Блог Яндекс.Браузера

Месяц поиска уязвимостей в Яндекс.Браузере

Удалённый пользователь
26 октября 2015, 15:02

Сегодня мы запустили конкурс, в рамках которого любой желающий может попробовать найти уязвимость в Яндекс.Браузере и побороться за денежный приз (от 150 тыс. до 500 тыс. рублей). Подробнее об этом можно прочитать на Хабрахабре. Кстати, там же я рассказываю, почему мы внедряем такие технологии, как шифрование Wi-Fi и защиту паролей, а не ограничиваемся лишь исправлением уязвимостей. Обсудить и задать свои вопросы вы можете и на Хабре, и здесь в комментариях.

75 комментариев
Подписаться на комментарии к посту
Мастер Груша х_х
26 октября 2015, 17:29

Прошу прощения, у меня вопрос не совсем по теме:

Вот смотрите: ко мне приходит человек, я запускаю для него окно браузера в режиме инкогнито, но при этом он видит мою историю посещений (не важно, есть ли там что-то этакое или нет) и историю загрузки.

Можно ли попросить сделать это отключаемым? Ну, чтоб совсем-совсем инкогнито?

Или, например, добавить ввод пароля при переключении профилей? 

 

И прям совсем-совсем не по теме: можно ли надеяться на появление групп в Табло? Текущее ограничение в 25, что ли, слишком строгое. Это, пожалуй, единственное, что мешает мне полностью перейти на ЯБ с Хрома, в котором есть чудеснее расширение SpeedDial 2, в котором у меня сейчас 8 групп, в каждой из которых по 10-20 закладок.

Вот как это выглядит: https://pp.vk.me/c629226/v629226512/31db4/6E--TndbgI8.jpg

Режим инкогнито ведь заключается в том, что браузер не запоминает новую историю и все такое. А текущие данные используются. 

Мне кажется, в Вашей ситуации было бы правильнее создать пустой гостевой профиль. 

Про группы, папки и иные доработки Табло думаем. Но пока обещать не хочу. 

Тогда и про закладки подумайте - потому что в стиле оперы текущей - гораздо удобнее, чем в обычном стиле. :-)

Да.Закладки в опере не плохие,было бы здорово закладки класические переделать на новые.

Да и собственно уйти из классики на что то новое.

уже писал про мастер-пароль!!вы мне ответили "КОМУ ВЫ НЕ ДОВЕРЯЕТЕ ДОМА?"правильно!дома всем доверяют и по этому у большинства даже профиль виндовса БЕЗ ПАРОЛЯ!!!!!!а в вашем браузере пароли защинены именно этим паролем!!!!вы это специально в тайне храните?вы об этом предупреждаете?и потом менеджеры паролей легко импортируют пароли из браузера!хоть бы на всякий случай парол спросил?!если зловред пропишится в системе и притворится ну скажем Sticky Password или SafeInCloud Password Manager!что будет?не выход ли (обязательный лучше) мастер пароль?установка которого запрашивалась при установке и с объяснениями зачем!складывается впечатление .что программы пишут по старинке-профессионалы для професионалов!наймите хоть одного ЛУЗЕРА!

Нет, мастер-пароль не поможет против зловредов на компьютере.

К тому же, опытные пользователи могут защитить себя от зловредов иными способами. Все остальные - просто не будут пользоваться паролем, потому что это усложнит им жизнь.

