Пользователь обнаружил уязвимость в веб-версии Мах: изображения из ЛС можно найти в открытом доступе по прямой ссылке

 [ Версия для печати ]
Добавить в Telegram Добавить в Twitter Добавить в Вконтакте Добавить в Одноклассники
Страницы: (6) 1 [2] 3 4 ... Последняя »  К последнему непрочитанному [ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]
rangdalebucc
6.03.2026 - 11:17
9
Статус: Offline


Шутник

Регистрация: 3.12.17
Сообщений: 60
Цитата (ELEA @ 6.03.2026 - 11:07)
"по прямой очень длинной ссылке" - ну и чем это опаснее "непрямой" ссылки? Её же никто не видит и не имеет возможности скопировать, кроме хозяина.
Заемали "макины хацкеры". Поняли мы - макс говно, использовать нельзя, вы лучше в говно наступите, чем макс использовать будете. По-ня-ли!
Не будьте как веганы!!!

Понятно, значит будете как веганы. ОК ))

Ну по факту вы правы, лучше в говно наступить. Без шуток.
А манипулировать вы не умеете, пытаетесь, пыжитесь, но нет...
 
[^]
Klotik
6.03.2026 - 11:20
3
Статус: Offline


Ярила

Регистрация: 7.11.12
Сообщений: 8092
Цитата (Crocodile108 @ 6.03.2026 - 11:04)
А кто то за этот защищённый месенджер так ручался, так ручался и организации какие то тоже ручались.

Да никто за него не ручался. Болтовня эта лишь фоновый шум. Как выше писали не для защиты граждан сделано сие поделие.
 
[^]
CtrlX
6.03.2026 - 11:20
4
Статус: Offline


Ярила

Регистрация: 8.09.15
Сообщений: 5634
Там этого полудурка еще на Пикабу обоснованно обосрали, так смысл это сюда тащить?
Да и смысл во всём этом? Да, на одну картинку ты будешь иметь прямую ссылку, дальше что с этим делать? Имея одну ссылку, подобрать ссылку на другую, практически невозможно, даже если скормить эту задачу ИИ. Хотя, может быть и подберёт, лет через триста.

Размещено через приложение ЯПлакалъ
 
[^]
SLash81
6.03.2026 - 11:21
3
Статус: Offline


Весельчак

Регистрация: 9.09.20
Сообщений: 198
Цитата (Therny @ 6.03.2026 - 11:02)
Если знать прямой веб-адрес картинки из веб-версии сервиса... Теоретически такие ссылки можно перебирать автоматически — этим могут заниматься боты и парсеры.

И? Нужно ЗНАТЬ ссылку. Если в ссылке несколько десятков символов, то перебирать практически бессмысленно. Да и толку от того, что смог (теоретически) открыть чьё-то фото? А Яндекс-диск с его ссылками чего тогда не ругают? Не зная ссылки, скачать файл оттуда практически нереально.
 
[^]
Атскокотстенки
6.03.2026 - 11:21
0
Статус: Offline


Ярила

Регистрация: 27.01.11
Сообщений: 7514
Цитата (ELEA @ 06.03.2026 - 11:07)
"по прямой очень длинной ссылке" - ну и чем это опаснее "непрямой" ссылки? Её же никто не видит и не имеет возможности скопировать, кроме хозяина.
Заемали "макины хацкеры". Поняли мы - макс говно, использовать нельзя, вы лучше в говно наступите, чем макс использовать будете. По-ня-ли!
Не будьте как веганы!!!

Понятно, значит будете как веганы. ОК ))

Да мы поняли, что вы уже поняли.

Размещено через приложение ЯПлакалъ
 
[^]
Атскокотстенки
6.03.2026 - 11:22
3
Статус: Offline


Ярила

Регистрация: 27.01.11
Сообщений: 7514
Цитата (SLash81 @ 06.03.2026 - 11:21)
И? Нужно ЗНАТЬ ссылку. Если в ссылке несколько десятков символов, то перебирать практически бессмысленно. Да и толку от того, что смог (теоретически) открыть чьё-то фото? А Яндекс-диск с его ссылками чего тогда не ругают? Не зная ссылки, скачать файл оттуда практически нереально.

Современные ИВК позволяют это сделать за пару секунд

Размещено через приложение ЯПлакалъ
 
[^]
SLash81
6.03.2026 - 11:23
0
Статус: Offline


Весельчак

Регистрация: 9.09.20
Сообщений: 198
Цитата (ELEA @ 6.03.2026 - 11:07)
"по прямой очень длинной ссылке" - ну и чем это опаснее "непрямой" ссылки? Её же никто не видит и не имеет возможности скопировать, кроме хозяина.
Заемали "макины хацкеры". Поняли мы - макс говно, использовать нельзя, вы лучше в говно наступите, чем макс использовать будете. По-ня-ли!
Не будьте как веганы!!!

