Разработчиков с иностранной долей больше 10% могут отсечь от реестра ПО

Олеся Афанасьева 04 Августа 2022 - 15:50

Домашние пользователи

Государство

Positive Technologies

Яндекс

Соответствие законодательству РФ

Импортозамещение

...

Разработчиков с иностранной долей больше 10% могут отсечь от реестра ПО

Минцифры планирует ужесточить требования к вендорам, претендующим на внесение их софта в реестр отечественного ПО. Порог доли российских акционеров могут поднять до 90%.

О новых возможных нормативах сегодня пишут “Ведомости”. Сейчас компания, претендующая на место в реестре, должна принадлежать российским юридическим или физическим лицам более чем на 50%. Планку могут поднять до 70–90%, рассказали газете два федеральных чиновника.

Таким образом Минцифры пытается добиться того, “чтобы у таких компаний были именно отечественные инвесторы”. При этом ведомство понимает, что предложенная мера ограничит возможности компаний, которые торгуются на бирже.

“Сейчас Минцифры находится в диалоге с экспертами и профильными ассоциациями для разработки механизмов, которые позволят включать в реестр ПО продукты компаний, торгующихся на биржах, так что доля владения российскими юридическими и физическими лицами в них может динамически меняться, но при условии сохранения контроля российской стороной”, — сообщил изданию представитель министерства.

В реестре отечественного ПО сейчас есть разработки компаний, торгующихся на бирже. У “Яндекса” — 60, у Positive Technologies — больше 20. Компании соответствуют текущему требованию в 50% российских акционеров.

Доля экономических акций “Яндекса”, находящихся в свободном обращении, составляет почти 90%, но 51,8% голосующих акций — у основных акционеров и сотрудников компании.

Доля акций Positive Technologies, которые торгуются на бирже — около 11%.

Сложности могут возникнуть у разработчиков, которые только планируют вступить в реестр отечественного ПО.

Месяц назад несколько крупных российских компаний с иностранными акционерами просили правительство снизить порог по доле владения бизнесом. Речь шла об Ozon, “Авито”, Cian, HeadHunter, “Тинькофф” и “Вымпелком”.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Татьяна Никитина 04 Февраля 2026 - 21:18

Уязвимости программ Домашние пользователи Корпорации

Расширения Chrome могут слить секреты URL через атаку по стороннему каналу

Как оказалось, расширения Chrome можно использовать для слива кодов авторизации, сеансовых ID и других секретов из URL любой открытой вкладки. Никаких специальных разрешений для этого не понадобится, только доступ к declarativeNetRequest API.

Этот механизм, пришедший на смену webRequest API, позволяет расширениям сообщать браузеру, что следует изменить или заблокировать на загружаемой странице (заголовки, реклама, трекеры).

Правила обработки запросов при этом добавляются динамически, а фильтрация осуществляется по регулярным выражениям, соответствующим подмножествам знаков, которые могут присутствовать на определенных позициях в URL.

Исследователь Луан Эррера (Luan Herrera) обнаружил, что блокировку, диктуемую правилами, Chrome производит почти мгновенно, за 10-30 мс, а остальные запросы выполняются дольше (~50-100ms) — из-за сетевых подключений. Эту разницу во времени расширение может использовать для бинарного поиска с целью посимвольного слива URL.

// extensions/browser/api/web_request/extension_web_request_event_router.cc:1117-1127
case DNRRequestAction::Type::BLOCK:
  ClearPendingCallbacks(browser_context, *request);
  DCHECK_EQ(1u, actions.size());
  OnDNRActionMatched(browser_context, *request, action);
  return net::ERR_BLOCKED_BY_CLIENT;

Оракул для подобной тайминг-атаки строится с использованием chrome.tabs.reload для перезагрузки страницы и перехватчика chrome.tabs.onUpdated, помогающего отследить событие status === "complete". Замер времени между reload и завершением загрузки покажет, заблокирован запрос или успешно обработан.

Повторение проверок и бинарного поиска позволяет получить полный URL (с довеском после «?»), затратив на каждый знак строки несколько прогонов. Таким образом, можно незаметно для пользователя украсть включенные приложением в адрес секреты — токены OAuth и сброса пароля, API-ключи, ссылки на контент, закрытый для поисковых систем.

Проверка PoC проводилась на Windows 11 24H2 с использованием Chrome разных версий: