Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 143
Я так понял, он проблему обозначил
«Нет правовых норм», сказал человек, чья работа буквально создавать правовые нормы.
Не совсем понятно каких правовых норм? Вроде по закону обязаны собирать и хранить данные. Или это как и вся статья для обеливания?
Нет технических возможностей? Подавляющее большинство кто здесь читает, за вечер на коленке напишет. Или это статья рассчитана на дурачков, считающих что что что ставится на на телефон, то и и есть великий мессенджер.
В моем понимании то приложение, что допустим ставят на телефон, это просто интерфейс для связи с сервером, который отправляет туда данные, и где уже делается основная работа. А вот что и сколько туда отправляется это уже интересный вопрос.
Если подумать над статьей, то просто сказано, что в интерфейс не встраивают ИИ. Это логично. Зачем это делать, если все данные (не только ваши сообщения и файлы) отправляются на сервер, и там уже можно с ними работать.
Да и "Приложение выполняет те же функции, что и любой современный мессенджер: обмен сообщениями, звонки, передача файлов" забавно звучит. Это просто доп функции, чтоб заинтересовать в установке. Если бы сие не дополнили этими функциями то пришлось бы еще более насильно впихивать, а не только обязательно в новые телефоны по закону, родителям у которых ребенок в школе учиться и прочее.
Статья полная вода, рассчитаная на домохозяек.
У нас есть правовые нормы?)
создавать правовые нормы.
то, что они создают, это никакие не нормы и тем более не "правовые".
а настоящие правовые нормы они скорее разрушают.
Представитель Госдумы - технарь с доступом к коду? Очевидно, нет.
Достоверность его слов равна достоверности слова, написанного на заборе.
Большая часть населения поверит его словам больше чем какому-то технарю. Технарь не уважаемый человек, заседающий в госдуме, а какая-то сошка мелкая. Наши граждане уважают силу и власть, а не интеллект.
Уважать =/= верить.
Кивать многие будут, но в реальности даже сарай не доверят.
Как сказал один товарищ, в СССР думали одно, говорили другое а делали третье.
https://www.youtube.com/watch?v=q8SAV66jFoE
актуалочка...
Насчёт сарая не знаю, но страну и свои жизни вполне себе доверили.
Доверили - это все же проактивное действие.
Но говорят именно так, да
Насчет доверия своей жизни предлагаю вспомнить как вполне лояльные граждане относились к российской вакцине спутник-V, которую рекламировали не менее интенсивно чем МАХ. Телевизору кивали, за изменение конституции галочку ставили а вот ставить себе прививку не спешили.
Не только "наши граждане", а практически все. Это универсальное свойство.
Нижк уже написали что данный представитель технарь с высшим профильным образованием и работал в ФСБ, так что может и код видел, как-то ж должна происходить сертификация. Пока что достоверность его слов сильно выше чем ваши популистские домыслы. К тому же технические возможности написания автоматических доносов не означают что это имеет какие-то юридические последствия (пока).
Ну, конечно, ИИ не будет ничего отправлять - ему палки не нужны, в отличие от вполне кожаных мешков, которые, как раз, оными правовыми возможностями облечены.
ИИ просто подсветит нужные места в переписке, рыбу заявления составит и всё такое. Удобно же.
Будет как штрафы с камер.
Если сотрудник, разбирающий в день тысячи ситуаций, действительно ошибся — штраф отменят
Главное, чтобы не пришлось реабилитировать ошибочно осуждённого посмертно
.Ага, вон шумского посмотрите, легковому авто пришёл штраф от грузовика, нее отменяют. Человеку на субару с глухой тонировкой пришел штраф где грузик-аквариум за непристегнутого пассажира и пассажир пристегнут, две фото рядом, даже рассматривать не надо. А вообще по конституции у нас так то презумпция невиновности, а выходит, что нужно доказать невиновность, даже если ты не мог физически попастб на штраф во Владивостоке, т.к. попал на штраф в москве спустя час.
Если вам не довелось столкнуться с проблемой, это не значит, что ее нет и что все хорошо работает
Сарказм уже давно не читается на хабре, вы же не думаете, что за несколько секунд можно реально что-то рассмотреть?)
В КоАП тоже есть статья 1.5, но к ней есть примечание, которое вам поможет разобраться.
А вообще по конституции у нас так то презумпция невиновности
Не разбрасывайтесь "презумпцией невиновности" — она имеет отношение только к уголовным делам.
А вообще по конституции у нас так то презумпция невиновности
По административке нет и не было презумпции невиновности.
Если вам не довелось столкнуться с проблемой, это не значит, что ее нет и что все хорошо работает
Предыдущий оратор 146% сарказмировал.
