Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 228
Да, да, им совершенно не нужно чекать доступность телеграма, включен ли у вас ВПН и какой у вас внешний айпишник. А строка в исходниках Select * from Users Where VPN=enabled > comrade_mayor.txt это исключительно для вашей_безопасности/защиты_детей/противодействия_недружественным/нужноеподчеркнуть.
А если вынуть зонд, то вы можете потерять равновесие и упасть.
Хрюкаю с того, как они вообще проигнорировали пункт про VPN в своем ответе) Сказали что не имеет отношения к персональным данным, но зачем тогда вообще собирать статус VPN соединения? Для пушей это не нужно
А что если в apple жалобу подать, что они privacy policy нарушают? Они вот врут на голубом глазу и делают странные вещи, от которых окрашиваются. Это же прямое нарушение политики.
За такое и из аппстора можно вылететь.
Сбор ваших внешних IP адресов - это privacy? 😏
Пока сервера эпл не начали замедлять они не пойдут на это
Они приняли вашу жалобу?
А не странно ли, что вообще это приложение есть в аппсторе? Как же все эти "как бы" санкции? Они взяли и разрешили размещать "государственный мессенджер" неугодной им страны, а другое блочат. Что за двойные стандарты, кто знает?
Это называется бизнес.
Почему двойные стандарты? Все абсолютно прозрачно: есть санкционный список, Макс там отсутствует - всё. Будь он хоть трижды государственный - всем пофиг пока его не укажут в списке.
Пы.сы. кстати только сейчас обратил внимание что вы сказали будто аппстору неугодна какая-то страна. Поясните?
Думаю, что вы неправы, потому что Apple может удалять приложения из Аппстор без объяснения причин, как это недавно было с Авито. Просто тихо удалили, без всяких списков. И до сих пор молчат.
А насчет того, кому неугодна страна, она неугодна тем, кто создает санкционные списки конечно.
Вы проводите параллели между не связанными явлениями. Да, аппстор как и многие другие владельцы сервисов могут модерировать и удалять приложения на своем сервисе без объяснения причин, но как это связано с неугодностью страны? Я уверен что аппстор удалял не только Авито, а так же и другие приложения из других стран, думаете они тоже неугодны?
Вы правда ничего не слышали о том, что Аппстор стал удалять популярные приложения в последние годы? VK и Mail.ru сервисы, приложения банков, карты, сервисы авиакомпаний. Их десятки)
Вот прям так просто - они были до 22 года, а потом вдруг их начали удалять, ну просто так, вне всякой связи ни с чем. Вы же это пытаетесь сказать, правда?
Статус VPN-соединения собирают много приложений. Почти каждое второе. У меня и Сбер, и Альфа, и Билайн, и даже по-моему какие-то онлайн-кинотеатры, и другие приложения видят VPN и просят отключить его, якобы он может помешать работе. Хотя у меня VPN настроен на конкретные приложения. Я не пытаюсь обойти блокировки в РФ, мне это не нужно. Просто пытаюсь достучаться до серверов Гугл и Майкрософт. Некоторые игры тоже к своим серверам не могут достучаться без VPN. А банковские и другие приложения не через него получают трафик, однако видят его всё равно.
Собирают и сохраняют у себя данные идентифицирующие или показывают плашку?
Я вижу только плашку, а вот собирают ли они и хранят - не знаю. С точки зрения сбора данных у банковских приложений и приложений мобильных операторов и так полный карт-бланш - у них есть доступ к моему номеру и они знают все мои данные. Никаких проблем мою личность установить у них нет, а потом сопоставить с данными об использовании VPN.
Статус VPN-соединения собирают много приложений. Почти каждое второе.
и ни у одного из них нет никакой вменяемой причины на это..
Подскажите название приложения для настройки роутинга под конкретные приложения
Некоторые игры тоже к своим серверам не могут достучаться без VPN.
что бесит таки просто неимоверно.
поправочка
comrade_mayor это товарищ_мэр
майор - major
Видеосъёмка в туалете ведётся для вашей же безопасности! Угу, верим.
Комментарии пресс-службы на эксперименальные данные повлиять не могут.
В военное такое время значение синуса может достигать четырех!
В общем, те говорят, что отправляет запросы, а эти говорят, что не отправляет. Слово каких‑то иностранных ноунеймов против слова официального представителя практически государственного мессенджера. Совершенно очевидный выбор.
Ну да, вторые никогда не обманывают, да?... Ведь так?
Что одни, что другие могут врать, и часто это делают, в чём же очевидность?
Обычно, когда "представителями" заявляется, что "не планируется, не обсуждалось, нет намерений, фейки от иногентов, ничего подобного не будет" и т.д., то это самое событие обычно наступает через 1-3 недели или месяц.
Если на клетке со львом написано слон - не верь глазам своим (c)
А в каком месте оно государственное, если его пилит частная компания?
Уже то, что частное поделие на государственном уровне называют государственным, не внушает доверия к "официальным" представителям.
спросите у Алисы ИИ или другой нейронки, кто ключевые акционеры ПАО «ВК».
А в каком месте оно государственное
А в таком, что и объяснять не надо, вы только посмотрите, что делается. Вся вот эта движуха и делает его практически государственным несмотря на небольшую юридическую формальность, на которую вы указали. При этом нельзя исключать, что эта формальность ещё послужит предлогом/оправданием для чего‑нибудь неприятного.
Однако сам факт, что некое ПО разрабатывает частная структура, вообще ни о чём не говорит. Ну не министерство же должно его разрабатывать?! Это разговоры ни о чём. И даже если предприятие будет под формальным контролем (a. k. a. «контрольный пакет») государства — это совсем не панацея. Только прямой контроль — панацея. Вспомните опыт санкционных войн последнего десятилетия. Многими бизнесами на Западе владели россияне, многими бизнесами в России владели граждане «западного блока». Помогло им это, когда в 2014 настало, а в 2022 ещё сильнее настало время удивительных историй? Да не очень. Я тут рискую свалиться в галковщину, но мой point в том, что следить надо за руками. За действительностью, данной нам в ощущениях. Больше смотреть, что делают, чем слушать, что говорят.
