Мессенджеры *

Запилили TG-бота для склейки голосовух - https://t.me/voicemixbot

👍 Зачем.

1. Сложно наговорить длинную 3-минутную мысль за раз красиво. Вместо этого, ясно произнеси отдельные фразы по 5 сек друг за другом, продумав каждую.

2. Мысль приходит только на улице во время прогулки и с собой только телега, монтировать дома никто не будет, а итоговая цельная голосовуха с красивой мыслью нужна уже сейчас чтобы кому-то переслать.

3. Хочешь записать инновационный трек из склейки пердежа, скрипа двери и крика бомжей в метро, но прямо сейчас без инвестиций в монтаж и продюсирование.

🧰 Как пользоваться.

1. Заходим в @voicemixbot - ему уйдёт команда start.

2. Шлем голосовухи друг за другом. После каждой видим ADD N, где N - её порядковый номер (начиная с нуля). Это значит, голосовой кусок вставился в ряд. Не говори следующую голосовуху, пока не получил ADD.

3. Удалить последнюю голосовуху - pop. Когда понял, что последней голосовухе нужен новый дубль. Вернёт SIZE N, где N - новое общее число эпизодов в проекте.

4. Всё сказал: пишем makeили go. Получаем цельный файл. Забыл что-то сказать - докидываем голосовух в конец и снова make .

5. Пишем clear если надо начать новый файл.

💎 Команды.

• clear - забыть всё, начать новый проект

• info - статус текущего проекта

• make - склеить текущий проект (цепь голосовух) в один файл

• name TEXT - указать название TEXT для вашей итоговой записи

• pop - удалить последнюю голосовуху из стека

• amp 1 или amp 0 - включить или выключить автоусиление тихой речи.

• bitrate N - установить битрейт, где N - между 2000 и 50000
23000 - достаточно для прилично звучащей речи

• mk N MESSAGE - поставить текстовую метку MESSAGE перед куском номер N. Нумерация с нуля. N - это тот номер, который фигурирует в ответе "ADD"

• fade N, N - число миллисекунд: длительность плавного перехода между фразами.

Метки.

00:00 - Приветствие
00:21 - Музыка
00:31 - Новости
01:04 - О погоде

Чтобы получить такую таблицу временных меток под записью, отправляй нужный текст перед той голосовухой, на начало которой этот текст должен ссылаться. Текстом считается любой текст, которого нет в таблице команд. Если вы хотели поставить метку перед уже отправленной голосовухой, но забыли это сделать, то используйте команду mk N (см выше).

🔌 Технические детали.

Кодируем речь кодеком OPUS, он прекрасно звучит даже на битрейте 24k, где mp3 бы уже умер. "/" в начале команды не важен. /pop и pop работают одинаково. Цепь голосовух мы называем "проект". У каждого проекта есть уникальное случайное служебное имя вида d7_uaUcUXc0. Помнить его не надо. Команда clear создаёт новый проект с новым именем, забывая предыдущий навсегда. Лимит кусков в проекте - 200, но лучше не рисковать. make 13 минутного файла будет работать 3 минуты. Написано на голимом C++20, libopus, libogg, epoll.

⌛ Лимиты.

1. Одна голосовуха - не более 60 секунд.

2. Число голосовух в проекте - 200 штук.

3. Получается суммарно более 2 часов на один файл, но стало страшно. В будущем возможно порежем лимит результирующего файла чем-то на уровне 10 минут.

🔒Безопасность и надёжность.

clear удаляет голосовухи с сервера бота. Бекапов нет. ФС сервера - в ramdisk. Наговорил, скомпилил - забери себе, не растягивай проект на неделю. Сервер не стабилен, падает раз в неделю с переналивом всей OS с нуля. У админа доступ ко всем голосовухам (как у админы телеграм к личкам), но чаще падает сервер с данными, чем админу охота покопаться. Если придёт майор с бутылкой - всех сдадим, но рамдиск (может быть уже нечего). Метаданные о пользователях не собираем, спамить не будем - даже БД нет. Точнее, есть, но в рамдиске. Если сервер не отвечает, то он либо сдох и ему скоро автоматически нальют образ по вотчдогу, либо занят компиляцией чьего-то проекта - отправь команду info и подожди. Устраивать DoS и хакерство с отправкой гиговых видосов и фоток не надо: бот даже не начнёт качать. В целом, наверное вы можете его положить, но мы просто пнём сервак и он забудет всё плохое в жизни, рамдиск же.

https://t.me/voicemixbot в общем.

Запилили TG-бота для склейки голосовух - https://t.me/voicemixbot

👍 Зачем.

1. Сложно наговорить длинную 3-минутную мысль за раз красиво. Вместо этого, ясно произнеси отдельные фразы по 5 сек друг за другом, продумав каждую.

2. Мысль приходит только на улице во время прогулки и с собой только телега, монтировать дома никто не будет, а итоговая цельная голосовуха с красивой мыслью нужна уже сейчас чтобы кому-то переслать.

