company_banner

Борьба с перехватом HTTPS-трафика. Опыт Яндекс.Браузера

    Согласно исследованию сотрудников Mozilla, Google, Cloudflare и ряда университетов, от 4 до 11% защищенных соединений «прослушиваются» в результате установки сомнительных корневых сертификатов на компьютерах пользователей, которые даже и не догадываются о риске. Сегодня я расскажу о том, как наша команда привлекает внимание к этой проблеме с помощью Яндекс.Браузера.



    Вряд ли на Хабре стоит подробно рассказывать об SSL-сертификатах и тех задачах, которые они решают, но на всякий случай коротко напомним о главном (вы можете просто пропустить пару абзацев, если хорошо представляете принципы работы). Получить закрытый замочек в адресной строке браузера сейчас легко и быстро может любой сайт, поэтому сертификат это ни в коей мере не признак «надежности» сайта, несмотря на соответствующую маркировку в Chromium. Тем не менее он выполняет важную функцию защиты наших с вами данных от перехвата. Администратору сети или злоумышленнику, получившему доступ к трафику, нужно еще придумать способ для расшифровки потока, что обычно сделать затруднительно при стойкой криптографии и отсутствии ключа.

    Если нельзя расшифровать поток, то можно его перенаправить через себя, заставив браузер устанавливать соединение не с сайтом, а со своим сервером (атака типа man-in-the-middle). Например, можно взломать маршрутизатор пользователя и с помощью подмены DNS-ответов перенаправлять его на фишинг-сайт для воровства паролей. Опытный пользователь вряд ли с таким столкнется, а своим близким можно настроить альтернативный DNS-сервер с поддержкой DNSCrypt прямо в браузере. Но если злоумышленник захочет пойти дальше и начнет выступать посредником между пользователем и HTTPS-сайтом, то тут нас спасет другая задача сертификата – аутентификация.

    Когда браузер получает сертификат от сайта, он должен убедиться, что его прислал именно сайт, а не «человек посередине». Подтвердить это можно с помощью корневых сертификатов, которые находятся в хранилище операционной системы. Если для сертификата, который якобы прислал сайт, не удается найти подтверждающий корневой, то любой современный браузер выдаст что-то такое:



    Чтобы обойти такую защиту и скрыть от пользователя факт своего вмешательства в трафик, остается только одно – поместить в системное хранилище свой корневой сертификат, который легализует в глазах браузера подписанные им сертификаты злоумышленника. Причем сделать это может любое приложение. А с правами администратора еще и без предупреждений и вопросов пользователю. Человек устанавливает с сомнительного сайта программу, а в довесок получает прослушку трафика. И ни один современный браузер никак на это не отреагирует. Вы увидите все ту же надпись «Надежный» и зеленые замочки. Разве что в случае с Firefox злоумышленникам понадобится добавить свой корневой сертификат еще и в хранилище этого браузера, потому что системное он не использует (но сделать это ничуть не сложнее).

    Если исключить случаи относительно легального использования этой возможности со стороны программ (антивирусы, блокировщики рекламы, Fiddler) и контроль сотрудников в организациях, то обычно подобная практика приводит к появлению шокирующей и опасной рекламы на посещаемых страницах. Пользователи в большинстве случаев не догадываются о причинах, винят владельцев сайтов или даже разработчиков Яндекс.Браузера. Можете себе представить, как порой сложно нашей службе поддержки добраться до причины и помочь человеку. Но так проблему хотя бы заметно. А ведь в некоторых случаях никаких внешних проявлений не происходит, а данные просто воруются.



    Причем вред от злоумышленников не только прямой (в виде перехвата данных и рекламы), но и косвенный. В обычной ситуации мы можем кликнуть на замочек и узнать, какой именно удостоверяющий центр выдал сертификат, оценить его надежность (в Яндекс.Браузере; в других браузерах эту информацию уже часто скрывают). При подмене эти данные скрыты от нас. И не только эти, но и любые другие проблемы с соединением. Если на сайте используется некорректный сертификат, который неизбежно бы привел к полноценной предупреждающей заглушке в любом браузере, то подмена сертификата маскирует эту проблему от пользователя – в адресной строке отображается обычный закрытый замочек. Все это приводит к общему падению уровня безопасности.



