Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 94
А на парковке тоже ловит?
В начале октября 2025 года Центр безопасности коммуникационной платформы Мax начал блокировать пользователям доступ в мессенджер через вредоносные сторонние приложения
А смысл тогда в этом WhiteMax?
новость неполноценная, max блокировал аккаунты только за Komet, и то эту уязвимость уже пофиксили. за мод не банили
Подумал, пунктом 1 будет - Е2Е шифрование сообщений.
Смысла в нем нет никакого, потому что вся информация все равно отправляется на тот же самый сервер, прямой доступ к которому есть у тов майора.
Я не программист.
Все говорят слежка-передача данных и так далее.
А можно вместо модификации самого мессенджОра просто поместить его в информационный вакуум и давать слать по запросам что не попадя? Местонахождение - Камчатка, звуки - из Калининграда, письма на Фарси и так далее..
Так ты свой сторонний клиент с бэкдором не продашь..
Как вариант: запуск оригинального клиента на отдельном смартфоне или через изолированную песочницу в Shelter.
Ждем банов за использование Shelter (а потом за не-предоставление всех каких надо разрешений)? Разумеется в целях безопасности пользоватля
Вроде уже появляются некоторые ссузы как минимум где макс в обязательном порядке нужен.
но вообще - вот интересно - допустим забанили, их можно заставить либо разбанить либо выдать официальную справку что забанили (для предъявления желающим загнать в этот макс)? А суд что на эту тему подумает?
"Эта услуга платная!"
администрация "Макс"
Хорошо что закон вышел , не больше сколько то там сим на один паспорт можно . А то бы после каждого бана за новой симкой , ( номером )
Приложениями Shelter / Island пользуются мошенники и выманивают через Shelter деньги у пенсионеров.
Кстати, злые языки клевещут, что в КНДР на всех смартфонах стоит неотключаемое приложение от северокорейского РКН которое все передает куда надо. Дешево и сердито. Включая геолокацию, список приложений и всех пользовательских файлов.
И каким же это образом они выманивают деньги с помощью этих приложений, которые практически ничего не делают кроме активации уже встроенной в Android функции. И кстати эту самую функцию песочницы, можно активировать вообще без приложений, для этого надо просто отсканировать специальный QR код на сайте Google в документации.
Значит так. За письма на Фарси вас сделают инагентом иранских аятолл. А за местонахождение на Камчатке и в Калининграде одновременно, вы, гражданин, будете нести ответственность по статье за шпионаж и терроризм и введение в заблуждение спутниковой группировки ГЛОНАСС. Как раз для вас такую статью создадут. Хотя, можно просто впаять "мошенничество" в особо крупных размерах от Камчатки то Калининграда.
Безотносительно к Максу, я вспомнил, что на смартфоне, где у меня стоят ВК-ОК-Макс-Рустор-Яндекс-mail.ru у меня отключен доступ к геолокации.
🤦♂️ MAX и безопасность, серьезно??? Главная угроза MAX в том, что все данные там передаются через государственную систему цензуры. На какое ваше сообщение возбудятся "органы" и оформят вам от штрафа за "дискредитацию ВС РФ" и до "госизмены" с пожизненным сроком вы не знаете. Узнаете, когда вас примут. Хуже того: хранящееся где-то в недрах системы безобидное сообщение может задним числом (через год, два или даже двадцать, тьфу-тьфу-тьфу) стать преступным, и согласно концепции "длящегося преступления" вас "оформят" точно так же, как за свежачок.
Единственный способ безопасного использования мессенджера MAX - не пользоваться мессенджером MAX. Ни оригинальным, ни никакими его модами и альтернативными клиентами.
P.S. Если вас принуждают им пользоваться, то засуньте его во "второе пространство" (shelter, knox - или как оно у вас называется). И ничего там не пишите, сверх абсолютного бытового минимума.
Нет, в определенных случаях это может иметь смысл. Но тогда стоило бы сделать что переписка такая юридически значима сама по себе, не требует никаких нотариально заверенных скриншотов а любой суд/полиция при согласии любой из сторон этой переписке - может получить логи.
Только вот - нет ж этого, вместо этого - есть идиотский баннер на госуслугах + типа-интеграция с госключом (непонятно зачем нужно так ж отсылдать)
В каких случаях, например? Вот как на картинке?👇 Это сколько угодно.