Понятно, значит будете как веганы. ОК ))

Вот именно. Ссылка длинная и её может только сам хозяин знать.
 
[^]
Mor2in
6.03.2026 - 11:26
5
Статус: Offline


Приколист

Регистрация: 13.09.13
Сообщений: 203
часть этой очень длинной ссылки это хеш пользователя, другая часть это идентификатор сессии... разорви соединение и ссылка станет битой, но макс все равно отстой ))) раньше многие сервисы имели подобные "дыры"
 
[^]
rangdalebucc
6.03.2026 - 11:26
3
Статус: Offline


Шутник

Регистрация: 3.12.17
Сообщений: 60
Цитата (Polkovnik @ 6.03.2026 - 11:13)
справедливости ради, что бы получить ссылку на изображение нужно иметь доступ к самому изображению, в этом случае можно скриншот сделать и отправить на другой комп , нахер тога ссыль нужна.

А если ваш трафик прослушивается? Все URL которые вы запрашивали логируются? Сам телефон все логи собирает.
Получается тот у кого есть эти логи, может открыть ваши очень личные и секретные фотографии закатов и восходов, не будучи в вашем аккаунте авторизованным. Или вообще без логов, имея 1 ссылку, перебором найти все остальные ваши закаты-рассветы.
Если вы этого не понимаете, постарайтесь закончить хотя бы школу, получить базовые знания, а потом комментировать.

Это сообщение отредактировал rangdalebucc - 6.03.2026 - 11:28
 
[^]
captainkuk
6.03.2026 - 11:26
0
Статус: Offline


Ярила

Регистрация: 9.03.15
Сообщений: 6096
Теперь программёрам придётся думать, как сделать другой доступ к вашей информации на максе для товарищей майоров. upset.gif
 
[^]
Einherjer
6.03.2026 - 11:29
2
Статус: Offline


Приколист

Регистрация: 7.01.18
Сообщений: 258
Цитата (SLash81 @ 6.03.2026 - 13:23)
Цитата (ELEA @ 6.03.2026 - 11:07)
"по прямой очень длинной ссылке" - ну и чем это опаснее "непрямой" ссылки? Её же никто не видит и не имеет возможности скопировать, кроме хозяина.
Заемали "макины хацкеры". Поняли мы - макс говно, использовать нельзя, вы лучше в говно наступите, чем макс использовать будете. По-ня-ли!
Не будьте как веганы!!!

Понятно, значит будете как веганы. ОК ))

Вот именно. Ссылка длинная и её может только сам хозяин знать.

Получатель тогда тоже должен по идее ту же самую ссылку видеть, вряд ли там дублирование какое-то, тогда он может перебрать все изображения отправителя в теории
 
[^]
Dimes79
6.03.2026 - 11:29
0
Статус: Offline


Юморист

Регистрация: 19.10.12
Сообщений: 460
Да, есть такое.
Ссылка не требует авторизации.
Другое дело, подбор его займет ну очень много времени
Там 64 в степени 86, если с начала зарождения вселенной перебирать по триллионы в секунду(ХЗ как, 1000 в секунду уже нереально) то сейчас вы будете в начале перебора.

Это сообщение отредактировал Dimes79 - 6.03.2026 - 11:30
 
[^]
PaSquirrel
6.03.2026 - 11:31
0
Статус: Offline


Ярила

Регистрация: 6.03.14
Сообщений: 15636
Цитата (ELEA @ 6.03.2026 - 11:07)
"по прямой очень длинной ссылке" - ну и чем это опаснее "непрямой" ссылки? Её же никто не видит и не имеет возможности скопировать, кроме хозяина.
Заемали "макины хацкеры". Поняли мы - макс говно, использовать нельзя, вы лучше в говно наступите, чем макс использовать будете. По-ня-ли!
Не будьте как веганы!!!

Понятно, значит будете как веганы. ОК ))

Тем что бот переберёт тебе 100500 миллионов таких ссылок за день?
 
[^]
SLash81
6.03.2026 - 11:31
3
Статус: Offline


Весельчак

Регистрация: 9.09.20
Сообщений: 198
Цитата (rangdalebucc @ 6.03.2026 - 11:26)
Цитата (Polkovnik @ 6.03.2026 - 11:13)
справедливости ради, что бы получить ссылку на изображение нужно иметь доступ к самому изображению, в этом случае можно скриншот сделать и отправить на другой комп , нахер тога ссыль нужна.

