barl0g May 2 at 18:45

Простой способ сделать мессенджер Макс безопаснее без Docker и прокси

Easy

2 min

40K

Information Security * Instant Messaging *

Tutorial

From sandbox

+42

Comments 48

svl87 May 2 at 18:55

в хром-подобных браузерах эта задача (разделение трафика по доменам) решается расширением proxy switchyomega 3 (zeroomega)

for7raid May 2 at 19:48

Кажется этот плагин (если смотреть его исходный код) так же поддерживает и лисицу.

n00buK May 3 at 06:50

В лисе есть foxyproxy, настоятельно рекомендую

Andrusha May 3 at 11:54

Не так давно переехал с него на Омегу, так как в Firefox не работали исключения хостов.

achekalin May 2 at 20:44

Тут, кажется, задача другая - пропустить в интернет только домены по списку, остальные отправить в пень.

Я вот только не пойму, как узнать, кто и куда ходит, ведь, условно, если мы это ради чтобы ~~паленый~~ российский софт не проверял наличие впн, то они схемы проверки будут менять довольно часто. Условно, сегодня макс для своей работы юает доменные имена, условно, static.max.ru и js.max.ru и max.ru, а впн-ы ловит на catch.vpncatcher.com (только что придумал) - а он идет в пень, а завтра эта ловушка будет отзываться на static.max.ru/catcher - и белые списки браузера разрешат ему достучаться в инет.

Мне вообще эта история не нравится именно тем, что, пока часть страны ищет, как бы не слить инфу про впн кому не надо, другая часть страны не менее остроумно их ловит за руку.

Но, если продолжить мысленный эксперимент - оторвут они рунет от мира, обраничат ввоз ноутбуков, айфонов и прочего, разрешат выезд за рубеж только депутатам и их детям - но ради чего? Чтобы выборы прошли без митингов? Так вроде и так и так там 146% будет насчитано, и это число к интернету не имеет отнощения. А вот что страна вывалится из мирового процесса ИТ - это факт.

Ну ок, первые годы еще приписками можно будет закрывать вопросы, а дальше что, в сырьевой придаток окончательно превратиться?

DSPa17 May 3 at 00:24

А чем на мировом рынке торговала РФ последние 26 лет? Вроде только недрами.

achekalin May 3 at 08:34

А тут Европа от закупки отказывается, точнее, уже очень сильно отказалась, и обещает через несколько лет перестать вовсе.

А это рынки.

А Китай после этого может и цены сбить на покупку газа и нефти.

Так что "как вчера" не пожить будет.

Viacheslav01 May 3 at 10:31

Как минимум не плохо торговала софтом.

dezonnov May 4 at 05:02

И лесом (чаще для Китая).

peter23 May 3 at 06:42

Каждый винтик системы понимает абсурдность, но крутится, "я просто делаю свою работу", система работает. Идеологи системы аналогично. Так и выстраиваются и живут Северные Кореи.

Poletavatti May 4 at 05:02

=> винтиков нужно систематически приводить в чувство

CVZ 22 hours ago

Иран уже два месяца без интернета сидит, потому что в свое время не обеспечили работоспособность своей сети без внешних сервисов. Аналогия понятна?

Dyaminigo May 2 at 19:32

Кажется, с недавних пор это "чудо" требует для авторизации в веб-версии установленное на телефоне приложение. Так что в любом случае придётся ставить его на какое-то устройство, поэтому изоляция лишь на одном устройстве, и то временная.

AtMH May 2 at 21:02

BlueStack вам в помощь. Виртуальных устройств не жалко (Жаль только что максимальная версия андройд только 13).

rebug May 3 at 14:30

Жаль, что поддерживаемая ос не линукс

Peterm123454 May 4 at 04:26

Для линя есть Genymotion

kuvul 22 hours ago

Конкретно под макс не пробовал, но есть waydroid

gtosss May 2 at 20:42

Оставлю здесь небольшую заметку:

Скам (от англ. scam — афера, мошенничество) — это интернет-мошенничество, при котором злоумышленники обманом выманивают деньги, персональные данные или аккаунты

Как бороться:

Проверять, сомневаться и никогда не передавать деньги, данные или коды незнакомцам — даже если они давят на срочность, страх, угрозы или шантаж.

rebug May 3 at 14:29

Да это всегда в ступор вводило. Деньги отдают сами, доверяя всем и каждому с нулевой. А виноват воздух, которым дышат вообще-то все

DennisP May 2 at 20:49

Так а что и куда он шлёт? Ведь ни до чего, кроме того, что вы сами туда ввели он из браузера добраться не может. А для обрезки всяких метрик вроде все давно используют соотв. плагины

KirOFF_YT May 2 at 22:11

А ведь можно просто не ставить его на телефон? "Можно, а зачем?"

aGGre55or May 2 at 23:11

Это всё прекрасно, но все изображения вашего аккаунта навсегда сохранены в i.oneme.ru по однозначным прямым ссылкам, что не вырубить топором. Да, максы договорились о зачистке уже проиндексированных сотен тысяч ссылок в webarchive и их там уже нет. Но проблема никуда не делась, все эти ссылки (документов, паспортов, интимных фотографий и т.д.) по прежнему работают. Это навсегда и работает без авторизации.

