Comments 270
Слежу как за сериалом.. А что будет дальше? =) Через неделю найдется прямая ссылка для управления чужим компом через мессенджер?
Само собой. Только она супер-секретная, и кроме тов.майора ни для кого не предназначена! За использование - статья
Не подсказывайте! А то в следующем патче они реально добавят фичу RDP "для улучшения качества видеозвонков и помощи пользователям"
что значит "добавят"?
в списке пермишенов в апликухе уже есть доступ к экрану.
Ну это еще можно теоретически объяснить. Можно же там во время звонка поделиться экраном с собеседником?
теоретически можно многое объяснить. а практически можно читать переписку в вацапе и отправлять майору.
кстати, я не слышам про то, что там можно экран шарить. у меня нет макса я его даже в эмулятор брезгую ставить.
«Не читал, но осуждаю!» — фраза о романе Бориса Пастернака «Доктор Живаго». :)
Я поставил (в песочницу), и немного пользуюсь - те же домовые чаты посмотрел, на Readovka подписался. Поэтому могу критиковать предметно.
Из недостатков, которые будут заметны простому пользователю:
- тормозит, однако. Сильно тормозит. Планшет сейчас пользую старый, Snapdragon 625 / 4GB / Android 10 - но телеграм даже большие чаты с множеством фото и видео листает бодро, а мах - подтормаживает на скролле и даже пару раз падал;
- форматирование текста в чатах - сжимает с боков, вытягивая вверх и оставляя кучу пустого места;
- уже прошел год, альбомной ориентации так и не завезли (я понимаю, что у нас в РФ смена ориентации - дело такое, но уж это-то можно....)
А так мессенджер как мессенджер, сообщения бегают, звонки проходят, качество видео не хуже конкурентов.
а практически можно читать переписку в вацапе
Может подскажете как?
Старые смартфоны хорошо подходят для автономных задач, вроде камеры наблюдения за кормушкой для птиц или информационного экрана, но я так и не нашёл нормального удалённого управления экраном, вроде vnc.
В современных ещё хуже, очень интересно узнать.
Можно же там во время звонка поделиться экраном с собеседником?
...и вы даже собеседника этого знаете!
Ну, в вацапе вроде есть, часть мошеннических сам основана на том что пользователь даст доступ управлению смартфоном
видеокамерой, микрофоном и геолокацией.
Через неделю хабр станет экстремистским ресурсом
Через неделю найдется видео где этот пользователь Пикабу извиняется перед камерой и признается что сфабриковал фейк по заказу пришельцев с Нибиру, мне кажется так будет
И пресс служба снова такая. - чё б..я, где б..я, докажи б..я! 😂
Через неделю найдется прямая ссылка для управления чужим компом через мессенджер?
Вы так говорите, как будто это не мейнстримное движение всей IT-отрасли.
качать макс отказываюсь, но статья очевидно раздувает ультра проблему из ничего. Абсолютно также ссылку на пикчу можно взять у Дискорда несколько лет как (причем там для этого отдельная кнопка есть), где это никто не принимал за уязвимость,
Ждем комментарии пресслужбы МАХ :D
Я понимаю что этот МАХ сейчас всем нравится пинать, но в чём проблема с доступом к изображениям по прямым ссылкам?
Пока саму ссылку не может получить тот, кто не имеет доступа к сообщению - не вижу никаких проблем. С тем же успехом "злоумышленник" мог бы вместо копирования ссылки скачать и скопировать само изображение.
Там довольно длинная ссылка, но БОЛЬШАЯ её часть будет одинаковой для всех ваших файлов, и защиты от перебора вроде бы не предусмотрено.
Вроде бы не предусмотрено или уже удалось перебором найти картинку, к которой не было доступа?
Может кто-нибудь хотя бы пример ссылки предоставить, а то автор всё самое интересное замылил?
но в чём проблема с доступом к изображениям по прямым ссылкам?
Может, в том, что это ЛИЧНЫЕ ИЗОБРАЖЕНИЯ и быть может даже чей-то дикпик и они НЕ должны быть в общем доступе ни при каких обстоятельствах без желания юзера?
Пока саму ссылку не может получить тот, кто не имеет доступа к сообщению - не вижу никаких проблем
Ну может и сложно будет подобрать, в чем я решительно сомневаюсь, но даже если этого никто ещё не сделал - но дальше то что? Автоматизируется это элементарно.
Пароли вот тоже сложно подобрать, но это не значит, что не должно быть механизма защиты от перебора. Мне удивительно, что на техническом портале мне надо это пояснять.
Ровно как и не значит, что должны быть публичные ссылки для непредназначенных для этого файлов без валидации доступа.
PS: За коммент ниже спасибо, вот и пожалуйста пруфы подъехали)
В статье не примера формирования ссылки, не доказательства получения изображений перебором. С таким же успехом можно скопировать токены сессии из кук и жаловаться, что перебрав строку можно получить доступ к чужому аккаунту. Вероятно, в самой ссылке из статьи в параметрах есть какой-либо токен для авторизации или что-то подобное. И не вижу с этим никаких проблем, для защиты от перебора и кражи токена или ссылки с подобными токенами существуют другие механизмы защиты. Но реализованы ли они - тоже отдельный вопрос
Может, в том, что это ЛИЧНЫЕ ИЗОБРАЖЕНИЯ и быть может даже чей-то дикпик и они НЕ должны быть в общем доступе ни при каких обстоятельствах без желания юзера?
Пока сама ссылка не окажется в общем доступе - изображение по этой ссылке тоже не будет доступно никому постороннему.
Ну может и сложно будет подобрать, в чем я решительно сомневаюсь, но даже если этого никто ещё не сделал - но дальше то что? Автоматизируется это элементарно. Пароли вот тоже сложно подобрать, но это не значит, что не должно быть механизма защиты от перебора. Мне удивительно, что на техническом портале мне надо это пояснять.
Длина пароля - одна из подобных защит, и довольно эффективная. Единственная причина почему при защите паролей от перебора не полагаются только на их длину - то, что длинные пароли сложно придумывать и запоминать. Но ссылка на картинку - не пароль, её пользователю запоминать не нужно.
Если в ссылке есть хотя бы 128 бит энтропии - вы её не подберёте никогда.
Пока сама ссылка не окажется в общем доступе
Может вы не знали, но есть такая штука как брут-форс. Там ссылка не из 32, а аж 64 символов, но тем не менее - если к ней можно обратиться без авторизации, значит она доступна всем
Повторяю:
Если в ссылке есть хотя бы 128 бит энтропии - вы её не подберёте никогда.
, это дохрена. Пытаясь перебирать такое брутфорсом, вы скорее сервера МАХа выведите из строя чем подберёте хотя бы 1 ссылку.
вы скорее сервера МАХа выведите из строя
Хихихиха, вот она, моя новая цель!
Но можно наткнуться в поиске по фото по подобию. Я так часто попадаю в VK в личные фотографии. Pinterest тоже любит похищать незащищённые фото.
