Продолжение поста «Эксперименты над собой»⁠⁠1

Спустя некоторое время могу ещё немного дополнить то, что удалось узнать о максе. Активно я им до сих пор не пользовался, так эпизодически и преимущественно в веб-версии. Приложению дополнительных разрешений больше не предоставлял, аву поставил с пк. Самое главное о веб-версии:

1. Она есть и работает. Это важно, раз мы будем использовать мах в работе.

2. Возможно пользоваться веб-версией без приложения. Вход в веб-морду осуществляется по номеру телефона и коду из смс. По сути можно зарегистрироваться в приложении и тут же его удалить.

3. Казалось бы предыдущий пункт — это киллер-фича, открывающая новые возможности и вообще то, что я просил, но дьявол кроется в деталях. Отсутствие паролей позволяет войти в любой аккаунт, тупо имея в руках чужой телефон:

   - если не настроено скрытие содержимого увеломлений, то смс можно прочитать на экране блокировки;

   - если не включён запрос пин-кода на симке — её можно просто достать и вставить в другой телефон;

   - дубликаты сим и перехват смс — доступно не каждому, но вполне реальные вещи.

   После входа получаем полный доступ ко всем чатам.

4. Вот тут один перец писал про то, что код для госуслуг приходит только на одно доверенное устройство Это скорее дополнительный головняк, чем мера безопасности. Но теперь понятно, почему так.

В общем, какой-то сюр. Вместо того, чтобы сделать мессенджер безопасным и входить в него через госуслуги, нам наоборот предлагают входить в госуслуги через недоделанный мессенджер. Надеюсь, что среди тех, кто принимает решения по максу всё же найдётся кто-то адекватный, а пока так.