company_banner

От черного списка до машинного обучения. Антифишинг в Яндекс.Браузере

    Злоумышленники, специализирующиеся на воровстве паролей, номеров банковских карт и прочей личной информации, появились еще в прошлом веке и с тех пор их число только растет. Согласно отчету Лаборатории Касперского, от 9% до 13% их пользователей в России сталкиваются с фишингом. Ежегодно в мире фишинг и другие формы кражи личных данных наносят ущерб в $5 млрд, согласно оценкам Microsoft. Это в целом соответствует нашим наблюдениям и объясняет, почему в любом более-менее популярном браузере есть защита от фишинга, основанная на «черных списках». В Яндекс.Браузере она тоже есть. Казалось бы, зачем изобретать что-то еще?



    Safe Browsing


    Самое очевидное решение для защиты пользователей – это использование готовой базы со списком фишинг-сайтов. Проверяем по «черному списку» посещаемые страницы и предупреждаем, если нашлось совпадение. На этой идее и основана защита с использованием технологии Safe Browsing, которая работает в Яндекс.Браузере с момента его появления.

    Немного о том, как это работает. В Браузере регулярно обновляется список плохих сайтов весом в несколько мегабайт. На самом деле опасных сайтов очень много, а степень сжатия ограничена, поэтому вместо явных адресов локально храним лишь префиксы (т.е. начальная часть) их хэшей. Посещаемые сайты проверяем по локальной базе. Если нашли совпадение, то префикс отправляем на сервер, в ответ получаем полные хэши, перепроверяем, если и здесь совпадение, то показываем предупреждение. Цепочка выглядит длинной, но работает за доли секунды, не плодит запросы и, что наиболее важно, защищает пользователя.


    Списки Safe Browsing пополняются с помощью поисковых и антивирусных технологий Яндекса, детали которых раскрывать по понятным причинам не стоит. Однако сторонние разработчики тоже могут воспользоваться результатами в своих продуктах (в том числе в браузерах) с помощью нашего Safe Browsing API.

    Защита с помощью списков плохих сайтов (будь то Safe Browsing Яндекса, Гугла или другие аналоги) долгое время была единственным применяемым способом в браузерной индустрии. Проблема в том, что современные фишеры уже не такие медленные, как раньше. Создание сайтов-подделок, их публикация, рассылка спама через социальные сети – все это уже давно автоматизировано. Пока новая фишинг-страница дойдет до полной базы, а затем до легкой локальной она вполне может успеть кому-то навредить. Нам нужно было научиться бороться с проблемой в условиях отсутствия точных знаний.

    Защита паролей


    Злоумышленники с помощью фишинга активно воруют пароли от банков, платежных систем, социальных сетей и даже админок управления сервером. Как их защитить, если браузер еще не знает, хороший или плохой сайт открыт в нем? Предупреждать при каждом вводе пароля и просить убедиться, что это именно тот самый сайт? Это не просто навязчиво, но и бесполезно в перспективе. Если пользователь 100 раз подтвердит, что перед ним настоящий сайт Сбербанка, а не поддельный, то на 101 раз он просто не станет проверять сайт, который по закону подлости обязательно окажется мошенническим.

    К слову, есть распространенное заблуждение, что двухфакторная авторизация на банковских сайтах спасет от кражи денег, даже если человек попался на фишинг. Спасет, конечно, но далеко не всегда. В нашей практике мы сталкивались с примерами опасных сайтов, которые после ввода логина и пароля умели инициировать отправку СМС настоящим банком. Код из СМС пользователь вводил на уже открытой фишинг-странице, и злоумышленники использовали его, получая полный доступ к личному кабинету. Но мы отвлеклись.

    Изначально идея была достаточно проста. Нужно присматривать за паролями, уже сохраненными в браузере. Если пользователь вводит пароль на сайте, который явно не совпадает с сайтом из менеджера паролей в браузере, то нужно его остановить и предупредить. Проблема в том, что встроенным менеджером паролей пользуются далеко не все. Даже простые пользователи, которые никогда не слышали о LastPass, KeePass или 1Password, не спешат сохранять свои пароли, нередко предпочитая вводить их по памяти или из блокнота (бумажного, а не из Windows). Причем именно эта категория пользователей наиболее уязвима перед фишингом, а значит, такое простое решение не подходило.

