Как стать автором
Обновить

Яндекс отключил расширения с аудиторией в 8 млн пользователей. Объясняем, почему мы пошли на такой шаг

ЯндексИнформационная безопасностьРазработка веб-сайтовРасширения для браузеровБраузеры
Всего голосов 369: ↑360 и ↓9 +351
Просмотры195.2K
Комментарии 507

Комментарии 507

Список id отключенных расширений:
acdfdofofabmipgcolilkfhnpoclgpdd — VDP: Best Video Downloader
oobppndjaabcidladjeehddkgkccfcpn — Y2Mate — Video Downloader
aonedlchkbicmhepimiahfalheedjgbh — Помощник
aoeacblfmdamdejeiaepojbhohhkmkjh — RadioGaGa
eoeoincjhpflnpdaiemgbboknhkblome — x3
onbkopaoemachfglhlpomhbpofepfpom — x3
inlgdellfblpplcogjfedlhjnpgafnia — x3
ejfajpmpabphhkcacijnhggimhelopfg — x3
pgjndpcilbcanlnhhjmhjalilcmoicjc — x3
napifgkjbjeodgmfjmgncljmnmdefpbf — x3
glgemekgfjppocilabhlcbngobillcgf — x3
klmjcelobglnhnbfpmlbgnoeippfhhil — x3
ldbfffpdfgghehkkckifnjhoncdgjkib — x3
mbacbcfdfaapbcnlnbmciiaakomhkbkb — friGate CDN
mdnmhbnbebabimcjggckeoibchhckemm — friGate Light
lfedlgnabjompjngkpddclhgcmeklana — SaveFrom.net помощник
mdpljndcmbeikfnlflcggaipgnhiedbl — x3
npdpplbicnmpoigidfdjadamgfkilaak — x3
ibehiiilehaakkhkigckfjfknboalpbe — x3
lalpacfpfnobgdkbbpggecolckiffhoi — x3
hdbipekpdpggjaipompnomhccfemaljm — friGate3 proxy helper
gfjocjagfinihkkaahliainflifnlnfc — x3
ickfamnaffmfjgecbbnhecdnmjknblic — x3
bmcnncbmipphlkdmgfbipbanmmfdamkd — x3
miejmllodobdobgjbeonandkjhnhpjbn — x3
х3 — не находится в Chrome Web Store
х3 — не находится в Chrome Web Store


Не совсем так, некоторые из них там есть, просто надо не поиском пользоваться, а подставлять ID: chrome.google.com/webstore/detail/coupons-at-checkout/onbkopaoemachfglhlpomhbpofepfpom?hl=ru

Некоторые из Opera Store, некоторые уже удалены из обоих сторов.
Все что описаны, находятся в Chrome Web Store. поиск через ID и осуществлялся.
Ну я привел вам пример того, про который вы написали «х3», но который есть в Chrome Web Store. Он такой не один.
Странно, да, действительно, через поиск не находится
вот блин
friGate3 proxy helper удобен…

Сообщество, что вы используете для удобного включения прокси для определённых сайтов?
HandyCache, но это не расширение, а отдельный прокси с возможностью использования внешних прокси по заданным условиям.
SwitchyOmega правда он для FF
Почему же? Он у меня в Chrome несколько лет прекрасно работает.
есть под хром. И кажется это удобно. Можно отдельные сайты(заблокированные) гнать через прокси, а остальные «direct»
friGate CDN мне ещё нравился, что там ещё автоматом подключается поддержка .onion сайтов. Есть ещё подобные расширения, кто-то использует?
А надо расширения?
Tor полноценно поднятый на хоумсервере в виртуалке
+.pac файл где сказано что на .onion — ходить через Tor
Ещё бы подробнее найти что-то хоть про написание pac-ов. То работает, то нет. В Опере Блинк свежей, например.
Да я уже разное про него смотрел, и примеры разные изучал. Но проблема в том, что много вообще неясного вокруг них. Например, что надо сделать в Опере Престо, чтобы применилось изменение pac-а. Или вот, в свежей Опере Блинк просто не работает, и всё. И как назло, все примеры очень разные, в одном одно используют, в другом другое.

А потом friGate сливает небось куда вы ходите. Смысл этого.

Смысл есть.
Например обойти локальные блокировки.

Есть тор, есть опера с впн. Пользоваться расширениями, которые явно будут делать мутное что-то, чтобы монетизироваться.

«Opera VPN» это скорее прокси, нежели VPN. А тот факт, что трафик идёт от браузера до «родных» серверов, даёт повод сомневаться, что этот трафик не анализируется компанией Opera.
А прокси где взять?

warp от cloudflare

Не работает на Windows 8.1.

Работает, пользуюсь. Удобно, что громадное приложение для управления не нужно запускать — есть лаконичный cli.

Спасибо, последние беты даже не устанавливались, а релиз заработал на 8.1.
FoxyProxy

Поддерживает запароленный Socks5, в отличие от хрома, да.

На Хромиуме (Хроме) не поддерживает. Есть только одно расширение, которое поддерживает это на Хромиуме, но оно умеет работать только с одним прокси.

Tor bundle ( установлен как сервис) + foxyproxy

Browsec? Правда, автоматом включается только на одном избранном сайте.
Аналогично) Правда с ним «тяжелее» грузятся сайты, но что поделать… вроде фригейт уже как то раз отсутствовал в хром-магазине, я тогда брату настраивал комп, и пришлось выкачивать файл расширения с моего компа и вручную пихать в его хром.
Может снова когда-нибудь появится.
Я возможно не совсем по теме (всё таки речь больше о Chrome-based браузерах) но фригейт был и на используемой мной мозилле, как его замену я использую github.com/salarcode/SmartProxy (есть и для хрома)).
Единственное что прокси надо самому искать, но с фригейта я в своё время потому и слез что пред-настроенные прокси пропали.
вот в этом и дело. прокси приходится менять вручную и я не нашел такого, где автоматом.
SwitchyOmega тоже надо прокси ставить вручную :(
фригейт прокси стабильно работал(работает) в этом плане :)
В FoxyProxy можно писать правила для каждого прокси, делать black и white листы сайтов

Теперь вы знаете, в каком месте расширение Frigate его надо сломать, чтобы оно не вредило. Сделайте из него свой userscript, оставив только хорошее.

Тут всё же надо знать где и что меня. Или разобраться, на что уйдет пару часов точно:)
А потом еще разбираться как его выложить для всех и т.п. Тоже фиг знает сколько времени.

А вот если кто-то, кто в этом уже разбирается пересоберёт Frigate и выложит, было бы здорово:)

Серьезно, если это просто, подскажите как это делается по шагам. Я бы пересобрал friGate3 proxy helper, но вот как выложить уже не знаю, да и наверное это будет нарушением авторских прав на оригинальный код

1). Проще всего надо найти место с URL конфигуратора и похерить. Вряд-ли это приведёт к потере легальной функциональности.


2). Я имела ввиду, что это можно на раз-два сделать для себя до точно хотя бы.

Штатный функционал: автоконфигурация прокси через pac-файл. Сам файл беру с antizapret.info — там уже прописана логика включения, и прописываю в нём свой прокси.

Готовый — это же не спортивно! Надо самому написать его. :-)
Хочу, хочу неспортивно! Где, говорите, там файл взять?
Ориентироваться можно и на тот pac, что в комплекте i2p есть… Я его за основу взял.
FoxyProxy, он хоть устарел и импорт\экспорт поломался, но до сих пор работает.
Да, FriGate очень удобная штука (была). Для себя выяснил, что единственный заблокированный сайт, на который приходится заходить время от времени — это r*tracker, который имеет собственное расширение. В остальных случаях использую VPN.
Browsec
'Обход блокировок Рунета' — очень хорошее расширение, умеет работать, как со встроенным прокси, так и своими socks|http-прокси и локальным tor (можно установить, как сервис в windows)
Proxy SwitchyOmega
в нем можно PAC профиль создать с адресом РАС загрузкой локально и обновлением.
то есть тот же самый антизапрет будет у тебя новый храниться локально обновляться и управлять перенаправлением запросов
FastProxy
Уж что-что, а в FastProxy использовался самый очевидный для разбирающихся в jquery метод исполнения загруженного кода, но совершенно не очевидный для людей, не часто пользующихся jquery.
at the first glance, you won't find any eval() or chrome.tabs.executeScript() calls in this extension. Don't be fooled, this extension uses jquery library, which AUTOMATICALLY EXECUTES any downloaded script using $.ajax() call. This is documented jquery functionality, but if you don't know about that, you'll be puzzled.

Разработчик FastProxy какое-то время использовал прокси-серверы АнтиЗапрета, без разрешения проекта, и заменял страницу с ошибкой открытия сайта на свой текст. Я включил в страницу ошибки MutationObserver и переадресовывал пользователей на вот эту страницу:

antizapret.prostovpn.org/fastproxy-warn
mester пишет: на фоне хромовской версии, фаерфокс версия вообще полностью безопасна
Фух, я в firefox им и пользуюсь.
FoxyProxy и в лисе и в хромообразных.
Так это коммент про FastProxy, а у меня-то FoxyProxy.
Avira Phantom VPN
Использую PAC-файл, никаких дополнительных расширений при этом не требуется. Работает в любом браузере. Прописывается как URL автоконфигурации в настройках прокси, для Window URL выглядит примерно так:
file:///c:/путь/proxy.pac
сам файл:
function FindProxyForURL(url, host)

{

var domains = [
"visualwebsiteoptimizer.com",
"amazonaws.com",
"tribl.io",
"olark.com",
"linkedin.com",
"archive.org",
"telegram.org",
"telegram.me",
"t.me",
"slideshare.net",
"lurkmore.to",
"upyachka.io",
"protonmail.com",
"anonfiles.com"
];
var len = domains.length, i;
if(isInNet(dnsResolve(host), "5.3.3.0", "255.255.255.0")) return "PROXY proxy.example.ru:3128"; /* обнаруживает блокировку DNS'ом в domru */
for(i=0; i<len; i++) if(dnsDomainIs(host,domains[i])) {
/*
if(isInNet(myIpAddress(), "192.168.0.0", "255.255.255.0")) return "PROXY 192.168.0.2:3128";

else

- можно выбирать в завимости от сети, к которой производилось подключение
*/
return "PROXY proxy.example.ru:3128";
}
return "DIRECT";

