Протокол VKontakte

[MIR]

Обнаружил критическую уязвимость в NewStory!
Плагин обрабатывает BB коды в входящих и исходящих сообщениях, при этом имея доступ к файлам находящихся за пределами папки загрузки.

Code: [Select]

Достаточно отправить подобное сообщение на миранду или с неё:
[img=file://C:/111.jpg]Фото[/img]
[url=file://C:/111.jpg]Ссылка[/url]
С выполнением shell кода ещё не эксперементировал, но теоретически если изощериться думаю это вполне реально.

============================

которые не умеют рисовать напрямую из веба. Тащить дополнительно какую-то библиотеку которая это "умеет" - избыточно.

Всмысле избыточно? Всего одну строчку в коде изменить чтобы картинка сохранялась не в файл на диске а в массив в ОЗУ и оттуда выводилась при обращении к ней. Причём это актуально только для окна чата, а в отображении картинок в окне истории вобще не вижу смысла если это не p2p переданный файл который кроме как локально негде хранить.

Подменять путь можно было бы, если б этот момент был задокументировал и гарантировалось, что в понедельник в 16:48 это вдруг не перестанет работать.
Во-вторых, опять же, конечная цель какая? При наличии NS и соответствующей настройки, картинки вообще локально скачиваются, даже если на сервере ее совсем удалят, она останется доступной.

Если и перестанет работать то очень не скоро, а если и перестанет то помимо этого полюбому в API ВК внесут ещё кучю изменений и тебе в любом случяе придётся переделывать плагин.
Целью является получение прямой ссылки на картинку в окне чата и в окне истории, чтобы можно было скопировать эту ссылку и переслать как в ВК так и на другие мессенджеры и сайты, т.к. некоторые мессенджеры при отправки в них ссылки на картинку загружают эту картинку и отображают как положено если ссылка заканчивается на .jpg, .png и т.д. однако с новыми ссылками ВК такое не везде прокатывает т.к. они заканчиваются на ?size=640x542&quality=95&sign=24e30b5 и т.д.

Сейчяс там вот такая херня в NewStory

Code: [Select]

[img=file://C:/Users/User1/Мои документы/Принятые файлы/239/FQGwyDN1pRI.jpg]Фото (1145x644)[/img]
[url=file://C:/Users/User1/Мои документы/Принятые файлы/239/FQGwyDN1pRI.jpg]Фото (1145x644)[/url]
В url локальная ссылка на файл вместо исходной ссылки на картинку на сервере

[Elzor]

С выполнением shell кода ещё не эксперементировал, но теоретически если изощериться думаю это вполне реально.

Не стану отметать вероятность. img тег сам по себе безопасен, с помощью url мне удалось запустить cmd.exe, но передать что-то в него параметром - нет, и зная детали реализации, у меня есть некоторые основания думать что это невозможно.  Но мало ли. В любом случае вопрос требует более подробного изучения. Возможно на уровне протокола закрою возможность получения url=file:// извне.

Всмысле избыточно? Всего одну строчку в коде изменить чтобы картинка сохранялась не в файл на диске а в массив в ОЗУ и оттуда выводилась при обращении к ней.

Мы принимаем патчи. Текущее состояние меня лично устраивает на 98%

В url локальная ссылка на файл вместо исходной ссылки на картинку на сервере

Да, так задумано. Подменять ссылку аттачмента на его локальную копию - это одно. Подменять присланную ссылку на другую ссылку по недокументированному правилу - это другое и реализовываться не будет.

[dartraiden]

Т.е. юзер решает вгрузить историю чатика за 10 лет и получает минус много гигов памяти, потому что все картинки будут сложены в памяти? А при каждом рестарте надо тратить столько же гигов трафика и перезагружать все эти картинки за 10 лет с сервака?

А если не перезагружать, то как быть, когда юзеру приспичит отмотать историю на N дней/месяцев/лет назад? Грузить с сервака по мере погружения в историю? Это уже не Миранда, а какой-то веб-клиент, который без доступа к сети не работоспособен (главный козырь Миранды - история, которая доступна локально всегда, вне зависимости от доступа к сети). И это если картинка на серваке в принципе есть. А если это протокол без серверной истории?

Умножим это на количество чатиков. Никакой памяти не хватит.

