Новости Яндекс.Браузера

Не все дополнения одинаково полезны

Сегодня на Хабрахабре мы рассказываем о нашей борьбе с вредоносными дополнениями, которые за несколько лет прошли путь от редких любительских поделок до профессиональных разработок, применяющих современные способы обмана пользователей. Для читателей нашего блога мы перескажем главное.

На что способны дополнения?

Дополнения — это отличный инструмент для добавления новых возможностей в браузер. К сожалению, они способны приносить не только пользу, но и вред. Дополнения могут тайно встраивать шокирующую рекламу в открываемые вкладки, перехватывать вводимые пароли и номера банковских карт, использовать ресурсы компьютера для добычи криптовалюты, рассылать спам в социальных сетях от вашего имени. 

Даже если изначально дополнение не содержало в себе никаких сюрпризов, оно может тайно обновиться в любой момент. 

Как распространяются опасные дополнения?

Способов много. Некоторые дополнения маскируются под полезные программы, и пользователи сами их находят. Другие распространяются с помощью сообщений в социальных сетях. 

Отдельно стоит сказать о принуждении к установке дополнений с помощью специальных страниц. К примеру, некоторые сайты автоматически разворачиваются на весь экран, включают громкие звуки и создают видимость блокировки браузера, отключить которую предлагается с помощью дополнения. В реальности сайты не способны заблокировать Яндекс.Браузер, и проще всего нажать кнопку Esc на клавиатуре для выхода из полноэкранного режима. 

Рекомендации по работе с дополнениями

Дополнения, которые предлагает Яндекс.Браузер (Главное меню — Дополнения), хранятся на наших серверах, поэтому безопасны. Если же вы устанавливаете их из других каталогов, то обращайте внимание на отзывы. Их отсутствие — тоже тревожный сигнал. 

Также рекомендуем внимательно смотреть на список прав, которые запрашивает дополнение. Если вы не готовы делиться указанной информацией, то от установки стоит отказаться. 

Как Яндекс.Браузер защищает от вредоносных дополнений?

Нам удалось наладить полуавтоматический процесс выявления сомнительных дополнений и их отключения. Работает это примерно следующим образом. Как только появляется любое новое дополнение, и его начинают устанавливать в Яндекс.Браузер, запускается процесс анализа на наших серверах. Мы используем машины, которые постоянно обучаются на уже известных плохих образцах, чтобы оценивать степень опасности новых. Явные злоупотребления блокируются автоматически. Сомнительные случаи проходят через ручной контроль. 

Идеальной защиты не бывает, но опыт нашей команды и знания Яндекса в области машинного обучения позволяют находить и отключать большинство вредоносных дополнений в Яндекс.Браузере за 1-3 дня после начала их жизни. Это более сотни уникальных дополнений в месяц и десятки тысяч защищенных пользователей.

Более подробно история нашей борьбы с опасными дополнениями описана на Хабрахабре

56 комментариев
Кстати, отмечу, что „Просматривать и изменять ваши данные” — это напрочь непонятно написано. Что такое „мои данные” — то, что на сайте написано, или то, что я туда в форму ввожу, или моя регистрация на нём?
Ребята, когда уже появятся дополнения на новой вкладке?
Очень этого не хватает.
А вообще вы молодцы, да.
Владислав
2 ноября 2017, 05:22
westakof,
недавно в очередном обновлении бета браузера обновили "шапку" и появились дополнения на новой вкладке. Если всё будет норм, пойдет в релиз :-)
Владислав,
знаю, стоит у меня эта новая бета, но расширений на новой вкладке нет - обидно :)
Владислав
2 ноября 2017, 15:16
westakof,
обновление прилетело не всем а случайным пользователям. Это сделано специально, что бы тестировать и ту и эту версии.
Блин, вы такие молодцы, ребята
наталія дарморост(мамчиць)
1 ноября 2017, 23:30
rr
Использую от силы 10 плагинов, в основном для гугл сервисов и работы. Учитывая что оболочка/тема браузера нельзя менять (даааавно просил и не я один, не знаю кто любит эти фоны которые видны только на новой вкладке, которую я вижу менее 1% времени работы с браузером и тему/оболочку браузера я вижу 100% времени) + факт телеметрии и сбора информации что в принципе можно отбросить - но не приятный факт.