эта формальность ещё послужит предлогом/оправданием для чего‑нибудь неприятного.
Вот именно, что движуха - это ерунда, а юридическая формальность как раз ключевое. В случае, к примеру, слива пользовательских данных государство никак не будет отвечать за него, а "ответственный" и очень "эффективный менеджер" этой частной конторы и "по совместительству" сын известного политика, тоже окажется не приделах. Максимум, назначат стрелочника. И тут хоть за руками следи, хоть за ногами - результат монопенисуальный.
А будь он государственным — как государство отвечало бы за утечки? Как вы себе это представляете?
Что‑то вроде этого:
21 января 2026 года Верховный суд РФ подтвердил законность постановлений нижестоящих судебных инстанций в отношении Минтруда РФ по делу об административном правонарушении. Ведомство подвергнуто наказанию в виде штрафа в размере 100 тыс. рублей за утечку персональных данных сотрудников и членов их семей (около 1,4 тыс. записей, содержащих паспортные данные и реквизиты банковских карт). Ведомство пыталось оспорить наказание, настаивая, что инцидент произошел по вине внешнего подрядчика, обеспечивавшего защиту информационных систем.
25 ноября 2025 года Московский арбитражный суд признал «Почту России» виновной в нарушении законодательства о персональных данных и оштрафовал на 150 тыс. рублей (более 26 млн строк в открытом доступе, в том числе ФИО, номера телефонов, адреса электронной почты и информация о почтовых отправлениях).
20 февраля 2025 года стало известно о том, что киберпреступники выложили в открытый доступ массив информации, которая, как утверждается, похищена из ИТ‑систем Департамента информационных технологий (ДИТ) города Москвы. В слитом файле находятся 10 млн записей, в частности, фамилии и имена, номера телефонов, адреса электронной почты, физические адреса, пол, даты рождения, паспортные данные (серия/номер документа) и место рождения. Но это не точно (решения суда не нашёл), вычёркиваем.
10 июня 2024 года стало известно об утечке персональных данных, связанных с ДИТ Москвы. В открытом доступе появился файл, содержащий 13,4 млн строк с различными персональными данными, включая ФИО, паспортные данные, адреса регистрации и другие важные сведения. По словам представителей ДИТ Москвы, предварительный анализ показал, что выложенная информация представляет собой компиляцию данных, полученных в результате взлома других систем, а также сведений из открытых источников. Лично у меня нет причин сомневаться в выводах специалистов ДИТ Москвы, так что, пожалуй, этот пример тоже вычёркиваем.
Что мы имеем в сухом остатке? В тех случаях, когда само событие правонарушения было установлено, — виновные были наказаны. Лично я, прочитав процитированные публикации (на интернет‑сайте, который необъяснимым образом до сих пор не заблокирован на территории Российской Федерации), пришёл к выводу, что в государственных и муниципальных информационных системах персональные данные обрабатываются надлежащим образом и надёжно защищены. А если нет — виновные в нарушениях понесут неотвратимое наказание. Не то что у частников каких‑нибудь. Так что лично я теперь чувствую себя в полной безопасности. А вы?
врут и не краснеют))
по п1 сомнительно -- как отмечалось в статьях, у ВК есть свои STUN-сервера/
заявление из п3 прямо противоречит тому, что нашли исследователи.
В общем, никогда такого не было и вот опять)
Так ведь и как и "Ютуб незаблокирован" главное назвать другим словом.
Рассчитывают на то, что 99% читателей не знают как работает WebRTC, и примут сложную техническую аббревиатуру за правдивое объяснение
А что там с WebRTC (я вхожу в 99%)
Ниже есть комментарий от одного из разработчиков протокола. https://habr.com/ru/news/1006950/comments/#comment_29622680
Как можно не поверить таким лапочкам солнышкам благодаря которым нельзя беспроблемно пользоваться нормальными мессенджерами?
"МАХ не отправляет запросы на серверы WhatsApp и Telegram" - не отправляет, но отправляет.
Все всё уже поняли.
Удивляет быстрая реакция пресс-службы скама :)
Может, их пресслужба ещё подскажет, что на счёт МАХ думает Федеральная Антимонопольная Служба и нет ли фактов использования административного ресурса для недобросовестной конкуренции и прямого лоббизма по принципу кумовства?
Совсем ни на каких отцов и сыновей не намекаю, разумеется.
А это мысль отправить запрос в ФАС
вроде бы отправляли и оно ничего не нашло. Если вспомню где читал, обязательно дам ссылку.
фас это кого надо фас, а не вот эти вот запросы от каких-то иноагентов (s)
Кстати, якобы ФАС уже высказался на тему того что размещать рекламу в Телеграме теперь незаконно.
Вы хотите от них в пользу себя решения?
если бы вы видели какой бред отвечает прокуратура по поводу кучи написанного им про роскомпозор..
если закон нарушает кто надо то законники даже не читают.. у них не просто лапки, у них лапки вместо глазок..
что на счёт МАХ думает Федеральная Антимонопольная Служба?
Первый год в России живешь? Президент же публично поручил «душить» все нероссийские сервисы, которые не соблюдают рос. законодательства и всячески поддерживать внедрение национального мессенджера
и нет ли фактов использования административного ресурса для недобросовестной конкуренции и прямого лоббизма по принципу кумовства?
За такие дерзкие вопросы можно иноагента получить
ФАС не найдет никаких нарушений, так как конкурентов у МАХ попросту нет.
В Федеральной антимонопольной службе (ФАС) прокомментировали появившиеся в Сети документы о якобы внесенном решении регулятора, касающемся размещения рекламы в Telegram-каналах. В ведомстве подтвердили, что считают рекламу в Telegram нарушающей закон "О рекламе" в части запрета размещения рекламы на запрещенных площадках.
