Как мы сделали чтение писем безопаснее: Content Security Policy в Яндекс.Почте

[rushter]

Вопрос не по теме, но у вас когда-нибудь появится двухфакторная авторизация?

[jogur_t]

Когда-нибудь появится )

[flerka_m]

Поддерживаю, очень бы хотелось авторизацию через телефон. А в целом спасибо за вашу работу! За последний год пересела на Яндекс Почту полностью. Недавно зашла на Gmail — показалось крайне неудобно и медленно.

[theproof]

> Если вы не хотите блокировать расширения хрома, которые, кстати, с последних версий тоже живут по CSP, то надо разрешить протокол «chrome-extension:»
Поясните пожалуйста, что имеется в виду. Расширения работают в отдельном окружении и имеют доступ к DOM такой же, как и стандартный код.

[doochik]

Если в manifest.json указаны content_scripts, то хром их вставляет в DOM как обычные скрипты. При этом src у них начинается с chrome-extension://. C CSS тоже самое.

[theproof]

Или я не очень понимаю, о чем вы, или вы ошибаетесь.
gist.github.com/anonymous/8027276 — сделал небольшой gist, добавил в Хром. Зашел на mail.yandex.ru — есть alert. Скрипт в DOM не добавляется (ну это как бы и логично)

[doochik]

Знаете, вы правы :)
Для новых хромов chrome-extension: и правда ничего не дает. Я сейчас погрепал старые логи и максимум, что нашел — Chrome 22

"blocked-uri":"chrome-extension://bgeakjmfknncppbmgkkfbglnodccdecp"

[theproof]

Думаю просто это совсем другой кейс — расширения на то и расширения, чтобы не трогать скрипты сайта (хотя это возможно), а именно расширять функциональность. А CSP у вас — это круто и как всегда на уровне и до мелочей.

[slava_ch]

Интересно, как вы определяете границы безопасности и паранойи?

Ваш валидатор в почте не понимает ссылки формата //yandex.ru вырезая атрибут href из ссылок напроч (я письмо в саппорт написал, обещали разобраться). Но я и ранее указывал на недостатки того, как вы игнорирует существование других стандартов, но как и сейчас было обещание разобраться и только.
Для примера если я напишу URI с указанием конкретного протокола ( sip:pupkin@example.com) то вы переделаете его в sip:<a href="mailto:pupkin@example.com" >pupkin@example.com</a> невзирая на прямое указание протокола sip:.
Интернет это не только mail и http. это еще и xmpp: ftp: tel: и прочие

[kappa]

Спасибо за указание на ошибки.

В первом случае поведение верное, урль //yandex.ru является относительным в смысле схемы, не имеет смысла в письмах и является ошибкой, но мы можем просто форсить его в схему https.

Во втором случае ошибка, скорее, на нашей стороне.

[funca]

report-uri — указывает URL, на который будут отправляться JSON-отчеты о нарушениях… Некоторые браузеры также указывают в отчете ссылку и строку JS, которые привели к нарушению политики безопасности.

офтопик. не про вас, а про механизм отчетов CSP вообще. расскажите подробнее как работает эта магия. интересно, может-ли таким образом владелец сайта получать дополнительную информацию о пользователях, которую раньше нельзя было бы получить?

смущает что владелец ресурса может получать в отчетах CSP ссылки. ведь ссылки могут содержать конфиденциальные данные (допустим, индентификатор пользователя в социальной сети, секретные ключи и т.п.). можно-ли намеренно «запретить» политиками CSP интересующие домены, чтобы затем получать эти сведения в отчетах?

гипотетический сценарий. допустим есть виджет социальной сети (//yy.ru/widget.js), который смотрит в куки своего домена и делает ajax-запрос к сервису авторизации, передавая логин в урле (//passport.yy.ru/?login=username). штатными средствами мониторить ajax запросы браузер не даст. добавляем виджет на страницу, политиками разрешаем загрузку виджета c домена yy.ru, но запрещаем доступ к домену авторизации passport.yy.ru. когда на сцену выходит CSP в отчетах получаем урлы с логинами, по которым пользователей можно идентифицировать. профит.

если все это нереальный бред про паранойю, буду признателен за конструктивную критику. :)

[doochik]

Да, в принципе, такое возможно, но CSP тут нового ничего не вносит. Владельцу сайта никто и раньше не мешал переопределить XMLHttpRequest и смотреть на все ajax-запросы.

Что касательно отчетов, то в CSP 1.0 управлять отчетами нельзя, их можно только слать или не слать, и их формирует браузер. А в CSP 1.1 будет DOM-событие о нарушении безопасности и там уже можно будет что-то с ними сделать.

[vanxant]

Grammar-Nazi негодует на дизайнера вашей картинки.

[Panya]

Это вы про Пушкина?

[vanxant]

Это я про virusess

[Panya]

Ну доменные имена у сайтов с вирусами и не такие бывают :)

[natio]

Отлично :)
Может здесь ответят с чем связана странная работа яндекс почты последних 3 недели?
В частности корпоративной. У двух клиентов с разницей в 1 день оказались пустыми ящики и адресные книги у меня при чтении писем яндекс упорно рекомендовал завести новый ящик.

[vsadm]

Дайте больше подробностей в личку, пожалуйста.

[jeppeQue]

Немного не в тему.
Ребята, вы сделали аналитику для рассылок, но нигде не рассказали как ей пользоваться. Может быть, сделаете краткий мануал? Интересный функционал, но непонятно как с ним работать.

[jogur_t]

Помощь не помогает? help.yandex.ru/postoffice/

Какие у вас вопросы?

[jeppeQue]

Непонятно как делать рассылки.

[jogur_t]

Простите, но я вас не понимаю.
Вы правильно сказали: мы сделали инструмент для анализа рассылок.
Логично, что он не умеет делать рассылки, он умеет рассказывать что сталось с письмами, отправленными на Яндекс.Почту.

mail.yandex.ru/promo-postoffice

[f1045]

Сделайте пожалуйста подтверждение владения доменом через DNS-запись, не всегда существует сайт.

[jogur_t]

Можно провалидировать e-mail.

[bonifaci]

Пока что можно подтвердить владение доменом в Почте для доменов или же в Вебмастере — на этих сервисах есть подтверждение через DNS. Пользоваться этими сервисами после подключения домена не обязательно (хотя мы были бы рады новым пользователям и там тоже). В случае с Почтой для доменов можно даже не настраивать MX, достаточно только подтвердить владение. После этого владение автоматически подтвердится и в Почтовом офисе.

[anton_slim]

Статья написана год назад, а я только что увидел лог в хроме (скрин):

Refused to load the image 'https://yandexadexchange.net/claim?k=5776172222795026221&d=h' because it violates the following Content Security Policy directive: «img-src 'self' data: *.gemius.pl *.tns-counter.ru maps.googleapis.com *.yandex.ru *.yandex.net *.yandex.ru view.atdmt.com *.doubleclick.net lamoda25.ru bs.serving-sys.com r24-tech.com yandex.st yastatic.net».