Пока вы читали предыдущий пост, полит-пабликам уже спустили план по дэмэдж-контролю.
Вот пример одного такого «опровержения» истории со шпионским модулем в MAX.
Они разобрали статью, а я попробую разобрать «разоблачение»:
Звучит убедительно, если не читать саму статью. Автор исследования нашёл конкретный модуль, который не имеет никакого отношения к звонкам. Он пингует хосты, проверяет TCP:443, собирает IP из разных источников, фиксирует оператора и статус VPN, да отправляет всё это отдельным событием при каждом сворачивании/разворачивании приложения.
WebRTC не совсем так работает 🤷
Ловкая подмена. В статье речь шла не про Apple и Google, а про запросы к main.telegram.org и mmg.whatsapp.net. Какое отношение серверы Telegram и WhatsApp имеют к push-уведомлениям MAX? Никакого. Классический приём — ответить на вопрос, который никто не задавал, и проигнорировать тот, который задали 🎯
Вот это уже просто откровенное враньё! 😡
Человек как раз проверил. Разобрал бинарный протокол, написал аддон для mitmproxy, опубликовал конкретный дамп трафика, где main.telegram.org и mmg.whatsapp.net прямо указаны в структуре.
Код опубликован, любой может воспроизвести. Сказать после этого «никто не хочет проверять» — расчёт на то, что аудитория канала не пойдёт читать первоисточник 😏
Факты: разобранный протокол, дамп трафика, декомпилированный код, аддон для воспроизведения. Всё опубликовано на Хабре. Назвать это «вбросом без фактов» — это мощно! (Нет)
Может, пора уже признать, что если на техническое исследование с кодом и дампами ответ — это «вбросы», без единого технического контраргумента, то по существу ответить нечего? 🤔
Общая стратегия этого «опровержения»: апелляция к авторитету («спецы уже разбирали»), подмена тезиса (отвечают про WebRTC и push, хотя вопрос про модуль проверки доступности), газлайтинг («конспирология», «паника») и социальное давление («я пользуюсь и не остерегаюсь»).
Ни одного технического контраргумента по существу.
А ведь кто-то же подписан на этих «экспертов»… 🤦♂️
#Max #VPN #Слежка #РКН #Блокировки #Приватность #DamageControl #Политджойстик
Вот пример одного такого «опровержения» истории со шпионским модулем в MAX.
Они разобрали статью, а я попробую разобрать «разоблачение»:
Информация об IP-адресах в MAX используется ровно для одной цели — чтобы работали звонки. Технология WebRTC требует знать внешний IP для построения маршрута
Звучит убедительно, если не читать саму статью. Автор исследования нашёл конкретный модуль, который не имеет никакого отношения к звонкам. Он пингует хосты, проверяет TCP:443, собирает IP из разных источников, фиксирует оператора и статус VPN, да отправляет всё это отдельным событием при каждом сворачивании/разворачивании приложения.
WebRTC не совсем так работает 🤷
Запросы на серверы Apple и Google нужны для проверки доставки push-уведомлений
Ловкая подмена. В статье речь шла не про Apple и Google, а про запросы к main.telegram.org и mmg.whatsapp.net. Какое отношение серверы Telegram и WhatsApp имеют к push-уведомлениям MAX? Никакого. Классический приём — ответить на вопрос, который никто не задавал, и проигнорировать тот, который задали 🎯
MAX не отправляет никаких запросов на серверы WhatsApp или Telegram. Это легко проверить, но, видимо, проверять никто не хочет
Вот это уже просто откровенное враньё! 😡
Человек как раз проверил. Разобрал бинарный протокол, написал аддон для mitmproxy, опубликовал конкретный дамп трафика, где main.telegram.org и mmg.whatsapp.net прямо указаны в структуре.