Ты головой ударился или что?
Нет задачи найти какой то конкретный uuid.
Все подряд тоже подойдут. Чем больше картинок загружено, тем больше занятых uuid.
Вместо того чтобы бухтеть об отсутствии примеров мог бы уже давно сам проверить.
- это реально дофига. Даже 
- это дофига, а 
>а аж 64 символов, но тем не менее
в пару раз длиннее чем у биткоина (значит не в 2 раза сложнее, а в 100500^100500 раз). эхехе! а призом является.... тадам, один дикпик. Очень заманчивая цель для брутфорса.
Хм, это всего лишь одна картинка на весь мессенджер?
Или в процессе перебора 100500^100500 вариантов можно получить примерно 100500^100500 разных картинок?
Тогда чем-то напоминает "спутниковую рыбалку", кто еще помнит...
Так и в биткоине кошельков не один, однако никто даже не думает подбирать к ним ключи методом, э-э-э, "рыбалки".
Одному пользователю придётся загрузить где-то примерно 
картинок прежде чем подобная "рыбалка" в отношении него станет возможной.
128 бит энтропии - это очень, очень, очень дохрена.
никто даже не думает подбирать к ним ключи методом, э-э-э, "рыбалки".
Вы удивитесь, но таки думают.
1000btc puzzle это не 2^160 .
2^160 сядет подбирать только конченный дурачок.
на пазлунов уныние накатило уже на 2^71 (Да, Карл, облом уже в районе 2^71 и это на скоростях брутфорса около 100 мегапроверок в сек) и 2^135 (с открытым публичным ключом)
и кстати, в этом процессе не используется сеть, что увеличивает скорость брутфорса просто на порядки (это возвращаясь к теме)
а для чего по вашему строят эти самые датацентры для ИИ на самом деле?
Там далеко не все комбинации будут действительными (рабочими), поэтому и выхлоп будет сильно меньше «100500^100500». Второй нюанс — себестоимость такого перебора без возможности отработать хотя бы по конкретному пользователю (фиксированный ID) большого смысла не имеет. Получить набор картинок, большая часть из которых не будет нести в себе смысла и/или компрометирующей информации, — это для богатых и очень мотивированных.
Причём, неизвестно чей. Что снижает ценность такой добычи примерно до нуля.
Пока сама ссылка не окажется в общем доступе - изображение по этой ссылке тоже не будет доступно никому постороннему.
Уже бывали истории, что браузеры отправляли все ссылки со страниц, посещенных пользователем, своему родному индексатору интернета (Хром - Гуглу, Яндекс браузер - Яндексу), и потом они всплывали в общем поиске.
Потом конечно все долго извинялись, вставляли костыли, настраивали robots.txt. Но никаких гарантий что это не случится снова нет.
Для нарушения безопасности, подобрать перебором надо не ссылку на какое-то конкретное изображение, а ссылку на любое изображение. По сложности эта задача становится на много порядков проще, чем перебор 128 бит энтропии.
В нормальных системах для защиты недостаточно одного (даже длинного) пароля. Применяется А. Защита от перебора, Б. двуфакторка.
Если в ссылке есть хотя бы 128 бит энтропии - вы её не подберёте никогда.
Если.
извиняюсь, а что ЛИЧНЫЕ изображения делают в мессенджере?
если это что-то важное то этому не место ни в максе ни в телеге, а если это уже там то это не личное)
ну из вацапа оно как-то не утекало пока что.
а как дикпик отправлять теперь? почтой рф на дискетке?
начало торговли перепиской в скаме в даркнете вопрос времени.
а точно не утекало? ссылка на картинку вебверсии вацапа непередаваема?
посмотрел специально, там ссылка
blob:https://web.whatsapp.com/т.е. оно вообще не с сайта вацапа грузится. если попробовать загрузить с сайта, предсказуемо кидает на страницу авторизации, а если авторизоваться, то всё равно не открывает.
почему у майора пригорает от вацапа очень даже понятно.
в телеге такие же ссылки. но на самом деле с сайта, конечно, откуда еще, если это веб версия? но не в лоб.
у вацапа заявлен e2ee. т.е. на сайте их нет вообще. они подгружаются с основного устройства. если его вырубить и попробовать подгружать историю постарше, то он через некоторое время ругнётся что не может загрузить.
теоретически, конечно, это всё может быть дырявое, но я не слышал про утечки из вацапа.
а у телеги они на сервере хранятся штатно незашифрованные. но в вебке отображаются из локального кэша.
Телеграм загружает фото (как и все остальное) используя свой собственный протокол MTProto over WebSocket. И там доступ предоставляется на ограниченное время и только если вы можете видеть это сообщение (поле file_reference)
Шо, вообще ни разу?))
А дикпики врачу лучше показывать в приватной обстановке и оффлайн.
Насколько помню, браузер может передавать историю куда угодно. Да вирусы вроде частенько в истории браузера копаются и передают информацию заинтересованным лицам. Недаром у Гугл-документов такой доступ по уникальной ссылке открывается только при явном согласии пользователя.
В общем - такая себе небезопасная история.
Мне удивительно, что на техническом портале мне надо это пояснять.
Тем временем твои "пояснения"
Может
быть может
Ну может и сложно
Автоматизируется это элементарно
Чел, ты понятия не имеешь о чем говоришь.
Последовательного идентификатора с ходу не вижу, длина более чем достаточная. Без дополнительных исследований утверждать что подобную ссылку легко подобрать - глупость.
Ещё бы получить несколько ссылок на загруженные подряд файлы для интереса...
Вы не в курсе, что есть такой язык программирования как Python и компуктеры с видяхами, которые спокойно все эти ссылки поищут без особого участия и машинным зрением отсортируют? Это с завидной легкостью автоматиизируется. Пусть даже предположим, что это сложно сделать в промышленных масштабах.
Заодно питон или ии агент - по лицу владельца шикарных сисек сгоняет в сервис пробива и найдет соцсети владелицы и откроет простор для шантажа? Или банально попробует поискать картинки с чем-то схожим пароли - и вы удивитесь такого в лс кидают полно, в том числе корпоративного.
Сложность перебора урла ровно никак не оправдывает доступа без валидации прав доступа
А машинное зрение-то тут какие вообще боком?
Ну у вас тысячи картинок. Вам надо их отсортировать.
Почему нужно это делать вручную, если есть либы с машинным зрением, тот же opencv, которые помогут по папкам рассувать потенциально более перспективные картинки, их классифицировать? Ровно для этого я имел ввиду
Или автоматизировать тот же поиск лиц
Откуда у "нас" тысячи картинок? Тут обсуждается вопрос как злоумышленнику получить к ним доступ, а не что делать когда он его получит.
Откуда у "нас" тысячи картинок?
Да хоть отсюда: https://web.archive.org/web//https://i.oneme.ru/i
а с чего вы решили что там нет защиты от брутфорса?
Автор об этом ничего не писал... Может после 3 неверных попыток идёт бан по ip?
