The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Анализ негативного эффекта от формирования мессенджерами эскизов ссылок

27.10.2020 10:29

Исследователи безопасности из компании Mysk проанализировали реализацию функции предпросмотра ссылок в 18 популярных мессенджерах. Большинство мессенджеров при отправке ссылки автоматически загружают содержимое, на которое указывает ссылка, и выводит пользователю наглядный эскиз. В зависимости от мессенджеров формирование эскиза может производиться как на серверах, обслуживающих мессенджер, так и на стороне отправителя или получателя.

В ходе исследования выявлено, что формирование эскиза на стороне получателя или отправителя приводит к дополнительному расходу трафика, вплоть до исчерпания небезлимитных тарифных планов, а также к возможности формирования вредоносных ссылок для атаки на мессенджер и определения IP-адреса получателя или отправителя сообщения. Генерация эскиза на сервере позволяет выполнять свой JavaScript-код на системах, обеспечивающих работу мессенджеров, приводит к утечке конфиденциальных данных и создаёт паразитный трафик к серверу с контентом, указанном в ссылке.

Например, Facebook Messenger и Instagram при отправке ссылки автоматически формируют эскизы на своих серверах, и при этом полностью загружают связанный со ссылкой файл, даже если его размер превышает несколько гигабайт (в эксперименте продемонстрирована загрузка файла в 2.6 ГБ). Формирование эскизов на стороне сервера также практикуется в LinkedIn, но размер ограничивается начальными 50МБ. Загрузка содержимого на сервер может приводить к утечке передаваемых через ссылки конфиденциальных данных (медицинские записи, юридические документы и т.п.) и указанных внутри ссылок кодов доступа (например, приватных ссылок на Dropbox), а также обнулению счётчика одноразовых загрузок.

Кроме того, Facebook Messenger, Instagram и LinkedIn выполняют на своих серверах JavaScript-код c сайтов, для которых формируются эскизы, что может применяться для эксплуатации уязвимости в движке, осуществляющем выполнение JavaScript, или для совершения вычислений с использованием мощностей серверов мессенджеров (исследователи смогли добиться выполнения скрипта в течение 20 секунд и отправить обратный запрос на свой сервер).

В мессенджере Line ссылки передавались на сервер для формирования эскизов даже в шифрованных сеансах, использующих методы оконечного шифрования, и могли быть связаны на серверах с IP-адресами отправителей и получателей. Передача ссылок на серверы для формирования эскизов также зафиксирована для Discord, Google Hangouts, Slack, Twitter и Zoom, но размер загружаемых данных составляет от 15 до 50 МБ.

Информация об одном мессенджере, принимавшем участие в исследовании, пока не раскрывается, так как выявленные уязвимости в нём пока не устранены.

Методы обработки ссылок в мессенджерах:

  • Эскизы не формируются, ссылки приводятся как есть: Signal (если предпросмотр отключён в настройках), Threema, TikTok и WeChat.
  • Эскиз формирует отправитель: iMessage, Signal (если предпросмотр включён в настройках), Viber и WhatsApp.
  • Эскиз генерируется на стороне получателя (приложение обрабатывает ссылку и загружает связанное содержимое ещё до действий пользователя): Reddit (только в чате, при просмотре сообщений и комментариев не применяется) и неназванный мессенджер, проблемы в котором ещё не устранены. Атакующий может использовать данную возможность для определения IP-адресов получателей, что, в свою очередь, даёт возможность на основе geo-привязки IP-адреса приблизительно вычислить местоположение пользователя. Формирование эскизов на стороне клиента также позволяет незаметно от пользователя эксплуатировать уязвимости в браузерном движке и обработчиках разных видов контента.
  • Эскиз генерируется на серверах, обслуживающих мессенджер: Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter, Zoom и неназванный мессенджер, проблемы в котором ещё не устранены.