    По предварительным подсчетам, уже порядка 400 тыс. пользователей из недельной аудитории Яндекс.Браузера живут с перехватом трафика. И это за вычетом антивирусов! Именно поэтому мы всерьез взялись за проблему и начали экспериментировать с выявлением факта установки сомнительного корневого сертификата в систему. Работает это следующим образом. Теперь Яндекс.Браузер не слепо доверяет корневому сертификату из системного хранилища, а проверяет его по списку известных авторитетных центров сертификации. И если корневой сертификат браузеру не знаком, то мы размыкаем замочек и честно сообщаем о потенциальном риске.



    Решение с открытым замочком относительно мягкое – наблюдали за реакцией пользователей. Но несколько дней назад мы перешли к следующему этапу. Теперь при загрузке важных сайтов, к которым относятся банки, платежные и поисковые системы, популярные социальные сети, появляется полноценное предупреждение, рассказывающее об угрозе.



    Предупреждения в Яндекс.Браузере нельзя назвать панацеей, потому что они никак не влияют на основной источник проблемы – программу, устанавливающую свой корневой сертификат. Но мы надеемся, что информирование пользователей привлечет их внимание к риску потери данных или как минимум упростит диагностику. Ведь даже сам факт перехвата трафика до этого момента был скрыт от людей.
    Метки:
    Яндекс 530,93
    Как мы делаем Яндекс
    Поделиться публикацией
    Комментарии 102
    • +15
      Вот это вы молодцы, и это тем временем когда в Хроме кнопку просмотра сертификата запрятали аж в инструменты разработчика (когда раньше она была в начале адресной строки и было очень удобно)
      • +1
        Вернуть ее никак нельзя через какие-нибудь там флажки? Уж очень полезная функция для меня.
        • 0

          Нельзя. По мнению разработчиков, кому надо — тому не влом нажать f12, зайти в раздел security и запросить сертификат...

          • +1
            Спасибо за подсказку! Как раз сегодня обратил внимание, что исчезла возможность посмотреть сертификат и не мог понять где ее искать.
            • 0
              Пожалуйста) великий хабр — он как stackoverflow
      • 0
        в адресной строке отображается обычный закрытый замочек
        Молодцы. При открытии сайта мой браузер уже показывает chrome://browser/skin/cert-error.svg
        • +1
          А нельзя как-то в браузерах принудительно установить, чтобы конкретный сертификат мог использоваться только на конкретном домене? Может есть какое-то расширение для этого?
          • 0
            Так сертификат сам по себе должен удостоверять ограниченный список доменов. Не тот ключ, не тот домен или не тот серт. и все, в пролете. В чем смысл затеи?
            • 0
              Извините, я наверное неверно выразился. Я имел ввиду сертификаты CA, которые предустановлены в систему. Чтобы этот серт ЦА мог удостоверять только определенный домен и всё.
              • –2

                Вы имеете в виду удостоверять только поддомены определённого домена верхнего уровня (ru, com, info)?

                • 0
                  Нет, чтобы определенный серт СА мог удостоверять только один свой домен, например. Или группу доменов.
                  • –1

                    Я вас не понимаю. Сертификат CA это Certification authority? Сертификат центра сертификации. Он нужен для проверки сертификатов сайтов выданных этим центром.


                    Какой смысл в центре сертификации который подтверждает только один домен не понятно.

                    • +2
                      Да, насчет ЦА — именно это я и имел ввиду.

                      Смотрите: для того, чтобы работал (например в корпоративной среде) какой-то внутренний ресурс, на комп устанавливается самодельный ЦА сертификат. Им подписан серт на определённый (внутренний) домен.
                      Как обезопасить остальной трафик от того, что какой-то админ начнет подписывать тем же сертом ЦА сертификаты для других доменов?