Вот просто интересно с какого этого самого представитель госдумы побежал защищать некий мессенджер принадлежащий коммерческой организации? Да и складывается впечатление что он очень хорошо знает все технические особенности данного мессенджера если делает заявления на тему что он может, а что не может.
Открываем википедию:
Антон Немкин родился 22 августа 1983 в Майкопе, в семье офицера. В 2006 году окончил Академию ФСБ по специальности «Вычислительные машины, комплексы, системы и сети», до 2014 года служил в ФСБ.
Ещё никогда Штирлиц не был так близок к провалу...
Ну значит наберут побольше товарищей майоров в вагончик чтобы вручную мониторить, новые рабочие места, разве плохо? /s
Да нет, он просто врет. В самой новости есть
Специалисты центра используют автоматизированные технические системы
модераторами платформы было удалено более 32 тыс. вредоносных и спам‑документов
Они уже цензурят с помощью ИИ по полной программе. Возможно, что сама кнопка "настучать" пока не автоматизировна, но это же даже и не ИИ, а так, логистичкская регрессия
В какой момент в РФ отсутствие правовых норм стало препятствием?
Добавляем одно наречие и все приходит в норму. У мессенджера Max пока нет технических и правовых возможностей
Кстати, этот депутат Немкин один из создателей чудо-мессенджера "Серафим", но сейчас про это уже и не вспоминают...
Так и камеры на скорость ни кого не штрафуют... Сидит полицай и выписывает штрафы.
Подписывает, причем вообще не глядя на материалы фото фиксации, с моими номерами гоняет какой то шумахер, у меня машина светлая, у него темная, у меня шкода у него фаз 2107. Но это не мешает выписывать мне штрафы "назодясь за рулем шкоды светлого цвета превысил скорость" и тут же под фото подпись живого человека.
Клиент мессенджера для Linux написан на Electron. Дальше можно не читать.
Насчет ии доносчика, так он там и не нужен. Достаточно фильтр там поставить на определенные слова и словосочетания.
Почему Electron - это плохо?
Если кратко: потому, что если приложение хочет грамотно, безопасно и экономно взаимодействовать с ОС, оно должно быть написано под ОС, а не работать через web-обёртку.
Огромный размер, низкая производительность, низкая безопасность, огромное энергопотребление, низкая интеграция с ОС, зависимость от Node.js, npm и огромного количества пакетов, многие из которых не стабильны.
Разработчики 95% десктопных криптокошельков: "ачотакова?" /s
А зачем обертка в виде OS?
Ведь известно что: если приложение хочет грамотно, безопасно и экономно взаимодействовать с ПК, оно должно быть написано под железо на ассемблере! а не работать через OС обертку.
Я бы еще пошутил про отдельный асик для чат программы но это уже совсем жирно будет.
если приложение хочет грамотно, безопасно и экономно взаимодействовать с ПК
Вот тут у меня и возникли вопросы. А что именно мы называем «ПК»? Фактически, ОС — это необходимый уровень абстракции, который предоставляет приложениям API и стандартизированный доступ к железу. Без неё никуда.
А Electron — это уже не базовый слой, а движок браузера, запущенный как отдельное приложение. Он дублирует уже существующие механизмы (отрисовку UI, IPC, работу с файловой системой и т.п.), но делает это менее эффективно.
А вот если железо изначально строго стандартизовано (микроконтроллеры, встроенные системы и т.д.), то там, действительно, можно обойтись без ОС.
отдельный асик для чат программы
Асик для чата — это сильно! Действительно, можно довести идею до абсурда и сделать отдельный чип под одно приложение. Но для того и существует ОС — чтобы не лепить отдельное железо на каждую задачу, а эффективно разделять ресурсы между программами.
Так а почему ОС это "неоибходимый" уроваень абстракции, а Electron нет? Без ОС тоже в теории можно обойстись. Просто будет сложнее. Но намного эффективнее с точки зрения использования железа.
И точно так же программу можно написать с использованием кучи разных ЯП и фреймворков. И везде "эффективность" будет разная.
То есть вопрос не в том как сделать наиболее эффективно. Вопрос в том какие доступные варианты делают это достаtочно эффективно и относится ли к ним Electroн.
Просто будет сложнее.
Критически сложнее. В эпоху ЕС-1840 по фидо ходил рассказ, как один энтузиаст решил обойтись без ОС. Записывал данные прямо на диск — но забыл посчитать контрольные суммы и в итоге всё потерял.
С тех пор железо стало на порядки разнообразнее, объёмы памяти выросли, и сегодня, чтобы поддерживать весь этот зоопарк, придётся фактически написать свою ОС.
В целом я прекрасно понимаю вашу мысль и спорить не собираюсь — действительно, бывают кейсы, когда программы пишутся и без ОС, и даже без компьютера. Сам, проходя службу в СА, спаял сигнализацию на обычных реле — никаких интегральных схем.
