kukutz
+1
А вы геолокацию сайту указали после открытия?
kukutz
+6
> Как поживают ya::strochka и ya::shtrochka?

Как вы думаете, зачем эта рабочая группа была создана?

Конечно же, пропозал на std::Stroka уже отправлен!

</joke>
kukutz
+3
Мейтейнер GM в ответном письме говорит, чтобы
(а) ему показали эксплойт для GM
(б) советует использовать переменную окружения MAGICK_CODER_STABILITY=PRIMARY

http://www.openwall.com/lists/oss-security/2016/05/04/3
kukutz
0
> К примеру, SVG foreignObject, переданный в canvas.

С этим, мне кажется, браузер может побороться, впрочем, я недостаточно глубоко в теме, чтобы уверенно это утверждать.
kukutz
0
Нет, потому что они не будут знать уникальный для этого пользователя вид. Ну, пока в HTML5 не появится API для скриншотов, конечно.
kukutz
0
Про третий пункт: нет, нам кажется, что привлекая внимание пользователя к тому, куда он вводит пароли, мы не делаем его более беззаботным, а наоборот, делаем его более внимательным.

По перебору пишу вам в личку.
kukutz
0
А о чём?
kukutz
0
Вы не поняли, что означает фраза «в уникальном для каждого отдельного пользователя дизайне».
kukutz
0
Если пользователь будет знать, что вводить пароль можно только в поле, фон у которого фиолетовый в оранжевую полоску, то он не станет вводить пароль в то, что выглядит иначе.
kukutz
+1
Над этой идеей мы думаем среди других, спасибо.
kukutz
0
Да, верно.
kukutz
+9
Здравствуйте.

Спасибо, что обратили внимание на Яндекс.Браузер. Хочу немного прокомментировать.

1. Конечно, этот метод имеет свои ограничения и поэтому не является единственным методом защиты от фишинга. У нас, конечно же, есть и база плохих, фишинговых сайтах, о которых мы предупредим пользователя ещё до захода на них. Но от части generic-атак, не рассчитанных прицельно на Яндекс.Браузер, этот метод может уберечь.

К тому же мы работаем над тем, чтобы расширить его, в частности, сделать некоторые из описанных вами подходов тоже неработающими.

Но от произвольно нарисованного контрола, не являющегося инпутом, это не убережет, конечно. От него вообще, кажется, может уберечь только если мы будем выводить input type=password в особом, уникальном для каждого отдельного пользователя, дизайне, а пользователь будет внимательно за этим следить и не вводить свой пароль никуда, кроме полей ввода такого особого дизайна.

Кроме того, само по себе использование одного и того же пароля на разных сайтах, часть из которых может даже не работать по https — очень небезопасная вещь. Предупреждая о таких случаях, мы заметно повышаем безопасность учетных записей пользователя.

2. Перебор паролей через эту функцию сделать не получится, т.к. браузер отличает пользовательские события от эмуляции. Нам уже сообщали о возможности такой атаки в первой версии Яндекс.Браузера с этой возможностью и мы закрыли эту уязвимость и все похожие способы использовать нашу защиту для перебора в версии 15.12.

Роман Иванов,
Яндекс.Браузер
kukutz
+6
Эта защита от фишинга. Браузер уточняет у пользователя, точно ли он хочет отдать свой пароль от хорошего сайта Х вот этому неизвестному сайту Y.
kukutz
+6
alex-leo — Леонид Александров, менеджер продукта Яндекс.Навигатор.
kukutz
0
А насколько сильно это мешает? Можете пару дней попользоваться и после этого отписать ещё раз?
kukutz
+4
Ну, август ещё не закончился :)
kukutz
0
Метрика там была на странице.
kukutz
+3
В общем, это очень неприятная ошибка.