                      Или, например, троян от Innova (на проекте 4game):
                      Для того, чтобы запускать игры из браузера они ставят службу на комп, плюс внедряют свой сертификат ЦА на комп, чтобы браузер доверял самоподписанным сертам, которыми (как я понимаю) подписывается служба. Как обезопаситься от Инновы, и разрешить им подписывать трафик только на их доменах?

                      П.С.: Я понимаю, что есть HSTS и тому подобные штуки, но всё же?
                      • 0

                        Вот теперь понятно. Да нужна возможность регулирования зоны ответственности сертификата CA.

                        • 0
                          Админ с правами админа на вашем компьютере может нарисовать любые замочки в любом браузере.
                          • –1
                            Certificate Pinning. Но это настраивается на стороне сайта, т.е. от пользователя не зависит.
                        • +1

                          Да, теоретически такая возможность есть. Называется это Name Constraints. Практически, думаю, она нигде не реализована, хотя некоторые браузеры начали думать про это довольно давно.


                          У Google есть свое видение, как должен быть устроен PKI (c CT), так что не уверен, что это когда-нибудь будет реализовано на практике.

                          • –1
                            Поддержка Name Constraints есть в Windows 7+, OpenSSL и браузерах. Какое-то время назад сертификат Let's Encrypt содержал Name Constraints с CRITICAL, в exclude был указан *.mil. Именно из-за этого сайты с сертификатом Let's Encrypt не открывались на Windows XP.

                            Сертификат для Intel с Name Constraints: https://crt.sh/?sha1=d50c68fdcb0c3315eb9951f2444fd9e48ba34829
                  • 0
                    Есть т.н. wildcard сертификаты (как на хабре, между прочим) – поэтому нельзя.
                    • +1

                      Можно при первом посещении прибивать гвоздями сертификаты для своего домена: HTTP_Public_Key_Pinning.

                      • 0
                        Есть. Называется OCSP.
                        Вот только если некто сумел установить сертификат в системное хранилище, он наверняка сумел изменить список серверов DNS, и подконтрольный ему сервер DNS выдаст нужную запись OCSP.

                        Решение проблемы есть, но оно требует полного изменения инфраструктуры DNS: переход на хранение записей NS в блокчейне.
                        • 0
                          Можно использовать DNS Certification Authority Authorization на своём домене.
                        • 0
                          Корневые сертификаты можно проверить утилитой Sigcheck: sigcheck -tv "*", sigcheck -tuv "*". Полезно делать это регулярно, учитывая, что в хранилище сертификатов сертификат добавляется легко и незаметно.
                          • 0

                            Можно проверять корневые сертификаты и утилитой командной строки openssl!
                            И еще есть вопрос: когда Яндекс.Браузера будет поддерживать https с российскими шифрсьютами как это сегодня реализовано для Firefox ?.

                          • +2
                            Что тогда делать в корпоративной среде? Когда пользователь пользуется яндекс браузером, через AD раздается свой корневой и внутренние ресурсы подписаны своим сертификатом.
                            • 0
                              С точки зрения безопасности, не стоит подменять сертификат для важных внешних сайтов с личными данными пользователей. Поэтому наше предупреждение рассказывает им о риске, но не навязчиво – выбор сохраняется на N дней. Это про обычную версию. С корпоративной сборкой вопрос другой. Там мы еще думаем.
                              • 0
                                Внутри компании есть справка и почта, которой пользуются только внутри. Из вне доступна только почта. Оба сервиса подписаны своим корневым сертификатом. Корневой раздан через AD, внешним сотрудникам прописан вручную.

