• Эволюция вредоносных расширений: от любительских поделок до стеганографии. Опыт команды Яндекс.Браузера

      Расширения – это отличный инструмент для добавления новых возможностей в браузер. А еще с их помощью тайно встраивают рекламу, воруют данные, рассылают спам и даже майнят криптовалюты. Сегодня мы поделимся с вами нашим опытом борьбы с подобными расширениями, вы узнаете об основных каналах распространения сомнительных разработок и о способах маскировки вредоносной сущности от модераторов и сканеров.



      Яндекс.Браузер изначально поддерживал установку расширений для Chromium, но в первое время индустрия заработка на дополнениях еще только зарождалась, поэтому особых проблем не было. Вредоносные образцы, конечно же, встречались: мы либо сами находили их вручную, либо узнавали о них из обращений в поддержку. Уникальные идентификаторы (ID) таких разработок вносились в черный список на сервере, к которому через API обращался Яндекс.Браузер и блокировал установку потенциально опасных расширений. Причем сами расширения очень редко маскировались: все их возможности почти всегда были явно описаны на HTML и JS без попыток что-либо скрыть. Но потом все изменилось.

      Читать дальше →
    • Идеи виджетов для удобства интернет-сёрфинга

        За 27 лет с момента, когда был создан первый веб-браузер, Всемирная Паутина успела преобразиться несколько раз. Менялись стандарты, появлялись и уходили в забытье целые классы сервисов. Менялись и пользователи. Вслед за учеными и военными, сеть заселили гики. К их огромному возмущению, шумной толпой ворвались школьники. С речёвками и музыкой выкатили цветастые повозки торговцы. Развесили мраморные таблички корпорации. За ними семенили домохозяйки и ковыляли бодрые пенсионеры. Тут то их всех и настиг цокот копыт политиков всех мастей. А в самих браузерах за это время появились вкладки. Очень удобная штука. Не знаю как бы вообще без них пользовался всем этим великолепием.

        Вкладки — это всё, что у нас есть, потому что кнопка «назад», журнал и закладки давно не работают. После одного часа активного сёрфинга, журнал выглядит настолько устрашающе, что навсегда отбивает охоту туда заглядывать. Закладкам на это требуется от недели, если просто сохранять всё в избранное, до нескольких лет, если заранее создать продуманную структуру папок и всегда пытаться ей следовать. Ирония в том, что когда что-то становится нужно, если даже вспомнить про закладку, проще найти сайт заново в поисковой системе, чем разрабатывать залежи хлама. Ну а с кнопкой «Назад» сложности начались еще при появлении первых динамических страниц, а AJAX окончательно сделал её бесполезной.

        Конечно, у нас есть и поиск, и теги, и таксономии, и рекомендательные сервисы, и ленты в социальных сетях. Однако все эти инструменты привязаны к конкретным сервисам, а хотелось бы иметь что-то прямо под рукой, независимо от посещаемого сайта.

        Обобщив свои собственные пользовательские привычки, я попытался вообразить инструменты, которые бы облегчили мне использование браузера.
        Читать дальше →
      • Немного о SSL-сертификатах: Какой выбрать и как получить

          20 июля компания Google объявила о том, что браузер Chrome перестает считать доверенными SSL-сертификаты, выданные центром сертификации (CA) WoSign и его дочерним предприятием StartCom. Как пояснили в компании, решение связано с рядом инцидентов, не соответствующим высоким стандартам CA, — в частности, выдаче сертификатов без авторизации со стороны ИТ-гиганта.

          Чуть ранее в этом году также стало известно, что организации, ответственные за выдачу сертификатов, должны будут начать учитывать специальные DNS-записи. Эти записи позволят владельцам доменов определять «круг лиц», которым будет дозволено выдавать SSL/TLS-сертификаты для их домена.

          Все эти решения в какой-то степени связаны с увеличением числа хакерских атак и фишинговых сайтов. Зашифрованные соединения с веб-сайтами по HTTPS приобретают всё большее распространение в интернете. Сертификаты не только позволяют зашифровать данные, пересылаемые между браузером и веб-сервером, но и удостоверить организацию, которой принадлежит сайт. В сегодняшнем материале мы посмотрим, какие виды сертификатов бывают и коснемся вопросов их получения.

          Читать дальше →
        • А был ли взлом «Госуслуг»? Гипотеза Яндекса

            В четверг в сети появилась информация о том, что на сайте Госуслуг найден потенциально опасный код, и сегодня мы хотим поделиться с вами результатами собственного расследования и в очередной раз напомнить о важности применения Content Security Policy.



            В первых сообщениях об угрозе говорилось о внедрении на страницы сайта фрагментов с iframe, подгружающих данные с не менее 15 сомнительных доменов. Наши аналитики достаточно быстро приступили к изучению кода страниц сайта, чтобы защитить пользователей при помощи существующего у нас механизма предотвращающего подобные угрозы. О самом механизме расскажем чуть ниже, но главное здесь в другом – найденные фрагменты кода были нам хорошо знакомы.

