В MAX появились секретные чаты с шифрованием Base64

Можно ещё буквы местами менять.

Если вставить "зашифрованное" сообщение в любой онлайн-перекодировщик Base64, можно получить небольшой смешной бонус от авторов новости.

> Если вставить "зашифрованное" сообщение в любой онлайн-перекодировщик Base64, можно получить небольшой смешной бонус от авторов новости.

Тут от производителя МАХа более смешная шутка пришла - все картинки, фото - не шифруются и получают постоянную ссылку с прямым доступом кого угодно, и если ты получил хоть один документ от какого-нить пользователя - ты можешь простым перебором получить ВСЕ фото/картинки этого пользователя.

> Это называется IDOR, кажется. Очень нелепая дыра.

Любопытно, что это название (IDOR) происходит от эпитета, которым большинство пользователей обзывало разработчика в комментах за криворукость.

> Опровержение:

Другие пользователи могут увидеть фото, только если владелец добровольно поделится ими или ссылкой на них

О чем и речь - достаточно получить одну ссылку, чтоб получить доступ ко всем.

> То есть в точности как в Телеге.

Нет.
Телега использует сложную систему хранения и доступа к файлам (MTProto + CDN) , там такого быть не должно. Каждый файл (фото, документ, видео) имеет уникальный набор идентификаторов. В приватных чатах, группах и обычных диалогах ссылка всегда привязана к твоей сессии (cookies + file_reference). Посторонний человек (даже если ты ему её отправишь) получит 403 Forbidden. Только если медиа из публичного канала тогда прямой CDN может открыться у кого угодно (но тоже не навсегда).

IDOR уязвимость и вечный хостинг был раньше у VK, сейчас не знаю давно не интересовался.

> То есть в точности как в Телеге.

В телеге в web-версии ссылка имеет вид: blob:https://web.telegram.org/93d5d8c5-480b-4c72-b3e6-850a102908eb
Открывается только в браузере где выполнен вход, я так понимаю требует авторизационный токен.
В Whatsapp так же.
Почему в макс так не сделали непонятно, но сказать что это прям дыра...

Окей, поправлю себя, чтобы никто не упрекнул в неточности.

Вот две мои ссылки:

[censored]
[censored]

Первые 24 символа общие для пользователя. 43 уникальные. Кол-во вариантов для перебора 43^40 = 2*10^65
Задача сильно проще не стала.

P.S. Кстати, хорошая замена idiod'у получается)))

Вотт пропускает: [censored]

> Задача сильно проще не стала

В сто миллионов раз проще!!!

> Первые 24 символа общие для пользователя. 43 уникальные. Кол-во вариантов для перебора 43^40 = 2*10^65
> Задача сильно проще не стала.

строка не является простым счётчиком. Это почти наверняка криптографическая подпись / HMAC / зашифрованный blob / токен
Если кто-то разошлёт много ссылок из одного чата/пользователя то можно попробовать собрать префикс + несколько суффиксов и попытаться понять паттерн (но скорее всего всё равно не угадать подпись).Что-то может получится если суффикс это последовательный counter + слабая подпись. Или если есть другая уязвимость , например, предсказуемый seed для генерации токена. Тогда да, возможен перебор. Но все это крайне маловероятно.

>[censored]
>[censored]

> Первые 24 символа общие для пользователя. 43 уникальные. Кол-во вариантов для перебора 43^40 = 2*10^65
> Задача сильно проще не стала.

Префикс

BTE2sh_eZW7g8kugOdIm2Not

Постфикс

RPS78t1fJ0sOGDY-bLWuM

22 уникальные:

UuYlg-Iq7agsz_gp3i-_hy
-pIxtTnoDZD_hTE5kEYg0S

> Постфикс

Спасибо, постфикс я просмотрел.

>22 уникальные

Хорошо, 22^40 = 5×10^53 вариантов

> большинство пользователей обзывало разработчика в комментах за криворукость

Скорее не криворукость, а просто похуй. ТЗ формально выполнено - а остальное не ебёт.

Обновление приложения методом полной установки "поверх" - яркое тому подтверждение.

