Protect: безпека розширень

Яндекс.Браузер використовує комплексну систему захисту Protect, що оберігає від різних інтернет-загроз. У рамках цього захисту браузер виявляє та блокує шкідливі розширення, а також стежить за тим, щоб шкідливе ПЗ не вбудовувалося в раніше інстальоване корисне розширення.

Обмеження. Перевірка розширень здійснюється лише у Windows.
  1. Чим небезпечні шкідливі розширення
  2. Як браузер забезпечує безпеку розширень
  3. Блокування шкідливих розширень
  4. Обмеження доступу до даних
  5. Вимкнення неперевірених розширень
  6. Перевірка справжності розширень
  7. Браузер вимикає ваше розширення

Чим небезпечні шкідливі розширення

Розширення – це міні-програми, які додають браузеру нові функціональні можливості. Розширення створюються не лише розробниками браузерів, але й сторонніми програмістами.

Дедалі більше шкідливих розширень створюють хакери. До впровадження системи Protect в Яндекс.Браузеріця проблема спричинювала близько третини всіх звернень до служби підтримки.

Шкідливі розширення:

  • змінюють інтерфейс і налаштування браузера;
  • розміщують додаткову рекламу на веб-сторінках;
  • замінюють на сайтах звичайні оголошення шахрайськими;
  • стежать за вашими діями;
  • публікують від вашого імені пости в соціальних мережах;
  • крадуть ваші особисті дані;
  • займаються майнінгом криптовалюти на комп’ютері без вашого відома.

Антивіруси розпізнають шкідливі розширення погано, тому що всі розширення працюють усередині браузера й не впливають на операційну систему комп’ютера.

Як браузер забезпечує безпеку розширень

Щоб захистити дані користувача, Яндекс.Браузер:

  • Дозволяє інсталювати розширення тільки з перевірених джерел. Дозволяє інсталювати розширення тільки з інтернет-магазинів Opera Add-ons або Chrome Web Store (ці магазини перевіряють свої розширення). Браузер відключає розширення з інших джерел, проте користувач може їх увімкнути на свій страх і ризик.
  • Перевіряє розширення на безпеку. Браузер перевіряє всі розширення на безпеку, блокуючи шкідливі розширення в процесі їх інсталяції та пересилаючи сумнівні на подальшу перевірку. Якщо сумнівне розширення виявляється шкідливим, воно буде заблоковано під час найближчого перезапуску браузера. Для виявлення шкідливих розширень Яндекс.Браузер застосовує алгоритми машинного навчання. Завдяки цим алгоритмам шкідливі розширення блокуються вже через 1–3 дні після того, як з’являться в каталогах Opera Add-ons або Chrome Web Store.
  • Перевіряє справжність розширень. Шкідливе ПЗ може підміняти файли корисних розширень. Тож Яндекс.Браузер періодично порівнює інстальовані розширення з їх оригіналами з інтернет-магазину. Якщо вони не збігаються, браузер пропонує повторно інсталювати розширення або блокує його.
  • Обмежує доступ розширень до даних сайтів. Користувач може обмежити список сайтів, на яких розширення має право читати й змінювати дані.
  • Не дає інсталювати розширення потай від користувача. Браузер обмежує можливість інсталювати розширення через ключ реєстру та забороняє інсталювати розширення за допомогою корпоративної політики ExtensionInstallForcelist. Цю політику часто задіюють розробники шкідливих розширень, тому що користувач не може видалити розширення, інстальоване з її допомогою.
  • Блокує розширенням доступ до службової сторінки. Користувач перевіряє та видаляє розширення на сторінці browser://tune, доступ до якої для будь-яких розширень заборонений. Раніше деякі шкідливі розширення не давали користувачеві видалити себе, закриваючи службову сторінку chrome://extensions щоразу, як користувач намагався її відкрити.

Блокування шкідливих розширень

Перш ніж інсталювати розширення Яндекс.Браузер порівнює його зі списком шкідливих розширень, що зберігаються в спеціальній базі даних. Якщо розширення є в списку, браузер блокує його інсталяцію та повідомляє про це:

Інсталювати таке розширення самостійно неможливо.