Но всё же вопрос стоял не в том, как сделать наиболее эффективно, а в том, чем именно плох Electron по сравнению с нативным приложением.
Но всё же вопрос стоял не в том, как сделать наиболее эффективно, а в том, чем именно плох Electron по сравнению с нативным приложением.
Ну так ваши аргументы например точно так же применимы к каким-нибудь майкрософтовским фрейморкам вроде WPF или WinForms. На них теперь тоже приложения под винду писать не надо?
Мои претензии к Electron не в том, что это абстракция, а в том, что это очень тяжёлая абстракция, которая сильно загружает ОС и железо.
В отличие от Electron, WPF и WinForms не создают «двойной слой» и не запускают целый движок браузера на каждое окно.
Сколько ресурсов жрёт этот "целый движок браузера"? Попробуйте написать приложение на WPF и Electron и сравнить.
Можете получиться и так что вы будете не особо приятно удивлены.
Сколько ресурсов жрёт этот "целый движок браузера"?
Чуть ниже уже ответили
Ещё раз: порпобуйте написать приложение на WPF и Electron и сравнить. И не "Hello World", a действительно нормальное приложение. Или просто можете найти приложения, которые предлагают разные варианты и сравнить их.
WPF тоже любит жрать память . Особенно если "разработчик не особо умный". И это я вам говорю как человек, который регулярно работает с WPF
П.С: например по быстрому находится вот такое: https://kvinivel.com/blog/wpf-vs-electronjsa Это не значти что так всегда. Но в реальности разница далеко не всегда заметна.
Ну например
жрет несколько сот мегабайт RAM минимум для даже минимального функционала. если разработчик не особо умный - еще и тормозит неслабо (VS Code не тормозит но вспоминаются мне статьи как они ковыряли эту тему)
интерфейс не взаимодействует нормально со средствами ОС(соответственно проблемы со всякими чтецами/управлялками экрана. особенно заметно на macOS и Linux)
в случае любых проблем - танцы с бубном (из того что у меня было с софтом на электроне например - не работает обновление...потому что после обновления на win11 НЕ был обновлен криптопро до самой последней беты - диагностика уровня "что-то пошло не так", приложение тупо падает с диагностикой вида failed to listen 127.0.0.1:45557(решается - wsl.exe --shutdown, запуск приложения этого, запуск взад WSL, дефект ЕСТЬ в багтрекере на гитхаб и фокус про wsl там прописан, про исправление не слышно). Вот как такое сотворить можно было?)
Фактически, ОС — это необходимый уровень абстракции, который предоставляет приложениям API и стандартизированный доступ к железу. Без неё никуда.
Ровно тем же занимается электрон но на уровне OS, он дает стандартизированный доступ к апи и интерфейсам независимо от OS на которой работает это приложение.
Ведь ровно как и железо нестандартизировано (как вы пишете ниже) OS так же нестандартные, у меня Windows 11 24h4, у вас windows 10, а может вообще 7? у соседа Macos, а сын маминой подруги сидит на arch btw, и для разработчиков писать и поддерживать этот зоопарк клиентов банально нецелесообразно.
А вот если железо изначально строго стандартизовано (микроконтроллеры, встроенные системы и т.д.), то там, действительно, можно обойтись без ОС.
ЗЫ. Мне как юзеру тоже не особо нравится этот подход к бесконечным слоям абстракций. Но будучи разработчиком, я на 200% понимаю почему так делают и почему это никуда не уйдет.
Та же проблема у игроделов, чего многие используют годо/юнити/анриал если можно писать нативные движки? Да потому что живут люди всего лет 70 от силы, и не хочется потратить пол этой жизни на написание движка под все платформы, когда за тебя это уже 10 раз сделали.
Этот «универсальный слой» очень дорог по ресурсам: память, CPU, батарея (в случае смартфонов). Производительность и нативная интеграция заметно хуже, чем у приложения, написанного под конкретную ОС.
Да, Electron удобен для разработки, но это не про эффективное использование железа. Я бы ещё понял такой путь для стартапа или небольшой команды, которая не может позволить себе нативную разработку. Но для команды VK такой выбор выглядит, прямо скажем, странно.
При этом существуют альтернативы, которые позволяют сохранять кроссплатформенность, но потребляют меньше ресурсов и обеспечивают более тесную интеграцию с ОС
Но для команды VK такой выбор выглядит, прямо скажем, странно.
Допустим вас вк послушали, взяли нативный qt и 5 команд разработки
Клиент сообщений для Ios/android/mac/linux/windows те уже 5 команд разработки, ведь одно дело использовать общие вызовы в электроне, а другое дело бороться уже с пятью уникальными платформами и их сложностями.