                                Даже самое невзрачное предупреждение вызовет много вопросов в сторону IT отдела.
                                • +7

                                  Так, на сколько я понимаю, с внутренними сервисами проблем не возникнет, вот если вы попытаетесь со своим сертификатом проксировать тот же сбер — то это совсем другое дело

                                • +2
                                  Один вопрос, а что мешает сделать нормальные сертификаты для справки и почты, хотя бы и бесплатные? Я понимаю, зачем в принципе нужно тащить свой корневой сертификат, но зачем его использовать ещё и для интравеба?
                                  • 0
                                    Нежелание нискового админа использовать бесплатный и нежелание руководства платить за платный. Тем более справка и почта доступна только внутри сети и по этому проблем с раздачей корневого сертификата нет.
                                • 0
                                  С корпоративной сборкой вопрос другой. Там мы еще думаем.
                                  Когда придумаете — расскажите, пожалуйста, как не подарить админам работодателя все свои логины и пароли от сайтов (по крайней мере те, которые пришлось использовать на работе).
                              • –9
                                Пока Яндекс.Браузер )
                                • +1
                                  Пока Хром помечает страницы с полями для ввода как несекурные (а тем временем прячет инфу о сертификатах подальше), Я.Браузер прямо радует такими вот начинаниями.

                                  Спасибо! Не ожидал, что проект так неплохо будет развиваться в полезных юзерам направлениях.

                                  P.S. Одно никак не могу для себя понять: мне лично не хочется рекламным сетям сливать лишнюю информацию о себе, так вот через Я.Браузер такая метаинфа (грубо, список просмотренных сайтов и прочее, что позволит лучше таргетировать рекламу) сливается в Яндекс (при, скажем, активированном adblock-е), или нет?
                                  • 0
                                    Спасибо. В этом плане ничего нового. Обычная анонимная статистика использования, которая управляется галочкой в настройках.
                                    • 0

                                      А как собранная информация используется для Дзена?

                                      • 0
                                        История, привязанная к браузеру, используется для обучения Дзена. Отключается это тоже вместе с Дзеном.
                                  • 0
                                    Теперь Яндекс.Браузер не слепо доверяет корневому сертификату из системного хранилища, а проверяет его по списку известных авторитетных центров сертификации.

                                    Проверяет локально или по сети?

                                    Если локально, то чем это отличается от хранилища сертификатов (как у Firefox)?

                                    Если по сети, то смысл в том, что сертификат Яндекса (точнее, узла, с которым связывается браузер для проверки сертификата), прибит наглухо, и его нельзя подменить? Иначе, почему невозможна такая же MITM-атака…
                                    • 0
                                      Локально, но это не хранилище сертификатов, куда можно поместить свой, а зашитый набор отпечатков.
                                      • 0
                                        Если сертификат на сайте поменяется, как будет реагировать браузер? Есть-ли отдельный механизм для обновления отпечатков, или только вместе с новой версией браузера?
                                        • 0
                                          Сертификат на сайте? Так с ним и так все хорошо. А если сертификат злоумышленника, то какая разница. Если его нет в списке доверенных, то будет предупреждать.
                                          • 0
                                            Выше вы пишите, что проверки сертификатов осуществляются локально по базе отпечактов. Станет-ли браузер выдавать предупреждения, если на сайте (легитимно, а не злоумышленники) поменяют сертификат, например из-за окончания срока предыдущего?
                                            • 0
                                              Браузер хранит в отпечатках такой же состав авторитетных корневых сертификатов, как в ОС. Соответственно никаких проблем быть не должно.
                                    • +1
                                      Хорошая попытка, яндекс, но нет
                                      • +5
                                        А если так:

                                        Защита от wap-click https://habrahabr.ru/company/yandex/blog/273385/
                                        Поддержка DNScrypt https://habrahabr.ru/company/yandex/blog/280380/
                                        Антифишинг https://habrahabr.ru/company/yandex/blog/309808/
                                        Шифрование Wi-Fi https://habrahabr.ru/company/yandex/blog/267013/
                                        Борьба за расширения https://habrahabr.ru/company/yandex/blog/266061/
                                        • 0
                                          Protect слишком уж навязывает себя ещё и с браузером по умолчанию и собственно поиском, потому…

                                          Плюс, блин, что у вас за фигня с иконками? После каждой итерации версии нужно руками лезть в %version%\resources\sxs.ico.
                                          • 0
                                            Так Protect же часть браузера. Но и отключается в настройках. Разные части этого комплекта имеют свои опции.

