В веб-версии никаких лишних запросов пока что не видно. Метрик тоже намного меньше. Единственное, что протокол 11 версии, в Android была 10 и другие опкоды. Склепано на Svelte с вебсокетом и дефолтным JSON в нем (почему-то не бинарные данные). Стэк для быстрой разработки как раз, пади сильно торопились
Собирается: браузерный отпечаток (почти все что может выдать браузер), события по переходам на другие экраны, что вызвало переход, сколько времени прошло до перехода, да и все в общем-то
Доступа к системному буферу обмена нет?
сам браузер не даст такого доступа, только при включенном разрешении и если вкладка активна или если лично нажать ctrl + v
а по десктопной версии есть какая-то инфа или там как в андроиде?
эхх, вот в суверенном интернете, даже новость такая бы на хабр не проползла, и оправдываться бы даже не пришлось и спешно выкатывать обновление самого лучшего мессенджера на планете
sarcasm off
варианта в принципе не ставить эту петушь никто уже что ли не рассматривает?
не все так просто на самом деле, часто в образовательных структурах (садики/школы) - навязывают шмакс как единственный способ коммуникации, ну то есть можно долго блеять, что незаконно и так далее, но учителям и воспитателями просто запретили под угрозой увольнения коммуницировать с родителями в “недружественных” мессенджерах. А учителя и воспитатели в гос школах - не самые богатые олигархи, со своими семьями, которых надо кормить, и ради принципа терять работу никто не хочет. И мне как родителю придется его поставить в итоге - если не сегодня и не завтра, то послезавтра, ведь нужно оперативно получать информацию о том, что с моим ребенком, вот и все …
И мне как родителю придется его поставить в итоге
Не знаю, что там сейчас, но когда я учился в школе, именно учителя были заинтересованы в контактах с родителями а не наоборот (в основном чтобы поклянчить деньги на очередной сбор). Не хотят писать/звонить по удобным мне каналам - чтож, увидимся на родительском собрании через месяц.
Я поставил сегодня работодателя перед фактом, если ему так нужно чтобы я держал связь в Максе, то пусть предоставляет рабочий девайс. Из-за потенциальнызх утечек персональных данных.
Как написал выше bolvan
Тоже самое может сделать и любой сайт.
Сделать XHR куда-нибудь за бугор. CORS не поможет, потому что они сделают свой “2ip” с нужным им CORS
Что в этом случае можно делать? Есть перечень идей?
+1 вся статья на Хабре тупой вброс от автора для хайпа вокруг макса, макс стучал на эти домены года полтора назад… не с браузера не с мобильного клиента запросов на эти домены нет
ifconfig.me/ip, api.ipify.org, checkip.amazonaws.com
Почему так сложно перепроверить информацию…
Единственное что нашел mtalk.google.com
Допустим вброс. Но нафига стучатся на ‘вражеские’ сервера? Особенно “национальный” мессенджер.
Сам проверял, что не стучится?
есть неоднократно задокументированные подтверждения словам автора, даже на хабре. и даже там есть подтверждения из других источников
вчера проверял сам: были ipv4/v6 от мейла, амазон + google + whatsapp. последняя версия из аппстора, ios
Как вариант - просто не пользоваться этим приложением на Wi-Fi. Вряд ли вам придётся там какие-то гигабайты скачать.
пруфы будут ?
Бомж-вариант: на зарубежном хосте, с которого вы выходите в интернет - ставите warp-cli, маршрутизируете весь трафик в него. Из минусов - варп крайне прожорлив в плане процессора, и на бесплатном тарифе больших скоростей не ждите. Есть вариант покупки платного варпа, через gplay/appstore аккаунт стран СНГ, там он стоит около 100-150 рублей в месяц, на 5 устройств (в т.ч. серверов).
Не-бомж вариант: берете еще одну VPS, можно (а наверное даже лучше) у любого заведомо заблокированного в РФ хостера, например hetzner/do и пр. С прошлой VPS проксируете любым удобным вам способом трафик на неё и с неё же выходите в интернет. Главное не берите VPS у того же хостера, на которой у вас уже есть VPS, потому что в случае бана велик шанс отлета сразу всей ASN.
В обоих случаях цензор не увидит IP VPS, с которой идет обмен трафиком из РФ напрямую, что защит от блокировки.
Это говорит ровным счетом неочем, все тестирования пустой звук, просто рандомный список ip, для того чтобы с чем то бороться нужно что то с чем боремся адекватно изучить….
адекватное тестирование это берем «живую» трубку снимаем tcpdump до установки макса, где точно все понятно и мы знаем кто куда чего, на самой трубке должна быть возможность дебага где видны приложения и все их локал запросы-время ( теже сяоми могут в такой дебаг все без рутов… ), и все это докручиваем днс серверами также с логами ибо в стиральных условиях чисто с вифи это кринжатина, а так хотя бы минимально видно и с мобильной сети будет что происходит…
Уже были прецеденты и не раз и не два, когда при запуске в виртуалках или наличие того же рута, сервисы того же Яндекс/сбера начинают стучать во все стороны.
Еще больше интересен был бы разбор тех самых пакетов статистики…
