переносить из-за этого личные переписки в макс - довольно странная идея. это как из-за "замедления" ютуба переходить на рутуб вместо того, чтобы настроить впн.
как-то оно пока иначе работает) какие-то одиночные сомневающиеся голоса только на околоайти ресурсах и есть, но обыватели их не читают. зато прочитали этот "разбор", поверили ему и теперь бегают всем рассказывают, что макс собирает все возможные данные и отправляет во все возможные инстанции от ФСБ до СБУ
нет. и нет. приложение является инструментом для сбора данных только если у него есть функционал сбора данных. то есть, оно может этого не делать прям щас, но при определенных условиях сделать. пока не найден бэкдор позволяющий это сделать или пока приложение не поймано на этом, оно это не делает. с таким же успехом можно заявить, что калькулятор windows является ПО для слежки. да, мы не нашли в нем подобного кода и не поймали когда он это делал, но в теории ведь может?
именно, но через ВК мало кто общается в наше время
да не так уж и мало, у меня есть знакомые, которые только там мне и пишут)
А в контексте замены тг/ws на макс
зачем что-то менять? макс - это чисто корпоративный мессенджер для госорганизаций. чатик класса сделать, рабочий чатик в какой-нибудь бюджетной организации. общаться там на повседневные темы совершенно необязательно.
Причем тут приложение и авторы статей анализа? Я про комментаторов говорю которые ясно и четко доносят риски
а я про авторов статей, которые просто перепечатывали анализ с гитхаба. ясно и четко доносить риски, что там все доступно к прочтению товарищу майору - это одно, это я только поддерживаю. а придумывать, что это приложение не мессенджер, а шпионское ПО, которое сольет все, до чего дотянется, - это другое, тут пруфы нужны, а не предположения.
Вовсе нет, любой государственный сервис должен доказывать что он бел и пушист, и все равно ему веры быть не должно.
с таким отношением вообще не имеет смысла что-то доказывать) будь он хоть опенсорсным, полностью открытым и распределенным как сеть тор, один хрен нашлись бы люди, которые утверждали бы, что он где-то там шпионит, ведь у него создатель ВК, а госконтора априори ничего хорошего сделать не может.
и как это превратилось в "приложение сливает"?
похоже мы о разных вещах говорим. я говорю о куче статей основанных на одном и том же нейросетевом "разборе" макса https://github.com/KARENKING112/max-deep-analysis-of-the-messenger в котором утверждается, что, прямая цитата, "Приложение "Макс", несмотря на отсутствие явных низкоуровневых эксплойтов, представляет собой мощный инструмент для глубокого и постоянного сбора данных о пользователе и его активности. ". и вывод этот делается из наличия разрешений и встроенного трекера собирающего данные об использовании приложения для разработчиков.
Весь ваш текст подмена моих тезисов на свои, не делайте так
и в чем они не правы? Хоть один указаный риск является не валидным?
во всем. бремя доказательства лежит на том, кто что-то утверждает. нельзя нагенерировать многостраничный "разбор" от нейронки, в котором просто анализируются разрешения и из них делается вывод, что приложение представляет собой "мощный инструмент для глубокого и постоянного сбора данных о пользователе и его активности", а когда тебе говорят, что такой вывод делать некорректно, говорить "а ты докажи, что оно не следит". доказывать нужно, что следит, и пока ни у кого поймать его на слежке не вышло, все доказательства строятся на предположениях, что прописанные в манифесте разрешения можно как-то использовать. да, можно, а можно и по другому.
я не являюсь андроид-разработчиком, но даже я знаю, что андроид не позволяет приложениям бесконтрольно пользоваться разрешениями в фоновом режиме. он просто прибьет приложение в фоне если у него не включено неограниченное использование батареи.