Ну и сама длина хеша с учётом использования спец. символов, регистров и т.д. бурить 100 лет будете... С учётом банов ip ,адресов и вовсе верность.
Это ничуть не лучше и не хуже, чем авторизация по логину и паролю...
Это типичный Base64URL. Это 4 на 10 в степени 115. Вы своим "Python", будете перебирать их дольше, чем существует вселенная, в попытке найти хоть одну картинку.
Так я не понимаю, как это вообще в принципе оправдывает, что такая ссылка доступна любому юзеру в интернете без авторизации, пусть даже её не легко найти?
Ну будет перебирать долго и упорно и найдет мой дикпик, ну вот не повезло мне, найдет ровно одну картинку и ровно мою. Мне это нафига надо?
Говорить что ссылку "не легко" найти - это сильно преуменьшать порядок величин. Ссылку невозможно найти, если только кто-то не выложит её в открытый доступ намеренно.
Статистически это невозможно. Никто никогда не найдёт даже одну фотку таким методом.
Но я бы сказал, что это весьма специфичный и довольно странный способ хранить медиа. Хотя мне трудно придумать сценарий, при котором злоумышленники могут как то этим воспользоваться.
Авторизация = предоставление серверу правильного токена.
Стойкость авторизация = размеру токена.
Если длина случайной ссылки достаточная, то ее сложность может быть тоже высокой. Т.е. сама ссылка эквивалентна токену авторизации, в таком случае.
А открытие по ссылке доков в Google вас не смущает?
Я таки кажется вас понял. Большинство говорят что ссылку подобрать сложно, но сам факт того что её возможно подобрать рандомно, никого не волнует.
Вот мне интересно: если я допустим скинул фото документов (Например паспорт или пароль) в Max, значит ли что любой может случайно наткнутся на это фото?
Вы похоже вообще не понимаете о чем говорите.
Проблема в том, что переход по такой ссылке условно навсегда фиксируется в истории браузера (выше написали, что браузеры иногда отправляют посещенные URL поисковому индексатору). Более того, в случае ее попадания в открытый доступ (не то скопировали, не убрали из документа и т.д.) - удалить фотографию из общего доступа будет невозможно. Как в случае с VK, где даже удаление фото из переписки не аннулирует прямую ссылку.
Зачем что-то перебирать, если это отлично индексируется?
На питоне ты такую ссылку будешь лет 300 подбирать
Так, накидали мне в личку ссылок. Судя по всему в ссылке вариация base64, кодирующая запись из трёх полей:
144 бита - заголовок непонятного назначения;
128 бит - идентификатор картинки;
128 бит - идентификатор пользователя.
Если только авторы не накосячили, то 128 бит идентификатора картинки должно быть достаточно чтобы гарантировать невозможность перебора.
Я получил их за вас и рассказываю: эта часть общая для всех - https://i.oneme.ru/i?r=BTE2sh_eZW7g8kugOdIm2Not , это именно идентификатор картинки - AeTcpgsiX47b41tnBHgzh5 , это ИД чата, он узнается отправкой одной картинку юзеру и потом постоянен D1siXO-fczjFQyKnywu1w
Не совсем так, там скорее всего граница между идентификатором картинки и чата проходит внутри символа.
это ИД чата, он узнается отправкой одной картинку юзеру и потом постоянен
Если это ИД именно чата, а не пользователя, то узнать его вы сможете только находясь в этом самом чате.
Это то что я жене когда-то отправлял в личку
https://i.oneme ru/i?r=BTE2sh_eZW7g8kugOdIm2Not fNY7-cd6DpDEDUmUkOEA0y 9s95cvDlLJR3f_OArZ7RA
https://i.oneme ru/i?r=BTE2sh_eZW7g8kugOdIm2Not -9PRDk-KsjELUs2A2L8pdy 9s95cvDlLJR3f_OArZ7RA
Это из общего чата блогера общедоступного
https://i.oneme ru/i?r=BTE2sh_eZW7g8kugOdIm2Not xZuo16MpdqvP2fCgIZp-5C 9s95cvDlLJR3f_OArZ7RA
https://i.oneme ru/i?r=BTE2sh_eZW7g8kugOdIm2Not DPltDPbflVEJpDzje61znC 9s95cvDlLJR3f_OArZ7RA
https://i.oneme ru/i?r=BTE2sh_eZW7g8kugOdIm2Not vX8k71J4wtNJXCmucIKTsi 9s95cvDlLJR3f_OArZ7RA
https://i.oneme ru/i?r=BTE2sh_eZW7g8kugOdIm2Not PhHUEZKHfWnrpex-_aDaPS 9s95cvDlLJR3f_OArZ7RA
https://i.oneme.ru/i?r=BTE2sh_eZW7g8kugOdIm2Not rywG_yKNMjw2M8_mxa0SsS9s 95cvDlLJR3f_OArZ7RA
Все из одного города, регистрировались примерно в одно время в конце лета 25 года.
Можно легко проанализировать префикс, корень и суффикс адреса на примере десятков тысяч адресов из WaybackMachine.
К примеру 402 аватарки с суффиксом 4_NtYYaMXj7bBv4Qv1tEM - все они созданы 24 декабря 2025 года, 88 ссылок с суффиксом ZERglfk28EMHJ5iHH4Lkh и так далее. В основном их объединяет короткий период времени. Так как это общедоступные аватарки, они раскладываются по папкам и суффиксируются по дате загрузки.
Далее, судя по тому, что суффиксы у личных и публичных чатов одинаковые в одно время - то скорее всего суффикс - это некий timestamp или маршрут адреса в базе хранения, куда грузились все фото определенного промежутка времени, возможно там есть какие-то региональные особенности CDN (смысл физически грузить в Питер фотки с Камчатки).
На всякий случай сохранил для следующих поколений ))
Wayback Machine
РКП уже давно до интернет архива добрался. Не знаю, полностью выпиливают или только для жителей РФ, но доступа ко многим страничкам, там уже нет.
Перед нижним подчёркиванием лишние "%5C" образовались)
У Вас слеш лишний прокрался. Так правильно
Последний символ может меняться - изображение из ссылки выше также доступно по ссылкам:
https://i.oneme.ru/i?r=BTE2sh_eZW7g8kugOdIm2NotAeTcpgsiX47b41tnBHgzh5D1siXO-fczjFQyKnywu1x
https://i.oneme.ru/i?r=BTE2sh_eZW7g8kugOdIm2NotAeTcpgsiX47b41tnBHgzh5D1siXO-fczjFQyKnywu1y
https://i.oneme.ru/i?r=BTE2sh_eZW7g8kugOdIm2NotAeTcpgsiX47b41tnBHgzh5D1siXO-fczjFQyKnywu1z
На своих тоже тестировал, аналогично.
значение после ? случайно не передается DNS серверу? открыто?
А как насчёт публичной сети, содержимое https шифрует, но сам URL то?