"В соответствии со статьей 15.3 Федерального закона "Об информации, информационных технологиях и о защите информации" Роскомнадзором ограничен доступ в отношении мессенджера Telegram. Соответственно, telegram-канал "ЛОСКУТОВА МАРИЯ" является ресурсом, доступ к которому ограничен. С учетом изложенного в размещении рекламы в telegram-канале "ЛОСКУТОВА МАРИЯ" (https://t.me/loskutova\_maria), в частности в размещении 28.01.2026 и 20.02.2026 рекламы усматриваются признаки нарушения части 10.7 статьи 5 Федерального закона "О рекламе"", - отмечалось в документе.
на запрещенных площадках
а что, телеграм уже официально запретили?
Ответ ФАС: "Меня не трогать, я в домике!"
Практика критерий истины.
В сухом остатке по Оруэллу: "МАХ - не отправляет запросы на сервера WhatsApp и Telegram", это другое, примерно такое другое как и "Ютуб незаблокирован" на новоязе пиарщиков трехбуквенного ведомства.
Если есть возможность удаленно менять адреса обращений, то сейчас аккуратно можно убрать их и заявление станет правдой.
Так и есть. Отключили в обновлении. Но из кода не удалили: https://habr.com/ru/articles/1006666/#comment_29624248
Разработчики MAX нагло врут.
Для установки P2P-соединения (звонков) технология WebRTC требует внешний IP, чтобы построить прямой маршрут «телефон-телефон». Это стандарт для всех сервисов, которые осуществляют звонки при помощи данной технологии;
Как один из разработчиков WebRTC утверждаю, что - нет, не требует. Оно само определяет внешний IP, для этого надо указать хотя бы один STUN сервер, который и внешний IP определит и дырку в NATе проковырает, если сможет. А если не сможет, то можно WebRTC еще указать TURN сервер для туннелирования трафика. MAX же обращается не к STUN серверам. Во-первых, у них адреса другие, во вторых STUN протокол видно в дампе трафика.
Руками собирать внешний IP адрес никакого смысла нет. Это совершенно кривое использование WebRTC. Там надо будет еще поизвращаться, чтобы этот внешний IP в него засунуть.
Тут можно было бы еще предположить, что у разработчиков лапки и они не умеют использовать WebRTC. Но это опровергается списком посещяемых адресов. Зачем их столько? Зачем обращаться к заблокированным в россии серверам?
Теория о том, что макс используется как бекдор для роскомпозора для проверки блокировок и детектирования способов их обхода - гораздо более правдива.
Справедливости ради стоит отметить, что если у разработчиков есть что ответить по технической части, то могли бы запилить статью на Хабре с детальным описанием своих доводов.
Судя по отсутствию логики и техническим несоответствиям, пресс-служба Макса опиралась в своём ответе не на разработчиков, а сами по-быстрому что-то слепили.
Это было бы даже забавно.
Можно, а зачем? (с)
если у разработчиков есть что ответить по технической части, то могли бы запилить статью на Хабре с детальным описанием своих доводов
В этом случае у них быстро переполнится панамка.
Они жизнями рискуют, буквально, как на фронте. Потому что кормушка не вечна, а столбов много припасено для "исполнителей приказов". А их руководятелы - креслами и должностями. Поэтому ведомство максимально обезличено.
Так на Хабре есть их официальный аккаунт https://habr.com/ru/companies/vk/
Вроде бы руководство ВК несколько лет назад немного поменялось.
Чтобы получить статус иноагента?
Хотите, чтобы по карме написавшие статью побили антирекорд Дениса Попова? :)
У Дениса Попова не было ботов которые налетят "спасать репутацию" и бить по карме недовольным) Мне так за Сбер накидали, единственный комментарий из сотни с минусом и карма в минусе)
@denis-19вот этот комментарий следовало бы закрепить под статьей, чисто для объективности
там отправляется event и они к нему прилепляют IP. Смешную шнягу про звонки конечно придумали
Разработчики MAX нагло врут.
For great justice:
С другой стороны, при reverse-engendering Chrome так-же выясняются пикантные детали, типа отправки вагона запросов к сервисам Google (в обход rules), X-Client-Data, X-Browser..., hints. Всё это приходится выпиливать для обеспечения анонимности.
Вы так говорите, как будто товарища майора из Google следует опасаться больше отечественного и нас принуждают пользоваться Chrome. Кроме того, совершенно никто не мешает воспользоваться Chromium или его кастрированной версией. Которые в отличие от скаМ-а не скрывают своих исходников.
А толку то сколько от того, что исходники открыты. Вы их лично проверили, или у Вас есть доверенное лицо, которое смогло их проверить. Публикация исходников никогда не являлась гарантией отсутствия "фичей", как бы не хотедось кому-то верить в обратное.
Это еще что! Закладка может быть в компиляторе. При чем такая, что она в программы бекдор вставляет, и в исполняемый файл компилятора вставляет сама себя, хоть ее в исходниках и нету. А в дизассемблеры вставляет код, скрывающий себя. В итоге ее нигде не видно если вы только машинный код не читаете, даже если самостоятельно все из выученных наизусть исходников собирать.
Закладка может быть в компиляторе.
Кстати, ДА:
1) Intel, который скрытно вставля проверку на процессор AMD ивыбирал самый "медленный" код работы:
https://habr.com/ru/articles/80050/
2) Rich-сигнатуры, как fingerprint
https://offwhitesecurity.dev/malware-development/portable-executable-pe/rich-header/
История gcc в котором новые версии собираются старыми :) Учитывая творящееся безумие легко допускаю материал тут "Троян которому 40 лет" про выявленное с помощью анализа бинарников китайскими нейросетями в которые не попали инструкции скрывать правду.
Старые добрые времена был гуманный вирус янки дудль. Играл на спикере янки дудль. При открытии программы в отладчике (в досовском debug, времена были действительно старые и добрые), немедленно себя удалял из файла (понятно, если уже резидентом сидел в памяти).
А зачем мне лично проверять исходники, или иметь для этого доверенное лицо? Есть сообщество, которое изучает эти исходники. Один в каких-то своих целях посмотрел там, другой в своих целях посмотрел сям, и если обнаружилось что-то подозрительное, то скорее всего начнётся изучение этого функционала, что в конечном счёте выльется в общедоступную статью.