                                            Про иконки не понял, но звучит как баг. Вы сообщали в поддержку?
                                          • 0

                                            В последний раз, когда я видел вайфай шифрование Яндекса, оно применялось только с точками со слабыми шифрованием. То есть, подцепился я случайно к левой точке с сильным шифрованием… И она совершенно спокойно снифферит мой трафик. Так что нет доверия маркетологам, которые пишут про плюсы Яндекс браузера.

                                            • +1
                                              Погодите. Как вы случайно подцепитесь к левой точке с паролем, не вводя пароль? Шифрование Wi-Fi у нас решает такие проблемы:

                                              – Защищает от поддельных точек, которые имитируют известные сети названием. Устройства к таким автоматически подключаются, потому что название точки совпадает, а пароль не требуется.
                                              – Защищает от злоумышленников со снифферами за соседним столиком.

                                              Ровно об этом я писал на Хабре, и мы везде рассказывали. Поэтому включается автоматически, если у точки нет пароля, или используется слабое wep-шифрование. Если нужно включить принудительно, то есть Турбо. Безопасный Wi-Fi на нем и работает (только без сжатия).
                                            • 0
                                              Не хватает ссылочки на гитхаб. Вот она была бы решающим аргументом.
                                          • +2

                                            Мне интересно каким образом вы наблюдаете за реакцией пользователей? Браузер очитывается в центр?

                                            • 0
                                              Стандартные способы:
                                              – Выживаемость (удаляют ли браузер после появления новшества)
                                              – Обращения в поддержку
                                              – Жалобы в публичных каналах (блог, соцсети, ...)
                                              • 0
                                                Во всех трех случаях новшество должно быть каким-то очень раздражающим или неприемлемым.
                                                Если же оно, скажем так, умеренно-раздражает — в большинстве случаев человек просто будет чаще использовать альтернативу и вы ничего не узнаете (если только нет телеметрии).
                                                • 0
                                                  Нам в поддержку о любой мелочи сразу пишут (и мы всем отвечаем, кстати). Поэтому действительно раздражающие изменения пропустить невозможно при 20 млн ежедневной аудитории.
                                            • 0
                                              извините, что не по теме статьи: когда вы планируете выпустить релиз-версию яндекс.браузера для gnu/linux?
                                              • +1
                                                Мы недавно сделали важный шаг. Теперь бета-версии для Linux собираются не на базе кода беты, а на базе уже релизного кода (и выходят одновременно с ними). Но метку «бета» пока снимать не хотим.
                                                • 0
                                                  спасибо
                                                  • 0

                                                    Ну и я спрошу… можно адресс проживания того человека, который придумал перетаскивать окно за адресную строку?

                                                    • 0
                                                      Не знал, что так можно.
                                                      Дайте и мне адрес автора, я его расцелую! Это реально удобно, раньше при огромном количестве открытых вкладок приходилось тянуться мышкой далеко вправо.
                                                      • 0

                                                        Отлично, будет целованный и без рук. Попробуйте выделить часть ссылки. В зависимости от того куда вы попадёте либо ничего не произойдёт, либо окно поедет в сторону.

                                                        • 0
                                                          Вообще нет проблем: сначала кликаю в ссылку, потом выделяю что мне нужно.
                                                          • 0

                                                            Ну да, подумаешь, все поля в ввода в системе работают одним образом, а тут иначе. Можно же и привыкнуть.

