А теперь и смарт разблокируешь, и денежки переведешь. Причем и зарплату с дебетовки, и депозиты закроешь и сбросишь, и с кредитки тоже.
Есть страховка (от мошенничества и противоправных действий). Да, не очень дёшево, но сами посчитайте, основные риски закрывает. Также, желательно инструмент для управления крупными накоплениями и инвестициями с собой по подворотням не таскать (можно завести отдельный смартфон, с собой носить платёжный инструмент, к примеру на таком смартфоне только МИР-пей с картами, у которых установлены жёсткие лимиты). Есть какой-то рост подобных преступлений (гоп-стоп с раздеванием через смартфон)? Или вы просто гипотетически страху нагоняете? ;)
Вот только надо сделать следующий шаг. И что копрораты будут делать с полученной телеметрией для выполнения по аудитории и стабильности? Ведь принесут её государству, чтобы его руками на основании этих данных стимулировать не пользоваться продукцией конкурентов!
Я с этим не спорил, зачем это всё? Вопрос был к автору статьи, где он утверждал, что это не просто потому, что так получилось, а целенаправленно созданный механизм.
Давайте разберём риски. Ну, принесут, дальше что? Допустим, сделают списки блокировки для выходных нод средств обхода блокировки, раскатают их на ТСПУ на какое-то время, ну какое-то время займёт перенастроить на другие IP. Это всё, что может произойти, наказания за это не будет, т.к. такие данные к делу не пришьёшь (всякое, конечно, бывает, но маловероятно), да и нет сейчас наказания за это.
Там протокол без защиты от навязывания ложной информации (нужен только идентификатор сессии, возможно без него не будет работать), можно вообще наспамить кучу всего (т.е. простым скриптом лить такие сообщения бесконечно). Но я вам об этом не говорил. На всякий случай, предупреждаю, что формально такие игры (включая ваши предложения) могут трактоваться как преступление (УК РФ 272, 273, 274.1).
Как раз по моим наблюдениям большинство хостеров, даже те, что принимают оплату картами РФ имеют юрлица за границей.
Честно, в этом моменте потерял нить нашей дискуссии, точнее не совсем понимаю вашу аргументацию. Я указал, на то, что часто в гайдах (в сопутствующей рекламе) есть хостеры/облачные сервисы, которые деанонимизируют перед системой обывателей. Это очевидно. Вы приводите в пример, что конкретно вы в безопасности не видите в этом проблемы и приводите частный случай как пример. Вы молодец, но все остальные, которые пошли по гайду и заказали свою виртуалку у провайдера такой услуги, который юрлицо в РФ и берёт у них данные, и точно их сдаст при запросе, сейчас в зоне риска. Соответственно нужно было бы навести страху, несколько бы показательных административных дел решили бы этот вопрос или бы ввели более строгие законодательные нормы за такие дейтсвия.
Также я высказал мнение, что если стояла бы задача именно массово выявлять такие средства обхода блокировок, она бы решалась (и решается, насколько мне известно) на системе ТСПУ. Вы нашли в мессенджере MAX сбор метрик, которые могут использоваться не по назначению (для выявления средств обхода блокировок для ряда случаев). Я позволил себе не согласится с вашим тезисом, что такие данные используются именно так и именно для этого были предназначены. То, что они могут так использоваться неоспоримо, но я считаю, что это не главная задача, как вы преподнесли, только и всего. Насколько реален этот риск, нужно подумать оценить, я не пытаюсь его скрыть или оправдать.
В любом случае спасибо, статья отличная, дискуссия также не пустая.
Ваш первый комментарий не технический, а, фактически, юридический анализ.
Вот, что там было написано: "Думаю, что сопоставление фактов использования VPN, доступности WhatsApp/Telegram и активности в MAX дает руководству платформы исчерпывающую аналитику о том, насколько успешно идет процесс миграции аудитории в условиях государственного регулирования интернета". Какой же это юридический анализ?
Так что по итогу государство как управляет, так и финансирует корпорацию, нет ничего удивительного что VK решает задачи не коммерческие, а государственные.
Вы приводите абсолютно верные факты о структуре собственности, руководстве и финансировании корпорации. С этим никто не спорит. Но я имел в виду совершенно иное: разницу между стратегическим контролем и операционной, инженерной реальностью.
