Мои новые находки в моем любимом проекте :

1️⃣У channel/group была сломана авторизация, и это была самая опасная проблема проекта 😱
room проверяет, что cookie-токен реально состоит в подключении, а channel/group принимают просто id + cookie. Для group этого хватает даже на отправку сообщений. Если получить любой x-auth-token и узнать groupId/channelId (например через @handle), можно читать историю, а в group ещё и писать 😱

2️⃣ Есть stored XSS через markdown-ссылки 😤
parseMarkdown() вставляет URL внутрь href="...", но не экранирует кавычкипи 😯. Потом результат идёт в dangerouslySetInnerHTML. Сообщение вида https://x" onclick="alert(1) может выстрелить в браузере жертвы 😮

❤️🌺 UI обещает автоудаление по неактивности, но в коде есть только запись activity:*. По всему проекту этот ключ дальше нигде не читается и ничего не удаляет 🤭

🕷 Ключи чатов сохраняются в localStorage, а значит XSS, вредное расширение или просто общий компьютер дают доступ к invite-key. Это ещё и резко усиливает пункт с XSS 👨‍💻

🎶 Cookie живёт 24h, но group/channel могут быть постоянными. В итоге владелец через сутки теряет админку, а старые токены не чистятся из connected. Это приводит к ложному счётчику участников, постепенному заполнению capacity и “вечным” мёртвым owner-токенам.

Захват аккаунта по userId
В bootstrapV2Identity можно передать уже существующий userId и добавить новое “доверенное” устройство без link token. То есть зная публичный userId, злоумышленник может подключить свое устройство к чужому v2-аккаунту

Пользуйтесь пока не пофиксил 😱

🇷🇺

Вчера скам компания под названием "Anthropics" заблокировала все мои аккаунты. Включая аккаунты где были подписки и аккаунты без подписок. Моему основному аккаунту было более двух лет и вчера мне приходит письмо что мой аккаунт ограничен. Так же заблокировали и других людей которые не нарушали правила использования данного сервиса, какая бы подписка не была, каким бы способом не была куплена или даже если там не было подписок. В X постах пишут что заблокировали 110 аккаунтов сотрудников какой то компании тоже без причины.

Какой инструмент выбрать если на Claude ? Сейчас многие переходят на Codex в том числе и я, что кажется разумным решением.
Так же инструмент под названием Factory.ai . Почему именно он ? В ходе расследования выясняли что Factory AI жрет намного меньше токенов, пишет код лучше и там не дают бан без причин, все кто пользовался с ним никогда не сталкивался с баном или прочей фигней (p.s Factory AI если что не мой новый проект, пока что)

🇺🇸

Yesterday a scam company called "Anthropics" blocked all my accounts. Including accounts that had subscriptions and accounts without subscriptions. My main account was more than two years old and yesterday I received an email saying that my account is restricted. They also blocked other people who did not violate the rules of using this service, no matter what subscription they had, no matter how it was purchased or even if there were no subscriptions at all. In X posts people write that 110 accounts of employees of some company were also blocked without any reason.

Which tool to choose if on Claude? Right now many are switching to Codex, including me, which seems like a reasonable decision.
Also a tool called Factory.ai. Why exactly it? During the investigation it turned out that Factory AI consumes much fewer tokens, writes code better and they do not give bans without reasons, everyone who used it has never encountered a ban or other stuff (p.s Factory AI is not my new project, for now)