Когда начал разбираться с веб-версией Max, первая мысль была — как бы его изолировать, чтобы он не ходил куда попало. Обычно в таких случаях советуют поднимать прокси, городить контейнеры или хотя бы использовать PAC-файлы.
Но если всё упростить, то оказывается, что в любом современном браузере (для примера, в Firefox) уже есть всё, чтобы сделать это в пару кликов. Мы будем использовать стандартный функционал немного нестандартным способом.
В чём идея
Делаем очень простую вещь:
весь трафик браузера отправляем в «чёрную дыру»
нужные домены (к которым Max должен ходить) — добавляем в исключения
В итоге:
Max работает
всё остальное — просто не открывается
Для начала, необходимо создать новый профиль в Firefox.
$ firefox -P
Настройка
Открываем:
Настройки → Настройки прокси
Дальше:
1. Включаем «сломанный» прокси
SOCKS узел: 127.0.0.1 Порт: 9 Тип: SOCKS v5
Порт 9 — это стандартный discard, туда можно отправлять что угодно, ответа не будет.
2. Добавляем разрешённые домены
В поле «Не использовать прокси для»:
max.ru, st.max.ru, web.max.ru, apptracer.ru, sdk-api.apptracer.ru, okcdn.ru, calls.okcdn.ru, iv.okcdn.ru, oneme.ru, i.oneme.ru, ws-api.oneme.ru
Можно перечислить конкретные поддомены, но можно использовать точку.
Точка в начале (.max.ru) означает, что будут работать и все поддомены.
Обязательно снимаем галку «Отправлять DNS-запросы через прокси при использовании SOCKS 5»

3. Пара мелких настроек (не обязательно)
В about:config:
media.peerconnection.enabled = false network.trr.mode = 5
Это ещё более безопасно. Но тогда перестанут работать звонки.
Что в итоге получается
Firefox ведёт себя так:
для этих доменов — идёт напрямую
для всего остального — пытается через SOCKS и падает
По факту получается простой whitelist.
Плюсы
не нужен Docker
не нужен прокси
настраивается за минуту
легко включить и так же легко выключить
Минусы
нет логирования (не видно, куда он пытался сходить)
если Max начнёт использовать новые домены — придётся добавить их вручную
Итог
Если нужна быстрая изоляция веб-версии Max без лишней инфраструктуры — это, пожалуй, самый простой способ.
Без фанатизма, без «безопасности уровня спецслужб», но для повседневного использования — более чем.
Комментарии (48)

Dyaminigo
02.05.2026 18:55Кажется, с недавних пор это "чудо" требует для авторизации в веб-версии установленное на телефоне приложение. Так что в любом случае придётся ставить его на какое-то устройство, поэтому изоляция лишь на одном устройстве, и то временная.

gtosss
02.05.2026 18:55Оставлю здесь небольшую заметку:
Скам (от англ. scam — афера, мошенничество) — это интернет-мошенничество, при котором злоумышленники обманом выманивают деньги, персональные данные или аккаунты
Как бороться:
Проверять, сомневаться и никогда не передавать деньги, данные или коды незнакомцам — даже если они давят на срочность, страх, угрозы или шантаж.

rebug
02.05.2026 18:55Да это всегда в ступор вводило. Деньги отдают сами, доверяя всем и каждому с нулевой. А виноват воздух, которым дышат вообще-то все

DennisP
02.05.2026 18:55Так а что и куда он шлёт? Ведь ни до чего, кроме того, что вы сами туда ввели он из браузера добраться не может. А для обрезки всяких метрик вроде все давно используют соотв. плагины

aGGre55or
02.05.2026 18:55Это всё прекрасно, но все изображения вашего аккаунта навсегда сохранены в i.oneme.ru по однозначным прямым ссылкам, что не вырубить топором. Да, максы договорились о зачистке уже проиндексированных сотен тысяч ссылок в webarchive и их там уже нет. Но проблема никуда не делась, все эти ссылки (документов, паспортов, интимных фотографий и т.д.) по прежнему работают. Это навсегда и работает без авторизации.
Все переписки аккумулируются и изучаются в полуавтоматическом режиме примерно также, как логи изучаются в каком-нибудь SIEM. Мы это видели на примере telega. Данные в максе передаются просто в base64.
Только один вопрос: зачем этим пользоваться, даже в полностью изолированной среде? Рано или поздно все эти БД будут продаваться (или уже продаются, не проверял). Это неизбежно, т.к. безалаберность в ИБ, даже в проблеме прямых ссылок - налицо.

rombell
02.05.2026 18:55Затем что тёща одна живёт в сильно другом городе, вся эта возня с ВПН для человека под 90 недоступна, а разговаривать надо.
Затем что в образовании требуют установить это.
Затем что от ТСЖ и УК требуют установить это и принимать запросы от жильцов там.
И ещё много других вариантов.

