Пользователь обнаружил уязвимость в веб-версии Мах: изображения из ЛС можно найти в открытом доступе по прямой ссылке
Печать
Страницы: 1 2 3  ... 6  ОТВЕТИТЬ НОВАЯ ТЕМА
rangdalebucc 6 мар 2026 в 11:17
Шутник  •  На сайте 8 лет
9
Цитата (ELEA @ 6.03.2026 - 11:07)
"по прямой очень длинной ссылке" - ну и чем это опаснее "непрямой" ссылки? Её же никто не видит и не имеет возможности скопировать, кроме хозяина.
Заемали "макины хацкеры". Поняли мы - макс говно, использовать нельзя, вы лучше в говно наступите, чем макс использовать будете. По-ня-ли!
Не будьте как веганы!!!

Понятно, значит будете как веганы. ОК ))

Ну по факту вы правы, лучше в говно наступить. Без шуток.
А манипулировать вы не умеете, пытаетесь, пыжитесь, но нет...
Klotik 6 мар 2026 в 11:20
Ярила  •  На сайте 13 лет
4
Цитата (Crocodile108 @ 6.03.2026 - 11:04)
А кто то за этот защищённый месенджер так ручался, так ручался и организации какие то тоже ручались.

Да никто за него не ручался. Болтовня эта лишь фоновый шум. Как выше писали не для защиты граждан сделано сие поделие.
CtrlX 6 мар 2026 в 11:20
Ярила  •  На сайте 10 лет
3
Там этого полудурка еще на Пикабу обоснованно обосрали, так смысл это сюда тащить?
Да и смысл во всём этом? Да, на одну картинку ты будешь иметь прямую ссылку, дальше что с этим делать? Имея одну ссылку, подобрать ссылку на другую, практически невозможно, даже если скормить эту задачу ИИ. Хотя, может быть и подберёт, лет через триста.

Размещено через приложение ЯПлакалъ
SLash81 6 мар 2026 в 11:21
Приколист  •  На сайте 5 лет
4
Цитата (Therny @ 6.03.2026 - 11:02)
Если знать прямой веб-адрес картинки из веб-версии сервиса... Теоретически такие ссылки можно перебирать автоматически — этим могут заниматься боты и парсеры.

И? Нужно ЗНАТЬ ссылку. Если в ссылке несколько десятков символов, то перебирать практически бессмысленно. Да и толку от того, что смог (теоретически) открыть чьё-то фото? А Яндекс-диск с его ссылками чего тогда не ругают? Не зная ссылки, скачать файл оттуда практически нереально.
Атскокотстенки 6 мар 2026 в 11:21
Ярила  •  На сайте 15 лет
0
Цитата (ELEA @ 06.03.2026 - 11:07)
"по прямой очень длинной ссылке" - ну и чем это опаснее "непрямой" ссылки? Её же никто не видит и не имеет возможности скопировать, кроме хозяина.
Заемали "макины хацкеры". Поняли мы - макс говно, использовать нельзя, вы лучше в говно наступите, чем макс использовать будете. По-ня-ли!
Не будьте как веганы!!!

Понятно, значит будете как веганы. ОК ))

Да мы поняли, что вы уже поняли.

Размещено через приложение ЯПлакалъ
Атскокотстенки 6 мар 2026 в 11:22
Ярила  •  На сайте 15 лет
4
Цитата (SLash81 @ 06.03.2026 - 11:21)
И? Нужно ЗНАТЬ ссылку. Если в ссылке несколько десятков символов, то перебирать практически бессмысленно. Да и толку от того, что смог (теоретически) открыть чьё-то фото? А Яндекс-диск с его ссылками чего тогда не ругают? Не зная ссылки, скачать файл оттуда практически нереально.

Современные ИВК позволяют это сделать за пару секунд

Размещено через приложение ЯПлакалъ
SLash81 6 мар 2026 в 11:23
Приколист  •  На сайте 5 лет
1
Цитата (ELEA @ 6.03.2026 - 11:07)
"по прямой очень длинной ссылке" - ну и чем это опаснее "непрямой" ссылки? Её же никто не видит и не имеет возможности скопировать, кроме хозяина.
Заемали "макины хацкеры". Поняли мы - макс говно, использовать нельзя, вы лучше в говно наступите, чем макс использовать будете. По-ня-ли!
Не будьте как веганы!!!