Дальше дизайнеры, раньше веб дизы делали тот же самый дизайн и для месенджера, ведь это тот же самый веб в электроне, а теперь нужны QT дезигнеры, и как то связывать их с теми веб дизайнерами что все делали. Кроме того нанять QT спецов будет сложно, их всего 30к резюме на hh когда с электроном их почти 130к.
С партитетом фич сложновато будет, в одной оси все просто, в другой требует фреймворки и остальные костыли, таймлайн релизов будет рваный.
И вот вк потратили кучу денег, мучаются с менеджментом 5 новых отделов, и это все ради экономии 500мб оперативки и 5% батарейки, на телефоне в 6-16гб оперативки и батарейкой обьемом в 3-6к мАч которой хватает так и так на 2 дня а основная нагрузка идет от экрана и сети. Браво.
на телефоне в 6-16гб оперативки и батарейкой обьемом в 3-6к мАч
В обращении находится полно достаточно старых телефонов, где это далеко не так. Плюс еще еще соседние приложения, которые тоже на электроне написаны. В результате они все даже в указанный объем не помещаются и вытесняют друг друга. Что приводит к жутким тормозам.
У меня в работе xiaomi mi5 с 3гб оперативки из 2016 года, сяоми его забросили но lineageos работает прекрасно и ловит обновления. Это декой телефон для всех ватсапов и вк которые жить на основном телефоне не должны. С 3гб памяти он ничего не выгружает, я могу зайти в ватсап который открыт неделю (как и вк) и он откроется на том же месте.
Я не отрицаю что лаги есть, но если не брать совсем мусорные девайсы, а хотя бы что то с бюджетом 100-150$ то проблемы лагов решают сами себя.
ЗЫ
Забыл в прошлый коммент добавить. Представьте только сложность и стоимость аудита безопасности 5 клиентов написанных на разные платформы с абсолютно рандомным набором библиотек?
Я не отрицаю что лаги есть, но если не брать совсем мусорные девайсы, а хотя бы что то с бюджетом 100-150$ то проблемы лагов решают сами себя.
Что-то мне кажется, что очень много людей с такой постановкой вопроса не согласятся. Потому что в свое время брали телефон минимально-достаточный для приложений, что были тогда. Собственно, и меня, хотя есть и нормальный смарт - есть еще кучка китайских нонеймов вроде такого. Был у меня период, когда я покупал что-то такое дешевое под конкретное приложение. (Хотя конкретно этот, кажется, покупался из своих мелких размеров). Удачи на таком хоть что-нибудь современное запустить.
Потому что в свое время брали телефон минимально-достаточный для приложений, что были тогда.
Ну это гениальный подход, сознательно брать самый бюджетный продукт без будущего и потом хотеть что бы весь мир под тебя такого жлоба подстроился.
Девайсы не стоят на месте, люди кстати тоже, абсолютно нормально что требования и у тех и у других растут.
абсолютно нормально что требования и у тех и у других растут.
Если не будет тех, кто берет самые бюджетные варианты - требования будут расти еще быстрее. Так что надо не ругаться, а осознавать, что приложение работает нормально на 'не бюджетных' именно потому что кто-то ноет и хочет, чтобы оно и на бюджетных как-то шевелилось.
Так что надо не ругаться, а осознавать, что приложение работает нормальна на 'не бюджетных' именно потому что кто-то ноет и хочет, чтобы оно и на бюджетных как-то шевелилось.
Спорное утверждение. Сколько люди готовы платить за смартфоны не то чтобы секрет. На что способны смартфоны в разных ценовых категориях тоже не то чтобы секрет.
Поэтому можно просто посмотреть на свою целевую группu и то, какие смартфоны они исппользуют сейчас и будут использовать в обозримом будущем. И соотвественно адаптировать требования у своих программ.
И при этом "люди с бюджетными вариантами" совсем не обязательно входят в целевую аудиторию для всех. И следовательно и влияют они далеко не на всех.
Требования будут такие, какие будут железки на рынке. Рост давно замедлился и нет такого что вчерашний топ сегодня ничего не тянет. телефоны 5-6 летней давности но из премиум сегмента и по сей день актуальны и прекрасно работают (iphone 11, s10 итд), а некоторые даже официальные обновления получают.
Я не против бюджетных девайсов но не надо ждать от них чудес, а реалистично оценивать его время жизни и время поддержки.
У меня Huawei P30 Lite - бут залочек, никакого lineage нет и не превидиться. И таких аппаратов большинство. Плюс разлочить старые xiaomi уже проблематичено.
Как раз под браузер
Так вот именно. Зачем, если под браузер есть, еще в электрон отдельно упаковывать? Пользуйтесь системным движком, а не тащите свой - уже значительно легче становится.