Вот видите. Вы подумали, что вам не нужно лично проверять, понадеявшись на других. И остальные члены предполагаемого сообщества поступили точно же так.
Кто дал вам право говорить за всех? Я даже не буду говорить о себе, но к примеру прямо на этом ресурсе хабраюзер @x7mz получил от telegram $100.000 за найденную уязвимость.
Кто дал вам право говорить за всех?
И в мыслях не было. Обычный пессимизм. Посмотрите, сколько в мире кода и сколько при этом людей вроде хабраюзера @x7mz. Надежней предполагать, что все вокруг дырявое, чем надеяться на энтузиастов.
А вам кто дал право говорить за всех?
Или единичный пример является подтверждением существования абстрактного сообщества, которое проверило весь код в интернете?
Тут скорее кому что по кайфу. Мне не интересна разработка ПО, поэтому и ковыряться в этом для себя никакого смысла не вижу. А вот дизайн и разработка тем - это пожалуйста. Пока делал тему для SDI, выявил ряд проблем в коде, составил баг репорт разработчику. Пока делал тему для OBS, также выявил ряд проблем, но багрепорт пока не составлял (тема ещё в работе).
Уверен, есть те, кому копаться с исходниками хрома тоже может быть интересно, а может быть они хотят подсмотреть там какие-то идеи, чтобы реализовать их в своём продукте, а может то, а может сё, причин покопаться в коде очень много, и именно так выявляются какие-то проблемы.
Толк в том, что я могу дописать свои свистелки и перделки поверх прекрасного кода, который понятен товарищу майору и его подельникам. Открой сакМ свой код, можно будет форкнуться, выпилить говнометрики, добавить слой e2e шифрования и вот тогда уж может быть я поставлю себе этот скаМ.
добавить слой e2e шифрования
Что ж никто в телеговские личные чаты его до сих пор не добавил? Код же открыт.
Потому что там уже есть e2e шифрование? Называется секретный чат.
Оно не по умолчанию, так что…
Ну так добавили бы во все. А то постоянно упрекают в этом Пашу.
Как я понимаю такой клиент нарушит ToS на API телеграм (пункт 1.3, кстати, как я понимаю «телега» со своими звонками буквально его нарушает), будут ли у этого последствия? Я не знаю
Хотя… мб наличие «fallback» на переписку открытым текстом в случае невозможности организовать шифрованную сессию и пройдет как оправдание по 1.3
Почему мне должно быть дело до телеговских чатов, если мы говорим про скаМ? Абсолютно совершенно никто не может запретить мне и моему другу, с которым я внезапно решу воспользоваться нашей самопальной системой шифрования воспользоваться перекомпилированным клиентом телеги, поверх которого мы добавим наше супер шифрование.
Однако я никак не могу попробовать провернуть такое со скаМ-ом. Просто потому что никаких исходников клиента они не предоставили и разумеется не собираются, а альтернативные клиенты с реверснутым протоколом (вспоминаем миранду для асечки) ещё не завезли, хотя.... если чуток погуглить, то можно найти кое-что, но даже если оно рабочее, гарантий что оно внезапно не превратится в липовый мёд никаких нет.
Тут уже обсуждали - хотите приватности, потрудитесь. ;)
Вот вариант - https://f-droid.org/ru/packages/com.amnesica.kryptey/
И хоть через Мах, хоть через электронную почту, хоть чертом лысым передавайте....
Какая прелесть) Был ещё oversec, но он похоже давно заброшен
А толку то сколько от того, что исходники открыты. Вы их лично проверили, или у Вас есть доверенное лицо, которое смогло их проверить.
В наше время ещё это можно поручить нейросети, и если там что-то подозрительное есть, то она это весьма вероятно найдет, или хотя бы покажет где посмотреть внимательнее.
следует опасаться больше отечественного и нас принуждают пользоваться Chrome
Нет, просто уверен что в случае "отечественного майора" давно требуются более ракдикальные меры, чем просто писать посты на Хабре.
В случае Google, это такая же адекватная оценка сохранения собственной анонимности вне зависимости от страны и компании.
Безусловно, но основная разница тут в том, что "отечественный майор" хочет держать за тестикулы своей уверенной холодной ручёнкой и в случае чего и глазом не моргнёт воспользоваться своим приемуществом, а на западе вместо него бездушные корпорации, где ты всего лишь лид. В случае такого выбора я готов быть лидом, но не готов доверять свои тестикулы.
Ну Гугл тебя не старается заблокировать или сделать преступником в стране, который ты живёшь. Может он своей полиции это передаст, но до меня им дела нет, а наша нас бережет
Может не в тему, но Emoji в именах файлах? Серьезно?
Разработчики MAX нагло врут.
Сообщают отрицательную истину!
Тут можно было бы еще предположить, что у разработчиков лапки и они не умеют использовать WebRTC
Судя по вашему же рассказу, у них там не лапки, а культяпки, которыми не могут даже WebRTC адекватно использовать. Для меил ру это норма - говорю как человек, который реверсил протокол их Агента
Насколько помню из опыта развертывания зверя Edge Server для Lync/Sfb, который реализует как раз туннелирование медиа с помощью STUN/TURN через Интернет, убрать его в Static NAT DMZ возможно только, зная адрес внешнего белого IP. Т.е., чтобы сформировать правильный пакет для туннелирования внутрь локальной сетки, нужно либо выставлять внешний интерфейс Edge Server с белым IP, либо за NAT указывать жесткий белый IP и нельзя менять исходящий порт (Static NAT). Возможно, реализация именно от Microsoft такая (STUN/TURN должны быть RFC).
З.Ы. Кстати, Static NAT DMZ сценарий появился, дай бог памяти, только в Lync 2013, в предыдущих версиях (включая OCS) - только белый IP, от чего безопасники вечно закатывали глаза и упирались рогом.