Браузер хороший, но нет кастомизации - пользуйтесь как есть. Выделю из плюсов браузера - уменая строка и из коробки хот тайлы в новой вскладке.

Спасибо за внимание, еще слежу за браузером.
Владислав
2 ноября 2017, 15:18
Cadoru,
Я вижу фон гораздо чаще ибо постоянно присматриваю "Дзен" :-)
Cadoru,
а я кстати искал в Гугл постоянно, а мне в Яндексе выдается вся реклама как раз на тематики эти(при том что статистика у меня с UBlock-ом блокируется)
Лучше к "уидео в отдельном окне" масштабирование (по ctrl +\-) закрутите.
Обновлено 2 ноября 2017, 19:38
#оффтоп
В очередной раз меня огорчил браузер тем, что закрыл (не открыл при свежем запуске) более 80 (примерно) вкладок с ценной для меня информацией. Такое случается не впервые. Не часто, конечно, такое происходит, но все же происходит, что очень огорчает. Писал об этом ранее, на что получил бесполезный совет перезагрузить браузер с помощью Shift + Ctrl + Q. И нет, мне не предлагает загрузить вкладки, как случается при краше браузера
Тимур
Сотрудник Яндекса7 ноября 2017, 13:05
synDima43,
а не сохранился случайно номер обращения? 
Тимур,
Ticket#16110423070127231
Тимур
Сотрудник Яндекса7 ноября 2017, 17:21
synDima43,
так в этом обращении все проблемы были решены же. 


"Уточните, таким образом, актуальна ли какая-либо из заявленных Вами проблем в настоящий момент?"


"Вроде бы нет"
Тимур,
ну так на то момент потеря вкладок прекратилась. Я что Вам Настрадамус, чтобы утверждать, что вкладки больше никогда не будут закрываться? :) А потом уже лень было повторно жаловаться
Тимур
Сотрудник Яндекса10 ноября 2017, 09:20
synDima43,
просто мы это видим так: "– проблемы сохраняются? – нет. – хорошо, обращение закрыто.". 


Напишите, пожалуйста, ещё раз :) 
synDima43,
onetab https://chrome.google.com/webstore/detail/onetab/chphlpgkkbolifaimnlloiipkdnihall?hl=ru
Денчик,
мне тоже нравиться расширение!
Вы не одиноки =)
Классное
Скажите-ка, а как грохнуть из дополнений такую фигню, как evernote, lightshot, wot, fireshot?
Тимур
Сотрудник Яндекса7 ноября 2017, 13:04
VIVISECTVI,
в каком смысле? Они изначально в браузер не встроены. Только предлагаются для загрузки и установки. 
Тимур,
в том смысле, что у себя в браузере я могу удалить только те, что в списке "из других источников". А такие, как Evernote, LastPass, Синхронизация, Pocket и Сервисы Яндекса, и еще несколько, были предустановлены. То есть я скачал у вас браузер уже с ними и не могу их удалить. Почему то.
Тимур
Сотрудник Яндекса7 ноября 2017, 17:28
VIVISECTVI,
они не установлены и не загружены. Загружаются только после "включения". Это такая витрина. Наш мини-каталог. 
Кто то может удалить 'ту страницу http://nova.rambler.ru/saved_goo?key=_ZuaZxFPb-EJ&text=качественный%20трафик%20для%20сайта&url=1informer.com%2Fkak-poluchit-deshevyj-no-kachestvennyj-trafik-na-sajt%2F ?????????/


Рамблер валит все на яндекса
Здравствуйте!
С 23 июня 2011 года "Рамблер" начал использовать поисковые технологии компании
Яндекс, которые дополняет собственными сервисами.
Результаты поиска показываются согласно настройкам Яндекса. Для решение вашего
вопроса следует отправить в службу поддержки со страницы https://yandex.ru/support/abuse/troubleshooting/search/main.html
Пишу уже 100 ый раз
Тимур
Сотрудник Яндекса10 ноября 2017, 09:18
Hayk8877,
а пока указанному адресу никто не отвечает? 
Тимур,
Привет.
Айк, мы лишь индескируем информацию. Ответственности за содержимое страниц мы не несем.