}

Амазон и телеграм — нет же в бане? Телегу так вообще официально помиловали, а амазон в бане вообще не был (дольше небольшого времени), и там бан по сети был, а не признаку что это амазон

FoxyProxy

Как мне кажется иметь на ПК несколько установленных браузеров и пользоваться тем или иным в определённых ситуациях — реалии современной жизни. Поэтому ставьте браузер Opera и пользуйтесь встроенным VPN, что я давно и делаю. В моей работе это нужно только для двух сайтов.
Спасибо тебе мил человек. Не понятно что мешало это сделать ребятам из Яндекса
gfjocjagfinihkkaahliainflifnlnfc — скачать-музыку-c-vk
Остальные — download.master, savefrom.net и frigate (помимо Автоматическое применение купонов
).
И чем же дополнение DownloadMaster-а заменить??
Зачем оно нужно? программу используй
Чтобы:
а. отправлять ссылки все или одну со страницы в DM.
б. чтобы находить и перехватывать медиа-файл со страницы.
Internet Download Manager — standalone программа + расширения для разных браузеров. Пользуюсь много лет. Позволяет сохранять видео со многих сервисов, поддерживает докачку, пакетное скачивание. Обновляется регулярно. Платная, но встречается и …
Продолжим расшифровку
acdfdofofabmipgcolilkfhnpoclgpdd — VDP: Best Video Downloader
oobppndjaabcidladjeehddkgkccfcpn — Y2Mate — Video Downloader
aonedlchkbicmhepimiahfalheedjgbh — Помощник
aoeacblfmdamdejeiaepojbhohhkmkjh — RadioGaGa
eoeoincjhpflnpdaiemgbboknhkblome — Автоматическое применение купонов(https://savematik.com)
onbkopaoemachfglhlpomhbpofepfpom — Автоматическое применение купонов (Автор: shopscoupons.fr)
inlgdellfblpplcogjfedlhjnpgafnia — Автоматическое применение купонов (Автор: shopscoupons.br)
ejfajpmpabphhkcacijnhggimhelopfg — Автоматическое применение купонов (Автор: caa.newstore)
pgjndpcilbcanlnhhjmhjalilcmoicjc — Автоматическое применение купонов (Автор: frcouponsapp)
napifgkjbjeodgmfjmgncljmnmdefpbf — Автоматическое применение купонов (Автор: frcouponsapp)
glgemekgfjppocilabhlcbngobillcgf — Автоматическое применение купонов (Автор: couponsatcheck)
klmjcelobglnhnbfpmlbgnoeippfhhil — Автоматическое применение купонов (Автор: shopscoupons.store)
ldbfffpdfgghehkkckifnjhoncdgjkib — Автоматическое применение купонов (Автор: sh.coupons.fr)
mbacbcfdfaapbcnlnbmciiaakomhkbkb — friGate CDN
mdnmhbnbebabimcjggckeoibchhckemm — friGate Light
lfedlgnabjompjngkpddclhgcmeklana — SaveFrom.net помощник
mdpljndcmbeikfnlflcggaipgnhiedbl — УДАЛЕНО
npdpplbicnmpoigidfdjadamgfkilaak — УДАЛЕНО
ibehiiilehaakkhkigckfjfknboalpbe — УДАЛЕНО
lalpacfpfnobgdkbbpggecolckiffhoi — УДАЛЕНО
hdbipekpdpggjaipompnomhccfemaljm — friGate3 proxy helper
gfjocjagfinihkkaahliainflifnlnfc — УДАЛЕНО
ickfamnaffmfjgecbbnhecdnmjknblic — УДАЛЕНО
bmcnncbmipphlkdmgfbipbanmmfdamkd — УДАЛЕНО
miejmllodobdobgjbeonandkjhnhpjbn — УДАЛЕНО
Прямо сейчас на главной странице SaveFrom.net висят тезеры «богатого богатства»
Возможно проект взломан или продан.
image
Подскажите — я верно понимаю, у вас на главной отображается страница в странице после захода?

P.S. разобрался, это вы наложили страницу перехода и страницу savefrom
Нет, на главной отображается тизер (правый угол, сверху) при клике на который отображается страница «невероятное везение официанту ....»
обычная реклама, коих полно на такого рода сайтах, чему тут удивляться?
Зашел только что, ничего такого нету.
З.Ы. у меня установлен адблок
Вот ведь неожиданно, стоит адблок и нет рекламы.))
НЛО прилетело и опубликовало эту надпись здесь
Какие и почему?
НЛО прилетело и опубликовало эту надпись здесь
Смотрите, они же не встроены, это просто список, витрина. Они скачиваются и устанавливаются только после включения пользователем.
Добрый день, Ув. Яндекс.
Сделайте пожалуйста, кнопку ОТКЛЮЧИТЬ ВСЕ информеры\всю нечисть из дзена\и все персональные подборки.
Почему они по умолчанию включены и так ясно, но не делать умышленно кнопки «отключить все» — это уже издевка (
У всех блоков есть возможность отключения. Если у какого-то нет, подскажите, у какого, пожалуйста?
Общая кнопка, которая отключает все блоки разом.
Далее выборочно юзер включает что ему нужно.
А не выборочно выключает.
Подумаем, спасибо.
Подобные жалобы видел и пару лет назад, и с тех пор ничего не поменялось. И при появлении новой нечисти она сразу включается.
Думаешь они из-за пары жалоб откажутся от конверсии пользователей на их сервисы? Рублем карать надо — не пользоваться.
Думаю, что лох не мамонт.
kukutz, выделил все, что не имеют. Всегда пожалуйста. Периодически появляется прочая нечисть, так что я давно забил на использование Яндекса.
Заголовок спойлера
Скриншот главной яндекса с 4 выделенными неотключаемыми блоками
Погодите, вы не про браузер, а про сайт Яндекса?

Так вот же, всё выключил: ya.ru
Отлично! Если я захочу полюбоваться на поисковую строку, я обязательно этим воспользуюсь.
А так мимо.
Очень мерзкий вылетающий блок с отвратительной прыгающей анимацией, чтобы горели в аду все, кто к нему причастен
Конечно, можно сказать, что там есть кнопка отказаться. Но потом появится другой, третий, четвёртый баннер, и нет им конца. Так что спасибо, но нет.
Очень мерзкий вылетающий блок с отвратительной прыгающей анимацией на странице результатов поиска Яндекса, чтобы горели в аду все, кто к нему причастен
Адблок подобную нечесть убирает
Самое интересное, что эти баннеры показывает везде, во всех браузерах, даже когда сам Я.Браузер давно уже стоит на компе!

Там это, всплывает потом "установите наш браузер" :)

Недавно спрашивал в ТП о возможности отключения показа видео на Дзене. Сказали, что возможности отключения видео нет.
Я тоже спрашивал. Меня убеждали, что «нельзя никак, кококо». Но можно. Вроде, как-то так

yandex.ru##.card-video-block
По-моему проще вообще не пользоваться яндекс-браузером. Тот же brave гораздо лучше по всем параметрам
А может просто FF использовать вместо непонятных надстроек над хромом.
непонятных надстроек над хромом

Вот сейчас смешно было. CEO «непонятных надстроек над хромом» — Brendan Eich, погуглите, кто такой; а CTO — Brian Bondy.


ФФ уже лет шесть можно использовать только из жалости к стюардессе, когда нужен браузер «ни одного логина» (инкогнито не совсем так работает, если что).

ФФ уже лет шесть можно использовать только из жалости к стюардессе

Эта стюардесса намного бодрее текущего хрома. И на порядок свободнее.
инкогнито не совсем так работает, если что

А как оно работает?
бодрее текущего хрома

Не знаю, мне не приходилось запускать его на кофеварке; на компьютере я разницу не замечаю.


на порядок свободнее

Чем ядро движка chromium? Разве что, в голове у стюардессы.


как оно работает?

Ну только ленивый еще не видел ни одну из миллиарда публикаций «что на самом деле утекает в инкогнито моде».

на компьютере я разницу не замечаю

Ну и замечательно.
Чем ядро движка chromium?

Хром не равно хромиум. И даже в хромиуме такой вагон следов гугла, что делают специальные сборки.

Я почитал пор Брендана и не совсем понимаю что именно в его карьере наводит на мысль о том, что он может быть и будет хорошим CEO. Он даже CTO был не оч долго, а CEO — это совсем другая ответственность в другой сфере.

Вообще ничего не наводит на мысли о том, что он может быть неплохим CEO. Да у меня и нет таких мыслей.


Но ведь и я не акции покупаю, а браузер выбираю. И мне понятнее надстройки, которые будут сделаны Эйком, а не непойми кем в ФФ.

Ну Эйк работал в Мозилле пока всё было хорошо, так что не то что бы он прям непонятно кто в мозилле :) Сейчас его там уже нет, но не так долго, надо сказать.

Ключевое слово «будут».

у меня стоит мажордомо. и там есть голосовой помощник с имеем алиса. встроенный в яндекс браузер помощник тезка. они борются за право «первой ночи» яндекс удаляю. тк умный дом важнее.
Можно открыть «Установка и удаление программ» в Windows и удалить Алису отдельно от браузера (как я и сделал сразу после установки).

Другой вопрос, зачем ее поставлять в комплекте с браузером. Или, например, зачем в почте календарь и телемост на самом удобном месте, а чтобы открыть отправленные письма надо тянуться незнай куда третьей рукой. Но это всё вопросы риторические.

Извините, недопонял про "Отправленные" — что с ними не так?


Типичная Я.Почта

image

My bad. Имел в виду мобильное приложение. Там список папок открывается свайпом слева или гамбургером в левом верхнем углу. Из-за размеров современных телефонов не удобно ни то, ни другое, свайп нужно делать аккуратно, иначе свайпается письмо. Зато телемост — в нижней панели.
Я конечно точно не знаю, но мне помнится что Алиса это изначальная фича яндекса, к которой примазался majordomo. А вообще обычно можно сменить имя помощника, у домы этого нет?
зы у меня HomeAssistant (пока) — такой проблемы нет.
нет вы неправы. в мажордомо алиса появилась раньше. и можордомо не примазывался к яндексу. проблема в том что мне алиса от яндекса ненужна а имя у алисы из яндекса я сменить не могу. а имя у алисы из можордомо сменить не хочу тк привык.
решение проблемы подсказал zv347 постом выше. попозже попробую.