Эта история совсем про другое. Вы тут у себя в сети настраиваете свой сервер. Это все не применимо к случаю клиентского приложения, запущенного у клиента в неконтролируемых вами условиях. Как вы вообще будете настраивать DMZ в сети провайдера, за которым сидит клиент?
Возможно, реализация именно от Microsoft такая (STUN/TURN должны быть RFC).
Нет, это потому что тут разговор про СЕРВЕР STUN, который сам должен быть доступен к подключениям из интернета. А не про клиент, который к серверу подключается из-за NATa.
Ситуация похожая. Два клиента за NAT ом (в данном случае, через серверы Edge) хотят пробросить медиа через Интернет (точка-точка), с использованием трубы STUN/TURN. Дак вот клиенту за NAT (клиентскому серверу Edge) необходимо знать свой белый IP-адрес для подключения к другому серверу Edge, доступному через Интернет, за которым сидит второй NAT - клиент.
Вы что-то путаете.
Нет никакой трубы STUN/TURN. STUN (Session Traversal Utilities for NAT) это сервер, который позволяет проковырять дырку в NAT и одновременно узнать свой внешний айпишник. Через него трафик не идет. Используется только для установления соединения. Знать свой айпишник для работы с ним не надо.
TRUN (Traversal Using Relays around NAT) - это сервер для relay трафика. Вот тут уже труба. Но тут опять же никаких своих внешних айпишников знать не надо, вы подключаетесь к серверу и он вам отвечает трафиком, предназначенным для вас.
Вот как это работает в webrtc: Клиент1 и клиент2 за NATами. Клиент1 посылает STUN серверу запрос, получает ответ со своим внешним айпишником и портом. Их сервер видит в адресе отравителя во входящих пакетах. Роутер Клиента1 видит UDP трафик туда-сюда и держит порт открытм. Клиент2 получает эти данные в RemoteOffer, который приложение webrtc должно как-то через свой сервер передать. Клиент2 отправляет данные на этот известный айпишник и порт, NAT пересылает их Клиенту1. Это не работает для NATов, которые назначают порт отдельно для каждого адреса отправителя. Они не сопоставят трафик от клиента2 с трафиком от STUN сервера. Это частая штука на самом деле. В этом случае подключение должно идти через TURN relay.
Можно обойтись без STUN/TURN серверов, если у клиента1 белый айпишник, или администратор сети настроил DMZ, и можно настроить конкретный порт для подключений, что фактически тождественно белому айпишнику. Тогда клиент2 посылает данные на известный белый айпишник и так устанавливается соединение через все NATы перед клиентом2.
Это ваш случай и он частный. Тут нет STUN/TURN вообще, но это возможно только в сети, которую вы контролируете.
Опять же, тут приложению не надо как-то отдельно узнавать свой внешний айпишник во время работы. Или оно его уже должно знать в конфиге вместе с DMZ портом (который вы никаким сервисом в интернете не определите), или это все произойдет автоматически внутри STUN, или оно его видит на сетевом инетрфейсе, если айпишник белый.
Это не работает для NATов, которые назначают порт отдельно для каждого адреса отправителя
можно клиенту 2 отправлять данные выставляя src ip сервера на который стучался клиент 1. провайдеры могут напрячься на предмет потенциального вредоноса, но стандартами не запрещено.
лет 20 назад у меня такая приблуда работала у 90% клиентов.
Это же для атак можно использовать. Я думаю сейчас много кто фильтрует исходящий трафик.
у меня нет актуальной современной статистики. но на сервера спуфленный трафик в каком-то количестве идёт.
под популярную технологию можно было бы nat пропатчить хотябы в линуксе (как когда-то под ftp). я правда давно не заглядывал, может уже пропатчили. )
У больших провайдеров почти никто не фильтрует, и можно даже попросить прямой роутинг и даже свой личный IP. Относительно не дорого стоит.
У некоторых фильтруют, но можно попросить отключить фильтрацию, обосновав, зачем.
И это действительно часто спользуют для пробивания тоннеля.
STUN сервер шлёт UDP обоим клиентам от имени дргу-друга и таким образом пробивает тонель в firewall. Замечательно работает даже на большинстве VPS.
Единственный побочный эффект - пакеты от STUN сервера идут невероятно загадочными маршрутами. Но так как их всего два на каждое соединение, то и чёрт с ними.
Вы, наверное, не поняли, что мы с RTFM13 обсуждаем? Мы обсуждаем, можно ли пробивать симметричный NAT, претворяясь STUN сервером (каждый клиент подделывает адрес отправителя в исходящих IP пакетах), потому что клиенты уже установили соединение со STUN сервером и дырка в NAT есть.
У больших провайдеров почти никто не фильтрует
Вы не правы: вот есть исследование. В зависимости от того, как считать - 50-80% вероятность, что будет фильтрация на пути и подделывать адрес отправителя не получится.
У некоторых фильтруют, но можно попросить отключить фильтрацию, обосновав, зачем.
Ахаха. Вы как себе это представляете? Сообщение от месcенджера: "для улучшения качества звонков, попросите вашего интернет провайдера не фильтровать поддельный исходящий трафик, а так же пусть передаст это сообщение магистральному провайдеру"?
STUN сервер шлёт UDP обоим клиентам от имени дргу-друга
И как это пробивает дырку в NAT? Что мешает просто клиентам послать пакеты друг-другу? Дырки в NAT/файерволах открываются при исходящем пакете. Как пакеты от сервера - извне - что-то открывают? Вот видит пограничный роутер пакет, адресованный себе на какой-то порт, как он понимает, что это пакет вон тому клиенту?
🤡 🤡 🤡
На Хабре уже давно всё пояснили Маху.
В сложных сетевых условиях
Я бы у них переспросил, что они имеют в виду под этой фразой...
Ну да, а дамп от этого MAXа подделка. Чот я больше верю runetfreedom чем вконтатам.
Отрицают очевидное.
И кто же создал эти сложные сетевые условия?
Неужели пресс-служба не видит, кто направил запрос? И то, что ещё в январе все было проверено, подтверждено и коллеги сделали предположение, что...