Давайте разделим эти понятия, чтобы не скатываться в конспирологию:
Как это видит конспирология: Высший эшелон власти спускает прямое указание ответственному за продукт: "Реализуй систему, которая будет выявлять обход блокировок, чтобы мы могли наказывать людей и блокировать доступ к таким средствам".
Как работают корпорации на самом деле: Государство ставит глобальную задачу: "Сделать MAX основным мессенджером в стране". Эта задача спускается на уровень топ-менеджмента, затем — продакт-менеджерам в виде KPI по аудитории и стабильности. Продакт-менеджер видит, что пользователи мигрируют неохотно или сидят через VPN (из-за чего ломается WebRTC или что-то ещё), и ставит задачу инженерам: "Сделайте сбор телеметрии, чтобы мы понимали, сколько людей сидит через VPN и доступны ли у них конкуренты". Инженеры просто закрывают тикет в Jira доступными им инструментами (используя готовые наработки, описанный модуль базируется на уже готовом протоколе, это не какая-то там секретная разработка).
Мой тезис о том, что "не нужно смешивать корпорацию и власть", касается именно процесса разработки. В госкомпаниях работают обычные IT-специалисты. Они не пишут "коварные планы", они пишут код для сбора метрик, пытаются улучшить коннект или собирают аналитику по миграции аудитории. Да, они работают в условиях государственного финансирования и глобальных политических задач, но их ежедневная рутина — это баги, фичи и метрики, а не слежка за конкретным Иваном Ивановичем.
Именно поэтому я настаиваю на холодном техническом анализе. Если мы будем видеть в каждом криво написанном модуле телеметрии прямой приказ сверху, мы упустим из виду настоящую, системную проблему. А она заключается не в том, что приложение узнало ваш IP-адрес прокси-сервера или выходного узла VPN. Она заключается в легализованной архитектуре ОРИ, которая обязывает сервисы хранить и передавать вообще все данные пользователей по запросу органов.
Государству не нужен кустарный модуль пинга в приложении, чтобы следить за гражданами — для этого уже выстроена законодательная и инфраструктурная база (те же ТСПУ и СОРМ). Я думаю, что то, что мы видим в коде MAX — это, с огромной долей вероятности, внутренняя корпоративная аналитика.
Лично мне было бы очень интересно!
Отлично, уже есть несколько человек, тогда на неделе накидаю. Может в выходные оформлю, если что-то не пойдёт не так. Придётся зарегаться в MAX. )))
Если посмотрите гайды, где про КВН (просто погуглив), очень много хостинговых и облачных компаний там не зарубежные, которые в таких гайдах прямо или скрыто рекламируются. Считать, что люди в основном поступают, как описали вы не очень верно, я думаю, что многие просто делают по гайдам (берут рекомендованные хостинги). Возможно я неверно оценил, но не вижу тут места для дискуссии. Я просто озвучил возможные риски в части КоАП для таких людей.
Именно поэтому описанный в статье механизм как раз-таки затрагивает подавляющее большинство пользователей.
Не согласен с ваше оценкой, то, что это создаёт риски для определённой группы пользователей очевидно, именно об этом стоило рассказать в рекомендациях статьи, подчеркнуть проблемы для пользователи iPhone. Но ваши выводы мне не понятны, в цифрах это сколько? Давайте вместе посчитаем.
Есть простой вопрос: " Можно было взять 100% заблокированные хосты, а не мерить деградацию Telegram / WhatsApp. На мой взгляд, тут второе." Почему это не сделано? Очевидно, что выявление КВН это вторичный фактор или хитрая игра, что сложно и маловероятно.
В чём именно вы увидели «оправдание властей» и тем более «патриотизм» с каким-то там «душком»? Мой первый комментарий — это сухой технический анализ, в котором нет ни капли политики.
Указывать на абсурдность вашей позиции приходится по нескольким причинам:
Не нужно смешивать корпорацию и власть. Доводить ситуацию до абсурда и считать любое действие фактически государственной ИТ-компании «коварным планом властей» — значит не понимать, как работают такие системы. В этих условиях работают обычные люди и инженеры — ничуть не хуже тех, кто сидит здесь в комментариях. И они решают вполне земные задачи бизнеса.