Имя Алисы от Яндекса можно поменять на Яндекс ЕМНИП

спасибо. много браузеров не бывает. поставим и яндекс. хотя пока у меня отношение к нему как амиго браузеру. надеюсь я неправ.
А я перестал пользоваться Браузером этим, когда нормальные закладки заменили какой-то фигней (коллекции называются… притом это не отключаемо). И оставил его как раз для таких расширений типа saveFrom (т.е. запускал его только когда надо было что-то скачать, а теперь и это удалили)))))

Не заменили, в браузере есть и локальные закладки, и облачные коллекции.

Значит уже вернули… Потому что изначально по command+D стало невозможно сохранить ссылку локально в закладки. Но теперь уже вряд ли вернусь.

p/s И вот сейчас попробовал… Command+D открывает окно, в котором можно сохранить в коллекцию или в уже существующую папку закладки. А новую папку создать нельзя. Хотя когда было сохранение только в закладки, можно было сразу создать каталог и в него добавить закладку.
Этот недочет про создание папок закладок планируем исправить, да.
поэтому приняли решение отключить в Яндекс.Браузере уже установленные копии расширений SaveFrom.net, Frigate Light, Frigate CDN и некоторых других. Пользователи этих расширений получат уведомление, в котором мы расскажем о причинах отключения. После этого они смогут принять осознанное решение и при необходимости включить их вновь (хотя мы настоятельно рекомендуем так не поступать

ИМХО, тут надо выпиливать с корнем. Всё же, расширения содержат возможность запускать вообще любой код. Кто знает, что сделают владельцы, узнав что «Гипс снимают. Клиент уезжает».
Если сделают что-то ещё плохое, то сразу же жестко заблокируем, конечно.
НЛО прилетело и опубликовало эту надпись здесь
когда убьют, тогда и приходите.
Плохого или незаконного? Незаконное — да. Надо банить. А «плохое» для каждого своё.

Использование ресурсов компьютера пользователя без его ведома в Беларуси можно рассматривать с точки зрения уголовного права. Обфусцирование кода, подгрузка непроверенных скриптов говорят о том, что разработчики приняли специальные меры, чтобы не связанная с основной функцией деятельность их расширения осталась незамеченной.

В целом, мне тоже такое поведение не нравится, но баны по произволу почти монополистов (я про отрасль в целом: ютуб, андроид, магазин плагинов ...) на мой взгляд гораздо хуже.

Информировать пользователей о «скользком» поведении — плюсую двумя руками, а вот банить — только за действия, для которых вынесено судебное решение, или видно что они явно незаконны. И тут ещё встает вопрос, а по законам какой страны (браузера, авторов плагина или пользователя)?
Но пользователь же согласится с EULA
(а если так незаконно — то например и протекторы (тот же Denuvo/VMProtect) незаконны — обфускация ж, и (тем более) Warden из WoW (и аналогичная штука в EVE Online) — там прилетает код с сервера периодически и смотрит вообщем что ему надо, и отсылает результаты, если заблокировать — в EVE сразу будет вылет)
Да и наверно Win10, с ее добровольно-принудительно установкой обновлений, часто без внятных описаний что они делают.
EVE Online) — там прилетает код с сервера

То то я в неё не играл. Чуйка что ли на подобное вот это вот?
Это как минимум у WoW есть (люди судились даже).
EVE'овский код вообщем то достаточно безобиден (ну — те образцы что мне в лапки попали несколько лет назад). Там:
— попытка идентифицировать компьютер (хеши MAC'ов сетевых, хеши данных видеоадаптера,etc).
— попытка проверить что в особо интересных местах кода на Stackless Python — находится изначально загруженный игровым клиентом с диска код (подменить загружаемы код — скажем так затруднительно, там шифрование и подписи).
И все. Список запущенных приложений насколько помню — не сканируется (хотя это возможно).

Это как минимум у WoW есть

Я же говорю чуйка.
ИМХО тут поможет только политика zero tolerance: одного раза достаточно для расстрела без права на УДО и апелляцию. Только это может напугать тех, кто обдумывает пойти по стопам жулья. А то будет как с Пейсбуком:
1. Ой, это мы случайно, больше не будем.
2. Goto 1.
тут поможет только запрет исполнения случайного кода, все должно быть подписано, на уровне браузера контролировать, так как теперь расширения ставятся из центра — пусть подпись центра и используется.
Как быть разработчикам?
Как быть если расширение полноценное не надо но достаточно user script'ов?(с одной стороны — SaveFrom у меня через Tampermonkey и работал на Chrome(в отдельном профиле под эти задачи), с другой стороны — есть куча полезного)
Как быть если расширение нарушает политику конкретного центра но само по себе — белопушистое (ну кроме — прогибатся под стор)?
Кстати а какую именно подпись должны проверять Яндекс браузер и новый Edge? Гугла (они ж могут с гуглостора ставить расширения) + свою?
Хотя как опция — это было бы интересно, как и детектор обфускации
То же самое хотел написать.
С одной стороны, командой Яндекса проделана огромная и полезная работа. С другой — производители расширений-зловредов, по сути, вообще никак от этого не пострадали. То есть риска у такой противоправной деятельности по сути нет: не попался — хорошо, продолжаешь зарабатывать свои преступные деньги, попался — ну перестал, но ничего не теряешь. Можно начинать с начала. И вот именно здесь кроется корень проблемы. Должна быть хоть какая-то ответственность, хотя бы экономическая. Либо белые списки и код расширения, подписанный магазином. И запрет на подгрузку чего бы то ни было другого. Причём все остальные расширения удалять не нужно, можно их оставить. Но пользователь должен в явном виде иметь информацию, что вот это расширение точно безопасное, а вот это — уже на свой страх и риск.
Safari скучает по Вам: о)
И любой инспектор получает права диктатора. Как вам ситуация, что вам напишет инспектор с Яндекса, в частном порядке, шантажируя вырубить ваше расширение, если не сделаете взнос на биткоин-кошелек
С тем же успехом непорядочный инспектор может придумать и другой повод для шантажа, все так же рискуя вместо битков получить пинок под зад от работодателя и приговор суда за вымогательство. Давайте все же отделим мух от котлет, тем более что куда опаснее т.с. институциализация подобной практики, когда неугодные расширения вылетают из сторов потому, что начинают противоречить коммерческим интересам владельца стора.
выглядит как реактивное компульсивное поведение
прекратите истерику — говорят в таких случаях
расстрел без апелляции, боже мой, как это должно работать, как запугивание и атмосфера страха
с вами родители и на работе тоже так поступают?

Ты так договоришься до того, что Яндекс.Трусы забанит в магазине расширений Советник Яндекс.Маркета

Крутая работа, спасибо!
Сегодня Касперский стал ругаться, что в Хроме заблокирован переход по ссылке gatpsstat.com/ext/stat. Полез в Гугл и тут эта статья! Отключил Savefrom.net и тишина!
Та же самая история. Больше часа продолжались попытки что-то там загрузить. И тут это сообщение…
Спасибо всем ребятам, хорошо сработали.
та же история с фригейтом

Представляю, как мэлварщики ржали, когда к ним Яндекс обратился первый раз насчёт левого звука. "Да-да, спасибо Яндекс, не волнуйтесь, мы сейчас починим наше расширение".

да у меня такая же беда где-то в обед началась, переменял всё пароли, обновил хром, про сканировал ноут. только здесь понял проблему. Спасибо большое!
С расширениями у меня с месяц назад была еще другая проблема — если были установлены Selenium IDE и/или Katalon IDE — то висли вкладки со статьями из Дзена(и изредка с некоторыми другими сайтами от Яндекса такое происходила)
Свинство, конечно… И ведь непонятно, сколько еще таких расширений различным способом пользуют наши компьютеры. Но у меня отключился savefrom.net в ЯБ с уведомлением что-то вроде «использует много ресурсов».

А что свинство? Вы ничего за эти расширения не платите. Очевидно, что монетизация происходит как-то иначе.

Если без уведомления и согласия пользователя — то свинство.
Вы никогда не интересовались на чем зарабатывают Я\G\F и прочии фаанги? :) Если верить разным разоблачительным статьям тут же на хабре, то далеко не вся их деятельность описана в пользовательском соглашении
По поводу остальных фаангов не скажу, а про то, чем зарабатывает Яндекс, я довольно хорошо изнутри представляю. Ни с чем, что я мог бы отнести к категории «свинство», я не сталкивался.
Но разоблачительным статьям с хабра, конечно, виднее ))
Не думаю, что вы в курсе абсолютно всей деятельности вашей компании. Я ничего не пытаюсь придумать и ни на что не намекаю, но уверенность что вы прям все хорошо представляете — ошибочна. Больше сомнений, что ли :)
Я не говорю, что в курсе абсолютно всей деятельности.
Но, во-первых, с достаточно многими аспектами я всё-таки сталкивался. Во-вторых, по моему опыту, большинство сотрудников Яндекса — порядочные люди. В среднем ощутимо более порядочные и идейные, чем в целом по популяции.
Так что
Больше сомнений, что ли :)
у меня вызывают как раз «разоблачительные статьи» если в них нет никакой конкретики, только общие домыслы.
Ну раз все с кем вы имели дело — порядочные люди, то конечно.
>Я\G\F и прочие

… не заставляют мой компьютер майнить биткойны. А по поводу остального — погуглите, где приобрести шапочку из фольги на свой вкус.

И уж тогда, чтобы без двойных стандартов и намеков на конспирологическое «бесплатный сыр в мышеловке», «если вам не продали, то продали вас» и т.п. многозначительное бла-бла-бла — меняйте платформу для разработки. А то что же, разрабатываете для Android, принадлежащего Google, поддерживаете непорядочную корпорацию? :-) Будьте последовательны, только free soft, только хардкор!
Если вам очень хочется перейти на личности и поучить меня жить — почитайте что такое AOSP и какую роль в «free soft» он играет
не заставляют мой компьютер майнить биткойны

Учитывая производительность некоторых приложений G/F, уж лучше бы они биткоины майнили… Любое гуглоприложение на голом смартфоне с Android One или на Google Pixel можно привести в пример.

где приобрести шапочку из фольги на свой вкус.

