Всем привет. Изучая код своей программы, я пришел к выводу, что в ней не просто есть программные опции, а целые технологии. Такие технологии, которых еще нет нигде. Одна из этих технологий называется DoubleDomain. О ней расскажу по подробней…

Долго ли коротко ли, а таки прошли мы большую дорогу от желания возродить известную русскую сборку K-Meleon Pro до собственно ее выхода.

На самом деле Pro-сборка вышла еще в августе, но все не было времени написать о ней, да и подвыловили мы блох за прошедшее время. Сегодня сборка была повторно опубликована со всеми новейшими добавками и фиксами, и можно с чистой совестью написать о ней статейку.

Браузерные расширения в последнее время, к сожалению, всё чаще используются не для того, чтобы приносить пользу, а как инструмент мошенников. Сегодня мы хотим поделиться с вами нашим опытом борьбы с вредоносными разработками, рассказать о мерах и технологиях, которые защищают пользователей Яндекс.Браузера.



Весной 2014 года поддержка Яндекс.Браузера обратила внимание на стремительно растущее число обращений от пользователей, в которых говорилось о «заражении браузера вирусом» и агрессивной рекламе, всплывающей на посещаемых сайтах. Наиболее распространенным симптомом была подмена или добавление новых рекламных блоков на популярных в Рунете сайтах (ВКонтакте, Яндекс, ...). При этом разработчики вредоносных расширений не утруждали себя заботой о пользователях и не брезговали откровенно мошеннической или шок-рекламой. Встречались и другие проявления. Например, автоматическое открытие вкладки с определенным сайтом, подмена поиска по умолчанию или даже воровство данных.

В определенный момент количество таких обращений стало достигать 30% от всех сообщений в поддержку. Наблюдения поддержки также подтверждались статистикой основных причин удаления нашего браузера (при удалении пользователям предлагается описать причину). Многие люди искренне считали, что это наша команда решила таким вот способом монетизировать браузер. За короткий период времени количество удалений Яндекс.Браузера, связанных с деятельностью сторонних вредоносных разработок, удвоилось. Нужно было срочно вмешаться и начать работать над этой проблемой.

Ранее я уже писал об Информере Вконтакте — браузерном расширении для быстрого прочтения и ответа на сообщение. В процессе создания столкнулся с проблемой — смайлы в сообщениях, а именно: как их отобразить?

Итак, свершилось: наш любимый браузер выпущен в финальном варианте 75-й версии.

Полгода работы над этим весьма масштабным шагом в развитии продукта завершились выпуском сборки, которую один из старых и весьма продвинутых пользователей уже успел назвать самым стабильным ядром из всех сборок последнего времени.

Собственно, каким и должен быть релиз.

Полный список, новшеств, впрочем, выглядит одновременно и весьма внушительным, и относительно скромным.

Введение

Сервис создавался как система уведомлений для пользователей с любого сайта, который интегрировал PushAll API.
Однако не со всеми можно договориться, гиганты вообще не будут обращать долгое время внимание. При этом на данный момент большая часть пользователей, получает именно новостные уведомления с сайтов, а не личные. По этому поводу мне недавно посоветовали интегрировать RSS-рассылки. То есть по факту PushAll становится эдаким RSS-агрегатором, при этом на самом деле обычные пользователи чаще всего не нуждаются в привычных агрегаторах лент — они заходят на сайты самостоятельно и читают новости уже на них.



В этом плане PushAll пошел по своему пути — он не собирает все ленты в одну. Он лишь берет ленту, связывает её с каналов и делает рассылку с учетом фильтра. То есть пользователь заинтересованный в статьях и новостях определенных тематик получит сразу об этом уведомление. Менее полезную информацию он может прочесть потом самостоятельно.

При этом пользователю не обязательно быть администратором сайта, он может быть его читателем и создать специальный канал. В дальнейшем, если правообладатель захочет получить административный доступ к каналу, ему нужно будет обратиться в службу поддержки и предоставить доказательства правообладания. В этом случае, канал будет полностью перенесен к истинному владельцу.

Многим хорош сервис поиска вакансий hh.ru, но ищущий всегда найдёт, что усовершенствовать. К примеру, на сервисе есть поле для заполнения письма — ответа на вакансию, но нет элементарного шаблона оформления письма — заголовок, кратко о себе, ответы на требования по вакансии.