Взял у блогера ссылки
https://i.oneme ru/i?r=BTE2sh_eZW7g8kugOdIm2Not xZuo16MpdqvP2fCgIZp-5C 9s95cvDlLJR3f_OArZ7RA
https://i.oneme ru/i?r=BTE2sh_eZW7g8kugOdIm2Not DPltDPbflVEJpDzje61znC 9s95cvDlLJR3f_OArZ7RA
https://i.oneme ru/i?r=BTE2sh_eZW7g8kugOdIm2Not vX8k71J4wtNJXCmucIKTsi 9s95cvDlLJR3f_OArZ7RA
https://i.oneme ru/i?r=BTE2sh_eZW7g8kugOdIm2Not PhHUEZKHfWnrpex-_aDaPS 9s95cvDlLJR3f_OArZ7RA
Я которые жене посылал с таким же префикс и суффикс.
Заметил что префикс у всех одинаковый.
Вот тут я уже разобрал их: https://habr.com/ru/news/1007216/comments/#comment_29627062
И вот тут меня поправили: https://habr.com/ru/news/1007216/comments/#comment_29627218
Эту уязвимость очень легко исправить, просто добавить в адрес ip, время до истечения и подпись которая формируется на основе ip, user-agent и ещё чего-то. Даже nginx из почти из коробки поддерживает почти такое
Грамотней было б сделать приватную переписку действительно приватной: шифровать ключами участвующих в переписке пользователей (и, учитывая реалии, «ключом товарища майора). Тогда хоть короткая ссылка будет и на главной страничке всех поисковиков: без ключа дешифровки в браузере или клиентском приложении, кэшируемого только после авторизации, данные будут бесполезны.
У них примерно так видео передается. И судя по всему я могу ссылку открывать где угодно, но только чтобы совпадали ограничения. Но не все параметры проверял, только на впс попробовал скачать с другого ip.
А жаль было бы удобно как с картинками. Выложил фильм и делись ссылками
Интересная особенность таких ссылок, что, нередко, изображение остаётся доступным по ссылке даже если автор уже "удалил" изображение. Если у кого-то есть СКАМ, можете проверить?
Скачанные и сохранённые на диск изображения обладают таким же свойством, так что уязвимостью это не является. Но да, помнить о такой особенности нужно.
Не знаю, насколько это является уязвимостью, но видел комментарии, что, например, в ВК, удалённые картинки доступны по прямой ссылке и через 10 лет после удаления. Это скорее к тому, что единожды отправленная в такие системы информация остаётся там навечно. Нужно про это помнить.
Помнится, что это обосновывалось борьбой с фрагментацией данных на дисках. Если реально удалять файлы с диска - будут появляться свободные дырки, в которые потом если записывать файлы - они будут фрагментироваться, что деграднёт скорость чтения.
Да и физически удалять это все же затратней и дольше - проще и быстрее поставить в той же бд флажок "удалено" и все.
Но все же логичней было бы делать еще периодическую чистку, где уже реально удалять все что имеет метку "удалено" и со времени такого "удаления" прошло достаточно времени.
По идее, если пользователь удалил личное фото, то оно должно исчезнуть. Если оно осталось в интернете, (осталось на сервере, и доступно по прямой ссылке), то это явно ненормальная ситуация.
Загружая что-то в сеть уже по-умолчанию нужно предусматривать публичность. А пароли, шифрования и прочие ограничения доступа - лишь формальность, ограниченная технически. Может утечь напрямую без защиты, может утечь через администраторов, через уязвимости пользователя и его устройств…
В данном случае имеется некоторая двоякость: с одной стороны ожидается, что приватные данные в заявляемо безопасном мессенджере останутся конфиденциальными, а с другой пользователям никто никаких подробностей и гарантий не давал - только общие ничего не значащие фразы.
Загружая что-то в сеть уже по-умолчанию нужно предусматривать публичность.
Не публичность, а риск утечки данных. И не загружая что-то в сеть, а уже просто подключаясь к ней.
Но это уровень КО, и не требует напоминания.
пользователям никто никаких подробностей и гарантий не давал - только общие ничего не значащие фразы.
Гарантии никто не может дать. Есть только общие принципы и меры направленные на снижение риска. Это тоже совершенно очевидно.
По факту, разработчиков МАХа поймали на неаккуратности, и низкой культуре разработки. Понятно что они не злодеи, по крайней мере в данном случае. Просто заурядные, среднего уровня программисты. Нет оснований ожидать что они сделают продукт высокого качества.
По клиентам прочитал что ВК использует тот же домен и примерно так же ссылки хранит на картинки.
Разрабы не придумывали, а скопировали получается. Хотя я не проверял как ВК
ВК хранит на доменах вида: sun9-14.userapi.com
Путь вида: /s/v1/ig2/
Имя файла вида: 5arDWSrALTp5U-iXGOujVoAU4Ccl1WPIyXlQMYG_txWqnViSIAybvEmdI9WZC5ip2M24GXaOtnP5OZDnZCKmRMwh.jpg
p.s. а ещё есть обязательные аргументы вида: ?quality=95&as=32x18,48x27,72x40,108x61,160x90,240x135,360x202,480x270,540x304,640x360,720x405,1080x607,1280x720,1440x810,1920x1080
Гарантии никто не может дать.
Нууууу....
Чистить базу данных, кеш и файловое хранилище после каждого запроса такое себе, тем более что перед удалением нужно быть точно уверенным, что его нет в чатах других пользователей
Оно осталось потому что остаются "следы", а следы зачищать - это совсем другое дело... Оно всё все равно осталось как "цифровой засвет"...
Пока саму ссылку не может получить тот, кто не имеет доступа к сообщению - не вижу никаких проблем.
Уже были случаи, когда в выдачу Гугла попадали, в том числе, ссылки не предназначенные для попадания в выдачу. Поисковики собирают ссылки отовсюду откуда только могут, например Chrome по умолчанию собирает все посещаемые URL, подозреваю, что какой-нибудь Яндекс Браузер поступает аналогично. Поэтому те данные, которые не должны быть публичными никогда и ни при каких обстоятельствах не должны быть доступны по прямым ссылкам без авторизации, даже очень длинным, случайным и "секретным".
например Chrome по умолчанию собирает все посещаемые URL, подозреваю, что какой-нибудь Яндекс Браузер поступает аналогично
Именно Яндекс Браузер так и поступает, Chrome пока не ловили за передачей ссылок краулеру.
Да, лучше бы им всё-таки положить robots.txt в корень.
Если не застали, поищите в поисковиках, как, в свое время, «защищенные» длинными ссылками смс-переписки пользователей Мегафона появлялись в выдаче поисковика.
В нынешние времена есть большая вероятность увидеть свой "защищённый махом" "дикпик" в составе сгенерированного изображения какой либо публичной нейросетки. Индексаторы, получив ссылку из вашей истории браузера, может и не покажут в выдаче, но с удовольствием продадут ее брокерам данных для обучения сетей. А там и на больших экранах можно будет себя увидеть :) если какая кинокомпания задействует сетку, обученную на вашей картинке ...