А если ваш трафик прослушивается? Все URL которые вы запрашивали логируются? Сам телефон все логи собирает.
Получается тот у кого есть эти логи, может открыть ваши очень личные и секретные фотографии закатов и восходов, не будучи в вашем аккаунте авторизованным. Или вообще без логов, имея 1 ссылку, перебором найти все остальные ваши закаты-рассветы.
Если вы этого не понимаете, постарайтесь закончить хотя бы школу, получить базовые знания, а потом комментировать.

Выше человек написал, как образовывается эта ссылка. Даже если кто-то логирует все ваши ссылки, толк от них будет в течение небольшого промежутка времени.
 
[^]
Dimes79
6.03.2026 - 11:38
2
Статус: Offline


Юморист

Регистрация: 19.10.12
Сообщений: 460
Цитата (PaSquirrel @ 6.03.2026 - 11:31)
Тем что бот переберёт тебе 100500 миллионов таких ссылок за день?

Во первых не переберет.
Во вторых не ссылок а возможных комбинаций.
В третьих 100500 миллионов, это ближе к нулю, чем к 0.0001% возможных комбинаций. Шанс, что там будет одна рабочая ссылка есть, правда вероятность выиграть сразу во всех лотереях на земле за один день, будет по больше.
 
[^]
alef78
6.03.2026 - 11:39
3
Статус: Offline


Ярила

Регистрация: 31.08.22
Сообщений: 6144
ожидаемо. Еще когда скаМ только вышел, я здесь писал, что мессенжер, в котором сообщения может читать "товарищ майор", сможет читать товарищ майор из Украины, НАТО или Китая. Не бывает безопасных мессенджеров с дырой только для "товарища майора". Если месcенжер дырявый - он будет для всех дырявый, и читать чужую переписку в нем будут все кому не лень. И хорошо если только читать, а не массово ломать вход в госуслуги с его помощью.
 
[^]
ELEA
6.03.2026 - 11:43
1
Статус: Online


Ярила

Регистрация: 29.01.15
Сообщений: 6524
Цитата (Einherjer @ 6.03.2026 - 11:29)
Цитата (SLash81 @ 6.03.2026 - 13:23)
Цитата (ELEA @ 6.03.2026 - 11:07)
"по прямой очень длинной ссылке" - ну и чем это опаснее "непрямой" ссылки? Её же никто не видит и не имеет возможности скопировать, кроме хозяина.
Заемали "макины хацкеры". Поняли мы - макс говно, использовать нельзя, вы лучше в говно наступите, чем макс использовать будете. По-ня-ли!
Не будьте как веганы!!!

Понятно, значит будете как веганы. ОК ))

Вот именно. Ссылка длинная и её может только сам хозяин знать.

Получатель тогда тоже должен по идее ту же самую ссылку видеть, вряд ли там дублирование какое-то, тогда он может перебрать все изображения отправителя в теории

Вполне может 2 ссылки вести на 1 файл. Но даже если у участников переписки одна и та же ссылка - не значит, что от этого легче перебор.
 
[^]
ELEA
6.03.2026 - 11:45
1
Статус: Online


Ярила

Регистрация: 29.01.15
Сообщений: 6524
Цитата (SLash81 @ 6.03.2026 - 11:31)
Цитата (rangdalebucc @ 6.03.2026 - 11:26)
Цитата (Polkovnik @ 6.03.2026 - 11:13)
справедливости ради, что бы получить ссылку на изображение нужно иметь доступ к самому изображению, в этом случае можно скриншот сделать и отправить на другой комп , нахер тога ссыль нужна.

А если ваш трафик прослушивается? Все URL которые вы запрашивали логируются? Сам телефон все логи собирает.
Получается тот у кого есть эти логи, может открыть ваши очень личные и секретные фотографии закатов и восходов, не будучи в вашем аккаунте авторизованным. Или вообще без логов, имея 1 ссылку, перебором найти все остальные ваши закаты-рассветы.
Если вы этого не понимаете, постарайтесь закончить хотя бы школу, получить базовые знания, а потом комментировать.

Выше человек написал, как образовывается эта ссылка. Даже если кто-то логирует все ваши ссылки, толк от них будет в течение небольшого промежутка времени.

Кроме того, клиент соединяется по https, и как минимум надо или сертификат иметь или как-то уметь и его без сертификата читать (что уже ппц), или вынудить через говнопрокси пользователя ходить (что уже ума пользователю не добавляет).
 
[^]
ELEA
6.03.2026 - 11:47
2
Статус: Online


Ярила

Регистрация: 29.01.15
Сообщений: 6524
Цитата (PaSquirrel @ 6.03.2026 - 11:31)
Цитата (ELEA @ 6.03.2026 - 11:07)
"по прямой очень длинной ссылке" - ну и чем это опаснее "непрямой" ссылки? Её же никто не видит и не имеет возможности скопировать, кроме хозяина.
Заемали "макины хацкеры". Поняли мы - макс говно, использовать нельзя, вы лучше в говно наступите, чем макс использовать будете. По-ня-ли!
Не будьте как веганы!!!