Если нет — надо сделать. Ведь специалист по JS не будет многократно заниматься Copy-Paste-операциями, когда знает, что их можно автоматизировать, даже не обременяя просьбами службы сайта. Есть такие инструменты, как пользовательские скрипты.

UPD 12.1.2016: Скрипт расширен на сайты career.ru (клон HH с той же клиентской базой), itmozg.ru, superjob.ru.

Вначале, конечно, пришлось покопировать, пока не выявились закономерности и не получился юзерскрипт hhFiller. Шаблон отклика, на мой взгляд, должен содержать:
1. Заголовок-приветствие. После него пойдёт сразу рукописный текст, живой ответ на вакансию в 2-3 или более строчек.

4 дня назад администратор борды 8chan (доска /beast/ которой заблокирована в России) сообщил о DDoS-атаке на сайт, которая выглядела как стократный приток обычных посетителей. Самое большое увеличение нагрузки получил скрипт для постинга post.php (капчи на борде не было); DDoS привел к падению PHP-FPM, под которым выполнялся скрипт. В ходе исследования трафика выяснилось, что для совершения атаки были использованы каналы пользователей с Hola — популярным браузерным расширением для доступа к заблокированным сайтам, пользующееся популярностью как за рубежом, так и в России.

Пользователи расширения, сами того не зная, отдавали свои интернет-каналы дочерней фирме Luminati, которая, по сути, владела более 9 миллионами уникальных выходных нод, за счет расширения и каналов пользователей. Зарабатывают они, судя по всему, очень неплохо: первые 100 гигабайт трафика обходятся клиентам в $20 за гигабайт.

В FAQ проекта не было никаких упоминаний об использовании каналов пользователей, однако в Hola быстро добавили несколько пунктов на этот счет. Теперь, если вы не хотите отдавать свой канал Limunati, вам придется заплатить $5 в месяц.
Архивная версия FAQ
Текущая версия FAQ

После опубликования данной информации администратором 8chan, группа ребят нашла 4 уязвимости в данном расширении:

• Чтение произвольных файлов до NULL-байта (/file_read.json)
• Раскрытие уникального идентификатора пользователя (/callback.json)
• Раскрытие адресов некоторых функций (/procinfo/ps, для последующего обхода ASLR)
• Удаленное выполнение кода (/vlc_mv.json и /vlc_start.json)
• Повышение привилегий до SYSTEM под Windows

Веб-версия Facebook Messenger по умолчанию отдает информацию о местоположении вместе с сообщением. Студент Гарвардского колледжа Аран Ханна, который с июня будет работать интерном в Facebook нашел этому оригинальное применение. Он обнаружил, что может получить данные не только о перемещениях друзей, с которыми общается, но и о людях, которые пишут в общие с ним чаты.

Хорошая новость для тех, кому нравился модуль заметок в классической Opera (<=12) — теперь аналогичную функциональность можно добавить и в новую Opera (пока только Beta и Developer).

Основная идея

PushAll предоставляет платформу для рассылки мгновенных уведомлений в браузер пользователя или в его мобильное устройство, что позволяет ему получать отфильтрованную свежую информацию из интересующих его источников. Интерфейс сайта позволяет пользователю подписаться на новый канал всего в 2 клика, а унифицированное приложение дает возможность получать уведомления с множества источников. Это куда проще, чем скачивать для каждого сайта отдельное приложение. Вместе с этим компании и разработчики могут экономить время и деньги на разработке и поддержке своего приложения.

Сама система позволяет легко подписываться и отписываться от тех или иных каналов. Что исключает возможность внезапного спама, как это происходит в случае с такими методами уведомлений как SMS и E-mail.

Продолжая тему обзора расширений, рассмотрим следующее.
При входе на сайт Kinogo начал возникать баннер:



Мне стало интересно что это за расширение и решил просмотреть код.

Всем привет. Похоже что ребятки из отдела рекламы Гугла совместно с разработчиками их браузера (выяснилось что версия браузера не причём — если загружается именно реклама Adidas с видео — то скроллинг происходит в любом браузере) «слегка совсем» оборзели. Ситуация следующая:
Сайт спортивной тематики, вставлена реклама от Google в один из блоков.
Там вот, в него попадает видео с рекламой ADIDAS (они выпустили новый ролик). Чуть ниже — скриншот этой гадости, а не сама реклама.



И всё-бы было ничего, однако примерно через 15 секунд после отображения страницы со встроенной рекламой — страница перескакивает так, чтобы прямо по центру была реклама именно Гугла.