            Читать дальше →
          • Rich Notifications, utm-метки, webhook и другие нововведения PushAll


              За последние 5 месяцев произошло много изменений в PushAll. Много мелких изменений, правок ошибок и оптимизаций, но есть и крупные изменения, о которых мы опишем в статье. Каждый пункт выполнен в стиле how-to.
              Читать дальше →
            • Экосистема: больше участников — больше прибыль! Зачем Skyeng открывает API

                imageimageimageimage

                В наших текстах мы периодически упоминаем некую «экосистему Skyeng». Настала пора разобраться, что же мы понимаем под этим термином. В этой статье мы расскажем, что такое экосистема и почему ее создатели заинтересованы в том, чтобы на ней зарабатывало как можно больше сторонних разработчиков. Ну и, конечно, покажем, где найти открытые методы нашего API, чтобы вы уже сейчас начали прикручивать наш словарь к своему приложению. И еще будет конкурс!
                Читать дальше →
              • AdBlock похитил этот баннер, но баннеры не зубы — отрастут

                Подробнее
                Реклама
              • Словарное расширение для браузера: больше, чем онлайн-переводчик



                  У школы Skyeng есть расширение для веб-браузеров «Vimbox Переводчик», умеющее переводить английские тексты веб-страниц на русский язык. На первый взгляд, ничего особенного в этом нет, а подобных сервисов – пруд пруди, но в реальности эта штука очень важна для экосистемы школы, и мы надеемся, что она окажется полезна не только для наших учеников, но и для сторонних пользователей. Сегодня мы расскажем, почему мы так думаем, как мы разрабатывали это расширение, что оно умеет и над чем работает его команда в настоящий момент.
                  Читать дальше →
                  • +11
                  • 5,2k
                  • 2
                • K-Meleon 76 Pro — новая русская сборка браузера для олдфагов и истинных ценителей

                    И снова здравствуйте!

                    Безумно много времени прошло с момента нашей последней публикации, приуроченной к возрождению российской Pro-сборки K-meleon. Конечно, многие воспримут наши новости с иронией и неизбежными ухмылками.

                    Увы, разработка K-Meleon'a стагнировала по ряду объективных причин, главная из которых — зависимость от единственного разработчика. У нашего «отца-разработчика» Дориана случилось подряд несколько проблем, что самым негативным образом повлияло на разработку, вкупе с бурными революциями в коде движка Мозилла, о которых сообщество уже давно отбурлило и теперь продолжает лишь тихо подвывать.

                    Тем не менее, нельзя сказать, что разработка встала совсем — наша сборка основана на коде, выпущенном в декабре 2016 года. Правда, это по-прежнему релиз-кандидат 76-й версии, основанной на Gecko 38 ESR, так что браузер заведомо перешел в разряд олдфагового инструментария, актуального для обладателей устаревшего и слабого оборудования.

                    Нет, он по-прежнему прекрасно работает и на современном оборудовании, но модерн-вебдизайн стремительным домкратом обрушивает на нас все новые и новые фишки популярных сайтов (часто написанные вопреки всем веб-стандартам), которые разработчикам браузеров просто ПРИХОДИТСЯ поддерживать. Ибо куда им (даже таким как Google) бодаться с тем же фейсбуком — себе дороже. Проше вставить в код костыль.

                    Тем не менее 76-я версия нашего браузера — это вполне рабочая лошадь, осиливающая подавляющее большинство сайтов. А кое-где уже и мы подставляем свои костыли.
                    Читать дальше →
                  • Инструмент для удобного редактирования кода прямо в браузере



                    UPD: Заголовок был изменен с «IDE – зло. Давайте использовать Notepad» на более адекватный.

                    Иногда кажется, что разработчики некоторых крупных интернет-проектов до сих пор пишут код в Блокноте и думают, что все остальные должны поступать также. Шутка, конечно, но почему в большинстве популярных CMS до сих пор отсутствуют удобные инструменты для редактирования кода, я понять не могу. Как ни стараюсь.

                    Если вам иногда не хватает подсветки синтаксиса при редактировании кода в браузере — добро пожаловать под кат.
                    Читать дальше →
                  • Скриншаринг на сайте по WebRTC из браузера Mozilla Firefox


                      Недавно мы писали статью о том, как сделать расширение скриншаринга для браузера Google Chrome. В результате мы создали собственное расширение для скриншаринга, опубликовали его в Chrome Store и протестировали трансляцию экрана через Web Call Server в режиме один-ко-многим.

                      В этой статье мы проделаем тоже самое с браузером Firefox. Подход остается прежним и снова потребуется упаковка и публикация расширения, на этот раз в Mozilla Add-ons. В результате мы сможем делать скринкасты видеопотоков из FF без установки внешнего дополнительного ПО.
                      Читать дальше →
                    Самое читаемое