То есть считать, что все крупные компании продают ваши данные на право и на лево, это теперь синоним шапочки?
Кстати, а если серьёзно. Майнинг биткоинов — это же довольно интересное и оригинальное решение, как монетизировать сайт и при этом не показывать пользователю рекламу.
Очень маленький доход, само собой майнить придется не биткоины а альткоины, и даже в этом случае один клиент посидев даже час на машине не принесет профита который был бы сравним с рекламными бюджетами.
Вы опоздали лет на 5, большая часть майнеров уже давно в черных списках антивирей и адблоков. Ибо взлетающий ноут бесил людей больше, чем реклама.
Не заставляют майнить биткойны, зато заставляют смотреть рекламу. Отказаться от неё тоже нельзя, уведомлений о ней никаких нет (просто рекламу сразу видно, а майнинг биткойнов происходит в фоне и не виден явным образом). Майнинг биткойнов тратит ресурсы компьютера, просмотр и фильтрация рекламы тратит ресурсы вашего мозга. Что хуже — под большим вопросом.
У Google, например, очень подробное соглашение об использовании, и при каждом его изменении он настоятельно рекомендует его перечитать. А что «не вся описана» — ну это из разряда «власти скрывают».
Есть относительно безобидные виды монетизации, типа перехвата партнерских кук на Алиэкспресс и в других магазинах. Для большинства это незаметно (если кешбек сервисами не пользоваться) и не очень вредоносно. А вот то что в статье — это свинство. Учитывая выполнение произвольного когда они могли вообще поднять на вашем компьютере прокси, а потом бы вас посадили как Богатова. Это уже не безобидная монетизация.
Не надо путать теплое с мягким. Если вас надо будет посадить, как Богатова, вас посадят. Это никак не связано с выполнением произвольного кода где бы то ни было. А вот сколько Богатовых прописалось по хатам благодаря бесконтрольному и незаконному сливу Яндексом персональной информации пользователей — большой вопрос.
Яндекс не занимается незаконным сливом информации. Яндекс отвечает только на запросы правоохранительных органов различных стран, на которые должен ответить согласно законодательству, и только если они оформлены надлежащим образом.
Ну вот, опять автоответчик… ))
Ну да, ну да. Google продает инфу на лево и на право, Facebook продает инфу на лево и на право, ФСБ само продает инфу на лево и на право, но Яндекс белый и пушистый, конечно.
Лично вы работали с силовиками? Или, быть может, лично вы отказывали силовикам в предоставлении какой-либо информации без официального запроса?
Я убежден, что после пары таких отказов, Яндекса уже бы не существовало.
Да, постоянно отказываем в выполнении ненадлежаще оформленных запросов.
А… ну спасибо, что сказали. Теперь я вам поверил…
После ситуации описанной в статье Новой газеты «Прогнётся всё» — не верим вам ни бита.
За ним специально не охотились, просто кто-то с его айпи что-то разместил. Сам он не был оппозиционером или кем-то таким, просто случайная жертва системы
Безобидные? Вы уверены в понимании ситуации? За эти «безобидные» дают реальные тюремные сроки. Это воровство рекламного бюджета у Алиэкспресс и других магазинов. Это также воровство партнерских отличеслений у всевозможных вебмастеров, ютуб блогеров, контентных сайтов, владельцев соц. групп и т.д. и т.п.
У вас есть пример когда за подобную монетизацию давали тюремные сроки? Для пользователя это вполне безобидно, если он не использует кэшбек. Для Алиэкспресса в общем-то тоже, потому что они все равно платят за трафик и трафик с расширений не запрещают, хотя такая возможность есть, значит их устраивает. Кто получит вознаграждение — блогер или автор расширения Али в общем-то плевать. Можно с таким же успехом сказать, что кэшбек сервисы воруют отчисления у блогеров.
Вы прикидываетесь или занимаетесь сами перехватом партнерских кук и такими речами пытаетесь приуменьшить значимость проблемы? Надеюсь вы просто не разобрались в теме. Объясняю.
  1. То, что вы называете перехватом кук, называется куки стаффингом. В комментариях тут это уже упоминали в отрицательном ключе.
  2. Для условного работника хладокомбината, который решил заказать микросхему для своего хобби — перехват кук действительно полностью не имеет значения, потому покупатель ничего не теряет. Но никто и не говорит, что криминал именно в этом.
  3. Для Алиэкспресса в общем-то тоже, потому что они все равно платят за трафик
    Вот тут Вы не правы. Алиэкспресс, как и любой другой рекламодатель, платит только и именно тогда, когда покупатель попал на сайт Алиэкспресс (и совершил покупку) после сознательного перехода по партнерской ссылке аффилиата (партнера). Если сознательного перехода на сайт Алиэкспресс не было, если покупатель зашел сам на сайта Алиэкспресс, то и платить Алиэкспресс никому ничего не должен. Но если в браузере стоит расширение, которое скрытно установило свои партнерские куки, то это уже мошенничество. Расширение не привлекало покупателя на сайт и соответственно Алиэкспресс не должен такое оплачивать. Поэтому они не «все равно платят за трафик».
  4. трафик с расширений не запрещают
    Запрещают. И не они одни. Не будьте голословными. Это наверняка прописано в условиях сотрудничества с Алиэкспресс. В этом году, если ничего не путаю, один крупный кэшбэк сервис, которым я пользуюсь и вы наверняка его тоже знаете, изменил свой интерфейс расширения именно по причине запрета трафика из расширений со стороны Алиэкспресс. Такое было объяснение и я им верю, что они не сами это придумали.
  5. хотя такая возможность есть, значит их устраивает
    Такая возможность есть. И они ее запретили использовать видимо не просто так.
  6. Кто получит вознаграждение — блогер или автор расширения Али в общем-то плевать.
    Нет, не плевать. Это репутация партнерской программы, раз. Два — если ничего не делать, то в партнерке останутся одни мошенники с неразрешенными видами трафика и с этим магазином постепенно перестанут работать нормальные фирмы. И три, это самое главное тут (вы опять не в ту сторону рассуждаете). Самое важно тут, если расширение перехватывает чьи-то партнерские куки, то это означает, что оно забрало партнерские отчисления у того, кому они положены по правилам рекламодателя. Это может быть блогер на Youtube, купонный или скидочный сайт, сайт-обзорник или что угодно другое. Это их заслуга, что они привели покупателя на Алиэкспресс и они должны за это получить вознаграждение. Но если их куки перехвачены расширением, то это финансовое мошенничество со всеми вытекающими.
  7. Можно с таким же успехом сказать, что кэшбек сервисы воруют отчисления у блогеров.
    Нет, тут не так. У вас видимо есть какие-то проблемы с пониманием причин и взаимосвязей. Если блогер делает обзор на Youtube, к примеру, и размещает под роликом ссылку, по которой переходит покупатель на сайт Али, то партнерские отчисления должен получить блогер. Но есть и другие сервисы для покупателя. Например, кэшбэк-сервисы, которые вы упомянули. Они тоже имеют полное право на существование, потому что не запрещены по своей сути Алиэкспресс и другими рекламодателями. Если покупатель с Youtube имеет установленный плагин для своего браузера от кэшбэк сервиса, то он вправе им воспользоваться в установленном порядке. Сейчас — это означает осознанный переход (клик) на сайт Алиэкспресс с сайта (но не из расширения!) кэшбэк сервиса. Если он его сделал до перехода по партнерской ссылке Youtube ролика, то партнерские отличесления уйдут Youtube блоггеру. Если после — авторам кэшбэк сервиса. В любом случае, покупатель делает сознательные! клики по одной или второй партнерской ссылке.
  8. А монетизация, про которую написали Вы, как про безобидную — это откровенное воровство денег или у Алиэкспресс или у других партнеров типа блогера на Youtube или даже у кэшбэк сервиса. Я сам на этом попался когда-то. За это дают реальные сроки. Вы просили пример? Задайте запрос в поисковике «куки стаффинг тюрьма» или подобный. Ссылки прямые давать не буду, там много статей в том числе и история на Античате.

На Хабре есть директор Алиэкспресс.ру и представители других крупных магазинов. Спросите их мнение, если мне не верите. Если они ответят что-то иное, я очень удивлюсь. Почему? Потому что я сам имею отношение к не маленькому магазину с партнерской программой и поэтому я знаю о чем говорю.
Вы прикидываетесь или занимаетесь сами перехватом партнерских кук и такими речами пытаетесь приуменьшить значимость проблемы?

Я никогда не занимался монетизацией расширений или их написанием для публичного доступа. Но я сталкивался с подобной монетизацией как пользователь, после чего взял привычку делать все покупки с кешбеком с чистого профиля.

Если сознательного перехода на сайт Алиэкспресс не было, если покупатель зашел сам на сайта Алиэкспресс, то и платить Алиэкспресс никому ничего не должен

За исключением когда человек использует кешбек сервис. Это точно такая же ситуация: клиента никто не приводил, он пришел сам, но партнерское вознаграждение все равно было выплачено (а сервис поделился частью с покупателем). Кешбек Алиэкспресс не запрещает. Тут по сути тоже самое, только с покупателем никто не поделился. Так или иначе, это уже заложено в цене (если продавец не участвует в партнерской программе, то и вознаграждения не будет, т.е. решение принимает продавец и это обязательно будет отражено в цене).

Запрещают. И не они одни.

Совсем ведь не сложно зайти на Admitad и посмотреть условия программы:
Обратите внимание на пункт 4
С 03.09.2020 в партнерской программе AliExpress RU&CIS разрешены следующие виды трафика для России и стран СНГ (кроме Украины):

1. Арбитраж трафика. C 15.12.2020 по 31.05.2021 включительно разрешены следующие виды покупного трафика:

Для России: facebook, myTarget, twitter, DV360 на веб. Яндекс и Google (веб и апп) — только РСЯ и Google Display Network (кроме Universal App Campaigns).
Для Белоруссии, Казахстана, Узбекистана: facebook, myTarget, twitter, DV360 на веб. Яндекс и Google (веб и апп) — только РСЯ и Google Display Network (кроме Universal App Campaigns).
Для остальных стран СНГ разрешены все виды арбитража трафика, кроме контекстной рекламы на бренд.
Контекстная реклама на бренд запрещена для трафика из всех стран. Также в оффере по-прежнему запрещена PV реклама (попапы, попандеры, бодиклик/кликандер) с непосредственным направлением трафика на партнерскую ссылку. При желании, вебмастера могут закупать PV-трафик на собственные промежуточные лендинги-витрины.

2. Купонные сайты, сайты-агрегаторы скидок и промокодов.