                                                • 0

                                                  Привет Cisco FirePower

                                                  • 0
                                                    А можно установить Я.Браузер так что бы он не установил Яндекс поиском по-умолчанию во всех других браузерах?
                                                    • 0
                                                      Надеюсь, это шутка :) Он вообще ничего не меняет в других браузерах. И никогда не менял. И даже удаляется вместе со всем своим профилем через стандартный диспетчер, как и все остальные.
                                                      • 0
                                                        Не шутка :) Знаю я этот Яндекс. Ну ладно, раз так, то попробую
                                                    • +3
                                                      Предупреждения в Яндекс.Браузере нельзя назвать панацеей, потому что они никак не влияют на основной источник проблемы – программу, устанавливающую свой корневой сертификат.


                                                      Как Вы и написали. Я бы сказал, что задумка вообще бесполезная. Просто «для галочки», что браузер «безопаснее». Ничуть. Пока пользователи будут устанавливать приложения «не пойми откуда» (не важно какая используется ОС), никакие технические средства не помогут.

                                                      Пройдёт несколько дней и эти «программы, устанавливающие свой корневой сертификат» будут до кучи патчить или целиком подменять браузер.

                                                      Подобно вам, Google тоже делает дополнительную проверку корневых сертификатов. В частности нельзя зайти на google.com, если его сертификат будет подписан не CA от google… Ещё можно почитать https://www.chromium.org/Home/chromium-security/root-ca-policy

                                                      Нет, конечно ваше решение будет иметь кратковременное положительное действие. Конечно вы напишете об этом ещё одну статью. Конечно вы «забудете» в ней сказать, что уже есть (а уже есть) программы, которые обходят эту защиту. Возможно количество установок браузера повысится. Но интернет от этого не станет безопаснее.

                                                      Корень беды в том, что неподготовленные пользователи не знают чему можно доверять, а чему нет. Сегодня не существует Единого Центра Доверия :). И я сомневаюсь, что его создание вообще возможно. Решение о доверии чаще всего принимается интуитивно на основе вшенего вида.

                                                      Осторожность приходит с опытом. Но всевозможные рекламы «безопасного браузера», антивирусов и других «интернет защитников», усугубляет проблему тем, что пользователь об осторожности забывает.

                                                      Хотя сам браузер очень хороший :)
                                                      • 0
                                                        Не согласен. Наше решение не решает проблему в корне, но:

                                                        – Привлекает внимание к проблеме. Пользователь, увидев предупреждение, часто идет спрашивать у более знающих людей (или в поддержку, как сейчас и происходит) о причинах. У них появляется знание о самой угрозе. Это уже многое значит.
                                                        – Упрощает диагностику. Вставить рекламу в страницу можно многими разными способами. Но если речь идет о предупреждении, то сразу ясно, куда копать.
                                                        – Помогает вовремя остановиться и не потерять данные тем, у кого минимальные знания уже есть.

                                                        Конечно вы «забудете» в ней сказать, что уже есть (а уже есть) программы, которые обходят эту защиту.


                                                        Приведите, пример, пожалуйста.

                                                        Все технологические компоненты Protect эффективны. Мы это видим по антифишингу, по защите от мобильных подписок, по многим другим вещам. 100% защиты не бывает, но вероятность попасться на удочку снижается.
                                                        • 0
                                                          Хотя сам браузер очень хороший :)


                                                          Спасибо :)
                                                        • +1
                                                          Молодцы, изобрели SSL Observatory из дополнения HTTPS Everywhere для Firefox, которое защищает пользователей с начала 2012 года.
                                                          • 0
                                                            Установил. Никак не реагирует. Как включить?
                                                            • –2
                                                              Наверное в настройках
                                                              Заголовок спойлера
                                                              image

                                                              P.S. Минуса излишни и не красят вас.
                                                              • 0
                                                                У расширения для Хрома нет таких настроек. Завтра попробую в Лисе.

                                                                P.S. https://yadi.sk/i/lMUh3-T23J6LXg Стыдно теперь? :)
                                                                • –4
                                                                  У расширения для Хрома нет таких настроек.

