This media is not supported in your browser
VIEW IN TELEGRAM
Доброе!)
Осуждаем такое. 2026 год на дворе, а она…
Так недолго и код самому начать писать 😡
#ITЮмор #Кодинг #Нейронки
Осуждаем такое. 2026 год на дворе, а она…
Так недолго и код самому начать писать 😡
#ITЮмор #Кодинг #Нейронки
😢8🔥5😱5
Я вот сейчас еле бота снес 😩
Пока средство Починки инета не включил, тг нормально не грузил форму репорта и удаления.
Получается РКН, блокировки/замедления, которого должны «бороться с плохим интернетом», на практике мешают оперативно удалять спам и жаловаться на него 🤦♂️
В итоге кто выигрывает? Правильно — те самые наркошопы 😡
От така фигня, малята!
Пока средство Починки инета не включил, тг нормально не грузил форму репорта и удаления.
Получается РКН, блокировки/замедления, которого должны «бороться с плохим интернетом», на практике мешают оперативно удалять спам и жаловаться на него 🤦♂️
В итоге кто выигрывает? Правильно — те самые наркошопы 😡
От така фигня, малята!
🤬8😱3😢2🤣1
Twitch обвинили в сексизме на 8 марта. Но есть нюанс…😅
Кааароче, гайз: твитч решил провести турнир в честь Международного женского дня совместно с Women's Guild и Honda.
И всё бы ничего, но дисциплиной выбрали… Overcooked 2 — симулятор готовки! 😂
Ожидаемо посыпались шутки про «место на кухне», в Twitch полетели обвинения в продвижении ужасных гендерных стереотипов (осуждаем?)
Скандал был готов разгореться на полную, но обнаружилась одна маааленькая деталь — игру для турнира выбрали сами участницы из Women's Guild путем общего голосования 😏
Вайбы женского киберспорта 😆
#Киберспорт #Твитч #Сексизм
Кааароче, гайз: твитч решил провести турнир в честь Международного женского дня совместно с Women's Guild и Honda.
И всё бы ничего, но дисциплиной выбрали… Overcooked 2 — симулятор готовки! 😂
Ожидаемо посыпались шутки про «место на кухне», в Twitch полетели обвинения в продвижении ужасных гендерных стереотипов (осуждаем?)
Скандал был готов разгореться на полную, но обнаружилась одна маааленькая деталь — игру для турнира выбрали сами участницы из Women's Guild путем общего голосования 😏
Вайбы женского киберспорта 😆
#Киберспорт #Твитч #Сексизм
1🤣6
Гайз, я же всегда вам говорил, что в душе я всё ещё молод! И вот подъехали научные пруфы моего лайфстайла 😅
Целый профессор Скотт Галлоуэй выяснил пугающую вещь: зумеры выходят на свежий воздух реже, чем заключенные. У тех хотя бы есть обязательные 1-2 часа прогулки во дворе. А новое поколение в это время скроллит ленту дома.
Мол такая изоляция ведет к депрессиям, эпидемии одиночества, спаду рождаемости (осуждаем?) и даже бьет по экономике 🥺
Так что, если я отказываюсь выходить из дома — это я просто на одной волне с молодежью! Пойду дальше ленту полистаю 😂
#CodeLifeBalance
Целый профессор Скотт Галлоуэй выяснил пугающую вещь: зумеры выходят на свежий воздух реже, чем заключенные. У тех хотя бы есть обязательные 1-2 часа прогулки во дворе. А новое поколение в это время скроллит ленту дома.
Мол такая изоляция ведет к депрессиям, эпидемии одиночества, спаду рождаемости (осуждаем?) и даже бьет по экономике 🥺
Так что, если я отказываюсь выходить из дома — это я просто на одной волне с молодежью! Пойду дальше ленту полистаю 😂
#CodeLifeBalance
2🤣8🥰4😱3
@p1ngpub специально для @z_vorchun
Гайз, помните, я пару месяцев назад писал, что через ВК и Яндекс Аппы могут вычислять VPN-гейты и рассылать провайдерам «письма счастья»?