    Использовать уже сохраненные пароли не было смысла, но вместо отказа от всей идеи мы научили Браузер самостоятельно запоминать хэши вводимых паролей. Почему хэши? Потому что их вполне достаточно для сравнения паролей, к тому же хранить хэши все же безопаснее. Конечно же, мы дали опцию отключить функцию для тех, кто и хэшам не доверяет. Итак, если пользователь хотя бы раз вошел, например, на настоящий Альфа-Банк, то Браузер предупреждал его при попытке ввода пароля на фишинговых копиях. Казалось бы, можно было идти пить шампанское, но не все так просто.


    Память пользователей не подчиняется закону Мура, поэтому многие предпочитают придумать один пароль на все сайты. Это ужасно с точки зрения безопасности, но такова реальность. Если бы мы включили защиту паролей на всех пользователей для всех сайтов, то изобрели бы не только хорошую защиту от фишинга, но и отличный способ распугать аудиторию. Поэтому по умолчанию защита была включена только для наиболее популярных среди мошенников сайтов. Для любого другого ее можно включить вручную.

    Эта функция была внедрена примерно год назад, и все это время она не только защищает от фишинга, но и привлекает внимание людей к теме безопасности паролей. Вот только пароли – это не единственный вид конфиденциальных данных, которые любят воровать.

    Защита карт


    Чтобы украсть деньги, не обязательно воровать пароли от онлайн-банков и продумывать логику с обходом двухфакторной авторизации. Можно просто выкрасть данные банковской карты. Про необязательный 3-D Secure вспоминать тоже не стоит – пользователь и CVV-код не забудет ввести на фишинг-странице. После кражи данных карты остается только придумать, как забрать оттуда деньги. Способы бывают разные. Например, кто-то продает туристам билеты с 50% скидкой, по факту покупая их с украденной карты по полной стоимости. С переменным успехом подобные операции удается вовремя оспорить через свой банк, но лучше до этого не доводить и защищать данные своей банковской карты.

    В отличие от защиты паролей, где можно было однозначно контролировать пары «пароль-сайт», банковские карты могут использоваться где угодно. Мы можем контролировать крупные площадки, но длинный хвост онлайн-магазинов все равно не покроем. Да и что вообще значит «контролировать»? Не давать вводить номер карты? Если предупреждать, то о чем? Осознав, что вряд ли на уровне Браузера можно сделать однозначный вывод о плохих намерениях сайта, мы взглянули на ситуацию под другим углом – с точки зрения шифрования.

    Наличие SSL-сертификата – обязательное условие для любого сайта, который работает с конфиденциальными данными пользователей, в особенности с банковскими данными. Если ресурс просит ввести номер карты, но не поддерживает защиту и работает по HTTP, то тут возможны сразу две разные проблемы. Во-первых, ваши данные кто-то может перехватить по пути из открытого трафика. Например, через незащищенную Wi-Fi точку в кафе. Во-вторых, владелец такого ресурса как минимум не заботится о безопасности своих посетителей, а, возможно, просто ворует данные. В любом случае, вводить номер карты на таком сайте не стоит. Если проблему с перехватом мы еще как-то решаем с помощью функции защиты Wi-Fi, то от мошенника шифрование канала никак не спасет. Точнее спасет данные от мошенников-перехватчиков и доставит их в целостности мошенникам-фишерам. И вот здесь нужно было что-то делать.

    Итак, мы локализовали проблему. Если пользователь заходит на HTTP-сайт, который просит ввести номер банковской карты, то это повод предупредить. Но чтобы показать сообщение, нужно для начала распознать ввод карты. Специальный банковский тип тега input еще никто не придумал, а относительно свежий атрибут для браузерного автозаполнения autocomplete=cc-number мало кто использует. Команда Chromium, конечно, не бросает идею научить браузер самостоятельно подставлять номера карт и даже внедряет эвристику, которая угадывает по названиям полей и некоторым другим данным, но работает это не везде. В общем, анализ полей ввода – не вариант. Но зато мы можем ловить ввод цифр. Например, если пользователь ввел 16 цифр, то можно предположить, что это банковская карта. Проблема в том, что это не всегда так. К счастью, существует алгоритм Луна.