ОПЯТЬ ВЫ ПРО ОПЫТНЫХ!ДА ТАКИХ УЖЕ ДАВНО МЕНЬШИНСТВО!УСЛОЖНИТ ЖИЗНЬ?ПРАВИЛЬНО!И ПО ЭТОМУ ОНИ ДАЖЕ ВИНДОВС НЕ ЗАЩИЩАЮТ ПАРОЛЕМ!ВЫ ЖЕ РЕКЛАМИРУЕТЕ СВОЙ БРАУЗЕР КАК ПРОСТОЙ И НАДЁЖНЫЙ!С ЗАЩИТОЙ ПАРОЛЕЙ(ВЕРЬ ПОСЛЕ ЭТОГО ТЕЛЕВИЗОРУ!)НЕ РЕШАЙТЕ ЗА ДРУГИХ!ДАЙТЕ ВОЗМОЖНОСТЬ ВЫБИРАТЬ,  НО ПРЕДУПРЕДИТЕ О ПОСЛЕДСВИЯХ!ДАЙТЕ ВАРИАНТЫ ЗАПРОСА! А ОПЫТНЫЕ ЗАЩИЩАЮТ СЕБЯ ВЫБИРАЯ ДРУГИЕ БРАУЗЕРЫ!В МАЗИЛЕ КСТАТИ ЕСТЬ МАСТЕР ПАРОЛЬ!ОНИ НЕ СЧИТАЮТ ЭТО ЛИШНИМ!ВСЕ МЕНЕДЖЕРЫ ПАРОЛЕЙ ИМЕЮТ ФУНЦИЮ АВТОВЫХОДА ХОТЬ КАЖДУЮ МИНУТУ!И ОНИ НЕ СЧИТАЮТ ЧТО ЭТО БУДЕТ ЛИШНИМ  И УСЛОЖНИТ ЖИЗНЬ ПОЛЬЗОВАТЕЛЯМ! А ВЫ УТВЕРЖДАЕТЕ, ЧТО ВООБЩЕ НЕ СМОЖИТЕ ЗАЩИТИТЬ ПАРОЛИ ОТ "зловредов на компьютере"! вот вам и УЯЗВИМОСТЬ В БРАУЗЕРЕ! оказывается это разработчики!

Прошу понято меня правильно!Мне очень нравятся подукты яндекса и расчитываю ими пользоваться в будущем!Отсюда и моё упрямство!Удачи!

 

Честно говоря, не понимаю, о чем Вы. С каким именно утверждением Вы не согласны? Вы не согласны, что большинство простых пользователей никогда не будет пользоваться мастер-паролем? Или Вы не согласны, что мастер-пароль это не гарант безопасности против зловреда, который уже на компьютере с правами админа?

мне не понятно почему только вы так считаете!создатели мазилы,Sticky Password,SafeInCloud Password Manager,RoboForm,KeePass Password Saf, да тотже LastPass по вашему ничего не понимают?или обманывают?

Хорошо, хоть Вы не ответили на мои вопросы, я все равно попробую объяснить это, но уже с другой стороны. 

Простой пароль на запуск браузера или просмотр сохраненных паролей не решает никакой серьезной проблемы. Это иллюзия защиты. Самоуспокоение. Помогает максимум от любопытного члена семьи. Почему? Потому что вредоносный софт на компьютере его обойдет легко и отправит все данные по сети. 

Если мы говорим о LastPass или даже 1Password, то это далеко не просто мастер-пароль. Это инструмент для опытных пользователей. Доступ к паролям защищен не просто на просмотр. Их даже браузер подставить в поле не сможет, пока паролем не разблокируют. Более того, чтобы обеспечить полноценную защиту, нужно включать еще двухфакторную защиту и озаботиться самостоятельным хранением базы. 

А теперь вопрос. Зачем изобретать встроенный упрощенный аналог 1Password, усложнять проект, добавлять баги и отнимать ресурсы, если большинству простых пользователей вообще никакой пароль не нужен, а опытное меньшинство предпочтет профессиональные инструменты?

а разве в вашем браузере нет функции сохранения и синхронизации паролей!разве в рекламе браузера не упоминается защита паролей!назвался груздем, так полезай в корзину!так бы сразу и ответили,что не хотите усложнять,проще прилепить lastpass!я бы понял!только он не совсем бесплатный!далеко за океаном!!!новый владелец!с другими менеджерами таже история!да и не все поддерживаются вашим браузером!

p.s.не ужели все менеджеры паролей расчитаны на опытное МЕНЬШИНСТВО,а всяке красивости и анимированные фоны не отнимают ресурсов?!

LastPass бесплатный. 1Password платный, но зато не хранит пароли на своих серверах (только локальная база). И оба прекрасно поддерживаются Яндекс.Браузером. Первый даже рекомендуется через раздел Дополнения. 

 

pushtarjov-sergejj
2 ноября 2015, 19:09

в томто и дело. что не хочется никаких сторонних!сейчас они бесплатны завтра нет!сегодня вы их поддерживаете ,а завтра других!