Такой патч можно даже не присылать, потому что это бред.

если это не p2p переданный файл

У протоколов с историей на сервере (ICQ, TG, VK) нет никакого P2P. Файл при отправке сохраняется на сервере, как и любое другое событие, например, текстовое сообщение. Оттуда его стягивает другая сторона. Нет разницы, в привате это событие произошло или в чате.

а в отображении картинок в окне истории вобще не вижу смысла

А мне вот приходилось возвращаться в историю и смотреть скриншоты, которые мне прислали.

Кроме того NS умеет подгружать события в журнал из истории по мере скроллинга в прошлое. Т.е. его "журнал" это отчасти и "история".

[dartraiden]

выполнением shell кода ещё не эксперементировал, но теоретически если изощериться думаю это вполне реально.

Если известен путь, куда ложатся файлы и включена автозагрузка, то дропаем ему бинарник, следом запускаем url=file://путь/к/бинарнику]ГОЛЫЕ ФОТО БОРИСА МОИСЕЕВА СМОТРЕТЬ[/url]

С img проблем не вижу. Если это не картинка, то litehtml не сможет сделать превью. Если это картинка на диске юзера, то... юзер увидит картинку со своего диска. Ну, увидит и увидит.

[Elzor]

dartraiden, ну нет, не для вк.
Если отправить бинарник, он придет примерно так (см. вложение). В вк он автоматом не скачается, это не настоящий файлтрансфер. Можно ткнуть по ссылке и полетит задача на скачку в браузер, но для пользователя все это довольно прозрачно. Единственная возможность что-то нехорошая сделать - это с помощью тега url вызвать что-то уже существующее локальное, например cmd.exe, но вызов без параметров просто запустит cmd.exe, а параметры в ссылке не передать - она целиком как есть уйдет в вызов ShellExecuteA(0, "open", "file://ссылка", 0, 0, SW_NORMAL). Если в ссылке будет что-то что сделает путь к файлу невалидным (пробел+параметр на конце, например) то файл просто не откроется.
В других протоколах, где есть настоящие файлтрансферы с автозагрузкой, может быть, какие-то варианты и возможны.

[MIR]

Да, так задумано. Подменять ссылку аттачмента на его локальную копию - это одно. Подменять присланную ссылку на другую ссылку по недокументированному правилу - это другое и реализовываться не будет.

Тут речь сейчяс не про модификацию ссылки а о том что её вобще нет ни в окне чата ни в истории, есть только ссылка на локальный файл, а исходную ссылку чтобы можно было её скопировать брать неоткуда.

Мы принимаем патчи. Текущее состояние меня лично устраивает на 98%

Тебя может и устраивает, а у меня больше гига уже этот сраный кэш, несмотря на то что Я даже эти чаты не открывал, пришлось привью отключять, иначе жесть.
С кодом NS Я может и разберусь, но с учётом того что под винду Я никогда не кодил, и с учётом туевой хучи зависимостей в коде от других плагинов и апи миранды которые меняются каждый день, Я хрен это скомпилирую чтобы протестить.

Могу только общий принцып написать, там уже пускай реализует тот кто занимается плагином NS

Code: [Select]

Вместо
filePut(fileGet(https_Ссылка), "C:\кэш_картинок\123.jpg")); //Сохранение картинки на диск
NS_IMG_export=fileGet(Ссылка на локальный файл); //Вывод картинки в окно чата

array ImgCache[20]; //Размер кэша 20 картинок
ImgCache[1]=fileGet(https_Ссылка); //Загрузка первой картинки в массив
NS_IMG_export=ImgCache[1]; //Вывод первой картинки в окно чата из массива ОЗУ
for (i=0; i<20; i++){ImgCache[i]="";} //Чистка кэша при закрытии окна чата

Без понятия какие там функции используются для загрузки файлов, поэтому написал рандомные, но общяя суть понятна


Возможно на уровне протокола закрою возможность получения url=file:// извне.

А оно и без file:// работает

Code: [Select]

[url=C:/Windows/system32/cmd.exe]Ссылка[/url]Будет правильнее вобще отключить обработку BB кодов извне по крайней мере в ВК т.к. они там не применяются, а чтобы NS их не обрабатывал, в качестве временного кастыля в плагине ВК заменять [ ] во входящих сообщениях к примеру на { } как минимум в img и url тегах.

img тег сам по себе безопасен...