3. Партнерские сети, инструменты CPA-монетизации сайтов, платформы лидогенерации.

4. Браузерные расширения.

Поэтому Aliexpress это очевидно устраивает.

Такая возможность есть. И они ее запретили использовать видимо не просто так.

Такая возможность есть и они ее не запрещали.

в партнерке останутся одни мошенники с неразрешенными видами трафика

Но они разрешены как видите. Если бы были не разрешены, то такого партнера быстро бы заблокировали и на этом все бы закончилось.

Самое важно тут, если расширение перехватывает чьи-то партнерские куки, то это означает, что оно забрало партнерские отчисления у того, кому они положены по правилам рекламодателя

Как видите они не запрещают трафик с расширений, значит тут такая же история как с кебшеком, который также забирает деньги у партнеров.

В любом случае, я говорю только с точки зрения пользователя. И для пользователя это как правило безобидная вещь в отличие от того что описано в посте или поднятия прокси, как в Hola.
За исключением когда человек использует кешбек сервис. Это точно такая же ситуация: клиента никто не приводил, он пришел сам, но партнерское вознаграждение все равно было выплачено (а сервис поделился частью с покупателем)
Вы уж простите меня, что я повторяю, но вы совсем не понимаете что говорите. Вы повторяете свое видение ситуации, но оно ошибочно, хотя бы потому что вы учитываете только интересы покупателя. А есть еще интересы Алиэкспресс и других партнеров. Почему вы их не учитываете? Что бы использовать кэшбэк сервис вы должны его активировать. Само оно не выплатится вам. Это означает вам надо перейти по партнерской ссылке кэшбэк сервиса. И никак иначе. Нужен сознательный ваш клик. Без клика Алиэкспресс не выплатит комиссию за товар вашему кэшбэк сервисы, а они не выплатят вам.

Тут по сути тоже самое, только с покупателем никто не поделился. Так или иначе, это уже заложено в цене (если продавец не участвует в партнерской программе, то и вознаграждения не будет, т.е. решение принимает продавец и это обязательно будет отражено в цене).
Не то же самое. И почему вы опять оцениваете все с точки зрения только покупателя? Интересов магазина и других партнеров не существует или они тут не важны? Если нет сознательного клика, то и оплаты быть не должно. Еще раз. Все партнерки платят только и только за сознательные клики. Зачем им платить за человека, который уже сам к ним приходит без клика по ссылке партнера? На Алиэкспресс куки живут сутки (или трое), если не ошибаюсь, после клика по ссылке, именно для того, что бы партнеру не платить за последующие покупки, потому что покупатель уже приведен, нет необходимости платить за него еще раз. А вы, предлагая подобную монетизацию любого расширения, хотите что бы Алиэкспресс платил расширению, которое само вообще не приводило никого на Алиэкспресс. Улавливаете разницу для Алиэкспресс и других партнеров? Не видите тут кражи денег у них? В цене партнерские отчисления заложены, вы правы, но они выплачиваются только тем, кто их заслужил, то есть привел покупателя на сайт Алиэкспресс через сознательный клик. Все другие не имеют никакого права получать эти партнерские отчисления. Если расширение пытается таким способом монетизироваться, то есть самовольно без ведома покупателя подменяет ему куки, то это называется куки стаффингом. Найдите в Википедии и почитайте что это такое.

Вы привели условия программы Admitad. Это условия с 3 сентября. Я читал их пояснение к их расширению в каталоге Google раньше в этом году. Видимо правила поменялись. Но вы должны понимать, что речь идет о расширениях, у которых есть ссылки на Алиэкспресс в своем интерфейсе, а не, как вы написали в своем первом комментарии, делают перехват партнерских кук. Именно пеперехват — это куки стаффинг, это не сознательный клик. Если есть сознательный клик и если Адмитад разрешили трафик из расширений, то ради бога. Но вы завели разговор про перехват. А это уже воровство. Не у покупателей, а у Алиэкспресс и у других партнеров. Поставьте себя на место другого партнера. Вы сделали обзор чего-нибудь на Youtube. Человека вы заинтересовали, он перешел по вашей ссылке на Али, но ваша кука была перехвачена каким-нибудь расширением-прокси. Это расширение ничего не сделало для получения комиссии, но получило ее за вас. Какой смысл Али платить им, а не вам? Именно вы продвигаете Али посредством обзоров. А расширение-перехватчик ничего не сделало, но просто забрало ваши деньги. Как вы к этому отнесетесь?

Как видите они не запрещают трафик с расширений, значит тут такая же история как с кебшеком, который также забирает деньги у партнеров.
Надеюсь, у меня получилось объяснить и сейчас вы понимаете разницу.

В любом случае, я говорю только с точки зрения пользователя. И для пользователя это как правило безобидная вещь
Почему в ситуации, где есть 3 стороны, вы считаете уместным рассуждать только с точки зрения одной стороны и на основании только этого делать вывод о безобидности для всех сторон? Почему вы не берете в расчет сторону Алиэкспресс и других продавцов? Поставьте себя на их место и подумайте со всех сторон.
хотя бы потому что вы учитываете только интересы покупателя

Я уже не раз писал что я говорю с точки зрения покупателя.

Что бы использовать кэшбэк сервис вы должны его активировать. Само оно не выплатится вам.

Это не всегда так. Можно поставить расширение кешбек сервиса, которое будет активировать кешбек при заходе на сайт. Принцип тот же самый.

Зачем им платить за человека, который уже сам к ним приходит без клика по ссылке партнера?

Кешбек это тоже оплата за человека, который сам приходит. От того, что пользователь нажал ссылку в кешбек сервисе он не становится новым клиентом. С точки зрения Алиэкспресса это такая же выплата за старого клиента. Не вижу в чем тут разница.

Вы привели условия программы Admitad

Я привел условия программы Aliexpress, которая расположена на Admitad. Условия заданы Aliexpress, а не Admitad.

Вы сделали обзор чего-нибудь на Youtube. Человека вы заинтересовали, он перешел по вашей ссылке на Али, но ваша кука была перехвачена каким-нибудь расширением-прокси.

Для блоггера это ничем не отличается от ситуации «перешел по ссылке на Али и воспользовался кешбек сервисом». Для Али это отличается только тем, что у людей будет меньше желания работать с их партнерской программой. Но если бы их это не устраивало, они бы запретили трафик с расширений, это ведь логично.

Есть такое расширение — Alitools, которое монетизируется подобным образом. Они предоставляют сервис мониторинга цен и другие подобные утилиты. У меня как у пользователя к ним претензий нет. В отличии от какой-нибудь Hola, которая поднимает локальный прокси и продает доступ неизвестно кому — это банально опасно. Вот и все что я пытаюсь донести, что для пользователя такой вид монетизации более безобиден. А не для других партнеров.
Знаете, очень сложно пытаться объяснить что-то человеку, который не хочет понять. Я спрошу у вас еще раз. Почему вы говорите только с точки зрения покупателя, когда подмена куки для покупателя не вредна? Вот зачем вы все время на это давите? Я вам сразу сказал, что ваша точка зрения не полная и объяснил почему. Есть еще сам Али и есть другие участники партнерской программы. А вы все равно настаиваете на невинности такой монетизации, потому что для покупателя это не страшно. Я ваше мнение уловил изначально, но стал объяснять шире и полностью, что бы вы поняли в чем может быть воровство.
Можно поставить расширение кешбек сервиса, которое будет активировать кешбек при заходе на сайт.
Покажите кто так делает. Если они это делают без клика покупателя — это куки стаффинг. Теоретически, кэшбэк сервисы — это единственный вид сервиса, которому такое может быть разрешено делать автоматически. Но для этого нужно обычно отдельное разрешение для такого вида сервисов.

Кешбек это тоже оплата за человека, который сам приходит. От того, что пользователь нажал ссылку в кешбек сервисе он не становится новым клиентом. С точки зрения Алиэкспресса это такая же выплата за старого клиента. Не вижу в чем тут разница.

Кэшбэк — это оплата за человека, который сам приходит на Алиэкспресс, но обязательно сам изъявляет желание получить кэшбэк посредством клика на соответствующую ссылку в кэшбэк сервисе. Нет клика — не будет и кэшбэка. Разницу улавливаете? Тут нет разговора про новый это клиент это или старый. Тут есть разговор про кликнул или нет. Если кликнул, Алиэкспресс будет платить за старого или нового, не важно. Но что бы не платить всегда потом, есть срок действия кук.

Для блоггера это ничем не отличается от ситуации «перешел по ссылке на Али и воспользовался кешбек сервисом»
Я продолжну вашу мысль. «перешел по ссылке на Али и воспользовался кешбек сервисом обязательно кликнув на ссылку кэшбэк сервиса». А если какое-то расширение делает подмену кук без вашего клика, то это совершенно другая ситуация. В этом случае вы не изъявляете желание и куки меняются без вашего желания. Это и называется куки стаффингом. Плохое расширение в таком случае просто пользуется вашей безграмотностью. Вам на это все равно, вы всегда тут были правы, но не все равно Али и блогерам, которые работают с Али. Неужели так сложно уловить разницу?

Для Али это отличается только тем, что у людей будет меньше желания работать с их партнерской программой. Но если бы их это не устраивало, они бы запретили трафик с расширений, это ведь логично.
Нормально так вы сделали важность целой партнерской программы неважной. Это чуть ли не самый важный элемент в их продвижении. С ними работают десятки тысяч, если не сотни людей по партнерской программе.
Когда вы говорите «они бы запретили трафик с расширений», то уточняйте какой трафик. Тот трафик, когда пользователь изъявил желание и кликнул сам по ссылке или тот трафик, о котором вы изначально написали — подмена кук. Второй тип трафика нигде и никогда не будет разрешен. Поймите вы это уже наконец. Мне лень регистрироваться в их партнерской программе, но я готов вам отправиить 1000 долларов, если там нет запрета на куки стаффинг (подмену кук).
Alitools никогда не устанавливал, поэтому точно не скажу. Но если они делают именно подмену кук без вашего клика, то они мошенники. Напишите Алиэкспресс, опишите ситуацию и спросите сами. Если сложно с английским, то попросите оценить ситуацию директора Алиэкспресс тут на Хабре. Он может передать этот вопрос сотрудникам на оценку. Если у них есть в интерфейсе ссылка на Али, если Али разрешает трафик по ссылкам из расширения, если Alitools не подменяет куки какими-то способами, то никаких проблем — это не подмена кук.