3. Хочешь записать инновационный трек из склейки пердежа, скрипа двери и крика бомжей в метро, но прямо сейчас без инвестиций в монтаж и продюсирование.

🧰 Как пользоваться.

1. Заходим в @voicemixbot - ему уйдёт команда start.

2. Шлем голосовухи друг за другом. После каждой видим ADD N, где N - её порядковый номер (начиная с нуля). Это значит, голосовой кусок вставился в ряд. Не говори следующую голосовуху, пока не получил ADD.

3. Удалить последнюю голосовуху - pop. Когда понял, что последней голосовухе нужен новый дубль. Вернёт SIZE N, где N - новое общее число эпизодов в проекте.

4. Всё сказал: пишем makeили go. Получаем цельный файл. Забыл что-то сказать - докидываем голосовух в конец и снова make .

5. Пишем clear если надо начать новый файл.

💎 Команды.

• clear - забыть всё, начать новый проект

• info - статус текущего проекта

• make - склеить текущий проект (цепь голосовух) в один файл

• name TEXT - указать название TEXT для вашей итоговой записи

• pop - удалить последнюю голосовуху из стека

• amp 1 или amp 0 - включить или выключить автоусиление тихой речи.

• bitrate N - установить битрейт, где N - между 2000 и 50000
23000 - достаточно для прилично звучащей речи

• mk N MESSAGE - поставить текстовую метку MESSAGE перед куском номер N. Нумерация с нуля. N - это тот номер, который фигурирует в ответе "ADD"

• fade N, N - число миллисекунд: длительность плавного перехода между фразами.

Метки.

00:00 - Приветствие
00:21 - Музыка
00:31 - Новости
01:04 - О погоде

Чтобы получить такую таблицу временных меток под записью, отправляй нужный текст перед той голосовухой, на начало которой этот текст должен ссылаться. Текстом считается любой текст, которого нет в таблице команд. Если вы хотели поставить метку перед уже отправленной голосовухой, но забыли это сделать, то используйте команду mk N (см выше).

🔌 Технические детали.

Кодируем речь кодеком OPUS, он прекрасно звучит даже на битрейте 24k, где mp3 бы уже умер. "/" в начале команды не важен. /pop и pop работают одинаково. Цепь голосовух мы называем "проект". У каждого проекта есть уникальное случайное служебное имя вида d7_uaUcUXc0. Помнить его не надо. Команда clear создаёт новый проект с новым именем, забывая предыдущий навсегда. Лимит кусков в проекте - 200, но лучше не рисковать. make 13 минутного файла будет работать 3 минуты. Написано на голимом C++20, libopus, libogg, epoll.

⌛ Лимиты.

1. Одна голосовуха - не более 60 секунд.

2. Число голосовух в проекте - 200 штук.

3. Получается суммарно более 2 часов на один файл, но стало страшно. В будущем возможно порежем лимит результирующего файла чем-то на уровне 10 минут.

🔒Безопасность и надёжность.

clear удаляет голосовухи с сервера бота. Бекапов нет. ФС сервера - в ramdisk. Наговорил, скомпилил - забери себе, не растягивай проект на неделю. Сервер не стабилен, падает раз в неделю с переналивом всей OS с нуля. У админа доступ ко всем голосовухам (как у админы телеграм к личкам), но чаще падает сервер с данными, чем админу охота покопаться. Если придёт майор с бутылкой - всех сдадим, но рамдиск (может быть уже нечего). Метаданные о пользователях не собираем, спамить не будем - даже БД нет. Точнее, есть, но в рамдиске. Если сервер не отвечает, то он либо сдох и ему скоро автоматически нальют образ по вотчдогу, либо занят компиляцией чьего-то проекта - отправь команду info и подожди. Устраивать DoS и хакерство с отправкой гиговых видосов и фоток не надо: бот даже не начнёт качать. В целом, наверное вы можете его положить, но мы просто пнём сервак и он забудет всё плохое в жизни, рамдиск же.

https://t.me/voicemixbot в общем.

Задал вопрос про безопасность MAX? Получи бан!

На днях вопрос безопасности мессенджера MAX снова всплыл в новостях. Как я понял, изначальным источником стала новость о результатах Bug Bounty, в рамках которой принимались отчёты о проблемах безопасности (на Хабре об этом тоже писали). Видимо, эта новость распространялась как-то не так. В связи с чем в Positive Technologies вышел пост с комментарием на эту тему. Этот пост был репостнут в канале "Заметки VMщика" с комментарием (ссылка на комментарий):

Хейтеры понесли статистику по багбаунти MAX с комментариями “посмотрите, какой MAX уязвимый”. 🤦‍♂️🤷‍♂️ Пипл хавает.

Я задал вопросы к этому комментарию:

• "MAX устранил уязвимости и сделал это быстрее, чем ими воспользовались злоумышленники" - Это чья позиция: платформы багбаунти? Откуда у платформы эта информация? Разве проверка фикса уязвимости и уж тем более вопросы использования уязвимостей злоумышленниками - задача платформы?