Может кто-нибудь хотя бы пример ссылки предоставить
Ну я могу. Меня в детстве учили немощным помогать.
https://i.oneme.ru/i?r=BTE2sh_eZW7g8kugOdIm2NotLyFg8dA3YuYE-Jcr4z4SwCI5zi59XKJ57E_tvVh_vXQ
https://i.oneme.ru/i?r=BTE2sh_eZW7g8kugOdIm2Not-kU-5WS4U--IZjFV6eFA3zNxdjZ5-leNYpYIwQyBtC8
https://i.oneme.ru/i?r=BTE2sh_eZW7g8kugOdIm2Not1-0z8g3pZYrqI08nC67qWzODAxq_tQoPZksJpvUSYtA
https://i.oneme.ru/i?r=BTE2sh_eZW7g8kugOdIm2Not18L7i0xVwuF-IIfyvMvkETODAxq_tQoPZksJpvUSYtA
Зачем вы отвечаете спустя 8 часов после того, как мне уже ответили то же самое?
Это как в анекдоте, чукча не читатель, чукча писатель?
Вот, например, нагенерил: https://i.oneme.ru/i?fn=w_1440&r=BTEFHNxXjmuR0N2Fir9SuMMRcObwEdp2w7UpNHzttCu5odah2CRSWnXEv9b_J_MJA8Q
Охота за багами - это прекрасно, но как обычно делается - нашли баг - сообщили разработчику, дали возможность исправить и только затем вываливаем инфу о баге в открытую
пс а призыв, выставленный на пикабу, об исправлении а не направленный разработчику - это очень напоминает письмо на деревню дедушке.
призыв, выставленный на пикабу, об исправлении а не направленный разработчику - это очень напоминает письмо на деревню дедушке.
Призывы направленные разработчику без эскалации в публичном поле также бывают письмами «на деревню, к дедушке»
Я не знаю почему был выбран именно такой вариант взаимодействия, возможно именно потому что хотелось «пнуть» МАХ
А джентльменские соглашения с паузой перед публикацией - не закон, но её может требовать багбаунти-программа если человек хочет получить вознаграждение. Если не хочет…
нашли баг - сообщили разработчику, дали возможность исправить и только затем вываливаем инфу о баге в открытую
Почему к скаму, продвигающемуся неэтичными методами вроде админресурса и блокировки конкурентов, должны применяться правила этичного багрепортинга?
За разработчиков прекрасно справляется пресс-служба Макса :)
Хотя в этот раз уже появились какие-то эксперты кибербезопасности https://habr.com/ru/news/1007260/
>Охота за багами
какой баг? практически у всех файлопомоек есть этот режим. срочно жаловаться на гугл, яндекс и негрософт.
более того, самый жирный bitcoin кошелек со 100500 бабульками, защищен ровно так же. Подберешь число и бабульки твои. Перебирать то всего ничего 2^160 вариантов. Удачи всем мамкиным-брутфорсерам )
Проблема в том, что переход по такой ссылке условно навсегда фиксируется в истории браузера (выше написали, что браузеры иногда отправляют посещенные URL поисковому индексатору). Более того, в случае ее попадания в открытый доступ (не то скопировали, не убрали из документа и т.д.) - удалить фотографию из общего доступа будет невозможно. Как в случае с VK, где даже удаление фото из переписки не аннулирует прямую ссылку.
У Вк, подобные недоработки это не случайные ошибки, а системные. Аналогичная проблема, была, непосредственно, в Вк годах в 16-17. Любой человек пользуясь стандартным обозревателем файлов в Вк мог найти документы и фото отправленные файлами, так что я более чем уверен, о проблеме, разработчики знают, просто не видят необходимости исправлять
До 20-22 года точно можно было искать как минимум по общедоступным документам (по типу того, что в сообществах на стенах лежит). И это было скорее очень полезной фичей, т.к. иногда там можно было найти файлы, которые на других ресурсах найти невозможно (например, редкие книги, журналы).
Недавно попытался так найти, но, видимо, уже убрали.
так и в аське вроде было
Аська не била себя в грудь пяткой, что она "надёжно защищена от мошенников в отличии от ирки", аську не обязывали ставить госслужащих, студентов и школьников, не писали закон об обязательном представительстве в аське диспетчерских служб ЖКХ и председателей жилищных кооперативов, аська вообще была просто мессенджером.
Там судя по ссылке едет в начале хеш изображения, а потом через - контрольный хеш индекс. Боты могут конечно это перебирать. Но боюсь тут смысла нет. Легче биткойн ключи находить.
до устранения этой милой фичи, можно смело вешать по статье на любого, кто отправлял нюдсы, за изготовление. Интересно можно маху статейку выкатить за распространение?
Безусловно так быть не должно, но что это дает. Потому что недобросовестный персонаж может и так сохранить медиа из переписки, и отправить постороннему. Но с точки зрения внешнего злоумышленника как это эксплуатировать? Не считая очевидных, на ум приходит только вероятность что посковики начнут индексировать медиа и потом будет "мама я в телевизоре", как было с внезапной индексацией google docs
А вот с поисковиками и правда проблема, файла robots.txt на их домене нету, заголовка X-Robots-Tag я тоже не обнаружил. А значит, Яндекс все эти картинки может начать радостно индексировать.
robots.txt - это буквально "тута ничего интересного, не смотрите сюда пожалуйста".
То есть, можно просто проигнорировать, особенно если очень хочется всё-таки посмотреть и записать в личное дело.
Единственное известное мне популярное шпионское ПО, ошибочно считаемое нормальным браузером, указаниям из robots.txt всё-таки следует.
Если что, я о том как Яндекс-браузер льёт "телеметрию" в Яндекс, которая затем используется их краулером для индексации. Их несколько раз ловили за руку на этом, в том числе во время упомянутого выше инцидента с внезапной индексацией google docs.
Яндекс все эти картинки может начать радостно индексировать.
Ради интереса погуглил по подстроке "https://i.oneme.ru/i?r="
Массовой выдачи пока нет
Но с точки зрения внешнего злоумышленника как это эксплуатировать?
Ответ здесь тот же, как и на "зачем токены и куки имеют ограниченный срок действия?" Вероятность утечки ссылки на приватный документ за 3-5 лет слегка выше, чем она же за одну неделю.
Да проблема не в переборе, а в утечках)
Получается, можно скам использовать как бесплатный CDN. Который еще и при активных белых списках работает. Например, залить туда VPN-клиенты и конфиги и в виде QR-кодов распространять в публичных местах, удобно.
А вот это уже интересно.
Брутить ссылки смысла нет, длинный сложный хеш и скорее всего с баном при переборе...
Бесполезное и не эффективное занятие.
Так это и в TG было. Я помню бота, которому можно было скормить файл и в ответ выдавалась прямая ссылка, что позволяло использовать TG как файловый хостинг.
бэкапы там хранить
Внутренний голос говорит, а не заблокируют Хабр, за критику Маха?