То, что вы пытались сказать, я понял сразу. И именно поэтому стал объяснять вам, что ваша точка зрения не полная, а потому не может называться верной.
Почему вы говорите только с точки зрения покупателя, когда подмена куки для покупателя не вредна?

Вы может быть не понимаете о чем я говорю. Я лишь говорю о том, что пользователь не пользующийся кешбеком может безбоязненно поставить расширение, монетизируемое подобным образом, в отличие от обсуждаемого в статье или чего-то типа Hola. То есть пользователю с таким видом монетизации бороться не обязательно (если только оно у него кешбек не перехватывает).

Для Али оно может быть вредно и у них есть способы борьбы с этим, которые они почему-то не используют (а именно запрет трафика с расширений (любого, опции «запретить кукистаффинг» я у affiliate платформ не видел, но очевидно что запрет всего трафика с расширений запретит и это), у кучи других партнерских программ такой трафик запрещен). Почему я не знаю, но логично предположить что оно не так им и мешает или выгода от такого трафика перевешивает недостатки. С точки зрения денежных затрат это ничем не отличается от кешбека — такая же оплата за старого пользователя.

Нормально так вы сделали важность целой партнерской программы неважной.

Я не делал важность партнерской программы неважной. Я не знаю какими целями руководствуется Aliexpress принимая трафик с расширений. Если у вас есть возможность можете сами у них спросить. Я бы вообще старался не тратить деньги на старых пользователей через партнерскую программу — лояльность можно удерживать другими способами, например купонами, баллами, которые потом можно потратить на оплату заказа (тот же кешбек) и так далее. Но я не работаю в Ali.

Но если они делают именно подмену кук без вашего клика, то они мошенники.

Я не знаю как обстоят дела на данный момент, но кешбек сервисы обычно вносят его в свой стоп лист по причине перехвата кешбека, а в интернете можно найти примерно такую информацию:
Каждый раз, когда вы покупаете товар на Aliexpress, данное расширение модифицирует ссылку для получения кэшбека самим разработчиком.

Лично я это не проверял, может быть это поклеп со стороны конкурентов. Как я и говорил, покупаю я с кешбеком из чистого профиля без расширений, а цены через это расширение проверяю в другом профиле, поэтому на личный опыт сослаться не могу.

вот вам две статьи с расследованиями

По вашим ссылкам расширения маскировались под другие используя их торговые наименования, это куда более очевидный залет и причина для удаления. Но вообще вопрос законности я тут не поднимаю, это сложная тема. Возможно если где-нибудь в пользовательском соглашении будет написано, что установка расширения означает согласие пользователя на отдачу партнерских отчислений автору расширения, то это будет законно. А может и нет, я не знаю и речь изначально вел не об этом.
но очевидно что запрет всего трафика с расширений запретит и это
Запретить можно, но на примере статьи вы видите, что запретить — это одно, а трафик отправлять все равно будут пробовать.

С точки зрения денежных затрат это ничем не отличается от кешбека — такая же оплата за старого пользователя.
По условиям партнерских программ не за каждого старого пользователя нужно платить.

Я бы вообще старался не тратить деньги на старых пользователей через партнерскую программу — лояльность можно удерживать другими способами, например купонами, баллами, которые потом можно потратить на оплату заказа (тот же кешбек) и так далее.

Тут дело не в лояльности покупателей, а в том, что если не платить блогерам и другим в том числе и за старых покупателей, то все эти люди будут рекламировать другие площадки.

Лично я это не проверял, может быть это поклеп со стороны конкурентов
Сомневаюсь, что Мегабонус будут делать поклеп. Просмотрел отзывы у расширения Alitools. Похоже проблема действительно есть. Отзывы о краже кэшбэка периодически-постоянно появляются. По сути это воровство денег у доверчивых пользователей. Приведенные ваши две ссылки не единственные, где говорят о подмене кук с их стороны.

Но вообще вопрос законности я тут не поднимаю, это сложная тема.
Это не сложная тема. Тут все просто и понятно. Представьте, что вы блогер или владелец партнерки и все станет просто.

Возможно если где-нибудь в пользовательском соглашении будет написано, что установка расширения означает согласие пользователя на отдачу партнерских отчислений автору расширения, то это будет законно.
Нет, это не станет законным. Более того, это будет самопризнанием мошенничества. Правила расширения не могут быть важнее правил партнерской программы, от которой они получают деньги, и закона.
Если вам нужны еще доказательства, что расширения, которые делают подмену кук, нелегитимны, то вот вам две статьи с расследованиями, в результате которых расширения были удалены из каталога Google.
www.zdnet.com/article/google-removes-two-chrome-ad-blocker-extensions-caught-cookie-stuffing
www.express.co.uk/life-style/science-technology/1319293/Google-Chrome-warning-browser-issue-malicious-extensions
А попросить оплатить не пробовали?
В Chrome Web Store платные расширения вполне себе бывают.
Ну и например за AdGuard VPN (в браузере у меня именно расширение от них — выборочно умеет заворачивать трафик от нужных сайтов на их VPN) я плачу, точнее за сам AdGuard VPN.
Я вас умоляю… народ ноет купить приложеньку в маркете за 100р :)
я б сказал, что это разрабы каждую секунду ноют у тебя в браузере, почте и на сайтах заплати мне всего 10* рублей, ну что ты бедный что ли…
При том что почти никогда не понятно зачем тебе эта фигня и как долго она будет работать так же как на данный момент… но ноют беспрерывно

Я мог бы с Вами согласиться, если бы всегда пользовался безлимитны сверхскоростным интернетом с восьмиядерного ПК. Но моя реальность не всегда совпадает с таким положением дел — порой приходится сидеть с атома по каналу, раздаваемому со смартфона где-то вдали от крупных городов.

У меня «friGate3 proxy helper» с месяц как начал жрать процессор при старте браузера. Я так и подумал, что встроили какую-то отправку статистики за предыдущий день. Сейчас вынес его в отдельный профиль от греха подальше.

После прочтения статьи первое впечатление от заголовка поменялось с «П — произвол» на «З — забота». Ваша статья — пример хорошей работы с сообществом. Вы молодцы, так держать!

Вставлю свои 5 копеек. Я использовал Frigate в Google Chrome ввиду наличия матери, которой нужно иногда заходить на сайт Одноклассники… При этом, у меня установлен Bitdefender Total Security, который в какой-то момент, стал блокировать «подозрительное подключение». Дело было еще в июне. Решил я раскопать, начал с отключения дополнений, и именно после Frigate пропали регулярные сообщения от антивируса с жалобой на 1 и тот же IP, больше всего прожил 188.165.30.217, но он пару раз менялся. Вернул назад Frigate, Bitdefender снова стал ругаться раз в пару часов. Я вооружился Wireshark, и выследил пакет с точной такими же данными как и Вас в статье. Так что, случай действительно имеет место быть, и продолжается это уже долго. Но дополнение так и висит в магазинах.

Такая активность Savefrom.net только на хроме или на огнелисе тоже есть?

Я его использовал на FF и один раз словил непонятно откуда заигравшую рекламу, причём расширение не устанавливал, просто была открыта вкладка.
SaveFrom.net уже не первый раз всплывает habr.com/ru/company/globalsign/blog/460987 Я даже отзыв на мозилла аддонс оставил, на что мне ответили «мы ничего не собираем».
Учитывая сколько «темных паттернов» у них на сайте, засранном рекламой, то не удивительно.
Самое забавное, что некоторое время пользовался этим расширением. Увидев что оно совершенно бесплатное, но при этом круто помогает в скачивании видео с ютуба, я решил поискать ссылку на офф. сайте для доната. Когда не нашёл такой, отписал им на почту что хочу немного задонатить, чтобы они не голодали и развивали расширение. Но мне ответили, что донатов им не надо. Вот тут я насторожился и на всякий случай удалил расширение. Теперь я понял, в чём подвох
Я ведь тоже не нашел, куда донатить, но не выкупил, почему. И реклама воспроизводилась, и был период, когда проц подгружало безумно (но я тогда грешил на майнера, потому что кулер орал как сумасшедший). В общем, картинка сложилась.
Мне одному потенциальная вредоносность этих расширений была очевидна с самого начала?
Уважаемые разработчики Яндекс. Пожалуйста добавьте в раздел расширений браузера флажек к каждому расширению, которое является НЕ ЖЕЛАТЕЛЬНЫМ.
Чтобы те кто случайно включил его или установил уже потом, те кто НЕ знаком с информацией о том что расширение опасно. Добавьте маркера в скисок расширений к каждому такому расширению.!!!
Спасибо, подумаем, как лучше сделать, да.

А способа запретить eval внутри расширений нет? Ну или у себя внутри всех любителей eval в «подозрительные» записывать.

Наверно нет. Все потому что каждые 2 из 3 будут иметь этот eval.
Расширения для браузера это не скрипт по анимации фоток слева направо. Расширения изначально рассчитаны на то что будут парсить страницу и искать то ли рекламу, то ли скрипты и то режим видимости вставлять в сообщения ВК.
В общем все расширения это каталог костылей которые подставляют под браузер. Модифицирующие браузер и сайты.
Еще просьба большая. К первой чтобы маркировать расширения в списке установленных прежде флашками о том что они подозрительные.
Добавьте пожалуйста сообщение в банер при попытке установить подозрительное расширение.
Я многократно пытался установить расширения из ChromeExtensions многократно было сообщение «Установить НЕ УДАЛОСЬ».
Не понятно Почему не удалось, куда не удалось, зачем не удалось?
Очень много расширений например таких как замораживатели вкладок, половина таких расширений не может установится.
Ни сообщения нет, ни причин почему не устанавливается.

А можете примеры таких замораживателей дать, пожалуйста? Посмотрим. что с ними не так.

