Когда начал разбираться с веб-версией Max, первая мысль была — как бы его изолировать, чтобы он не ходил куда попало. Обычно в таких случаях советуют поднимать прокси, городить контейнеры или хотя бы использовать PAC-файлы.
Но если всё упростить, то оказывается, что в любом современном браузере (для примера, в Firefox) уже есть всё, чтобы сделать это в пару кликов. Мы будем использовать стандартный функционал немного нестандартным способом.
В чём идея
Делаем очень простую вещь:
весь трафик браузера отправляем в «чёрную дыру»
нужные домены (к которым Max должен ходить) — добавляем в исключения
В итоге:
Max работает
всё остальное — просто не открывается
Для начала, необходимо создать новый профиль в Firefox.
$ firefox -P
Настройка
Открываем:
Настройки → Настройки прокси
Дальше:
1. Включаем «сломанный» прокси
SOCKS узел: 127.0.0.1 Порт: 9 Тип: SOCKS v5
Порт 9 — это стандартный discard, туда можно отправлять что угодно, ответа не будет.
2. Добавляем разрешённые домены
В поле «Не использовать прокси для»:
max.ru, st.max.ru, web.max.ru, apptracer.ru, sdk-api.apptracer.ru, okcdn.ru, calls.okcdn.ru, iv.okcdn.ru, oneme.ru, i.oneme.ru, ws-api.oneme.ru
Можно перечислить конкретные поддомены, но можно использовать точку.
Точка в начале (.max.ru) означает, что будут работать и все поддомены.
Обязательно снимаем галку «Отправлять DNS-запросы через прокси при использовании SOCKS 5»
3. Пара мелких настроек (не обязательно)
В about:config:
media.peerconnection.enabled = false network.trr.mode = 5
Это ещё более безопасно. Но тогда перестанут работать звонки.
Что в итоге получается
Firefox ведёт себя так:
для этих доменов — идёт напрямую
для всего остального — пытается через SOCKS и падает
По факту получается простой whitelist.
Плюсы
не нужен Docker
не нужен прокси
настраивается за минуту
легко включить и так же легко выключить
Минусы
нет логирования (не видно, куда он пытался сходить)
если Max начнёт использовать новые домены — придётся добавить их вручную
Итог
Если нужна быстрая изоляция веб-версии Max без лишней инфраструктуры — это, пожалуй, самый простой способ.
Без фанатизма, без «безопасности уровня спецслужб», но для повседневного использования — более чем.
Комментарии (13)
Dyaminigo
02.05.2026 18:55Кажется, с недавних пор это "чудо" требует для авторизации в веб-версии установленное на телефоне приложение. Так что в любом случае придётся ставить его на какое-то устройство, поэтому изоляция лишь на одном устройстве, и то временная.
AtMH
02.05.2026 18:55BlueStack вам в помощь. Виртуальных устройств не жалко (Жаль только что максимальная версия андройд только 13).
gtosss
02.05.2026 18:55Оставлю здесь небольшую заметку:
Скам (от англ. scam — афера, мошенничество) — это интернет-мошенничество, при котором злоумышленники обманом выманивают деньги, персональные данные или аккаунты
Как бороться:
Проверять, сомневаться и никогда не передавать деньги, данные или коды незнакомцам — даже если они давят на срочность, страх, угрозы или шантаж.
DennisP
02.05.2026 18:55Так а что и куда он шлёт? Ведь ни до чего, кроме того, что вы сами туда ввели он из браузера добраться не может. А для обрезки всяких метрик вроде все давно используют соотв. плагины
aGGre55or
02.05.2026 18:55Это всё прекрасно, но все изображения вашего аккаунта навсегда сохранены в i.oneme.ru по однозначным прямым ссылкам, что не вырубить топором. Да, максы договорились о зачистке уже проиндексированных сотен тысяч ссылок в webarchive и их там уже нет. Но проблема никуда не делась, все эти ссылки (документов, паспортов, интимных фотографий и т.д.) по прежнему работают. Это навсегда и работает без авторизации.
Все переписки аккумулируются и изучаются в полуавтоматическом режиме примерно также, как логи изучаются в каком-нибудь SIEM. Мы это видели на примере telega. Данные в максе передаются просто в base64.
Только один вопрос: зачем этим пользоваться, даже в полностью изолированной среде? Рано или поздно все эти БД будут продаваться (или уже продаются, не проверял). Это неизбежно, т.к. безалаберность в ИБ, даже в проблеме прямых ссылок - налицо.
Maxim_Q
02.05.2026 18:55Можно попробовать сделать приложение для телефона на основе этой WebView обертки: https://github.com/woheller69/gptassist Это обертка для ChatGPT которая режет все лишнее, там на основе этой обертке уже делали и другие приложения вот например: https://github.com/shano/assistral
Кто хорошо разбирается в написании приложений для Android можете помочь сделать приложение?
svl87
в хром-подобных браузерах эта задача (разделение трафика по доменам) решается расширением proxy switchyomega 3 (zeroomega)
for7raid
Кажется этот плагин (если смотреть его исходный код) так же поддерживает и лисицу.
achekalin
Тут, кажется, задача другая - пропустить в интернет только домены по списку, остальные отправить в пень.
Я вот только не пойму, как узнать, кто и куда ходит, ведь, условно, если мы это ради чтобы
паленыйроссийский софт не проверял наличие впн, то они схемы проверки будут менять довольно часто. Условно, сегодня макс для своей работы юает доменные имена, условно, static.max.ru и js.max.ru и max.ru, а впн-ы ловит на catch.vpncatcher.com (только что придумал) - а он идет в пень, а завтра эта ловушка будет отзываться на static.max.ru/catcher - и белые списки браузера разрешат ему достучаться в инет.Мне вообще эта история не нравится именно тем, что, пока часть страны ищет, как бы не слить инфу про впн кому
ненадо, другая часть страны не менее остроумно их ловит за руку.Но, если продолжить мысленный эксперимент - оторвут они рунет от мира, обраничат ввоз ноутбуков, айфонов и прочего, разрешат выезд за рубеж только депутатам и их детям - но ради чего? Чтобы выборы прошли без митингов? Так вроде и так и так там 146% будет насчитано, и это число к интернету не имеет отнощения. А вот что страна вывалится из мирового процесса ИТ - это факт.
Ну ок, первые годы еще приписками можно будет закрывать вопросы, а дальше что, в сырьевой придаток окончательно превратиться?
DSPa17
А чем на мировом рынке торговала РФ последние 26 лет? Вроде только недрами.