ИТ-новости {no offtop}

[Retif]

В эту тему постим новости, касающиеся ИТ технологий и ИТ-тематики. Для большего удобства размещайте новости в таком формате:

Заголовок

Новость

И ниже новости ссылка на источник новости.

Не нужно сюда перепощивать ежедневные одноообразные новости, типа выхода какого-нибудь патча или безликого смартфона, а также политизированнные новости, затрагивающие ИТ только косвенно (об очередном запрете каких-то сайтов в России или смене руководства в ИТ-компании и т.п.) - для этого есть тема Новости отовсюду ).
Также не рекомендуется постить новости, состоящие из одной строки а-ля Твиттер.
Размещайте действительно животрепещущие новости ИТ-тематики, которые будут всем интересны.

[klarkin]

Загрузку с ReFS запилили

Охъебатюшки! - 2026 год на дворе. 

[Retif]

klarkin, ну тут вопрос, нах она нужна, конечно.

[Triangle]

Пользователи профильного NTC‑форума (открывается только через IPv6), посвященного исследованиям интернет‑цензуры и обхода блокировок, обнаружили необычное сетевое поведение российского мессенджера MAX. Речь про официальный APK с официального сайта.

Схема была довольно прямолинейной: в одном случае использовали PCAPdroid - приложение, которое на Android-устройстве имитирует VPN для перехвата сетевого трафика без необходимости получения root-прав, таким образом позволяя отслеживать, анализировать и блокировать сетевые соединения, осуществляемые приложениями на устройстве. В другом случае анализировался трафик из эмулятора, причем отдельно отмечено, что образ системы в эмуляторе был “чистый”, без установленных других мессенджеров и дополнительного софта.

По наблюдениям (дампы PCAPdroid выложены на форуме), мессенджер MAX регулярно дергает сразу несколько сервисов для определения внешнего IP-адреса, причём часть из них - зарубежные. Среди доменов, которые всплыли при проверке, кроме российских сервисов, видны также иностранные сервисы:

api.ipify.org

checkip.amazonaws.com

ifconfig.me

Само по себе обращение к сервисам определения IP не преступление - например, это может быть необходимо для корректной настройки P2P-звонков через WebRTC.

Но участников форума насторожили два момента.
Во-первых, слишком много проверок IP и слишком много разных источников. Если цель просто “узнать внешний IP”, обычно хватает одного сервиса. Когда их несколько, это уже похоже на попытку перепроверить результат и собрать «картину» с разных точек.
Во-вторых, в списке исходящих соединений также видны обращения клиента MAX к доменам, связанным с Telegram и WhatsApp:

main.telegram.org

mmg.whatsapp.net

И это уже выглядит как проверка проверка сетевой среды (например, доступ к каким доменам режется провайдером) и доступны/заблокированы ли конкуренты. Например, домен mmg.whatsapp.net используется WhatsApp для загрузки медиа по прямым ссылкам. В настоящий момент Роскомнадзор блокирует этот домен, и его можно удобно использовать для мониторинга, грузится ли контент по определенному URL с этого домена или нет  - учитывая, что зачастую блокировка к “запрещенным” доменам у РКН срабатывает не сразу, а только после получения ~16кб данных с “запрещенного сервера”, либо вместо блокировки происходит “замедление”.

Сервис api.ipify.org находится в сети Cloudflare, а checkip.amazonaws.com - в облаке Amazon AWS. И Cloudflare, и Amazon также нередко попадают под “16кб” и “триггерные” блокировки Роскомнадзора (см. здесь и здесь), и это тоже может быть довольно характерной проверкой.

С учетом описанного выше, обращение к нескольких сервисам определения внешнего IP в разных локациях также может быть проверкой, выходит ли пользователь в интернет "напрямую" или через VPN/прокси (по расхождениям между IP‑проверками, по маршрутизации, по доступности отдельных ресурсов).

Например, если у пользователя в VPN/прокси-клиенте настроена раздельная маршрутизация, при которой трафик до иностранных ресурсов идет через прокси/VPN, а до российских адресов - напрямую, то подобные проверки при одновременном использовании российских и иностранных сервисов покажут разные IP-адреса в разных AS, что позволит достаточно достоверно детектировать факт наличия прокси/VPN и даже узнать выходной IP-адрес прокси/VPN-сервера (который при простой настройке почти всегда совпадает с входным) и впоследствии заблокировать доступ к нему.

Ну и не забываем, что с прошлого года статьей 13.52 КоАП РФ (нарушение порядка использования на территории РФ программно-аппаратных средств доступа к информационным ресурсам, информационно-телекоммуникационным сетям, доступ к которым ограничен) вводятся штрафы для владельцев VPN/прокси за несоблюдения запрета предоставлять доступ к информационным ресурсам, доступ к которым ограничен на территории РФ, а также за неисполнение установленного порядка взаимодействия с Роскомнадзором.