так они очевидно мониторят статистику обхода блокировок
https://habr.com/ru/companies/femida_search/news/985510/comments/#comment_29407112
Сказали бы, да мы ох... мы так отслеживаем доступность ресурсов конкурентов. И всё тут. Зачем выкручиваться? :(
Судя по скорости реакции - там не то, что до разработки, даже до продактов вопрос не дошёл.
начальству не нравятся плохие отзывы и новости, врать их обычное состояние, спускаемое с самого верха.
У макса же нет конкурентом - он единственный и неповторимый?
PS. Если так сказать, то потом придется объяснять, зачем и кому функциональность отслеживания ресурсов конкурентов нужна в мессенджере. Проще просто проигнорировать.
del
Поржал с вероятности, что там разработчикам в цейтноте вывалили задачу "да сделайте вы наконец-то чтоб работало как у телеги и ватсаппа!!!", и они такие "ляяя! а как они работают, кто знает?" и давай срочно разную статистику собирать, какая в голову пришла, чтоб разобраться.
И тут внезапно на хабре из-за рубежа "уууу, участников форума насторожили два момента" ... "ооо, может быть проверкой, выходит ли пользователь в интернет «напрямую» или через VPN/прокси" ... "Не пользоваться MAX".
PS: название домена "онемэ" тоже хорошее.
Как-то раз в интернете женщина пожаловалась, что за ней следят через электрическую розетку. Электрик разобрал розетку и увидел там того, что не должно быть в обычной розетке - какую-то крошечную плату и что-то похожее на объектив.
Были высказаны разные предположения. Кто-то считал, что розетку установил один из её тайных обожателей. Кто-то говорил, что это проделки конкурентов (женщина была бизнес-вумен). Сама она сразу подумала на бывшего мужа её подруги, потому что подруга часто бывала у неё дома, а муж был немного с приветом.
Дотошливая аудитория даже отыскала в интернете точно такую же розетку - там действительно был функционал видеонаблюдения.
В итоге женщина обратилась в полицию, которая установила, что такие розетки с видеонаблюдением действительно существуют. Однако у производителя есть две версии - одна с видеонаблюдением, а вторая - абсолютно обычная розетка. Но в целях экономии корпус и некоторые внутренности у розеток одинаковые, просто у одной есть встроенная видеокамера, а у другой - нет. И оказалось, что у женщины стояла та самая обычная розетка без камеры.
Ждем, когда в следующем обновлении эти запросы неожиданно пропадут. Ничего ведь не было, да?
А что от этого изменится? Все кому не лень, уже заметили что Скам подрабатывает на РКП.
Ну, собственно, почти это и произошло:
UDP 3
С сегодняшним обновлением 26.7.1 (RuStore) в месседжере отключили отправку запросов к WhatsApp и Telegram. Вероятно билд подготовили после вчерашней статьи.
Теперь текущее состояние макса почти соответствует их заявлению, что они никакие запросы к другим мессенджерами не отправляют, а IP собирают якобы исключительно для звонков.
интересно, что будет в обновлении 26.7.2?
В 26.7.2 они просто обернут свой протокол в шифрование с солью :)
Обернутый в соль протокол не скроет запросов к доменам телеги и вотсапа
Ну, тут можно поэкспериментировать. Обфусцировать строки, чтобы не палить адреса при анализе, рандомизировать время пробива, добавить задержку между установкой приложения и стартом пробивов (скажем, в неделю-две, а то и месяц). Заменить, в конце концов, явные DNS-имена на чистые IP'шки, чтобы не так палевно было (если это так не работает, то поправьте меня).
Мне кажется, что у недобросовестных разработчиков достаточно много возможностей скрыть своё грязное бельё, к сожалению.
Хороший класс точности, на два часа промахнулись) https://habr.com/ru/articles/1006666/#comment_29624248
"Молодой человек, мы, русские, не обманываем друг друга"
Тот самый случай, когда опровержение, является лучшим докозательством.
Они наверно подумали, что хабр - это что-то типа пикабу или фишки.нет, мол и так сойдет)
Старый советский анекдот
Лектор:
- Товарищи колхозники! Перед вами череп Александра Македонского, где ему 7 лет. А вот этот череп, где ему 25 лет. И, наконец, череп умершего Александра Македонского. Вопросы есть?
- Скажите, пожалуйста, как может быть у одного человека три черепа?
- А вы, простите, кто? - спрашивает лектор.
- Дачник.
- Вот и идите на хер. Лекция для колхозников.
Альтернативная (максимально приближённая к нашей нынешней реальности) версия
… С заднего ряда поднимается человек: Простите, а как у одного человека может быть три черепа?
По залу прокатывается возмущённый шёпот. Не успевает лектор ответить, как с места вскакивает один из колхозников.
Первый колхозник: А что вам не нравится? Отличные черепа. По-моему, прекрасно отполированы. Я как специалист по свиноводству не могу к ним предъявить никаких существенных претензий.
Дачник: Но…
Второй колхозник: Поймите, уважаемый, лекция это не монография и не диссертация. Совершенно не обязательно требовать от лектора скрупулёзного следования исторической правде. С эстетической точки зрения прекрасные черепа. Лет 20 таких черепов не видел. Лично мне очень понравилось.
Дачник: Но ведь три черепа…
Третий колхозник: Не хило у него от Македонского бомбануло! Что, сука персидская?! Бомбит у тебя?
Четвёртый колхозник: Да он, в натуре, перс! У нормального человека не может быть такой ненависти к великому полководцу.
Пятый колхозник: На вот, придурок. Почитай справочник по свиноводству, там всё подробно изложено. Может, перестанешь чушь пороть.
Дачник (робко): Причём же здесь, простите, свиноводство? Три черепа...
Шестой колхозник: Сегодня он до черепов докопается, а завтра выяснится, что и Александра Македонского вообще не было.
Седьмой колхозник: Да это поклонник Фоменко! Он всю историю отрицает!