    Думаю, многие знают, что последняя цифра в номере карты нужна для проверки корректности всего номера. А саму проверку можно легко провести с помощью алгоритма Луна. Он достаточно простой. В каждой паре цифр номера карты первое число умножаем на 2. Если после умножения число становится больше 9, то нужно сложить составные цифры. А затем все сложить. Если итоговая сумма кратна 10, то перед нами номер банковской карты. С вероятностью ошибки в 10%.


    Алгоритм Луна снижает вероятность ложного срабатывания в разы. Но существует дешевый способ снизить ошибку еще немного – контролировать первые цифры в номере. Именно в начале номера закодирована платежная система, поддерживающая карту. Если в начале стоит цифра 4, то это VISA. Что-то из диапазона 51-55 – это MasterCard. 34-37 – это American Express. Аналогично для некоторых других систем. Вероятность ошибки, конечно же, всегда остается, но уже на допустимом уровне.

    Мы научили Браузер распознавать ввод определенного количества цифр (от 15 до 19), проверять их по алгоритму Луна и на соответствие кодам известных платежных систем. И все это работает полностью локально – номер карты Браузер никуда не отправляет и не хранит. Если все условия выполняются, то пользователь видит такое предупреждение:


    Подобное же сообщение мы показываем и для ряда других опасных ситуаций. Например, если сам сайт защищен HTTPS, но ввод номера происходит в HTTP-фрейме. Или если сертификат сайта не валиден.

    Существуют ситуации, для которых в силу широкой распространенности и относительной безопасности не стоит показывать предупреждение, но дать возможностям пользователям разобраться все же надо. Например, если форма ввода номера карты находится во фрейме на другом домене (и сайт, и фрейм при этом HTTPS). Это встречается сплошь и рядом, потому что онлайн-магазинов много, но далеко не все из них способны проработать собственный модуль оплаты, предпочитая встраивать фреймы популярных платежных систем. Или другой пример. Сайт не использует шифрование, но карту принимает через HTTPS-фрейм на своем же домене. Для таких ситуаций Браузер не показывает предупреждение, но добавляет в адресную строку значок карты. Если кликнуть по нему, то можно узнать, кому именно вы доверяете свои данные.


    Вся наша вышеописанная защита вертится вокруг наличия SSL-сертификата. Это обоснованно, потому что пользователи в массе своей еще не привыкли обращать внимание на замочек в адресной строке, и у фишеров нет мотивации использовать сертификаты. Но постепенно все меняется. Установить бесплатный сертификат от того же Let's Encrypt уже не проблема. А значит, рано или поздно мы вновь вернемся к ситуации, когда защищать как-то надо, но данных на клиенте недостаточно. И чтобы не проиграть фишинг-сайтам в будущем, готовиться мы начали уже сейчас.

    Машинное обучение


    Любой сайт в интернете обладает совокупностью характеристик, по которым его можно оценить. Например, размер аудитории, время жизни, наличие SSL-сертификата, его надежность или даже уникальность адреса (фишеры любят использовать максимально схожие адреса). И наше с вами доверие к тому или иному сайту во многом определяется именно ими. Опытный пользователь, глядя на неизвестный сайт, может для себя решить, вызывает ли эта площадка доверие. С компьютером все сложнее. Задача определения «подозрительности» сложно поддается формализации и не укладывается в простые алгоритмы. Понятно, что грубая ошибка в HTTPS — это сильный критерий, но я говорю о куда более неочевидных случаях. И здесь без машинного обучения уже не обойтись.

    Яндекс применяет машинное обучение не первый год. Наши технологии используются не только внутри компании (Поиск, Музыка, Маркет, Дзен), но и доступны для внешних заказчиков через Yandex Data Factory. Именно машинное обучение позволяет компьютеру демонстрировать поведение, которое в него не было явно заложено. И для нашей задачи – предупреждать пользователей при оплате на подозрительных сайтах – подходит идеально.