Вы смотрите не на те риски. Ключевая проблема сейчас кроется совершенно в другом. Настоящая угроза приватности — это не тот факт, что приложение узнает о включенном VPN и внешних IP-адресах, через которые идёт трафик. Реальная проблема лежит в плоскости требований законов к ОРИ и мессенджерам, которые де-факто предполагают тотальную слежку за всеми действиями и переписками пользователей, а также на уровне государства реализуют супер-апп, который может лишить вас всего, что вы достигли в этой жизни, и на основе его логов вы можете быть осуждены ни за что.
О фактах. Что касается «консервы»: я уже упоминал, что могу легко подтвердить регистрацию своего аккаунта в 2012 году исходным письмом с DKIM-подписью, как и почтового аккаунта. Выберите арбитра, и я это сделаю (покажу ему реальные данные). При желании выяснить, кто я, не сложно, данных достаточно.
Я не являюсь пользователем MAX и оцениваю ситуацию исключительно как специалист.
Если сообществу действительно интересен объективный разбор, а не просто поиск ведьм и навешивание ярлыков с «душком», я готов потратить свое время. Я могу сделать более глубокий реверс-инжиниринг протокола мессенджера и выпустить развернутую статью, которая покажет, в какой именно области лежат настоящие, а не притянутые за уши риски.
Прошу вас по возможности уважать чужое мнение и оценивать факты, а не собственные политизированные фантазии.
И последнее. Вы приходите в техническую ветку, не приводите ни одного довода по существу и с ходу пытаетесь перевести разговор на эмоции и оскорбления. Именно такое поведение (без капли конструктива) характерно для проплаченных троллей, чья задача состоит в том, чтобы увести дискуссию от фактов в банальный скандал и скрыть смысл. Подумайте об этом, прежде чем в следующий раз переходить на личности. Я вас не знаю и могу заблуждаться, но не думаю, что карма 2 позволяет вам вести беседы в таком тоне. Напишите что-то по существу, сделайте что-то полезное для этого мира и всех нас!
P.S. О, ещё быть отнесённым к действиям властей, даже косвенно, более чем лестно. ;)
Как, судя по другим веткам в этой теме, недооценили желание властей это обуздать.
Оценки даны именно для пользователей iPhone в среднем в день (в этом контексте всё считалось). Мог, конечно, слегка занизить, но это +- реальные цифры.
В целом сейчас, по данным из множества источников эта цифра вероятно перевалила за 50 миллионов человек.
Я брал за основу 45. Но меня эти цифры удивляют, потому как вокруг меня в основном ИТ спецы и многие до сих пор не юзают КВН. Не говоря о их семьях. Просто люди вокруг меня не так молоды, вероятно много молодых используют КВН и iPhone тоже.
Печаль, была бы хоть какая-то альтернатива + тема с Китаем интересная. Я не следил, помню в декабре где-то были новости про выход во второй половине 2026. Беглое гуглениен отмены проекта не показало. Всё фейк?
Дело не в этом, есть сценарии, когда у вас уведут Госуслуги или другие чувствительные сервисы при контроле за вашим акком MAX (причём у разработчиков есть полный контроль, и как там реализована система безопасности не ясно).
Захват контроля над приложением MAX лично для меня равносилен полному захвату гражданской, юридической и финансовой идентичности пользователя (с некоторыми ограничениями, но всё же).
О, тут я не в курсе был, это достаточно большое число (конечно, не все пользователи iPhone и далеко не каждый VPN заворачивает всё, но это очень плохой дизайн). Сочувствую тем, кому этим приходится пользоваться. Чувствую я узнал один из фатальных недостатков! 5-8 млн. людей, думаю, используют VPN. Примерно 3 млн. в день используют мессенджер MAX с КВН. Нехило так.
Зарубежный компании и зарубежные впн сервисы ему не подчиняются по определению. Так что РКН действует исходя из своих прав внесудебно ограничивать доступ к таким ресурсам, как единственный реальный механизм для них.
Верно, но мы говорим о людях, кто для себя поставил КВН сервер, чаще всего они используют хостинги (там часто паспортные данные нужно), платят за них со своих банковских карт, всё это устанавливается почти без проблем (кроме тех, кто дал о себе ложную инфу и платит через криптокарты).
К ним могут прийти даже с КоАП (пока такой практики не наблюдалось, но притянуть за уши там можно).
К остальным, да, вот это:
Внесудебные блокировки разрешены в том числе на основании постановления правительства № 1279
ПП №127? Да, это основной механизм. Но сейчас это уже ПП №1667 действует.