Кто-то тогда согласился, кто-то отнесся скептически.
Ну так вот 👇
Пользователь
Перехватил трафик через mitmproxy, разобрал их кастомный протокол — и нашёл встроенный шпионский модуль.
Сам модуль определяет, включён ли VPN на устройстве.
Собирает ваш IP из нескольких источников — и российских (Яндекс, Mail.ru), и зарубежных (ipify, AWS, ifconfig.me).
Зачем оба?
Чтобы поймать сплит-туннелинг и вычислить адрес VPN-сервера.
Пингует заблокированные ресурсы (тг, ватсапп), проверяя, доступны ли они вам.
Фиксирует оператора связи (MTS, Мегафон и т.д.).
Отправляет всё это на сервер MAX, причём прямо через основной канал мессенджера, чтобы нельзя было заблокировать аналитику отдельно.
Ну и шпионское ПО не шпионское ПО, если бы модуль не управлялся удалённо и не мог включаться таргетно для конкретных аккаунтов.
Конечно, точные цели сбора этих данных мы можем только предполагать — автор статьи честно это оговаривает.
НО…
По моему ИМХО, вариант с вычислением VPN-серверов выглядит наиболее вероятным.
Судите сами: зачем одновременно собирать IP из российских и зарубежных источников, проверять доступность именно заблокированных ресурсов и фиксировать наличие VPN — если не для того, чтобы вычислять адреса VPN-шлюзов? 🤔
По сути, миллионы устройств с MAX превращаются в распределённую сеть по обнаружению VPN:
- Собрал пары «российский IP / зарубежный IP» с кучи устройств
- Вычислил адреса VPN-шлюзов
- Передал на блокировку.
Особенно эффективно это бьет по приватным серверам, где входной и выходной IP совпадают.
Не утверждаю, что это единственное объяснение. Но, на мой взгляд, самое логичное.
З.Ы. Пока я писал этот пост, в комментариях к статье люди уже написали, что замечали подобное на практике: туннели, которые используются параллельно с госприложениями, со временем блокируются. А «запасные», через которые не ходит российский трафик — живут.
З.З.Ы. Там уже демедж-контроль пошел, о том, что это всё только ради людей, только ради звонков через WebRTC 🤦♂️
#VPN #Max #Слежка #РКН #Блокировки #Приватность #РеверсИнжиниринг #ШпионскоеПО #ИБ
Гайз, помните, я пару месяцев назад писал, что через ВК и Яндекс Аппы могут вычислять VPN-гейты и рассылать провайдерам «письма счастья»?
Кто-то тогда согласился, кто-то отнесся скептически.
Ну так вот 👇
Пользователь
runetfreedom на Хабре взял и провёл полноценный реверс-инжиниринг мессенджера MAX. Перехватил трафик через mitmproxy, разобрал их кастомный протокол — и нашёл встроенный шпионский модуль.
Сам модуль определяет, включён ли VPN на устройстве.
Собирает ваш IP из нескольких источников — и российских (Яндекс, Mail.ru), и зарубежных (ipify, AWS, ifconfig.me).
Зачем оба?
Чтобы поймать сплит-туннелинг и вычислить адрес VPN-сервера.
Пингует заблокированные ресурсы (тг, ватсапп), проверяя, доступны ли они вам.
Фиксирует оператора связи (MTS, Мегафон и т.д.).
Отправляет всё это на сервер MAX, причём прямо через основной канал мессенджера, чтобы нельзя было заблокировать аналитику отдельно.
Ну и шпионское ПО не шпионское ПО, если бы модуль не управлялся удалённо и не мог включаться таргетно для конкретных аккаунтов.
Конечно, точные цели сбора этих данных мы можем только предполагать — автор статьи честно это оговаривает.
НО…
По моему ИМХО, вариант с вычислением VPN-серверов выглядит наиболее вероятным.
