home.social

#национальный_мессенджер — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #национальный_мессенджер, aggregated by home.social.

  1. Habr @[email protected] ·

    В MAX есть доступ к фото по ссылке: Уязвимость или нет? По ФСТЭК и CVSS

    Источников оказалось немного: пара постов на Хабре про саму уязвимость и ответки пресс службы Макс. Вот сам пост с Хабра, где рассказана вся ситуация. Мне больше другое интересно стало. Во-первых, является ли критичной уязвимость, если доступ к ней и правда возможен при большом переборе ссылок? Да, это в любом случае уязвимость, но настолько ли критичная? Во-вторых: а что если эти ссылки и доступ по ним возможны только после самой их компрометации? То есть как в облаке: ты сначала ссылку публичную получил, и уже после доступ к файлу возможен перебором по ссылке без авторизации, потому что ты это вообще позволил, а по-умолчанию всё с твоими файлами нормально. Ибо из поста выше и всех перечисленных там ссылок не следует того, что эти ссылки изначально не были вскрыты или переданы. Меня учили в вузе, что если мы сталкиваемся с комплексной задачей, то и её оценку надо проводить комплексно. А ещё, что если это не семинар, то придумывать велосипед необязательно и можно достать табличку объёмов красных шариков, которую за тебя уже продумали и составили эксперты в красных шариках. В нашем случае это ФСТЭК (Разрабатывает стандарты и требования по защите персональных данных (ПДн) и критической информационной инфраструктуры (КИИ) в РФ) и CVSS (Открытый стандарт, используемый для расчета количественных оценок уязвимости в безопасности компьютерной системы, обычно с целью понять приоритет её исправления). Так мы сможем описать и дать оценку конкретному сценарию эксплуатации уязвимости. Но помня мои вопросы выше, ради объективности и полного раскрытия темы мы рассмотрим 2 сценария:

    habr.com/ru/articles/1008200/

    #max #макс #уязвимость #безопасность #национальный_мессенджер

    #национальный_мессенджер #безопасность #уязвимость #макс #max
  2. Habr @[email protected] ·

    В MAX есть доступ к фото по ссылке: Уязвимость или нет? По ФСТЭК и CVSS

    Источников оказалось немного: пара постов на Хабре про саму уязвимость и ответки пресс службы Макс. Вот сам пост с Хабра, где рассказана вся ситуация. Мне больше другое интересно стало. Во-первых, является ли критичной уязвимость, если доступ к ней и правда возможен при большом переборе ссылок? Да, это в любом случае уязвимость, но настолько ли критичная? Во-вторых: а что если эти ссылки и доступ по ним возможны только после самой их компрометации? То есть как в облаке: ты сначала ссылку публичную получил, и уже после доступ к файлу возможен перебором по ссылке без авторизации, потому что ты это вообще позволил, а по-умолчанию всё с твоими файлами нормально. Ибо из поста выше и всех перечисленных там ссылок не следует того, что эти ссылки изначально не были вскрыты или переданы. Меня учили в вузе, что если мы сталкиваемся с комплексной задачей, то и её оценку надо проводить комплексно. А ещё, что если это не семинар, то придумывать велосипед необязательно и можно достать табличку объёмов красных шариков, которую за тебя уже продумали и составили эксперты в красных шариках. В нашем случае это ФСТЭК (Разрабатывает стандарты и требования по защите персональных данных (ПДн) и критической информационной инфраструктуры (КИИ) в РФ) и CVSS (Открытый стандарт, используемый для расчета количественных оценок уязвимости в безопасности компьютерной системы, обычно с целью понять приоритет её исправления). Так мы сможем описать и дать оценку конкретному сценарию эксплуатации уязвимости. Но помня мои вопросы выше, ради объективности и полного раскрытия темы мы рассмотрим 2 сценария:

    habr.com/ru/articles/1008200/

    #max #макс #уязвимость #безопасность #национальный_мессенджер

    #национальный_мессенджер #безопасность #уязвимость #макс #max
  3. Habr @[email protected] ·

