>Фактически файлы там работают как обычные ссылки на хостинг. Злоумышленники могут сделать специального бота для подбора таких ссылок.
Так это специально сделано чтобы Окулус сканировал крамолу.
Попроси у ИИ написать скрипт, ну что как маленький, я уже нюдсы всех знакомых тяночек вытащил.
А у дискорда и вк разве не такая же хуйня? Там же тоже по ссылкам смотреть можно фотки.
Израитель младший проглядел такую досадную оплошность в мессенджере "Самех" или так и задумывалось?
Так заблюрен там хэш поди. Который лет сто можно перебирать.
Это хуита. Там наверняка uuid или что-то в этом духе. Подобрать такой рандомный айди брутфорсом можно только за несколько сот лет. Если бы действительно была уязвимость, то никто бы про это не писал в паблике, а просто написал бы простой скрипт и скачал базу всех картинок за всю историю макса и потом бы в даркнете бы продал. Или самому максу можно было продать такую уязвимость в рамках багбаунти программы. Как открытый урл без авторизации статику хранят все мессенджеры. Это норм, если без последовательного айди.
>лет сто можно перебирать
Скорее до тепловой смерти вселенной.
> Как открытый урл без авторизации статику хранят все мессенджеры.
Нахуй ты пиздишь? Пиздаболина блять лахтодырявая. Давай принеси мне пример таких ссылок из телеги. Жду блять. В телеге можно взять ссылку на аттачмент, но она не будет доступна, если ты не залогинен в аккаунт участника переписки.
Я не помню точно сервисы и приложения но такое встречается часто. Видел много раз, потому что на багбаунти иногда получаю деньги за уязвимости. Может в телеге по другому, я не проверял. Если для каждой пикчи чекатать авторизацию - будет пизда серверу, это нормально так делать. Если ты зарепортишь подбную "уязвимость" из ОП поста в любую нормальную компанию, то тебя пошлют нахуй, если ты не сможешь показать как угадать id. А это сделать нельзя, если это uuid.
Это угроза нашим мальчикам?
Теперь докажи что в максе не так же. Пиздец, приходится ещё защищать эту помойку. А ещё в оп посте символов 30 заблюрили, такое десятилетия перебираться будет. В имгуре и лайтшоте 5-6 символов было.
https://i.oneme.ru/i?r=BTE2sh_eZW7g8kugOdIm2NotLlmQgjKWoVhsXV-LqJcnUysTNZ2a4Jf5aCnWA6Wt_2U
Вот тебе ссылка на аттачмент из макса, файл загружен в "избранное". Открыть может кто угодно.
Ньюфаги не знают, что во вконтактике так же.
Так ВК и макс пишут одни и теже криворукие разрабы, лол
Имаджинирую ебало порриджа на опе который будет перебирать комбинации
Путин хуйло слава украине кста
Я проверил, да, это так, но ссылка состоит из символов пятидесяти, это ещё сложнее чем в максе перебирать.
Олды не помнят треды, когда сидели и искали годноту из переписок.
64^67 комбинаций. Перебор всех комбинаций на гипотетическом несуществующем суперкомпьютере зетта-скейла займет 327 novemvigintillion лет.
> интимные снимки
> в максе
Фото ануса для начальства? Или кто в своем уме будет обмениваться нюдсами в госговне?
>Нюдсы и документы из личной переписки в Мах может увидеть любой желающий.
Пиздешь уровня биткоин может получить каждый, он же хранится в открытом доступе, достаточно подобрать...
А вот и перекрытие подоспело. Че, ребята, лишили вас выходных? Сначала ниприятное с хабра, теперь это...
Телегу ебнут как ебнули ватсап.
Финмаркет, инфоцигане лишатся заработка.
Минусов не вижу.
Финмаркет, инфоцигане лишатся заработка.
Минусов не вижу.
Перекрывать тут нечего, зашивать код в название файла это обычная практика, кодом владеет только клиент и сервер, без кода ты путь к файлу никак не узнаешь, значит не сможешь его получить, дальше файл просто хранится на базовом cdn без избыточной логики, ничего тут такого нет, в основном это так везде и работает.
уникальная в этой ссылке только часть "ysTNZ2a4Jf5aCnWA6Wt_2U", ебаклак
часть BTE2sh_eZW7g8kugOdIm2Not по идее вообще у всех одинаковая, LlmQgjKWoVhsXV-LqJcnU это метаданные пользователя
так щта 64^22, при условии, что алгоритм вычисления первой трети вскроют, что, согласись, сильно упрощает задачу
сначала распарсят первые две трети хэша уникальные для каждого пользователя (возможно, фишингом), потом остальное переберут
ждём сливов
вк, если чё, потому и убрал старый формат ссылок на фото, что пошли сливы распарсенных фоточек
>при условии, что алгоритм вычисления первой трети вскроют
Вот когда вскроют тогда и приходи, а пока это всё пердёж в лужу с расчетом на людей далёких от компьютера.