С img проблем не вижу. Если это не картинка, то litehtml не сможет сделать превью.

Насчёт безопасности img тега это до поры до времени, пока дыра в нём не выявиться.

Code: [Select]

В данном случяе [img=C:/Windows/system32/cmd.exe]Ссылка[/url] после слова Ссылка появляются какието нечитаемые символы, обрати внимание что закрывающийся тег не [/img] а [/url]

А если отправить так 12345[/url] то миранда тупо падает.

Поэксперементировал ещё с неправильными тегами url и img и падениями миранды, самое хреновое что это всё сохраняется в истории и когда открываеш окно чата то миранда снова падает, если очистить историю локально, то она загружает её с сервера, единственный выход в этом случяе удалить сообщение на сервере.
Да и не только в img и url тегах могут баги выявиться, с прочими тегами b, i, u и т.д. ещё не эксперементировал, но и там не стоит исключять подобного.

А так вобще NS патчить надо конкретно, чтобы BB коды во входящих сообщениях и BB коды отправляемые плагинами протоколов обрабатывались отдельно.

Как временный вариант могу предложить обработку символов [ ] только если они содержат динамическую переменную которая будет генерироваться плагином NS, и которая будет доступна плагинам протоколов.

В этом случяе все BB коды содержащиеся в сообщениях будут отображаться тупо текстом как есть.
А код с динамической переменной к примеру 1234 уже будет обрабатываться NS как положено 1234[1234url=https://сайт.com1234]1234Ссылка1234[1234/url1234]1234
Но тут уже начинаются проблемы с сохранённой историей, статическую переменную вшивать в NS не безопасно, а генерировать новую переменную при каждом запуске миранды накладно т.к. придётся каждый раз переписывать все теги в истории. Единственным вариантом в этом случяе вижу только ручную генерацию переменной и переписывание её в истории только при изменении этой переменной, а это понадобиться посути только один раз, ну или максимум раз в год если по какойто причине решиш её изменить.

[Elzor]

Тут речь сейчяс не про модификацию ссылки а о том что её вобще нет ни в окне чата ни в истории, есть только ссылка на локальный файл, а исходную ссылку чтобы можно было её скопировать брать неоткуда.

И где трагедия? Картинка на винте лежит, открывается при клике на ссылке, в чем глубокий смысл открытия ее именно из веба?

Тебя может и устраивает, а у меня больше гига уже этот сраный кэш, несмотря на то что Я даже эти чаты не открывал, пришлось привью отключять, иначе жесть.

Ну когда я стабильность синхронизации истории тестировал, под 8 гигабайт закачалось. И? В чем опять трагедия? Мне места на моих накопителях не жалко, а уж тем более не жалко места на чьих-то накопителях. Тем более, что загрузку можно полностью отключить в настройках. И выбор есть: можно графику ссылками показывать, можно с помощью IEView, пока IE есть в системе - никто не запрещает. Другое дело что в дальнейшем, я, если и буду отображение в журнал дорабатывать, то исключительно под NewStory.

Могу только общий принцып написать, там уже пускай реализует тот кто занимается плагином NS

Ты даже не представляешь, насколько несопоставимо то, как ты себе это все выдумал с тем, как есть на самом деле. Примерно так же, как несопоставимо устройство полипа с устройством кошки. Поэтому тот "общий принцип", что ты описал, я не буду комментировать. Одно прошу: не делай так больше, я уже понял, что патчей не будет.

А оно и без file:// работает

Так сделано намеренно.

Будет правильнее вобще отключить обработку BB кодов извне по крайней мере в ВК т.к. они там не применяются, а чтобы NS их не обрабатывал, в качестве временного кастыля в плагине ВК заменять [ ] во входящих сообщениях к примеру на { } как минимум в img и url тегах.

Чего бы ради? Честно говоря, хотя dartraiden и завел соответствующий тикет, я не вижу в этом никакой беды. Ну ткнет из любопытства пользователь ссылку, и? Сценарий атаки какой? Какой деструктивный результат возможен?

Насчёт безопасности img тега это до поры до времени, пока дыра в нём не выявиться.