Код опубликован, любой может воспроизвести. Сказать после этого «никто не хочет проверять» — расчёт на то, что аудитория канала не пойдёт читать первоисточник 😏
Вбросы про MAX появляются с завидной регулярностью, но ни разу не подтверждаются фактами
Факты: разобранный протокол, дамп трафика, декомпилированный код, аддон для воспроизведения. Всё опубликовано на Хабре. Назвать это «вбросом без фактов» — это мощно! (Нет)
Может, пора уже признать, что российский мессенджер просто работает и делает это хорошо
Может, пора уже признать, что если на техническое исследование с кодом и дампами ответ — это «вбросы», без единого технического контраргумента, то по существу ответить нечего? 🤔
Общая стратегия этого «опровержения»: апелляция к авторитету («спецы уже разбирали»), подмена тезиса (отвечают про WebRTC и push, хотя вопрос про модуль проверки доступности), газлайтинг («конспирология», «паника») и социальное давление («я пользуюсь и не остерегаюсь»).
Ни одного технического контраргумента по существу.
А ведь кто-то же подписан на этих «экспертов»… 🤦♂️
#Max #VPN #Слежка #РКН #Блокировки #Приватность #DamageControl #Политджойстик
1👍23🔥6😱2
Forwarded from Hz
Водку стоит пить только в двух случаях: когда есть закуска, и когда ее нет.
#пятничнаямудрость
#пятничнаямудрость
🫡3
Гайз, сегодня пятница, верно?
А это значит, что я составил вам список того, что сегодня сделать лучше, чем деплоить: 😉
Наступить на ржавый гвоздь
Объяснять своим старикам подробности твоей работы (я несколько раз пробовал, кстати)
Ревью кода на Perl (не пробовал, но камрад с канала очень рекомендовал. Думаю, он меня ненавидит)
Собеседование, где просят развернуть связный список на доске маркером
Получить «нам надо поговорить» от тимлида в 17:59 или от девушки перед сном 😳
Дебажить CSS вертикального центрирования
Merge-конфликт на 400 файлов
Созвон, который «мог бы быть письмом»
Найти // TODO: fix later в проде — датированный 2012 годом
Хотя знаете что? Деплойте!
У меня даже слоган есть:
Деплой в пятницу — потому что выходные переоценены! 😂
А это значит, что я составил вам список того, что сегодня сделать лучше, чем деплоить: 😉
Наступить на ржавый гвоздь
Объяснять своим старикам подробности твоей работы (я несколько раз пробовал, кстати)
Ревью кода на Perl (не пробовал, но камрад с канала очень рекомендовал. Думаю, он меня ненавидит)
Собеседование, где просят развернуть связный список на доске маркером
Получить «нам надо поговорить» от тимлида в 17:59 или от девушки перед сном 😳
Дебажить CSS вертикального центрирования
Merge-конфликт на 400 файлов
Созвон, который «мог бы быть письмом»
Найти // TODO: fix later в проде — датированный 2012 годом
Хотя знаете что? Деплойте!
У меня даже слоган есть:
Деплой в пятницу — потому что выходные переоценены! 😂
🤣4
Фото из личных сообщений в MAX доступны без авторизации 🔓
Некоторые уже читали, что фото в Максе, которые вы пересылаете в личных сообщениях, дескать, доступны просто по ссылке и без какой-либо авторизации.
Камрад из чЯтика проверил и… всё подтвердилось!
Как это работает: в веб-версии MAX достаточно открыть код страницы, скопировать прямую ссылку на картинку — и она откроется в любом браузере, без входа в аккаунт. Фактически фото хранятся как обычные файлы на хостинге 🤷
Что ещё хуже — даже если удалить фото из переписки, ссылка продолжает работать ещё какое-то время 🫨
В пресс-службе MAX заявили, что ссылку «нельзя подобрать или сгенерировать». (Хорошо опять вбросом не назвали, как вчера 🥴)
Но автор находки утверждает, что большая часть URL одинакова для всех файлов и защиты от перебора не видно 👀
А теперь представьте, что вы пользуетесь бесплатными VPN, которые сами по себе могут перехватывать трафик.