  1. Главная ссылка к новости (https://www.mysk.blog/2020/10/...)
  2. OpenNews: Анализ запроса ненадлежащих полномочий в VPN-приложениях для Android
  3. OpenNews: Большинство VPN-приложений для Android не заслуживают доверия
  4. OpenNews: Уязвимости в Signal Desktop и в платформе Electron
  5. OpenNews: Проект TFC развивает параноидально защищённую систему обмена сообщениями
  6. OpenNews: Доступен мессенджер Delta Chat 1.2 для Android и iOS
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/53970-messenger
Ключевые слова: messenger
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (134) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 11:33, 27/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Кэпы из компании Mysk имеют честь заявить…
     
     
  • 2.14, Анонимно (ok), 11:53, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +7 +/
    И заинтриговать. Ставим ставки господа, какой мессенгер находится в чёрном ящике
     
     
  • 3.21, Сейд (ok), 12:24, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Yaxim
     
  • 3.24, Аноним (24), 12:31, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +26 +/
    Телеграмм
     
     
  • 4.81, Аноним (81), 15:39, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я смотрел как это работает в телеграме - превью приходит с сервера, при просмотре через встроенный браузер код страницы тоже приходит с сервера
     
     
  • 5.95, Аноним (95), 17:29, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В телеграмм есть ещё "секретные чаты", где используется end-to-end шифрование. При этом сервера телеги не читают сообщения и, соответственно, не создают превью для ссылок в сообщениях. Но в настройках можно включить создание превью для секретных чатов, и наверное такие превью создаются на стороне получателя сообщения.
     
     
  • 6.125, Аноним (125), 12:49, 28/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот был один механизм чтения https://habr.com/en/post/206900/

    Сейчас, наверное, уже другой.

     
  • 4.116, n242name (?), 04:11, 28/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    так а что в телеге с этим?
     
  • 3.50, Аноним (50), 13:28, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    скайп
     
  • 3.69, ryoken (ok), 14:59, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ICQ, видимо :D
     
  • 3.93, Аноним (93), 17:05, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Teams
     

  • 1.2, Sindzicat (?), 11:35, 27/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Неназванный менеджер

    Только бы не телеграм...

     
     
  • 2.34, Аноним (125), 13:00, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +19 +/
    Пользоваться телегой и переживать из-за безопасности?
    Вы серьёзно?
     
  • 2.37, Аноним (37), 13:04, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Если вдруг это не он, значит, его вообще не тестировали, и там всё может обстоять ещё хуже.
     

  • 1.3, Rim (?), 11:35, 27/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    А где телега?
     
     
  • 2.4, Аноним (4), 11:38, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +15 +/
    "Информация об одном мессенджере, принимавшем участие в исследовании, пока не раскрывается, так как выявленные уязвимости в нём пока не устранены."
     
  • 2.8, Дуров (?), 11:42, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Информация об одном мессенджере, принимавшем участие в исследовании, пока не раскрывается
     
  • 2.61, Аноним (61), 14:15, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Она не названа.
     
  • 2.96, лютый жабби__ (?), 17:46, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • –5 +/
    >А где телега?

    телега это тот васян-мессенджер, где поиск по например @toyota или @honda выдаёт канал на пару русскоязычных петюнов? про неё в цивилизованном мире вообще кто-то слышал? )))

     
     
  • 3.120, пень (?), 09:40, 28/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Как раз это большой плюс телеги, в отсутствии нормального поиска!!! Инфа там есть, надо знать точное название канала
     

  • 1.5, Xasd7 (?), 11:39, 27/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    > ...и неназванный мессенджер, проблемы в котором ещё не устранены.

    и ни кто не догадался какой это мессенджер

    (sarcasm)

    :-)

     
  • 1.6, КО (?), 11:40, 27/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Жополизы Whatsapp - самой донной проги за конфиденциальность
     
     
  • 2.36, Аноним (125), 13:04, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Они проверяют строго по фактам.
    Можете опровергнуть хоть один факт про Whatsapp из исследования — вперёд.
     
     
  • 3.82, Аноним (82), 15:48, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Тебе же сказали что WeChat - дно, тебе этого недостаточно, какие ещё доказательства тебе нужны?
     

  • 1.7, Аноним (7), 11:41, 27/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    "Неназванный мессенджер". Учитывая, что тут есть всё, кроме популярной и очевидной телеги - это очень тонкий способ сказать, что телега Г.

    Особенно забавно видеть, что Viber и Whatsapp "секурные".

     
     
  • 2.11, lockywolf (ok), 11:49, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Кому и чем нишевый мессееджер из-за железного занавеса интересен? Ещё ВК можно было бы понять.
     