Когда/если выявится, приходи - обсудим. Учитывая, что для ВК картинки скачиваются исключительно из аттачментов, то есть проходят через перекодирование на серверах ВК, и, к примеру вместо картинки бинарник в принципе не загрузить, я думаю, обсуждение не состоится.

В данном случяе [img=C:/Windows/system32/cmd.exe]http://Ссылка[/url] после слова Ссылка появляются какието нечитаемые символы, обрати внимание что закрывающийся тег не[/img] а [/url]

А если отправить так 12345[/url] то миранда тупо падает.

Да, тут баг однозначно есть, парсер сейчас с такими ситуациями не справляется. Вот это серьезно, это надо исправлять. Но уж точно не блокировкой BBC для пользователя.

[MIR]

И где трагедия? Картинка на винте лежит, открывается при клике на ссылке, в чем глубокий смысл открытия ее именно из веба?

А как Я её должен другим людям пересылать? Снова загружать на сервер с компа чтоли?

...под 8 гигабайт закачалось... Мне места на моих накопителях не жалко, а уж тем более не жалко места на чьих-то накопителях.

Правильно говорят что россияне свиньи...
Я ещё понимаю если у когонибуть дойдут руки и он приведёт в порядок TOX, там пары гигов не жалко будет под офлайн сообщения как в RetroShare или ZeroNet, но превращять комп в помойку ради картинок которые доступны только тебе и 90% которых ты никогда не видил а те что уже видил снова открывать уже больше никогда не будеш, это конечно полный трэш...

Ну ткнет из любопытства пользователь ссылку, и? Сценарий атаки какой? Какой деструктивный результат возможен?

В System32 всякой хрени хватает, которая и без указания параметров может дел натворить, какойнибуть winlogon повторно запустиш, ладно если просто ошибка вылезит а может и система навернуться.
Да и с передачей параметров тойже cmd.exe думаю лишь вопрос времени и нестандартности мышления.

Но уж точно не блокировкой BBC для пользователя.

А какой в них смысл в сообщениях ВК, если сам ВК BB коды не поддерживает? Переписываться чисто между юзерами миранды с возможностью форматировать текст? Этим хоть раз ктонибуть когданибуть занимался при переписке в мессенджерах?
Странный ты, безполезные и неподдерживаемые фунции ВК стремишся оставить,  а полезные такие как прямая ссылка на картинку старого образца отвергаеш.

[dartraiden]

Будет правильнее вобще отключить обработку BB кодов извне по крайней мере в ВК т.к. они там не применяются, а чтобы NS их не обрабатывал, в качестве временного кастыля в плагине ВК заменять [ ] во входящих сообщениях к примеру на { } как минимум в img и url тегах.

Это вопрос вообще не к VK, а к NewStory. Такую ссылку можно руками отправить по любому протоколу.
И лучше бы создать про недостатки NS отдельную тему.

[MIR]

Это вопрос вообще не к VK, а к NewStory. Такую ссылку можно руками отправить по любому протоколу. И лучше бы создать про недостатки NS отдельную тему.

То что NS надо переделывать об этом уже писал, но когда ещё это будет ХЗ, может через три дня, может через три недели, может через пол года. Поэтому в качестве временного патча который можно сделать прямо сейчяс и предложил самый простой вариант - замена символов BB кодов во входящих сообщениях плагином ВК, чтобы они не обрабатывались NS.

[Elzor]

А как Я её должен другим людям пересылать? Снова загружать на сервер с компа чтоли?

Во-первых, почему бы и нет? Я еще могу понять, когда место на собственных накопителях экономят, но когда экономят место на серверах вк... Жамкнул по ссылке, открылась картинка, скопировал в буфер, вставил в миранде - она ушла. Или ты думаешь, что потребность рассмотреть картинку в полном размере — более редкий кейс, чем пересылка? Во-вторых, в контекстном меню сообщения NS есть пункт "Переслать". Конечно при его использовании пересылается все сообщение, да и локально это отображается криво из-за того, что оно зачем-то обернуто в тег code (уберу в ближайшее время), но зато на сервер ничего не улетит, кроме номера пересылаемого сообщения.
Но вообще есть мысль давать возможность загружать в img уменьшенную превьюху (NS все равно харкордно масштабирует по ширине до 300px), тогда целесообразно ссыль на полную версию делать.