СЛИВ ПОДРУГИ ДРУГА НЮДС ЖЕНЫ НАЧАЛЬНИКА ПРОКУРОРА СЛЕДОВАТЕЛЯ БЕЗ СМС И РЕГИСТРАЦИИ
>что алгоритм вычисления первой трети вскроют
Анус себе вскрой, кукарекало
дык если ты хоть раз высылал любую фотку, даже счётчики в водоканал, эта часть уже известна дырявому водоканалу, а пидары из жкх, кстати, топ-1 сливальщиков личных данных
О, теперь можно не платить за cdn?
Я же могу залить сотни гигабайт в этот ваш макс и раздавать ссылки?
У каждой фотографии код уникальный, и ты вообще не сможешь его подобрать потому что это не алгоритм а рандомизация.
>это не алгоритм а рандомизация
ГПСЧ это буквально алгоритм.
Я люблю oneme
БЛЯЯЯЯЯЯ и эту хуйню заставляют сейчас всех ставить на РАБотке и переносят все операции через него!
Что за хуйня почему они думают что слив данных верхушку не коснётся?
>верхушку не коснётся
Верхушка сидит в инстаграме и телеграме, у них спецсимки без ограничений.
нет не все, скоро вас ии заменит, нет чего хуже лахтовика.
>почему они думают
бляяя сссука почемучкины ебаные
как вы заебала
это уже отдельная каста дебилов
>ну разве они не понимают
>они что не видят?
ПОХУЙ ВСЕМ чем хуже тебе - тем лучше, ты не понял ещё?
>ну патиму..ну разве..этьоо зьеее глупоо..
тьфу нахуй закрой рот блять
На это уходят наши налоги, пусть работают.
> Злоумышленники могут сделать специального бота для подбора таких ссылок
Удачи. Там количество вариантов - триллионы комбинаций, буквально. А еще защита от перебора стоит, выдает ту мэни реквестс
> алгоритм вычисления первой трети вскроют
Ебланище, этот «алгоритм» - это генераци псевдослучайных последовательностей типа rand() какого-нибудь. Иди, вскрывай его, кулхацкер мамкин лол
Вторая часть представлена 11 символами 128-ричного алфавита(там же ссылки включают юникод как я понял). А это 128^11 = 151 115 727 451 828 646 838 272. Удачного брутфорса
не юникод а ограниченый аски
фикс*
Телегу те самые люди написали
идиот, речь о том, что тебе достаточно засветить две трети неуникального адреса, например ЕДИНОЖДЫ выслав фотку на ненадёжный адрес, например свой МУП ВОДОКАНАЛ
>ysTNZ2a4Jf5aCnWA6Wt_2U
где ты тут увидел юникод, ебаклак? это алфавит+цифры+нижнее подчёркивание, 63^22 = 3850278001389542025943356831719778839169
это дохуя, но уже после миллиарда фоток простым брутом по миллиону запросов в секунду начнёт попадаться интересное
вк был такой же алфавит, но меньше длина, и им пришлось отказаться от этого, потому что начали сливать
> где ты тут увидел юникод
Аски а не юникод шлюший ты сын, если его нету в этой ссылке то это не значит что его нету в других. А теперь даун ёбаный следи за руками: url_safebase64 хратнит в одном символе 6 блять бит информации, 22 символа дают 132 бита информации, чтобы закодировать 128 символьный алфавит нужно 77 бит. ПОВТОРЯЮ ДЛЯ ТУПОГО ПИДОРАСА, КАЖДЫЙ СИМВОЛ 128 РАЗРЯДНОГО АЛФАВИТА КОДИРУЕТСЯ ДВУМЯ СИМВОЛАМИ 64 РАЗРЯДНОГО.
Надеюсь что посчитать всё выше описанное самостоятельно в состоянии не прибегая к нейронабульку, иначе я не знаю нахуй ты со мной споришь.
> это дохуя, но уже после миллиарда фоток простым брутом по миллиону запросов в секунду начнёт попадаться интересное
Через сколько запросов у тебя будет дохнуть прокся и тебе придётся накатывать новую? Сколько сейчас брут прокси под рашкостанский регион стоят и сколько их вообще есть на рынке?
Я одно не понимаю, раз ты такой дохуя умный, а мы все тупые, что же ты ещё не побежал брутить?
>ссылки включают юникод
>Аски а не юникод
что у этого тупого говноеда в башке? зачем ты мне сообщает то, что мне известно лучше тебя?
>это не значит что его нету в других
тупой уёбок, в URL юникода не может быть вообще никаким каком. а если ты захочешь его туда засунуть, то это будут символы вида %FF в отдельном namespace, что, очевидно, не наш случай
>что же ты ещё не побежал брутить?
потому что никому не нужны протухшие трусы твоей мамаши, которые я, к тому же, давно скачал из вк, когда он был открыт как ёбаный анонимный FTP сервак, а потом твоя мать здохла(((((
Засветил, че дальше? Хеллоувордная маня напишет переборку остальной трети, которая отвалится через минуту из-за 429 ошибки?
