SavePearlHarbor

Простой способ сделать мессенджер Макс безопаснее без Docker и прокси

от автора

admin

Когда начал разбираться с веб-версией Max, первая мысль была — как бы его изолировать, чтобы он не ходил куда попало. Обычно в таких случаях советуют поднимать прокси, городить контейнеры или хотя бы использовать PAC-файлы.

Но если всё упростить, то оказывается, что в любом современном браузере (для примера, в Firefox) уже есть всё, чтобы сделать это в пару кликов. Мы будем использовать стандартный функционал немного нестандартным способом.

В чём идея

Делаем очень простую вещь:

  • весь трафик браузера отправляем в «чёрную дыру»

  • нужные домены (к которым Max должен ходить) — добавляем в исключения

В итоге:

  • Max работает

  • всё остальное — просто не открывается

Для начала, необходимо создать новый профиль в Firefox.

$ firefox -P

Настройка

Открываем:

Настройки → Настройки прокси

Дальше:

1. Включаем «сломанный» прокси

SOCKS узел: 127.0.0.1Порт: 9Тип: SOCKS v5

Порт 9 — это стандартный discard, туда можно отправлять что угодно, ответа не будет.

2. Добавляем разрешённые домены

В поле «Не использовать прокси для»:

max.ru, st.max.ru, web.max.ru, apptracer.ru, sdk-api.apptracer.ru, okcdn.ru, calls.okcdn.ru, iv.okcdn.ru, oneme.ru, i.oneme.ru, ws-api.oneme.ru

Можно перечислить конкретные поддомены, но можно использовать точку.

Точка в начале (.max.ru) означает, что будут работать и все поддомены.

Обязательно снимаем галку «Отправлять DNS-запросы через прокси при использовании SOCKS 5»

3. Пара мелких настроек (не обязательно)

В about:config:

media.peerconnection.enabled = falsenetwork.trr.mode = 5

Это ещё более безопасно. Но тогда перестанут работать звонки.

Что в итоге получается

Firefox ведёт себя так:

  • для этих доменов — идёт напрямую

  • для всего остального — пытается через SOCKS и падает

По факту получается простой whitelist.

Плюсы

  • не нужен Docker

  • не нужен прокси

  • настраивается за минуту

  • легко включить и так же легко выключить

Минусы

  • нет логирования (не видно, куда он пытался сходить)

  • если Max начнёт использовать новые домены — придётся добавить их вручную

Итог

Если нужна быстрая изоляция веб-версии Max без лишней инфраструктуры — это, пожалуй, самый простой способ.

Без фанатизма, без «безопасности уровня спецслужб», но для повседневного использования — более чем.

ссылка на оригинал статьи https://habr.com/ru/articles/1030708/