Открыть список
Как стать автором
Обновить

Комментарии 14

Мне кажется основная кнопка должна быть «Не входить», чтобы пользователь на автомате не нажал «войти». Достаточно многие привыкли нажимать «далее — далее — далее — получить результат». Поэтому опасные действия должны осознано производиться, где действие по умолчанию — блокировать. Например в Chromium при попытке зайти на сайт с неверным сертификатом, основная кнопка — Back to safety
Спасибо. Согласны с Вами. На скриншоте один из первых вариантов этого диалога. Допиливание этой штуки идет активно.
Эта штука весело работает с паролем-по-умолчанию-для-всяких-форумов
Тут важно учесть, что защита по умолчанию работает только для паролей от популярных и критичных сервисов. И если человек использует один и тот же пароль для интернет-банка и для «всяких форумов», то это уже проблема. И мы привлекаем к этой проблеме внимание. Но при этом разрешаем добавить сайт в исключение (кнопка «Я доверяю этому сайту»).
У нас с вами разное отношение к mail.ru, как выяснилось :)
Вредоносные расширения живут в вашем браузере по 2 месяца точно. Вы его удаляете, а добавить новое в хром стор это подождать один день модерации.
Про 2 месяца хотелось бы посмотреть детальнее пример. Распространяющиеся угрозы мы обычно рубим достаточно быстро. Хотя проблемы с расширениями все равно остаются. Это уже не та «эпидемия», что была в цитируемой истории, но работы все равно хватает.

Вы правы, модерация в Chrome Web Store сильно упрощает жизнь мошенникам, и мы, к сожалению, никак не это повлиять не можем. Поэтому создаем защиту на своей стороне.
Запретить инлайн инсталл и редиректить на стор — the best solution :)
К сожалению, инлайны это не единственный «способ доставки».
А где можно посмотреть сорцы?
У Браузера закрытый исходный код. Отчасти из-за смежных прав на используемые компоненты. Но при этом мы вполне официально участвуем в проекте Chromium и отправляем туда свои коммиты (чуть подробнее об этом писал тут).
Проксировать трафик ВК в открытых сетях немного странное решение. Конкретно в этом случае гораздо проще перенаправить на https://vk.com. Встроенный аналог HTTPS Everywhere хотя бы на десяток самых популярных сайтов в разы бы повысил безопасность пользователей.
То есть платят только если твоя вулна окажется в топ-3 по критичности?
Как понимаю, вы таким образом щупаете почву — прежде так же открывали баг-баунти для вебарей. Народ заслал вам много вулн, вы оплатили малую их часть. Через год открыли уже полноценную баг-баунти.
Если я правильно понимаю положение дел — не вижу смысла участвовать в текущей.
К моменту запуска постоянного багбаунти текущие уязвимости могут потерять ценность.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.