Правильно говорят что россияне свиньи...

Ты поаккуратнее с выражениями. Это, конечно, больше о твоей воспитанности говорит, чем о чем-то другом, но ты не в свинарнике на стене пишешь, а на русскоязычном форуме, где полно русских людей. И где с тобой нормально общаются без перехода на личности и оскорбления тебя и твоей нации, кем бы ты там не был. Я больше на эту тему предупреждать не буду, но от полного игнора с моей стороны ты в одном шаге. Впрочем, аргументация, подобная твоей, появляется только когда других аргументов не остается.

В System32 всякой хрени хватает, которая и без указания параметров может дел натворить, какойнибуть winlogon повторно запустиш, ладно если просто ошибка вылезит а может и система навернуться.

Сходил, запустил winlogon.exe. Жив, здоров, чего и тебе желаю. Что б такого запустить, чтобы система упала? Можно поконкретнее?

Да и с передачей параметров тойже cmd.exe думаю лишь вопрос времени и нестандартности мышления.

Вот когда сможешь туда параметры передать, тогда и обсудим. А до того, эта ситуация с обработкой file:// - максимум позволит безобидно похулиганить без какого-либо ущерба. Что не означает, что нужно эту ситуацию оставить как есть без правки, просто степень опасности, мягко говоря, сильно преувеличена.

Странный ты, безполезные и неподдерживаемые фунции ВК стремишся оставить,  а полезные такие как прямая ссылка на картинку старого образца отвергаеш.

Да, очень странный. Во мне очень странная смесь альтруистичного и эгоистичного, и я стараюсь эту смесь поддерживать в гармонии. Например, я тащу что-то недокументированное только если оно сильно нужно мне самому. В противном случае мне впоследствии придется прилагать какие-то усилия для поддержки этого, мне ненужного.  И категорически не люблю делать того, что считаю бессмысленным. Очень странный я, да.

Поэтому в качестве временного патча который можно сделать прямо сейчяс и предложил самый простой вариант - замена символов BB кодов во входящих сообщениях плагином ВК, чтобы они не обрабатывались NS.

Срочность вопроса в чем? Падает и захватывает мусор из памяти? Нехорошо, не спорю, обязательно надо фиксить так или иначе. Но вообще говоря, бывает. Кто-то сможет, используя это, построить атаку на пользователя? Ну, тот, кто этого очень боится для себя, может пока отключить поддержку bbc в настройках, не говоря уже о том, что сценария такой атаки никто не продемонстрировал и маловероятно, что продемонстрирует. Если Хазан решит, что проще всего и надежнее лишить все SRMM (или только NS) поддержки bbc в посылаемых пользователями сообщениях - так тому и быть. Невелика потеря. С моей точки зрения, конечно, правильнее парсер до ума довести, но ему виднее.

[dartraiden]

При запуске exe-файлов теперь выдаётся предупреждение.
Можно, конечно, скопипастить перечень опасных расширений из телеграммного клиента, но не хочется, а виндовая функция GetBinaryType проверяет лишь .exe.

[MIR]

При запуске exe-файлов теперь выдаётся предупреждение. Можно, конечно, скопипастить перечень опасных расширений из телеграммного клиента, но не хочется, а виндовая функция GetBinaryType проверяет лишь .exe.

В чём проблема вобще не использовать виндоусовскую функцию автоматического выбора приложения для открытия контента основываясь на ссылке?
Можно же просто список добавить в настройках NS какую ссылку чем открывать
Три колонки:
1.Приложение (Путь к программе которой будет открыта ссылка, если пусто то открывается "на усмотрение системы")
2.Ссылка (Регулярные выражения, к примеру "^http?://.*" или "^file://.*.(jpg|png)$" особенно удобно будет для magnet ссылок т.к. винда не различяет torrent это или DC++ ссылка)
3.Галочка вкл/выкл
Все ссылки отсутствующие в списке просто игнорятся, поумолчянию добавлено правило:
|На усмотрение системы | "^.*.!(exe|cpl|scr|vbs)$" | Вкл

Во-первых, почему бы и нет? Я еще могу понять, когда место на собственных накопителях экономят, но когда экономят место на серверах вк...
...Во-вторых, в контекстном меню сообщения NS есть пункт "Переслать".