Внезапно - привет Tauri. https://github.com/tauri-apps/tauri
оно даже и чуть быстрее и чуть менее ресурсожруще
Но вот только любителям Electron'а не нравится что:
движок там именно системный (в случаи винды - WebView2 в смысле Edge, в случае macOS - WKWebView в смысле Safari) а не одна и та же в точности версия Google Chrome.
вместо nodejs - пишите плагины. на rust'е
Насчет iOS/Android еще...там любители Electron'а на Desktop часто ReactNative используют...вот вспоминаются почему то заметочники - старый Evernote 8-й версии - синхронизация в фоне отлично работала. В 10-й (а также в Joplin/Obsdian) есть 2 общих свойства - в фоне синхронизация не работает и написано на RN, причем у того же Joplin насколько помню в issues когда патч предложили (Joplin - opensource), нет нет этот патч в принципе не работае так не правильно, на мобилках вообще синхронизация фоновая в принципе не работает. Такое впечатление что или RN - не может повесить foreground notification и дать работать приложению или ВСЕ разработчики этот функционал использовать почему то не могут (а тогда вопросы наверно все же к самому RN).
Тем более, что в сообщении речь идет о десктопном Линуксе...
Тем более, что в сообщении речь идет о десктопном Линуксе.
Там вообще странные какие то люди его делали.
Захожу на госуслуги - большой баннер про этот самый SCAM мол подтверждайте вход в госуслуги (видимо они уверены что так надежнее чем нормальная 2FA).
Открываю сам SCAM (в Shelter'е) - а нету кнопки этот QR код просканировать (ну и не понятно - это замена отлично работающего TOTP на этот самый SCAM или установка дополнительного способа)
если приложение хочет грамотно, безопасно и экономно взаимодействовать с ОС
То есть десктопный МАХ не может быть вирусом и следить-сливать всё что происходит на компьютере? :( Очень плохо сделали, надеюсь в следующих версиях планируют доработать.
Вы правы, браузерная песочница в Electron действительно даёт определённые преимущества при запуске полностью untrusted кода: JS/ WASM выполняются в ограниченной среде, с контролем API и ограниченным доступом к памяти. В этом плане модель «швейцарского сыра» работает.
Однако стоит помнить, что Electron — это не только renderer-песочница. Если приложение использует расширенные возможности доступа к системе через Node.js или native modules — например, работу с файловой системой, сетью или другими ресурсами ОС — RCE или баг в нативном модуле превращают песочницу в иллюзию безопасности.
Кроме того, Electron добавляет множество процессов Chromium и сложный runtime, что увеличивает потенциальную поверхность для ошибок и уязвимостей. В нативном приложении под конкретную ОС можно контролировать используемые библиотеки, минимизировать runtime и уязвимости, что при грамотной разработке даёт более предсказуемый уровень безопасности.
Аргумент про песочницу справедлив для сценариев запуска абсолютно untrusted кода. Но для обычного приложения Electron не делает его автоматически безопаснее, а вносит дополнительные сложности и потенциальные риски.
Если кратко: потому, что если приложение хочет грамотно, безопасно и экономно взаимодействовать с ОС, оно должно быть написано под ОС, а не работать через web-обёртку.
Только с точки зрения бизнеса это избыточно. Использование "web-обёртки" позволяет экономить как на кадрах, так и на процессе разработки, выпуская продукт сразу под все ОС и устройства. Мне кажется так сделано уже большинство современных приложений…
Если кратко: потому, что если приложение хочет грамотно, безопасно и экономно взаимодействовать с ОС, оно должно быть написано под ОС, а не работать через web-обёртку.
Кто будет оплачивать этот банкет? Приложение, конечно же, на ассемблере надо писать и не использовать эти ваши тонны баблиотек, правильно?
Огромный размер
Наплевать, я уже много лет вообще не обращаю внимания на размер приложений.
низкая производительность
Не замечал.
низкая безопасность
С чего бы?
огромное энергопотребление
Понятия не имею, какое там потребление, меня устраивают счета за электричество, почему меня оно должно волновать?
Мне гораздо важнее, что у меня приложение в принципе есть, а уж на чём там оно написано, дело десятое.
Перенос доносчика на устройство позволит сэкономить ресурсы на серверах. Так что "полезная" функция.
А так да, следить можно и без ИИ на телефонах.
А про СОРМ уже все забыли?
От Яндекса: Цель СОРМ-3 — получение информации о пользователе не только в реальном времени, но и за определённый период (до 3 лет). Система собирает статистику о действиях абонента в цифровой среде и создаёт профиль человека на основании его действий
Работа системы СОРМ-3 регламентируется приказом Минкомсвязи России №573 от 29 октября 2018 года.
