«Это фейк», говорит MAX. Хабр проверил и подтвердил проблему. Кому верить?
Пользователь и журналисты говорят о доступе к картинкам по URL, пресс-служба мессенджера называет историю фейком.
У мессенджера MAX сегодня вспыхнул редкий скандал, где спорят уже не о слухах, а о базовой модели доступа к личным файлам. Сначала вышла публикация на Pikabu от пользователя с ником 5time. Автор утверждает, что картинку из личной переписки в веб-версии сервиса можно открыть по прямому адресу без входа в аккаунт. Там же сказано, что после удаления изображения из чата ссылка ещё какое-то время остаётся рабочей.
Суть претензии выглядит неприятно даже без лишней драматизации. По версии публикации, пользователю достаточно отправить фото в переписку или в «Избранное», открыть веб-версию MAX, вытащить адрес файла из кода страницы и вставить ссылку в другом браузере, где авторизация отсутствует. Хабр пишет, что собственная проверка подтвердила проблему.
MAX ответил почти сразу и в максимально жёсткой форме. Пресс-служба платформы заявила, что личные фотографии доступны только владельцу, а посторонний пользователь увидит файл лишь в том случае, если владелец сам передал изображение или прямую ссылку. В компании также настаивают, что ссылку нельзя подобрать или сгенерировать, а сообщения о свободном доступе к фото называют фейком. При этом в последующей заметке Хабр отдельно указал, что MAX не объяснил, почему удалённая картинка и её адрес, по версии издания, продолжают открываться после удаления из переписки.
В таком виде история упирается уже не только в вопрос «можно ли подобрать ссылку», а в куда более неприятный вопрос: должна ли приватность личного файла держаться на секретности адреса. Организация OWASP (Открытый проект безопасности веб-приложений) относит подобные сценарии к ошибкам контроля доступа. Организация прямо указывает, что сложный или длинный идентификатор может затруднить подбор, но не заменяет серверную проверку прав. Если злоумышленник всё же получил адрес чужого объекта, сервис обязан блокировать доступ, а не надеяться на случайность и длину ссылки.
Проблема здесь не академическая. Для обычного пользователя разница между «ссылка очень длинная» и «файл реально защищён» огромна. В первом случае любая утечка адреса — пересылка через чужой компьютер, журнал веб-сервера, история браузера или снимок экрана — превращают личное фото в почти публичный объект. Во втором случае сервер повторно проверяет права доступа при каждом открытии файла и не отдаёт картинку постороннему даже с точным адресом. Личная переписка должна работать по второй модели, иначе мессенджер начинает напоминать не защищённый канал, а файловый хостинг с приватной обёрткой.
Пока MAX и авторы публикации стоят на противоположных позициях, пользователям лучше исходить из осторожного сценария. Через веб-версию сервиса сейчас не стоит передавать сканы документов, банковские карты, интимные снимки и любые другие чувствительные изображения. Если спорная схема действительно существует, ущерб для приватности окажется слишком дорогим. Если схема не существует — несколько дней осторожности никому не повредят.