Когда начал разбираться с веб-версией Max, первая мысль была — как бы его изолировать, чтобы он не ходил куда попало. Обычно в таких случаях советуют поднимать прокси, городить контейнеры или хотя бы использовать PAC-файлы.

Но если всё упростить, то оказывается, что в любом современном браузере (для примера, в Firefox) уже есть всё, чтобы сделать это в пару кликов. Мы будем использовать стандартный функционал немного нестандартным способом.

В чём идея

Делаем очень простую вещь:

  • весь трафик браузера отправляем в «чёрную дыру»

  • нужные домены (к которым Max должен ходить) — добавляем в исключения

В итоге:

  • Max работает

  • всё остальное — просто не открывается

Для начала, необходимо создать новый профиль в Firefox.

$ firefox -P

Настройка

Открываем:

Настройки → Настройки прокси

Дальше:

1. Включаем «сломанный» прокси

SOCKS узел: 127.0.0.1
Порт: 9
Тип: SOCKS v5

Порт 9 — это стандартный discard, туда можно отправлять что угодно, ответа не будет.

2. Добавляем разрешённые домены

В поле «Не использовать прокси для»:

max.ru, st.max.ru, web.max.ru, apptracer.ru, sdk-api.apptracer.ru, okcdn.ru, calls.okcdn.ru, iv.okcdn.ru, oneme.ru, i.oneme.ru, ws-api.oneme.ru

Можно перечислить конкретные поддомены, но можно использовать точку.

Точка в начале (.max.ru) означает, что будут работать и все поддомены.

Обязательно снимаем галку «Отправлять DNS-запросы через прокси при использовании SOCKS 5»

3. Пара мелких настроек (не обязательно)

В about:config:

media.peerconnection.enabled = false
network.trr.mode = 5

Это ещё более безопасно. Но тогда перестанут работать звонки.

Что в итоге получается

Firefox ведёт себя так:

  • для этих доменов — идёт напрямую

  • для всего остального — пытается через SOCKS и падает

По факту получается простой whitelist.

Плюсы

  • не нужен Docker

  • не нужен прокси

  • настраивается за минуту

  • легко включить и так же легко выключить

Минусы

  • нет логирования (не видно, куда он пытался сходить)

  • если Max начнёт использовать новые домены — придётся добавить их вручную

Итог

Если нужна быстрая изоляция веб-версии Max без лишней инфраструктуры — это, пожалуй, самый простой способ.

Без фанатизма, без «безопасности уровня спецслужб», но для повседневного использования — более чем.

Комментарии (48)


  1. svl87
    02.05.2026 18:55

    в хром-подобных браузерах эта задача (разделение трафика по доменам) решается расширением proxy switchyomega 3 (zeroomega)


    1. for7raid
      02.05.2026 18:55

      Кажется этот плагин (если смотреть его исходный код) так же поддерживает и лисицу.


      1. n00buK
        02.05.2026 18:55

        В лисе есть foxyproxy, настоятельно рекомендую


        1. Andrusha
          02.05.2026 18:55

          Не так давно переехал с него на Омегу, так как в Firefox не работали исключения хостов.


    1. achekalin
      02.05.2026 18:55

      Тут, кажется, задача другая - пропустить в интернет только домены по списку, остальные отправить в пень.

      Я вот только не пойму, как узнать, кто и куда ходит, ведь, условно, если мы это ради чтобы паленый российский софт не проверял наличие впн, то они схемы проверки будут менять довольно часто. Условно, сегодня макс для своей работы юает доменные имена, условно, static.max.ru и js.max.ru и max.ru, а впн-ы ловит на catch.vpncatcher.com (только что придумал) - а он идет в пень, а завтра эта ловушка будет отзываться на static.max.ru/catcher - и белые списки браузера разрешат ему достучаться в инет.

      Мне вообще эта история не нравится именно тем, что, пока часть страны ищет, как бы не слить инфу про впн кому не надо, другая часть страны не менее остроумно их ловит за руку.

      Но, если продолжить мысленный эксперимент - оторвут они рунет от мира, обраничат ввоз ноутбуков, айфонов и прочего, разрешат выезд за рубеж только депутатам и их детям - но ради чего? Чтобы выборы прошли без митингов? Так вроде и так и так там 146% будет насчитано, и это число к интернету не имеет отнощения. А вот что страна вывалится из мирового процесса ИТ - это факт.

      Ну ок, первые годы еще приписками можно будет закрывать вопросы, а дальше что, в сырьевой придаток окончательно превратиться?


      1. DSPa17
        02.05.2026 18:55

        А чем на мировом рынке торговала РФ последние 26 лет? Вроде только недрами.


        1. achekalin
          02.05.2026 18:55

          А тут Европа от закупки отказывается, точнее, уже очень сильно отказалась, и обещает через несколько лет перестать вовсе.

          А это рынки.

          А Китай после этого может и цены сбить на покупку газа и нефти.

          Так что "как вчера" не пожить будет.


        1. Viacheslav01
          02.05.2026 18:55

          Как минимум не плохо торговала софтом.


