Forwarded from Максим Горшенин | imaxai
Для привлечения избирателей на участки в этом году могут использовать новые технологии, в частности, обсуждается, что с помощью умных колонок, например «Алисы» от «Яндекса»
Это обсуждали на семинаре для вице-губернаторов по внутренней политике
Расчет на то, что умные колонки у большей части пользователей включаются каждый день
А для многих людей они уже являются частью быта, частью привычного общения, добавляет собеседник:
===
Краткий гайд как подорвать уровень доверия detected
Telegram | Дзен | MAX
Это обсуждали на семинаре для вице-губернаторов по внутренней политике
Утром в день голосования они доброжелательно скажут, что можно проголосовать, а вечером напомнят про выборы, чтобы можно было успеть дойти до участка
Расчет на то, что умные колонки у большей части пользователей включаются каждый день
А для многих людей они уже являются частью быта, частью привычного общения, добавляет собеседник:
А значит, и уровень доверия к такому гаджету весьма высок
===
Краткий гайд как подорвать уровень доверия detected
Telegram | Дзен | MAX
«Яндекс Фабрика» расширила линейку товаров под брендом Commo и выпустила первые силиконовые ремешки для Apple Watch — Commo Watch Bands. Они совместимы со всеми моделями, доступны в размерах 38–42 мм и 44–49 мм. В комплекте два ремешка длиной 11 и 13 см, материал — гипоаллергенный силикон. Есть 9 цветов, а также доступны фирменные циферблаты по QR-коду с 4 сюжетами и настройками. Цена — от 1,5 тыс. рублей, продажи на «Яндекс Маркете».
То есть - вместо того, чтобы хотя бы попробовать выпустить свои Смарт-часы, они решили выпустить ремешки???
То есть - вместо того, чтобы хотя бы попробовать выпустить свои Смарт-часы, они решили выпустить ремешки???
Ну что, история моей установки радиатора подошла к концу.
Наконец-то мне пришли пластиковые фиксаторы, которые идеально подошли в образовавшееся отверстие.
Чуть чуть подрезал ручку и вуаля - наконец-то скорости вернулись к исходным показателям
Какой я сделал вывод из этой ситуации:
1) Gigabyte сделали "гениальное решение", при котором обрыв винтика в стойке != не замене только стойки, а замене всего крепления M2, ибо оно цельное
2) Всегда держать на такой случай рем.комплект стоек M2 (стоит 200 рублей)
3) Плата расширения это здорово, но решение временное
Наконец-то мне пришли пластиковые фиксаторы, которые идеально подошли в образовавшееся отверстие.
Чуть чуть подрезал ручку и вуаля - наконец-то скорости вернулись к исходным показателям
Какой я сделал вывод из этой ситуации:
1) Gigabyte сделали "гениальное решение", при котором обрыв винтика в стойке != не замене только стойки, а замене всего крепления M2, ибо оно цельное
2) Всегда держать на такой случай рем.комплект стоек M2 (стоит 200 рублей)
3) Плата расширения это здорово, но решение временное
Forwarded from Мемсолог
Где-то на мониторе офицера Пентагона:
«Да, ты был прав!👍
Это действительно детская больница!
Вот настоящие координаты базы КСИР»
«Да, ты был прав!👍
Это действительно детская больница!
Вот настоящие координаты базы КСИР»
Нашел интересный проект, который позволяет проверить, какую модель ваш ПК сможет вытянуть. И все это на мультиплатформе
Нет, этот проект не запустит модели, но является своеобразным бенчмарком, который проверить совместимость по параметрам для запуска
Проверял как на своем Mac M4, так и на основном ПК. Приятно удивился результатам.
Нет, этот проект не запустит модели, но является своеобразным бенчмарком, который проверить совместимость по параметрам для запуска
Проверял как на своем Mac M4, так и на основном ПК. Приятно удивился результатам.
Forwarded from МойОфис
Теперь официально: у МойОфис появился бесплатный тариф для частных пользователей📢
Мы знаем, как важно иметь под рукой удобное офисное ПО — для повседневных задач, учебы или срочных правок в последнюю минуту. И поэтому мы сделали базовые возможности редакторов МойОфис бесплатными для частных пользователей. Без подписки, без ограничений по времени.