• Почему бы не раскрыть данные какие были уязвимости? Раз их всё равно уже нет (исправили). Тем более некоторые компании так делают (подробнее в статье Опыт zVirt на Standoff Bug Bounty: какие уязвимости нашли и как мы их исправили)

• Или платформа багбаунти просто транслировала позицию МАХ? А была ли верификация этой информации, учитывая, что позиция разработчиков МАХ в вопросах безопасности вызывает вопросы. Например, по ситуации со странными запросами и доступам к части файлов.

После чего мой комментарий в канале исчез. А сам я оказался заблокирован. И вот тут интересен момент. Автор этого канала нередко выступает модератором в дискуссиях на конференциях по кибербезу. Что можно узнать из его другого канала "Управление Уязвимостями и прочее" (пост раз, пост два).

Что же такого было в моих вопросах, раз они вызвали настолько болезненную реакцию у человека, опытного в дискуссиях по кибербезу? И можно ли трактовать эту ситуацию иначе, чем борьба с инакомыслием? Интересно: сколько ещё каналов разных блогеров-безопасников могут так же однобоко подавать MAX (в стиле: "о MAX - хорошо или никак")?

UPD: 15.04.2026 автор каналов "Заметки VMщика" и "Управление Уязвимостями и прочее" сделал пост со своим видением ситуации (спасибо @ancotirза наводку). Скриншот прикладываю ниже. Видимо, автор считает, что не нужно читать\анализировать исходный пост перед репостом в свой канал (даже когда он используется как обоснование его позиции). Перефразируя старый мем (см мопед не мой, я просто разместил объяву): пост не мой, я просто репостнул.

UPD_2: дополнил свой пост комментарием.

Бойтесь Данайцев, ПО приносящих

Ситуация с сервисами, которые вроде как не запрещены в России, но замедлены, породила новые опасности для информационной безопасности. Так как блог мы ведём в первую очередь для наших пользователей, то напомним о «граблях» в приложениях, вроде как облегчающих жизнь.

Telegram — тот редкий случай, когда компания раскрывает код клиентской части, что позволяет сторонним разработчикам делать «форки» — версии, которые работают с основным сервисом, но могут иметь дополнительные функции. Одним из таких приложений стала «Телега», которая обещала спокойную работу с замедленным Telegram. Вот только первое же расследование показало, что трафик она отправляет на сторонние серверы, а возможно, ещё и читает сообщения (в норме этого не должно быть). Скоро сервис Павла Дурова опомнился и стал помечать аккаунты, которые используют сторонние клиентские приложения. А потом магазины приложений удалили «Телегу» как потенциально опасную.

Финал истории? Нет, во-первых, «Телега» по-прежнему рекламируется в выдаче как безопасный мессенджер — не все же читают новости по кибербезопасности. Наверняка у вас стоят расширения к браузеру, которые облегчают жизнь. Но в любой момент добросовестный разработчик может продать их, и неизвестно, кто получит доступ к вашим данным.

Любое приложение может быть небезопасным. И проверки в магазине приложений не всегда выявят бэкдоры, через которые хакеры получат доступ к нему. Но ещё хуже с приложениями, которые вы скачиваете напрямую из интернета. Каждый раз стоит помнить, что механизмы защиты любой ОС имеют свои пределы.

Приложения крупных производителей тоже могут иметь уязвимости: Apple в марте 2025 года предупредила о критической уязвимости в своей хвалёной iOS. Но, в отличие от мелких производителей, большие компании имеют возможность анализировать новое ПО, искать в нём уязвимости и предлагать патчи для их устранения.

Так что помните, что безопасность не обеспечена по умолчанию: стоит внимательно относиться к используемым сервисам и читать наш канал, чтобы узнавать о самых серьёзных опасностях (и самых больших возможностях) мира технологий.

Что это был за черновик и как он стал рекламой онлайн-казино

В пятницу тысячи (не преувеличиваем) каналов поделились сообщением, которое начиналось с красной надписи черновик: — а точнее, с трех эмодзи, которые ее и составляли. После нее каналы, в том числе крупных и известных брендов, соревновались в юморе: кто интереснее подаст свой черновик. Мы — в том числе 😅

На первый взгляд — безобидный флешмоб. На деле — тысячи каналов бесплатно прорекламировали онлайн-казино, сами того не подозревая. Рассказываем, как это получилось.

1️⃣ Когда вы создаете пак эмодзи в Telegram, его можно назвать как угодно. Предположим, «Котики». Вы добавляете туда прикольные картинки с котятами, делитесь с друзьями, потом это подхватывают каналы — и вот ваши котики везде.

Но у владельца эмодзи-пака есть возможность переименовать его в любой момент. То есть, например, когда он уже установлен у тысяч пользователей и им продолжают делиться, название может внезапно измениться на «Котики — не очень, песики — огонь». При этом короткое имя (ссылка на добавление пака) остается тем же.