Распил бабла + вайбкод - идеальное сочетание для генерации былинных отказов
Как насчет того, что, зная алгоритм формирования ссылки, можно получить все изображения, отправленные определенным пользователем. Разработчики точно знают этот алгоритм и могут поделиться с кем-нибудь.
Подскажите, чем отличается такое копирование ссылки из веб MAX от аналогичного копирования из веб VK или TG ? По клику на изображение -> копировать URL картинки ну или из "просмотреть код"?
Так же можно отправлять эту ссылку кому угодно.
Я проверил в веб тг, в икногнито редиректит на страницу авторизации.
спасибо, давненько в веб тг не был, дизайн там улучшили , да и механика другая, там по гуиду как-то запрашивается картинка, но в том же вк прямая ссылка отлично работает.
Из под другого аккаунта та же ситуация: либо ERR_FILE_NOT_FOUND либо редирект.
А когда-то было совершенно иначе - примерно как у Макса сейчас. Исправят
В правильном секьюрном приложении - картинка должна иметь мета-информацию о правах доступа, и никакой "утекший" идентификатор не должен позволять открывать картинку неавторизованному пользователю.
Но в целом - тут огромный идентификатор, который подобрать будет нереально. Ведь кроме генерации ИД-шки, надо же еще проверить, что на сервисе есть соотвествующая картинка, и тут в дело вступает throttling.
Так что, да в статье рассказывается про реальный секьюрити косяк, но не доказано, что его приоритет вышел за "Low"-уровень.
Утечка приватных данных. Данные Deep web (соцсети, мессенджеры) закрытые авторизацией by design не должны быть доступны снаружи. Возможны исключения, но когда специально реализован вывод без авторизации.
Кроме того переписка попадает под тайну связи.
Если там есть какая-то закономерность в генерации этого идентификатора... А она там есть, учитывая криворукость авторов. И даже не дыра, а закономерность... Псевдослуайный генератор. Использование одного песевдослучаного генератора для генерации чисел большой разрядности, кэширование случайной части, использование отметки времени, ъэширование счётчика, вместо использования случайного числа - что-то из этого.
Если что-то подобное там есть, то после вкрытия алгоритма энтропия этого ID резко и драматически падает.
Короче, когда утечёт способо генерации этого ID (а он совершенно точно утечёт), то может очень сильно базнуть задним числом.
Это ссылка get, соответственно не шифруется при помощи Https и она видна и может логироваться на всех точках маршрута запроса.
Этот "баг" потек ещё с самого начала вк
вот тоже не догоняю. Даже писал бота в вк, который будет присылать сообщения, которые были удалены из ЛС. Вложения там совершенно не требовалось сохранять на случай удаления, т.к. они продолжали быть доступны по прямым ссылкам даже без авторизации.
Почему ж на ВК за столько лет не накинулись? Да потому что понимают, что перебрать такое не реально, о чем уже написали выше.
О, с подключением! Также как в вк - открываешь фото, справа снизу волшебная кнопочка "Открыть оригинал". Разве не у всех соцсетей/мессенджеров можно получить фото по прямой ссылке, ведущей на cdn сервиса?
Я думал, такое только с опубликованными фотографиями можно провернуть. Сейчас проверил картинку из лички - действительно работает!
Вы ее в режиме инкогнито в другом браузере открыли?
Прямых работающих без авторизации ссылок не должно быть.
Конечно инкогнито. В другом окне, но одноимённого браузера. Авторизация не подхватилась, проверил.
В том-то и дело, что "не должно быть" и "нет" это разные вещи.
Позор бракоделам из VK! Ну или удобно чтобы в материалах дела эта ссылка жила.
Скажу даже больше! Сохранил ссылку, удалил сообщение с картинкой, открываю приватное окно: показывает картинку! Хочу думать, что просто нужно немного подождать чтобы картинка с сервера реально удалилась.
Удаление с серверов опровергла пресс служба Max https://habr.com/ru/news/1007260
В VK подписан на нескольких креаторов через VK Donut, решил проверить, можно ли так расшаривать их платный контент, и офигел. Открывается в любом браузере без авторизации.
Я ещё могу понять, если, например, публичные картинки в сохраненках кешируются на CDN и сделано для удобства. Но чтобы платный контент можно было вот так расшаривать. Я не знаю как такое решение до ПРОДа доехало. У меня в закрытом контуре беза душит если не дай бог свагер торчит не там где надо, а тут такое с платном контентом.
EPIC.
Разве не у всех соцсетей/мессенджеров можно получить фото по прямой ссылке
Из зарубежных был discord, но после того, как по этим ссылкам начали распространять трояны, они это дело прикрыли и теперь ссылка 24 часа действует.
https://www.reddit.com/r/discordapp/comments/17nsrhc/psa_discord_cdn_links_will_become_temporary_by/
Ок, возможный вариант
Некий беспринципный браузер (экстеншен) индексирует все открываемое и дальше картинка "навсегда" остается в интернете. Или на ней обучается AI.
Так вы можете и с телегой так сделать.
Открыть свой аккаунт в беспринципном самописном клиенте и жаловаться, что этот самописный клиент спарсил все картинки и опубликовал в инет.
Есть разница - беспринципный браузер передал на сервер прямую непозволительно общедоступную ссылку по которой прошелся робот и загрузил. Сервис должен не допускать возможность загрузки такие данных.
Или левый клиент, который загруженные медиаданные недоступные никак кроме как в клиенте или веб-приложении взял да выгрузил наружу. Явно поведение трояна.
https://web.archive.org/web/*/https://i.oneme.ru/i*А вот теперь уже интересно как они туда попали… Кто-то и правда использовал МАХ как CDN для своих картинок?
многовато этих кто-то. поищите свои, возможно удивитесь.
На сайте публикуется ссылка на публичный канал, поисковик по ней переходит, потом переходит по "открыть в браузере", попадает на веб-версию канала - https://web.max.ru/news_kremlin, которая индексируется, как обычный сайт.
Скорее всего проиндексировали что-то типа maxstat.ru - там каталог каналов со ссылками.
А вот теперь уже интересно как они туда попали… Кто-то и правда использовал МАХ как CDN для своих картинок?
Всё проще: кто-то использует Archive.org как CDN для своих картинок! /s
Браузер куда-то слил, пока в веб версии показывал? Какой-нибудь условный адблок или проверка ссылок на безопасность заодно "кормит" webarchive?
я потратил некоторое время, бОльшая часть ссылок которые отображает - выглядят как логотипы каналов, возможно с веба и собранные
Я уже 2 часа смотрю фоточки ВебАрхива, почти все они из открытых каналов Макса или в половине случаев это иконки(аватарки) каналов. В ВебАрхиве можно вводить префикс, к примеру тот же что в статье BTE2sh_eZW7g8kugOdIm2Not выдает 1241 совпадение, но все равно почти-почти все они не из личных сообщений, что видно из контекста (зачатую официальные новостные, муниципальные, школьные каналы. Следовательно в ВебАрхив они утекают через какой-то сервис, краулер или как-то еще, возможно на сайте кто-то дает ссылки на Макс или есть какой-то КРИВОЙ виджет Max2site, который тянет эти ссылки и выгружает их для краулера.