Анализ выполняется не над отдельным пакетом, а над сессией в целом — движок накапливает информацию о нескольких пакетах в рамках одного соединения и на основе совокупности признаков определяет тип трафика. Для шифрованного трафика (например, VPN-протоколы, мессенджеры) прямое определение по заголовкам невозможно, поэтому используются косвенные признаки: характерные размеры пакетов, частотные паттерны, статистические аномалии.
Я думаю, что всё ещё впереди. Пока нет явной воли прямо всем заблокировать, очень много завязано на внешние сервисы, которые нужны. К примеру, AI инструменты, внутренние пока ещё не готовы явно конкурировать с внешними.
Это в принципе (сделать полностью альтернативный клиент, не сборку) невозможно в силу требований, накладываемых интеграцией c Госуслугами и прочими системами. В теории можно, но это будет не бесплатно. И открыть код тоже, не всех модулей можно.
Блокировка сторонних сборок понятна, т.к. под их видом могут распространятся подготовленные злоумышленниками сборки с закладками. Это прямые риски.
Это опасно с той точки зрения, что так можно заблокировать какой-то CDN или стриминговый сервис
Думаю, что не опасно, потому как там анализируются пары: каике-то внешние IP (где вхолдящий/исходящий трафик на сервер КВН), и IP конечных устройств (конкретные сессии для случая провайдерского NAT). Такие аномалии относительно просто выявляются статистическими методами.
Если вы проанализируете свой трафик, то выясните что это не так уж и странно
Не совсем понял. Что не странно? ;) К примеру, трафик Youtube, он идёт через КВН, это более чем видно на ТСПУ в общем трафике типового домохозяйства. Эта аномалия легко выявляется и верифицируется, потом блокируется, если требуется.
Это похоже на блокировку по протоколу, некоторые VPN протоколы заблокированы (конкретно Cisco AnyConnect раньше не блокировался, но возможно сейчас уже включили такую блокировку), такие протоколы работают только по белым спискам. Косвенно такое объяснение подтверждается тем, что проблем с доступом по SSH не было и IMAP тоже работал. Не выглядит так, что блокировали именно его ресурсы. Возможен, ещё вариант блокировки по имени (который озвучил автор), но думаю он маловероятен.
Отличный комментарий, не увидел его сразу, немного в другом ключе бы свой прошлый ответ построил. В целом согласен с его выводами, но ...
Для определения средств обхода блокировки на базе различных КВН достаточно статистических методов (как к слову и для других методов, что используют, к примеру, фрагментацию пакетов и иные техники затрудняющие анализ). Если с конкретного IP днями идёт трафик на конкретные хосты и приходит также с конкретных хостов, то это явная аномалия, дальше она анализируется DPI более подробно (ML моделями для определения протокола), после чего обрабатывается статистическими методами и попадает в список DPI блокировки или на стол тем кто принимает решение, что с этим делать дальше. Это относительно простая не ресурсоёмкая задача. Блокировать всё мгновенно тут задачи не стоит. Сейчас стоит задача выявлять тех кто нарушает КоАП 13.52.
Я позволю себе поставить это под сомнение. Это в целом не тривиально, не дает хоть какую-то уверенность (может вы видео качаете или игру обновляете). Так же современные методы туннелирования и маскировки нивелируют это.
Конечно, приятно удивлён конструктивной дискуссии, но я всё же задам вопрос: это просто ваше экспертное мнение или вы разрабатывали такие средства, эксплуатировали их, знакомы с функциональностью, например, по открытым источникам? Можем вместе почитать, что умеют ТСПУ: https://github.com/DanielLavrushin/tspu-docs (см. раздел 23). Конечно, есть проблемы и это не тривиально, но подходы есть, он внедряются, качество растёт, бюджеты осваиваются.
Именно поэтому современные средства маскировки не содержат TLS внутри TLS. К слову, детектор tls-in-tls пытались сделать в Китае (с бюджетом в около 100 раз больше на эту тему) и не смогли.
Ммм, ну, ок. Что именно это должно было объяснить? Я не увидел тут каких-то возражений. ;) В ТСПУ есть двухступенчатая обработка трафика, сначала там выявляются аномалии, затем они направляются на статистический и AI анализ и далее уже делаются специальные DPI списки, которые работают быстро.