2️⃣ В пятницу так и произошло. Пак из трех эмодзи изначально назывался просто «ЧЕРНОВИК», его начали активно распространять по каналам — копировать и вставлять, не подозревая о планируемом скаме.

Спустя время он был переименован в «ЧЕРНОВИК [упоминание канала] (ПОДПИШИСЬ)». Упоминаемый канал принадлежит некому «социальному казино» (как они сами себя называют), которое якобы бесплатно раздает деньги, но на самом деле через различные шаги уводит на платформу стандартного онлайн-казино. За несколько дней этот канал собрал несколько тысяч подписчиков. Всего за счет трех эмодзи.

3️⃣ Некоторые каналы (и мы, спасибо читателям) обратили на это внимание и заменили паки на собственные. Наш мы так и назвали — «безопасный» (кстати, его установили себе около 20 пользователей, а сколько установили оригинальный — загадка). Другие каналы, узнав об этом, удалили публикации или эмодзи в них.

4️⃣ Чего не произошло, а могло бы. Помимо того, что у паков можно обновлять названия — в них можно менять и сами эмодзи, а также добавлять новые. На примере котиков из начала объяснения — заменить их всех на песиков 🐈 —> 🐕 (сильно не переживайте, в уже размещенных эмодзи котики останутся, изменения будут только в новых публикациях). А дальше у кого на что хватит фантазии — вплоть до размещения фишингового QR-кода, состоящего из эмодзи.

💡 Такие механики — наглядный пример того, как даже без взлома можно использовать доверие аудитории в своих целях. Поэтому перед публикацией любого хайпового контента стоит оценивать риски, даже если на первый взгляд все выглядит безобидно (для себя тоже выводы сделали).

Сегодня впервые за 6 лет обновили докер образ MTProxy, версия 2 бета.

Интересно, что-то намечается или нет, но работает так себе в последнее время.

🛫 Чем грозит новая уязвимость в Telegram

Все началось с того, что 26 марта в реестре проекта Zero Day Initiative (одной из наиболее авторитетных независимых платформ по раскрытию уязвимостей) появилась запись о новом критически опасном недостатке безопасности в мессенджере Telegram. Его обнаружил исследователь Майкл Деплант (aka izobashi).

Пока что детали не раскрываются: по правилам площадки после появления информации об уязвимости у Telegram есть 120 дней на ее исправление. Поэтому все подробности станут известны лишь 24 июля. Но сделать некоторые предположения можно уже сейчас.

🗣 Что известно об уязвимости

Ее посчитали критически опасной — 9,8 по шкале CVSS 3.1. Такую оценку можно объяснить указанным вектором атаки: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H.

Это расшифровывается так: атака сетевая, воспроизводится легко, без дополнительных условий, получения привилегий (прав в системе или учетной записи) и взаимодействия с жертвой. При этом возможна полная утечка данных или критически важной информации, а киберпреступник может получить к ним максимальный доступ и нарушить целостность (например, модифицировать).

👾 Чем она может быть опасна

Основываясь на векторе ошибки, Александр Леонов, ведущий эксперт по управлению уязвимостями PT ESC, предложил два возможных варианта ее эксплуатации.

В обоих случаях злоумышленник в начале атаки может отправить жертве специально подготовленный зараженный медиафайл (стикер). После того как пользователь просмотрит сообщение со стикером, киберпреступник может:

✅ получить полный доступ к пользовательскому аккаунту Telegram, включая переписку;

✅ выполнить вредоносный код на устройстве, на котором установлено приложение Telegram, и полностью его скомпрометировать.

🛡 Как защититься

Наши эксперты советуют отключить автозагрузку всех медиафайлов в мессенджере и, по возможности, пользоваться веб-версией вместо мобильного или десктопного приложения.

Если вы опасаетесь стать жертвой злоумышленников, можно включить режимы для безопасной работы мобильных приложений — iOS Lockdown Mode и Android Advanced Protection Mode. Кроме того, не забывайте своевременно обновляться. А в случаях, когда подозреваете, что устройство уже скомпрометировано, сбросьте его до заводских настроек.

🤔 Что говорят в Telegram

В самом Telegram наличие уязвимости отрицают, заявив, что ее эксплуатация через зловредный стикер невозможна, так как все стикеры проходят проверку безопасности на стороне сервера.

Так что ждем июля и полного раскрытия информации, а пока на всякий случай соблюдаем правила кибербезопасности.

Вышли новости, что в России по требованию РКН Apple удалили десяток VPN сервисов из App Store. И у меня снова всплыл вопрос: если Телеграм технически сложно заблокировать, но все же нужно, то почему просто не отправить такой запрос на удаление Эплу? Это сложно сделать? Или есть другие преграды? Почему не сделали 8 лет назад? (пост про блокировку).