ластпас недавно сменил владельца!изменится он теперь или нет!раньше писем не слал ,а теперь зазыпал рекомендациями преобрести премиум!сделали бы своё дополнение к браузеру если не хотите браузер утяжелять! выдумываете всякую шушеру безполезную вроде строки поиска!зачем она?всё равно всё через браузер открывает!открыл домашнюю страницу.а там всё это в виде виджитов есть!и ваша строка становится бесполезным тормозом системы!вот еслиб был предпросмотр во всплывающем окнеа уж оттуда при необходимостипереход в браузер! о чём это я?!хоть пообещайте подумать на счёт менеджера паролей!

Эта строка удобна тем, что через нее можно запустить любое приложение компьютера, причем введя название на неправильной раскладке. Вот это киллер-фича :) 

pushtarjov-sergejj
5 ноября 2015, 19:06

будем посмотреть!

на счёт ласт паса!недавно пришлось заходить с другой машины,так ластпас отказался принять пароль запросив подтверждения по почте!а пороль от почты в ластпасе!после этого ещё острее встал вопрос о подходящем менеджере паролей!удачи!

Мастер Груша х_х,
в каталоге полно расширений с группировкой закладок в табло. Пример: https://addons.opera.com/ru/extensions/details/atavi-bookmarks/?display=ru
Мастер Груша х_х
13 сентября 2016, 00:38
bomberuss,
 и они работают в ЯБраузере?

Я только 1 знаю да и ото оно под описание не под ходит...

Если не секрет, какое?

Они чё там охренели ? Я им уязвимость дал а они сказали якобы это баг....

Смотря что ты им дал, обычный пользователям сложнее найти уязвимость, ибо они не  видят разницы.

А что этот баг позволял сделать? 

html5 имеет открытый код. Разве не будет возможности через него сделать браузер уязвимым? Единственное чем могут прикрыться создатели браузера это предоставить выбор пользователю самому выбирать параметры безопасности. Это как история с aktiveX. Мол ты сам его включил, дорогой юзер, ты сам виноват что твой браузер уязвим.

>html5 имеет открытый код.

Не понял - что вы имеете ввиду?

Многие программы и движки на языке html5 вроде как имеют открытый открытый код что даёт максимум свободы веб верстальщикам. Исходный код программы распространяется вместе с откомпилированной версией, при этом фактически поощряется модификация или усовершенствование программы в соответствии с поставленными перед ней задачами. Разработчики программного обеспечения, поддерживающие концепцию разработки программ с открытым исходным кодом, полагают, что их программа станет со временем более полезной и избавится от многих ошибок, если разрешить редактирование исходного кода всем заинтересованным лицам. А чтотим будет мешать сделать посещение страниц с содержимым html5 уязвимым

и каким образом открытый веб-приложений влияет на безопасность? как минимум нужно привести пример, как с помощью правильно сформированного HTML5+CSS+JS - получить повышенные права в системе и спереть что-

У них как-то в обшем написано, и то, если это действительно работает - то это позволяет зловреду только попасть на компьютер, минуя антивирус, но после деобфускации его еще нужно как-то запустить, чтобы не заметил антивирус. И конкретно к взлому браузера - это не имеет никакого отношения.

То есть для нас важно чтобы с браузером ничего не случилось а до устройства нам по барабану?

Это разные вещи - взломать систему и взломать браузер. За безопасность системы - отвечает производитель системы, за безопасность браузера - производитель браузера. Я просто не смешиваю все в кучу, т.к. есть четкое разделение отвественности ПО.

А я не смешиваю. Мне нужно чтоб в безопасности были мои данные и услуги автоматически не подключались если интернет через мобилу и чтоб мой аккаунт никто не взламывал. А если яндекс браузер будет по умолчнию на старте будет выдавать yambler и sindex и прочие вирусы то это не считается уязвимостью браузера?

Опять не совсем понял, что вы имеете ввиду?