    Чтобы обучить машину искать подозрительные сайты, мы должны показать ей примеры заведомо плохих сайтов. С этим у нас нет проблем – спасибо технологии Safe Browsing. С другой стороны, мы указываем ей уже упомянутые выше характеристики (факторы), на которые стоит обращать внимание. А уже дальше наш метод машинного обучения Матрикснет учится выводить закономерности и строить формулы, которым можно было бы скормить адрес сайта, а на выходе получить вердикт. Максимально упрощенно это выглядит так:


    Среди всех факторов один хотелось бы выделить особенно. Обычные пользователи, которые чаще других становятся жертвами фишинга, ориентируются в первую очередь на внешний вид сайта и далеко не всегда смотрят на его адрес, замочек и прочие детали. Злоумышленники этим и пользуются. Отличительная черта большинства фишинг-сайтов – это копирование оформления популярных ресурсов. Поэтому с помощью технологии компьютерного зрения мы научили машину сравнивать внешний вид страниц с образцами популярных сайтов. Если она находит совпадение, то это сильный сигнал о возможной угрозе.

    Результаты работы машинного обучения и компьютерного зрения доступны пользователям Яндекс.Браузера, начиная с версии 16.9.1. Если пользователь вводит на сайте номер карты, то на сервер уходит запрос с указанием страницы. Если есть риск, то пользователь видит предупреждение.


    Может показаться странным, что мы показываем именно предупреждение и только в ответ на ввод карты, а не используем сразу при загрузке полноэкранную блокировку. Причина в том, что машина обучается выявлять сайты, на которых есть риск потери денег, и блокировать доступ ко всей информации было бы неправильно. К тому же вероятность ложноположительных вердиктов никогда не равна нулю.

    Если вы дочитали до конца, то уже знаете, что с фишингом можно (и нужно) бороться с помощью совершенно разных технологий. К сожалению, далеко не все зависит только от них. Знания и опыт самих пользователей во многом определяют их уязвимость перед злоумышленниками. Но мы верим, что если привлекать внимание к проблеме, рассказывать об угрозах на уровне предупреждений, объяснять средствами Браузера, почему важно использовать разные пароли и не стоит вводить номера карт на сайтах без шифрования, то в конечном счете люди начнут с большей осторожностью относиться к своей работе в сети.
    Яндекс 511,77
    Как мы делаем Яндекс
    Поделиться публикацией
    Комментарии 46
    • –15
      А никакой проблемы и нет, сейчас многие разрабатывают всё с использованием js и предлагают его везде включать, как и ваши сервисы. Собственно от этого они и представляют опасность… У вас к стати в каждом сервисе встречаются баги угрожающей безопасности… А на счёт фишинга, почему бы такой компании как яндекс не исключать из поисковый выдачи такие страницы, и не блокировать их с помощью роскомнадзора к примеру…
      п.с. Я лично от компании такой как Яндекс жду што то более уникальное а не просто копирование google и попыткам поджать под себя интернет, посредством разработки кучи второсортных сервисов…
      • +7
        У Яндекса есть программа вознаграждений для исследователей безопасности. Если Вы нашли такой баг, то приглашаю https://yandex.ru/bugbounty/.

        Что касается поиска, то информация о фишинга уже давно там используется. Но фишинг живет не за счет поиска, а за счет спама в социальных сетях, письмах.
        • –5
          Ваша программа работает не эффективно как минимум от того что нет открытого баг трекера, в последний раз когда я писал о баге, мне пришёл ответ что о нём известно уже, и фикс этого бага продолжался аж полгода, и да это критическая уязвимость была, активная xss… После этого нет никакого желания писать вам. И дело не в деньгах, дело в том что вы позиционируете себя как крупная нацеленная на безопасность компания везде об этом говорите, но на деле получается что то подобное тяп ляп и готово…
          • 0
            А почему не опубликовать уязвимость? Вы соглашениями не связаны.
            • –4
              Есть понятие этики…
              • +1
                Сами же жалуетесь, что никто не оценит.
        • +1
          Фишинг без JS, конечно же, был бы невозможен.
          Я, например, не знаю почему, но был бы невозможен.