Разберемся, как все работает:

1️⃣ У Apple есть App Store Transparency Report (pdf), последний за 2024-й год. Согласно нему по запросу властей за год удалили 1730 приложений, вот топ:

• 🇨🇳 Китай (1307)

• 🇷🇺 Россия (171)

• 🇰🇷 Южная Корея (79)

• 🇺🇦 Украина (55)

• 🇯🇴 Иордания (50)

• 🇮🇳 Индия (34)

2️⃣ То есть Роскомнадзор УМЕЕТ писать письма в Apple. Более того, в csv с деталями (zip) видно, что все запросы направил именно РКН, из них:

• 170 запросов по ФЗ 149 (про запрещённое, блокировки и т.д.)

• 1 запрос по ФЗ 86 (что-то по запросу ЦБ)

То есть система работает как часы, Россия — почти лидер по отправке запросов.

Эхо блокировок: почему Telegram и WhatsApp на российском номере тормозят даже заграницей?

Что? Да — вы все правильно прочитали, телега и Whatsapp начали лагать за границей. Почему я так решил? Ну во‑первых, потому что сам на себе это прочувствовал. 

А во‑вторых, потомучто кроме меня это на себе почувствовало еще несколько человек, вот пруфы:

Я сначала думал проблема локальная, у меня что то с телефоном. Но оказалось не только у меня. Да и телефон я только недавно обновил, ему всего 4 месяца.

Вероятнее всего проблема в так называемой цифровой прописке (номер телефона). Российский номер влияет на качество связи не меньше, чем физическое местоположение.

Так что если у вас наблюдаются следующие симптомы «сетевого гражданства» — вы не одиноки:

1. Аккаунт на +7: Долгая инициализация (Connecting...), медиа грузятся рывками, звонки обрываются.

2. Аккаунт на местном номер: На том же самом устройстве и в той же Wi‑Fi сети всё «летает».

3. Прокси‑тест: Стоит включить качественный прокси (MTProto или VLESS), как «русский» аккаунт оживает.

4. VPN‑парадокс: При включении VPN с российским IP ситуация деградирует окончательно — мессенджер может просто уйти в бесконечный цикл соединения.

Почему так происходит?

Казалось бы, если я в другой стране, мой трафик идет через местных магистралов. Почему номер телефона в профиле замедляет байты?

1. Привязка к региональным точкам доступа Мессенджеры — это огромные распределенные системы. При авторизации сервис определяет ваш «домашний» регион. Вполне вероятно, что для аккаунтов +7 жестко прописаны маршруты через определенные пулы серверов или CDN‑узлы, которые исторически завязаны на российский сетевой контур. Если эти узлы сейчас находятся под атакой или испытывают проблемы со связностью из‑за фильтрации трафика, вы почувствуете это даже за пределами РФ.

2. Специфика обработки трафика мессенджером Протокол Telegram (MTProto) и WhatsApp (Signal Protocol) — это не только пересылка текста, это постоянный обмен служебными пакетами. Если логика сервиса предполагает, что для «российского пользователя» нужно применять дополнительные проверки или специфические методы обкатки трафика (которые сейчас конфликтуют с ТСПУ на стороне магистралов), задержки неизбежны.

3. Идентификация по номеру, а не по IP Многие ошибочно думают, что блокировки работают только по IP. Но современные системы анализа могут учитывать метаданные. Если ваш аккаунт помечен как «RU‑сегмент», он может попадать в менее приоритетные очереди или на маршруты с избыточной проверкой целостности пакетов.

Прокси как лакмусовая бумажка

Почему я так уверен что проблема именно в российском номере? 

Просто потому что у меня есть с чем сравнить — на устройстве установлено два Ватсапа (бизнес на российском номере) и обычный на китайском номере. На обоих номерах есть общедомовой чат. Так вот — в китайский Ватсап сообщения прилетают сразу же, а в российский с огромной задержкой! Почему? Потому что моя супруга сидит рядом со мной, отправляет в чат сообщение и я его получаю только на китайском ватсапе. Странно, что у нее как раз тоже российский номер и у нее сообщение ушло (но может глюк просто).

У телеги проблема с загрузкой медиафайлов — то есть они не грузятся.

Включаем ВПН — и происходит магия — все тут же долетает. Использую не платный ВПН, а поднятый на своем сервере туннель.

Если бы тормозило «железо» смартфона или лагала сама SIM‑карта, включение ВПН не давало бы мгновенного эффекта. Тот факт, что изменение пути прохождения пакетов решает проблему, доказывает: мессенджеры на российских номерах сейчас заложники сложной сетевой архитектуры, которая пытается обойти ограничения, но иногда делает только хуже.

Так что получается Телеграм хочет помочь — но за границей становится от этого хуже.

Что с этим делать?

Включаться в использование ВПН сервисов как это делают многие россияне. Либо менять российский номер на иностранный в телеграм и ватсап

Либо ждать — что ситуация изменится, но пока надежды на это мало.

Как оказалось блокировки имеют «длинное эхо». Они не заканчиваются на

В Telegram обнаружена критическая уязвимость нулевого дня

О находке сообщили в рамках проекта Trend Zero Day Initiative (ZDI). Уязвимость выявил исследователь Michael DePlante.