В этой же статье они между строк признаются, что у ТСПУ не хватает ресурсов даже на обычную инспекцию пакетов
Ну, не между строк, а прямо они говорят. Но это масштабируется, ставится новое оборудование, оно модернизируется, бюджеты выделяются, мощности растут, плюс изменяются подходы к анализу и блокировкам. Я правильно понимаю, что вы считаете, что раз ТСПУ не справляется, то логично детект средств обхода блокировки встроить в мессенджер MAX? Для меня это слабый аргумент: думаю, что нет такой задачи сейчас. Была бы, уже в КоАП мы наблюдали соответствующую статью про запрет использования средств обхода блокировок.
не говоря уже о запуске ML моделей.
Раздел 23.1.4 доки выше.
Не говоря о том, что реально работающих моделей, вероятно, просто не существует и их не очень дешево сделать, особенно в условиях, когда множество ML специалистов покинули страну (по множеству разных причин).
Как там в "песне": за деньги, да!
По поводу архитектуры ТСПУ были сливы, сами найдете, если захотите.
Это сфера моих профессиональных интересов, но немного в другом поле, слежу, знаком.
P.S. Рад, что вы открыто ведёте дискуссию, спасибо!
Есть страховка (от мошенничества и противоправных действий). Да, не очень дёшево, но сами посчитайте, основные риски закрывает. Также, желательно инструмент для управления крупными накоплениями и инвестициями с собой по подворотням не таскать (можно завести отдельный смартфон, с собой носить платёжный инструмент, к примеру на таком смартфоне только МИР-пей с картами, у которых установлены жёсткие лимиты).
Есть какой-то рост подобных преступлений (гоп-стоп с раздеванием через смартфон)? Или вы просто гипотетически страху нагоняете? ;)
Я с этим не спорил, зачем это всё? Вопрос был к автору статьи, где он утверждал, что это не просто потому, что так получилось, а целенаправленно созданный механизм.
Давайте разберём риски. Ну, принесут, дальше что? Допустим, сделают списки блокировки для выходных нод средств обхода блокировки, раскатают их на ТСПУ на какое-то время, ну какое-то время займёт перенастроить на другие IP. Это всё, что может произойти, наказания за это не будет, т.к. такие данные к делу не пришьёшь (всякое, конечно, бывает, но маловероятно), да и нет сейчас наказания за это.
Там протокол без защиты от навязывания ложной информации (нужен только идентификатор сессии, возможно без него не будет работать), можно вообще наспамить кучу всего (т.е. простым скриптом лить такие сообщения бесконечно). Но я вам об этом не говорил. На всякий случай, предупреждаю, что формально такие игры (включая ваши предложения) могут трактоваться как преступление (УК РФ 272, 273, 274.1).
Честно, в этом моменте потерял нить нашей дискуссии, точнее не совсем понимаю вашу аргументацию. Я указал, на то, что часто в гайдах (в сопутствующей рекламе) есть хостеры/облачные сервисы, которые деанонимизируют перед системой обывателей. Это очевидно.
Вы приводите в пример, что конкретно вы в безопасности не видите в этом проблемы и приводите частный случай как пример. Вы молодец, но все остальные, которые пошли по гайду и заказали свою виртуалку у провайдера такой услуги, который юрлицо в РФ и берёт у них данные, и точно их сдаст при запросе, сейчас в зоне риска. Соответственно нужно было бы навести страху, несколько бы показательных административных дел решили бы этот вопрос или бы ввели более строгие законодательные нормы за такие дейтсвия.
Также я высказал мнение, что если стояла бы задача именно массово выявлять такие средства обхода блокировок, она бы решалась (и решается, насколько мне известно) на системе ТСПУ.
Вы нашли в мессенджере MAX сбор метрик, которые могут использоваться не по назначению (для выявления средств обхода блокировок для ряда случаев). Я позволил себе не согласится с вашим тезисом, что такие данные используются именно так и именно для этого были предназначены. То, что они могут так использоваться неоспоримо, но я считаю, что это не главная задача, как вы преподнесли, только и всего. Насколько реален этот риск, нужно подумать оценить, я не пытаюсь его скрыть или оправдать.
В любом случае спасибо, статья отличная, дискуссия также не пустая.