Понятно, значит будете как веганы. ОК ))

Тем что бот переберёт тебе 100500 миллионов таких ссылок за день?

Это страшный человек!! Тогда и телега не спасет. Тут локально столько хер переберешь, сервак ляжет, а уж по сети с пингом хотя бы 20мс - это какие серваки у макса должны быть, чтобы такое выдержать?? И какой канал!?

Это сообщение отредактировал ELEA - 6.03.2026 - 11:48
 
[^]
XanderBass
6.03.2026 - 11:54
1
Статус: Offline


Свободяй

Регистрация: 1.02.11
Сообщений: 12550
Ну я и не сомневался в рукожопии разработчиков этого говна. Никому, блядь, в голову не пришло сделать простейшую систему распределения прав доступа к загружаемым файлам. Блядь, я ещё в 2018-м публиковал статью на Хабре про подобные задачи. Опубликованное решение не идеал, но всяко лучше реализации в "максе".
 
[^]
kot666ss
6.03.2026 - 12:01
0
Статус: Offline


Ярила

Регистрация: 28.12.12
Сообщений: 28799
какая неожиданность.
 
[^]
Therny
6.03.2026 - 12:03
1
Статус: Offline


Весельчак

Регистрация: 31.07.08
Сообщений: 132
Цитата (ELEA @ 6.03.2026 - 11:07)
"по прямой очень длинной ссылке" - ну и чем это опаснее "непрямой" ссылки? Её же никто не видит и не имеет возможности скопировать, кроме хозяина.
Заемали "макины хацкеры". Поняли мы - макс говно, использовать нельзя, вы лучше в говно наступите, чем макс использовать будете. По-ня-ли!
Не будьте как веганы!!!

Понятно, значит будете как веганы. ОК ))

Нужно быть добрее. Если есть какие-то контраргументы или ссылки на них укажите на них и приведите факты. а просто сказать, что все быдланы это так себе затея. Укажите где не прав этот как вы сказали хацкер. Укажите строчку кода, где этого нетт тут не все программисты и не понимают этого негатива. Всего вам доброго
 
[^]
kaha
6.03.2026 - 12:03
0
Статус: Offline


Ярила

Регистрация: 14.04.17
Сообщений: 10204
Цитата (loredan @ 6.03.2026 - 11:06)
Дескредетировала себя маха.

Сразу вспомнил диптих "маха лежащая", и лишь потом уловил второй смысл про лежащий мах)

Пользователь обнаружил уязвимость в веб-версии Мах: изображения из ЛС можно найти в открытом доступе по прямой ссылке
 
[^]
iUrsus
6.03.2026 - 12:05
0
Статус: Offline


Ярила

Регистрация: 28.02.14
Сообщений: 3081
Это не баг, это фича. Так проще стадо контролировать. Даже усилий прилагать не нужно

Размещено через приложение ЯПлакалъ
 
[^]
PaSquirrel
6.03.2026 - 12:15
-2
Статус: Offline


Ярила

Регистрация: 6.03.14
Сообщений: 15636
Цитата (ELEA @ 6.03.2026 - 11:47)
Цитата (PaSquirrel @ 6.03.2026 - 11:31)
Цитата (ELEA @ 6.03.2026 - 11:07)
"по прямой очень длинной ссылке" - ну и чем это опаснее "непрямой" ссылки? Её же никто не видит и не имеет возможности скопировать, кроме хозяина.
Заемали "макины хацкеры". Поняли мы - макс говно, использовать нельзя, вы лучше в говно наступите, чем макс использовать будете. По-ня-ли!
Не будьте как веганы!!!

Понятно, значит будете как веганы. ОК ))

Тем что бот переберёт тебе 100500 миллионов таких ссылок за день?

Это страшный человек!! Тогда и телега не спасет. Тут локально столько хер переберешь, сервак ляжет, а уж по сети с пингом хотя бы 20мс - это какие серваки у макса должны быть, чтобы такое выдержать?? И какой канал!?

Да ладно, 10000 запросов в секунду - это конечно хайлоад, но если руки не из жопы совсем, то вполне. Небольшой ботнет с таким количеством запросов справится в легкую.
 
[^]
Понравился пост? Еще больше интересного в Телеграм-канале ЯПлакалъ!
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.
2 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей) Просмотры темы: 22067
1 Пользователей: iviga
Страницы: (6) 1 [2] 3 4 ... Последняя » [ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]


 
 



Активные темы






Наверх