     
  • 3.19, Аноним (-), 12:14, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В США Telegram наравне с WeChat, Viber и LINE (https://www.messengerpeople.com/global-messenger-usage-statistics/#USA). Гуляй.
     
     
  • 4.35, Аноним (125), 13:03, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Лучше бы не приводили ссылку.
    А то по ней кто-то может сходить и узнать, что гордое «наравне» — это аж целые 3%.
     
  • 2.12, Аноним (12), 11:49, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Телега тоже ни разу не секурная. Даже в последнем обновлении с "анонимными" администраторами есть очевидные проблемы:
    - ты не можешь никому лично написать, в привате сразу всплывёт кто ты
    - ты не можешь участвовать в опросах - сразу будет видно реальную учётку в опросе

    Ну и в целом нет возможности защитить канал и его историю от тихарей которые собирают компромат, но сами в канале даже не пытаются регистрироваться. Т.е. чтобы читать канал - участие в нём не обязательно, настроек управления этим поведением - нет.

    Так же нет например и возможности сделать clean history для гео-чатов.
    Так же куча вопросов с тем, что чел не может отключить уведомление всем подряд, сначала палится учётка в момент регистрации по СМС, а уже только потом чел, если не забудет, отключает "удобное средство своего отслеживания". К этому моменту СОРМ успешно свяжет ID и телефон на который через него пришла СМС.

    Вообще сервисы завязанные на телефон не могут быть секурными по определению

     
     
  • 3.17, Аноним (7), 12:04, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я не спорю про секурность в абсолютном отношении, но на фоне Viber и Whatsapp телега должна быть на голову выше. Особенно учитывая послужной список и того, и другого, где уже имелась история вылавливания бэкдоров.

    А тут же получается, что Viber и Whatsapp белые и пушистые. И есть один нехороший "неназванный мессенджер", который ничего не чинит (ну, все и так поняли, не нужно быть гением). Выглядит как заказной пиар, проплаченный Фейсбуком и Viber Media.

     
     
  • 4.29, Аноним (29), 12:35, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В секретных чатах Telegram в свое время был обнаружен бэкдор: https://habr.com/en/post/206900/
     
     
  • 5.73, Дурак Павлова (?), 15:04, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    - Это фича.
    - Хватит делать из мухи слона.
    - Нормальным людям нечего скрывать.
    - Зато нативное приложение на Qt, а не электрон.
    - ВСЁ РАВНО ЭЛЕКТРОН ЛУЧШЕ!!!!!!
     
  • 5.123, Groosha (?), 10:28, 28/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как Вы мило назвали баг бэкдором. Мессенджеру и полугода не было, а с тех пор вообще 6+ лет прошло.
     
  • 4.102, Аноним (102), 19:41, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Они просто свои косяки пофиксили, нацчились на них и больше такой глупости не делают.
     
  • 3.91, Аноним (91), 16:40, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    "удобное средство своего отслеживания"
    где это делается? И смысл если всем уже от тарабанило.
     
     
  • 4.103, Аноним (12), 19:50, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    в том-то и прикол что чтобы всем не тарабанило оно должно быть отключено по умолчанию и новому юзверю должны предложить "а давайте включим", но сейчас политика телеги явно не заточена на повышение секурности и приватности и поэтому всё с точностью до наоборот, сначала всем тарабанит, а уже потом юзверь может сделать вид, что защитился
     
  • 2.132, Аноним (132), 23:37, 28/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    по декларируемым и проверяемым особенностям архитектуры
    ( то есть, что мы наглядно можем проверить ) вацап реально на голову секьюрнее телеги.
     

  • 1.9, Аноним (12), 11:43, 27/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Очень даже позитивный эффект, наконец-то можно читать новости (если нормально новость рендерится), а не рекламу, причём например прямо в телеге. Такой Reader view от FF, но прямо в новостной ленте. Бомбезно. Я уже даже готов платить какую-нибудь демократичную подписку за централизованный тул в котором я буду видеть сугубо интересные мне новости без калечной вырвиглазной вёрстки отдельных дезигнеров, без скачущих баннеров, без выскакивающих уведомлений "подпишись, зарегайся и дай вставить тебе ректальный зонд". И чтобы это всё синкалось между моими железками и фетчилось (т.е. не веб-поделки, а что-то что можно почитать даже когда связь отваливается)
     
     
  • 2.22, Аноним здорового человека (?), 12:27, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +12 +/
    > Я уже даже готов платить какую-нибудь демократичную подписку за централизованный тул

    Родина дала им RSS - не хотим, хотим централизованность и платить.