По предварительной оценке, баг получил 9,8 из 10 по шкале CVSS, что соответствует уровню критической опасности. По данным специалистов, уязвимость может затронуть безопасность аккаунтов пользователей.

Публичное раскрытие проблемы запланировано на 24 июля. До этого момента у команды Telegram есть время на выпуск исправления.

Telegram пока официально не комментировал ситуацию.

Павел, ждём фикс.

[мнение] Как мессенджер МАХ работает без интернета

Начали разгонять в обществе якобы абсурдное высказывание на Россия 1: «…[не только на парковке, но — Ред.] МАХ может работать без интернета».

Среди комментариев по десятку пабликов только злость и удивление. Со стороны профессионального союза, как людей из реального мира разработки ПО, это была обычная терминологическая ошибка‑оговорка у непрофессионала.

Господа‑айтишники (особенно аналитики), вы же каждый день сталкиваетесь с техническими заданиями от людей из реального мира. В былые времена эти люди в поддержке мобильным операторам жаловались, что «одноклассники не включаются, потому что телефон сломался», не догадываясь, что это интернет у них отключился из‑за неоплаты. Чему вы удивляетесь сейчас?

Одно можно утверждать: готовятся все новости впопыхах и это какая‑то больная суета, а также нет специалистов из сферы ИТ, которые помогали бы редакторам готовить подобные новости в этот особенный айтишный период. То есть управление проектами и укомплектованность кадрами и сильно хромает у самых богатых медиа.

Так что с адекватной точки зрения простые люди, которые смотрят Россия 1 и «живут нормально без всяких ваших телеграмов», поймут эту новость сразу своим подсознанием (даже не используя мозг). В отличие от комментаторов.

Так что «всё хорошо, прекрасная маркиза!», а посему приглашаем вас в наш тг или вк за дополнительными постами.

Сегодня с 10 часов адрес https://api.telegram.org/bot недоступен. Этот адрес взаимодействия ботов с платформой телеграмм. Как итог телеграмм боты "легли".  Если точнее, телеграмм вызывает обработчик, но обратно в телеграмм отправить ничего нельзя.

Пока те боты, которые получают из телеграмм и отправляют ещё живут..

Одно из решений: использование приватных проски.

В Claude Code вышел свой аналог OpenClaw — опция Channels, в которой появилась интеграция с Telegram и Discord.

Альтернатива мессенджерам

Хотел поделиться интересной находкой в связи с последними новостями о блокировках телеграма и «ненавязчивой» рекламой маха.

В «безопасный» мессенджер переходить не хочется, альтернатив массовых особо нет, а распространять какой то новый мессенджер нужны безумные бюджеты или волосатые руки. Навели меня на вопросы:

• Что есть у большинства пользователей?

• Как можно обмен сообщениями в таком же формате (аля СМС, но с голосовухами, картинками и эмодзи)?

• Что может поддерживать еще и звонки? (забегая вперед, не нашел что бы и это поддерживалось)

• Что можно использовать для корпоративного общения? (в компании)

Что я сделал? Пошел искать что сейчас можно использовать? Рекомендации, конечно, рекламные. Меня это не устроило и я пошел дальше. Вспомнил про первый вопрос: ответом были: телефон, электронная почта.

Тут стоит немного упомянуть, что есть множество протоколов обмена сообщениями, но они требуют какого то выделенного сервера, а люди ленивы и не готовы будут разбираться с его настройкой, ведь зарегаться введя телефон и код подтверждения куда проще, чем арендовать VPS, ставить туда сервер, танцевать с бубном что бы твое приложение заработало и взаимодействие Server‑to‑Server тоже работало корректно (XMPP, IRC).

О, почта у многих есть почта, по тем или иным причинам большинство ее имеет, да на каком нибудь из серверов. И я задумался, по сути это сейчас огромный спам ящик, но с ним можно работать (есть спам фильтры, и можно блокировать по отправителям).

Собственно мне показалось что это действительно хорошая альтернатива, нужно лишь удобный клиент. Сначала думал, а что может написать прилу, но оказывается это уже сделано за меня, и voilà я нашел этот клиент: https://delta.chat/ru/.

На удивление он интерфейсно схож с обычным мессенджером, есть рекации (просто сообщение определенного формата), стикеры (просто картинка в письме), фалы и аудио (это же просто документ который просто прикрепляется к пиьсму), а для начала использования достаточно просто авторзоваться в своей почте, все пользуйся общайся.

На какие достоинства и недостатки я обратил внимание при первом знакомстве:

Плюсы:

• Отправка сообщений

• Реакции

• Эмодзи, стикеры

• Аудиосообщения

• Нужна только почта

Минусы:

• Для групповых переписок, история будет только у участников, новые добавленные не будут ее иметь. (в зависимости от ситуации может быть критично)

• Нет звонков — это отдельный протокол передачи информации, он не реализуем через протколы передачи почты.

