xiva daria https что это
Как мы сделали чтение писем безопаснее: Content Security Policy в Яндекс.Почте
Одним из приоритетов для команды Яндекс.Почты всегда была и есть безопасность данных пользователя. Причем это касается не только хранения писем, но и безопасного доступа к ним. Еще в 2011 году мы стали пропускать все изображения в письмах через наши прокси-сервера, перекрыв один из каналов распространения вредоносного кода, а также кешировать их для экономии трафика и обеспечения большей приватности. В ноябре этого года мы внедрили шифрование при приеме и отправке почты, а также и перевели почту в режим HTTPS-only — теперь веб-интерфейс доступен только по безопасному протоколу.
А с недавних пор мы стали поддерживать новый механизм защиты данных пользователя – стандарт Content Security Policy. С его помощью можно запретить скриптам на странице подгружать какие-либо ресурсы с хостов, не указанных в белом списке.
Это пока довольно редкая штука (ни одна крупная известная нам почта этого ещё не применяет), и в этом посте мы поделимся опытом внедрения стандарта.
Content Security Policy (CSP) — новый стандарт, определяющий HTTP-заголовки Content-Security-Policy и Content-Security-Policy-Report-Only, которые сообщают браузеру белый список хостов, с которых он может загружать различные ресурсы.
Текущий статус стандарта — Candidate Recommendation.
Из чего состоит CSP?
Некоторые браузеры также указывают в отчете ссылку и строку JS, которые привели к нарушению политики безопасности.
Если указан заголовок Content-Security-Policy, то браузер блокирует все ресурсы, которые не соответствуют политике. Заголовок Content-Security-Policy-Report-Only также проверяет все ресурсы, но не блокирует их, а только сообщает о нарушениях. Мы рекомендуем его использовать на первых этапах внедрения CSP.
Как мы внедряли
Мы исследовали эту технологию с весны, когда еще не было ни одной стандартной реализации. Сначала аккуратно внедрили заголовок Content-Security-Policy-Report-Only для нашей внутренней почты. Некоторые время мы изучали отчеты и исправляли нашу политику, и уже в мае включили CSP в блокирующем режиме. Во время внутреннего тестирования исследовалось поведение всех заголовков — и стандартных, и нет.
С публичной почтой было несколько труднее, ведь к нам приходили пользователи с неконтролируемым окружением. Несколько месяцев мы разбирались в отчетах, исправляли политики, и, наконец, осенью выкатили их на 100% в блокирующем режиме.
Самое интересное, что мы теперь имеем — несколько миллионов ежедневных отчетов с нарушениями от вирусов, нерадивых плагинов и расширений, которые пытаются вставлять свой код на наши страницы. Мы не можем контролировать содержимое этого кода, а значит не можем гарантировать, что он бережно относится к персональным данным наших пользователей — и довольны тем, что блокируем их исполнение.
Разберем заголовок на примере мобильной Яндекс.Почты
Что нужно учитывать при внедрении
Xiva daria https что это
> Когда захожу в любой браузер в сетевых активностях появляется следующее:
> browser.exe 1212 is-radar10.common.radar.imgsmail.ru
> browser.exe 3480 bar.love.mail.ru
Почему ты считаешь, что это проблема, или что-то неправильно работает?
Показать полностью.
> сетевая активность просто бешеная
Что это означает? Что в твоём понимании «бешеная активность»? Цифры и доказательства, пожалуйста.
Что такое на картинке и зачем?
> Так же подключаются и эти сайты (смотрите на фото)
Хочешь сказать, что оно само, и ты на эти сайты не заходил?
> это пустой сайт
И ШТО #ЛЯДЬ.
> У тебя трафик в пустой сайт идет
Какие твои доказательства? Если там не отдаётся HTML страница с контентом, это ещё не означает что соединение ненужное (не означает, что оно ничего не делает)
У меня Яндекс Браузер закладки из другого браузера импортнул, хотя я вроде просил «Алису» этого не делать. Естественно, браузер сразу полез туда что-то качать. Фавиконки, например. Должны же быть фавиконки у закладок?
Впрочем, я не проверял, что именно он качает. Впрочем, ТЫ ТОЖЕ НИЧЕГО НЕ ПРОВЕРЯЕШЬ, а просто делаешь предположения и далеко идущие выводы ИЗ ПРЕДПОЛОЖЕНИЙ.
Показать полностью.
Если ты подозреваешь заражение своего компа вирусами, то:
1) Скачай DrWeb CureIt
2) Перезагрузись в безопасный режим Windows
3) Запусти проверку
Вангую, что ничего не найдётся.
Ещё проверь настройки роутера, какой DNS сервер выдаётся по DHCP компьютеру. Естественно, должен выдаваться либо DNS сервер провайдера, либо какой-то широко известный DNS сервер (который ты сам же и настроил, да).
Если ты думаешь, что данные сетевые соединение являются вредоносными, то ТЫ ВООБЩЕ-ТО ЭТОГО НЕ ПРОВЕРЯЛ. Расчехли Fiddler или Charles Proxy и провер. Раз ты такой крутой хаккер с паранойей, то думаю ты разберёшься, как проверить содержимое запросов и ответов.
Xiva daria https что это
Сообщения: 2842
Благодарности: 468
Скачать и запустить утилиту autoruns, дождаться пока закончится скан, вверху в фильтре написать AP_Mgr.exe, удалить (ну или поснимать галочки) всё что появится в списке. Аналогично с остальными заведомо-вредными процессами.
Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.
| При загрузке любого браузера или почтовой программы выскакивает сообщение о подключении с сайтом xiva-daria.mail.yandex.ru. |
покажи. А то я не совсем понимаю что за сообщение и где оно «выскакивает».
Xiva daria https что это
Сообщения: 2842
Благодарности: 468
Скачать и запустить утилиту autoruns, дождаться пока закончится скан, вверху в фильтре написать AP_Mgr.exe, удалить (ну или поснимать галочки) всё что появится в списке. Аналогично с остальными заведомо-вредными процессами.
Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.