Все переписки аккумулируются и изучаются в полуавтоматическом режиме примерно также, как логи изучаются в каком-нибудь SIEM. Мы это видели на примере telega. Данные в максе передаются просто в base64.

Только один вопрос: зачем этим пользоваться, даже в полностью изолированной среде? Рано или поздно все эти БД будут продаваться (или уже продаются, не проверял). Это неизбежно, т.к. безалаберность в ИБ, даже в проблеме прямых ссылок - налицо.

KestutisS May 3 at 15:55

rombell 16 hours ago

Затем что тёща одна живёт в сильно другом городе, вся эта возня с ВПН для человека под 90 недоступна, а разговаривать надо.

Затем что в образовании требуют установить это.

Затем что от ТСЖ и УК требуют установить это и принимать запросы от жильцов там.

И ещё много других вариантов.

Maxim_Q May 2 at 23:36

Можно попробовать сделать приложение для телефона на основе этой WebView обертки: https://github.com/woheller69/gptassist Это обертка для ChatGPT которая режет все лишнее, там на основе этой обертке уже делали и другие приложения вот например: https://github.com/shano/assistral
Кто хорошо разбирается в написании приложений для Android можете помочь сделать приложение?

alexs963 May 3 at 03:44

Для FF еще можно поставить дополнение Multi-Account Containers, для изоляции всяких кукисов и прочего.

Wesha May 3 at 04:47

Так он уже отдельный профайл создал — от кого ещё изолироваться? Это всё равно что жену трахает сосед, а я для надёжности надену презерватив.

poige May 3 at 07:03

Это всё равно что жену

[…skipped…]

— Нууу, если реально всё равно, то как угодно, право слово. Но вообще говоря риски цепануть чё-т при таком «надену» всё-таки снижаются, не? :))

Wesha May 3 at 07:10

Вы сейчас про жену или про Multiple Account Containers?

poige May 3 at 07:07

Верно, там можно даже индивидуально задать proxy для container; правда, не уверен, что получится на уровне конфига задать домены-исключения. Но в теории может и глобального "always direct" хватить. Но это не точно.

rozenkreuser May 3 at 07:05

Пытаемся делать шпионское по - безопасным...толко на хабре 😂

Sudo22 May 3 at 07:32

Способ сделать мессенджер МАХ безопаснее на своих устройствах - не устанавливать его. Куда уж проще.

DennisP May 3 at 08:29

Кто-то может объяснить, чего хочет добиться автор этой статьи применительно к веб-версии макса?

Gutt May 3 at 11:01

Неработоспособности зонда, пытающегося получить доступ к зацензурированным в России ресурсам, и при наличии доступа стучащего товарищу майору с IP пользователя (который чаще всего совпадает с точкой выхода его средства обхода цензуры).

DennisP May 3 at 14:20

тогда тут явно не хватает исследования куда ломится макс и особенно как проверяет доступность постороннего сервера в браузерном JS - это тянет на отдельную статью

funkerwolf May 3 at 09:56

Komet клиент для кого

drakoan May 3 at 10:21

это его не ставить (не благодарите)

tarantula58910 May 3 at 12:32

apptracer.ru, sdk-api.apptracer.ru - лишние разрешения, возможно заведется и без них.

сам метод “свой профиль на каждый сайт” потенциально интересный. буду пробовать. для тех же задач я применял плагин uMatrix, настроенный на паранойю (по умолчанию все запрещено). в нем кстати видно куда идут запросы, а к автору статьи вопрос - как он отследил нужные домены ? недостаток плагина понятен - его перекупят, а новый владелец впарит инфостилера. или перестанет работать с новым манифестом. также все плагины тормозят.

barl0g May 4 at 04:02

как он отследил нужные домены ?

Я использовал плагин uBlock Origin.

Johan_Palych May 3 at 14:33

Минусы нет логирования (не видно, куда он пытался сходить) если Max начнёт использовать новые домены — придётся добавить их вручную

Запустить Network Monitor: Cmd+Shift+E или firefox -P max --devtools -url https://web.max.ru/ Фичи: about:networking, about:logging

riv9231 May 3 at 16:37

Рекомендую containerproxy - плагин для firefox позволяющий для разных контейнеров задать разные настройки proxy: открываете мах в одном контейнере, всё остальное в другом. И всё! Нет сложности, негде накосячить с настройаами.

mflash123 May 3 at 19:19

А в чем вообще такая необходимость изолировать Макс в браузере? Он же все равно не может прочитать в браузере ничего, что не в его домене?

slgeo7 May 3 at 20:07

Тоже задался таким вопросом, поясните гуру)

dragonik8 May 4 at 05:01

А не легче ли через впн клиент настроить так, чтобы трафик этот не проксировался?

Okalugin7474 May 4 at 05:02

Где почитать , что именно на пк сможет найти веб версия этого приложения. И какими инструментами . за информацию большое Спасибо!!!

mycop May 4 at 13:43

сделать мессенджер Макс безопаснее

не устанавливать?

mike_pol May 4 at 14:17

А если на Макс накрутить плагином к браузеру шифрование, что по этому поводу предпримут ответственные лица?

Roma1980 May 4 at 16:03

Самое безопасное из всего написанного , да просто тупо не устанавливать. Ну а уж если так подгорело установить, так тут увы и ах.