Просто скачивайте и пользуйтесь:
📄«МойОфис Текст»
Для создания и редактирования текстовых документов (есть функция оформления заголовков по ГОСТ - особенно актуальная для студентов).
📊«МойОфис Таблица»
Для работы с данными и построения диаграмм.
🖥 «МойОфис Презентация»
Для оформления слайдов.
📱«МойОфис Документы»
Мобильное приложение, где собраны все три редактора.
Приложения для ПК можно скачать на официальном сайте МойОфис, для смартфонов — в RuStore, Google Play, App Store, Huawei AppGallery, Xiaomi GetApps, Samsung Galaxy Store.
Для пользователей, которым нужны расширенные возможности редакторов — от макрокоманд до колоночной верстки, — у нас остается премиум-подписка на «МойОфис для дома» с полным набором профессиональных инструментов.
Мы знаем, как важно иметь под рукой удобное офисное ПО — для повседневных задач, учебы или срочных правок в последнюю минуту. И поэтому мы сделали базовые возможности редакторов МойОфис бесплатными для частных пользователей. Без подписки, без ограничений по времени.
🦉: «Безвозмездно, то есть даром!»
Просто скачивайте и пользуйтесь:
📄«МойОфис Текст»
Для создания и редактирования текстовых документов (есть функция оформления заголовков по ГОСТ - особенно актуальная для студентов).
📊«МойОфис Таблица»
Для работы с данными и построения диаграмм.
🖥 «МойОфис Презентация»
Для оформления слайдов.
📱«МойОфис Документы»
Мобильное приложение, где собраны все три редактора.
Приложения для ПК можно скачать на официальном сайте МойОфис, для смартфонов — в RuStore, Google Play, App Store, Huawei AppGallery, Xiaomi GetApps, Samsung Galaxy Store.
Для пользователей, которым нужны расширенные возможности редакторов — от макрокоманд до колоночной верстки, — у нас остается премиум-подписка на «МойОфис для дома» с полным набором профессиональных инструментов.
🔥1
Новые Apple MacBook на M5
✅ Apple выпустила MacBook Pro с мощными M5 Pro и M5 Max (14/16 дюймов, от $2199), которые в 2–4 раза быстрее предыдущего поколения в AI-задачах, с батареей до 24 часов и удвоенной скоростью SSD.
✅ Так же представили обновленный MacBook Air на базовом M5, который стал в 1,5 раза мощнее M4, с минимальными 512 ГБ памяти, Wi-Fi 7, Bluetooth 6 и ценой от $1099. Идеально для разработчиков и ИИ-энтузиастов: Neural Engine ускорен до 4x, графика +30–50%.
Если вдруг задумывались о покупке на M4 - стоит подождать M5
✅ Apple выпустила MacBook Pro с мощными M5 Pro и M5 Max (14/16 дюймов, от $2199), которые в 2–4 раза быстрее предыдущего поколения в AI-задачах, с батареей до 24 часов и удвоенной скоростью SSD.
✅ Так же представили обновленный MacBook Air на базовом M5, который стал в 1,5 раза мощнее M4, с минимальными 512 ГБ памяти, Wi-Fi 7, Bluetooth 6 и ценой от $1099. Идеально для разработчиков и ИИ-энтузиастов: Neural Engine ускорен до 4x, графика +30–50%.
Если вдруг задумывались о покупке на M4 - стоит подождать M5
Компания Apple выпустила новый MacBook Neo по цене $600, который призван составить конкуренцию Chromebook и бюджетным моделям на базе Windows. Устройство оснащено мобильной системой на чипе Apple A18 Pro, аналогичным тому, что используется в iPhone 16 Pro. Объём оперативной памяти составляет 8 ГБ, а объём встроенной памяти может достигать 512 ГБ. Корпус ноутбука выполнен из алюминия и доступен в нескольких ярких цветах.
MacBook Neo оборудован 13-дюймовым дисплеем Liquid Retina, двумя портами USB-C, разъёмом для наушников 3,5 мм, камерой с разрешением Full HD и стереодинамиками, поддерживающими технологию Dolby Atmos. В более продвинутых версиях будет также доступен сканер отпечатков пальцев Touch ID.
MacBook Neo оборудован 13-дюймовым дисплеем Liquid Retina, двумя портами USB-C, разъёмом для наушников 3,5 мм, камерой с разрешением Full HD и стереодинамиками, поддерживающими технологию Dolby Atmos. В более продвинутых версиях будет также доступен сканер отпечатков пальцев Touch ID.