Maxim_Q
02.05.2026 18:55Можно попробовать сделать приложение для телефона на основе этой WebView обертки: https://github.com/woheller69/gptassist Это обертка для ChatGPT которая режет все лишнее, там на основе этой обертке уже делали и другие приложения вот например: https://github.com/shano/assistral
Кто хорошо разбирается в написании приложений для Android можете помочь сделать приложение?

alexs963
02.05.2026 18:55Для FF еще можно поставить дополнение Multi-Account Containers, для изоляции всяких кукисов и прочего.

Wesha
02.05.2026 18:55Так он уже отдельный профайл создал — от кого ещё изолироваться? Это всё равно что жену трахает сосед, а я для надёжности надену презерватив.

poige
02.05.2026 18:55Верно, там можно даже индивидуально задать proxy для container; правда, не уверен, что получится на уровне конфига задать домены-исключения. Но в теории может и глобального "always direct" хватить. Но это не точно.
svl87
в хром-подобных браузерах эта задача (разделение трафика по доменам) решается расширением proxy switchyomega 3 (zeroomega)
for7raid
Кажется этот плагин (если смотреть его исходный код) так же поддерживает и лисицу.
n00buK
В лисе есть foxyproxy, настоятельно рекомендую
Andrusha
Не так давно переехал с него на Омегу, так как в Firefox не работали исключения хостов.
achekalin
Тут, кажется, задача другая - пропустить в интернет только домены по списку, остальные отправить в пень.
Я вот только не пойму, как узнать, кто и куда ходит, ведь, условно, если мы это ради чтобы
паленыйроссийский софт не проверял наличие впн, то они схемы проверки будут менять довольно часто. Условно, сегодня макс для своей работы юает доменные имена, условно, static.max.ru и js.max.ru и max.ru, а впн-ы ловит на catch.vpncatcher.com (только что придумал) - а он идет в пень, а завтра эта ловушка будет отзываться на static.max.ru/catcher - и белые списки браузера разрешат ему достучаться в инет.Мне вообще эта история не нравится именно тем, что, пока часть страны ищет, как бы не слить инфу про впн кому
ненадо, другая часть страны не менее остроумно их ловит за руку.Но, если продолжить мысленный эксперимент - оторвут они рунет от мира, обраничат ввоз ноутбуков, айфонов и прочего, разрешат выезд за рубеж только депутатам и их детям - но ради чего? Чтобы выборы прошли без митингов? Так вроде и так и так там 146% будет насчитано, и это число к интернету не имеет отнощения. А вот что страна вывалится из мирового процесса ИТ - это факт.
Ну ок, первые годы еще приписками можно будет закрывать вопросы, а дальше что, в сырьевой придаток окончательно превратиться?
DSPa17
А чем на мировом рынке торговала РФ последние 26 лет? Вроде только недрами.
achekalin
А тут Европа от закупки отказывается, точнее, уже очень сильно отказалась, и обещает через несколько лет перестать вовсе.
А это рынки.
А Китай после этого может и цены сбить на покупку газа и нефти.
Так что "как вчера" не пожить будет.
Viacheslav01
Как минимум не плохо торговала софтом.
dezonnov
И лесом (чаще для Китая).
peter23
Каждый винтик системы понимает абсурдность, но крутится, "я просто делаю свою работу", система работает. Идеологи системы аналогично. Так и выстраиваются и живут Северные Кореи.
Poletavatti
=> винтиков нужно систематически приводить в чувство
CVZ
Иран уже два месяца без интернета сидит, потому что в свое время не обеспечили работоспособность своей сети без внешних сервисов. Аналогия понятна?