По тому да, бот защищающий за 15 рублей
где мои 15 рублей? если бы мне платили 15 рублей каждый раз, когда я говорю, что этот нейроразбор разрешений и выводы сделанные из него чушь, то я бы наверно уже новый комп на эти деньги купить смог)
ибо люди желают выслушать возражения по сути
чтобы были возражения по сути, нужно предъявить претензии по сути. а тут одно только "мессенджер просит разрешение на местоположение, значит он собирает данные о всех ваших перемещениях" и подобное. это же бред. андроид не позволит это сделать, да и разрешение на местоположение можно не давать. да и при каждом запросе он бы выдавал запрос, а он не выдает. и так по каждой претензии о разрешениях)
И самое классное, нигде вообще ни в одной статье типо вашей нет плашки "но все эти исследовании чушь, потому что сервера вот они, рядышком"
так исследования на тему "следит ли за тобой клиентское приложение", ибо изначально тезис был именно такой, типа "макс сливает все данные о местоположении, все твои файлы, слушает микрофон и все это заливает на сервера ФСБ/СБУ/кого-то ещё". и это чушь, эта статья тому отличное подтверждение.
а так да, согласен, безопасность общения максе равна безопасности общению в ВК, одноклассниках или любом другом отечественном мессенджере. ну, то есть, покупку травки там лучше не обсуждать, органы имеют туда прямой доступ.
ну какую цель преследовали авторы массово форсящие нейросетевой разбор с гитхаба, где на основании разрешений (ничем не примечательных в целом для мессенджера) и наличия в составе абсолютно легального и встроенного во все продукты ВК трекера MyTracker собирающего для разработчиков данные об использовании приложения делаются далекоидущие выводы, что это жуткое шпионское приложение, которое собирает данные о любой активности на устройстве, пишет экран, сливает местоположение и т.д.? к ним почему-то подобных вопросов не возникало)
причем, на хабре в силу более высокого технического уровня аудитории, я ещё вижу какую-то осторожную критику таких "разборов", а на менее технических ресурсах типа пикабу или vc все поголовно уверены, что Мах ставить можно только на отдельный смартфон специально под него купленный. а любая осторожная критика таких разборов жестко минусится и критикующих сразу объявляется ботом, который защищает Мах за 15 рублей. то есть менее технически грамотные люди в эту херню реально верят.
а что толку с исходников сервера если он развернут на сервере?) где гарантия, что там развернут именно тот сервер из исходников? а если своё разворачивать - то проще jabber поднять и не париться
Ну так потому, что 99% пользователей плевать на то, что их переписку прочитает товарищ майор. Лет 10 назад все переписывались в ВК и никого совершенно не волновало, что там все хранится на сервере и доступно спецслужбам, а сейчас с Максом, который по сути тот же ВК в другой обёртке, всех резко заволновал этот нюанс) хотя сквозным шифрованием в телеге пользуются скорее всего даже не 1%, а 0.01% пользователей. А в Вотсапе это вообще просто надпись, которую никак не проверить, ибо исходники клиента не открыты.
Я не минусил, но в теории ничто не мешает реализовать функцию выгрузить ключ сквозного шифрования в файлик, а потом загрузить его на другом клиенте чтобы позволить ему подключиться к секретному чату созданному на первом клиенте. Только в телеге такого функционала нет, но в принципе идея не самая сложная для реализации
Строго говоря тут придется всем контактам тоже устанавливать версию собранную из исходников. Ибо версия из плей маркета может сильно от нее отличаться, а компрометации хватит и с одной стороны чата. А телегу, естественно, 99% пользователей ставят из плей маркета, ещё и автоматическое обновление не выключает.
Но да, в теории если себе и собеседнику поставить апкшку собранную лично из исходников, то можно доверять секретным чатам. Только вот в большинстве случаев переписка идёт в облачном чате и клиент у собеседника стоит из маркета, а не из исходников)
А где его кроме этих самых госучреждений и организаций то рекламируют? Я про него только антирекламу на всех сайтах вижу и что-то мне кажется не государство её простит, ну или по крайней мере не наше государство) слышал про рекламу у инстасамки и прочих, но я их не смотрю, поэтому тоже только читал про неё
А потенциально опасные режиму идиоты что-ли в госмессенджере переписываться о чем-то потенциально опасном? Для этого же есть другие мессенджеры, а Мах он для чатиков государственных и бюджетных организаций и прочего такого
Скорее обмениваются опытом, но, судя по плавному прогрессу, систему сами пилят. Если бы в определенный момент перешли на китайскую, был бы резкий скачок, а его не было. Китайцы были и остаются шагов на 10 впереди, поэтому китайский софт для обхода (даже старый, который давно не работает в Китае) у нас работает без проблем.