     
     
  • 3.26, Ага (?), 12:34, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Наполнение RSS зависит от веления пятки владельца портала, как правило - там только обрубок контента
     
     
  • 4.40, Аноним (37), 13:09, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это не так. Даже тут есть полновесная лента.
     
     
  • 5.54, Ага (?), 13:54, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Это не так. Даже тут есть полновесная лента.

    "Даже тут" не уместное выражение. Исключение подтверждающее правило

     
     
  • 6.127, Аноним (127), 17:26, 28/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Исключения не подтверждают правила. Следующий!
     
  • 3.64, Аноним (12), 14:24, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ты пробовал RSS синкнуть между компом, ноутом и смартфоном? Очень много лет все страдали с RSS, Atom, подпиской на новости почтой и... в итоге всем этим пользуется меньшинство, потому что неудобно и нет нормальной синхронизации. Да и приходят по rss как правило только заголовки, фичи аля кликнул и прочитал непосредственно контент, там и близко нет.
    А платить за точку синхронизации всё равно придётся, будь то свой собственный арендованный сервак или сервис занимающийся задачей профессионально. Ну а кто зажал пару баксов - будет платить своим временем потраченным на баннеры, мисклик и прочий маркетошлак
     
     
  • 4.72, Хозяин (?), 15:03, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > будет платить своим временем потраченным на баннеры, мисклик и прочий маркетошлак

    Только нативка, только полная вовлечённость!

     
  • 4.87, lockywolf (ok), 16:19, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да норм. Ставится emacs --daemon на сервер, а потом к нему по emacsclient с любой машины. Для андроида можно в термуксе гонять. А в самом emacs например, через gnus-nnrss.
     
  • 4.117, dmitry (??), 08:54, 28/10/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вы хотите сказать, что есть что-то лишённое подобных недостатоков RSS и доступное ширмассам? И там не надо за точку платить и рекламы нет и удобство подобное РССу? Я весь внимание!
     
  • 4.129, JL2001 (ok), 20:01, 28/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Tiny Tiny RSS работает на домашнем компе и шарится в инет через ipfs всё бесплат... большой текст свёрнут, показать
     
  • 3.135, Michael Shigorin (ok), 18:39, 01/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И QuiteRSS свои же соотечественники написали -- удобней для меня у того же гугла, например, не вышло.
     
  • 2.74, Аноним (74), 15:07, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Создатели "новостей" уже не знают, как заставить потребителя жрать своё добро, а кто-то добровольно  кушает и платить порывается.
     
     
  • 3.104, Аноним (12), 19:54, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Что ж ты забыл на этом сайте? Тут как бы тоже новости. И они отлично читаются в телеге.
     

  • 1.10, lockywolf (ok), 11:47, 27/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Наивные. "Неизвестный мессенджер" -- это либо QQ, либо Kakao. Ваш запорожец из СССР никому нафиг не сдался его исследовать.
     
     
  • 2.15, warus (??), 11:56, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +7 +/
    "Неизвестный мессенджер" это скайп
     
     
  • 3.18, Аноним (7), 12:09, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    После покупки мелкософтом - скайп уже и не мессенджер, и не звонилка. Это мусор, который остался лишь на задворках advanced user'ов Skype for Business и имитирующий функционал мессенджера. Да и те немногие несчастные, которые юзают это в 2020 потихоньку валят на что-то более вменяемое.
     
  • 3.43, Аноним (125), 13:16, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > "Неизвестный мессенджер" это скайп

    Равновероятно. И у скайпа, и телеги в развитых странах аудитория в пару процентов.

     
  • 3.45, rvs2016 (ok), 13:18, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > "Неизвестный мессенджер" это скайп

    Может быть ещё более почивший (из-за того, что сам заблокировал своих юзеров)  ICQ? :-)

     
  • 3.49, lockywolf (ok), 13:25, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Скайп, кстати, не исключён.

    Я не разделяю всеобщей ненависти к скупому, пусть даже он на электроне.

    Видео в два потока декодирует? Декодирует. Экран шарит? Шарит.

    Сервера отзывчивые. В чём ещё качество мессенджера?