Для защиты своих авторских прав Вы можете обратиться с жалобой непосредственно к администратору сайта с идентичным, на Ваш взгляд, контентом и/или к его хостинг-провайдеру, а также воспользоваться иными законными способами защиты своих прав. Могу добавить, что ссылка на соответствующую страницу исчезнет из результатов поиска Яндекса автоматически только в случаях удаления или запрета к индексации информации на сайте-источнике, а также в случае нарушений сайтом правил Яндекса в области поискового спама ( https://yandex.ru/legal/termsofuse/ )

К кому пожаловаться не понятно ?
+ Это не просто закладка а какой то хитрож***й выделили все ключи в статье для лучшего переспама ..........
Тимур
Сотрудник Яндекса13 ноября 2017, 10:44
Hayk8877,
я, конечно, не эксперт в поисковом спаме, но в текущей версии страницы ничего такого не вижу. 
Тимур,
Спасибо за ваш ответ !
Рацпредложение №1. Все новые дополнения на 1-3 дня отправлять на карантин. Т.е. устанавливать на виртуальные машины и убеждаться (с помощью вашего "машинного обучения") в их безопасности. А через 1-3 дня разрешать установку пользователям.



Рацпредложение №2. Запретить дополнениям доступ к полям типа "password", а также к событиям нажатия клавиш если фокус на поле типа "password". Запрет должен работать даже если у дополнения есть права на доступ к содержимому страницы.
Тимур
Сотрудник Яндекса10 ноября 2017, 09:15
test.129922,
Спасибо. 1. Тут проблема. Дополнения уже сейчас не всегда сразу начинают творить гадости. 2. Тут можно подумать. 
Тимур,
Я не говорю об абсолютном спасении от всех бед. Но какую-то часть зловредов суточный "карантин" отсечет, браузер станет чуть безопаснее.



С доступом к паролям - это вообще жуткий косяк Хромиума и его производных. Я не вижу ни одного "легального" сценария когда дополнению может потребоваться считывать пароли на страницах.



Оба рацпредложения реализуются довольно быстро и просто.
Тимур,
И потом, в статье написано, что "опыт нашей команды и знания Яндекса в области машинного обучения позволяют находить и отключать большинство вредоносных дополнений в Яндекс.Браузере за 1-3 дня после начала их жизни".


Т.е. карантин на 1-3 дня должен помочь.
Выйдет ли облегченная версия для ПК, например, у которых старый процессор или 2 гб озу с 32 гб памяти (есть такие в Э-адо)
Тимур
Сотрудник Яндекса13 ноября 2017, 10:32
Hallo Ween,
подумаем. 
Александр
11 ноября 2017, 20:57
Здравствуйте,очень прошу подсказать куда копать чтобы убрать всплывающие окно обновить браузер.Моя текущая версия 17.4.0.2461.Знаю,что устарел,НО в новых версиях у мне проблемы с отображения сайтов(графические элементы и цвет).Подозреваю на акселерацию GPU(ATI Radeon HD 4800;Win10-32).Сброс browser://flags/ и удаление всех дополнений не помогает.
Тимур
Сотрудник Яндекса13 ноября 2017, 10:32
Александр,
опишите, пожалуйста, проблемы с отображением сайтов через "Сообщить о проблеме" в меню браузера. 
Александр
13 ноября 2017, 16:00
Тимур,
Здравствуйте,а со мной уже связалось служба продержки,отправил им скрины,часть проблемы решили,спасибо.
Александр
21 ноября 2017, 09:17
Александр,
Еще раз здравствуйте,Случайно обнаружил решение этой проблемы в корне,после чего все работает без проблем даже с использованием аппаратного ускорения.В диспетчере устройств откатил на дефолтный драйвер от майкрософт и тут же установил обратно драйвер от АМД и все заработало .Может кому пригодится
Тимур
Сотрудник Яндекса21 ноября 2017, 11:06
Александр,
спасибо. 
Ночной Странник
15 ноября 2017, 12:14
 А куда убрали из сервисов яндекса  кинопоиск? Полезная штука...
Поставил сегодня FF 57. Очень продуманное подменю, работа с меню в строке, справа от строки. Всё настраивается, всё гибко. Может, много лишнего и сыро, но идея нравится. И вообще, он более свежий теперь оказался, чем ЯБ. Рекомендую оттуда взять лучшие идеи). Например, кнопку Меню убрать от расположения вверху на уровень и рядом с "Загрузки". А переключение профиля (редкий функционал) убрать в тоже меню. А "Включить турбо" убрать подальше или вообще (есть в Настройках же).