Вот, что там было написано: "Думаю, что сопоставление фактов использования VPN, доступности WhatsApp/Telegram и активности в MAX дает руководству платформы исчерпывающую аналитику о том, насколько успешно идет процесс миграции аудитории в условиях государственного регулирования интернета".
Какой же это юридический анализ?
Вы приводите абсолютно верные факты о структуре собственности, руководстве и финансировании корпорации. С этим никто не спорит. Но я имел в виду совершенно иное: разницу между стратегическим контролем и операционной, инженерной реальностью.
Давайте разделим эти понятия, чтобы не скатываться в конспирологию:
Как это видит конспирология: Высший эшелон власти спускает прямое указание ответственному за продукт: "Реализуй систему, которая будет выявлять обход блокировок, чтобы мы могли наказывать людей и блокировать доступ к таким средствам".
Как работают корпорации на самом деле: Государство ставит глобальную задачу: "Сделать MAX основным мессенджером в стране". Эта задача спускается на уровень топ-менеджмента, затем — продакт-менеджерам в виде KPI по аудитории и стабильности. Продакт-менеджер видит, что пользователи мигрируют неохотно или сидят через VPN (из-за чего ломается WebRTC или что-то ещё), и ставит задачу инженерам: "Сделайте сбор телеметрии, чтобы мы понимали, сколько людей сидит через VPN и доступны ли у них конкуренты". Инженеры просто закрывают тикет в Jira доступными им инструментами (используя готовые наработки, описанный модуль базируется на уже готовом протоколе, это не какая-то там секретная разработка).
Мой тезис о том, что "не нужно смешивать корпорацию и власть", касается именно процесса разработки. В госкомпаниях работают обычные IT-специалисты. Они не пишут "коварные планы", они пишут код для сбора метрик, пытаются улучшить коннект или собирают аналитику по миграции аудитории. Да, они работают в условиях государственного финансирования и глобальных политических задач, но их ежедневная рутина — это баги, фичи и метрики, а не слежка за конкретным Иваном Ивановичем.
Именно поэтому я настаиваю на холодном техническом анализе. Если мы будем видеть в каждом криво написанном модуле телеметрии прямой приказ сверху, мы упустим из виду настоящую, системную проблему. А она заключается не в том, что приложение узнало ваш IP-адрес прокси-сервера или выходного узла VPN. Она заключается в легализованной архитектуре ОРИ, которая обязывает сервисы хранить и передавать вообще все данные пользователей по запросу органов.
Государству не нужен кустарный модуль пинга в приложении, чтобы следить за гражданами — для этого уже выстроена законодательная и инфраструктурная база (те же ТСПУ и СОРМ). Я думаю, что то, что мы видим в коде MAX — это, с огромной долей вероятности, внутренняя корпоративная аналитика.
Отлично, уже есть несколько человек, тогда на неделе накидаю. Может в выходные оформлю, если что-то не пойдёт не так. Придётся зарегаться в MAX. )))
Если посмотрите гайды, где про КВН (просто погуглив), очень много хостинговых и облачных компаний там не зарубежные, которые в таких гайдах прямо или скрыто рекламируются. Считать, что люди в основном поступают, как описали вы не очень верно, я думаю, что многие просто делают по гайдам (берут рекомендованные хостинги). Возможно я неверно оценил, но не вижу тут места для дискуссии. Я просто озвучил возможные риски в части КоАП для таких людей.
Не согласен с ваше оценкой, то, что это создаёт риски для определённой группы пользователей очевидно, именно об этом стоило рассказать в рекомендациях статьи, подчеркнуть проблемы для пользователи iPhone. Но ваши выводы мне не понятны, в цифрах это сколько? Давайте вместе посчитаем.
Есть простой вопрос: " Можно было взять 100% заблокированные хосты, а не мерить деградацию Telegram / WhatsApp. На мой взгляд, тут второе." Почему это не сделано? Очевидно, что выявление КВН это вторичный фактор или хитрая игра, что сложно и маловероятно.
В чём именно вы увидели «оправдание властей» и тем более «патриотизм» с каким-то там «душком»? Мой первый комментарий — это сухой технический анализ, в котором нет ни капли политики.