     
     
  • 4.99, Xasd7 (?), 18:28, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну для начала в том чтобы не на электроне был бы
     
  • 2.20, Аноним (20), 12:18, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Какой запорожец?
    Телега на сегодня буквально лучший мессенджер.
    По крайней мере, я не знаю чего-то лучше.
     
     
  • 3.28, Сейд (ok), 12:35, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    XMPP
     
     
  • 4.30, Аноним (7), 12:40, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    XMPP был хорош для своего времени, но он сильно сдал позиции. Особенно XML в основе протокола в 2020 убог.
     
     
  • 5.31, Сейд (ok), 12:42, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Клиенты на Android хороши.
     
     
  • 6.55, Аноним (55), 13:54, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    bombus был топчик
     
  • 5.39, Аноним (1), 13:08, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ты так говоришь, словно XML это что-то плохое. JSON — лапша, а бинарщина ваша это к проприетарщикам скорее. Ну и вообще, сжатия потока хватит всем :}
     
     
  • 6.44, Аноним (125), 13:18, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну, если бинарщиена — это проприетарщина, то немедленно очистите свой комп от нее
    rm -rf /bin /sbin /usr/bin /usr/sbin
     
     
  • 7.65, Аноним (1), 14:39, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У вас в /usr/bin протокол мессенджера хранится? А зачем?
     
  • 6.109, Аноним (109), 20:30, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Давайте на Jsone HTML5 переводить! Даем кавычкофоббам <> глобальную скобкофикацию {}.
     
  • 5.86, Аноним (-), 16:09, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > XMPP был хорош для своего времени, но он сильно сдал позиции. Особенно
    > XML в основе протокола в 2020 убог.

    Чем тебе XML не угодил то?

     
     
  • 6.111, Аноним (109), 20:38, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    XML в XMPP не дружит JavaScript, а это значит что исполнить JavaScript код внутри переписки с тобой будет крайне неудобно, XEPы надо дописывать и встраивать в твой клиент поддержку JavaScript исполнение.  Следить за тобой без JavaScript не удобно! Совсем не сответсвует современным тенденциям!
     
  • 5.108, Аноним (109), 20:21, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    XMPP на Андроиде даст жару многим приоприоретарным помойкам
     
  • 5.110, YetAnotherOnanym (ok), 20:30, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > XML в основе протокола в 2020 убог

    Если бы ты только мог представить себе, насколько мир XML богат и разнообразен...

     
  • 5.134, ZULUL (?), 00:42, 01/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    XML как стандарт описания даже в 2020 намного лучше ваших ямлов, томлов или жсонов. Но он не годится для передачи информации в многопользовательских чатах да. Ровно так же как для этого не годится ни ямл ни томл ни жсон.
     
  • 4.33, Аноним (33), 12:52, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    XEP
     
  • 4.46, rvs2016 (ok), 13:20, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > XMPP

    Ага. Ещё тоже ни от кого не зависящий (в том смысле, что нет единого рубильника, отключающего систему) емайл заблокируйте. :-)

     
  • 3.38, Аноним (125), 13:07, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Телега на сегодня буквально лучший мессенджер.

    Дуров, залогиньтесь.

    И, раз уж вы тут, не изволите ли раскрыть нам детали своего соглашения с ФСБ?

     
     
  • 4.48, rvs2016 (ok), 13:21, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > не изволите ли раскрыть нам детали своего соглашения с ФСБ?

    Ожидайте детали дома. К вам приедут. В-)

     
  • 4.57, Аноним (20), 13:59, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я бы хотел пошутить, но при чем тут Дуров Ну например, кроме Телеграма, 2 ГБ на... большой текст свёрнут, показать
     
     
  • 5.60, СеменСеменыч777 (?), 14:12, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    меняю "2 ГБ на файл" на "регистрация без СИМ-карты, СМС и смартфона".
    но Дуров ни за что не согласится. потому что.
     
     
  • 6.76, Аноним (20), 15:12, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Сим-карта безальтернативна, к сожалению.
    Там и сейчас есть спам, а без мыла будет в разы хуже.
    Контакты привязаны к номерам телефонов, заменяют список друзей из соц сетей.