Судите сами: зачем одновременно собирать IP из российских и зарубежных источников, проверять доступность именно заблокированных ресурсов и фиксировать наличие VPN — если не для того, чтобы вычислять адреса VPN-шлюзов? 🤔
По сути, миллионы устройств с MAX превращаются в распределённую сеть по обнаружению VPN:
- Собрал пары «российский IP / зарубежный IP» с кучи устройств
- Вычислил адреса VPN-шлюзов
- Передал на блокировку.
Особенно эффективно это бьет по приватным серверам, где входной и выходной IP совпадают.
Не утверждаю, что это единственное объяснение. Но, на мой взгляд, самое логичное.
З.Ы. Пока я писал этот пост, в комментариях к статье люди уже написали, что замечали подобное на практике: туннели, которые используются параллельно с госприложениями, со временем блокируются. А «запасные», через которые не ходит российский трафик — живут.
З.З.Ы. Там уже демедж-контроль пошел, о том, что это всё только ради людей, только ради звонков через WebRTC 🤦♂️
#VPN #Max #Слежка #РКН #Блокировки #Приватность #РеверсИнжиниринг #ШпионскоеПО #ИБ
2😱14👍4🔥3
Пока вы читали предыдущий пост, полит-пабликам уже спустили план по дэмэдж-контролю.
Вот пример одного такого «опровержения» истории со шпионским модулем в MAX.
Они разобрали статью, а я попробую разобрать «разоблачение»:
Звучит убедительно, если не читать саму статью. Автор исследования нашёл конкретный модуль, который не имеет никакого отношения к звонкам. Он пингует хосты, проверяет TCP:443, собирает IP из разных источников, фиксирует оператора и статус VPN, да отправляет всё это отдельным событием при каждом сворачивании/разворачивании приложения.
WebRTC не совсем так работает 🤷
Ловкая подмена. В статье речь шла не про Apple и Google, а про запросы к main.telegram.org и mmg.whatsapp.net. Какое отношение серверы Telegram и WhatsApp имеют к push-уведомлениям MAX? Никакого. Классический приём — ответить на вопрос, который никто не задавал, и проигнорировать тот, который задали 🎯
Вот это уже просто откровенное враньё! 😡
Человек как раз проверил. Разобрал бинарный протокол, написал аддон для mitmproxy, опубликовал конкретный дамп трафика, где main.telegram.org и mmg.whatsapp.net прямо указаны в структуре.
Код опубликован, любой может воспроизвести. Сказать после этого «никто не хочет проверять» — расчёт на то, что аудитория канала не пойдёт читать первоисточник 😏
Факты: разобранный протокол, дамп трафика, декомпилированный код, аддон для воспроизведения. Всё опубликовано на Хабре. Назвать это «вбросом без фактов» — это мощно! (Нет)
Может, пора уже признать, что если на техническое исследование с кодом и дампами ответ — это «вбросы», без единого технического контраргумента, то по существу ответить нечего? 🤔
Общая стратегия этого «опровержения»: апелляция к авторитету («спецы уже разбирали»), подмена тезиса (отвечают про WebRTC и push, хотя вопрос про модуль проверки доступности), газлайтинг («конспирология», «паника») и социальное давление («я пользуюсь и не остерегаюсь»).
Ни одного технического контраргумента по существу.
А ведь кто-то же подписан на этих «экспертов»… 🤦♂️
#Max #VPN #Слежка #РКН #Блокировки #Приватность #DamageControl #Политджойстик
Вот пример одного такого «опровержения» истории со шпионским модулем в MAX.
Они разобрали статью, а я попробую разобрать «разоблачение»:
Информация об IP-адресах в MAX используется ровно для одной цели — чтобы работали звонки. Технология WebRTC требует знать внешний IP для построения маршрута
Звучит убедительно, если не читать саму статью. Автор исследования нашёл конкретный модуль, который не имеет никакого отношения к звонкам. Он пингует хосты, проверяет TCP:443, собирает IP из разных источников, фиксирует оператора и статус VPN, да отправляет всё это отдельным событием при каждом сворачивании/разворачивании приложения.