qr коды зато не работают без мобильного интернета. тут, как я понимаю, смысл такой: при входе в приложение загружается десяток одноразовых ключей для подписи транзакций (которые генерируются банком), терминал соединяется со смартфоном, передает ему параметры транзакции, смартфон подписывает транзакцию одноразовым ключом и отдает назад. терминал передает подписанную транзакцию на сервер в банк через свой интернет и получает ответ типа "ОК". следующая транзакция подпишется следующим ключом, при появлении интернета недостающее число ключей подгрузится и можно будет ещё 10 транзакций подписать без интернета.
А причем тут Ютуб и телеграм? Ещё рутрекер заблокирован и фейсбук, но это к сабжу никакого отношения не имеет. Тут разговор о том, что во время атак дронов отключают мобильный интернет, из-за чего люди не могут ни такси вызвать, ни оплатить картой или qr кодом, ни даже карту посмотреть. Вот и придумали как временное решение оставлять во время отключений доступ к проверенным сервисам, которые готовы сотрудничать чтобы злоумышленники не могли управлять дронами через них
Я не минусовал, да и политику на хабре уже давным давно обсуждают, половина новостей на околополитичные темы, не вижу тут ничего такого, учитывая как часто власти начали лезть в IT.
Допустим, интернет пока не отключен. Я знаю, что это в любой момент может закончиться, и пользуюсь интернетом, пока есть такая возможность.
Так интернет-то мобильный работает, но когда атаки дронов, то местами не работает, а в ближайшем будущем видимо будут работать только сервисы из списка. Если их бойкотировать, то у всех будут работать хотя бы они, а у тебя вообще ничего работать не будет, ибо ты бойкотируешь сервисы, которые работают. Вот это я и называю "назло маме отморожу уши", власти вроде в кои-то веки услышали народ и решили проблему разрешив доступ к большей части популярных сервисов решив 90% потребностей обывателя, при этом без ущерба изначальной цели оставить вражеские дроны без управления, а ты такой "ну принципиально не буду пользоваться тем, к чему разрешили доступ")
переносить из-за этого личные переписки в макс - довольно странная идея. это как из-за "замедления" ютуба переходить на рутуб вместо того, чтобы настроить впн.
как-то оно пока иначе работает) какие-то одиночные сомневающиеся голоса только на околоайти ресурсах и есть, но обыватели их не читают. зато прочитали этот "разбор", поверили ему и теперь бегают всем рассказывают, что макс собирает все возможные данные и отправляет во все возможные инстанции от ФСБ до СБУ
нет. и нет. приложение является инструментом для сбора данных только если у него есть функционал сбора данных. то есть, оно может этого не делать прям щас, но при определенных условиях сделать. пока не найден бэкдор позволяющий это сделать или пока приложение не поймано на этом, оно это не делает. с таким же успехом можно заявить, что калькулятор windows является ПО для слежки. да, мы не нашли в нем подобного кода и не поймали когда он это делал, но в теории ведь может?
да не так уж и мало, у меня есть знакомые, которые только там мне и пишут)
зачем что-то менять? макс - это чисто корпоративный мессенджер для госорганизаций. чатик класса сделать, рабочий чатик в какой-нибудь бюджетной организации. общаться там на повседневные темы совершенно необязательно.
а я про авторов статей, которые просто перепечатывали анализ с гитхаба. ясно и четко доносить риски, что там все доступно к прочтению товарищу майору - это одно, это я только поддерживаю. а придумывать, что это приложение не мессенджер, а шпионское ПО, которое сольет все, до чего дотянется, - это другое, тут пруфы нужны, а не предположения.
с таким отношением вообще не имеет смысла что-то доказывать) будь он хоть опенсорсным, полностью открытым и распределенным как сеть тор, один хрен нашлись бы люди, которые утверждали бы, что он где-то там шпионит, ведь у него создатель ВК, а госконтора априори ничего хорошего сделать не может.
