Зачем делать альтернативный клиент, если тврщ майор все равно будет иметь доступ к любым коммуникациям внутри Max? Если беспокоитесь за слив данных с устройства (фотографии, установленные приложения и другие подозрительные разрешения), проще купить отдельный телефон или, ещё проще, поставить Max в полностью изолированный Workspace. Это можно сделать на Android через приложение Island.
Что любопытно, так это то, что десктопный клиент Аськи (ICQ New, пока ее не убили, от MailRu), был форком Telegram Desktop. И работало, и выглядело очень неплохо.
А это вообще смех какой-то, "нативное приложение" на Electron. Кстати, статьи за дискредитацию мессенджера Max ещё не завезли? 😁
Помню, что ещё совсем недавно Google Play требовал очень строгого обоснования этого разрешения. Вряд ли его смогли добавить просто так, скорее всего какой-то функционал, хотя бы ради прохождения ревью они сделали. Или Google уже забил?
Если он уже скачал данные (то есть эксплуатировал найденную уязвимость), нет, в лучшем случае его бы просто поблагодарили и лишили bounty, в худшем - засудили.
Последнее, что мы исправим, — использовать COPY вместо ADD. Оба почти одинаковы, но COPY более точный.
Дело в не том, что он "более точный". ADD содержит магию - возможность добавлять в образ файлы по URL и разархивировать tar архивы, что может привести к неожиданному поведению. Поэтому рекомендуют, если возможно, использовать COPY.
У меня есть подозрение, что статистика может быть некорректной. Судя по названию таблицы, которое включает слово cache, вероятнее всего, это кеш всех проигранных треков за время, которое приложение Яндекс Музыки было установлено на вашем смартфоне. А значит, скорее всего, некоторая часть кеша образовалась ДО того, как Яндекс поддержал loseless формат, и данные о качестве там, соответственно, старые.
Для чистоты эксперимента было бы здорово удалить приложение и снести все его данные, а после установить заново и сравнить результаты, чтобы убедиться, что статистику не испортил старый кеш.
Эта статья написана лично мной от начала и до конца. Про существование указанного канала я ничего не слышал. Ваши претензии о воровстве ошибочны.
Действительно, эта уязвимость требует клика для воспроизведения видео. Это не zero-click уязвимость, о чем было написано в официальном Twitter Telegram.
При клике на файл не появляется никакое окно с подтверждением, как с exe файлами, о которых вы упомянули. Сразу же вызывается код. Сейчас это поведение прикрыто костылем в виде того, что ко всем скачиваемые файлам с расширением .pyzw на серверной стороне добавляется ".untrusted".
Похоже, видео в статье действительно фейк, и именно это ввело вас в заблуждение. Я могу предоставить видео с воспроизведением one click уязвимости - она действительно есть (была), и я честно рассказал о ней все, что мне удалось выяснить.
Интересное предположение, кстати. Но я сомневаюсь, что BC имели в виду это. Если посмотреть на их POC, то он даже близко не похож на настоящий эксплойт - там даже нет magic number. В любом случае, к качеству их новости большие вопросы.
Скрипт выполняется при проигрывании гифки. Да, для того чтобы скрипт был выполнен и pyzw-файлы ассоциировались с Python, он должен быть установлен. Несмотря на заверения Telegram, что Python установлен о 0.01% пользователей Telegram Desktop, 0.01% от 800 миллионов это все еще большое количество пользователей. Предполагаю, что у большинства пользователей Хабра Python установлен, поэтому мы как раз "целевая аудитория" тех, кто может эксплуатировать этот баг.
Написал небольшой обзор этой уязвимости с proof of concept на Хабре - там более подробно рассказано про уязвимость, чем здесь. https://habr.com/ru/articles/807535/
Слушайте, действительно, вы правы. Я почему-то был убежден в том, что видел "forked from tdesktop" на гитхабе.
Зачем делать альтернативный клиент, если тврщ майор все равно будет иметь доступ к любым коммуникациям внутри Max? Если беспокоитесь за слив данных с устройства (фотографии, установленные приложения и другие подозрительные разрешения), проще купить отдельный телефон или, ещё проще, поставить Max в полностью изолированный Workspace. Это можно сделать на Android через приложение Island.
Что любопытно, так это то, что десктопный клиент Аськи (ICQ New, пока ее не убили, от MailRu), был форком Telegram Desktop. И работало, и выглядело очень неплохо.