Указывать на абсурдность вашей позиции приходится по нескольким причинам:
Не нужно смешивать корпорацию и власть. Доводить ситуацию до абсурда и считать любое действие фактически государственной ИТ-компании «коварным планом властей» — значит не понимать, как работают такие системы. В этих условиях работают обычные люди и инженеры — ничуть не хуже тех, кто сидит здесь в комментариях. И они решают вполне земные задачи бизнеса.
Вы смотрите не на те риски. Ключевая проблема сейчас кроется совершенно в другом. Настоящая угроза приватности — это не тот факт, что приложение узнает о включенном VPN и внешних IP-адресах, через которые идёт трафик. Реальная проблема лежит в плоскости требований законов к ОРИ и мессенджерам, которые де-факто предполагают тотальную слежку за всеми действиями и переписками пользователей, а также на уровне государства реализуют супер-апп, который может лишить вас всего, что вы достигли в этой жизни, и на основе его логов вы можете быть осуждены ни за что.
О фактах. Что касается «консервы»: я уже упоминал, что могу легко подтвердить регистрацию своего аккаунта в 2012 году исходным письмом с DKIM-подписью, как и почтового аккаунта. Выберите арбитра, и я это сделаю (покажу ему реальные данные). При желании выяснить, кто я, не сложно, данных достаточно.
Я не являюсь пользователем MAX и оцениваю ситуацию исключительно как специалист.
Если сообществу действительно интересен объективный разбор, а не просто поиск ведьм и навешивание ярлыков с «душком», я готов потратить свое время. Я могу сделать более глубокий реверс-инжиниринг протокола мессенджера и выпустить развернутую статью, которая покажет, в какой именно области лежат настоящие, а не притянутые за уши риски.
Прошу вас по возможности уважать чужое мнение и оценивать факты, а не собственные политизированные фантазии.
И последнее. Вы приходите в техническую ветку, не приводите ни одного довода по существу и с ходу пытаетесь перевести разговор на эмоции и оскорбления. Именно такое поведение (без капли конструктива) характерно для проплаченных троллей, чья задача состоит в том, чтобы увести дискуссию от фактов в банальный скандал и скрыть смысл. Подумайте об этом, прежде чем в следующий раз переходить на личности. Я вас не знаю и могу заблуждаться, но не думаю, что карма 2 позволяет вам вести беседы в таком тоне. Напишите что-то по существу, сделайте что-то полезное для этого мира и всех нас!
P.S. О, ещё быть отнесённым к действиям властей, даже косвенно, более чем лестно. ;)
Оценки даны именно для пользователей iPhone в среднем в день (в этом контексте всё считалось). Мог, конечно, слегка занизить, но это +- реальные цифры.
Я брал за основу 45. Но меня эти цифры удивляют, потому как вокруг меня в основном ИТ спецы и многие до сих пор не юзают КВН. Не говоря о их семьях. Просто люди вокруг меня не так молоды, вероятно много молодых используют КВН и iPhone тоже.
Печаль, была бы хоть какая-то альтернатива + тема с Китаем интересная. Я не следил, помню в декабре где-то были новости про выход во второй половине 2026. Беглое гуглениен отмены проекта не показало. Всё фейк?
Дело не в этом, есть сценарии, когда у вас уведут Госуслуги или другие чувствительные сервисы при контроле за вашим акком MAX (причём у разработчиков есть полный контроль, и как там реализована система безопасности не ясно).
Захват контроля над приложением MAX лично для меня равносилен полному захвату гражданской, юридической и финансовой идентичности пользователя (с некоторыми ограничениями, но всё же).
И не совсем понял, что "зачистили"? Левые SIMки можно купить.
Также можно для зарубежной SIMки зарегать акк: https://help.max.ru/help/about/kak-zaregistrirovatsya-v-max
Каждый пользователь iPhone с VPN и MAX.
О, тут я не в курсе был, это достаточно большое число (конечно, не все пользователи iPhone и далеко не каждый VPN заворачивает всё, но это очень плохой дизайн). Сочувствую тем, кому этим приходится пользоваться. Чувствую я узнал один из фатальных недостатков!
5-8 млн. людей, думаю, используют VPN. Примерно 3 млн. в день используют мессенджер MAX с КВН. Нехило так.
Верно, но мы говорим о людях, кто для себя поставил КВН сервер, чаще всего они используют хостинги (там часто паспортные данные нужно), платят за них со своих банковских карт, всё это устанавливается почти без проблем (кроме тех, кто дал о себе ложную инфу и платит через криптокарты).