WebRTC не совсем так работает 🤷
Запросы на серверы Apple и Google нужны для проверки доставки push-уведомлений
Ловкая подмена. В статье речь шла не про Apple и Google, а про запросы к main.telegram.org и mmg.whatsapp.net. Какое отношение серверы Telegram и WhatsApp имеют к push-уведомлениям MAX? Никакого. Классический приём — ответить на вопрос, который никто не задавал, и проигнорировать тот, который задали 🎯
MAX не отправляет никаких запросов на серверы WhatsApp или Telegram. Это легко проверить, но, видимо, проверять никто не хочет
Вот это уже просто откровенное враньё! 😡
Человек как раз проверил. Разобрал бинарный протокол, написал аддон для mitmproxy, опубликовал конкретный дамп трафика, где main.telegram.org и mmg.whatsapp.net прямо указаны в структуре.
Код опубликован, любой может воспроизвести. Сказать после этого «никто не хочет проверять» — расчёт на то, что аудитория канала не пойдёт читать первоисточник 😏
Вбросы про MAX появляются с завидной регулярностью, но ни разу не подтверждаются фактами
Факты: разобранный протокол, дамп трафика, декомпилированный код, аддон для воспроизведения. Всё опубликовано на Хабре. Назвать это «вбросом без фактов» — это мощно! (Нет)
Может, пора уже признать, что российский мессенджер просто работает и делает это хорошо
Может, пора уже признать, что если на техническое исследование с кодом и дампами ответ — это «вбросы», без единого технического контраргумента, то по существу ответить нечего? 🤔
Общая стратегия этого «опровержения»: апелляция к авторитету («спецы уже разбирали»), подмена тезиса (отвечают про WebRTC и push, хотя вопрос про модуль проверки доступности), газлайтинг («конспирология», «паника») и социальное давление («я пользуюсь и не остерегаюсь»).
Ни одного технического контраргумента по существу.
А ведь кто-то же подписан на этих «экспертов»… 🤦♂️
#Max #VPN #Слежка #РКН #Блокировки #Приватность #DamageControl #Политджойстик
1👍23🔥6😱2
Forwarded from Hz
Водку стоит пить только в двух случаях: когда есть закуска, и когда ее нет.
#пятничнаямудрость
#пятничнаямудрость
🫡3
Гайз, сегодня пятница, верно?
А это значит, что я составил вам список того, что сегодня сделать лучше, чем деплоить: 😉
Наступить на ржавый гвоздь
Объяснять своим старикам подробности твоей работы (я несколько раз пробовал, кстати)
Ревью кода на Perl (не пробовал, но камрад с канала очень рекомендовал. Думаю, он меня ненавидит)
Собеседование, где просят развернуть связный список на доске маркером
Получить «нам надо поговорить» от тимлида в 17:59 или от девушки перед сном 😳
Дебажить CSS вертикального центрирования
Merge-конфликт на 400 файлов
Созвон, который «мог бы быть письмом»
Найти // TODO: fix later в проде — датированный 2012 годом
Хотя знаете что? Деплойте!
У меня даже слоган есть:
Деплой в пятницу — потому что выходные переоценены! 😂
А это значит, что я составил вам список того, что сегодня сделать лучше, чем деплоить: 😉
Наступить на ржавый гвоздь
Объяснять своим старикам подробности твоей работы (я несколько раз пробовал, кстати)
Ревью кода на Perl (не пробовал, но камрад с канала очень рекомендовал. Думаю, он меня ненавидит)
Собеседование, где просят развернуть связный список на доске маркером
Получить «нам надо поговорить» от тимлида в 17:59 или от девушки перед сном 😳
Дебажить CSS вертикального центрирования
Merge-конфликт на 400 файлов
Созвон, который «мог бы быть письмом»
Найти // TODO: fix later в проде — датированный 2012 годом
Хотя знаете что? Деплойте!
У меня даже слоган есть:
Деплой в пятницу — потому что выходные переоценены! 😂
🤣4
Фото из личных сообщений в MAX доступны без авторизации 🔓
Некоторые уже читали, что фото в Максе, которые вы пересылаете в личных сообщениях, дескать, доступны просто по ссылке и без какой-либо авторизации.
