэтому, к примеру, после отключения защиты мы всегда показываем предложение включить её обратно – мы просто не знаем, отключил ли пользователь её сам, или за него это сделали другие.
Предположим некто Джим в какой-то социалке разместил фото красивейшего заката на каких-нибудь островах в океане. Также представим, что некоему Джону это фото ну очень понравилась и он репостнул его у себя в ленте.
Вдруг выясняется, что внутри этого фото с помощью стеганографии скрыто еще одно, например с детским порно.
Вопрос:
Можно ли в этом случае предъявить Джиму и Джону обвинения в распространении детского порно, при условии, что они оба настаивают на том, что не знали о том, что внутри фото с закатом было еще что-то?
Вдруг выясняется, что внутри этого фото с помощью стеганографии скрыто еще одно, например с детским порно.
Вопрос:
Можно ли в этом случае предъявить Джиму и Джону обвинения в распространении детского порно, при условии, что они оба настаивают на том, что не знали о том, что внутри фото с закатом было еще что-то?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Эволюция вредоносных расширений: от любительских поделок до стеганографии. Опыт команды Яндекс.Браузера