Forwarded from DevOps
This media is not supported in your browser
VIEW IN TELEGRAM
🚀 LOAD BALANCER ЗА 1 МИНУТУ
Load Balancer - это «диспетчер трафика» между пользователями и серверами.
Когда пользователей становится много, один сервер перестаёт справляться:
- 500 пользователей — работает нормально
- 1 000 — начинает тормозить
- 10 000 — может упасть из-за перегрузки
Load Balancer распределяет входящие запросы между несколькими серверами, чтобы ни один из них не перегружался. Это повышает производительность и позволяет системе обслуживать больше пользователей.
Проблемы без Load Balancer:
- Один сервер = одна точка отказа
- Любой сбой или проблема с сетью — приложение полностью недоступно
- Ограниченная мощность
- При росте нагрузки — медленные ответы и падения
Как работает Load Balancer:
1. Все запросы сначала попадают в Load Balancer
2. Он проверяет, какие серверы работают и доступны
3. Распределяет трафик по серверам на основе:
- текущей нагрузки
- времени ответа
- доступности
4. Если сервер перестаёт отвечать — трафик автоматически перенаправляется на рабочие
В результате:
- нагрузка распределяется равномерно
- используются только «здоровые» серверы
- уменьшаются задержки
- система остаётся стабильной
Зачем нужен Load Balancer:
- Scalability — можно добавлять новые серверы без изменений на стороне клиента
- High Availability — если один сервер падает, система продолжает работать
- Better Performance — запросы обрабатываются быстрее
- Efficient resource usage — равномерное использование ресурсов и отсутствие узких мест
Главная идея:
Load Balancer — основа масштабируемых и отказоустойчивых систем. Без него любое приложение рано или поздно упрётся в предел одного сервера.
Подписывайся, больше фишек каждый день !
Load Balancer - это «диспетчер трафика» между пользователями и серверами.
Когда пользователей становится много, один сервер перестаёт справляться:
- 500 пользователей — работает нормально
- 1 000 — начинает тормозить
- 10 000 — может упасть из-за перегрузки
Load Balancer распределяет входящие запросы между несколькими серверами, чтобы ни один из них не перегружался. Это повышает производительность и позволяет системе обслуживать больше пользователей.
Проблемы без Load Balancer:
- Один сервер = одна точка отказа
- Любой сбой или проблема с сетью — приложение полностью недоступно
- Ограниченная мощность
- При росте нагрузки — медленные ответы и падения
Как работает Load Balancer:
1. Все запросы сначала попадают в Load Balancer
2. Он проверяет, какие серверы работают и доступны
3. Распределяет трафик по серверам на основе:
- текущей нагрузки
- времени ответа
- доступности
4. Если сервер перестаёт отвечать — трафик автоматически перенаправляется на рабочие
В результате:
- нагрузка распределяется равномерно
- используются только «здоровые» серверы
- уменьшаются задержки
- система остаётся стабильной
Зачем нужен Load Balancer:
- Scalability — можно добавлять новые серверы без изменений на стороне клиента
- High Availability — если один сервер падает, система продолжает работать
- Better Performance — запросы обрабатываются быстрее
- Efficient resource usage — равномерное использование ресурсов и отсутствие узких мест
Главная идея:
Load Balancer — основа масштабируемых и отказоустойчивых систем. Без него любое приложение рано или поздно упрётся в предел одного сервера.
Подписывайся, больше фишек каждый день !
// Пример конфигурации Nginx как Load Balancer
http {
upstream backend {
server 192.168.1.10;
server 192.168.1.11;
server 192.168.1.12;
}
server {
listen 80;
location / {
proxy_pass http://backend;
}
}
}
🔥1
Forwarded from infosec
• Следственный комитет РФ расследует дело против москвича, который вымогал деньги у хакерской группировки "Conti" под видом ФСБ.
• Сразу нужно отметить, что хакерская группировка Conti - является одной из наиболее известных вымогательских хак-групп последних лет, у которое есть даже собственный HR отдел, зарплата и система мотивации. Нет только ДМС, но, вероятно, это недоразумение исправят в будущем... А еще участники группировки называли себя "патриотами" и заявляли, что не атакуют компании из России.