Внедрение СОРМ-3 обязательно для всех операторов связи и интернет-провайдеров, работающих на территории России. Несоблюдение требований к СОРМ влечёт за собой штрафы и приостановление лицензий
Но СОРМ-3 пока не расшифровывает трафик TLS, а мессенджер Макс живёт на серверах ФСБ.
я в таких нюансах не силен, но полагаю, если данные хранятся в РФ у спецслужб - то они безусловно расшифрованы, пропущены через специально обученные LLM и классифицированы, иначе их хранение бессмысленно.
Пропускать прямо всё через LLM слишком затратно. Проще делить диалоги на сессии, потом их скармливать поисковому индексу с хорошим стеммингом, ну и в векторную дб с ембеддингами.
А уже потом кожаный мешок с пониженной социальной ответственностью может осуществлять поиск и шить дела хорошим людям, желающим развития своей стране.
RuTube отсутсвие правовых норм не останавливает. Действуют проактивно и передают данные в органы без запроса. Что тут помешает?
Так никто вроде и не обвинял ИИ в составлении доносов.
ИИ - просто инструмент. Который будет использован для поиска.
Доносы будут отправлять специально обученные люди.
Тут уже были статьи разбирающие технические аспекты, но здешним малоросам вряд ли что-то получится доказать
Были и есть такие статьи: Разрешения MAX для Android. Cравниваем с Telegram и WhatsApp*.
Просто по ключевым словам будет переписка сканироваться, потом когда надо будет палок набить возьмут всех участников разговора и оформят как диверсионно-террористическую троцкистско-зиновьевскую...ой не то, как диверсионную группу. Суд в закрытом режим и 20 лет строгоча.
Да без разницы есть ИИ или нет, переписка вся хранится 3 года и доступна ФСБ. Это не теория, это требование закона, которое реально исполняется.
В общем то он прав. Если под мессенджером считать APKшку в телефоне. Сообщения будут на серверах в базах данных. ИИ будет просто к базам данных коннектиться. Мессенджер тут не нужен
Ни технических возможностей
МАХ не имеет e2e, а значит техническая возможность анализа переписок сервером у него есть по определению. Делает ли это приложение на устройстве - не особо интересно
ни правовых оснований
Не понимай, есть какая-то норма, которая это запрещает?
За все годы их работы не было ни одного факта использования встроенного ИИ для „доносов“ или отслеживания личных действий пользователей.
Может делать это на сервере? Может. Делает? Не знаю, пусть случаев в публичное пространство вроде бы не попадало.
Его главная задача — обеспечить удобную и защищённую коммуникацию, а не заниматься слежкой»
Поэтому в нём нет е2е, а проталкивают его на устройства пользователей буквально силой?
Также модераторами платформы было удалено более 32 тыс. вредоносных и спам‑документов до нанесения ущерба пользователям.
Ага, не анализируем переписки и аккаунты значит…
Ну раз пошла такая песня, то надо верить!😁
Это ж все до этого по неопытности сомневались...
Спасибо, что подтвердили мои опасения, точно теперь его даже устанавливать не буду.
Можно подумать вы очень хотели. А если надо - ну купите отдельный дешёвый смартфон чисто для госсервисов, где ничего личного не будет лежать
Заходил на госуслуги при входе сильно принуждали поставить его и использовать для входа. Боюсь с какого то момента это станет не опцией.
Сорри, а как именно его предполагается использовать для входа? Получать туда код 2ФА?
И, если не секрет, у вас сейчас 2ФА по СМС или TOTP настроена?
Я почему беспокоюсь: с них станется TOTP отключить, а это даже безотносительно максов всяких очень хреновая идея.
Сорри, а как именно его предполагается использовать для входа? Получать туда код 2ФА?
Да. (Пресс-релиз Минцифры) обсуждение на хабре
Правда, в этом убсуждении я указывал, что по косвенным признакам похоже, что они в него генератор встроили, и не именно "получать"
У нас есть сайт или сервис - вконтакт. И дел административных, уголовных по вконтакту море. Статистика дел - факт. За все что комуто не понравится. Макс в сущности тот же вконтакт , даже разработчики те же. Что же еще надо умным людям для понимания?
Не нужны никакие СОРМ-3, разрешения в Android, шпион в десктопном клиенте, какие-то технические возможности для мессенджера, если есть закон №149-ФЗ статья 10.1 Обязанности организатора распространения информации в сети "Интернет"
Г-н Немкин либо лжет, либо сам не разбирается. Любое ПО может делать с передаваемой информацией все что угодно. В том числе и мессенджер. В том числе производить анализ на основе ИИ и выдавать. Дело в том, что мессенджер не является субъектом права. Т.е. его нельзя наказать. Т.о. автоматизированная обработка любой информации совершенно законна до тех пор, как к ней не потяну ручки человек. И то, виноват будет тот кто потянул свои ручки.