                                                                  Так хром такого явно не позволит. Даже не знаю, как там сам HTTPS Everywhere работает, думал, и его нельзя в хроме запустить.
                                                                  Стыдно теперь? :)

                                                                  Сотрудники 600

                                                                  Нет, не стыдно. Обращение было к компании.
                                                                  • 0
                                                                    Завтра попробую в Лисе.

                                                                    Завтра уже успело наступить и пройти ))
                                                                    • 0
                                                                      Да вот как-то никак не предупреждает. Не понимаю, что я делаю не так. Сертификат вручную добавил в хранилище Firefox. Установил HTTPS Everywhere. Включил в нем SSL Observatory. Все перезапустил. И ничего.

                                                                      image

                                                              • +1
                                                                Ну изобрели и изобрели. Ключево, что это сейчас будет сразу из коробки, а не доставляться кастомно.
                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                                • –2
                                                                  proof?
                                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                                    • –2
                                                                      Срок сертификата истек. Хотя наверное фотка старая
                                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                                        • 0
                                                                          Спасибо, проверяю. P.S. На Android у нас нет никакого своего списка сертификатов. На yabrowser.com, например, тоже Lets Encrypt, но открывается успешно.
                                                                          • 0

                                                                            У вас скорее всего был не полный чейн сертификата. Судя по тому что серту 4 дня (а вы ещё 13 мая присылали скрин), серт вы обновили. И таки что-то мне подсказывает, что дело было в вашем сертификате, а не в браузере =)

                                                                    • –2
                                                                      Ничего подобного. Прекрасно посещаю сайты с Lets Encrypt и сам же использую их сертификаты. Давайте посмотрим конкретный пример. Вдруг баг (а я ничего не исключаю никогда).
                                                                    • +1
                                                                      Верной дорогой движетесь, товарищи!
                                                                      • –1
                                                                        Ок, с причиной разобрались, теперь не мешало бы разобраться со следствием. Допустим обычный юзер во время серфинга нахватал дыр и даже об этом не подозревает. Как уберечь себя от нежданчика? Приведу в пример Неуловимого Джо, который вроде бы никому и не сдался, но всякие бяки все равно могут мирно обитать в его пространстве, до поры до времени. У меня после похода к пиратам, док бывает с десяток троянов отлавливает. Но с ними все понятно, я просто оцениваю информацию в моменте и на объективных данных принимаю решение. Когда копался в игровых конструкторах, совершенно случайно узнал о снифферах. Меня весьма удивила инфа о том, что админ интернет-провайдера может заглянуть в окошко и даже зайти в гости без стука. Ну с ним ладно, ни один здравомыслящий человек, а другие на таких местах скорее не водятся, не захочет рисковать жопой ради мимолетного приключения. Поставил Microsoft Network Monitor, глянул на всякие абраказябры, хотя понимания того, что с этим «барахлом» делать, все равно не прибавилось.

                                                                        И вот теперь снова интересная заметка, отчасти раскрыта тайна красного замочка. У меня несколько дней такой висел в гугловском сортире и я как бы не особо воспринимал его. «Ну висит и висит, все равно сортир известный, со всего мира туда срать ходют там справляют нужду.

                                                                        Но давайте теперь вернемся к нашему герою Джо. С момента оплодотворения яйцеклетки проникновения, вынашивания осваивания территории и летального исхода, могут пройти недели, месяцы и даже годы. Далеко не многие умеют оставаться в тени, лично мне по кайфу сумерки, поэтому хотелось бы понимать, где и когда за мной могут увязаться нежелательные хвосты.

                                                                        В общем-то я уже около года, как перешел на Y и ни капельки не обламываюсь. Но судя по той информации, которую приходится обрабатывать, темную все равно могут устроить.

                                                                        • +1
                                                                          Думаю в базах Яндекса есть сертификаты перехватчики которые он показывает как правильные.
                                                                          И все знающие люди понимают почему.
                                                                          • 0
                                                                            Что касается этой новой функциональности, я считаю это движение в правильном направлении.