• Так вот, главное следственное управление СК сейчас расследует уголовное дело против жителя Москвы Руслана Сатучина, который, по версии следствия, выдавал себя за офицера ФСБ и требовал крупную сумму у участников вымогательской группировки Conti.
• По данным следствия, в сентябре 2022 года Сатучин связался с одним из членов Conti и заявил, что работает в ФСБ. Под этим предлогом он потребовал деньги - в обмен на отказ от оперативно-разыскных мероприятий и непривлечение хакеров к уголовной ответственности. Дело против Сатучина и "неустановленных лиц" возбудили в сентябре 2025 года по статье о мошенничестве в особо крупном размере.
• Предполагаемого фальшивого сотрудника ФСБ задержали в Москве в октябре 2025 года. Как утверждают источники, к тому моменту он уже знал о возбуждении дела и идущей проверке, однако продолжал жить по месту регистрации и не пытался скрыться. На следующий день суд отправил его под стражу, а в декабре продлил арест еще на два месяца.
• Сообщается, что в настоящее время свою вину Сатучин не признает, и он содержится под стражей в одном из столичных следственных изоляторов.
• Просчитался, но где...
➡️ Источник.
#Новости
• Сразу нужно отметить, что хакерская группировка Conti - является одной из наиболее известных вымогательских хак-групп последних лет, у которое есть даже собственный HR отдел, зарплата и система мотивации. Нет только ДМС, но, вероятно, это недоразумение исправят в будущем... А еще участники группировки называли себя "патриотами" и заявляли, что не атакуют компании из России.
• Так вот, главное следственное управление СК сейчас расследует уголовное дело против жителя Москвы Руслана Сатучина, который, по версии следствия, выдавал себя за офицера ФСБ и требовал крупную сумму у участников вымогательской группировки Conti.
• По данным следствия, в сентябре 2022 года Сатучин связался с одним из членов Conti и заявил, что работает в ФСБ. Под этим предлогом он потребовал деньги - в обмен на отказ от оперативно-разыскных мероприятий и непривлечение хакеров к уголовной ответственности. Дело против Сатучина и "неустановленных лиц" возбудили в сентябре 2025 года по статье о мошенничестве в особо крупном размере.
• Предполагаемого фальшивого сотрудника ФСБ задержали в Москве в октябре 2025 года. Как утверждают источники, к тому моменту он уже знал о возбуждении дела и идущей проверке, однако продолжал жить по месту регистрации и не пытался скрыться. На следующий день суд отправил его под стражу, а в декабре продлил арест еще на два месяца.
• Сообщается, что в настоящее время свою вину Сатучин не признает, и он содержится под стражей в одном из столичных следственных изоляторов.
• Просчитался, но где...
#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
😁2🤣1
infosec
• Следственный комитет РФ расследует дело против москвича, который вымогал деньги у хакерской группировки "Conti" под видом ФСБ. • Сразу нужно отметить, что хакерская группировка Conti - является одной из наиболее известных вымогательских хак-групп последних…
АХАХАХАХАХАХАХ
Это звучит как новость с Панорамы
Это звучит как новость с Панорамы
Nvidia прекратила производство чипов, предназначенных для китайского рынка
Компания перепрофилировала мощности TSMC с производства микросхем H200 на производство оборудования нового поколения Vera Rubin.
Компания перепрофилировала мощности TSMC с производства микросхем H200 на производство оборудования нового поколения Vera Rubin.
Forwarded from Технологический Болт Генона
Ща будет один пост про MAX, что бы не писать три 🌝
Новость первая, она же пост на Хабре. Там куча подробностей, всем интересующимся рекомендую (PDF положу в комменты)
TL;DR - содержит шпионский модуль, который сделали разработчики MAX для слежки за теми кто использует VPN, они постарались сделать этот модуль неблокируемым и прикрутили удаленное управление.