похоже мы о разных вещах говорим. я говорю о куче статей основанных на одном и том же нейросетевом "разборе" макса https://github.com/KARENKING112/max-deep-analysis-of-the-messenger в котором утверждается, что, прямая цитата, "Приложение "Макс", несмотря на отсутствие явных низкоуровневых эксплойтов, представляет собой мощный инструмент для глубокого и постоянного сбора данных о пользователе и его активности. ". и вывод этот делается из наличия разрешений и встроенного трекера собирающего данные об использовании приложения для разработчиков.
где я и что подменял?
XMPP+PGP хватит с головой для безопасной переписки. зачем для этого использовать сторонние решения ума не приложу)
во всем. бремя доказательства лежит на том, кто что-то утверждает. нельзя нагенерировать многостраничный "разбор" от нейронки, в котором просто анализируются разрешения и из них делается вывод, что приложение представляет собой "мощный инструмент для глубокого и постоянного сбора данных о пользователе и его активности", а когда тебе говорят, что такой вывод делать некорректно, говорить "а ты докажи, что оно не следит". доказывать нужно, что следит, и пока ни у кого поймать его на слежке не вышло, все доказательства строятся на предположениях, что прописанные в манифесте разрешения можно как-то использовать. да, можно, а можно и по другому.
я не являюсь андроид-разработчиком, но даже я знаю, что андроид не позволяет приложениям бесконтрольно пользоваться разрешениями в фоновом режиме. он просто прибьет приложение в фоне если у него не включено неограниченное использование батареи.
где мои 15 рублей? если бы мне платили 15 рублей каждый раз, когда я говорю, что этот нейроразбор разрешений и выводы сделанные из него чушь, то я бы наверно уже новый комп на эти деньги купить смог)
чтобы были возражения по сути, нужно предъявить претензии по сути. а тут одно только "мессенджер просит разрешение на местоположение, значит он собирает данные о всех ваших перемещениях" и подобное. это же бред. андроид не позволит это сделать, да и разрешение на местоположение можно не давать. да и при каждом запросе он бы выдавал запрос, а он не выдает. и так по каждой претензии о разрешениях)
так исследования на тему "следит ли за тобой клиентское приложение", ибо изначально тезис был именно такой, типа "макс сливает все данные о местоположении, все твои файлы, слушает микрофон и все это заливает на сервера ФСБ/СБУ/кого-то ещё". и это чушь, эта статья тому отличное подтверждение.
а так да, согласен, безопасность общения максе равна безопасности общению в ВК, одноклассниках или любом другом отечественном мессенджере. ну, то есть, покупку травки там лучше не обсуждать, органы имеют туда прямой доступ.
ну какую цель преследовали авторы массово форсящие нейросетевой разбор с гитхаба, где на основании разрешений (ничем не примечательных в целом для мессенджера) и наличия в составе абсолютно легального и встроенного во все продукты ВК трекера MyTracker собирающего для разработчиков данные об использовании приложения делаются далекоидущие выводы, что это жуткое шпионское приложение, которое собирает данные о любой активности на устройстве, пишет экран, сливает местоположение и т.д.? к ним почему-то подобных вопросов не возникало)
причем, на хабре в силу более высокого технического уровня аудитории, я ещё вижу какую-то осторожную критику таких "разборов", а на менее технических ресурсах типа пикабу или vc все поголовно уверены, что Мах ставить можно только на отдельный смартфон специально под него купленный. а любая осторожная критика таких разборов жестко минусится и критикующих сразу объявляется ботом, который защищает Мах за 15 рублей. то есть менее технически грамотные люди в эту херню реально верят.
а что толку с исходников сервера если он развернут на сервере?) где гарантия, что там развернут именно тот сервер из исходников? а если своё разворачивать - то проще jabber поднять и не париться
Ну так потому, что 99% пользователей плевать на то, что их переписку прочитает товарищ майор. Лет 10 назад все переписывались в ВК и никого совершенно не волновало, что там все хранится на сервере и доступно спецслужбам, а сейчас с Максом, который по сути тот же ВК в другой обёртке, всех резко заволновал этот нюанс) хотя сквозным шифрованием в телеге пользуются скорее всего даже не 1%, а 0.01% пользователей. А в Вотсапе это вообще просто надпись, которую никак не проверить, ибо исходники клиента не открыты.