Говномидас даже анальный зонд не может сделать нормально.
>которая отвалится через минуту
ты не забыл, что вчера ещё 40 стран подключили к этой параше? в той же бразилии просто пиздецкое количество уёбков с китайскими смартами, зашкваренными трояшками с завода
эта хуйня дырявее телеги
Еще раз спрашиваю - хеллоувордная маня теперь пишет не просто переборщик, а целый ебаный ботнет ради иллюзорного шанса налутать фотку счетчика?
хеллоувордная маня нет, а те, кто лутали и сливали вк, что им аж пришлось десятилетиями работающие алгоритмы менять, делают это прямо сейчас
Ух ты блядь и че эти мегакулхацкеры налутали с ВК? Фотки счетчиков и жоп?
Это ж госзаказ по сути, зачем так заморачиваться.
но контора частная
Скорей бы туда добавили управление Стратегическими Ядерными Силами.
Можно ли считать её частной если она живёт за счет госбюджета? Автоваз тоже формально частный, но через сколько он закроется в условиях настоящего рыночка, без бюджетной капельницы? Да и вообще, можно ли в Рухнумии говорить о каком-то частном предпринимательстве, если в любой момент твой бизнес может отжать любой гебист? Тут даже лоббизма как у швитых нет, госбарин стукнул кулаком по столу, кабаны опустили глазки и сказали ладно.
>Да и вообще, можно ли в Рухнумии говорить о каком-то частном предпринимательстве
Можно
Это когда прибыль в частный карман идет, а издержки ложатся на государство.
> я даун без образования посмотрите на меня, мне нужно внимание
Чел ебало вальни. Во первых аски это не юникод, это раз. Во вторых url_safebase64 включает в себя символы аски тире и нижние подчеркивания. Три я блять пофиксил опечатку с юникодом в первом же фиксе через 15 секунд, хуль ты такой тупой птушник?
> тупой уёбок, в URL юникода не может быть вообще никаким каком. а если ты захочешь его туда засунуть, то это будут символы вида %FF в отдельном namespace, что, очевидно, не наш случай
> THIS
> потому что никому не нужны протухшие трусы твоей мамаши, которые я, к тому же, давно скачал из вк, когда он был открыт как ёбаный анонимный FTP сервак, а потом твоя мать здохла(((((
> Ряяяя там можна набрутить дохуя ценного, ряяя чмакс это ведь СЭД, ряяя там дакументы
> Спустя пять минут: да там нихуя ценнава нету биляяя как ти не панимаешь я тваю маму ебал
btw подрыв со скобочками засчитан.
Провайдеры и системные администраторы: Если ты сидишь через рабочий или учебный Wi-Fi, прокси-сервер организации логирует полные URL-адреса. Админ может просто выгрузить топ самых «тяжелых» ссылок из лога и увидеть твое фото без всякого взлома.
CDN-узлы (Content Delivery Network): Чтобы фото грузилось быстро, мессенджеры используют сети доставки контента. Если ссылка постоянная, фото кэшируется на промежуточных серверах. Тот, кто контролирует узел (или тот, кто его взломал), получает доступ к архиву.
Браузерный кэш и история: Если ты хоть раз открыл эту ссылку в браузере, она осталась в History. На общих компьютерах (в библиотеке или учебном классе) это фатально.
Referrer Header: Если ты кликнешь по такой ссылке и перейдешь на другой сайт, этот сайт в своих логах может увидеть, с какого URL ты пришел. Так твои «приватные» фото из «Избранного» могут оказаться в аналитике сторонних ресурсов.
CDN-узлы (Content Delivery Network): Чтобы фото грузилось быстро, мессенджеры используют сети доставки контента. Если ссылка постоянная, фото кэшируется на промежуточных серверах. Тот, кто контролирует узел (или тот, кто его взломал), получает доступ к архиву.
Браузерный кэш и история: Если ты хоть раз открыл эту ссылку в браузере, она осталась в History. На общих компьютерах (в библиотеке или учебном классе) это фатально.
Referrer Header: Если ты кликнешь по такой ссылке и перейдешь на другой сайт, этот сайт в своих логах может увидеть, с какого URL ты пришел. Так твои «приватные» фото из «Избранного» могут оказаться в аналитике сторонних ресурсов.
Хуйня по всем пунктам.
>Во первых аски это не юникод
я тебе так и написал, ебаклак
>блять пофиксил опечатку с юникодом
охуеть опечатка, ты элементарно матчасть не знаешь, дэбил!
> Пасматрите на меня, уделите мне внимание, мне так скучна, пагаварите са мной
Пиздуй брутить свинособака
а ты побольше фоточек трусов своей мамаши загрузи пока, пока я буду разваливать на множители твои дырявые алгоритмы
АНОНЫ ИЩЕМ БОТОМ ПЕРЕБОРОМ НЮДЕСЫ И БАБКИНЫ КАРТЫ