Понятно, значит будете как веганы. ОК ))

Вот именно. Ссылка длинная и её может только сам хозяин знать.
Mor2in 6 мар 2026 в 11:26
Приколист  •  На сайте 12 лет
5
часть этой очень длинной ссылки это хеш пользователя, другая часть это идентификатор сессии... разорви соединение и ссылка станет битой, но макс все равно отстой ))) раньше многие сервисы имели подобные "дыры"
rangdalebucc 6 мар 2026 в 11:26
Шутник  •  На сайте 8 лет
3
Цитата (Polkovnik @ 6.03.2026 - 11:13)
справедливости ради, что бы получить ссылку на изображение нужно иметь доступ к самому изображению, в этом случае можно скриншот сделать и отправить на другой комп , нахер тога ссыль нужна.

А если ваш трафик прослушивается? Все URL которые вы запрашивали логируются? Сам телефон все логи собирает.
Получается тот у кого есть эти логи, может открыть ваши очень личные и секретные фотографии закатов и восходов, не будучи в вашем аккаунте авторизованным. Или вообще без логов, имея 1 ссылку, перебором найти все остальные ваши закаты-рассветы.
Если вы этого не понимаете, постарайтесь закончить хотя бы школу, получить базовые знания, а потом комментировать.

Это сообщение отредактировал rangdalebucc - 6 мар 2026 в 11:28
captainkuk 6 мар 2026 в 11:26
Ярила  •  На сайте 11 лет
0
Теперь программёрам придётся думать, как сделать другой доступ к вашей информации на максе для товарищей майоров. upset.gif
Einherjer 6 мар 2026 в 11:29
Приколист  •  На сайте 8 лет
2
Цитата (SLash81 @ 6.03.2026 - 13:23)
Цитата (ELEA @ 6.03.2026 - 11:07)
"по прямой очень длинной ссылке" - ну и чем это опаснее "непрямой" ссылки? Её же никто не видит и не имеет возможности скопировать, кроме хозяина.
Заемали "макины хацкеры". Поняли мы - макс говно, использовать нельзя, вы лучше в говно наступите, чем макс использовать будете. По-ня-ли!
Не будьте как веганы!!!

Понятно, значит будете как веганы. ОК ))

Вот именно. Ссылка длинная и её может только сам хозяин знать.

Получатель тогда тоже должен по идее ту же самую ссылку видеть, вряд ли там дублирование какое-то, тогда он может перебрать все изображения отправителя в теории
Dimes79 6 мар 2026 в 11:29
Юморист  •  На сайте 13 лет
0
Да, есть такое.
Ссылка не требует авторизации.
Другое дело, подбор его займет ну очень много времени
Там 64 в степени 86, если с начала зарождения вселенной перебирать по триллионы в секунду(ХЗ как, 1000 в секунду уже нереально) то сейчас вы будете в начале перебора.

Это сообщение отредактировал Dimes79 - 6 мар 2026 в 11:30
PaSquirrel 6 мар 2026 в 11:31
Ярила  •  На сайте 12 лет
0
Цитата (ELEA @ 6.03.2026 - 11:07)
"по прямой очень длинной ссылке" - ну и чем это опаснее "непрямой" ссылки? Её же никто не видит и не имеет возможности скопировать, кроме хозяина.
Заемали "макины хацкеры". Поняли мы - макс говно, использовать нельзя, вы лучше в говно наступите, чем макс использовать будете. По-ня-ли!
Не будьте как веганы!!!

Понятно, значит будете как веганы. ОК ))

Тем что бот переберёт тебе 100500 миллионов таких ссылок за день?
SLash81 6 мар 2026 в 11:31
Приколист  •  На сайте 5 лет
3
Цитата (rangdalebucc @ 6.03.2026 - 11:26)
Цитата (Polkovnik @ 6.03.2026 - 11:13)
справедливости ради, что бы получить ссылку на изображение нужно иметь доступ к самому изображению, в этом случае можно скриншот сделать и отправить на другой комп , нахер тога ссыль нужна.

А если ваш трафик прослушивается? Все URL которые вы запрашивали логируются? Сам телефон все логи собирает.
Получается тот у кого есть эти логи, может открыть ваши очень личные и секретные фотографии закатов и восходов, не будучи в вашем аккаунте авторизованным. Или вообще без логов, имея 1 ссылку, перебором найти все остальные ваши закаты-рассветы.
Если вы этого не понимаете, постарайтесь закончить хотя бы школу, получить базовые знания, а потом комментировать.