Я уже 2 часа смотрю фоточки ВебАрхива, почти все они из открытых каналов Макса или в половине случаев это иконки(аватарки) каналов.
Да шо ви такое говорите.
https://i.oneme.ru/i?r=BTE2sh_eZW7g8kugOdIm2NotLyFg8dA3YuYE-Jcr4z4SwCI5zi59XKJ57E_tvVh_vXQ
https://i.oneme.ru/i?r=BTE2sh_eZW7g8kugOdIm2Not-kU-5WS4U--IZjFV6eFA3zNxdjZ5-leNYpYIwQyBtC8
https://i.oneme.ru/i?r=BTE2sh_eZW7g8kugOdIm2Not1-0z8g3pZYrqI08nC67qWzODAxq_tQoPZksJpvUSYtA
https://i.oneme.ru/i?r=BTE2sh_eZW7g8kugOdIm2Not18L7i0xVwuF-IIfyvMvkETODAxq_tQoPZksJpvUSYtA
Ждем фоток и ссылок например платежек, скринов переписок. С комментариям я вот попробовал и на третий раз у меня получилось.
блин, ну прятать инфу ссылкой это же архаизм 20-летней давности. деградация российского IT на марше. потенциальных каналов утечки ссылок - миллион.
Осталась сущая мелочь - перебрать 256-битный или сколько там рандомный ключ в урле:)
Не знаю, зачем все продолжают мусолить этот бред про подбор ю. Тут уже сотни раз написали, что проблема в отсутствии контроля доступа в целом.
Пароли и токены тоже шифруются современными алгоритмами. Но адекватные сервисы понимают, что пароль может остаться после логина на чужом устройстве, быть украденным и прочее. И поэтому вводят и двухфакторку и контроль доступа.
Я подозреваю, что пароль тг украли? Ок, зашёл скинул все сессии . Всё, "ссылки с токенами" у левых людей перестали работать.
Я захотел, чтобы пошаренный по ссылке док в гуглдоке больше не был доступен? Зашёл закрыл доступ. Все, "супер сложные ссылки" перестали работать.
Я не знаю в чем смысл продолжать мусолить этот бред про перебор.
Да понятно, что нужно проверять сессии и вот это всё. Понятно, что это косяк и недосмотр, видимо слишком спешили.
Но и в статье тоже профанский бред понаписан.
256-битный ключ в запросе сам по себе является токеном доступа, который сначала нужно узнать. Да, он должен работать только одним из факторов авторизации, ортогональным сессии (мало украсть access token, нужно ещё узнать урлы), но и "кому попало" никто ничего не выкладывает.
В статье как раз и пишут, что это ниразу не норма. И в комментариях уже сотню раз это написали. И даже вы при этом продолжается мусолить бред про "супер сложную ссылку".
Ещё раз, доступ к документам по ссылке должен авторизовываться и иметь контроль доступа. Всё. Точка.
Тут не нужны никакие рассуждения "а если ссылка будет длинной в миллиард миллиардов, то это норм". Нет. Не норма.
Именно об этом и есть сама новость. И это и обсуждают тут. Просто прекратите мусолить этот бред про "сложность ссылки" и "подбор".
В данном случае файлы, которые не должны быть публичными - публично выложены в сеть БЕЗ контроля доступа.
Если вам все ещё не понятно, объясню ещё раз, возьмём гугл документы. Расшарив файл по ссылке, можно в ссылку какой-угодно ключ воткнуть. Но суть не в ссылке, а в том, что если я не открою доступ к файлу СОБСТВЕННОРУЧНО, файл не будет доступен из сети. Вообще. По любой ссылке. Хоть сложность,хоть не сложной. Он непубличный.
А взяв сабж, у вас все файлы уже опубликованы в сети.
Позволю себе покопировать слегка Телеграммные каналы. Все ниже - не моё.
первое сообщение:
Фотографии из личной переписки в Max может увидеть любой желающий: они фактически лежат в открытом доступе, убедился ЧТД
Как выяснили пользователи, при загрузке изображения в личный чат или «Избранное» для него создается статичная гиперссылка. Если знать эту ссылку из веб-версии Max, фото можно открыть даже без авторизации. Более того, если изображение из переписки удалить, оно все равно будет доступно по гиперссылке.
ЧТД успешно повторил эксперимент: ссылка на фото из личной переписки в Max открылась в браузере даже без авторизации в мессенджере. Ссылка продолжала работать и после удаления фотографии из переписки.
«При [отправке фото генерируется] длинная ссылка, но БОЛЬШАЯ ее часть будет одинаковой для всех ваших файлов, и защиты от перебора вроде бы не предусмотрено», — отмечают пользователи «Пикабу», обратившие внимание на дыру.
ответ:
Проверили в редакции — все именно так. Если вы в MAX кинете любому человеку фото в личку, а потом удалите его с двух сторон, то оно все равно будет лежать на сервере. Его можно посмотреть в любой момент в будущем, если сохранить заранее ссылку. Идентичная проблема была всю жизнь у VK — вот вы кидаете в году 2015 любимому человеку ньюдс, потом ругаетесь, сносите переписку, а картинка и дальше спокойно лежит на сервере. MAX для хранения изображений использует хост i.oneme.ru — это следы закрытого приложения ТамТам, которое изначально появилось из мессенджера под названием «ОК сообщения».
То есть технология примерно такая же старая, из ВК, где ваши удаленные фото в любое время мог посмотреть товарищ майор.
Если повторять баги ВК, то ждём поиска по чужим загруженным файлам?) Чтобы мошенники могли пересланные паспорта смотреть?)
Получается что картинка доступна без авторизации по прямой ссылке? Не понял. Четыре абзаца прочитал и так и не понял о чём речь.
Предположим, безосновательно того, нравится нам это или нет, что нужно, чтобы администрация ресурса могла удобно делиться изображениями со спецслужбами.
Это же самый простой вариант, разве нет?
бред. а если знать JWT токен то можно сделать запрос и получить данные без авторизации. И много автор открыл чужих картинок? Проще подобрать пароль.
JWT-токен всегда протухает, так что время на его подбор ограничено. Что касается пароля, сейчас везде уже 2fa, так что креды не особо полезны. В крайнем случаи и JWT, и пароль ты сам можешь поменять.
А вот если у тебя потенциально что-то лежит в кеше по статичной ссылке, доступной без смс и регистрации, да еще если это в инете не публиковалось (чат избранное, либо личка с другим человеком) это за гранью уже. Я не понимаю почему такую архитектуру сделали в новом мессенджере. Как будто на вайбкодили.