И получается шикарно: ваши личные фото потенциально доступны по ссылке, а ваш трафик — потенциально виден третьим лицам.
А что дальше? Да хоть шантаж интимными фото, хоть корпоративный шпионаж через слитые документы 🫠
Мой совет (который вы не просили): пока уязвимость не закрыта:
— Не отправляйте чувствительные фото и документы через MAX
— Особенно через веб-версию
— Не используйте бесплатные VPN при работе с любыми мессенджерами
#MAX #Макс #Уязвимость #Приватность #VPN #ИнформационнаяБезопасность #Мессенджеры #Утечка
Некоторые уже читали, что фото в Максе, которые вы пересылаете в личных сообщениях, дескать, доступны просто по ссылке и без какой-либо авторизации.
Камрад из чЯтика проверил и… всё подтвердилось!
Как это работает: в веб-версии MAX достаточно открыть код страницы, скопировать прямую ссылку на картинку — и она откроется в любом браузере, без входа в аккаунт. Фактически фото хранятся как обычные файлы на хостинге 🤷
Что ещё хуже — даже если удалить фото из переписки, ссылка продолжает работать ещё какое-то время 🫨
В пресс-службе MAX заявили, что ссылку «нельзя подобрать или сгенерировать». (Хорошо опять вбросом не назвали, как вчера 🥴)
Но автор находки утверждает, что большая часть URL одинакова для всех файлов и защиты от перебора не видно 👀
А теперь представьте, что вы пользуетесь бесплатными VPN, которые сами по себе могут перехватывать трафик.
И получается шикарно: ваши личные фото потенциально доступны по ссылке, а ваш трафик — потенциально виден третьим лицам.
А что дальше? Да хоть шантаж интимными фото, хоть корпоративный шпионаж через слитые документы 🫠
Мой совет (который вы не просили): пока уязвимость не закрыта:
— Не отправляйте чувствительные фото и документы через MAX
— Особенно через веб-версию
— Не используйте бесплатные VPN при работе с любыми мессенджерами
#MAX #Макс #Уязвимость #Приватность #VPN #ИнформационнаяБезопасность #Мессенджеры #Утечка
2🔥8
Гайз, как некоторые из вас знают, я немного занимаюсь птицами, и попался мне такой лого организации (см. скрин) 🤔
Обратите внимание на обведённый логотип — аист с птенцами, символ заботы и педагогического мастерства, ага? Не ага 😐
В общем, есть у аистов такая штука, как редукция выводка.
Их «забота» вообще выглядит очень прагматично:
Аисты часто откладывают больше яиц, чем реально могут выкормить.
Если год не идеальный, то родители принимают холодное решение — и безжалостно выбрасывают самого слабого птенца из гнезда 😳
А иногда и сами заклевывают.
Просто такая вот оптимизация ресурсов 🫠
В контексте выше написанного, особенно «бейдж» про «учитель года» с аистом и птенцами выглядит иронично. Fly, bitch! 😅
#Птицы #Аисты #УчительГода #Природа #ЗанимательнаяОрнитология #НеТолькоИТ
Обратите внимание на обведённый логотип — аист с птенцами, символ заботы и педагогического мастерства, ага? Не ага 😐
В общем, есть у аистов такая штука, как редукция выводка.
Их «забота» вообще выглядит очень прагматично:
Аисты часто откладывают больше яиц, чем реально могут выкормить.
Если год не идеальный, то родители принимают холодное решение — и безжалостно выбрасывают самого слабого птенца из гнезда 😳
А иногда и сами заклевывают.