К ним могут прийти даже с КоАП (пока такой практики не наблюдалось, но притянуть за уши там можно).
К остальным, да, вот это:
ПП №127? Да, это основной механизм. Но сейчас это уже ПП №1667 действует.
См. 5.1.4:
Я думаю, что всё ещё впереди. Пока нет явной воли прямо всем заблокировать, очень много завязано на внешние сервисы, которые нужны. К примеру, AI инструменты, внутренние пока ещё не готовы явно конкурировать с внешними.
Это в принципе (сделать полностью альтернативный клиент, не сборку) невозможно в силу требований, накладываемых интеграцией c Госуслугами и прочими системами. В теории можно, но это будет не бесплатно. И открыть код тоже, не всех модулей можно.
Блокировка сторонних сборок понятна, т.к. под их видом могут распространятся подготовленные злоумышленниками сборки с закладками. Это прямые риски.
Думаю, что не опасно, потому как там анализируются пары: каике-то внешние IP (где вхолдящий/исходящий трафик на сервер КВН), и IP конечных устройств (конкретные сессии для случая провайдерского NAT). Такие аномалии относительно просто выявляются статистическими методами.
Не совсем понял. Что не странно? ;) К примеру, трафик Youtube, он идёт через КВН, это более чем видно на ТСПУ в общем трафике типового домохозяйства. Эта аномалия легко выявляется и верифицируется, потом блокируется, если требуется.
Это похоже на блокировку по протоколу, некоторые VPN протоколы заблокированы (конкретно Cisco AnyConnect раньше не блокировался, но возможно сейчас уже включили такую блокировку), такие протоколы работают только по белым спискам. Косвенно такое объяснение подтверждается тем, что проблем с доступом по SSH не было и IMAP тоже работал. Не выглядит так, что блокировали именно его ресурсы. Возможен, ещё вариант блокировки по имени (который озвучил автор), но думаю он маловероятен.
Отличный комментарий, не увидел его сразу, немного в другом ключе бы свой прошлый ответ построил. В целом согласен с его выводами, но ...
Для определения средств обхода блокировки на базе различных КВН достаточно статистических методов (как к слову и для других методов, что используют, к примеру, фрагментацию пакетов и иные техники затрудняющие анализ). Если с конкретного IP днями идёт трафик на конкретные хосты и приходит также с конкретных хостов, то это явная аномалия, дальше она анализируется DPI более подробно (ML моделями для определения протокола), после чего обрабатывается статистическими методами и попадает в список DPI блокировки или на стол тем кто принимает решение, что с этим делать дальше. Это относительно простая не ресурсоёмкая задача. Блокировать всё мгновенно тут задачи не стоит. Сейчас стоит задача выявлять тех кто нарушает КоАП 13.52.
Конечно, приятно удивлён конструктивной дискуссии, но я всё же задам вопрос: это просто ваше экспертное мнение или вы разрабатывали такие средства, эксплуатировали их, знакомы с функциональностью, например, по открытым источникам?
Можем вместе почитать, что умеют ТСПУ: https://github.com/DanielLavrushin/tspu-docs (см. раздел 23).
Конечно, есть проблемы и это не тривиально, но подходы есть, он внедряются, качество растёт, бюджеты осваиваются.
Ммм, ну, ок. Что именно это должно было объяснить? Я не увидел тут каких-то возражений. ;) В ТСПУ есть двухступенчатая обработка трафика, сначала там выявляются аномалии, затем они направляются на статистический и AI анализ и далее уже делаются специальные DPI списки, которые работают быстро.
Ну, не между строк, а прямо они говорят. Но это масштабируется, ставится новое оборудование, оно модернизируется, бюджеты выделяются, мощности растут, плюс изменяются подходы к анализу и блокировкам.
Я правильно понимаю, что вы считаете, что раз ТСПУ не справляется, то логично детект средств обхода блокировки встроить в мессенджер MAX? Для меня это слабый аргумент: думаю, что нет такой задачи сейчас. Была бы, уже в КоАП мы наблюдали соответствующую статью про запрет использования средств обхода блокировок.
Раздел 23.1.4 доки выше.
Как там в "песне": за деньги, да!
Это сфера моих профессиональных интересов, но немного в другом поле, слежу, знаком.
P.S. Рад, что вы открыто ведёте дискуссию, спасибо!