Меры предосторожности:

Не пользоваться MAX;

При необходимости пользоваться им, ставить его на отдельное “чистое” и изолированное устройство;

При использовании VPN/прокси, настраивать для split tunneling разделение маршрутов не по GeoIP, а по приложениям;

Использовать не один прокси-сервер, а цепочку из двух; альтернативно - использовать на прокси-сервере 2 IP-адреса (один для входящих, другой для исходящих подключений), либо, при наличии только 1 IP на сервере, заворачивать исходящий трафик с прокси на Cloudflare WARP.

Updated: 05 March 2026, 10:58:26
https://habr.com/ru/articles/1006394/

[klarkin]

Мне сначала эта новость тоже не понравилась, но потом понял, что один хуй от меня ничего не зависит: Даже если уберу МАХ на другой смартфон, останется 100500 тех, кто продолжит использовать его и какой-нибудь VPN.
В общем, пока работает - не дёргаюсь.
А голосовые звонки в МАХ - норм.

[Triangle]

Ну собственно исключая все пугалки, то пора действительно сесть поморщить жопу и настроить всё это вот "При использовании VPN/прокси, настраивать для split tunneling разделение маршрутов не по GeoIP, а по приложениям;

Использовать не один прокси-сервер, а цепочку из двух; альтернативно - использовать на прокси-сервере 2 IP-адреса (один для входящих, другой для исходящих подключений), либо, при наличии только 1 IP на сервере, заворачивать исходящий трафик с прокси на Cloudflare WARP."

Суть в том что скорее всего он собирает сведения о маршрутах трафика к недружественным сервисам и сливает их.

Updated: 05 March 2026, 11:13:33
Тут ещё надо вот над чем подумать то, надо посмотреть а есть ли под Android сторонние хорошо настраиваемые фаерволы, которые позволят настроить кому куда ходить, и в нем можно будет накрутить тому же Максу так чтобы он мог ходить и слушать трафик только своих серверов

[klarkin]

 

[Вьшекн]

У мессенджера MAX сегодня вспыхнул редкий скандал, где спорят уже не о слухах, а о базовой модели доступа к личным файлам. Сначала вышла публикация на Pikabu от пользователя с ником 5time. Автор утверждает, что картинку из личной переписки в веб-версии сервиса можно открыть по прямому адресу без входа в аккаунт. Там же сказано, что после удаления изображения из чата ссылка ещё какое-то время остаётся рабочей.

Суть претензии выглядит неприятно даже без лишней драматизации. По версии публикации, пользователю достаточно отправить фото в переписку или в «Избранное», открыть веб-версию MAX, вытащить адрес файла из кода страницы и вставить ссылку в другом браузере, где авторизация отсутствует. Хабр пишет, что собственная проверка подтвердила проблему.

MAX ответил почти сразу и в максимально жёсткой форме. Пресс-служба платформы заявила, что личные фотографии доступны только владельцу, а посторонний пользователь увидит файл лишь в том случае, если владелец сам передал изображение или прямую ссылку. В компании также настаивают, что ссылку нельзя подобрать или сгенерировать, а сообщения о свободном доступе к фото называют фейком. При этом в последующей заметке Хабр отдельно указал, что MAX не объяснил, почему удалённая картинка и её адрес, по версии издания, продолжают открываться после удаления из переписки.

Подробнее: https://www.securitylab.ru/news/570087.php

[klarkin]

Можно как бесплатный фотохостинг использовать. 

[Triangle]

15 марта 2026 года вступают в силу новые требования CA/Browser Forum, согласно которым максимальный срок действия SSL‑сертификатов сократится до 200 дней. Это один из этапов постепенного уменьшения срока действия сертификатов — до 47 дней к 2029 году. Более подробную информацию Вы можете найти в нашей новости https://www.leaderssl.ru/news/581-sokraschenie-sroka-deystviya-sertifikatov-ssl-tls-do-47-dney-k-2029-godu, посвященной этим изменениям.

Updated: 12 March 2026, 16:34:54
а кто умный а объясните чем оно тогда будет отличаться от https://letsencrypt.org/

[airdwarf]

Triangle, а оно и сейчас ничем не отличается.

[Triangle]

airdwarf, ну я про сроки, мне что нравилось получил один wild на год, насовал на все ресурсы и забыл про это на год или два, а теперь надо за всем этим следить чтобы было актуально, а учитывая что ещё не всё в моей зоне ответственности но при этом не сделанное будет ебать мозг мне. ну блд...

[airdwarf]

Triangle, вот, а у леценкрипта этим занимается специально обученный софт.

[Retif]

Triangle, вот, а у леценкрипта этим занимается специально обученный софт.

Проблема в том, что у большинства ПО нет механизма автоматизированной смены сертификатов. Ну или это пипец как через ж.
Мало сертификат выписать, его ещё и поставить нужно и заставить ПО использовать именно его.

[Triangle]

airdwarf, certbot? Ну да, только вот... не везде оно вот так можно сделать.

[airdwarf]

Проблема в том, что у большинства ПО под Windows нет механизма автоматизированной смены сертификатов.

Фикс.  Ну и эта. Сертификат где-то хранится, и где-то хранится ссылка, позволяющая его получить. Что мешает разобраться, где?