        1. dezonnov
          02.05.2026 18:55

          И лесом (чаще для Китая).


      1. peter23
        02.05.2026 18:55

        Каждый винтик системы понимает абсурдность, но крутится, "я просто делаю свою работу", система работает. Идеологи системы аналогично. Так и выстраиваются и живут Северные Кореи.


        1. Poletavatti
          02.05.2026 18:55

          => винтиков нужно систематически приводить в чувство


      1. CVZ
        02.05.2026 18:55

        Иран уже два месяца без интернета сидит, потому что в свое время не обеспечили работоспособность своей сети без внешних сервисов. Аналогия понятна?


  1. Dyaminigo
    02.05.2026 18:55

    Кажется, с недавних пор это "чудо" требует для авторизации в веб-версии установленное на телефоне приложение. Так что в любом случае придётся ставить его на какое-то устройство, поэтому изоляция лишь на одном устройстве, и то временная.


    1. AtMH
      02.05.2026 18:55

      BlueStack вам в помощь. Виртуальных устройств не жалко (Жаль только что максимальная версия андройд только 13).


      1. rebug
        02.05.2026 18:55

        Жаль, что поддерживаемая ос не линукс


        1. Peterm123454
          02.05.2026 18:55

          Для линя есть Genymotion


        1. kuvul
          02.05.2026 18:55

          Конкретно под макс не пробовал, но есть waydroid


  1. gtosss
    02.05.2026 18:55

    Оставлю здесь небольшую заметку:

    Скам (от англ. scam — афера, мошенничество) — это интернет-мошенничество, при котором злоумышленники обманом выманивают деньги, персональные данные или аккаунты

    Как бороться:

    Проверять, сомневаться и никогда не передавать деньги, данные или коды незнакомцам — даже если они давят на срочность, страх, угрозы или шантаж.


    1. rebug
      02.05.2026 18:55

      Да это всегда в ступор вводило. Деньги отдают сами, доверяя всем и каждому с нулевой. А виноват воздух, которым дышат вообще-то все


  1. DennisP
    02.05.2026 18:55

    Так а что и куда он шлёт? Ведь ни до чего, кроме того, что вы сами туда ввели он из браузера добраться не может. А для обрезки всяких метрик вроде все давно используют соотв. плагины


  1. KirOFF_YT
    02.05.2026 18:55

    А ведь можно просто не ставить его на телефон? "Можно, а зачем?"


  1. aGGre55or
    02.05.2026 18:55

    Это всё прекрасно, но все изображения вашего аккаунта навсегда сохранены в i.oneme.ru по однозначным прямым ссылкам, что не вырубить топором. Да, максы договорились о зачистке уже проиндексированных сотен тысяч ссылок в webarchive и их там уже нет. Но проблема никуда не делась, все эти ссылки (документов, паспортов, интимных фотографий и т.д.) по прежнему работают. Это навсегда и работает без авторизации.

    Все переписки аккумулируются и изучаются в полуавтоматическом режиме примерно также, как логи изучаются в каком-нибудь SIEM. Мы это видели на примере telega. Данные в максе передаются просто в base64.

    Только один вопрос: зачем этим пользоваться, даже в полностью изолированной среде? Рано или поздно все эти БД будут продаваться (или уже продаются, не проверял). Это неизбежно, т.к. безалаберность в ИБ, даже в проблеме прямых ссылок - налицо.


    1. KestutisS
      02.05.2026 18:55

      .


    1. rombell
      02.05.2026 18:55

      Затем что тёща одна живёт в сильно другом городе, вся эта возня с ВПН для человека под 90 недоступна, а разговаривать надо.

      Затем что в образовании требуют установить это.

      Затем что от ТСЖ и УК требуют установить это и принимать запросы от жильцов там.

      И ещё много других вариантов.


  1. Maxim_Q
    02.05.2026 18:55

    Можно попробовать сделать приложение для телефона на основе этой WebView обертки: https://github.com/woheller69/gptassist Это обертка для ChatGPT которая режет все лишнее, там на основе этой обертке уже делали и другие приложения вот например: https://github.com/shano/assistral
    Кто хорошо разбирается в написании приложений для Android можете помочь сделать приложение?


  1. alexs963
    02.05.2026 18:55

    Для FF еще можно поставить дополнение Multi-Account Containers, для изоляции всяких кукисов и прочего.


    1. Wesha
      02.05.2026 18:55

      Так он уже отдельный профайл создал — от кого ещё изолироваться? Это всё равно что жену трахает сосед, а я для надёжности надену презерватив.


      1. poige
        02.05.2026 18:55

        Это всё равно что жену

        […skipped…]

        — Нууу, если реально всё равно, то как угодно, право слово. Но вообще говоря риски цепануть чё-т при таком «надену» всё-таки снижаются, не? :))


        1. Wesha
          02.05.2026 18:55

          Вы сейчас про жену или про Multiple Account Containers?


    1. poige
      02.05.2026 18:55

      Верно, там можно даже индивидуально задать proxy для container; правда, не уверен, что получится на уровне конфига задать домены-исключения. Но в теории может и глобального "always direct" хватить. Но это не точно.