Приложение выполняет те же функции, что и любой современный мессенджер: обмен сообщениями, звонки, передача файлов
Неправда: любой современный мессенджер уже не умеет звонки, спасибо как раз отдельным «товарищам», которые за свои слова юрически вроде даже не отвечают.
сотрудники центра безопасности мессенджера Max в июле 2025 года заблокировали ... более 10 тыс. телефонных номеров мошенников, которые чаще всего предпринимали попытки выдать себя за сотрудников банков
Т.е. те, кто выдавал себя за сотрудников банков, но выдавал не часто, не попал под раздачу?
На смартфонах большинства граждан давно установлены сервисы крупнейших компаний и госструктур — Сбер, ВТБ, „Госуслуги“. За все годы их работы не было ни одного факта использования встроенного ИИ для „доносов“ или отслеживания личных действий пользователей.
Интересно, Сбер точно не следит? А ВК, монстрообразная приложуха которая точно подходит под описание «сервисы крупнейших компаний» — они, получается, вообще не используют «встроенный ИИ для „доносов“ или отслеживания личных действий пользователей»? Ах да, если брать буквально, и речь только про встроенный ИИ в этих приложениях, так тут всё просто — ИИ используется не встроенный, а внешний, в ЦОДах этих крупнейших компаний, верно же?
Член комитета Госдумы РФ по информационной политике Антон Немкин заявил СМИ, что у мессенджера Max нет технических и правовых возможностей для того, чтобы с помощью искусственного интеллекта «оформлять доносы».
There is absolutely no cause for alarm
The wings are not on fire
1). Техническая возможность перехвата трафика для всех популярных месседжеров, это как минимум см. т.н. "Закон Яровой".
2). При когда имеем дело с государством полагаться на встроенное в популярные месседжеры сквозное шифрование, даже там где оно есть, это вопрос веры, а вовсе не следования суровой логике доказанной информационной безопасности.
**************************************
Возмем к примеру наиболе популярный в России Телеграмм:
В правильно организованном сквозном шифровании ключи шифрования не передаются и не синхронизируются по тому же каналу, по которому предается шифруемое этими ключами сообщение.
В Телеграмм где все в одном канале происходит, для синхронизации сесеионных ключей применяется алгоритм Диффи-Хеллмана-Меркля, что при таком раскладе вовсе неудивительно. Удивительно то, что его почему-то называют “гарантией отсутствия возможности доступа к информации сессии”. Алгоритм Диффи-Хеллмана-Меркля уязвим для атаки MitM, “человек посередине” изначально, и был уязвим для неё всегда(Т.к. Вы не знаете с каким узлом сети Вы синхронизируете свои ключи шифрования). Он лишь защищает от перехвата ключа пассивной прослушкой.
К этому добавлю, что в известном видео-канале, что на одном непривествуемом российским государством видеохостинге, очень подробно и популярно всем пояснили, что метаданные аккаунтов Телеграмм и вовсе передаются в открытую, а сервера через которые проксируется российский трафик Телеграмм находятся в юрисдикции РФ. Были в том расследовании еще некоторые вишенки на торте, но уже сказанного достаточно для идеальной атаки MitM, “человек посередине”, товарищем майором, которую даже косвенно не отследить(ибо трафик при атаке пойдет как обычно, а кого товарищу майору слушать - понятно по метаданным).
С WhatsApp конфиденциальности не больше - к нему израильским разработчиком коммерческого шпионского ПО "Paragon" производиться клиент для бэкдора WhatsApp-приложения(поисковики все знают, хоть старую инфу трут, но появляеться все новая и новая). Тут можно не просто слушать перехваты собственно месседжера, а есть возможность на полную катушку использовать разрешения WhatsApp-приложения на доступ к микрофону, камере, экрану и т.д.
P.S. Тут как раз в тему вспомнить очевидный постулат от Брюса Шнайдера, о том что очевидное отсуствие защиты, лучше чем иллюзия ее наличия.
В Телеграмм где
Основная масса сообщений идет через облачные чаты, которые точно так же не зашифрованы от сервера. А тех кто использует секретные - очень мало. Если вспомнишь про то, что раньше параметры для dh шли с сервера (я не знаю изменилось ли это) - проблемой это не является до тех пор, пока они выбраны в соответствии с рекомендациями. И таки претензии к использованию «своего велосипеда» для секретных чатов никуда не делись
уязвим для атаки MitM
Есть возможность сверки отпечатка, но кто сверяет?
Тут можно не просто слушать прехваты собственно месседжера, а есть возможность на полную катушку использовать разрешения WhatsApp-приложения на доступ к микрофону, камере, экрану и т.д.