Дачник: Но… Я же не отрицаю…
Восьмой колхозник: Ещё б ты, мразь, отрицал! Сколько тебе Цезарь заплатил, чтобы ты принижал достижения Александра Македонского?
Дачника обступают возмущённые колхозники. Комсорг колхоза стучит молотком по трибуне.
Комсорг: Подождите, товарищи, давайте говорить по существу. Я лично не жалею о том, что купил билет на лекцию. Замечательная лекция, схожу и в следующий раз. Я так понимаю, что всем понравилось, тем более что все купили билеты?
Колхозники: Да! Купили! Понравилось!
Комсорг: Ну вот и в следующий раз приходите. С жёнами, с родителями. Родственников приводите, знакомых. Назло вот таким провокаторам. Тем более что перед нами не просто провокатор. Ведь он выступает против всего просветительского курса нашего советского общества «Знание». Не сомневаюсь, что он умышленно пытается насадить в нашем колхозе мракобесие. Возможно, это сектант-пятидесятник. А возможно, и специально засланный к нам из-за рубежа агент.
Первый колхозник: Побледнел, сука! Ну всё, точно засланный!
Разъярённые колхозники хватают стулья. Дачника пинками выкидывают из клуба и топят в нужнике. Комсорг и лектор за трибуной делят колхозные рубли.
МАХ не отправляет запросы на серверы WhatsApp и Telegram
А дамп трафика видимо нарисовал ИИ)) Они даже не попытались объяснить наличие строк main.telegram.org и mmg.whatsapp.net в исходниках и запросах, просто сказали "вы все врете"
Просто скоро за использование "недружественных" месенджеров и впн введут штрафы или что-то еще хуже, а макс будет вас сдавать с потрохами.
Бонусные очки, если вас накажут на основании логов провайдера с запросами к серверам Телеграма, а откуда взялись запросы - суд разбираться не будет.
скоро за использование "недружественных" месенджеров и впн введут штрафы
Вы не политкорректны - будет лишь утиль сбор за дроп иностанного трафика, а штрафы не введут.
Да кто им теперь поверит то? =))
Мне кажется или Shelter решает проблему?
Нет, как раз не решает.
Только Knox? Или как там называется например у Самсунга
Нет, как раз не решает.
А если держать макс "замороженным" в рабочем профиле, а в моменты, когда приходится его использовать, отключать впн? Схема выглядит рабочей.
По идее должно сработать.
Тогда лучше веб-версию. Так то его держат включённым ради оповещений
Если веб-версию, то надо заходить в нее в приватном режиме. Но в приватном режиме не сохранется информация для входа, а вход в веб-версию у них наверняка реализован через код, получаемый через мобильное приложение...
Оповещения вообще зло. Ну кому как. Лично я предпочитаю сам смотреть, в удобное время, что там, и всех приучаю - еслди что-то надо срочно, звоните.
Мессенджер в режиме почты, да.
Прекрасно решает. С одной стороны, МАХ в шелтере замороженный, с другой, КВН только для определённых приложений.
Ok, если сильно нужен будет, засуну его в докер, изолированный Waydroid или на виртуалку какую-нибудь.
Верим-верим. </s>
верим
MAX сканирует содержимое телефона пользователя, ищет следы VPN, вот доказательства: %ТЕХНИЧЕСКАЯ_ИНФА%
Опровержение от пресс-службы MAX: Нет. Это не правда. (Ответу пресс-службы - ВЕРИТЬ).
Ответу пресс-службы - ВЕРИТЬ
Как с фейками об армии. Всё, что противоречит заявлению Минобороны - фейк, никакой дополнительной проверки суд не делает.
это из уголовного мира пришло - отрицать даже если тебя за руку поймали.
Был еще как минимум один случай (с крейсером москва связанный) когда выяснилось что если российский суд говорит одно а российские минобороны думает другое - суд нагло врет прямо в судебном решении (которое тихо скрыли но следы остались)
Латиницу сначала пусть уберут из брендинга. Потом поговорим, а пока нарушают законодательство, других причин можно не искать.
В опровержении я ожидал увидеть комментарии к строкам кода некоторых версий приложения с запросами до вотсапа и телеги и обоснование целей передачи результатов этих запросов на серверы мессенджера, а не попытки отрицания подтвержденных многими исследователями дампов трафика.
Не сказал бы, что "обухом по голове", но точно "ниже плинтуса". Выглядит бездумно и бестолково.
"Я спросил - не мошенники ли они? Они сказали, что нет" (с)
Мамой клянусь!
не написали. Значит, врут.
Ага, как в старом, добром анекдоте: Баня. Женский день. Приходит слепой мужик Семеныч . Просится слезно .Мол инвалид . Мол ни хрена не видит . Вреда мол никакого . Ну бабоньки пожалели убогого . Стоит он в уголке моется тихонько .Вдруг одна из баб :- Ой ! Ой ! Семеныч, милый что-же ты делаеш !Ты же меня еб@шь !Слепой :Да ? А я и не вижу
Да это как обычно.
Все фейки, а у нас все отлично. Экономика развивается и вообще у нас самые крутые технологии, полная свобода и уважение личности! А вот на Западе...
Несколько мыслей по поводу ответа команды MAX.
Альтернативно-правдивые объяснения настораживают сами по себе - сразу возникает вопрос: а что еще недосказали? Айтишники, у которых принцип минимального доверия приложениям давно стал профдеформацией, реагируют на такое остро. Обычные пользователи тоже чувствуют что-то не то - просто не всегда могут сформулировать.
По существу: из этого ответа мы фактически узнали, что данные в MAX собираются. И, несмотря на декларируемые изменения в новых билдах, скорее всего будут собираться. Но здесь важен контекст: применить собранное сейчас особо некуда. Использование средств обхода пока не наказуемо. Когда ситуация изменится - будет другой разговор. Пока же они могут делать вид, что все нормально - ведь все что-то собирают. Тот же TikTok, по недавней новости на Хабре, дает полиции читать личные сообщения https://habr.com/ru/news/1006858/
Про сбор данных о средствах обхода блокировок - тут интересный момент. Роскомнадзор сам выявляет и блокирует такие инструменты, и делиться этими полномочиями с коммерческим разработчиком он явно не станет. Плюс РКН - структура довольно косная и закрытая: даже если MAX и собирает что-то потенциально полезное для регулятора, очень сомневаюсь, что эти данные реально применят. Ирония в том, что сырая информация от MAX могла бы неплохо дополнить данные ТСПУ, через которые и так идет весь трафик российских пользователей, но бюрократическая закрытость надежнее любого файрвола.