Месседжер MAX следит за пользователями VPN? Реверс инжиниринг говорит — да
https://habr.com/ru/articles/1006666/
Я это предположил ещё в январе, спасибо автору что подтвердил моё предположение
https://news.1rj.ru/str/tech_b0lt_Genona/6096
Есть ответ от MAX
Разработчики МАХ изучили публикации о запросах мессенджера. Предположения, сделанные в них, не соответствуют действительности. Вот детальные пояснения:
1. Информация об IP-адресах используется исключительно для обеспечения корректной работы звонков. Для установки P2P-соединения (звонков) технология WebRTC требует внешний IP, чтобы построить прямой маршрут «телефон-телефон». Это стандарт для всех сервисов, которые осуществляют звонки при помощи данной технологии;
2. Запросы на серверы, например Apple и Google, необходимы для проверки доставки push-уведомлений пользователям. В сложных сетевых условиях и ограничениях мобильной связи в отдельных регионах — это необходимая мера для корректной работы уведомлений;
3. МАХ не отправляет запросы на серверы WhatsApp и Telegram.
Используемые технические решения направлены на обеспечение высокого качества работы сервисов — в первую очередь звонков и уведомлений. К персональным данным или пользованию другими сервисами, включая VPN, они не имеют никакого отношения.
В Max пояснили Хабру: мессенджер не отправляет запросы на серверы WhatsApp и Telegram и не отслеживает использование VPN
https://habr.com/ru/news/1006950/
Новость вторая
Регистрация в MAX стала доступна жителям 40 стран
https://vk.company/ru/press/releases/12244/
Я немного перестал понимать, что такое MAX.
Считаю, что он теперь многонациональный, так как теперь скамить россиян в MAX сможет ещё больше людей из разных стран.
Ну и третья новость
Глава государства обсудил вопросы, в частности, ограничения Telegram с женщиной - военным связистом Ириной Годуновой.
...
Годунова рассказала, что Telegram использовался на фронте, но это "вражеский вид связи". "Нам нужно что-то разработать такое свое, улучшить", - добавила она.
сообщает нам ТАСС
https://tass.ru/politika/26667667
Я тут оставлю комментарии, которые сделал Sachok (у него сгорела жопа)
Предполагаем, что все таки доходит до Владимира Владимировича информация о том, что MAX сырой и рано его вводить для всех с 1 апреля. Я не силовик, конечно, но мой долг офицерскому составу, который нас читает из разных структур от имени ИБ-сообщества сказать, что надо пообщаться побольше с ИБ-специалистами, спецами по мобилкам, шифрованию и тд и еще раз взвесить все «за» и «против» перевода всех на нацмессенджер MAX в ближайшие месяцы. Правда, взвесьте на чаще весов все минусы и плюсы, пожалуйста. До нас периодически доходят сообщения, которые мы не публикуем в силу своего ответственного отношения к распространению информации о том, что есть много критических недоработок, на которые, очевидно, нужно время.
https://news.1rj.ru/str/CyberSachok/3000
Я готов 10 лет не выезжать из России и отдыхать только в Геленджике и Адлере, чтобы вы понимали всю искренность моих слов. Не оппозиционеры, не иноагенты, а ИБ спецы в своей специализации мне уже несколько месяцев присылают отчеты о недостатках в MAX, которые я каждый раз пересылаю PR мессенджера.
https://news.1rj.ru/str/CyberSachok/3001
Ну нельзя допускать такое БЛЯДСТВО, когда мессенджер позиционируется как безопасный.
https://news.1rj.ru/str/CyberSachok/3002
"А на сегодня всё, до новых встреч"
Новость первая, она же пост на Хабре. Там куча подробностей, всем интересующимся рекомендую (PDF положу в комменты)
TL;DR - содержит шпионский модуль, который сделали разработчики MAX для слежки за теми кто использует VPN, они постарались сделать этот модуль неблокируемым и прикрутили удаленное управление.
Месседжер MAX следит за пользователями VPN? Реверс инжиниринг говорит — да
https://habr.com/ru/articles/1006666/
Я это предположил ещё в январе, спасибо автору что подтвердил моё предположение
https://news.1rj.ru/str/tech_b0lt_Genona/6096
Есть ответ от MAX
Разработчики МАХ изучили публикации о запросах мессенджера. Предположения, сделанные в них, не соответствуют действительности. Вот детальные пояснения:
1. Информация об IP-адресах используется исключительно для обеспечения корректной работы звонков. Для установки P2P-соединения (звонков) технология WebRTC требует внешний IP, чтобы построить прямой маршрут «телефон-телефон». Это стандарт для всех сервисов, которые осуществляют звонки при помощи данной технологии;
2. Запросы на серверы, например Apple и Google, необходимы для проверки доставки push-уведомлений пользователям. В сложных сетевых условиях и ограничениях мобильной связи в отдельных регионах — это необходимая мера для корректной работы уведомлений;
3. МАХ не отправляет запросы на серверы WhatsApp и Telegram.