                                                                            Но я считаю, что Яндекс браузер был хорош тогда, когда только появился и не навязывал свои сервисы, а предоставлял возможность ими пользоваться.

                                                                            Было бы здорово иметь возможность единожды отказаться от постоянных предложений установки яндекс браузера что на десктопе, что на мобильном телефоне. Каждый раз когда я открываю yandex.ru и у меня на полэкрана баннер с предложением установить, который я уже отклонил вчера, а я его опять вижу — вот честно — пользоваться всеми другими сервисами яндекса пропадает желание. Неужели нельзя сохранять выбор и предлагать установить только когда появилось какое-то действительно серьезное обновление, которые может меня заинтересовать? Ну не надо делать из яндекса mail.ru…
                                                                            • 0
                                                                              так все-таки, как конкретно вы
                                                                              наблюдали за реакцией пользователей
                                                                              по решению с открытым замочком?

                                                                              а то недавно google заявил, что из хрома уберут функцию «закрыть другие вкладки», т.к по их данным, ей пользуются в 0,64% случаях использования контекстного меню.

                                                                              откуда у вас у всех такая статистика?
                                                                              • 0
                                                                                Любой крупный браузер (или сайт, продукт, приложение, операционная система, что угодно) собирает статистику использования фич. Chromium в том числе. Статистика анонимная, но этого достаточно, чтобы оценить реальное, а не предполагаемое использование браузера. Отключается обычно у всех одинаково – в настройках. Но я отключать не рекомендую.
                                                                                • 0
                                                                                  спасибо за ответ, но я по-прежнему буду сомневаться в том, что если в любом продукте отключить все галочки в настройках, никакая статистика и правда не будет передаваться.

                                                                                  опять же, в вашем браузере есть галочка — «отправлять статистику», которую можно отключить? вот скриншот из Chromium, не вижу, чтобы тут что-то подобное было
                                                                                  image

                                                                                  или вы все-таки принудительно собираете какую-то статистику, которую нельзя отключить?
                                                                                • 0
                                                                                  5.7. Пользователь настоящим уведомлен и соглашается, что при использовании Программы Правообладателю в автоматическом режиме анонимно (без привязки к Пользователю) передается следующая информация: тип операционной системы устройства Пользователя, версия и идентификатор Программы, статистика использования функций Программы, а также иная техническая информация.

                                                                                  Про отключение ни слова.
                                                                                  • 0
                                                                                    В соглашениях не пишут про управление, там про возможности. Отключение в настройках.
                                                                                    • 0
                                                                                      5.6. Пользователь может в любой момент отказаться от передачи данных, указанных в п.п. 5.1 – 5.5, отключив соответствующие функции.

                                                                                      Как видно, пункт 5.7 не упомянут в возможности отказа от передачи данных.
                                                                                      • 0
                                                                                        Спасибо, проверим. Возможно, тут про сигнал об установке, но надо уточнить.
                                                                              • 0
                                                                                А если эти сертификатом установлены администратором для использования систем DLP — я.браузер молча под них прогнется?
                                                                                P.S. Официальной portable версии не предвидится?
                                                                                • 0
                                                                                  Браузер не видит, кто и зачем поставил сертификат. Поэтому должен показать предупреждение.
                                                                                • 0
                                                                                  Мне хочется, чтобы браузер не думал за меня и не лазил за меня по сайтам, но с каждым днем все хуже и хуже. Firefox постоянно лезет в мозиллу, я.браузер постоянно лезет в яндекс зачем-то, на кучу разных доменов. Сафари вот ещё не сильно стучит, зато сама макось постоянно лезет в эппл.
                                                                                  • 0
                                                                                    В FF открытый исходный код, вы можете проверить, куда и за какими данными он лезет. Сразу могу сказать, что там всё прекрасно отключается, либо не нуждается в отключении, как например загрузка списка фишинговых доменов.

                                                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                  Самое читаемое