Portal xiva yandex net что это

Обновлено: 09.01.2025

Многие сервисы Яндекса доступны только после регистрации: например, без аккаунта не получится воспользоваться Почтой, Диском или Вебмастером.

Яндекс ID — это единый аккаунт на Яндексе. Используйте его для авторизации на всех сервисах Яндекса.

Если вам нужно сменить пароль или, например, указать другую фамилию, достаточно сделать это всего один раз в Яндекс ID на странице Управление аккаунтом — и изменения автоматически отобразятся во всех сервисах. Здесь же вы сможете привязать к Яндекс ID номер телефона и включить двухфакторную аутентификацию.

Главный баг открытых проектов Яндекса

Perl Incompatible Regular Expressions library родилась в недрах разработки поискового робота, где специфика задач позволяет отказаться от поддержки эзотерических возможностей стандартных перловых регулярок, и за счёт этого существенно повысить скорость обработки. В поисковом роботе не бывает, чтобы что-то работало слишком быстро. Вот небольшая выдержка из тестов производительности, которые использовались также в известной статье "Regular Expression Matching in the Wild":

Файл 500 МБ, регулярка: .*$
pcre	31,67 МБ/сек
re2	242,28 МБ/сек
pire	756,32 МБ/сек
Файл 500 МБ, регулярка: ABCDEFGHIJKLMNOPQRSTUVWXYZ$
pcre	153,67 МБ/сек
re2	653,76 МБ/сек
pire	755,98 МБ/сек
Файл 2 МБ, регулярка: (\d-|\(\d\)\s+)(\d-\d)$
re2	423,76 МБ/сек
pire	775,89 МБ/сек

Особенно ценная черта PIRE — это способность работать также и с очень длинными регулярками, и это очень мало сказывается на производительности.

В Яндексе он работает в новом интерфейсе Почты, где обслуживает мгновенные уведомления о новых письмах. Попробуйте при открытом окне почты прислать себе письмо из какой-нибудь другой почтовой системы.

Об NwSMTP можно думать как о "Nginx для SMTP". Это прокси-сервер, который работает перед основным почтовым сервером и может обеспечивать например поддержку SSL, фильтрацию по RBL, антиспам и антивирусную проверки. Именно он работает сейчас на нашей Почте.

Документация к нему предлагается в духе unix-традиций в виде откомментированного конфиг-файла. Обратите внимание, что проверку на спам через яндексовую Спамооборону доступна "из коробки".

Это, конечно, не все открытые проекты Яндекса. Мы потихоньку будем собирать информацию о них в едином месте. Пока же можно, например, следить на Github за списком проектов пользователя yandex-opensource.

Как мы сделали чтение писем безопаснее: Content Security Policy в Яндекс.Почте

А с недавних пор мы стали поддерживать новый механизм защиты данных пользователя – стандарт Content Security Policy. С его помощью можно запретить скриптам на странице подгружать какие-либо ресурсы с хостов, не указанных в белом списке.

Это пока довольно редкая штука (ни одна крупная известная нам почта этого ещё не применяет), и в этом посте мы поделимся опытом внедрения стандарта.

• Chrome 25+, Firefox 23+, Opera 15+ и Яндекс.Браузер имеют полную поддержку и понимают стандартный заголовок;
• Firefox 4-22, IE 10+ поддерживают нестандартный заголовок X-Content-Security-Policy и имеют частичную поддержку стандартного;
• Chrome 14-24, Safari 5-7 поддерживают нестандартный заголовок X-Webkit-CSP и имеют частичную поддержку стандартного.

Из чего состоит CSP?

Некоторые браузеры также указывают в отчете ссылку и строку JS, которые привели к нарушению политики безопасности.

• 'self' — соответствует текущему хосту, протоколу и порту.
• 'none' — все запрещено.
• 'unsafe-inline' — используется в script-src и разрешает , javascript: и инлайн-обработчики событий (onclick=""). Для style-src разрешает использование тега и атрибута style="". По возможности старайтесь не указывать это ключевое слово, т.к. это напрямую разрешает исполнять любой инлайн javascript на странице, что может приводить к XSS.
  'unsafe-eval' — используется в script-src и разрешает любую кодогенерацию: eval, new Function, setTimeout(' var foo = "bar" ', 1).
  

Хосты можно указывать как просто "yandex.st" , так и с протоколом или портом "https://yandex.st:443" . Помните, что если у хоста не указан протокол или порт, то он берется из текущей страницы, по аналогии с same origin policy. Таким образом, хост "yandex.st" на странице "https://mail.yandex.ru:443/neo2/" автоматически приобретет вид "https://yandex.st:443" .

Если указан заголовок Content-Security-Policy, то браузер блокирует все ресурсы, которые не соответствуют политике. Заголовок Content-Security-Policy-Report-Only также проверяет все ресурсы, но не блокирует их, а только сообщает о нарушениях. Мы рекомендуем его использовать на первых этапах внедрения CSP.

Как мы внедряли

Мы исследовали эту технологию с весны, когда еще не было ни одной стандартной реализации. Сначала аккуратно внедрили заголовок Content-Security-Policy-Report-Only для нашей внутренней почты. Некоторые время мы изучали отчеты и исправляли нашу политику, и уже в мае включили CSP в блокирующем режиме. Во время внутреннего тестирования исследовалось поведение всех заголовков — и стандартных, и нет.