Так если у товарища майора есть доступ к устройству, на котором есть ключ от секретного чата, то он и так может его прочитать не вытаскивая ключ
Я не минусил, но в теории ничто не мешает реализовать функцию выгрузить ключ сквозного шифрования в файлик, а потом загрузить его на другом клиенте чтобы позволить ему подключиться к секретному чату созданному на первом клиенте. Только в телеге такого функционала нет, но в принципе идея не самая сложная для реализации
По какой?
Строго говоря тут придется всем контактам тоже устанавливать версию собранную из исходников. Ибо версия из плей маркета может сильно от нее отличаться, а компрометации хватит и с одной стороны чата. А телегу, естественно, 99% пользователей ставят из плей маркета, ещё и автоматическое обновление не выключает.
Но да, в теории если себе и собеседнику поставить апкшку собранную лично из исходников, то можно доверять секретным чатам. Только вот в большинстве случаев переписка идёт в облачном чате и клиент у собеседника стоит из маркета, а не из исходников)
А где его кроме этих самых госучреждений и организаций то рекламируют? Я про него только антирекламу на всех сайтах вижу и что-то мне кажется не государство её простит, ну или по крайней мере не наше государство) слышал про рекламу у инстасамки и прочих, но я их не смотрю, поэтому тоже только читал про неё
А потенциально опасные режиму идиоты что-ли в госмессенджере переписываться о чем-то потенциально опасном? Для этого же есть другие мессенджеры, а Мах он для чатиков государственных и бюджетных организаций и прочего такого
Скорее обмениваются опытом, но, судя по плавному прогрессу, систему сами пилят. Если бы в определенный момент перешли на китайскую, был бы резкий скачок, а его не было. Китайцы были и остаются шагов на 10 впереди, поэтому китайский софт для обхода (даже старый, который давно не работает в Китае) у нас работает без проблем.
Я так понимаю, главный сертификат у банка и только он может выпускать токены.
Я не разработчик вжуха, но где-то читал, по-моему даже на хабре)
qr коды зато не работают без мобильного интернета. тут, как я понимаю, смысл такой: при входе в приложение загружается десяток одноразовых ключей для подписи транзакций (которые генерируются банком), терминал соединяется со смартфоном, передает ему параметры транзакции, смартфон подписывает транзакцию одноразовым ключом и отдает назад. терминал передает подписанную транзакцию на сервер в банк через свой интернет и получает ответ типа "ОК". следующая транзакция подпишется следующим ключом, при появлении интернета недостающее число ключей подгрузится и можно будет ещё 10 транзакций подписать без интернета.
А причем тут Ютуб и телеграм? Ещё рутрекер заблокирован и фейсбук, но это к сабжу никакого отношения не имеет. Тут разговор о том, что во время атак дронов отключают мобильный интернет, из-за чего люди не могут ни такси вызвать, ни оплатить картой или qr кодом, ни даже карту посмотреть. Вот и придумали как временное решение оставлять во время отключений доступ к проверенным сервисам, которые готовы сотрудничать чтобы злоумышленники не могли управлять дронами через них
Я не минусовал, да и политику на хабре уже давным давно обсуждают, половина новостей на околополитичные темы, не вижу тут ничего такого, учитывая как часто власти начали лезть в IT.
Так интернет-то мобильный работает, но когда атаки дронов, то местами не работает, а в ближайшем будущем видимо будут работать только сервисы из списка. Если их бойкотировать, то у всех будут работать хотя бы они, а у тебя вообще ничего работать не будет, ибо ты бойкотируешь сервисы, которые работают. Вот это я и называю "назло маме отморожу уши", власти вроде в кои-то веки услышали народ и решили проблему разрешив доступ к большей части популярных сервисов решив 90% потребностей обывателя, при этом без ущерба изначальной цели оставить вражеские дроны без управления, а ты такой "ну принципиально не буду пользоваться тем, к чему разрешили доступ")