    В MAX есть доступ к фото по ссылке: Уязвимость или нет? По ФСТЭК и CVSS

    Источников оказалось немного: пара постов на Хабре про саму уязвимость и ответки пресс службы Макс. Вот сам пост с Хабра, где рассказана вся ситуация. Мне больше другое интересно стало. Во-первых, является ли критичной уязвимость, если доступ к ней и правда возможен при большом переборе ссылок? Да, это в любом случае уязвимость, но настолько ли критичная? Во-вторых: а что если эти ссылки и доступ по ним возможны только после самой их компрометации? То есть как в облаке: ты сначала ссылку публичную получил, и уже после доступ к файлу возможен перебором по ссылке без авторизации, потому что ты это вообще позволил, а по-умолчанию всё с твоими файлами нормально. Ибо из поста выше и всех перечисленных там ссылок не следует того, что эти ссылки изначально не были вскрыты или переданы. Меня учили в вузе, что если мы сталкиваемся с комплексной задачей, то и её оценку надо проводить комплексно. А ещё, что если это не семинар, то придумывать велосипед необязательно и можно достать табличку объёмов красных шариков, которую за тебя уже продумали и составили эксперты в красных шариках. В нашем случае это ФСТЭК (Разрабатывает стандарты и требования по защите персональных данных (ПДн) и критической информационной инфраструктуры (КИИ) в РФ) и CVSS (Открытый стандарт, используемый для расчета количественных оценок уязвимости в безопасности компьютерной системы, обычно с целью понять приоритет её исправления). Так мы сможем описать и дать оценку конкретному сценарию эксплуатации уязвимости. Но помня мои вопросы выше, ради объективности и полного раскрытия темы мы рассмотрим 2 сценария:

    habr.com/ru/articles/1008200/

    #max #макс #уязвимость #безопасность #национальный_мессенджер

    #национальный_мессенджер #безопасность #уязвимость #макс #max
  4. Habr @[email protected] ·

    В MAX есть доступ к фото по ссылке: Уязвимость или нет? По ФСТЭК и CVSS

    Источников оказалось немного: пара постов на Хабре про саму уязвимость и ответки пресс службы Макс. Вот сам пост с Хабра, где рассказана вся ситуация. Мне больше другое интересно стало. Во-первых, является ли критичной уязвимость, если доступ к ней и правда возможен при большом переборе ссылок? Да, это в любом случае уязвимость, но настолько ли критичная? Во-вторых: а что если эти ссылки и доступ по ним возможны только после самой их компрометации? То есть как в облаке: ты сначала ссылку публичную получил, и уже после доступ к файлу возможен перебором по ссылке без авторизации, потому что ты это вообще позволил, а по-умолчанию всё с твоими файлами нормально. Ибо из поста выше и всех перечисленных там ссылок не следует того, что эти ссылки изначально не были вскрыты или переданы. Меня учили в вузе, что если мы сталкиваемся с комплексной задачей, то и её оценку надо проводить комплексно. А ещё, что если это не семинар, то придумывать велосипед необязательно и можно достать табличку объёмов красных шариков, которую за тебя уже продумали и составили эксперты в красных шариках. В нашем случае это ФСТЭК (Разрабатывает стандарты и требования по защите персональных данных (ПДн) и критической информационной инфраструктуры (КИИ) в РФ) и CVSS (Открытый стандарт, используемый для расчета количественных оценок уязвимости в безопасности компьютерной системы, обычно с целью понять приоритет её исправления). Так мы сможем описать и дать оценку конкретному сценарию эксплуатации уязвимости. Но помня мои вопросы выше, ради объективности и полного раскрытия темы мы рассмотрим 2 сценария:

    habr.com/ru/articles/1008200/

    #max #макс #уязвимость #безопасность #национальный_мессенджер

    #max #макс #уязвимость #безопасность #национальный_мессенджер
  5. Habr @[email protected] ·

    В мире всего 4 национальных мессенджера. И все они выросли БЕЗ блокировок

    Разбираем на реальных примерах - как именно они появились, набрали аудиторию и стали лидерами в своих странах. И почему блокировки и замедления для этого не нужны.

    habr.com/ru/articles/1000236/

    #мессенджер #соцсети #telegram #wechat #национальный_мессенджер #max #сервисы #itкомпании #блокировки #замедление

    #замедление #блокировки #itкомпании #сервисы #max #национальный_мессенджер
  6. Habr @[email protected] ·

    В мире всего 4 национальных мессенджера. И все они выросли БЕЗ блокировок

    Разбираем на реальных примерах - как именно они появились, набрали аудиторию и стали лидерами в своих странах. И почему блокировки и замедления для этого не нужны.

    habr.com/ru/articles/1000236/

    #мессенджер #соцсети #telegram #wechat #национальный_мессенджер #max #сервисы #itкомпании #блокировки #замедление

    #замедление #блокировки #itкомпании #сервисы #max #национальный_мессенджер
  7. Habr @[email protected] ·

    В мире всего 4 национальных мессенджера. И все они выросли БЕЗ блокировок

    Разбираем на реальных примерах - как именно они появились, набрали аудиторию и стали лидерами в своих странах. И почему блокировки и замедления для этого не нужны.

    habr.com/ru/articles/1000236/

    #мессенджер #соцсети #telegram #wechat #национальный_мессенджер #max #сервисы #itкомпании #блокировки #замедление

