RE: https://mastodon.online/@amicalucis/116324403115706404

Про национальный сливиной бачок беседник #Мах: люди не хотят его устанавливать, боятся, как его поливают блогеры

В соц. сетях пишут, что в Max обнаружена серьезная проблема с отправкой сообщений, которая, по заверениям пользователей, все-таки позволила им читать чужие сообщения, отправленные не им.

Так получилось, что описанная проблема напрямую связана с фундаментальной архитектурной особенностью в нынешней системе безопасности Max в виде доступа к чужим медиафайлам. Дело в том, что Max полностью полагается на длинный ключ, который присваивается каждому файлу, фотографии и т.п., который вы пересылаете. До появления квантовых компьютеров такой ключ простым перебором, скорее всего, нельзя взломать в силу его длины. При этом Max не проверяет наличие куки, подтверждающего права получателя и отправителя на прочтение сообщения, скорее всего, в целях экономии серверных мощностей.

А теперь представьте себе размер базы данных, с которой работает Max, — с огромным количеством сообщений, файлов и всего прочего. Одна ошибка в коде, баг, всплывший в результате обновления или разрастания базы данных или последствие недружественного воздействия на сервера мессенджера со стороны иностранных сил, и вот вы отправляете кружочек одному человеку, а вам приходит кружочек от другого человека. А ваш кружочек уходит не тому человеку. Последствия могут быть самые серьезные. Самые.

Лично у меня пока таких проблем не было. Но тех, кто заявил себя пострадавшими уже некоторое количество людей. И, скорее всего, разработчики Max быстро проверят, есть ли такой баг, и поправят его. Но почему пользователь в принципе может просмотреть файл, отправленный не ему? А вот как раз по той самой причине, которую мы описывали ранее. Сегодня будет исправлен один баг, допустим. Но кто может исключить появление аналогичного бага в будущем, если сама система обмена файлами в Max построена на принципе "ключа, который нельзя подобрать нынешними средствами перебора, уже достаточно, чтобы защитить конфиденциальность".

Я не позиционирую себя как какой-то там специалист по инфобезопасности, коим я не являюсь, но даже чисто обывательски, я считаю, что с учётом современной конъюнктуры в Max нужны фундаментальные улучшения по части безопасности, чтобы исключить такие проблемы в будущем даже теоретически. Система должна проверять легитимность получателя каждого файла, используя куки или иные удобные разработчикам методы, а трафик должен шифроваться. Да, это дополнительная нагрузка на сервера, но это защита пользовательских данных по букве и по духу 152-ФЗ (в том виде, в каком их вижу я) и исключение даже теоретической возможности отправить файл одному человеку, а затем удивляться, что он пришёл другому.

Еще несколько дней назад, до всей этой истории, я передал разработчикам Max мои соображения по этому поводу и попросил добавить проверку куки для получения сообщения, нет авторизации в Мах и ты не легитимный получатель — файл по ссылке ты просмотреть не должен. Ответа пока не было. А может и потерялось мое сообщение, кто знает. Ну, вот дублирую свои мысли тут.

Источник

#Мах