Ну… это несколько другая атака, когда вредоносное ПО уже на устройстве жертвы, насколько я понял
вредоносное ПО уже на устройстве жертвы, насколько я понял
Клиент от Paragon он для коннекта к штатному бэкдору обычного WhatsApp-приложения. Если, как и положено считать имеющее существующий годами бэкдор приложение вредосносным, то да.
Есть возможность сверки отпечатка, но кто сверяет[в Телеграмм]
В том открытом коде клиента что выложен, о найденном наличии такого функционала пока никто не сообщил, более того клиент Телеграмм даже не проверяет числа применяемые для генерации ключей(которые ему от сервера между прочим приходят, ибо клиент в принципе не может сам генерировать простые числа необходимой разрядности имеющие, прошу прощения за тавтологию ключевое значение в алгоритме) на математические бэкдоры.
Клиент от Paragon он для коннекта к штатному бэкдору обычного WhatsApp-приложения
Graphite-клиент предварительно нужно каким-то образом доставить на устройство жертвы, например через некий ZeroClick RCE
В том открытом коде клиента что выложен, о найденном наличии такого функционала пока никто не сообщил
О, точно? е2е есть только в секретных чатах и при аудио/видео звонках (да, тот самый набор эмодзи при звонке - это тоже отпечаток ключа).
И телега это не скрывает, что в облачных чатах е2е - нет. Конечно, если ты заходишь дальше главной страницы сайта
ибо клиент в принципе не может сам генерировать простые числа необходимой разрядности
Не является проблемой до тех пор, пока они выбраны в соответствии с рекомендациями
даже не проверяет числа
А вот за это их можно ругать. Но я выше тоже упомянул ситуацию с параметрами dh.
набор эмодзи при звонке - это тоже отпечаток ключа
Эмодзи, как таковые, содержат ID аккаунта в котором они созданы, чем помагают товарищу майору отслеживать круг общения.
Но в смысле атаки "человек посредине" это никак не влияет на детектирование атаки, как допустим и любой другой "секретный символ" в сообщении - это просто часть сообщения.
Допустим ТГ-клиент начнет что-то подписывать сессионным ключом, но где и что подписано должен знать собеседник, обмен с которым у вас в том же канале в котором синхронизируються ключи.
Тоесть если ТГ-клиент(допустим) допустим, обладал бы этим функционалом, то такой функционал бесполезен при атаке "человек посредине", тк. сессионые ключи синхронизированы посредством DH в том же канале, и тов. майор знает тоже что и ваш собеседник, в том числе где искать ЭЦП(тов. майору, что бы заменить ее на соотвествующую для каждого собеседника свою "серединную").
we use a three-message modification thereof that works well when both parties are online (which also happens to be a requirement for voice calls):
Т.е. по русски:
мы используем модификацию из трех сообщений , которая хорошо работает, когда оба абонента находятся в сети (что также является требованием для голосовых вызовов):
Тоесть, тут предполагаеться, что чем то они обменялись, еще до атаки "человек посредине". Когда тов. майор поставил на прослушку, до того когда кто то из собеседников вышел из сети, это разумееться не сработает.
Сам себя поднять за волосы может только барон Мюнхаузен, да и тот только в собственных фантазиях. Тут мы видим лишь некий хрупкий костыль к DH.
Стало быть, за оформление доносов отвечает какой-то простой алгоритм, не использующий ИИ.
Техническая возможность есть - сейчас соорудят тендер на создания системы анализа анализов аналитики на основе ИИ.... ну как точно она будет определять никого не волнует - наказания за это нет, а бюджет освоят
Правовая возможность есть - всё, что не запрещено - разрешено
представитель госдумы скажет, зачем обычному мессенджеру скрыто прописывать себя в автозагрузку на андроиде? Пруф:
https://github.com/KARENKING112/max-deep-analysis-of-the-messenger
Знаете, я вот внезапно понял что с самого детства мы живем в мире где почти все ложь... грустно это как то
мы живем в мире где почти все ложь
На самом деле все хуже - не почти все, а просто все и не ложь, а полуправда.
Про упомянутые приложения - нисколько не сомневаюсь в словах депутата! Каждый день звоню по Сберу, а если не дозваниваюсь - чатюсь через ВТБ
У членов Госдумы тоже нет правовых полномочий что-либо запрещать россиянам. Хотя бы потому, что выборы в Госдуму были проведены с нарушениями и фальсификациями ещё в 2011 году, что было доказано независимыми наблюдателями, в том числе международными.
Так и мессенджер – полномочий нет, но всё равно будет наносить вред пользователям
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Представитель Госдумы: у мессенджера Max нет технических и правовых возможностей, чтобы с помощью ИИ «оформлять доносы»