          з.ы. а что до исключения — это хорошо, но канал-то не единственный (да и есть другие поисковики. Хоть и сомнительно, что их юзает большая доля пользователей этого бразуера).
          • –1
            Тут имеется ввиду старая добрая страничка, с похожим адрессом и какой то формой оплаты авторизации и т.д. и т.п.
        • 0
          Уважаемая компания Яндекс, я пользуюсь браузером Firefox и не собираюсь менять его на что то другое. Но меня печалит реклама Вашего браузера, которая вываливается мне КАЖДЫЙ РАЗ. Вероятно мне стоит сменить поисковый сервис…
          • +1
            Крестик или другой явный отказ не запоминает? Пришлите, пожалуйста, пример такого поведения в личку. Коллеги посмотрят, почему так.
            • 0
              Я даже запрос в ваш саппорт оставлял, все кончилось ничем. Сначала вроде пропало, но потом снова начало спамить «Установите!».
              И стоит только сделать Shift-Ctrl-Del как все снова.
              • 0
                Подобное бывает когда с телефона Новости смотришь, точнее их новостной агрегатор. На каждой странице, тоже на тему «Установи Яндекс-браузер на Android». Причем делаешь ты отчистку истории или нет, без разницы. Крестик так называемый нажал, все равно сообщение с просьбой установить сново получшишь
                • 0
                  Не, вот как раз на телефон Яндекс.Браузер у меня зашел. Я только сейчас воюю с их саппортом на тему «Какого хрена он на каждый OnResume пытается мое местоположение получить?». А саппорт отвечает «Спасибо за описание, разработчики попробуют найти проблему». Ага. «проблему». Первый раз вижу, чтобы asDesigned-фичу называли «проблемой».
                • +1
                  Уточню на всякий случай. Реклама возвращалась после Shift-Ctrl-Del (что логично) или и без очистки кэшей и куков?
                • –2
                  Нет не запоминает и никогда не запомнит, потому что принцип там другой, стоит обновить страничку и снова видеться, то что вовсе видеть не хочется…
                  ub9obe я тоже пользуюсь Лисой и навязчивый сервис от Яндекс честно говоря задрал, рекомендую использовать Adblock, подписка Bitblock, и все контентно-рекламный Яндекс-мусор больше не беспокоит.
                  • +1
                    Реклама возвращается при включенном Адблокере (это логично, потому что адблокер режет запросы, которые используются для определения пользователя)? Или и при выключенном?
                    • 0
                      У меня тоже так бывает, сообщение это вылезает. Адблокер включен, да. Но я при этом еще и в яндекс аккаунт залогинен, т.е. по-хорошему меня уже определили.
                      • 0
                        Реклама уже не беспокоит, одного Адблока не достаточно необходимо использовать дополнительные подписки.
                        И да, я был залогинен в почту то Яндекса когда реклама возвращалась.
                    • НЛО прилетело и опубликовало эту надпись здесь
                      • 0
                        > Хотя бы потому, что предпочитаю оригинал, а не ремейк
                        Ну эта фраза тут неуместна — иначе бы у вас был бы KHTML(на основе которого был сделан вебкит для сафари, на основе которого был сделан хромиум, на основе которого были сделаны Гугл Хром и Я.Браузер)
                        • НЛО прилетело и опубликовало эту надпись здесь
                    • 0
                      Скорее всего у Вас какая-то резалка куков, вот и не запоминает.
                    • 0
                      По-моему, такая проблема решается куда проще на стороне пользователя.
                      Разве не для этого придуманы виртуальные карты?
                      Заводим виртуальную карту, и при каждой покупке переводим с основной карты на виртуальную необходимую для оплаты товара сумму денег.
                      На карте всегда 0 (+- какие-то копейки), даже если украдут данные виртуальной карты — ничего с этим не сделаешь.
                      • +3
                        Многие пользователи используют один пароль в виде даты рождения на всех сайтах, а Вы про необходимость заводить виртуальную карту и перекидывать деньги :)
                      • НЛО прилетело и опубликовало эту надпись здесь
                        • 0

                          Я вчера спросил в бложеке Яндекс.Браузера, мне пока не ответили, поэтому задам вопрос ещё и тут.