Но я же о другом: инфраструктура MAX не обеспечивает конфиденциальности переписки/переговоров. Она, наоборот, явным образом превращает любое приватное общение в "тройничок", с "товарищем майором". Который легко может вас "оформить", если вы что-то неподобающее скажете/напишете (есть прецеденты, когда прослушка признавалась адресатом "дискредитации", таким образом частный разговор двух людей превращался в "публичную дискредитацию", с соответствующим утяжелением наказания). И совершенно неважно, какой у вас клиент - оригинальный или "безопасный". Точка утечки данных - на серверах.
Ещё раз вам говорят: официальный час с присутствием майора стране нужен – для деловых переписок, для оформления контрактов и судебных разборок. Вот только это Мах таковым не является и пытается самоустраниться от этой роли, как я понял.
А трындеть по госчату просто нехрен.
Ещё раз вам говорят: официальный час с присутствием майора стране нужен – для деловых переписок, для оформления контрактов и судебных разборок.
Довольно-таки жалкая попытка обелить слежку.
Напомню, уже давно весь ваш интернет-трафик хранится в течение как минимум года, а с недавних пор так и вообще трех. А теперь внимание вопрос: можете привести пример, когда субъект права смог использовать эту сохраняемую информацию в гражданско-правовом или хозяйственном споре (те самые контракты и деловые переписки)? Да ладно использовать - чтобы ему хотя бы доступ к этой информации предоставили?
А, и ещё напомню о том, что информация, например, в чатах с поддержкой на тех же госуслугах не является по умолчанию юридически значимой. То есть, грубо говоря, аргумент "а мне так оператор на госуслугах написал" аргументом в суде не является. Значимыми являются только прикрепленные в этой системе документы, удостоверенные ЭП, и госпочта. С чего вы взяли, что с чатами в скаме будет по-другому? Законодательная база та же. Материалом в уголовном деле их содержимое стать может, там другие процессуальные нормы, а вот для гражданских или арбитража - с чего бы?
А главное, цифровой инструмент удостоверения документов, будь то договора или соглашения, уже есть - ЭП. Ну а если кто-то думает, что вместо договора можно чиркнуть десяток строк в чате, и эти строки надлежащим образом выразят его интересы как стороны договора - это уже просто слабоумие, без отваги. Вы никогда не задумывались, почему договора обычно - это несколько страниц текста, а не три предложения?
Напомню, уже давно весь ваш интернет-трафик хранится в течение как минимум года.
Зашифрованный так, что ни у кого ключа к этому шифру нет? Очень полезная вещь.
А нахрена они его тогда собирают и хранят???
А вот это уже очень интересный вопрос. Но не факт, что на него вообще есть ответ.
А нахрена они его тогда собирают и хранят???
Скрытый текст
А как иначе слона 100500 залежалых винчестеров продать?
Даже если нельзя увидеть содержимое, зная сколько, когда и кому слалось, уже можно понять многое. Плюс правительства сделали ставку на квантовые вычисления и надеются на расшифровку в будущем.
И мастер-ключа нет?
Ну так этот вопрос надо ставить перед КС РФ. Как раз и приводя эту разницу в регулировании в качестве аргумента.
Насколько помню, закон о хранении сообщений не предусматривал бюджетных расходов, что фактически означает возложение обязанности финансировать его исполнение за счёт операторов и, в конечном счёте, за счёт потребителей напрямую. При этом закон позволяет использовать данные сообщения, сохранённые во исполнение закона, в качестве доказательств по уголовному делу против потребителей, но не позволяет потребителям использовать эту же финансируемую ими инфраструктуру для представления доказательств в в иных видах судопроизводства: ГПК, АПК, КАС, КоАП. Более того, если я правильно понимаю, даже в уголовном деле возможность воспользоваться этой инфраструктурой есть только у следствия, но не у стороны защиты. В связи с этим оспаривается оправданность таких ограничений на использование финансируемой самими потребителями инфраструктуры с точки зрения конституционно значимых ценностей и равенства сторон перед судами.
Мне интересно что люди думают про другие российские мессенджеры, например, Яндекс? Ясно, что он под юрисдикцией, но вряд ли такой же прямой доступ "кому надо" в любое время, как у Макса или ВК? Или там уже тоже прямой доступ ("админку?") открыли "кому надо"?
"По закону" все "организаторы распространения информации" должны хранить всю переписку клиентов три года и обеспечивать оперативный доступ к этим данным для ФСБ. Разумеется, никто открыто об этом говорить не будет, но исходите из того, что все российские сервисы (и не только коммуникации - такси, заказы еды и прочее) просматриваются "органами". Проживете дольше и лучше...🙄
Так вот почему такисты так любят говорить о политике! Это чтобы побольше телеметрии с пассажиров собрать и заставить проколоться потенциально неблагонадёжных.