    Впрочем, не вижу ничего плохого в этом. Ограничивает регистрацию кого попало. Но никак не мешает лично тебе, номер дефолтно твой никому не палится (это же не нечто уровня вайбера), добавить пароль для входа, и можно вообще убрать его из поиска.

    А так, смартфон не нужен, хватит кнопочного телефона смс принять.

     
     
  • 7.78, Аноним (20), 15:14, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    fixed: без симки, с мылом
     
  • 7.88, Аноним (-), 16:19, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    То-то мой номер телефона с аккаунтом появился в слитых дампах, секурно Пуглаки ... большой текст свёрнут, показать
     
  • 7.89, СеменСеменыч777 (?), 16:20, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Сим-карта безальтернативна

    это потому что Дуров слился гебне.

    > Там и сейчас есть спам, а без мыла будет в разы хуже.

    обменяю "иногда принимать спам" на "регистрацию без СИМ-карты, СМС и смартфона".

    > Контакты привязаны к номерам телефонов, заменяют список друзей из соц сетей.

    я никакого "списка друзей" средствами соц.сетей не веду, не хочу давать гадам бигдату.

     
     
  • 8.136, Michael Shigorin (ok), 18:43, 01/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вам уже сказали XMPP ... текст свёрнут, показать
     
  • 5.115, Аноним (115), 03:04, 28/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    XMPP https://404.city 2GB лимит
     
     
  • 6.133, Аноним (-), 21:16, 29/10/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну так печатайте свои 2гб, остальную часть отправите в след сообщении. Ну прям как дети малые
     
  • 4.58, ппп (?), 14:03, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    такое же соглашение как и у твоего провадера.
     
     
  • 5.126, Аноним (125), 12:51, 28/10/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Мой провайдер не требует установки своего клиента, и не имеет доступ к нешифрованному трафику.
    Он видит только SSL-туннели.
     

  • 1.13, little Bobby tables (?), 11:53, 27/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    необходимо сравнение мессенджеров, серверную часть которых обычная Маша сможет запустить у себя на писюке/роутер/мобильнике в конце концов.
    надо бы продумывать случай если вдруг вышки погасли
     
     
  • 2.100, ДК (?), 19:06, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А есть такие вообще?
     
     
  • 3.101, Сейд (ok), 19:20, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Pidgin/Bonjour
     
  • 3.107, Аноним (109), 20:19, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    XMPP достаточно хорошо изучен и легко мониторится
     

  • 1.16, Анотолей (?), 12:01, 27/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Я может ретроград или даже тормоз, но не понимаю эти эскизы. Кому это надо? Почему их полностью отключить практически нигде нельзя?
    Типичный сценарий, Боб перекинул Алисе ссылку, по работе или из желания донести какую-то инфу. То есть, по определению, ожидается осмысленная реакция Алисы на материал. Получатель сам тыкнуть на ссылку обломается что ли? Или для тупых надо картиночку показать, чтобы собачка Павлова отреагировала? Идиотизм, имхо.
     
     
  • 2.25, InuYasha (??), 12:32, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    это удобно в больших чатах, где каждые 5 минут кидают ссылки неизвестно куда. Хорошо бы если б они формировались клиентом-отправителем, но тут возомжен подлог. Так что, вот. :-/
     
     
  • 3.75, Аноним (74), 15:08, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Так он и на сервере возможен. Сделать свою страничку, которая будет имитировать превьюшку твоего банка.
     

  • 1.23, InuYasha (??), 12:30, 27/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Функция предпросмотров - вредятина страшная. Опцию об отключении просили на жыдхабе telegram ещё лет пять назад. Почему не отключат? Мб за счёт этого идёт мониторинг и монетизация?
    (а ведь превью генерится ещё ДО отправки сообщения - в черновике)
     
     
  • 2.41, Аноним (125), 13:13, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    За счет этого идёт привлечение хомячков.
    Как и "фича" с деанонимизацией пользователей чата по контакт-листу.

    Для слежки за пользователями никаких специальных ссылок не нужно, достаточно проприетарного сервера.

     
     
  • 3.71, Аноним (71), 15:03, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > достаточно проприетарного провайдера.

    FTFY

    Твой провайдер отправляет всё куда нужно уже, не надо беспокоиться, ты в "безопасности".