Вы никогда не сталкивались с автоподменой стартовой страницы браузера из за того что какая-то хрень проникла в ваш комп. И после этого несмотря что вы на любом браузере в своем компе выставляете стартовую страницу яндекс при следующем запуске все равно на старте выходит какое нибудь "казино Вулкан". И даже после удаления вирусной программы антивирусом ситуация не меняется. Это весьма распространенное явление , к вашему сведению. Я не знаю чем с этим борятся но это явление по отношению к яндекс браузеру не является ли уязвимостью вот в чем вопрос. Сможет ли онбудучи установленным на ряду с остальными браузерами быть защищенным от этого явления?

И сможет ли противостоять браузер воздействию негативных факторов, если он установлен на заблаговременно зараженный компьютер?

Две открытых мной темы не прошли модерации. В них я рассматривал то каким образом яндекс идет на поводу у гугля. Во вторых я открывал тему в которой спрашивал какие недостатки есть в мобильной версии браузера. Это был бы самый явный способ заставить людей видеть над чем должны работать создатели браузера. Однако и эта тема была закрыта модераторами.

В шапке клуба написано:

Пожалуйста, задавайте свои вопросы в комментариях, не нужно создавать новые темы. 

Иначе начнется хаос, и новости никто не увидит. Поэтому вопросы и отзывы лучше писать в комментариях. 

А кроме Тимура кто нибудь еще имеет право создавать тему?

Все остальные посты не будут опубликованы. Надеюсь, что в ближайшем будущем мы проведем модернизацию платформы клуба и окончательно превратим его в современный блог.  

Берите пример с форума 4pda

Форум и блог - это немного разные инструменты. 

Блог хуже чем форум, т.к. он более односторонен и блоггер в лице яндекса будет в праве не принимать информацию которую ему предоставляют другие пользователи(как в принципе сейчас и есть) а в форуме в принципе любой может увидеть то о чем пишут люди, хотябы до тех пор пока инфа не подвергнется модерации. А новости яндекса так и так у всех на виду жаль только что мнение людей о произходящем и их желания редко учитываются.

Сравнивать блог и форум, это как сравнивать вилку и ложку. Вилка хуже ложки - через нее суп просачивается :)

А если серьезно, то ситуация вот какая. Форум это инструмент общения пользователей между собой. Блог это инструмент для распространения новостей и сбора мнений пользователей

Для нашей команды важно рассказывать новости (даже самые мелкие, которые вы больше нигде не прочтете) и читать отзывы. Блог для этого идеален. 

>блоггер в лице яндекса будет в праве не принимать информацию которую ему предоставляют

Это не правда. Лично я читаю все комментарии здесь. А еще читаю отзывы на том же форуме 4pda про Браузер. В этом плане разницы никакой нет. 

>мнение людей о произходящем и их желания редко учитываются

И это не правда. Если бы это было так, что интерфейс Кусто вышел бы год назад без каких-либо доработок.  

А по большому счёту, Тимур когда я нажал на ссылку вашего имени браузер выдал это

Я.ру закрыт

Записи пользователей и клубы больше не доступны для просмотра.

Спасибо всем, кто пользовался нашим сервисом.

Может вы вовсе и не тимур и Видимо надежды по созданию блога это всего лишь мечты и хорошо что наши посты в данный момент мало кто читает. И, от сотрясаний пользователеями воздуха ничего не зависит. Или эта надпись на которую я нарвался тоже надежда сотрудников яндекса на перемены к лучшему путём закрытия действующих сервисов. Благо хоть Алёна Суворова пишет отписки в службе поддержки.

 

Я.ру закрыт. И очень надеюсь, что скоро этот клуб переедет с остатков устаревшей платформы Я.ру на что-то более современное. 

P.S. Кстати, Тимур это вовсе не псевдоним. Меня еще и на Хабре можно встретить: http://habrahabr.ru/users/barakadama/.

Последний раз когда я отвечал на подобные отписки по электронной почте Алена Суворова дала мне такой ответ

Поскольку мы традиционно не оглашаем на­ших планов, то, к сожалению, я не могу с­казать ничего определенного по данному в­опросу. Пожалуйста, следите за обновлени­ями - http://clubs.ya.ru/yandexbrowser/

Она лично мне призналась что несмотря на все отрицательные и положительные отзывы о работе браузера, планы по улучшению качества которые оглашаются вслух - это всего-лишь очередное сотрясание воздуха менеджерами для успокоения пользователей.