А я бы, например, вынес туда "История".


Кстати, еще одна "мелочь" - в панели закладок нельзя удалить закладку через правую кнопку мыши - нет такого пункта. Только через меню.


Давно не было полезных изменений. Думаю, пора ;)
Александр
15 ноября 2017, 22:58
avmaksimov,
Да,согласен,удобно мыслите,в смысле по расположению кнопок и интерфейса.Вот ещё бы ссылки на раб.стол как в хроме ЯБ умел.
Здравствуйте! А не планируете расширить настройки "Табло"? Хотя бы изменение размера "дилов", возможность использовать свои изображения на них  и несколько видов изображений для популярных (как в расширении для FF SpeedDial)?
И ещё очень желательно кнопку закладок на Табло, панель закладок не панацея. А расширение  "Закладки" на табло не доступно .надо новую вкладку открывать.
Тимур
Сотрудник Яндекса21 ноября 2017, 11:12
from69parallel,
подумаем, спасибо. 
Может подумаете о реализации собственных клиентов для ВК и Одноклассников - легкие только! Как у Опера.
Тимур
Сотрудник Яндекса23 ноября 2017, 14:18
sir-modo,
а разве они не веб-версии сайтов открывают просто? 
И да. Почему бы вам не ОБНОВИТЬ УЖЕ НАКОНЕЦ ядро Хромиума? Давно уже вышли стабильные НОВЫЕ версии, а вы все никак от 61-ой отойти не можете ;)
Постарайтесь пожалуйста обновиться, как недавно Вивальди поднапряглись
Тимур
Сотрудник Яндекса23 ноября 2017, 14:16
sir-modo,
давно? 62 стабильный код вышел в ноябре. Это сравнительно недавно. И нам нужно время, чтобы взять его и добавить туда наши технологии. Разница в 1-2 версии – это очень хороший результат. 


P.S. Наши технологии уходят глубоко в браузер, а не только интерфейс меняют. 
Обновлено 23 ноября 2017, 14:17
Тимур,
да, я не прав. А про технологии я читал на Хабре, спасибо что работаете!
ребята, по ктрл+таб сделайте, чтоб можно было переключать вкладки по недавнему использованию, а не по порядку... в файрфоксе такая галочке напр. есть...
очень бесит браться за мышку и щелкать по вкладкам...столько времени теряется. ну пожалусто...... -_-
Тимур
Сотрудник Яндекса24 ноября 2017, 11:55
sv-ispu,
уже думаем :) 
Спасибо. Полезно.Время экономит. 
Хотелось бы заметить про Дзен,после отключения браузер перестал тормозить это нововведение привнесённое майкрософтом имеет в себе какие то функции о которых ,по моему личному мнению, мы ещё просто не в курсе ,если он заточен под их эдже браузер то там им и пользоваться..моё личное мнение.!
Марараш Шарарамов
12 февраля 2018, 17:42
(Из https://habrahabr.ru/company/yandex/blog/341382/
Раздел: Inline-установка)
У любого сайта есть возможность распространять свое официальное расширение, опубликованное в Chrome Web Store. Достаточно кликнуть по кнопке во всплывающей панели, и дополнение окажется в браузере. Остается лишь уговорить человека кликнуть. К примеру, сайт может перейти в полноэкранный режим и имитировать блокировку браузера, снять которую можно только с помощью расширения (живой пример).




А этот живой пример не опасен?

Марараш Шарарамов
12 февраля 2018, 17:44
"Из https://habrahabr.ru/company/yandex/blog/341382/
Раздел Inline-установка"
У любого сайта есть возможность распространять свое официальное расширение, опубликованное в Chrome Web Store. Достаточно кликнуть по кнопке во всплывающей панели, и дополнение окажется в браузере. Остается лишь уговорить человека кликнуть. К примеру, сайт может перейти в полноэкранный режим и имитировать блокировку браузера, снять которую можно только с помощью расширения (живой пример).
Пример не опасен?
Тимур
Сотрудник Яндекса14 февраля 2018, 13:25
Марараш Шарарамов,
если не устанавливать, то всё хорошо.