     
     
  • 4.90, Аноним (-), 16:22, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >> достаточно проприетарного провайдера.
    > FTFY
    > Твой провайдер отправляет всё куда нужно уже, не надо беспокоиться, ты в
    > "безопасности".

    Инструкций по защите "последей мили" в интернете полно. Дерзай.

     
  • 2.53, Аноним (53), 13:52, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >превью генерится ещё ДО отправки сообщения

    И можно нажать крестик (внезапно!) и убрать превью. Что тебе еще не так?

     
     
  • 3.130, JL2001 (ok), 20:07, 28/10/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >>превью генерится ещё ДО отправки сообщения
    > И можно нажать крестик (внезапно!) и убрать превью. Что тебе еще не
    > так?

    которое уже сходило на сайт? отличный план

     

  • 1.27, Аноним (27), 12:34, 27/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Прочитал как "менеджерами".
     
  • 1.32, Аноним (32), 12:48, 27/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Неназванный мессенджер это телега. Ваш КО
     
  • 1.42, rvs2016 (ok), 13:13, 27/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Facebook Messenger, Instagram и LinkedIn
    > выполняют на своих серверах JavaScript-код
    > при формировании эскизов сайтов

    Вот в этом месте, подробности в студию, пожалуйста:

    Что это за JavaScript-код такой и где его для своих сайтов добрые люди берут? А то я у себя эскизы формирую недёшево врукопашную перлом (аки топором) на сервере, а только потом готовым хтмл-кодом отдаю в барузер. :-)

     
     
  • 2.47, Аноним (125), 13:21, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Селениум, наверное.
     
     
  • 3.51, rvs2016 (ok), 13:31, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Селениум, наверное.

    Прогуглил несколько страниц по этой теме.
    Какое-то мутроное описание системы. Да ещё и с намёком на то, что она не сама разбирает страницу, а управляет браузером.
    А есть ли JsvaScript-библиотеки, с помощью которых можно из страницы по указанному урлу вытащить объекты - заголовок, анонс, image_share (url картинки, а не она сама, конечно)? Больше-то и не надо.

     
     
  • 4.94, анананим (?), 17:10, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    phantomjs
    но ето говно, селениум+браузер лучше
     
     
  • 5.98, rvs2016 (ok), 18:02, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > phantomjs
    > но ето говно, селениум+браузер лучше

    Кстати.
    И фантом, и селениум - это же серверные варианты обработки страницы.
    А ищется-то JavaScript-библиотека браузерная, чтобы она в браузере распарсила страницу по указанному урлу и вытащила из неё заголовок, анонос да share_image.
    На сервере-то я и перлом это всё вытаскиваю. А хочется ж сервер такой чепухой не напрягать, если для этого можно и даже нужно напрячь клиентские тачки. :-)

     

  • 1.56, Аноним (56), 13:59, 27/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В телеге превью генерируется на сервере, умники.
     
  • 1.59, ИмяХ (?), 14:10, 27/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно, а Toxcore не проверяли?
    Как там у них с серверами?
     
     
  • 2.63, Аноним (61), 14:19, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    TOX - P2P, не?
     
  • 2.79, Аноним (71), 15:24, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Tox - P2P поэтому и работает он не всегда очень хорошо, особенно когда надо видео или файл передать.
     
  • 2.106, Аноним (109), 20:18, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Интересно, а Toxcore не проверяли?

    Лол, токс по дефолту твой айпишник и список контактов передает любому хопу по дороге

     

  • 1.62, Аноним (61), 14:17, 27/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter, Zoom и неназванный мессенджер, проблемы в котором ещё не устранены

    А в остальных из списка они уже устранены ;)

     
  • 1.66, Аноним12345 (?), 14:43, 27/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    если это вацап, то мы идем к вам
     
  • 1.67, IdeaFix (ok), 14:47, 27/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Гы-гы... в юности любили мы с пацанами архивировать текстовые файлы на гигабайт и пересылать их по почте, а когда чуть-чуть почитали, научились и бОльшие (чем объём диска) объёмы в зип запихивать. Некоторым почтовым серверам от этого было плохо.

    Ну а если по теме, то за прикрытие паразитных вычислений дизлайк. У меня всё так хорошо работало, а тут приходят какие-то Кэпы и говорят "ко-ко-ко, вас там имеют, зашейте дырку". Фу. Ни себе ни людям... фейсбук реально быстро считал.

