Режим «инкогнито» в браузере — это фикция?
30 июля компания Google выпустила Chrome 76 с улучшенным режимом инкогнито. Теперь браузер обходит «пейволы», которые ставят читателям лимит на «несколько статей в месяц», а потом требуют подписку или регистрацию. Например, The New York Times позволяет читать десять статей в месяц, а Wired —...
«Режим бога для интернета»: слежка за пользователями через расширения Chrome и Firefox
У многих в браузере установлены расширения. Как минимум, блокировщик рекламы. Но при установке расширений следует проявлять осторожность: не все они полезны, а некоторые и вовсе используются для слежки. Даже если конкретное расширение прямо сейчас не «ворует» никакой информации, нет никакой...
Как DNSCrypt решил проблему просроченных сертификатов, введя срок действия 24 часа
Раньше сертификаты часто истекали из-за того, что их нужно было обновлять вручную. Люди просто забывали это сделать. С появлением Let’s Encrypt и автоматической процедуры обновления вроде бы проблема должна быть решена. Но недавняя история с Firefox показывает, что на самом деле она по-прежнему...
[Перевод] Технические детали недавнего сбоя расширений Firefox
Об авторе. Эрик Рескорла — технический директор группы Firefox в Mozilla Недавно в Firefox произошёл инцидент, когда большинство дополнений (расширений, аддонов) перестали работать. Это связано с ошибкой с нашей стороны: мы не заметили, что истёк срок действия одного из сертификатов, который...
Сегодня многие популярные аддоны для Firefox перестали работать из-за ужесточения политики безопасности
Здравствуйте, уважаемые хабровчане! Сразу хочу предупредить, что это — моя первая публикация, так что прошу сразу оповещать обо всех замеченных проблемах, опечатках и прочем. Утром, как обычно, я включил ноутбук и начал неспешный сёрфинг в своем любимом Firefox (релизный 66.0.3 x64). Внезапно утро...
Уязвимость в фильтрах AdBlock и uBlock позволяет выполнять произвольный код на веб-страницах
При соблюдении ряда условий, опция фильтра $rewrite, внедренная в AdBlock, AdBlock Plus и uBlock с обновлением 3.2 от 17 июля 2018 года, позволяет выполнять произвольный код на отображаемой пользователю веб-странице, сообщается в блоге armin.dev. Вот как описывается проблемная функция в самом...
FireFox возможно будет монетизироваться за счет встроенного платного VPN-плагина
Mozilla решила пойти по стопам браузера Opera и попробует добавить встроенную функцию шифрования трафика. Компания Mozilla намерена начать эксперимент по обеспечению в Firefox встроенной возможности работы через VPN. Эксперимент начался в понедельник 22 октября и по-умолчанию коснется лишь...
Блокировка контента, расширение для браузеров chromium
Основной тренд этого года «блокировка», описанное ниже расширение, позволяет почувствовать власть над контентом в браузере. Помню давно, в детстве, при просмотре телевизора, во время рекламных блоков, всегда делался некий перерыв как школьная перемена, сходить на кухню или отхожее место, по...
Кросс-браузерное веб-расширение для пользовательских скриптов Ч.4
В этой статье я завершаю цикл публикаций, в котором я хотел рассказать о своём опыте написания веб-расширения для браузеров. У меня уже был опыт создания веб-расширения, которое установили около 100 000 пользователей Chrome, которое работало автономно, но в данном цикле статей я решил углубиться в...
Кросс-браузерное веб-расширение для пользовательских скриптов Ч.3
В этой статье я продолжаю цикл публикаций, в котором я хочу рассказать о своём опыте написания веб-расширения для браузеров. У меня уже был опыт создания веб-расширения, которое установили около 100 000 пользователей Chrome, которое работало автономно, но в данном цикле статей я решил углубиться в...
Кросс-браузерное веб-расширение для пользовательских скриптов Ч.2
В этой статье я продолжаю цикл публикаций, в котором я хочу рассказать о своём опыте написания веб-расширения для браузеров. У меня уже был опыт создания веб-расширения, которое установили около 100 000 пользователей Chrome, которое работало автономно, но в данном цикле статей я решил углубиться в...
Кросс-браузерное веб-расширение для пользовательских скриптов Ч.1
В этом цикле статей я хочу рассказать о своём опыте написания веб-расширения для браузеров. У меня уже был опыт создания веб-расширения, которое установили около 100 000 пользователей Chrome, которое работало автономно, но в данном цикле статей я решил углубиться в процесс разработки веб-расширения...
Подбираем пароли с помощью Google Chrome
Согласно многочисленным исследованиям в области компьютерной безопасности, в ТОП-3 уязвимостей информационных систем входит подбор пароля. Почти для каждой информационной системы сегодня существуют свои дефолтные учётные записи, которые широко распространены в сети Интернет. Например, их можно...
[Из песочницы] Мошенническое расширение в Google Chrome. Расследование
Эта статья обошлась мне в 3343 рубля, именно столько Я потерял при переводе Litecoin на Qiwi RUB и хочу описать мою историю подробно, чтобы Вы дорогие Хабровчане не наступили на те же грабли что и Я. Мне нужно было вывести средства с биржи Poloniex в фиат. Для этого Я воспользовался популярным...
Эволюция вредоносных расширений и технологий защиты. Опыт Яндекс.Браузера
Расширения – это отличный инструмент для добавления новых возможностей в браузер. А еще с их помощью тайно встраивают рекламу, воруют данные, рассылают спам и даже майнят криптовалюты. Сегодня мы поделимся с вами нашим опытом борьбы с подобными расширениями, вы узнаете об основных каналах...
А был ли взлом «Госуслуг»? Гипотеза от ИБ Яндекса
В четверг в сети появилась информация о том, что на сайте Госуслуг найден потенциально опасный код, и сегодня мы хотим поделиться с вами результатами собственного расследования и в очередной раз напомнить о важности применения Content Security Policy. В первых сообщениях об угрозе говорилось о...
Безопасность сайта по его заголовкам, или что делать, если хочется залезть во внутренности каждого сайта
Разработчики стараются внимательно относиться к своим продуктам, минифицируют файлы, настраивают кэш, дерутся за каждую миллисекунду скорости. Но почему-то почти везде игнорируется то, что самым первым отправляется пользователю — а именно заголовки HTTP. Как-то довелось мне посетить курсы по...
[Из песочницы] Обход CSP при помощи расширений Google Chrome
Не так давно настроил я на своем проекте CSP (content security policy), и решил что жизнь удалась. Ведь теперь невозможно подгрузить скрипты с запрещенных ресурсов, и даже о попытке сделать это, я буду уведомлен соответствующей ошибкой. А если кто-то и подгрузить скрипт, то все равно ничего не...