                          1. Обещали где-то в первой половине этого года, что добавите индикатор того, что во вкладке проигрывается звук. Когда же?


                          2. В текущей бета-версии браузера под Linux отображаются только 2 расширения, остальные скрываются и это никак не изменить. Отсюда:
                            • Когда исправите?
                            • Не пора ли стабилизировать версию под Linux? А то как не попробую перейти на ваш браузер, каждый раз из-за дизайнерских экспериментов что-то оказывается не так.
                          • 0
                            1. В бете уже давно работает. В стейбле скоро тоже будет, правим ошибки.
                            2. Интерфейс допиливаем. Хотелось бы быстрее, да.
                            • 0
                              Я уже несколько месяцев пользуюсь этой фичей, работает нормально, включается тут: chrome://flags/#enable-tab-audio-muting
                            • –1

                              Так как обратной связи на вашем "чудо" сайте за 10 минут я так и не нашел (да да я читал "обычно есть внизу страницы" и даже ходил по ссылке "обратную связь", но и там только страницы помощи… браво!) пишу о проблеме тут (а куда еще то?!): есть у мамы мыло на вашей "чудо" почте (не повторяйте мою ошибку) — с мобилки логинится без проблем (оно там вбито изначально), сайт же пишет "нет такого аккаунта". WTF?! и что делать то? (только не предлагайте сбрасывать пароль, это не вариант...)


                              ЗЫ: В логине есть точки (без них ессно тоже пробовал) может в этом проблема?

                              • +1

                                Как бы то ни было сейчас оно похоже работает. Блин, а формы у меня похоже нет из-за анти-банера kis-а :( (жесть какая-то, пойду им багу создам)

                              • +3
                                А чего все такие злые? Меня Я.Браузер не перестает радовать, молодцы! :)
                                • 0
                                  Да тут скорее не в злости дело. Навязчивость, вот что не нравиться. Маркетинг, реклама и все такое мне понятно — это бизнес. Но все таки не понятно, почему нельзя идти по принципу веры (доверия) пользователя к своим ресурсам и программам, а не работать методом кнута как с Windows 10.
                                  • 0
                                    А где в их браузере метод кнута?
                                    • –2
                                      Яндекс Защитник, Менеджер браузеров, «недобросовестные»(с их слов партнеры), которые гады такие везде пихают их сервисы и не дают галочки установки снять или ставят эти галки по умолчанию да еще и пишут мол настоятельно рекомендуем. Всеобщая реклама на своих ресурсах с просьбой: «Ну поставь, ну поставь ты наш браузер, ну поставь уже». Людей пытаются лишить право выбора, свободы. На заре развития интернета, возможно это помогало приманить часть пользователей и даже склонить к выбору именно их сервисов. Сейчас же это ничего кроме агрессии и негатива к самой компании ничего больше не вызывает, поскольку есть конкуренция, есть выбор.

                                      У Яндекса прекрасные развитые сервисы, кроме поиска разве ибо он странный немного. Но сейчас по сути кроме стагнаций развития и попытки выбить у других игроков пользователей на свою сторону я лично не замечаю.
                                      • 0
                                        Яркий пример тому mail.ru. Попытка пойти по их пути, была огромной ошибкой. Mail.ru кроме как компаний губящей своих проекты и пытающейся по максимуму выбить из них денег, и максимально монетизировать по другому мало кто знает. У многих до сих пор простите «подгарает» по ниже спины, от воспоминаний что вытворяли сия компании ранее.

                                        Яндекс начинает меняться в лучшую сторону, но все медленно очень.
                                        • –2
                                          Правильно минусовать то проще чем аргументированно на критику ответить.
                                          • 0
                                            Гугл во всю раскручивает свой монополизм, для Яндекса баннер на главной для рекламы своего браузера не такой уж и криминал. А если не ставть всяческий треш бездумно, то и этих менеджеров не будет.
                                            • 0
                                              Дак правильно, а кто ситуацию то довел до маразма, что вплоть до того чтобы плагин на компьютер ставить нужно 100500 раз перепроверить не завалялось ли где скрытых условии и не надо ли галочку где снять. Кто? Компания «Я» и «M».