     
  • 1.68, Роман (??), 14:53, 27/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Про телеграм пишут что он ничо так:

    We tested a lot of apps, but we somehow missed Telegram in our final write-up.

    I can tell you how it behaves:

    In normal chats, Telegram generates link previews server-side. The server downloads up to 20 MB of any file.
    In secret chats, that are end-to-end encrypted, Telegram prompts the user if they want to enable the feature of link previews. If enabled, the sender will generate the link previews and send it as an attachment to the receiver, i.e. it follows Approach 1 according to our article.


    https://arstechnica.com/information-technology/2020/10/study-shows-which-messe

     
  • 1.70, NotaBug (ok), 14:59, 27/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Эскизы, серьёзно? Тот же Телеграм сохраняет всю помойку, которую ты смотришь на ЖД, или это только для меня фатальный недостаток?
     
     
  • 2.80, Аноним (71), 15:29, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > или это только для меня фатальный недостаток

    Не только, но судя по вашему нику - "Works for me" имеет место быть? ;)

     
     
  • 3.85, NotaBug (ok), 15:53, 27/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    "Вы не понимаете, это другое". Промышленный стандарт (с)
     
  • 2.124, Groosha (?), 10:38, 28/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    не "всю", а как настроите
     

  • 1.77, robot228 (?), 15:13, 27/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >возможности формирования вредоносных ссылок для атаки на мессенджер и определения IP-адреса получателя или отправителя сообщения.

    ОПРЕДЕЛЕНИЕ АЙПИ АДРЕСА, АЙ-ЯЙ-ЯЙ

     
  • 1.83, YetAnotherOnanym (ok), 15:48, 27/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > создаёт паразитный трафик

    Сюрпрайз, блин...

     
  • 1.84, Аноним (84), 15:49, 27/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    О, вацап-то рулит, оказываеццо!
     
  • 1.92, Аноним (92), 16:56, 27/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    А можно ли так майнить криптовалюту?

    Создать сайт "Help Me Mine", никому не давать на него ссылку, но пересылать в мессенджере самому себе и наслаждаться генерацией валюты на сервере MS.

     
  • 1.97, Аноним (97), 17:49, 27/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Отправил себе в "Избранное" ссылку на контролируемый мной сервер. В логах увидел

    149.154.161.5 - - [27/Oct/2020:hh:mm:ss +0000] "GET / HTTP/1.1" 200 4976 "-" "TelegramBot (like TwitterBot)"

     
     
  • 2.122, Аноним (122), 09:54, 28/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Где там в телеграмме избранное?
     

  • 1.105, Аноним (109), 20:16, 27/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    XMPP
    M
    P
    P
     
  • 1.113, Наме (?), 22:54, 27/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    сигнала и *Tox тоже нет
     
  • 1.114, Аноним (114), 01:37, 28/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В Skype отключается.

    В Wire - нет.

     
  • 1.118, Аноним (118), 09:17, 28/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В ходе исследования выявлено, что формирование эскиза на стороне получателя или отправителя приводит к дополнительному расходу трафика, вплоть до исчерпания небезлимитных тарифных планов, а также к возможности формирования вредоносных ссылок для атаки на мессенджер и определения IP-адреса получателя или отправителя сообщения.

    Вот прям производителями г-ноантивирусов повеяло. Схожие аргументы.

     
  • 1.119, пень (?), 09:32, 28/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чета я в списке не нашел Мессенджера, одни рекламные молодежные приложухи только вижу.
     
  • 1.121, Аноним (122), 09:52, 28/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Обнуление счетчика одноразовых ссылок это конечно печалька
     
  • 1.128, fuggy (ok), 19:36, 28/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    А разве не для этого придумали Open Graph, Schema.org, RDF и прочие микроразметки. Какие javascript у них выполняются, откуда они берут 2.6 ГБ файлы?
    Получил meta — достал ссылку на превью. Нет ссылки — нет эскизов. Конечно всё это должно отключаться при желании в настройках клиента.
     
  • 1.137, Аноним (137), 22:26, 02/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сначала сделали какую-то херню потом создали компанию по безопастности и она обьяснила что так делать не нужно было...

    Слушайте отличный бизенс план =) Интересно а обычные пользовталеи понимают что их так наиобманули что даже спят и видят эти все миниатрюры

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру