Пользователь обнаружил уязвимость в веб-версии Мах: изображения из ЛС можно найти в открытом доступе по прямой ссылке


Страницы: (6) « Первая ... 3 4 [5] 6	[ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]

Onixxx	6.03.2026 - 13:40 [ показать ] 0
Статус: Offline Ярила Регистрация: 20.04.16 Сообщений: 1736	Проверил, действительно "дыра". Картинки лежат на домене https://i.oneme.ru/ и доступны по прямой ссылке. В телеге другой принцип, там для картинки class создается, а не прописывается src АПд: вконтакте такой же принцип хранения Это сообщение отредактировал Onixxx - 6.03.2026 - 13:50
	[^]

Ватан11	6.03.2026 - 13:41 [ показать ] 1
Статус: Offline Ярила Регистрация: 15.11.24 Сообщений: 1330	какое это имеет значение ? только глупый чудак не понимает что вопросы безопасности лишь предлог для блокировок всего остального. Размещено через приложение ЯПлакалъ
	[^]

DIMONSTRATOR	6.03.2026 - 13:43 [ показать ] 0
Статус: Offline Приколист Регистрация: 16.02.26 Сообщений: 203	А как же Эээ мамай кланус всо бэзапасна
	[^]

GLKaban	6.03.2026 - 13:45 [ показать ] 0
Статус: Offline Ярила Регистрация: 11.12.14 Сообщений: 1248	лол там ещё много всего :)
	[^]

ELEA

6.03.2026 - 13:46

Статус: Online

Ярила

Регистрация: 29.01.15
Сообщений: 6524

Цитата (Ivsetakoe @ 6.03.2026 - 13:38)

Цитата (ELEA @ 6.03.2026 - 13:28)

Цитата (Therny @ 6.03.2026 - 12:03)

Цитата (ELEA @ 6.03.2026 - 11:07)

"по прямой очень длинной ссылке" - ну и чем это опаснее "непрямой" ссылки? Её же никто не видит и не имеет возможности скопировать, кроме хозяина.
Заемали "макины хацкеры". Поняли мы - макс говно, использовать нельзя, вы лучше в говно наступите, чем макс использовать будете. По-ня-ли!
Не будьте как веганы!!!

Понятно, значит будете как веганы. ОК ))

Нужно быть добрее. Если есть какие-то контраргументы или ссылки на них укажите на них и приведите факты. а просто сказать, что все быдланы это так себе затея. Укажите где не прав этот как вы сказали хацкер. Укажите строчку кода, где этого нетт тут не все программисты и не понимают этого негатива. Всего вам доброго

"тут не все программисты" - тогда зачем так яро кричать, что МАХ дырявый? Я вот никогда не лажу в кулинаррные темы и не пишу, что в вашем рецепте не сочетаются продукты!
А на ЯПе каждый готов накинуть про майора и дыры, а потом оказывается - "тут не все программисты"...
Уж извините, или крестик или трусы...

Извиняюсь а Макс это не майора ли поделка для слежки за гражданами, за тем, чем они там на телефонах пользуются и обходят блокировки ркн??? На Хабре о Максике много информации актуальной, про дыры его а там, а сайт вроде как раз про ИТ

Понятно, старались, делали, угодить начальству хотели а тут народ вон оно как отреагировал, ну так вы создали такое полицейское гос-во репрессивное, где людей за шутки и мысли бьют и сажают, запрещают смотреть то, что человек сам захочет и вообще все дальше ведут в цифровой концлагерь обьясняя это заботой о народе

Если коротко, то нет.

Я, кстати, отлично через мах маме ссылки на ютюб кидаю. И отлично они доходит ))

[^]

shaitan45

6.03.2026 - 13:46

Статус: Offline

Приколист

Регистрация: 7.02.15
Сообщений: 312

Цитата (mrTaiga @ 6.03.2026 - 11:06)

Теперь злоумышленники могут посмотреть моего смешного кота и показания счетчиков

А ещё котиков 18+ на старте,
и счётчик на банковском счету.

[^]

flucky

6.03.2026 - 13:48

Статус: Online

Балагур

Регистрация: 20.01.16
Сообщений: 929

Цитата (VampirBFW @ 6.03.2026 - 11:10)

Цитата (ELEA @ 06.03.2026 - 11:07)

Причем то что они называют длинной ссылкой это хэш пользователя, который можно узнать только из аккаунта

Напомни, пожалуйста, что мешает шифровать пересылаемые изображения приложению, которое подразумевает подключение госуслуг и предъявление кодов документов?

[^]

ELEA

6.03.2026 - 13:50

Статус: Online

Ярила

Регистрация: 29.01.15
Сообщений: 6524

Цитата (flucky @ 6.03.2026 - 13:48)

Цитата (VampirBFW @ 6.03.2026 - 11:10)

Цитата (ELEA @ 06.03.2026 - 11:07)

Причем то что они называют длинной ссылкой это хэш пользователя, который можно узнать только из аккаунта

Да блин! Почему вы думаете, что сообщения не шифруются??? Там весь трафик в вебклиенте по SSL гуляет (по https!!!). Какое еще шифрование вам нужно??

[^]

TEEN	6.03.2026 - 13:50 [ показать ] 1
Статус: Offline пламенный привет икспердам! Регистрация: 1.08.13 Сообщений: 6446	Неподконтрольное властям нашим угрожает безопасности, а это поделие - нет))))
	[^]

Елдерскрол

6.03.2026 - 13:56

Статус: Offline

Ярила

Регистрация: 27.07.21
Сообщений: 3634

Цитата (Алеksей @ 6.03.2026 - 11:08)

а толку то? вечно обманутому же вчера уже доложили, что всё наоборот

Есть ощущение что его опять надувают

[^]

Onixxx	6.03.2026 - 13:58 [ показать ] 1
Статус: Offline Ярила Регистрация: 20.04.16 Сообщений: 1736	А вот еще гордость то какая))
	[^]

step30

6.03.2026 - 14:06

Статус: Offline

Ярила

Регистрация: 31.01.19
Сообщений: 17471

Цитата (rok88 @ 6.03.2026 - 12:43)

Цитата (step30 @ 6.03.2026 - 12:40)

В Телеграмм, Вацапе так можно было?
Не сарказм, вопрос.

В вотсапе стопроцентно нет, там двусторонее шифрование.

А в телеграмме каким образом получить ссылку картинки? А вот в переписке макс проверил работает.

Кстати вообще удобная штука опять же.
Создал в максе отдельный чат где ты и какой нибудь твой второй телефон.

Хочешь вставить 10 картинок в один пост на япе.
Кидаешь 10 картинок в эту переписку. Получаешь десять ссылок.

Вставляешь их все через IMG.
Вообще удобно. Жаль что наверняка потрут эту возможность

Хорошо что объяснили, плохо что я не понял)))
Спасибо.
+

[^]

Alacran

6.03.2026 - 14:15

Статус: Offline

Хохмач

Регистрация: 26.01.18
Сообщений: 707

Цитата (Crocodile108 @ 06.03.2026 - 11:04)

А кто то за этот защищённый месенджер так ручался, так ручался и организации какие то тоже ручались.

Да похуй всем

Размещено через приложение ЯПлакалъ

[^]

uelfrjd	6.03.2026 - 14:24 [ показать ] 0
Статус: Offline антипутриот Регистрация: 26.11.15 Сообщений: 4123	меня больше заебует как хуево работает вставка фоток и картинок для пересылки! рабочий чат если что, отдельный poco40 для этого пидармакса
	[^]

VampirBFW

6.03.2026 - 14:26

Статус: Offline

Главный Сапиосексуал Япа.

Регистрация: 20.02.10
Сообщений: 21609

Цитата (flucky @ 06.03.2026 - 13:48)

Напомни пожалуйста на основании чего идёт расшифровка пересылаемого сообщения и что является хеш ключём расшифровки?

Размещено через приложение ЯПлакалъ

[^]

ELEA

6.03.2026 - 14:27

Статус: Online

Ярила

Регистрация: 29.01.15
Сообщений: 6524

Цитата (uelfrjd @ 6.03.2026 - 14:24)

меня больше заебует как хуево работает вставка фоток и картинок для пересылки!
рабочий чат если что, отдельный poco40 для этого пидармакса

"рабочий чат если что, отдельный poco40 для этого пидармакса" - это типа оправдываешься перед общественностью, что мол да, но на пол шишечки? )

[^]

Naibu

6.03.2026 - 14:30

Статус: Offline

Ярила

Регистрация: 24.07.24
Сообщений: 1109

Цитата (Ligov @ 6.03.2026 - 11:04)

Цитата (Crocodile108 @ 6.03.2026 - 11:04)

А кто то за этот защищённый месенджер так ручался, так ручался.

Это не для безопасности, а для тотального контроля...

Да! Но поскольку наспех лабали криворукие долбоёбы, то получилось, что не для, а ПРОТИВ безопасности, и для "тотального контроля" любого долбоёба любым долбоёбом.