• Время доставки — оно может быть долгим, т.к для сообщений нужно время для доставки и синхранизации сообщений с мессенджером, время доставки может занимать 30 секунд, а не секунды. (действительно ли важна задержка в 30 секунд сообщениях, когда люди могут сутками игнорить сообщения)

P. S. Может показаться, что это реклама, однако я буквально вчера узнал про этот клиент и мне понравилось подобное приложение своей простотой, поэтому захотел рассказать, может просто никто не слышал или не задумывался в таком ключе.

Telegram наносит ответный удар: мессенджер в ответ на блокировку убивает оборудование РКН дудосом.

Что происходит

В последние дни пользователи Telegram в России столкнулись с серьёзными проблемами в работе мессенджера. Ситуация развивается на фоне активных блокировок нежелательного контента самим Telegram и последующих технических проблем с инфраструктурой.

Техническая сторона проблемы

По данным DTF, прокси-серверы Telegram начали генерировать миллиарды запросов в секунду к системам ТСПУ Роскомнадзора. Это происходит в ответ на попытки блокировки: когда РКН проверяет доступность мессенджера для последующей блокировки, прокси-серверы Telegram отвечают массовыми «мусорными» запросами, перегружая оборудование ведомства.

• Перегрузка инфраструктуры: оборудование интернет-провайдеров не справляется с обработкой такого объёма запросов

• Каскадные сбои: в некоторых регионах наблюдаются нестабильная работа сервиса

• Побочные эффекты: зафиксированы случаи, когда из-за сбоев начали работать ранее заблокированные платформы, а "белые списки" (перечни разрешённых ресурсов) перестали функционировать должным образом
  
  Важно: данная информация исходит из неофициальных источников и требует подтверждения.

Контекст: блокировки контента

Проблемы возникли на фоне того, что сам Telegram активизировал блокировку каналов с нежелательным контентом. Это могло спровоцировать изменения в работе протоколов мессенджера и, как следствие, повлиять на характер сетевого трафика.

Реакция властей

Депутаты Госдумы обратились к Роскомнадзору с требованием объяснить причины замедления работы Telegram в России. Парламентарии выразили обеспокоенность массовыми жалобами пользователей на сбои в работе мессенджера.

Интересно, что претензии к регулятору поступают именно после того, как Telegram начал самостоятельно блокировать контент — действие, которое ранее от платформы активно требовалось.

Что это значит для пользователей

• Возможны задержки в доставке сообщений

• Нестабильная работа при загрузке медиафайлов

• Региональные различия в качестве связи

• Непредсказуемость работы сервиса в ближайшее время

Кто победит в этой битве? Я ставлю на телеграмм! Паша умный малый.

Разговоры вокруг отечественного связного 💬 Макс не унимаются с момента его официального выхода. Блогеры по всему миру "изучают" безопасность приложения, выискивая, куда он "ходит" и какую "секретную" информацию передает. В основном, все инфоповоды крутятся вокруг изучения манифеста приложения и его разрешений в системе, не углубляясь в изучение сетевых пакетов, исходники и декомпилляцию. А я как раз тот ленивый инфобезник, который еще ни разу не высказался относительно данного вопроса, поэтому исправляюсь.

В прошлую пятницу на весь 🇷🇺 российский интернет прогремела новость: все фото из ваших чатов в Макс может увидеть любой человек по ссылке.

Когда в личный чат или в папку «Избранное» в мессенджере загружается изображение, для него генерируется статичная гиперссылка. Ее можно найти в коде страницы в веб-версии Max. Эта ссылка открывается с других браузеров и устройств без авторизации в мессенджере - обнаружили пользователи. Более того, фото по ссылке останется в открытом доступе, даже если его удалить из переписки в Max.

На лицо классический IDOR. Но если мы проанализируем ссылки на фотографии, которые генерирует Макс, мы обнаружим, что изображения по ним действительно доступны без авторизации. Часть адреса у разных изображений совпадает, однако они содержат различающиеся подстроки длиной не менее 21 символа (минимум 16^21 комбинаций), а значит получить доступ к таким изображениям простым перебором адресов невозможно. Более того, EDR и WAF вас уже на 1000 запросе за несколько секунд обнаружат и отправят отдыхать минут на 5.
Ну а про хранение файлов "закон Яровой" никто не отменял.

А знаете, где еще применяется такая технология? В недавно (октябрь 2024 года) заблокированном мессенджере Discord. Все медиа файлы из приложения можно открыть в исходном качестве по прямой ссылке без регистрации и смс (именно поэтому его многие использовали как файлообменник, а платформа ограничивала размер передаваемого файла 8 мегабайтами). И, о новость, если потом данный файл удалить, он все равно остается доступным по прямой ссылке (см. прилагаемое видео).

