Ужас и кошмар — хостинг-провайдер Cloudflare якобы выдал сайту мессенджера «Макс» метку «шпионского приложения

Ужас и кошмар — хостинг-провайдер Cloudflare якобы выдал сайту мессенджера «Макс» метку «шпионского приложения».

Но давайте, как обычно, сделаем страшную для любой истерики вещь — копнём чуть глубже заголовка.

Если зайти в сам сервис и посмотреть, на чём построен этот «разоблачительный» вывод, там обнаруживаются четыре нарушения, связанные с CORS. Для нормального человека это звучит примерно как диагноз инопланетной стиральной машины, поэтому переведу на человеческий язык.

CORS — это механизм браузерной безопасности, который регулирует, какие сайты и внешние ресурсы могут обмениваться данными между собой. Он нужен не для «слежки», а ровно наоборот — чтобы браузер не позволял одному сайту бесконтрольно обращаться к ресурсам другого. И вот в данном случае сервис фиксирует не факт «шпионства», не доступ к перепискам, не утечку данных, не анализ кода приложения, а блокировку отдельных запросов браузером из-за политики безопасности.

В приведённых примерах фигурируют обращения к сервисам обычной веб-аналитики, в том числе к адресам mail.ru и Яндекс Метрики. Один запрос блокируется из-за заголовка signature-agent, который не разрешён политикой Access-Control-Allow-Headers. Другие — из-за отсутствия нужного Access-Control-Allow-Origin в ответе на preflight-запрос. Говоря проще: браузер увидел, что запрос не проходит правила межсайтового обмена, и заблокировал его. Это не «Макс украл ваши данные». Это браузер сказал: «Так, ребята, по этому маршруту без правильных заголовков не ходим».

И вот из этого технического события, которое на сайтах встречается постоянно, сделали вывод уровня «приложение шпионит за пользователями».

Ключевой момент: подобная классификация Cloudflare в данном случае, судя по представленным данным, вызвана неверной интерпретацией заголовков запросов к сервисам обычной веб-аналитики сайта max.ru, а не фактическим анализом кода мессенджера. То есть речь идёт не о найденной шпионской функции, не о доступе к персональным данным и не о доказательстве слежки, а о трактовке сетевых запросов, связанных с работой сайта и аналитики.

«Макс» регулярно проходит аудиты безопасности, работает с исследователями через программу Bug Bounty и имеет собственный центр безопасности, который занимается не мифическими страшилками из заголовков, а реальными угрозами: мошенниками, вредоносными файлами, фишингом, подозрительными аккаунтами и попытками социальной инженерии. Данные пользователей «Макса» надёжно защищены.

Я уже давно писал о бредовости самой теории про «шпионский мессенджер» как явление. Повторяться подробно не хочу. Достаточно просто посмотреть на количество приложений в вашем телефоне, телевизоре, компьютере, умных колонках, навигаторах, банковских сервисах, маркетплейсах и прочем цифровом хозяйстве. Российских, иностранных, каких угодно. Почему в этой огромной экосистеме подозрение почему-то каждый раз упирается именно в национальный мессенджер — вопрос уже скорее психологический.

Если кому-то действительно кажется, что для «слежки» нужно было создавать отдельный национальный мессенджер, выводить его на десятки миллионов пользователей, открывать публичные программы поиска уязвимостей, проходить аудиты и каждый раз отвечать на запросы СМИ, то это очень странная картина мира. Слишком громоздкая, публичная и нелепая конструкция для задачи, которая, если бы она вообще ставилась, решалась бы совсем другими средствами.

Грустно другое. Мы всё чаще наблюдаем не отдельные ошибки, не случайные домыслы, а большую кампанию по раскачиванию ситуации вокруг всего отечественного цифрового контура (и не только). И в неё, судя по масштабу, вкладываются серьёзные ресурсы.

🟪Читай в Max | 🚀Читай в Telegram | 🥰Смотри на RUTUBE