Камрад из чЯтика проверил и… всё подтвердилось!
Как это работает: в веб-версии MAX достаточно открыть код страницы, скопировать прямую ссылку на картинку — и она откроется в любом браузере, без входа в аккаунт. Фактически фото хранятся как обычные файлы на хостинге 🤷
Что ещё хуже — даже если удалить фото из переписки, ссылка продолжает работать ещё какое-то время 🫨
В пресс-службе MAX заявили, что ссылку «нельзя подобрать или сгенерировать». (Хорошо опять вбросом не назвали, как вчера 🥴)
Но автор находки утверждает, что большая часть URL одинакова для всех файлов и защиты от перебора не видно 👀
А теперь представьте, что вы пользуетесь бесплатными VPN, которые сами по себе могут перехватывать трафик.
И получается шикарно: ваши личные фото потенциально доступны по ссылке, а ваш трафик — потенциально виден третьим лицам.
А что дальше? Да хоть шантаж интимными фото, хоть корпоративный шпионаж через слитые документы 🫠
Мой совет (который вы не просили): пока уязвимость не закрыта:
— Не отправляйте чувствительные фото и документы через MAX
— Особенно через веб-версию
— Не используйте бесплатные VPN при работе с любыми мессенджерами
#MAX #Макс #Уязвимость #Приватность #VPN #ИнформационнаяБезопасность #Мессенджеры #Утечка
Некоторые уже читали, что фото в Максе, которые вы пересылаете в личных сообщениях, дескать, доступны просто по ссылке и без какой-либо авторизации.
Камрад из чЯтика проверил и… всё подтвердилось!
Как это работает: в веб-версии MAX достаточно открыть код страницы, скопировать прямую ссылку на картинку — и она откроется в любом браузере, без входа в аккаунт. Фактически фото хранятся как обычные файлы на хостинге 🤷
Что ещё хуже — даже если удалить фото из переписки, ссылка продолжает работать ещё какое-то время 🫨
В пресс-службе MAX заявили, что ссылку «нельзя подобрать или сгенерировать». (Хорошо опять вбросом не назвали, как вчера 🥴)
Но автор находки утверждает, что большая часть URL одинакова для всех файлов и защиты от перебора не видно 👀
А теперь представьте, что вы пользуетесь бесплатными VPN, которые сами по себе могут перехватывать трафик.
И получается шикарно: ваши личные фото потенциально доступны по ссылке, а ваш трафик — потенциально виден третьим лицам.
А что дальше? Да хоть шантаж интимными фото, хоть корпоративный шпионаж через слитые документы 🫠
Мой совет (который вы не просили): пока уязвимость не закрыта:
— Не отправляйте чувствительные фото и документы через MAX
— Особенно через веб-версию
— Не используйте бесплатные VPN при работе с любыми мессенджерами
#MAX #Макс #Уязвимость #Приватность #VPN #ИнформационнаяБезопасность #Мессенджеры #Утечка
2🔥8
Гайз, как некоторые из вас знают, я немного занимаюсь птицами, и попался мне такой лого организации (см. скрин) 🤔
Обратите внимание на обведённый логотип — аист с птенцами, символ заботы и педагогического мастерства, ага? Не ага 😐
В общем, есть у аистов такая штука, как редукция выводка.
Их «забота» вообще выглядит очень прагматично:
Аисты часто откладывают больше яиц, чем реально могут выкормить.
Если год не идеальный, то родители принимают холодное решение — и безжалостно выбрасывают самого слабого птенца из гнезда 😳
А иногда и сами заклевывают.
Просто такая вот оптимизация ресурсов 🫠
В контексте выше написанного, особенно «бейдж» про «учитель года» с аистом и птенцами выглядит иронично. Fly, bitch! 😅
#Птицы #Аисты #УчительГода #Природа #ЗанимательнаяОрнитология #НеТолькоИТ
Обратите внимание на обведённый логотип — аист с птенцами, символ заботы и педагогического мастерства, ага? Не ага 😐
В общем, есть у аистов такая штука, как редукция выводка.