    #замедление #блокировки #itкомпании #сервисы #max #национальный_мессенджер
  8. Habr @[email protected] ·

    В мире всего 4 национальных мессенджера. И все они выросли БЕЗ блокировок

    Разбираем на реальных примерах - как именно они появились, набрали аудиторию и стали лидерами в своих странах. И почему блокировки и замедления для этого не нужны.

    habr.com/ru/articles/1000236/

    #мессенджер #соцсети #telegram #wechat #национальный_мессенджер #max #сервисы #itкомпании #блокировки #замедление

    #мессенджер #соцсети #telegram #wechat #национальный_мессенджер #max
  9. Habr @[email protected] ·

    Реверс-инжиниринг TamTam: как мы искали админов канала, обходя проверку привилегий

    Всем привет! На связи TeamKomet. Недавно мы решили из любопытства заняться реверс-инжинирингом не безызвестного мессенджера TamTam. До нас дошли слухи о возможной уязвимости, позволяющей получить список создателей и администраторов любого канала. Что ж, выше признать. ⚙️ Начало раскопок: WebSocket и Opcode Мы принялись за работу и в первую очередь сосредоточились на проверке Opcode'ов в WebSocket. Первым делом нашли некий список с номерами от 10, 100, 123 — сервер тестово отвечал, но это тупик — с ним ничего не получилось. Тогда мы сменили тактику: что, если попробовать добавить в запрос параметры, которых изначально нет? Погрузившись в JavaScript, мы обнаружили интересный объект, который централизованно отправлял через opcode для обмена информацией. Мы начали методично изучать его методы, и не зря.

    habr.com/ru/articles/964054/

    #национальный_мессенджер #max #сетевые_протоколы

    #национальный_мессенджер #max #сетевые_протоколы
  10. Habr @[email protected] ·

    Bug bounty в РФ: когда вендор молчит, а платформа подыгрывает

    Кейс новичка о «пробах» в роли бахгхантера на примере MAX + Bug bounty платформы Standoff365 Статья о личном опыте и выявленных системных проблемах взаимодействия исследователя с вендором и арбитражем в российской bug bounty‑экосистеме: как игнорируются критические уязвимости в «национальном мессенджере», отчёты закрываются как «дубликаты» без доказательств, а правила меняются постфактум. Что остаётся делать этичному хакеру, когда внутренние каналы арбитража исчерпаны и нет внешних, и почему в России у белого хакера — нет прав.

    habr.com/ru/articles/960024/

    #bug_bounty #max #vk #standoff_365 #уязвимости #арбитраж #фз152 #персональные_данные #национальный_мессенджер #багхантинг

    #багхантинг #национальный_мессенджер #персональные_данные #фз152 #арбитраж #уязвимости
  11. Habr @[email protected] ·

    Bug bounty в РФ: когда вендор молчит, а платформа подыгрывает

    Кейс новичка о «пробах» в роли бахгхантера на примере MAX + Bug bounty платформы Standoff365 Статья о личном опыте и выявленных системных проблемах взаимодействия исследователя с вендором и арбитражем в российской bug bounty‑экосистеме: как игнорируются критические уязвимости в «национальном мессенджере», отчёты закрываются как «дубликаты» без доказательств, а правила меняются постфактум. Что остаётся делать этичному хакеру, когда внутренние каналы арбитража исчерпаны и нет внешних, и почему в России у белого хакера — нет прав.

    habr.com/ru/articles/960024/

    #bug_bounty #max #vk #standoff_365 #уязвимости #арбитраж #фз152 #персональные_данные #национальный_мессенджер #багхантинг

    #багхантинг #национальный_мессенджер #персональные_данные #фз152 #арбитраж #уязвимости
  12. Habr @[email protected] ·

    Bug bounty в РФ: когда вендор молчит, а платформа подыгрывает

    Кейс новичка о «пробах» в роли бахгхантера на примере MAX + Bug bounty платформы Standoff365 Статья о личном опыте и выявленных системных проблемах взаимодействия исследователя с вендором и арбитражем в российской bug bounty‑экосистеме: как игнорируются критические уязвимости в «национальном мессенджере», отчёты закрываются как «дубликаты» без доказательств, а правила меняются постфактум. Что остаётся делать этичному хакеру, когда внутренние каналы арбитража исчерпаны и нет внешних, и почему в России у белого хакера — нет прав.

    habr.com/ru/articles/960024/

    #bug_bounty #max #vk #standoff_365 #уязвимости #арбитраж #фз152 #персональные_данные #национальный_мессенджер #багхантинг