Якщо розширення потрапило в базу даних після того, як користувач його інсталював, браузер заблокує це розширення в момент наступного запуску.

Обмеження доступу до даних

Багато розширень використовують для своєї роботи дані, які ви вводите на сайтах. Наприклад, Яндекс.Колекції запам’ятовують, які зображення ви переглядаєте, щоб рекомендувати вам схожі.

Під час інсталяції розширення інформує, до яких даних воно отримає доступ:

З метою безпеки ви можете контролювати доступ розширення до даних сайту:

  1. Праворуч від Розумного рядка натисніть значок розширення. Якщо значка немає, включать воно.
  2. Виконайте команду меню:
    • Під час натискання на розширення. Розширення буде вмикатися на сайті після натискання на значок. Розширення не матиме доступу до даних інших вкладок і вікон браузера. Під час закриття поточної вкладки розширення вимкнеться. Щоб увімкнути його знову, вам доведеться натиснути значок.
    • <поточний сайт>: вкл. Розширення отримає доступ до даних поточного сайту. Редагувати список сайтів, до яких має доступ розширення, можна на сторінці browser://extensions.
    • На всіх сайтах. Розширення отримає доступ до даних на всіх сайтах.

Вимкнення неперевірених розширень

Якщо ви інсталюєте розширення не з Opera Add-ons або Chrome Web Store, Яндекс.Браузер вимикає розширення відразу після інсталяції й повідомляє про це під час перезапуску браузера. Під час кожного запуску браузер повторює перевірку, вимикаючи розширення з неперевірених джерел.

Як увімкнути розширення знову

Натисніть посилання Увімкнути в діалозі про вимкнення. Ви також можете увімкнути розширення на службовій сторінці browser://tune.

Увага. Вмикайте розширення, лише якщо ви повністю довіряєте джерелу. Розширення може виявитися шкідливим. Браузер блокує шкідливі розширення, але якщо воно ще не потрапило в «чорний список», ваші дані опиняться під загрозою. Докладніше див. розділ Чим небезпечні шкідливі розширення.

Задля безпеки розширення буде увімкнено, поки ви не закриєте браузер. Під час кожного перезапуску браузера вам доведеться заново вмикати розширення. Щоб уникнути цього, зверніться до розробників розширення з проханням викласти його в інтернет-магазин Opera Add-ons або Chrome Web Store.

Перевірка справжності розширень

Іноді зловмисники намагаються підмінити інстальоване з інтернет-магазину розширення на шкідливе. Яндекс.Браузер періодично порівнює інстальовані розширення з їх оригіналами з інтернет-магазину (порівнюються хеші вихідних файлів). Якщо розширення не збігається з оригіналом, браузер вимикає розширення та попереджає вас про це.

У такому разі:

  • Якщо розширення вам потрібне, натисніть Інсталювати повторно й відновіть його оригінальну версію з інтернет-магазину.
  • Якщо розширення вам не потрібне, натисніть Видалити.

Якщо ви закрили діалогове вікно, натиснувши на частину екрана за його межами, розширення залишиться вимкненим. Видалити або перевстановити його ви зможете на сторінці Доповнення.

Браузер вимикає ваше розширення

Порада. На етапі розробки використовуйте бета-версію Яндекс.Браузера, у якій немає перевірки розширень.

Якщо браузер відключає створене вами розширення, використовуйте один із наведених нижче способів.

Якщо ви не виклали розширення в інтернет-магазин Chrome Web Store або Opera Add-ons

Вмикайте його під час кожного запуску браузера або викладіть розширення в інтернет-магазин, а потім встановіть звідти в браузер.

Якщо ви виклали розширення в інтернет-магазин Chrome Web Store або Opera Add-ons

Перевірте значення поля update_url у файлі manifest.json. Правильні посилання на джерело мають такий вигляд:

Назва магазину Посилання для оновлення розширень
Chrome Web Store https://clients2.google.com/service/update2/crx
Opera Add-ons https://extension-updates.opera.com/api/omaha/update/