С публичной почтой было несколько труднее, ведь к нам приходили пользователи с неконтролируемым окружением. Несколько месяцев мы разбирались в отчетах, исправляли политики, и, наконец, осенью выкатили их на 100% в блокирующем режиме.

Самое интересное, что мы теперь имеем — несколько миллионов ежедневных отчетов с нарушениями от вирусов, нерадивых плагинов и расширений, которые пытаются вставлять свой код на наши страницы. Мы не можем контролировать содержимое этого кода, а значит не можем гарантировать, что он бережно относится к персональным данным наших пользователей — и довольны тем, что блокируем их исполнение.

для браузеров, основанных на Chromium, позволяющее добавлять заголовки на страницу и тестировать политики. для разбора отчетов браузеров, чтобы проще получать список блокируемых ресурсов.

Разберем заголовок на примере мобильной Яндекс.Почты

1. Оценка списка загружаемых ресурсов.
2. Внедрение заголовка Content-Security-Policy-Report-Only.
3. Анализ логов.
4. Исправление политики.
5. Внедрение заголовка Content-Security-Policy (переход в режим блокировки).
6. Счастье пользователей :)

Что нужно учитывать при внедрении

• Safari 5 и AndroidBrowser с заголовком X-Webkit-CSP имеют очень плохую реализацию стандарта. И мы советуем вам вообще не использовать CSP для этих браузеров. Например, они плохо понимают правила unsafe-eval и unsafe-inline.
• Firefox в X-Content-Security-Policy реализует немного нестандартные директивы. Вместо connect-src нужно писать xhr-src (или можно добавить правила в default-src). Кроме того, он не понимает unsafe-inline, unsafe-eval, вместо них надо дописывать директиву «options inline-script eval-script». Подробнее про собственную реализацию заголовка можно почитать на вики Mozilla.
• У Firefox и X-Content-Security-Policy есть проблемы с report-ui.
• Safari в iOS6 шлет очень неинформативные отчеты.

• Если вы используете inline-картинки, то в img-src нужно разрешить протокол «data:».
• Используя Blob, указывайте 'self' (для Chrome) и blob: (для Firefox и X-WebKit-CSP)
• CSP верхнего документа не распространяется на дочерние iframe за исключением about:blank.
• Если вы не хотите блокировать расширения хрома, которые, кстати, с последних версий тоже живут по CSP, то надо разрешить протокол «chrome-extension:»
• default-src распространяется на все неуказанные директивы, но если вы захотите что-то добавить или удалить, то придется указывать все домены заново.
• Можно одновременно указывать Content-Security-Policy и Content-Security-Policy-Report-Only. Оба заголовка будут работать независимо. Такой подход будет полезен для тестирования новых политик.
• Если вы используете фреймворки с feature detection (например, jQuery < 1.8 или Modernizr), то для style-src надо указать 'unsafe-inline'.

Естественно, это не всегда возможно, но старайтесь не использовать *, а указывайте точный список доменов. Также указывайте все директивы, иначе все ошибки будут сыпаться как нарушение в default-src. Конечно, размер заголовка увеличиться, зато найти проблемы будет намного проще.

К сожалению, нам пока не удалось отказаться от unsafe-inline. Инлайн-скрипты в почте используются для двух вещей: выдача настроек и проверка загрузки критичных JS (jQuery и загрузчика). И если настройки мы могли переделать на JSON, то отказаться от важных отчетов незазгрузки JS мы не смогли, и пришлось оставить 'unsafe-inline'. Также проблем добавило активное использование инлайн-атрибутов в WYSWYG-редакторе TinyMCE.

Хоть такое правило и позволяет исполнять любой инлайн javascript на странице, мы можем обезопасить себя тем, что разрешаем соединение только с проверенными ресурсами.

Обновленный стандарт CSP 1.1

Новая версия стандарта на текущий момент находится в стадии черновика, но Chrome и Firefox уже начинают внедрять новые возможности из него.

Яндекс принудительно устанавливает неудаляемый «Яндекс.Телемост» в другие свои программы на компьютере пользователя

15 июня Яндекс запустил онлайн-сервис для организации видеозвонков под названием «Яндекс.Телемост». Новость на Хабре.

Сегодня же многие пользователи обнаружили, что Яндекс.Телемост принудительно устанавливается при обновлении других приложений Яндекса, например, Яндекс.Диска. Удалить Яндекс.Телемост отдельно нельзя.

Служба поддержки «Яндекса» в твиттере сообщила, что "по многочисленным просьбам трудящихся" новый сервис «Телемост» добавляют в другие приложения Яндекса. «Отдельно удалить “Телемост” пока нельзя, но можете удалить ярлык», — добавили в компании.

Читайте также:

  
• Почему manhunt запретили в россии
  
• Пирог прибоя геншин импакт где найти
  
• Как стрелять ракетами в гта 5 с вертолета
  
• Симс 3 как увеличить яркость
  
• Как покрасить лодку в майнкрафте без модов