Это только некоторые из замораживающих вкладки, но мне очень много попадались выполняющих другие функции.
chrome.google.com/webstore/detail/taboptimizer/cgcmkbkicaeljmcbmblchikjmmlokfag
chrome.google.com/webstore/detail/freetabmemory/ehbifmnhnghckaobolojbabkagnhjajm
chrome.google.com/webstore/detail/tabmemoryoptimizer/mjillkibdjeflldljbgaemfpencpfgkg
chrome.google.com/webstore/detail/tabbooster/fajpbonghcpkhjiiebgdklnkndgjjcch

Я пару раз писал об этом в службу поддержки браузера, мне отвечали что мол это защита браузера.
Набор из подобных (в том числе этих) расширений устанавливался через устрашающие лендинги — типа «нажми скорее чтобы ускорить», «у тебя все тормозит», «у тебя вирусы и все тормозит» и т.д. и затем примерно через месяц использования расширения начинали нехорошую деятельность. Это выражалось, например, в том, что на других сайтах они могли отрисовывать окно о том, что «у вас есть возврат ндс», клик на которое вел на сайт, который мог увести у вас деньги.
Извените, еще маленькая просьба, не в тему.
Не знаю кому написать, так как служба поддержки игнорирует.
Добавить режим отображения ссылок в панели избранного в виде только лишь иконок.
Очевидно что у каждого сайта иконки разные, одной иконки достаточно чтобы было ясно что за ссылка. При этом на панели поместится в 4 раза больше иконок.
На андроиде есть режим отображения иконок на рабочем столе без подписей. А ваш браузер режим показа панели избранного такого не умеет.
А можно же просто вручную пустое имя поставить нужным закладкам?
На текущий момент я так и делаю.
Но при группировке или при открытии браузера в узком оконном режиме, ссылки открываются в виде выпадающего списка без названий. А самое главное по таким ссылкам производить поиск НЕ возможно!
У меня какое то расширение что то мутит.
Когда я перехожу по ссылке скачать Tox, Electrum, яндекс.Деньги с магазина play.google.com то с этих переходов почему то открывается страница одного и того же кошелька play.google.com/store/apps/details?id=ru.cupis.wallet
Какое то расширение подменяет ссылку.
Расширений много.
Все таки сделайте маркер «опасно!» в списке расширений напротив подозрительных расширений.
.
И! Еще есть такая проблема, в списке расширений браузера нет ссылки на страницу расширения в каталоге расширений.
Проходит время, забываю что расширение означает, а искать его по хешу в каталоге практически нет возможности. часто по одному названию не понятно что расширение означает.
Если бы мы знали, какое расширение подозрительное, мы бы его забанили.

Насчет ссылки мысль хорошая, спасибо. Сейчас она есть в контекстном меню, которое возникает, если кликнуть по иконке расширения на тулбаре браузера.
Здравствуйте. Я очень хочу найти зловредные расширения путем исключения.
У меня раширенний более 200, только ~70 из них включены. Остальные как бы могут пригодится на будущее.
Зачем так много, там по пару расширений для каждой функции в результате много получилось, парочку для дебага Juqery, парочку для Ajax запросов, парочку для просмотра видео popup.

Чтобы найти зловредное расширение я решил воспользоватся
chrome.google.com/webstore/detail/extensions-switcher/mapmknaogodpakjopdhmdcilahbfbjpc
этим расширением.
Оно позволяет группировать расширения и отключать сразу группу расширений. Кстати это в будущем позволило держать не 70 расширений включенных а только 10.
Проблема в том что это расширение работает в других браузерах.
А в Вашем браузере постоянно выскакивает коно защиты на подтверждение, блокируя весь функционал.
Таким образом я не могу найти звловредное расширение, так как браузер блокирует расширение которое я установил.
.
Что мне делать посоветуете? Как мне найти зловредное расширение? Какой менеджер расширений мне порекомендуете чтобы я помог себе и вам обнаружить зловред?
А что за окно защиты на подтверждение, о чём речь?
image
chrome.google.com/webstore/detail/extensions-switcher/mapmknaogodpakjopdhmdcilahbfbjpc
Например чтобы включить группу расширений, расширение «Extension switcher» всключает легко, но если надо отключить группу расширений, то появляется вот это окно на картинке, А функционально отключается только одно расширение из группы.
Да уж, совсем какая-то жесть.

А печальнее всего что Сейвфром-то офигеть какой удобный! Есть ли ему альтернативы? После этой статьи рассматриваю вариант вручную вырезать из JS вредоносные части и устанавливать расширение локально. Но это очень ненадёжно…
Про YT-DL знал, а вот про то, что он умеет столько всего качать — нет. Спасибо! А в виде расширения для браузера что-нибудь есть?
как вариант Video DownloadHelper, выглядит немного топорно, но работает. кроме аддона ещё рекомендуется установить компоненты для того чтобы медиа сразу конвертировалось
addons.mozilla.org/en-US/firefox/addon/video-downloadhelper
chrome.google.com/webstore/detail/video-downloadhelper/lmjnegcaeklhafolokijcfjliaokphfk
addons.mozilla.org/en-US/firefox/addon/video-downloadhelper

Если бы он ещё не добавлял свой qr-код на сконвертированное видео. Мало того, что это не слишком приятно, так ещё и для этого требуется перекодировать видео вместо того, чтобы просто слить видео и аудиопотоки.

может и просто сливать, только потом многие жалуются что формат медиа какой-то не тот

Если бы VDH перекодировал всё в h264, я бы ещё понял, потому что его достаточно быстро кодирует и его поддерживают практически все устройства. Но я вот сейчас скачал видео в av1 и VDH попытался его перекодировать в av1 же.

У меня Video DownloadHelper через некоторое время работы начинает жрать ресурсы CPU, особенно на отрытом Youtube и пр. Оставил его на отдельном браузере только для скачки потокового видео.

Когда-то было плагинище для файрфокса, позволяющее добавить в контекстное меню произвольную консольную команду и передачу ей аргументом адреса текущей страницы. Название, увы, забыл, но, кажись — засунуть youtube-dl в PATH, создать такое меню, и это вот оно и будет.

Вроде бы похоже, да

SaveFrom не использую, но использую friGate Light, и уже давно заметил, что при включении начинает жрать процессор. В первый же день, когда заметил это, нашёл старую необновлённую версию плагина на другой машине, сохранил исходники, и до сих пор пользуюсь. Правда пришлось немного допилить напильником от интеграции с какой-то рекламной баннерной сетью.


До сегодняшнего дня думал, что они пытаются майнить в фоне. Было бы хорошо выложить на какой-нибудь GitHub вылеченную версию от этой проказы...

Я и дальше буду им пользоваться, благо для скачивая достаточно открыть их сайт и вставить в поле адрес с видео. Расширение можно не ставить. Хотя на портабельном хроме и в Опера оно не выкаблучивалось.
Вот именно, зачем городить огород, если достаточно ссылку вставить и скачать без рисков?
Потому что им лень, в один клик привыкли…
github.com/Tyrrrz/YoutubeDownloader (по мне удобнее чем youtube-dl)
Mozilla рекомендует «YouTube Video and Audio Downloader (Dev Edt.)», пользуюсь довольно давно, очень удобно. Даже аудио и видео дорожки вместе собирает.
Проблема в том, что Savefrom очень популярен и вряд ли утратит популярность в будущем: по всему интернету уже расползлись инструкции вида «чтобы скачать видео с ютуба, подставьте буковки ss перед его названием в строке браузера». А сайт ssyoutube.com, естественно, принадлежит Savefrom.

Имхо, Яндекс должен исключить данный сайт из поисковой выдачи и предупреждать при попытках открыть его браузером, если с него раздаётся вредоносное расширение.

P. S.
Я просто фигею с некоторых хабровчан. Не могу комментировать чаще чем раз в 5 минут, из-за того что оставил коммент с мнением, отличающимся от общепринятого, и народ мигом забыл про этикет Хабра в части раздачи минусов. Минус — «не аргумент» и «тем более не контраргумент»? Да ладно?
ну я захожу на сайт нажимаю скачать без установки плагина и качаю… всегда было недоверие к их плагину\программе
по всему интернету уже расползлись инструкции вида «чтобы скачать видео с ютуба, подставьте буковки ss перед его названием в строке браузера».

Этой инструкции уже лет 10 примерно.
Начал пропадать звук на ютубе в хроме еще летом. По первой ссылке в гугле было рекомендовано удалить SaveFrom.net. Удалил и проблема исчезла. Очень удобное расширение было. Жаль что произошла такая неприятность.
неприятность

Неприятность — это когда мизинцем об стол ударился… А когда целенаправленно впиливают трояна в приложение — обычно это иначе называют.
обычно это иначе называют.

Я написал «неприятность», что бы не попасть под действие закона о мате.
хуже всего, что за столько лет так и не появилось юзабельных альтернатив, это странно

Кстати, вопрос к разработчикам браузера. У вас нет возможности собирать статистику по работе расширений и давать пользователю отчёт?
Что-то из разряда "модифицировало код на таких-то страницах, ходит на такие-то урлы"?

Про «модифицировало код» — утомишься от таких сообщений при установленном adblock и Co.

Если нормально это сделать, проблем возникать не должно. Но поскольку как минимум Гуглу и Яндексу адблоки невыгодны, нормально это сделано будет вряд ли

Возможно, поэтому FreeGate такой медленный
После прочтения статьи выпилил в хроме и заменил другим, которое (пока) не перечислено в списке скомпрометированных
Спасибо!
Можете подсказать, каким?
Антон lisr25 Было бы интересно услышать ваш комментарий, но активность у вас только в 2018 году. Вы же автор savefrom.net
НЛО прилетело и опубликовало эту надпись здесь
а как одно связано с другим?
код приведен — даже если яндекс не белый и пушистый, то это никак не умаляет ценности данной информации
Яндекс не сливает данные силовикам. Если вы имеете в виду предоставление информации по запросам — то тут особого выбора и нет, любая компания, существующая в рамках отечественного правового поля обязана это делать.
По поводу сбора бигдаты — а в чём конкретно претензия? Есть какие-то конкретные случаи явно незаконного/аморального использования этих данных? Или претензия именно в том, что компания, суть деятельности которой именно работа с данными — внезапно вдруг работает с данными?
Правовое поле в России? Вы в пещере последние 20 лет прожили?
Вы правда не понимаете, о чём идёт речь, или просто решили продемонстрировать остроумие?
То, что в нашей строне закон — что дышло, никак не поможет игнорировать запросы от органов, которые оформлены соответствующим образом.
Если к вам с запросом придут, вы скажете, что в России нет правового поля, и поэтому вы запрос выполнять не будете?
Я прекрасно понимаю, о чем идет речь. Поэтому не надо петь песни про «не сливает», для этого не нужно задействовать формальную процедуру.

Еще напомните, когда там Яндекс был выведен из под действия СОРМ?

Опять рептильно-земноводная ситуация.