@Shmaiserпочитал FAQ по MAX, так оказывается там есть инструкция как подписывать документы через бота, через гос ключ https://help.max.ru/help/bots/kak-podpisat-dokumenty-v-max
По факту все что ты ему скинешь, будет торчать наружу. Я хоть и понимаю что подобрать статический url сложно, но все же почему не закрыть endpoint на всякий случай? Эту инфу даже не из какой-то БД могут слить, а с логов сервисов/облака. Одно дела когда в запретограмме по прямым ссылкам статика доступна где сисик и писик можно посмотреть, а другое дело когда у тебя документы конфиденциальные данные содержат. Есть же уровень критичности информации, мессенджер позиционируется как решение для работы с доками и взаимодействия с госуслугами.
Не беда, прописать в пользовательском соглашении, что ваши веселые картинки может просмотреть кто угодно. Если вам не понравится, что кто-то украл вашу картинку, вы можете обратиться в суд.
Что-что? Ах, вы прочитали соглашение. Не хотите теперь устанавливать Макс? <Роскомнадзор> вам, а не Госуслуги!
Это такой хитрый PR ход чтоб заинтересовать псевдо ITшников наводнивших нынешний хабр, в установке Маха для экспериментов?
Ну в принципе эти поведутся. И основная масса даже предохраняться грамотно не будет.
Интересно сколько народу после этой статьи Мах поустанавливало, чтоб на ссылку посмотреть?
Здесь же ведь как и в одном интимном процессе, на пол шишечки не прокатит. Прикоснулся, и твой цифровой отпечаток будет хранится до скончания, в недоступном для тебя месте, но очень доступном для заинтересованных лиц.
В Архиве Интернета есть уже много примеров таких картинок.
Челлендж: кто первый найдёт среди них даму в неглиже?
Хочу пожелать успехов в переборе:)
Тут явно публичный мусор
Ну пока не неглиже, но начало положено, на последней странице 200 из списка:
https://web.archive.org/web/20251231102104/https://i.oneme.ru/i?r=BUFxtygYfQ8hp8NJRyp5v4T3YYNE4rvPZesJ02m1MezyMtsXp2dFzgmowCIsoTAD_X_FHytuSFeq8nVn8TsBai5o&fn=w_1440
Ай-яй, вот уж от кого не ожидал...
"Даму неглиже" без "в". Это не одежда, это состояние!
«Даму неглиже» без «в». Это не одежда, это состояние!
Вот оно как, Михалыч. А мужики‑то не знают!
Позор на мою седую голову. Оказывается, у него ещё есть устаревшее значение.
Я просто напомню, что в мессенджере террористической мордокниги точно так же.
Ну, на всякий случай, вдруг кто про это не знал.
Срамота.
Попадаются картинки каналов госконтор, Единой России. Ни одного живого человека.
wget -i T8RzYCwt.txt
...
FINISHED --2026-03-07 03:18:52--
Total wall clock time: 3m 3s
Downloaded: 4989 files, 94M in 2,0s (46,8 MB/s)
wget -i fCdqJhN4.txt
...
FINISHED --2026-03-07 03:23:21--
Total wall clock time: 3m 13s
Downloaded: 4985 files, 196M in 7,4s (26,5 MB/s)9974 файла без бана с одного IP за 6 минут 16 секунд. 7502 из них всякого рода аватарки до 500х500.
Остальные - про школы, власть, СВО, МЧС. Есть пара сюжетов про автозапчасти, объявления ноготков и стрижек. Куча нейрокартинок, что грустно. Есть "открытки из ватсаппа" на разные поводы. 33 ссылки - дубли в исходных данных.
Из чего-то похожего на нюдсы - 4 штуки: 1, 2, 3, 4. Причём, последняя как раз по задумке и сюжету является нюдсом😉
У Вас 4 ссылки при копрированни перепутались.
Кстати, попутно выяснилось, что https://i.oneme.ru/i?r=BTFjO43w8Yr1OSJ4tcurq5HiQLvYlaKOrliI7YRDloy4Rfy4ePJqkr65xxKnGpLOYvo____a_dalshe_wse_ignoriruetsya
Проблема не в подборе ссылок, а в самом факте, что если есть ссылка, то по ней можно получить сообщение, не будучи залогиненным в аккаунт.
Мало того, я почти уверен, что это не баг, а фича. Сделана для удобного доступа к переписке "заинтересованным сторонам". Кроме того, я не исключаю ситуации, когда из-за какого-то бага или очередной "фичи" условного Яндекс Браузера все эти ссылки будут проиндексированны.
Лет 10-15 назад такая ситуация была с изображениями Picassa (теперь Google Photos), но Гугл это исправил и сейчас если фото не публичное (хотя-бы по сгенерированной ссылке), то добраться до фото извне невозможно.
Без сквозного шифрования ссылки и данные по ним будут доступны как в обычном Облаке
Ссылки может слить только-только владелец аккаунта.
Посмотрим что найдется)
Ммм, спасибо автору. Буду использовать МАКС как бесплатный файлообменник, который к тому же работает при ограничении интернета
А чем это принципиально отличается от архитектуры ВК? Или они просто скопировали 20-летнее решение со всеми его «фичами»?
В ВК, напомню, вся статика (картинки из личных сообщений, фото в закрытых постах и т.д.) просто заливается на CDN без какой-либо аутентификации. Несколько лет назад они прикрутили ключи доступа в query, но, как я понимаю, такие ссылки все равно формально являются публичными, потому что не привязаны к конкретной сессии (не уверен, что ключ в URL вообще когда-либо истекает). Ну и самое интересное: статика не удаляется никогда, так что даже если сообщения, поста или альбома больше нет, прямые ссылки продолжают работать. Копирайт, CSAM и подобные вещи ВК, очевидно, не беспокоят (сделал открытие, да).
если знать прямую ссылку на фото из гугл фото, то можно тоже открыть её без авторизации.
давай, накидывайте
А уже писали что в гул фото тоже так можно? Ссылка на фото доступна без авторизации если знать гуид
Насчёт примера с Wayback Machine:
Есть парсеры каналов Мах:
https://maxstat.ru/posts?search=Фото Москвы
Там отображаются изображения как раз из https://i.oneme.ru/i (см. url после клика по изображению)
К слову у Telegram такая же картина, например:
https://web.archive.org/web/*/https://cdn4.telesco.pe/file/*
(материалы открытых постов, которые собраны из предпросмотров публичных каналов https://t.me/s/)
Ну и вот, можно с трудом нацарапать https://maxstat.ru/posts?search=ню и без регистрации и авторизации узреть примеры работ в стиле "ню" фотографа, который "неспешно ищет модели" для съёмок на плёнку...
Upd: Есть каталогизация каналов, и на текущий момент 18+ помечены 748 каналов. На блюдечке список https://maxstat.ru/catalog?category_id=39
Люди тут кидали ссылки из личных сообщений - они вроде без авторизации недоступны.
Но вот я решил проверить ссылку из сохраненок - и она открывается спокойно ))
Пользователь обнаружил уязвимость в веб-версии Мах: изображения из ЛС можно найти в открытом доступе по прямой ссылке