к слову сказать такси тоже обязано все поездки докладывать - https://www.rbc.ru/politics/01/09/2023/64ddaff79a7947871f6f3ebc, была тут одна служба такси отказавшаяся. очень быстро закончилась
Никто не волнуется. Вопрос в том как лучше с родственниками общаться, там политики нет. Но одно дело когда данные выдают по запросу и когда просто есть доступ в любое время. Не хочется чтобы кто-то читал или слушал просто по приколу во время обеда вместо просмотра закрытого youtube.
Не хочется чтобы кто-то читал или слушал просто по приколу во время обеда вместо просмотра закрытого youtube.
Лягушка находится уже а таком положении, что её хотелки государство не волнуют.
Вопрос в том как лучше с родственниками общаться, там политики нет
Неужели у вас в разговорах с родственниками тема политики вообще никогда не поднималась?
Я думаю, компании масштаба Яндекса или mail.ru просто не могут быть нелояльными государству, иначе им просто не дадут работать. И админка, и любые действия по устной телефонной просьбе, и много чего еще.
Я так думаю.
Что бы там не заявляли в сети фронтмены и сотрудники пиар-отделов этих компаний, доверия им нет.
Можно, но ничто не запретит максу увидеть что вместо текста передаётся что-то странное и заблочить/ограничить.
Мб прокатит какая-нибудь фигня со стеганографией - например, отправкой картинок с мемами и запрятыванием инфы в каких-то битах. Но мне кажется лучшее что можно сделать - не играть с мошенником в карты - сервер принадлежит понятно кому и в любой момент правила игры могут поменяться в одностороннем порядке.
Пфф, ничего глупее придумать нельзя, это гарантированное попадание "на карандаш".
В середине-конце вегетарианских 2000-х (или в начале 2010-х, уже не вспомню) один мой знакомый решил шифровать (PGP) свою переписку на mail.ru.
Его вызвали на беседу и спросили "что за хрень". Правда, обошлось без последствий.
Но идея хорошая. Я вот подумал, а можно прикрутить PGP/OTR шифрование к какому-нибудь моду VK Messenger-a? С Максом луше не связываться в принципе.
В чем смысл этих "безопасных" модификаций, если переписки все равно хранятся на сервере мессенджеров? Удаление сбора метрик конечно хорошо, только современный смартфон шлет их тоннами и радоваться что на 1 гр. стало меньше немного странно. Единственный безопасный (и то с определенными условиями) мессенджер - это тот, что использует P2P (если под безопасностью подразумевается возможность слать что угодно)
хахах, 20025 год)
Лучше бы сделали односторонний шлюз max->telegram например
Мессенджер Max и безопасность, алкоголик Петрович и трезвость, проститутка Анжела и невинность...
мне вот интересно, не является ли самой по себе дискредитацией то, насколько быстро к этому мессенджеру была привита ненависть со стороны всех госорганов и прочего? Со всех утюгов - «макс, макс, макс», в школах - все в макс, всякие авторизации - «давайте через макс». Но, про этом, сделано все так, что доверия ко всему этому - 0. Хотя допускаю, что люди, которые там пишут непосредственно код - совсем не дураки.
Вспомнился старый советский анекдот: а верёвку свою приносить или выдадут?
При всем уважении к автору, но зачем это все? Я посмотрел коммиты, ужаснулся. Дикий непрофессионализм, многие коммиты сомнительные, один откат другого. Я понимаю если бы это был обычный пет проект, но когда его так вот форсят, нужно быть более профессиональным.
Ждём появления Mad Max.
Мне не понятна истерия вокруг этого мессенджера, в контексте того, что нас уже окружает из цифровых устройств и приложений. Особо в ступор вводит предложения коллег использовать вк мессенджер, вместо макс. Ну и в конце то концов, что мешает не вести свою революционную деятельность в Максе и не касаться политики в рабочих чатах?
Ну и напомню, что все реальные возможности закончились году так в 2008. Если б я понял это тогда, а не в 20-м, то не знал бы что такое 20 КоАП РФ и 212 УК РФ. А сейчас мелко-мелко режем кактус..
Зашёл почитать комментарии. Остальное с этой Махой понятно , кроме одного. Почему название меседжера на иностранном языке все произносят ? Не Максим он , а МаХ ( у скрепной программы русская буква Х , а не икс)
Хм, а возможно ли встроить в модификации max'a сквозное шифрование с открытым ключом, того же диффи-хеллмана? Хотя бы, отправляя ключи через обычные сообщения?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Релиз на GitHub проекта WhiteMax 1.3.0 — модификации мессенджера Max, приоритетом которой является безопасность