Выше человек написал, как образовывается эта ссылка. Даже если кто-то логирует все ваши ссылки, толк от них будет в течение небольшого промежутка времени.
Dimes79 6 мар 2026 в 11:38
Юморист  •  На сайте 13 лет
2
Цитата (PaSquirrel @ 6.03.2026 - 11:31)
Тем что бот переберёт тебе 100500 миллионов таких ссылок за день?

Во первых не переберет.
Во вторых не ссылок а возможных комбинаций.
В третьих 100500 миллионов, это ближе к нулю, чем к 0.0001% возможных комбинаций. Шанс, что там будет одна рабочая ссылка есть, правда вероятность выиграть сразу во всех лотереях на земле за один день, будет по больше.
alef78 6 мар 2026 в 11:39
Ярила  •  На сайте 3 года
4
ожидаемо. Еще когда скаМ только вышел, я здесь писал, что мессенжер, в котором сообщения может читать "товарищ майор", сможет читать товарищ майор из Украины, НАТО или Китая. Не бывает безопасных мессенджеров с дырой только для "товарища майора". Если месcенжер дырявый - он будет для всех дырявый, и читать чужую переписку в нем будут все кому не лень. И хорошо если только читать, а не массово ломать вход в госуслуги с его помощью.
ELEA 6 мар 2026 в 11:43
Ярила  •  На сайте 11 лет
1
Цитата (Einherjer @ 6.03.2026 - 11:29)
Цитата (SLash81 @ 6.03.2026 - 13:23)
Цитата (ELEA @ 6.03.2026 - 11:07)
"по прямой очень длинной ссылке" - ну и чем это опаснее "непрямой" ссылки? Её же никто не видит и не имеет возможности скопировать, кроме хозяина.
Заемали "макины хацкеры". Поняли мы - макс говно, использовать нельзя, вы лучше в говно наступите, чем макс использовать будете. По-ня-ли!
Не будьте как веганы!!!

Понятно, значит будете как веганы. ОК ))

Вот именно. Ссылка длинная и её может только сам хозяин знать.

Получатель тогда тоже должен по идее ту же самую ссылку видеть, вряд ли там дублирование какое-то, тогда он может перебрать все изображения отправителя в теории

Вполне может 2 ссылки вести на 1 файл. Но даже если у участников переписки одна и та же ссылка - не значит, что от этого легче перебор.
ELEA 6 мар 2026 в 11:45
Ярила  •  На сайте 11 лет
1
Цитата (SLash81 @ 6.03.2026 - 11:31)
Цитата (rangdalebucc @ 6.03.2026 - 11:26)
Цитата (Polkovnik @ 6.03.2026 - 11:13)
справедливости ради, что бы получить ссылку на изображение нужно иметь доступ к самому изображению, в этом случае можно скриншот сделать и отправить на другой комп , нахер тога ссыль нужна.

А если ваш трафик прослушивается? Все URL которые вы запрашивали логируются? Сам телефон все логи собирает.
Получается тот у кого есть эти логи, может открыть ваши очень личные и секретные фотографии закатов и восходов, не будучи в вашем аккаунте авторизованным. Или вообще без логов, имея 1 ссылку, перебором найти все остальные ваши закаты-рассветы.
Если вы этого не понимаете, постарайтесь закончить хотя бы школу, получить базовые знания, а потом комментировать.

Выше человек написал, как образовывается эта ссылка. Даже если кто-то логирует все ваши ссылки, толк от них будет в течение небольшого промежутка времени.

Кроме того, клиент соединяется по https, и как минимум надо или сертификат иметь или как-то уметь и его без сертификата читать (что уже ппц), или вынудить через говнопрокси пользователя ходить (что уже ума пользователю не добавляет).
ELEA 6 мар 2026 в 11:47
Ярила  •  На сайте 11 лет
2
Цитата (PaSquirrel @ 6.03.2026 - 11:31)
Цитата (ELEA @ 6.03.2026 - 11:07)
"по прямой очень длинной ссылке" - ну и чем это опаснее "непрямой" ссылки? Её же никто не видит и не имеет возможности скопировать, кроме хозяина.
Заемали "макины хацкеры". Поняли мы - макс говно, использовать нельзя, вы лучше в говно наступите, чем макс использовать будете. По-ня-ли!
Не будьте как веганы!!!