Вот комментарий пресс-службы:
Яндекс.Браузер собирает обезличенную статистическую информацию для улучшения качества Браузера, в которую включаются в том числе и адреса посещённых страниц. Это происходит только в том случае, если человек разрешил делать это в настройках программы (проставил галочку «Отправлять в Яндекс статистику использования»).
Из-за технической ошибки информация о некоторых таких страницах из Браузера попала в список, индексируемый роботом Яндекса. Мы уже исправили её для сайта, о котором было рассказано на Хабре, и в скором времени исправим ее полностью. Мы благодарны пользователю Хабрахабра за то, что помог найти эту ошибку
kukutz
+8
Пока ничего в личку не получил :(

Ещё раз хочу повторить, что такого быть не должно.

Если у кого-то из читающих этот пост есть аналогичные примеры — присылайте тоже.

В личку либо на емейл kukutz на yandex-team.ru.
kukutz
0
Только лучше смотреть со срезом «ru», это посетители из РФ.
kukutz
+19
Нам тоже интересно разобраться в ситуации. Такого быть не должно.

CatHap, можно Вас попросить настоящий лог, без цензуры, в личку прислать?


Роман Иванов,
Яндекс.Браузер
kukutz
+17
Денис, верни стену!
kukutz
+2
Это что-то очень странное, похоже на вирус. Мы, естественно, такое не покупаем и не делаем.

Есть ли у вас какие-то подробности? Скриншоты, урлы предложений, урлы, куда ведёт предложение?
kukutz
0
Не получается получить список коубов для определенного канала. Запрос coub.com/api/v2/timeline/channel/55?page=1&per_page=10?order_by=views_count (это из документации, обратите внимание на лишний вопрос вместо амперсанда), как и более правильный coub.com/api/v2/timeline/channel/1171706?page=1&per_page=10&order_by=views_count возвращают

{«error»:«Sorry, that page doesn't exist.»}
kukutz
–2
Ложное срабатывание :(

Выключили пока вообще всю эту систему, будем изучать и делать так, чтобы ложно она никогда не сработала.
kukutz
0
Нет, у нас неэксклюзиный договор с Правительством Москвы. Мы очень хотим, чтобы эти данные были открытыми. Но зависит это от них, а не от нас.
kukutz
–1
А нам так не кажется, сорри.
kukutz
0
Именно что запрещает.
kukutz
0
Тогда уж поиск по истории :)

Есть такая идея в копилке, да.
kukutz
–1
Мы много лет (не менее 6) просили у Оперы сделать возможность менять поиск по умолчанию в Опере Мини. К сожалению, безуспешно.

Вроде бы в определенный момент они сделали синхронизацию поисковика с десктопом, вы пробовали так?
kukutz
0
Простите, я не понимаю ваш комментарий.

Что именно Яндекс не сказал вам прямо? На что не дал прямой ответ?

Яндекс вам не сказал, кому ещё Дептранс отдал данные? Но мы не в курсе переговоров Дептранса с другими компаниями.
kukutz
+3
Смысл в том, что новость о том, что мы подали обращение в ФАС, всё равно выйдет, независимо от нашего желания. И мы решили объяснить, почему мы это делаем.
kukutz
+1
Но почему Яндекс должен ответить на вопрос, кому Дептранс даёт данные? Ведь это Дептранс их даёт (или не даёт), а не мы.

Мы всецело за то, чтобы данные были доступны всем. У нас нет тайного сговора с Дептрансом, чтобы они их не давали.

Что нам делать?
kukutz
0
Скажем, Еврокомиссия штрафовала Microsoft, пока он не начал выполнять их требования.
kukutz
0
Мы присутствуем на ряде операторских устройств.
kukutz
+2
А можете подробнее пояснить? Что именно вы увидели вместе с Яндекс.Браузером цветное и шевелящееся?

Я как раз продакт-менеджер Яндекс.Браузера. У нас в комплекте браузера не идёт никакое стороннее ПО. Есть экстеншны в сторе, которые можно включить, да и всё.
kukutz
+3
Выше в комментариях есть подробный ответ.
kukutz
0
У нас нет претензий к Apple, тут в комментариях bobuk вроде бы хорошо объяснил, почему.
kukutz
+1
И что ему ставить в, например, Бразилии?
kukutz
0
Да, насколько нам известно, это нарушение с точки зрения Гугла. Все прошивки, а также все обновления OTA проходят обязательную сертификацию в Гугле.