Поддержка отвечает правильно. Это их работа - собирать отзывы, выявлять проблемы, помогать. И поток у них огромный. Поэтому не стоит обижаться, что иногда они не пишут персональные длинные письма. 

А вот я не сотрудник поддержки. Поэтому могу на личной инициативе спорить о фишках, рассказывать о каких-то планах. 

Она лично мне призналась

Боюсь, что это не правда. 

Я могу скинуть вам всю переписку со всеми ссылками но это займет много места. Это правда уверяю вас.

В общем по существу, Тимур, из вас наверно редко кто пишет а в основном сколько я не писал в службу поддержки ответ был СТАНДАРТЕН : спасибо за обращение ваше мнение будет учтено итд итп.

Прошло более полугода. Я задаю вопрос повторно а они мне аналогичный ответ. А на какой стадии находится работа над данным вопросом вообще непонятно. А вопрос состоял в том что у Яндекса не ведутся ВООБЩЕ работы по возможности просмотра онлайн видео после отказа от технологии flash в пользу html5. Например зайти на сайт ifun.ru и посмотреть раздел видео невозможно с мобильного устройства вообще. И не только на этом сайте. Компания Гоогле хотябы официально заявила что работы по внедрению html5 будут вестись( поэтому все знаменитые европейские сайты работавшие  ране на флеш видео с мобил воспроизводят)а яндекс в плане отказа от старых технологий на поводу у Гугля пошел но ничего для продвижения технологии не делает. 

Поддержка на то и поддержка (в отличие от меня), что обрабатывает сотни сообщений в день. Ответы стандартные, но пишут их живые люди. Или вы знаете еще браузер, где на обращения по почте будут отвечать?

Сама просьба странная. HTML5 прекрасно поддерживается. Естественно, владельцы сайтов тоже должны уйти от флеша в пользу HTML5. Не знаю, о каком сообщении от "Гоогле" Вы говорите, я такие не встречал. И очевидно, что в браузерах уже все готово. Дело за сайтами. 

Ну конечно не встречали вот вам ссылка https://support.google.com/chrome/answer/2710225?hl=ru&ref_topic=3422804
Черным по белому
"продвигает этот веб-стандарт"

Если эту стандартную фразу считать анонсом планов, то тогда тоже объявляю, что наша команда тоже стремится продвигать HTML5. И это, кстати, будет правдой. 

Видимо у яндекса мало партнеров для продвижения html5 в росии. Не хотелось бы чтобы этим занимались америкосы из гугля. Ну что поделаешь.

Приведите, пожалуйста, пример "продвижения" html5. И пример "партнера". 

А Алена Суворова из поддержки яндекса написала так
> >В мобильном Яндекс.Браузере не встро­енного flash-плеера, поэтому видео и не ­воспроизводится. Но спасибо за Ваше пись­мо, мы обязательно рассмотрим реализацию­ такой возможности в будущем.

Или вы , Тимур скажете что это тоже неправда

Вот это правда. Но что Вы хотите подтвердить этой фразой?

Мобильный Flash мертв. Десктопный активно продвигается. Соответственно те сайты, которым важен мобильный трафик, уже перешли на HTML5 (ВКонтакте, например). Для тех, у кого посетители в основном с десктопа, это не проблема, и они по-прежнему на флеше. Здесь нет никакого партнерства и продвижения со стороны больших компаний. Все зависит от мотивации и бизнес-интересов владельцев сайтов. Про HTML5, поверьте, все знают уже много лет. Но если вы, как посетитель, сайту не нужны, то и делать они ничего не будут. 

Если вы действительно из службы поддержки можете проверить переписку по номеру тикета? Re: [Ticket#15101415020668798] Отзыв о работе мобильного браузера для Android

Уже писал, что я не из поддержки. Иначе бы у меня просто не было времени на споры. 

Не в обиду Яндексу и Вам, Тимур - но 4pda читать гораздо удобнее и приятнее;-)

А что именно интересно читать на 4pda? Новости или обсуждение между пользователям? Про второе согласен. Здесь в этом плане не слишком удобно искать сообщения внизу. 