Используемые технические решения направлены на обеспечение высокого качества работы сервисов — в первую очередь звонков и уведомлений. К персональным данным или пользованию другими сервисами, включая VPN, они не имеют никакого отношения.
В Max пояснили Хабру: мессенджер не отправляет запросы на серверы WhatsApp и Telegram и не отслеживает использование VPN
https://habr.com/ru/news/1006950/
Новость вторая
Регистрация в MAX стала доступна жителям 40 стран
https://vk.company/ru/press/releases/12244/
Я немного перестал понимать, что такое MAX.
Считаю, что он теперь многонациональный, так как теперь скамить россиян в MAX сможет ещё больше людей из разных стран.
Ну и третья новость
Глава государства обсудил вопросы, в частности, ограничения Telegram с женщиной - военным связистом Ириной Годуновой.
...
Годунова рассказала, что Telegram использовался на фронте, но это "вражеский вид связи". "Нам нужно что-то разработать такое свое, улучшить", - добавила она.
сообщает нам ТАСС
https://tass.ru/politika/26667667
Я тут оставлю комментарии, которые сделал Sachok (у него сгорела жопа)
Предполагаем, что все таки доходит до Владимира Владимировича информация о том, что MAX сырой и рано его вводить для всех с 1 апреля. Я не силовик, конечно, но мой долг офицерскому составу, который нас читает из разных структур от имени ИБ-сообщества сказать, что надо пообщаться побольше с ИБ-специалистами, спецами по мобилкам, шифрованию и тд и еще раз взвесить все «за» и «против» перевода всех на нацмессенджер MAX в ближайшие месяцы. Правда, взвесьте на чаще весов все минусы и плюсы, пожалуйста. До нас периодически доходят сообщения, которые мы не публикуем в силу своего ответственного отношения к распространению информации о том, что есть много критических недоработок, на которые, очевидно, нужно время.
https://news.1rj.ru/str/CyberSachok/3000
Я готов 10 лет не выезжать из России и отдыхать только в Геленджике и Адлере, чтобы вы понимали всю искренность моих слов. Не оппозиционеры, не иноагенты, а ИБ спецы в своей специализации мне уже несколько месяцев присылают отчеты о недостатках в MAX, которые я каждый раз пересылаю PR мессенджера.
https://news.1rj.ru/str/CyberSachok/3001
Ну нельзя допускать такое БЛЯДСТВО, когда мессенджер позиционируется как безопасный.
https://news.1rj.ru/str/CyberSachok/3002
"А на сегодня всё, до новых встреч"
💩1
Forwarded from PRO Hi-Tech
В Max обнаружена серьезная дыра в безопасности. Фотографии, пересылаемые в личных сообщениях, оказались общедоступными.
Если злоумышленнику известен точный веб-адрес изображения из веб-версии Max, он сможет его просмотреть примерно как в случае с сайтами для обмена изображениями, только ссылка несколько длиннее. Авторизация в Max для этого не требуется, как и не требуется быть легитимным получателем данного изображения внутри системы.
Это также означает, что злоумышленники и системы автоматизированного сбора информации (в том числе иностранные) могут получить доступ к случайным изображениям случайных пользователей путем перебора ключа, состоящего из нескольких десятков символов.
До устранения уязвимости мы считаем разумным воздержаться от пересылки через Max любых изображений, которые могут содержать медицинскую или иную тайну, фото паспорта и банковских карт, а также фотографий листочков с логинами и паролями.
Увы, по ссылке можно получить доступ и к фотографиям, пересылаемым в личных сообщениях в VK.
Если злоумышленнику известен точный веб-адрес изображения из веб-версии Max, он сможет его просмотреть примерно как в случае с сайтами для обмена изображениями, только ссылка несколько длиннее. Авторизация в Max для этого не требуется, как и не требуется быть легитимным получателем данного изображения внутри системы.
Это также означает, что злоумышленники и системы автоматизированного сбора информации (в том числе иностранные) могут получить доступ к случайным изображениям случайных пользователей путем перебора ключа, состоящего из нескольких десятков символов.