Возвращаясь к Максу, не могу не обратить внимание, что его разработчиком является крупнейший IT-гигант Mail.ru. Я лично принимал участие в тестировании его на безопасность в период 2020-2021 годах и могу с уверенностью сказать, что там более чем секьюрно. Кроме того, опыт в обеспечении безопасности ВК, ОК и других массовых продуктов у них уже в генах.

Более того, у Макса есть Bug Bounty программа от Bi.Zone и за некоторые уязвимости там выплачивают до 10 миллионов рублей:

Получение доступа к приватной переписке определенных пользователей - 10 000 000 ₽
Получение доступа к местоположению определенных пользователей в реальном времени - 4 000 000 ₽
Получение доступа к телефонной книге определенных пользователей - 2 000 000 ₽

За год существования программы, было реально найдено 13 багов, за которые суммарно выплатили 873 тысячи. При указанной выборке я могу сделать вывод, что Макс достаточно безопасен, раз никто пока не смог сорвать джек-пот.

Поэтому, не верьте всему тому, что пишут в интернете: делите все минимум на 10. Ну и конечно, что попадает в интернет - остается в интернете, поэтому не забывайте про цифровую гигиену.

🧠 Обязательно поделись с теми, кому это может быть полезно 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте | ⚡️Бустануть канал

Переносим канал Telegram в форум с помощью ИИ

В связи с последней шумихой по блокировке Telegram стал задумываться о том, куда переезжать в этот раз.

Понятно, что многие продолжат им пользоваться, но всё равно большая часть подписчиков перейдёт на другие площадки. Как показал мой опыт на YouTube — будет именно так, да и у других ребят, гораздо крупнее, тоже. Цитата: «YouTube мёртв». Тут мне, наверное, возразят и приведут в пример каналы, которые сильно не потеряли, но по моей специфике нас и так было по пальцам пересчитать, и отток аудитории у нас колоссальный. В общем, если решение примут и реально заблокируют, то и тут аудитория, скорее всего, сильно просядет.

Создал, конечно, канал там — не будем называть где, а то у многих только от одного названия рука тянется поставить дизлайк 🙂 — но в голову пришла ещё одна мысль.

У меня есть свой сайт, и я решил полностью перенести историю канала и привязанного чата в виде форума. Посовещались с Claude и разработали план.

Как мне кажется, самая сложная часть — это связать посты с обсуждениями: далеко не все сообщения в чате привязаны к конкретному посту, а не переносить их — значит иногда терять ценную информацию. Поэтому придумал небольшой алгоритм: Claude его реализовал и отдал обработку контекста каждого поста с сообщениями GPT OSS 20B, которая крутится локально на двух 5060 Ti. Скорость вполне достойная, а если интересно, то можете посмотреть мой бенчмарк разных моделей, инференсов и оборудования https://nizamov.school/benchmarks.

После обработки LLM более 800 постов и 30 тыс. сообщений был сформирован итоговый файл, содержащий все данные с привязками.

После этого все посты были обработаны LLM ещё раз, и сформированы ключевые категории для постов — информация также была добавлена к каждому посту.

Далее Claude создал модели, вьюшки, отрегулировал доступы на backend и перенёс всю информацию.

Разработали с Claude новый раздел на frontend, доработали SEO для форума, более крупные посты были перенесены в блог. Результат переноса можно посмотреть тут https://nizamov.school/forum. Мусор конечно еще есть, но как мне кажется получилось вполне достойно.

Дальше, наверное, запущу Telegram-бота, который будет следить за всеми сообщениями и автоматически добавлять их на форум. И, скорее всего, придётся прикрутить простой поиск на эмбеддингах или запилить простенький RAG.

В общем, как говорится, «один переезд равен двум пожарам», и надеюсь, больше их у меня не будет. Посты изначально буду писать на сайте, а потом они будут разлетаться по разным площадкам.

Может мы возвращаемся к временам, когда люди читали блоги на сайтах? Посмотрим, будет ли кто-то посещать и общаться на форуме — хотя я сомневаюсь.

В любом случае я сохранил всё, что было сгенерировано мной и моими подписчиками.

На этом всё, всем удачи, пока!

В Мах сейчас нельзя установить ни одну негативную реакцию к постам в каналах. Мессенджер для самых счастливых...

Открытый инструмент OSINT‑разведки под названием TGSpyder парсит из Telegram: аудио, видео, участников, их ID, логины и даже номера телефонов, если те открыты. Сервис помогает выкачать историю сообщений даже из закрытых чатов и все пригласительные ссылки. Ищет юзеров по ID и логинам. Собирает все данные в один CSV‑файл и выдаёт в удобном виде. Работает ограничений и не нарушает правила мессенджера.

Открытый загрузчик Telegram Files позволяет скачать файлы из Telegram даже из закрытых чатов, включая аудио, видео, картинки, голосовые, гифки, документы и прочие файлы. Поддерживает сразу несколько аккаунтов в Telegram. Можно скачивать файлы из разных чатов одновременно и вообще не терять в скорости. Поддерживает превью файлов во время скачивания.Работает локально, не нарушает политику мессенджера.