> Я там тебе посхалку оставил!!!

Вотт теперь точно не буду смотреть!!!

> получают постоянную ссылку с прямым доступом

Это как? Скиньте хоть одну ссылку

А онеме.ру - это домен Макса? Оригинально они придумали...

> Ну хз чей это домен, но ссылки на фото ведут на него:

я не смог воспроизвести уязвимость. То есть загрузил картинку в "избранное" в MAX, открыл[censored] в коде никаких oneme.ru нет

> Странно, у других получается. А что у тебя в коде? Если изображение на странице web-версии отображается, значит откуда-то оно берется. Откуда?

Ну может с web.max.ru и берется, но oneme там нет

> Ты не видишь какой src у html тега с картинкой? Что ты там тогда "возпроизводишь"?)))

Я прекрасно все вижу, и домена oneme там в коде страницы нет

> А что есть?)

Мне сейчас встать с кровати, включить комп, опять зайти в web.max.ru спустя 2 дня и делать скриншоты? Да и исходный код страницы со своим мессенджером чет как-то не хочется публиковать. Зайди сам в web.max.ru и скопируй сюда исходный код страницы, уверен, там уже не будет ссылок на oneme.ru, как и у меня

Вот я зашел на страницу переписки, содержащую изображения, открыл исходный код. Вот весь код страницы:
<!doctype html>
<style>
#app {
max-width: 1280px;
margin: 0 auto;
}
</style>
<html lang="%lang%">
<head>
<meta charset="utf-8" />
<meta name="google" content="notranslate" />
<link rel="icon" href="/favicon.png?v=2026" />
<link rel="preconnect" href="https://fonts.googleapis.com" />
<link rel="preconnect" href="https://fonts.gstatic.com" crossorigin />
<link
href="https://fonts.googleapis.com/css2?family=Roboto:ital,wght@0,400..600;1,400..600&display=swap"
rel="stylesheet"
/>
<title>MAX</title>
<meta name="viewport" content="width=device-width, initial-scale=1" />
<link href="/_app/immutable/entry/start.DaCUTPj9.js" rel="modulepreload">
<link href="/_app/immutable/chunks/BXcXfiQ9.js" rel="modulepreload">
<link href="/_app/immutable/chunks/BYCzbCFc.js" rel="modulepreload">
<link href="/_app/immutable/chunks/CgyyBTrG.js" rel="modulepreload">
<link href="/_app/immutable/entry/app.DBEvtvlG.js" rel="modulepreload">
<link href="/_app/immutable/chunks/tQe6Ueys.js" rel="modulepreload">
<link href="/_app/immutable/chunks/DsnmJJEf.js" rel="modulepreload">
<link href="/_app/immutable/chunks/CAj874Lt.js" rel="modulepreload">
<link href="/_app/immutable/chunks/FpUkFsge.js" rel="modulepreload">

</head>
<body data-sveltekit-preload-data="hover">
<div id="app" style="display: contents">
<script>
{
__sveltekit_3hlan = {
base: ""
};

const element = document.currentScript.parentElement;

Promise.all([
import("/_app/immutable/entry/start.DaCUTPj9.js"),
import("/_app/immutable/entry/app.DBEvtvlG.js")
]).then(([kit, app]) => {
kit.start(app, element);
});
}
</script>
</div>
</body>
</html>

> Ок, а как теперь имея эту ссылку с этим токеном найти другие изображения пользователя? Что перебирать? Сдается мне, потребуется брутфорс не меньше чем для подбора пароля к учетке

Почитай весь топик сверху вниз внимательно, тут эта тема подробно разобрана) P.S. я как раз еще в 15 сообщении писал, что подобрать ключ для других изображений практически невозможно. Как разобрали потом, это как подобрать пароль из 22 символов.

> сейчас установил расширение allo right click

Пользуйся google chrome, там полноценная панель разработчика из коробки. Не надо никаких разрешений
Сtrl + Shift + I - открывает панель, потом Сtrl + Shift + С - тыкаешь в нужный элемент на странице и смотришь конкретно его код, а не всю страницу целиком. И куча еще других полезных разработчику функций.