До устранения уязвимости мы считаем разумным воздержаться от пересылки через Max любых изображений, которые могут содержать медицинскую или иную тайну, фото паспорта и банковских карт, а также фотографий листочков с логинами и паролями.
Увы, по ссылке можно получить доступ и к фотографиям, пересылаемым в личных сообщениях в VK.
Forwarded from PRO Hi-Tech
Представители Max прокомментировали ТАСС ситуацию с доступностью фото из личных переписок по ссылке любому пользователю сети.
- сказали в пресс-службе.
Пресс-служба заявила, что вся эта ситуация "наброс" и она "опровергается ИБ-экспертами", а "все данные пользователей мессенджера, что касается и фото, надежно защищены".
Из этого можно сделать вывод, что в MAX на сегодня не видят проблемы в данной ситуации и не считают ее серьезной дырой в безопасности. И не сообщают ничего о планах усилить безопасность MAX.
Возможно, в случае с хакерами-одиночками и их потенциальными жертвами, у которых они хотят угнать личные документы, уровень безопасности и правда приемлемый. Подобрать перебором конкретный ключ для конкретной фотографии займет слишком много времени, чтобы злоумышленник этим занимался.
Мы же смотрим на ситуацию, возможно, с неким дополнительным уровнем паранойи - не нужно упрощать жизнь злоумышленникам, когда речь идет о национальном мессенджере, особенно, если учитывать, что злоумышленник может быть спонсирован другим государством, иметь мощности, мозги, бюджет и задачу постоянно проверять все возможные комбинации ключей для файлов и фото, чтобы массового воровать бигдату россиян. То есть не ваш конкретный файл, а, вообще, всё, до чего сможет дотянуться, всё, что попадется. Доступ к файлу без дополнительной проверки в виде хотя бы базовой авторизации в Max в нашем понимании удешевляет для злоумышленников такую задачу.
Раз представители Max обратили внимание, хотелось бы, чтобы они удлинили ключи для всех новых файлов, а когда будет техническая возможность, в одном из следующих обновлений установили запрет на просмотр файлов в системе без авторизации. Получил ссылку на фото в Max - войди в свой аккаунт Max, чтобы просмотреть. В нашем понимании, это значительно усилит безопасность Max.
"Личные фото недоступны никому, кроме владельца. Другие пользователи могут увидеть фото, только если владелец добровольно поделится ими или ссылкой на них. Ссылку нельзя подобрать или сгенерировать",
- сказали в пресс-службе.
Пресс-служба заявила, что вся эта ситуация "наброс" и она "опровергается ИБ-экспертами", а "все данные пользователей мессенджера, что касается и фото, надежно защищены".
Из этого можно сделать вывод, что в MAX на сегодня не видят проблемы в данной ситуации и не считают ее серьезной дырой в безопасности. И не сообщают ничего о планах усилить безопасность MAX.
Возможно, в случае с хакерами-одиночками и их потенциальными жертвами, у которых они хотят угнать личные документы, уровень безопасности и правда приемлемый. Подобрать перебором конкретный ключ для конкретной фотографии займет слишком много времени, чтобы злоумышленник этим занимался.
Мы же смотрим на ситуацию, возможно, с неким дополнительным уровнем паранойи - не нужно упрощать жизнь злоумышленникам, когда речь идет о национальном мессенджере, особенно, если учитывать, что злоумышленник может быть спонсирован другим государством, иметь мощности, мозги, бюджет и задачу постоянно проверять все возможные комбинации ключей для файлов и фото, чтобы массового воровать бигдату россиян. То есть не ваш конкретный файл, а, вообще, всё, до чего сможет дотянуться, всё, что попадется. Доступ к файлу без дополнительной проверки в виде хотя бы базовой авторизации в Max в нашем понимании удешевляет для злоумышленников такую задачу.
Раз представители Max обратили внимание, хотелось бы, чтобы они удлинили ключи для всех новых файлов, а когда будет техническая возможность, в одном из следующих обновлений установили запрет на просмотр файлов в системе без авторизации. Получил ссылку на фото в Max - войди в свой аккаунт Max, чтобы просмотреть. В нашем понимании, это значительно усилит безопасность Max.
TACC
В Mах опровергли данные о "личных фотографиях в общем доступе"
Ссылкой на них для просмотра человек должен поделиться по своей воле