Кстати, надеюсь, что скоро здесь в клубе произойдет кое-какое обновление и станет удобнее ;)

Про интересность я ничего не говорил) но отвечу на Ваш вопрос: Мне на 4pda интересно читать практически всё - новости, обзоры, дайджесты софта, обсуждения на форуме. И говоря об удобстве, я имел в виду именно форум.

Истину глаголите. И форум и новости на 4pda читать удобно ииинтересно и работает хорошо система поиска интересующих вопросов и в форуме и в новостях. Модераторы живо реагируют на чаяния пользователей. А Тимур не будучи работником службы подержки довести реакцию до менеджеров яндекса видимо не заинтересован. Как я понял основной его задачей здесь является донести определнную новость  до некоторых пользователей, и убедить их что сейчс итак всё хорошо а впоследствии, возможно, будет лучше. Подождём еще пару лет и возможно яндекс обзаведется хорошим блогом. Но блог это мелковато для такой компании как Яндекс. Блоггингом может заняться даже первоклассник путем фотографирования завтрака обеда и ужина. А яндексу , повторюсь, нужен форум ну и плюс объединенный с ним новостной портал с компетентными модераторами.

Тут важно понимать разницу. Для 4pda форум и блог это и есть продукт, на котором они зарабатывают. Для нас клуб это проект для души и живого общения с наиболее активными пользователям. Мне кажется, было бы неправильно вместо разработчиков браузера нанимать штат модераторов. Ресурсы же ограничены.

Но если отбросить излишнюю философию, то я согласен, что было бы идеально обновить блог и создать продуктовый форум, на котором пользователи могли бы обсуждать между собой любые связанные с браузером темы. И я бы хотел такое в будущем. Но всему свое время. 

Хотя уже сейчас у Браузера есть поддержка, которая отвечает на все письма пользователей (у кого еще есть подобное?) и фиксирует все пожелания (команда видит количество запросов на ту или иную фишку). А еще у нас есть клуб, где можно прочитать новости и обсудить их не с модератором, а с представителем команды. Но и это лишь начало, надеюсь. 

Не удивляйтесь господа если модерацию не пройдет и описание уязвимости которое вы даёте а приз получит свой человек.

Нет, у нас все честно. Яндекс не в первый раз проводит такой конкурс. 

Доброго! Хотелось бы поставить яндекс.браузер на терминалку для 50+ пользователей. Как же это сделать? Есть ли способ из коробки сделать это в привычные %ProgramFiles%, не плодя 50+ инсталяций?

У версии 15.10 такой возможности точно нет. Но скоро (может быть уже в следующей версии) появится параметр, с помощью которого можно будет принудительно выбрать Program files. 

Ура! Спасибо! Будем ждать.

Помогите пожалуйста заставить ЯБ на андроиде синхронизировать хотя бы закладки. В телефоне все синхронизируется с настольным браузером, а в планшете - нет, хотя остальные аккаунты синхронизируются успешно. Понимаю, что дело в планшете, но куда копать, ума не приложу:-(

Если отключение, включение, переустановка (с удалением профиля) не помогают, то тут уже лучше писать в поддержку browser.yandex.ru/feedback. 

У меня уже второй раз появилась проблема, которая возникает не только в яндекс-браузере, но и в мозилле. На всех открываемых сайтах появляются внизу три баннера, прекрывая треть экрана и очень раздражающе мигая. Жаль, что я не могу вставить в этот ответ скриншот страницы

Введите текст цитаты

 

В системе явно завелся какой-то зловред. Напишите в поддержку. 

I'm sorry! Не отрицаю я не гуру в браузерах. Но на 64 битной Lubuntu часто Яндекс промахивается с кодировкой страниц. Ну страницы не совсем обычные...
Короче, могу ли я поменять кодировку уже открытой страницы? Если да, то как?
Еще раз простите, если вопрос от невнимательности. Ну не нашел
kls2,
у меня нет под рукой ничего из Linux, но на OS X есть такое меню https://yadi.sk/i/dQWn1z46tVDiB. Подозреваю, что и там оно должно быть.