Короче, все как всегда

[^]

beback	6.03.2026 - 14:36 [ показать ] 1
Статус: Offline Ярила Регистрация: 12.02.10 Сообщений: 13284	Т.е. картинки спокойно валяются на сервере в плейнтексте. Угу, принято всё про безопасность, в очередной раз.
	[^]

rrebrof	6.03.2026 - 15:06 [ показать ] 1
Статус: Offline Ярила Регистрация: 23.02.23 Сообщений: 3151	какое-то странное название мах это же чистой воды resheto Размещено через приложение ЯПлакалъ
	[^]

Зоzo

6.03.2026 - 15:06

Статус: Offline

Ярила

Регистрация: 10.07.09
Сообщений: 1186

Цитата (Modigar @ 06.03.2026 - 11:05)

Он еще и инфу про квн сливает товарищу майору (скоро подполковнику)
https://habr.com/ru/articles/1006666/

Объясните, как такое возможно, если на Андроиде стоит запрет к приложениям?

Размещено через приложение ЯПлакалъ

Пользователь обнаружил уязвимость в веб-версии Мах: изображения из ЛС можно найти в открытом доступе по прямой ссылке

[^]

goIIIa79	6.03.2026 - 15:06 [ показать ] 0
Статус: Offline Приколист Регистрация: 1.06.13 Сообщений: 252	Хах! Я недавно симку купил, для работы, Мегафон. Подключил Мах от номера Мэтэсэ. Но т.к. еду туда где Мэтэсэ не работает, решил заблочить Мэтэсэ. Мах тут же уверенно отключился. Что ж, думаю, подключусь тогда через Мегу. И что бы вы думали? Вместо моего аккаунта появилась какая-то Диана вместе со всеми переписка Я так думаю, там можно было попробовать и на Госы залезть и прокатило бы Размещено через приложение ЯПлакалъ
	[^]

Tpynope3

6.03.2026 - 15:11

Статус: Online

Хохмач

Регистрация: 24.01.25
Сообщений: 709

Цитата (ELEA @ 06.03.2026 - 13:30)

Опенсорсом станет? ))
Не, это врядли..

опенсливом

Размещено через приложение ЯПлакалъ

[^]

rangdalebucc

6.03.2026 - 15:12

Статус: Offline

Шутник

Регистрация: 3.12.17
Сообщений: 60

Цитата (SLash81 @ 6.03.2026 - 11:31)

Цитата (rangdalebucc @ 6.03.2026 - 11:26)

Цитата (Polkovnik @ 6.03.2026 - 11:13)

справедливости ради, что бы получить ссылку на изображение нужно иметь доступ к самому изображению, в этом случае можно скриншот сделать и отправить на другой комп , нахер тога ссыль нужна.

А если ваш трафик прослушивается? Все URL которые вы запрашивали логируются? Сам телефон все логи собирает.
Получается тот у кого есть эти логи, может открыть ваши очень личные и секретные фотографии закатов и восходов, не будучи в вашем аккаунте авторизованным. Или вообще без логов, имея 1 ссылку, перебором найти все остальные ваши закаты-рассветы.
Если вы этого не понимаете, постарайтесь закончить хотя бы школу, получить базовые знания, а потом комментировать.

Выше человек написал, как образовывается эта ссылка. Даже если кто-то логирует все ваши ссылки, толк от них будет в течение небольшого промежутка времени.

Хорошо, но объект продолжает существовать, следовательно на него возможны сотни и тысячи ссылок, заметим, что все ссылки на все объекты в базе данных Маха не могут повторяться.
Тогда они должны храниться вечно, иначе ранее использованная ссылка будет не "сгорать", а начнет вести на какой-то другой объект. Значит надо проверять ссылку на предмет уникальности.
Как скоро эта помойка увязнет в самой себе и не сможет больше обрабатывать запросы и генерировать ссылки?

[^]

barmy	6.03.2026 - 15:25 [ показать ] 0
Статус: Online Шутник Регистрация: 21.02.26 Сообщений: 99	И вот почему-то я этому нисколько не удивляюсь. Размещено через приложение ЯПлакалъ
	[^]

barmy

6.03.2026 - 15:27

Статус: Online

Шутник

Регистрация: 21.02.26
Сообщений: 99

Цитата (kaha @ 06.03.2026 - 12:03)

Сразу вспомнил диптих "маха лежащая", и лишь потом уловил второй смысл про лежащий мах)

С этой махой уже триптих получается.

Размещено через приложение ЯПлакалъ

[^]

Понравился пост? Еще больше интересного в Телеграм-канале ЯПлакалъ!

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.

6 Пользователей читают эту тему (1 Гостей и 1 Скрытых Пользователей)	Просмотры темы: 21260
4 Пользователей: stakan666, Chel69, Pervomayskiy, Xanurik26