Понятно, значит будете как веганы. ОК ))

Тем что бот переберёт тебе 100500 миллионов таких ссылок за день?

Это страшный человек!! Тогда и телега не спасет. Тут локально столько хер переберешь, сервак ляжет, а уж по сети с пингом хотя бы 20мс - это какие серваки у макса должны быть, чтобы такое выдержать?? И какой канал!?

Это сообщение отредактировал ELEA - 6 мар 2026 в 11:48
XanderBass 6 мар 2026 в 11:54
Свободяй  •  На сайте 15 лет
2
Ну я и не сомневался в рукожопии разработчиков этого говна. Никому, блядь, в голову не пришло сделать простейшую систему распределения прав доступа к загружаемым файлам. Блядь, я ещё в 2018-м публиковал статью на Хабре про подобные задачи. Опубликованное решение не идеал, но всяко лучше реализации в "максе".
kot666ss 6 мар 2026 в 12:01
Ярила  •  На сайте 13 лет
1
какая неожиданность.
Therny автор 6 мар 2026 в 12:03
Весельчак  •  На сайте 17 лет
1
Цитата (ELEA @ 6.03.2026 - 11:07)
"по прямой очень длинной ссылке" - ну и чем это опаснее "непрямой" ссылки? Её же никто не видит и не имеет возможности скопировать, кроме хозяина.
Заемали "макины хацкеры". Поняли мы - макс говно, использовать нельзя, вы лучше в говно наступите, чем макс использовать будете. По-ня-ли!
Не будьте как веганы!!!

Понятно, значит будете как веганы. ОК ))

Нужно быть добрее. Если есть какие-то контраргументы или ссылки на них укажите на них и приведите факты. а просто сказать, что все быдланы это так себе затея. Укажите где не прав этот как вы сказали хацкер. Укажите строчку кода, где этого нетт тут не все программисты и не понимают этого негатива. Всего вам доброго
kaha 6 мар 2026 в 12:03
Ярила  •  На сайте 9 лет
0
Цитата (loredan @ 6.03.2026 - 11:06)
Дескредетировала себя маха.

Сразу вспомнил диптих "маха лежащая", и лишь потом уловил второй смысл про лежащий мах)

Пользователь обнаружил уязвимость в веб-версии Мах: изображения из ЛС можно найти в открытом доступе по прямой ссылке
iUrsus 6 мар 2026 в 12:05
Ярила  •  На сайте 12 лет
0
Это не баг, это фича. Так проще стадо контролировать. Даже усилий прилагать не нужно

Размещено через приложение ЯПлакалъ
PaSquirrel 6 мар 2026 в 12:15
Ярила  •  На сайте 12 лет
-2
Цитата (ELEA @ 6.03.2026 - 11:47)
Цитата (PaSquirrel @ 6.03.2026 - 11:31)
Цитата (ELEA @ 6.03.2026 - 11:07)
"по прямой очень длинной ссылке" - ну и чем это опаснее "непрямой" ссылки? Её же никто не видит и не имеет возможности скопировать, кроме хозяина.
Заемали "макины хацкеры". Поняли мы - макс говно, использовать нельзя, вы лучше в говно наступите, чем макс использовать будете. По-ня-ли!
Не будьте как веганы!!!

Понятно, значит будете как веганы. ОК ))

Тем что бот переберёт тебе 100500 миллионов таких ссылок за день?

Это страшный человек!! Тогда и телега не спасет. Тут локально столько хер переберешь, сервак ляжет, а уж по сети с пингом хотя бы 20мс - это какие серваки у макса должны быть, чтобы такое выдержать?? И какой канал!?

Да ладно, 10000 запросов в секунду - это конечно хайлоад, но если руки не из жопы совсем, то вполне. Небольшой ботнет с таким количеством запросов справится в легкую.
Понравился пост? Ещё больше интересного в ЯП-Телеграм и ЯП-Max!
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей) Просмотры темы: 25 487
0 Пользователей:
Страницы: 1 2 3  ... 6  ОТВЕТИТЬ НОВАЯ ТЕМА

 
 

Активные темы



Наверх