С одной стороны, встраивание зловредов со стороны разработчиков расширений, и за такое надо карать.


С другой стороны, они наносили ущерб продавцам контента, которые сами ответственны за выжигаение где возможно инструментов свободного распространения контента, поэтому однозначно осудить их не получается.


Мир сложный :)

Ущерб они наносили пользователям в первую очередь: ресурсы компьютера не бесконечные + см. про токены ВК.
Несколько лет назад потребовалось написать расширение для браузера. Стал изучать вопрос. И был неприятно удивлен, к чему безобидные расширения имеют доступ, теперь на фоне доступа расширений мне кажется вполне безопасным написать пароль на листочек и наклеить на монитор.
FF при загрузке в их магазин просят так же предоставить и исходники до сборки всякими вэбпаками, что в теории упрощает поиск вредного поведения.
У Мозиллы есть предпроверка, а Гуголь экономит на человеческих ресурсах и пропускает всё, что угодно.

С учётом увольнений в мозилле, не уверен, что предпроверка всё еще делается.

Там при публикации дополнения нужно подтвердить (поставив галку), что дополнение не содержит обфусцированный код и прочие штуки, наличие которых требует проверки человеком.

Вероятно, если попытаться обмануть, и обман вскроется, можно вылететь из каталога навсегда.
Хорошая работа, ребята! Будет еще лучше, если сделаете аналог такого расширения, а то я что-то не нашел пока замены сейф фром нет. Может подскажите?
Подскажите, пожалуйста, актуальный способ сохранить аудиофайлы с vk. У меня на странице есть альбом который мне очень нравится (4 трека), и я не знаю как его достать. Все ссылки в Сети на данный альбом мертвы, на торрентах его никогда не было, и похоже что нигде больше кроме как на моей странице vk его нету. Про SaveFrom не знал, да и в моей стране зайти вконтактик без платы за vpn можно разве что в Opera Turbo.
НЛО прилетело и опубликовало эту надпись здесь
vkopt, но в виде userscript, т.к. запретили выкладывать в магазины аддонов версию со скачиванием. tampermonkey вполне проглатывает и всё работает.

ну и всегда есть инструменты разработчика — с их помощью вполне вытащить всё можно
music.xn--41a.ws Неплохой вариант, обычно все нужные треки находит.
Можно попробовать скачать через клиент VkCoffee, он ни в чем плохом (вроде) (пока) не замечен, но позволяет скачать любой трек в mp3.

Под андроидом этим пользуюсь.на других ОС на данный момент альтернатив найти не смог
https://vmp.su/

НЛО прилетело и опубликовало эту надпись здесь
Нормально этот трек скачивается, пусть и с предварительной конвертацией. Windows 7, Chrome, Tampermonkey, Download Master (расширение + программа в фоне).
Путь джедая:

— зайти в музыку
— открыть инспектор сети
— в фильтр ввести «m3u»
— жмякнуть «play» на нужном треке
— скормить получившийся URL вида «cs1-74v4.vkuseraudio.net/.../index.m3u8?extra=...» ffmpeg или youtube-dl:

ffmpeg -i "url" filename.mp3
youtube-dl "url" -o filename.mp3
Я, у себя под линуксом, всю свою музыку выкачал из ВК вот этим скриптом на Python. По идее под виндой/маком тоже должен работать. Там ничего системозависимого нету.
НЛО прилетело и опубликовало эту надпись здесь
Чекнул исходник background.js плагина savefrom.net для лисы — там указанного кода нету, и в background.js всего 7607 строк кода. Возможно (но это не точно) проблема актуальна только для хрома и его производных

Сижу читаю и тоже думаю — "Никогда не было проблем с расширениями в тч и сафефромом на огнелисе. Хотя были прикольные, что фигню на стороне творили и из-за этого весь сырбор? ".

Были (с другими дополнениями). FastProxy воровало кэшбек. S3.Translator передавало данные своему создателю, даже после того, как пользователь явно отказывался от сбора статистики (а ещё при установке подталкивало пользователя соглашаться с отправкой всей истории браузера автору дополнения, что, на мой взгляд, недопустимо). Stylish сливало полную историю.
А как сейчас со stylish? пользуюсь им прямо сейчас, вот хабр у меня серый, ну не нравится мне белый интернет.
p.s. нагуглил stylus, попробую его.
SimilarWeb (новый владелец Stylish, который и встроил туда бяку) раскаялась, но при наличии Stylus смысла продолжать доверять Stylish как-то нет.
новый владелец

Вот в этом и проблема. Нужно запретить менять владельца.
Будут ли какие-то санкции к разработчикам расширений?
В данном случае Яндекс верно поступил. По мне их (расширения) поведение стало подозрительным ещё несколько лет назад, с первых дней установки. Поэтому в моём браузер они не задержали более недели. Мне того хватило с головой, да и свет на них клином не сошёлся. А что касается savefrom.net, так этот сервис вообще обхожу стороной в любых вариациях и проявлениях. Они пропихивают себя везде и всюду.

Вроде, не так давно у FriGate менялось пользовательское соглашение. Без его принятия расширение отказывалось работать. Может, "расширенная монетизация" как раз в тот момент и началась?

Очень негативно настроен по отношению к Яндексу но в данном случае поступили правильно

А есть баунти программы от яндекс браузера в поисках вредоносных расширений?)

Странно, а это нормально, что в мобильном Яндекс.Браузере SaveFrom даже удалить нельзя — максимум выключить? Я думал это как раз потому, что он командой Яндекса проверен со всех сторон.
Скриншот
image
НЛО прилетело и опубликовало эту надпись здесь
Это витрина, он не установлен и даже не скачан на телефон. Просто стор экстеншнов. И оттуда мы Savefrom убрали, если ещё не пропал, то вот-вот пропадет.
Что-то тут не сходится, потому что прямо сейчас действительно SaveFrom переместился в подраздел «Из других источников», при этом включить его можно было даже без интернета (специально проверил). И теперь появилась кнопка удалить.
Каким образом не установленное и не скачанное расширение включалось без интернета, и как можно удалить то, что не установлено?
«Удалить» и «из других источников» появляется только у тех, кто это расширение хотя бы однажды включал. На телефонах и ПК, где его не включали, его сейчас на странице дополнений нет ни в каком виде.
Вы же сами мне выше написали, что оно у меня не установлено и даже не скачано. Получается обманули?
Я не могу понять логику. Вы показываете пользователю «витрину», в которой зачем-то не афишируете, что это стороннее расширение, назвав кнопку «скачать и установить» почему-то просто «включить». Из чего я например сделал (как выяснилось ошибочный) вывод, что это расширение — часть браузера.
Так еще и потом не давали возможность удалить это расширение, если я хоть раз его включил, пока вдруг не оказалось, что оно вредоносное.
Вы можете как-то пояснить, зачем вы так делали? Какие были причины?
Я не знаю, что у вас и не писал, что конкретно у вас.

Давайте я ещё раз объясню логику:
1. есть витрина, стор расширений. На ней есть несколько расширений, это просто буквы, их кода нет на вашем телефоне, пока вы не нажмете кнопку включить или установить.
2. если вы нажмете включить/установить, код скачается, расширение установится, и появится возможность его отключить. Удалить с витрины расширение нельзя.
3. с этой витрины мы убрали savefrom, после того, как обнаружили то, что в посте.
4. ниже под этой витриной список установленных (включенных либо отключенных) у вас расширений, откуда вы можете их включать, выключать и удалять.
Понаделают всяких витрин для удобства пользователей, а потом даже опытные путаются, что у них стоит, а что просто буковки.
есть витрина
любопытно, а предиктивное кеширование (или как там сейчас правильно называется кеширование того, что по мнению браузера может захотеть скачать пользователь) не скачивает ли заранее плагины с витрины — это могло бы объяснить, что ganzmavag смог включить плагин при отсутствующем интернете
Как я понял, дело не в этом. Я когда-то давно включал это расширение, а потом максимум, что мне позволил сделать с ним браузер — выключить, но не удалить. В результате оно и включилось без интернета, потому что было уже скачано.
Вот сейчас например у меня есть одно ранее установленное расширение — я его тоже удалить не могу, нет такой кнопки.
Скрин
image
4. ниже под этой витриной список установленных (включенных либо отключенных) у вас расширений, откуда вы можете их включать, выключать и удалять.

Так не могу удалять, в этом-то и странность. Я ниже скриншот привел — там есть только кнопка «Выкл» у расширения, которым пользовался один раз. И с SaveFrom точно также было — кнопка удалить появилась только после этого поста на Хабре, и то с опозданием. Версия Я.Б при этом самая актуальная.
Скрин
image
См. пункт 2. Удалить расширение с витрины вы не можете, это так.
Знаете что меня зацепило? Заголовок статьи в виде Яндекс Дзен

Давно заменил Savefrom на "ss" в адресной строке, а Frigate включаю только при заходе на блокированные сайты. В начале года тоже мучился такой внезапной рекламой, даже к своему провайдеру обращался.
Думал уже, что вирус-троян какой-нибудь подхватил.

Ну в общем-то это и был троян: замаскированное под легитимное расширение, стягивающее задания и управляемое через C&C сервера.
Скорее это уже целый ботнет в чистом виде.
Рекомендую поставить «Обход блокировок рунета» вместо Frigate. Сам долгое время на нём сидел, но также стал замечать что на неслабой машине браузер стал сильно тормозить и после поочерёдного отключения расширений пришёл к такому же выводу.
Еще бы там по умолчанию весь список был бы отключен. А то на каждый сайт заходить и отключать, ну оч неудобно, когда надо только для нескльких. За что фригейт и любил.
Самое прекрасное в этой истории, что проблеме уже как минимум несколько месяцев, а узнали о ней случайно по косвенным признакам. Т.е. никто не проверяет трафик со своего браузера на предмет появления там неожиданных хостов?
Я с уверенностью могу сказать, что подавляющее большинство пользователей не проверяет (и слов «Wireshark» или «Инструменты разработчика» даже не знает).
большинство пользователей не проверяет

И даже большинство программистов не проверяет!
Сложность современных устройств и программ требуют настолько узко специализированных знаний, что, например, высококлассный программист микроконтроллеров не в состоянии оперативно разобраться в каком-то плагине браузера, и наоборот!
Прошли те времена, когда программист знал всё. Сейчас, чтобы вникнуть в предметную область, нужно потратить месяцы.