Их «забота» вообще выглядит очень прагматично:
Аисты часто откладывают больше яиц, чем реально могут выкормить.
Если год не идеальный, то родители принимают холодное решение — и безжалостно выбрасывают самого слабого птенца из гнезда 😳
А иногда и сами заклевывают.
Просто такая вот оптимизация ресурсов 🫠
В контексте выше написанного, особенно «бейдж» про «учитель года» с аистом и птенцами выглядит иронично. Fly, bitch! 😅
#Птицы #Аисты #УчительГода #Природа #ЗанимательнаяОрнитология #НеТолькоИТ
🤣8👍3🔥3
Насчёт лого в комментах возник спор и даже напомнили довольно старый символ (приложил).
Ок, допускаю, что на лого пеликан 👌
Правда, у него с птенцами тоже не сильно лучше, чем у аистов 😳
У этих ребят каинизм практикуется (это когда старший птенец забивает младшего, братоубийство по нашему), а родители при этом не вмешиваются.
Тоже не клеится с идеей самопожертвования. Посыл про то, что лого выбрано неудачно — остаётся 😝
Ок, допускаю, что на лого пеликан 👌
Правда, у него с птенцами тоже не сильно лучше, чем у аистов 😳
У этих ребят каинизм практикуется (это когда старший птенец забивает младшего, братоубийство по нашему), а родители при этом не вмешиваются.
Тоже не клеится с идеей самопожертвования. Посыл про то, что лого выбрано неудачно — остаётся 😝
This media is not supported in your browser
VIEW IN TELEGRAM
Я крайне поддерживаю «модульную архитектуру» девайсов, но не до такой же степени 😳
🔥6😱5🫡2🍌1
Доброе!)
Гайз, что вы знаете о безопасности и защите от утечек? А может, это такая гениальная пиар-многоходовочка?🤔
Кааароче, для шутера RoboCop: Rogue City внезапно выкатили патч весом в 32,6 ГБ — при том, что сама игра весит около 36,5 ГБ. Размер апдейта выглядел максимально подозрительно, но обновление, кто успел, скачали.
И запускается DEV-билд абсолютно другой, еще даже не анонсированной игры! 🤯
Выяснилось, что кто-то из разработчиков студии Teyon (или их издателя Nacon) феноменально облажался и случайно залил секретный проект прямо в публичную ветку «Робокопа» в Steam 🤦♂️
Слитой игрой оказался ранний билд экшена Hunter: The Reckoning по вселенной World of Darkness (это где Вампиры: Маскарад). За те полчаса, что файлы висели в открытом доступе, самые шустрые игроки успели запустить экзешник, покопаться в меню разработчика, побегать по сырым тестовым локациям и посмотреть на нетекстурированные ассеты.
Примерно через 30 минут изменения экстренно откатили. Ну, а тем, кто успел, придется Робокопа полностью перекачивать 😂
Гайз, что вы знаете о безопасности и защите от утечек? А может, это такая гениальная пиар-многоходовочка?🤔
Кааароче, для шутера RoboCop: Rogue City внезапно выкатили патч весом в 32,6 ГБ — при том, что сама игра весит около 36,5 ГБ. Размер апдейта выглядел максимально подозрительно, но обновление, кто успел, скачали.
И запускается DEV-билд абсолютно другой, еще даже не анонсированной игры! 🤯
Выяснилось, что кто-то из разработчиков студии Teyon (или их издателя Nacon) феноменально облажался и случайно залил секретный проект прямо в публичную ветку «Робокопа» в Steam 🤦♂️
Слитой игрой оказался ранний билд экшена Hunter: The Reckoning по вселенной World of Darkness (это где Вампиры: Маскарад). За те полчаса, что файлы висели в открытом доступе, самые шустрые игроки успели запустить экзешник, покопаться в меню разработчика, побегать по сырым тестовым локациям и посмотреть на нетекстурированные ассеты.
Примерно через 30 минут изменения экстренно откатили. Ну, а тем, кто успел, придется Робокопа полностью перекачивать 😂
🤣9👍6🔥4