Пользователь обнаружил уязвимость в веб-версии Мах: изображения из ЛС можно найти в открытом доступе по прямой ссылке

Ну там же сказали, что боты будут подбирать адреса Правда не сказали, сколько времени уйдет, учитывая количество символов.

Я кстати мошенников то спрашивал: "А вас что, не известили, что МАХ очень защищенный мессенджер от всяких нехороших людишек и вам, мошенникам, тут не место?!". Сказали, что пока не известили и как только им сообщат администраторы - они сразу и уйдут обратно в телеграмм.

Размещено через приложение ЯПлакалъ

Эта пиздец.

А мне сегодня по маху звонил сам Путин, интересовался, доволен ли я этим приложением? Послал его нахуй. Прикольно, что маха на телефоне у меня нет. И телеыон был выключен.

Размещено через приложение ЯПлакалъ

это не баг, это фича.

делаешь свой сайт с проститутками,
а свой аккаунт в скаме используешь как файловое хранилище,
грузишь туда своих проституток отфотканных в самых неприличных местах, копируеш ссылки оттуда и размещаешь их на своем сайте.

твой сайт не блокируется - там ничего плохого нет.
а все запрещенные картинки в скаме лежат - его точно блокировать не дадут.
profit.

Это сообщение отредактировал pornushnik - 6.03.2026 - 13:05

Что самое поразительное - он есть на линуксе. Причём не вэб версия, а полноценное приложения

Это сообщение отредактировал Therny - 6.03.2026 - 13:10

Я позвоню к трампу чтоб медаль за нобелевку тебе переслал

Вот пусть у тебя и отбирают, и за тебя решают тащ майор!

Если уж никак, то эту шпионскую помойку макс можно и нужно ставить на отдельное устройство

Это еще не приколюха. Приколюха будет, если эту строку можно дешифровать и по фрагменту кода из неё деанонимизировать пользователя, а потом сгенерив этот фрагмент отслеживать весь его контент.

Да было бы лучше, если бы эти говнокодеры разрабатывали своего... питона. Нет ведь.

Размещено через приложение ЯПлакалъ

Как тебя плющит то) Макс это не говно, это говнище!!! А знаешь почему? Потому что в этой стране очень хороша память об сталинских репрессиях и произволе силовиков и еще за то, это шпионящее поделие заставляют ставить насильно! А в стране где законы позволяют избивать и сажать граждан за мысли, мнение и шутки, это приложение ставить просто опасно!

Это сообщение отредактировал Ivsetakoe - 6.03.2026 - 13:25

Чего? Это шутка?
Ну да, если мы знаем пароль и правило формирование хеша мы сможем его найти.
Это базовое свойство SHA.
Но если мы знаем только хеш, то найти пароль из него это не решаемая задача в отведенный участок времени. Это то же базовая особенность криптографии.

хам и скам

До сих пор так и не установил, не хочу что бы информация была доступна третьим лицам.

Это сообщение отредактировал Pjgipigipig - 6.03.2026 - 13:30

"тут не все программисты" - тогда зачем так яро кричать, что МАХ дырявый? Я вот никогда не лажу в кулинаррные темы и не пишу, что в вашем рецепте не сочетаются продукты!
А на ЯПе каждый готов накинуть про майора и дыры, а потом оказывается - "тут не все программисты"...
Уж извините, или крестик или трусы...

Если кому то удастся это сделать, все криптография на планете падет и начнется коллапс сначала финансового сектора а потом и все остальное подтянется.

Опенсорсом станет? ))
Не, это врядли..

наши возможности ограничены вашей фантазией...

Лет пятнадцать назад попадалась бесплатная утилитка, которая перепаковывала любое фото не меняя расширения. На выходе было фото, внутри которого был тупо архив. Представляю, как за эти годы оточили технологии в этом плане.

Я тоже небольшой косячок нашел 🤷‍♂️ кратко: есть пользователи, которые скрывают время входа в приложение. Так вот, выключаете интернет на телефоне, заходите в Макс, смотрите профиль пользователя и там всё таки высвечивается время захода его в приложение🤷‍♂️

Размещено через приложение ЯПлакалъ

Тут вообще не про шифрование, а за исходник веб странички в твоем браузере! Она уже расшифрованная, иначе ба сам браузер охренел бы что ему суют.
Открой так же веб клиеент телеги - там ссылок полно, и все "незашифрованные".

Требую на террориста Павла Дурова завести ещё одно уголовное дело! Он во всем виноват!

А ВС РФ пусть переходят на Макс. Противник сегодня уже будет "прощупывать" ссылки на нужные картинки. Если эти фотки не очищаются от данных GPS, даты и времени, чем сделаны, то разработчикам Макса от них глубочайшее почтение

Это сообщение отредактировал point027 - 6.03.2026 - 13:36

сейчас многих удивлю если что во вконтакте точно также.
фотографии из переписки доступны по прямым ссылкам из вне. если знать их адрес =)

Почитайте комменты на habr из источника это не уязвимость, а стандартная архитектура хранения файлов через CDN или object-storage, где файл доступен по длинному случайному URL, открыть его может только тот, у кого есть ссылка.
Если ссылка серьёзная перебрать её около 0-я затея даже рою ботов. Сделать как в Telegram «за 5 минут» не получится там используется более сложная схема: файлы хранятся на CDN, а доступ к ним выдаётся через временные подписанные ссылки и токены, которые получает только авторизованный клиент. Переход на такую архитектуру требует изменений в backend, CDN и механизме авторизации, поэтому логично, что сначала могли оставить более простую схему, а затем дорабатывать защиту. Скорее всего сейчас речь идёт о временном решении, а не о критической дыре.

Извиняюсь а Макс это не майора ли поделка для слежки за гражданами, за тем, чем они там на телефонах пользуются и обходят блокировки ркн??? На Хабре о Максике много информации актуальной, про дыры его а там, а сайт вроде как раз про ИТ

Понятно, старались, делали, угодить начальству хотели а тут народ вон оно как отреагировал, ну так вы создали такое полицейское гос-во репрессивное, где людей за шутки и мысли бьют и сажают, запрещают смотреть то, что человек сам захочет и вообще все дальше ведут в цифровой концлагерь обьясняя это заботой о народе

Это сообщение отредактировал Ivsetakoe - 6.03.2026 - 13:43