Давайте подумаем о том, для каких сайтов или соцсетей было бы полезно организовать кросс-публикацию своих (или размножение чужих, строго в рамках приличия, конечно) статей. Кросс-публикация — это генерация исходного образца статьи в форматах, подходящих для публикации на двух или нескольких не связанных между собой ресурсах.

Это востребовано довольно часто по разным причинам: защита публикации от недоступности к прочтению на одном-двух ресурсах (из-за поломки сервера, бана администрацией или периода модерации), для повышения популярности своей публикации за счёт массовости (спама, но, конечно, добросовестно-дилетантского; о недобросовестном — чуть ниже), для экономии времени публикации, для сбора своих статей на каком-либо одном авторском ресурсе. Большой плюс будет и в том, что базу исходных образцов статей легко будет хранить в виде архива в копиях и восстановить при необходимости прочтения или повторных публикаций, даже если исчезли все другие прежние копии.

Несомненно, это нужно для каждого ресурса вообще, но никто (или почти никто) этим не «заморачивается», потому что чаще всего вопрос решается методом «как вывезет» — или автор хранит тексты статей в архиве, или надеется на проверенную надёжность места публикации (сайт, не предвещающий годами своего краха, Google Wave или что-нибудь попроще и малоизвестнее). Часто и сами статьи теряют актуальность. В любом случае, текстов в любом оформлении и картинок к ним в архиве бывает достаточно, чтобы вопросом дублирования публикаций не задаваться.

В статье приведен пример разбора вредоносного браузерного расширения из Chrome Web Store — «Убрать рекламу (HET Рекламе)».

В этой статье — небольшая мотивационная часть и рабочий сценарий, как полноценно жить в сети без Flash-плагина

Сценарий будет состоять из трёх рецептов:

• Рецепт для сайтов, замечающих Flash через feature detection.
• Рецепт для сайтов, которые обращают внимание на User agent.
• Рецепт для сайтов, которые просто всегда дают Flash.
• + Запасной вариант на случай, если Flash понадобится.

Советы будут снабжаться примерами для Safari и Firefox.
Если вы полностью довольны Flash, не беспокоитесь и не планируете от него отказываться — это практическое руководство вам будет не интересно

Когда-то захотел установить в свой браузер максимально простое расширение, чтобы видеть счетчик о новых сообщениях, заявках в друзья и т.д. Поиск ничего не дал. Максимально приближенным вариантом был VKfox, но тогда он мне показался крайне тяжелым и навороченным. Также нашел один интересный вариант для Opera 11. Но у меня был другой браузер. И тогда я решил написать такое расширение самостоятельно.

Ну что ж, после довольно долгого вступления и представления браузера поговорим о современном состоянии дел с ним.

На сегодня K-Meleon находится на пороге релиза 75, построенного на 31-м ESR-движке. Несмотря на быстрое «принудительное устаревание» браузеров, 75-й полноценно актуален. Самой важной задачей разработчика, Дориана, пожалуй, стали относительно масштабные изменения в оригинальном функционале КМ, а также дальнейшая адаптация движка Мозиллы, которая рада задать проблем каждому, кто посмеет вторгнуться на ее территорию.

Несмотря на долгие усилия, даже 2-й релиз-кандидат не свободен от некоторых неприятных багов, но очень много возникших проблем счастливо решены. При этом в браузер добавлен довольно приличный объем значимого функционала.

Если кратко, то под катом вас ждет описание альтернативных жестов в картинках, шпаргалка по запоминанию первых 29 жестов, сравнение популярных расширений по управлению жестами мыши, готовые настройки для импорта новых жестов, небольшой список известных расширений и утилит, которые делают серфинг в сети быстрее и приятней. Теперь обо всем по порядку…

Итак, поговорим о главном: зачем вообще нужен K-Meleon в наше время, когда вокруг стотыщ разных браузеров?

Зачем? Кому? Для чего?

Первый ответ, который обычно дают на этот вопрос – тем, у кого low-end или старые компьютеры. И это логично: на всех не новых системах КМ не один год имеет заслуженную репутацию ведущего полнофункционального легковеса.
Отчасти вынужденное отставание от «передовой» фронта разработки топ-браузеров КМ фактически обратил в свое преимущество как нишевого браузера для «олдтаймеров». Так на все еще довольно многочисленных компьютерах эры P4, доживающих свой век в сени WinXP, а то и Win2k, K-Meleon – едва ли не единственный современный браузер, позволяющий работать без зверских тормозов и ограничений.