    #багхантинг #национальный_мессенджер #персональные_данные #фз152 #арбитраж #уязвимости
  13. Habr @[email protected] ·

    Bug bounty в РФ: когда вендор молчит, а платформа подыгрывает

    Кейс новичка о «пробах» в роли бахгхантера на примере MAX + Bug bounty платформы Standoff365 Статья о личном опыте и выявленных системных проблемах взаимодействия исследователя с вендором и арбитражем в российской bug bounty‑экосистеме: как игнорируются критические уязвимости в «национальном мессенджере», отчёты закрываются как «дубликаты» без доказательств, а правила меняются постфактум. Что остаётся делать этичному хакеру, когда внутренние каналы арбитража исчерпаны и нет внешних, и почему в России у белого хакера — нет прав.

    habr.com/ru/articles/960024/

    #bug_bounty #max #vk #standoff_365 #уязвимости #арбитраж #фз152 #персональные_данные #национальный_мессенджер #багхантинг

    #bug_bounty #max #vk #standoff_365 #уязвимости #арбитраж
  14. Habr @[email protected] ·

    Какие запросы и куда отправляет MAX

    Моя вторая статья - анализ сетевых запросов MAX и почему этот анализ - моё самое большое разочарование! Не ожидал я такого конечно, но описал все как есть.

    habr.com/ru/articles/939550/

    #max #мессенджеры #запросы #сетевые_протоколы #национальный_мессенджер #adguard #proxy #трафик #трекер

    #трекер #трафик #proxy #adguard #национальный_мессенджер #сетевые_протоколы
  15. Habr @[email protected] ·

    Какие запросы и куда отправляет MAX

    Моя вторая статья - анализ сетевых запросов MAX и почему этот анализ - моё самое большое разочарование! Не ожидал я такого конечно, но описал все как есть.

    habr.com/ru/articles/939550/

    #max #мессенджеры #запросы #сетевые_протоколы #национальный_мессенджер #adguard #proxy #трафик #трекер

    #трекер #трафик #proxy #adguard #национальный_мессенджер #сетевые_протоколы
  16. Habr @[email protected] ·

    Какие запросы и куда отправляет MAX

    Моя вторая статья - анализ сетевых запросов MAX и почему этот анализ - моё самое большое разочарование! Не ожидал я такого конечно, но описал все как есть.

    habr.com/ru/articles/939550/

    #max #мессенджеры #запросы #сетевые_протоколы #национальный_мессенджер #adguard #proxy #трафик #трекер

    #трекер #трафик #proxy #adguard #национальный_мессенджер #сетевые_протоколы
  17. Habr @[email protected] ·

    Какие запросы и куда отправляет MAX

    Моя вторая статья - анализ сетевых запросов MAX и почему этот анализ - моё самое большое разочарование! Не ожидал я такого конечно, но описал все как есть.

    habr.com/ru/articles/939550/

    #max #мессенджеры #запросы #сетевые_протоколы #национальный_мессенджер #adguard #proxy #трафик #трекер

    #max #мессенджеры #запросы #сетевые_протоколы #национальный_мессенджер #adguard
  18. Habr @[email protected] ·

    UPDATE: Разрешения MAX для Android. Cравниваем с Telegram и WhatsApp*

    В своей первой статье "Разрешения MAX для Android. Cравниваем с Telegram и WhatsApp*" я сравнил резрешения, которые запрашивает приложение MAX для Android с разрешениями, которые запрашивают Telegram и WhatsApp. 18 сентября вышла новая версия MAX - 25.11.0 и вы знаете, произошло то, чего я не ожидал. MAX стал запрашивать 50 разрешений, вместо 59, т.е. на 9 меньше! Давайте посмотрим, какие же разрешения убрали разработчики.

    habr.com/ru/articles/948728/

    #max #мессенджер #android #национальный_мессенджер #тестирование #пользовательский_опыт #разрешения #telegram #whatsapp #аналитика

    #аналитика #whatsapp #telegram #разрешения #пользовательский_опыт #тестирование
  19. Habr @[email protected] ·

    Разрешения MAX для Android. Cравниваем с Telegram и WhatsApp*

    Всем привет! Я, на свой страх и риск , решил установить себе MAX и посмотреть, а что же происходит после установки? По итогам моего исследования будет минимум 2 статьи. Это - первая статья. В ней я сравню разрешения, которые запрашивает приложение MAX для Android с разрешениями, которые запрашивают Telegram и WhatsApp.

    habr.com/ru/articles/939006/

    #max #мессенджер #android #национальный_мессенджер #тестирование #пользовательский_опыт #разрешения #telegram #whatsapp #аналитика

    #аналитика #whatsapp #telegram #разрешения #пользовательский_опыт #тестирование