А это вообще смех какой-то, "нативное приложение" на Electron. Кстати, статьи за дискредитацию мессенджера Max ещё не завезли? 😁
Помню, что ещё совсем недавно Google Play требовал очень строгого обоснования этого разрешения. Вряд ли его смогли добавить просто так, скорее всего какой-то функционал, хотя бы ради прохождения ревью они сделали. Или Google уже забил?
Если он уже скачал данные (то есть эксплуатировал найденную уязвимость), нет, в лучшем случае его бы просто поблагодарили и лишили bounty, в худшем - засудили.
Дело в не том, что он "более точный". ADD содержит магию - возможность добавлять в образ файлы по URL и разархивировать tar архивы, что может привести к неожиданному поведению. Поэтому рекомендуют, если возможно, использовать COPY.
https://stackoverflow.com/questions/24958140/what-is-the-difference-between-the-copy-and-add-commands-in-a-dockerfile
https://docs.github.com/en/repositories/working-with-files/managing-large-files/about-large-files-on-github#repository-size-limits
Пишут, что 5 гигабайт спокойно выдадут, а дальше могут возникнуть вопросы. Но строгих лимитов нет.
У меня есть подозрение, что статистика может быть некорректной. Судя по названию таблицы, которое включает слово cache, вероятнее всего, это кеш всех проигранных треков за время, которое приложение Яндекс Музыки было установлено на вашем смартфоне. А значит, скорее всего, некоторая часть кеша образовалась ДО того, как Яндекс поддержал loseless формат, и данные о качестве там, соответственно, старые.
Для чистоты эксперимента было бы здорово удалить приложение и снести все его данные, а после установить заново и сравнить результаты, чтобы убедиться, что статистику не испортил старый кеш.
А чего вы хотите от очередной сгенерированной GPT статьи?
Ну, даже не учитывая дельные аргументы комментатора ниже, это решение стоит аренды самого дешёвого сервера за 100 рублей в месяц, а не 800 баксов.
А как же Penpot? Довольно функциональный, к тому же, в отличие от всех перечисленных (разве что кроме Lunacy, хотя там спорно), опенсорсный.
Нет, не спрашивает. Он просто скачивает и предлагает открыть файл с расширением ".untrusted". Такой вот серверсайдный костыль
Можете прочитать https://habr.com/ru/articles/807535/comments/#comment_26724291
Здравствуйте! Хочу прояснить пару вещей.
Эта статья написана лично мной от начала и до конца. Про существование указанного канала я ничего не слышал. Ваши претензии о воровстве ошибочны.
Действительно, эта уязвимость требует клика для воспроизведения видео. Это не zero-click уязвимость, о чем было написано в официальном Twitter Telegram.
При клике на файл не появляется никакое окно с подтверждением, как с exe файлами, о которых вы упомянули. Сразу же вызывается код. Сейчас это поведение прикрыто костылем в виде того, что ко всем скачиваемые файлам с расширением .pyzw на серверной стороне добавляется ".untrusted".
Похоже, видео в статье действительно фейк, и именно это ввело вас в заблуждение. Я могу предоставить видео с воспроизведением one click уязвимости - она действительно есть (была), и я честно рассказал о ней все, что мне удалось выяснить.
.untrusted - это временный серверсайдный костыль, до недавнего времени его не было.
Да. Но из-за того, что Telegram блокирует исполняемые файлы по черному списку расширений, таких багов может быть больше.
Интересное предположение, кстати. Но я сомневаюсь, что BC имели в виду это. Если посмотреть на их POC, то он даже близко не похож на настоящий эксплойт - там даже нет magic number. В любом случае, к качеству их новости большие вопросы.
Скрипт выполняется при проигрывании гифки. Да, для того чтобы скрипт был выполнен и pyzw-файлы ассоциировались с Python, он должен быть установлен. Несмотря на заверения Telegram, что Python установлен о 0.01% пользователей Telegram Desktop, 0.01% от 800 миллионов это все еще большое количество пользователей. Предполагаю, что у большинства пользователей Хабра Python установлен, поэтому мы как раз "целевая аудитория" тех, кто может эксплуатировать этот баг.
Написал небольшой обзор этой уязвимости с proof of concept на Хабре - там более подробно рассказано про уязвимость, чем здесь.
https://habr.com/ru/articles/807535/
У ngrok есть проблема, что туннель работает не больше 2 часов.