И традиционно раздражает тезис, что MAX - «единственный российский мессенджер». ВКонтакте - да, не совсем мессенджер в современном понимании, но с 2023 года полностью российский юридически. А eXpress существует уже давно, сертифицирован ФСТЭК по 4-му и 6-му уровням доверия и реально используется в госкомпаниях. Наверняка есть и другие (TrueConf?) - но уже этими пользуются миллионы. Так что «единственный, первый» - это маркетинг, который бесит, как и все остальное в МАХ. Вот умеют же люди!
применить собранное сейчас особо некуда. Использование средств обхода пока не наказуемо
Статья для администраторов vpn/прокси уже есть. Ну и «применить собранное» можно как раз для блокировок найденных адресов.
Роскомнадзор сам выявляет и блокирует такие инструменты,
описанный в статьях механизм как раз очень удобен для сбора именно такой статистики, которой у РКН нет, но очень хотелось бы иметь.
Как минимум:
1) очень легко собрать список IP-адресов большинства не-публичных self-hosted VPN/proxy, в том числе таких, которые крайне сложно и дорого детектировать на ркновских DPI (ТСПУ)
2) чуть сложнее, но более чем реально - собрать список IP-адресов таких же приватных виртуалок в отечественных облаках, диапазоны которых по ошибке оказались в белых списках и используются людьми для обхода этих самых белых списков
и делиться этими полномочиями с коммерческим разработчиком он явно не станет.
Так наоборот же, это не РКН чем-то делиться с Максом, а Макс может делиться с РКН. Ну сделали им предложение от которого сложно отказаться, не возражать же уважаемым людям.
Не обязательно (только) блокировать на ТСПУ. Например, выявление "хитропопости" пользователя сохранять в профиле МАХ и дальше временно блокировать УЗ или ограничивать доступ к сервисам вынуждая отказываться от обходов.
"Мне твои заморочки не нужны, сделай чтобы работало" - такое самоцензурирование от тех, кто обязан пользоваться.
Статья для администраторов vpn/прокси уже есть.
Это только если вы предоставляете услуги по обходу блокировок другим людям на коммерческой основе. Если вы просто администрируете сервер и пользуетесь им сами, то это закон делать не запрещает.
Спасибо за уточнения. Сбор IP self-hosted решений - наверное, самое неприятное из очевидных последствий. Для кого-то это станет причиной попадания в черный список.
В пресс-службе Max сообщили Хабру
Если пресс-служба компании отвечает на запрос СМИ, то это не вызывает никаких вопросов. Это их работа, и тех, и других.
Но Хабрахабр СМИ не является. С чего бы вдруг пресс-службам компаний, на чьих панталонах вдруг обнаружились коричневые пятна, что-то там пояснять ОРИ, коим является Хабрахабр — совершенно не понятно. Да и кому они «поясняют», Денискину что или?
@deniskin, вы не опасаетесь, что ваше детище переквалифицируют в СМИ со всеми вытекающими проблемами?
На мой взгляд, это глупость выделять только Макс и демонизировать. Будто они не могут эти функции слежки монтировать в VK, "Мой налог", "Сбербанк Онлайн"..., в которых о вас гораздо больше информации
Проблема скрытого функционала в мессенджерах — это всегда вопрос доверия, которое подрывается отсутствием прозрачности. Когда разработчики пытаются скрыть модули, а после обнаружения "уходят в тишину", это порождает закономерные подозрения.
По факту, за любой недокументированной функцией может стоять что угодно: от безобидного инструмента отладки до модуля телеметрии или участия в ботнетах (DDoS, накрутки). В текущих глобальных реалиях концепция "свободы слова" всё чаще сталкивается с жестким прагматизмом, и управляемость наравне с безопасностью становится приоритетом. Мессенджер сегодня — это не просто чат, а критическая инфраструктура. Если разработчик не готов раскрывать полный функционал, он должен быть готов к не желанию осознанных пользователей устанавливать "черный ящик", который потенциально делает систему пользователя частью непонятного сетевого инструмента.
А в свете интеграции мессенджера с госуслугами некоторые действия этого скрытого модуля можно будет интерпретировать, как преднамеренные действия пользователя.
Напомните, пожалуйста: это государственный мессенджер того самого государства, которое "пенсионный возраст повышаться не будет", "налоги будут постепенно и последовательно снижаться" и "необходимо поддерживать малый и средний бизнес"?
Если да, то мы безусловно верим))
вчера сидели с товарищами, на 4х человек статистика такова, у меня поднято отдельное окружение в телефоне, где живет эта разработка криворуких отечественных изобретателей, 2 человека с двумя телефонами, обучаются магии владения андройдом, т.к. всю свою сознательную жизнь были любителями яблок, 4й сидел и кричал что ему нечего скрывать и пусть смотрят, но в конце пивопития, заказал себе из днс не дорогой андройд аппарат :)
Как могло такое получиться? На телефоне установлен Telegram и Max. На компьютере установлен Telegram-клиент.
Пару дней назад я открыла TelegramWeb в браузере (он тогда ещё работал) и перешла по ссылке одного канала "Мы теперь в Макс". И на компьютере в браузере сразу же открылся Web-интерефейс Макса со всеми моими чатами! Я раньше вообще никогда не заходила в Max.Web, никогда не сканировала QR-code для привязки устройства. Ни на одной машине. Макс открывался только на телефоне.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
В Max пояснили Хабру: мессенджер не отправляет запросы на серверы WhatsApp и Telegram и не отслеживает использование VPN