Просто такая вот оптимизация ресурсов 🫠
В контексте выше написанного, особенно «бейдж» про «учитель года» с аистом и птенцами выглядит иронично. Fly, bitch! 😅
#Птицы #Аисты #УчительГода #Природа #ЗанимательнаяОрнитология #НеТолькоИТ
🤣8👍3🔥3
Насчёт лого в комментах возник спор и даже напомнили довольно старый символ (приложил).
Ок, допускаю, что на лого пеликан 👌
Правда, у него с птенцами тоже не сильно лучше, чем у аистов 😳
У этих ребят каинизм практикуется (это когда старший птенец забивает младшего, братоубийство по нашему), а родители при этом не вмешиваются.
Тоже не клеится с идеей самопожертвования. Посыл про то, что лого выбрано неудачно — остаётся 😝
Ок, допускаю, что на лого пеликан 👌
Правда, у него с птенцами тоже не сильно лучше, чем у аистов 😳
У этих ребят каинизм практикуется (это когда старший птенец забивает младшего, братоубийство по нашему), а родители при этом не вмешиваются.
Тоже не клеится с идеей самопожертвования. Посыл про то, что лого выбрано неудачно — остаётся 😝
This media is not supported in your browser
VIEW IN TELEGRAM
Я крайне поддерживаю «модульную архитектуру» девайсов, но не до такой же степени 😳
🔥6😱5🫡2🍌1
Доброе!)
Гайз, что вы знаете о безопасности и защите от утечек? А может, это такая гениальная пиар-многоходовочка?🤔
Кааароче, для шутера RoboCop: Rogue City внезапно выкатили патч весом в 32,6 ГБ — при том, что сама игра весит около 36,5 ГБ. Размер апдейта выглядел максимально подозрительно, но обновление, кто успел, скачали.
И запускается DEV-билд абсолютно другой, еще даже не анонсированной игры! 🤯
Выяснилось, что кто-то из разработчиков студии Teyon (или их издателя Nacon) феноменально облажался и случайно залил секретный проект прямо в публичную ветку «Робокопа» в Steam 🤦♂️
Слитой игрой оказался ранний билд экшена Hunter: The Reckoning по вселенной World of Darkness (это где Вампиры: Маскарад). За те полчаса, что файлы висели в открытом доступе, самые шустрые игроки успели запустить экзешник, покопаться в меню разработчика, побегать по сырым тестовым локациям и посмотреть на нетекстурированные ассеты.
Примерно через 30 минут изменения экстренно откатили. Ну, а тем, кто успел, придется Робокопа полностью перекачивать 😂
Гайз, что вы знаете о безопасности и защите от утечек? А может, это такая гениальная пиар-многоходовочка?🤔
Кааароче, для шутера RoboCop: Rogue City внезапно выкатили патч весом в 32,6 ГБ — при том, что сама игра весит около 36,5 ГБ. Размер апдейта выглядел максимально подозрительно, но обновление, кто успел, скачали.
И запускается DEV-билд абсолютно другой, еще даже не анонсированной игры! 🤯
Выяснилось, что кто-то из разработчиков студии Teyon (или их издателя Nacon) феноменально облажался и случайно залил секретный проект прямо в публичную ветку «Робокопа» в Steam 🤦♂️
Слитой игрой оказался ранний билд экшена Hunter: The Reckoning по вселенной World of Darkness (это где Вампиры: Маскарад). За те полчаса, что файлы висели в открытом доступе, самые шустрые игроки успели запустить экзешник, покопаться в меню разработчика, побегать по сырым тестовым локациям и посмотреть на нетекстурированные ассеты.
Примерно через 30 минут изменения экстренно откатили. Ну, а тем, кто успел, придется Робокопа полностью перекачивать 😂
🤣9👍6🔥4
This media is not supported in your browser
VIEW IN TELEGRAM
С окончанием первой недели весны, гайз! 🥳
А я, как и полагается «сказочному» персонажу, пошел искать подснежники 🌸
А я, как и полагается «сказочному» персонажу, пошел искать подснежники 🌸
1🤣5🔥4🥰2👍1