                                              Как ты не понимаешь агрессии к Яндекс браузеру, так и я не понимаю агрессию к Google. Он не заставлял меня установить свой браузер и использовать Android. Это был осознанный выбор. Мне было предложение, поставить я согласился и я доволен. Тот же Яндекс Kit взять. Google гад такой не дает производителям выбрать и установить его на телефоны (официальная версия), а по факту выпустили они несколько моделей. Стояли они в одном ряду в наших магазинах вместе c гугловским андроидом и что в итоге. Каждый пятый покупал именно гугловский андроид. Их в магазинах не принуждали это делать. Отсюда и вопрос возникает, кто виноват то что доверие пользователей утерянно. Того же google защитника нету то согласись
                                              • 0
                                                Яндекс тоже ничего не прячет. Все на виду. Как и у Хрома (пример, еще пример).

                                                Это цивилизованный формат. Не идеальный, но общепринятый. Раньше галочки прятали в расширенные установки. Помните такие времена? Мы это запретили. А теперь представьте, что Яндекс отойдет в сторону и все эти места займут другие, менее требовательные. Пользователи от этого выиграют или проиграют?

                                                У Яндекса тоже нет Защитника уже давно, а Менеджер браузеров тепло встретили даже тут на Хабре. Кстати, «тулбары» тоже не мы придумали. Помните Google Toolbar?

                                                Яндекс.Браузером пользуются 20% рунета (он второй после Хрома). Стали бы они это делать, если бы их заставили его установить?

                                                Но я могу понять недовольство рекламой, поэтому и спрашивал выше примеры случаев, когда явный отказ не запоминается. Такого быть не должно. Но мешать все в кучу было бы ошибочно.
                                                • 0
                                                  Яндекс.Браузером пользуются 20% рунета (он второй после Хрома). Стали бы они это делать, если бы их заставили его установить?

                                                  позволю себе предположить, что не меньше половины из этих 20% вообще не заметили разницы, не понимают что тут к чему, и вообще «сына, включи мне одноклассники»
                                                  • +1
                                                    Если бы таких людей была бы насколько много — то у мэил.ру было бы гораздо больше их примерно одного процента при гораздо более агрессивной политике продвижения)
                                                  • 0
                                                    В расширенные установки и сейчас прячут, есть такие жулики :)

                                                    Воот, я чему всю свою мысль то и вел. Пользователю должно быть как нибудь разжеванно или объяснено что мол «Брат, ты тут программу захотел установить, а мы тебе хотим Яндекс-браузер предложить, у него такие-то такие-то преимущества, если не понравится оставь нам отзыв и сможешь его смело удалить, без каких либо последствий и остатков в системе». Никакого навязывания или убеждение.Тогда и меньше агрессии к продукту и самой компаний.

                                                    Вот что я имел ввиду под принципом доверия (веры) пользователя.

                                                    А так что мне у вас нравится так это новостной агрегатор. 10 из 10. К остальным ресурсам у вас отношение холодное. Вообщем добра вам :)
                                      • –2
                                        Мне Яндекс не вернул мои 1,5к рублей, мотивируя тем что я не гражданин РФ, сказали чтобы вернули я должен ехать в РФ заполнить бланк в Сбербанке и отправить почтой %)
                                        • –4
                                          у друга яндекс и мейлру агенты уже месяц вискакивают.

                                          Я вот одно не пойму зачем? зачем срать людям и потом говорить что вы такие классные??
                                          у вас на сайтах 100500 багов, без джаваскрипта формы не работают, а вы занимаетесь ерундой копированием хроме и называете его яндексом…
                                          • +2
                                            Мы не копируем Хром. Мы создаем свой Браузер, а заодно и Хрому помогаем развиваться https://habrahabr.ru/company/yandex/blog/277555/
                                            • 0
                                              > копированием хроме
                                              Поиск с учетом морфологии на десктопе и расширения для мобильного браузера Яндекс тоже у хрома скопировал?)

                                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                            Самое читаемое