Тебе не кажется что это уже конкретным маразумом попахивает?
В предыдущем сообщении не стал это писать, думал сам поймёш всю абсурдность того что натворил... Но видимо придётся разьяснить.
Получяется сейчяс вместо того чтобы просто скинуть ссылку на картинку, эта картинка каждый раз будет загружаться на сервер, конкретно в ВК эта картинка теперь будет отображаться как загруженая тобой лично с твоего аккаунта а не с аккаунта того кто её загрузил первым но это ещё фигня, а теперь попробуй начять мыслить шире и вспомни что у миранды помимо ВК есть кучя других протоколов, некоторые из которых или ограничено или вобще не поддерживают передачю файлов! Или допустим эту картинку мне надо отправить на сайт/форум где нет возможности загрузки файлов и чё мне придётся искать и загружать её на какойнибуть img хостинг на котором она может пропасть в любой момент?
Насчёт пункта "Переслать", а ты не думал что у когото может быть больше 10 контактов в списке, и искать нужный контакт среди списка из пары тысячь контактов чтобы переслать сообщение тому с кем у тебя открыта соседняя вкладка в окне чата немножко неудобно?
Я не пойму в чём проблема добавить ссылку "Исходноый файл" на картинку находящююся на сервере?
И ты не подумал что у когото может быть трафик ограниченым?

Сходил, запустил winlogon.exe. Жив, здоров, чего и тебе желаю. Что б такого запустить, чтобы система упала? Можно поконкретнее?
Вот когда сможешь туда параметры передать, тогда и обсудим. А до того, эта ситуация с обработкой file:// - максимум позволит безобидно похулиганить без какого-либо ущерба.

мдя... слов нет... "Когда твой комп взломают, сольют все пароли в том числе и от миранды, после чего закосячят все данные на дисках без возможности их восстановления после чего то самое сообщение изза которого всё произошло удалят с сервера" тогда и обсудим при этом даже незная изза какого сообщения всё это произошло.

Организации тратят милионы и нанимают квалифицированных профессиональных программистов и несмотря на это всегда находятся умельцы которые хакают компы и сервера изза дыр в программах. А тут человеку который учяствует в проекте который вобще какимто чюдом коекак работает указывают на явную дыру с потенциальной критической уязвимостью и он говорит что ничего страшного в запуске exe потомучто покаещё неизвестно как передать exe параметры...

Кто-то сможет, используя это, построить атаку на пользователя?

Вспомни аську, когда изза подобных багов массово роняли QIP чисто по приколу, но в аське небыло групповых чатов.
А сейчяс любой может пусть даже не специально обвалить миранду и ты хрен найдёш это сообщение с другова клиента чтобы удалить его на сервере поскольку в чяте набежало уже несколько десятков новых сообщений.

Ладно сейчяс о этих багах и дырах знают всего несколько человек, и спасает то что мирандой мало кто пользуется, но когда эта инфа разлетиться лишь вопрос времени.

но ты не в свинарнике на стене пишешь, а на русскоязычном форуме, где полно русских людей.

Ссорян конечно, просто ты меня малость выбесил(в том числе и в новых сообщениях выше) а поскольку других разрабов кто пилит ВК под винду нет приходится высказывать недовольство тебе уже в более грубой форме.
К Русским Я предьяв не имею ибо сам таковым являюсь, в предыдущем сообщении шла речь только о россиянах. Кто это такие разьяснять тут не буду чтобы форум не заблочили, лишь намекну что именно россияне сидели по домам когда было коронобесие и только россияне обвешиваются всякими v и z.

[QIP User]

Можно добавить отдельную фичу для протокола VKontakte такую как закреплять людей которые не в друьях некоторых ? Например я имею допустим следующий набор контактов :

0000000001
0000000002
0000000003
0000000005
0000000006
0000000007
0000000008
0000000009
0000000010

из которых все кроме 10 в друзьях и поэтому при входе они онлайн... но есть диалоги с :

0000000011
0000000012
0000000013
0000000014
0000000015
0000000016
0000000017
0000000018
0000000019
0000000020

у меня включено не добавлять в список не друзей и поэтому я не вижу всё начиная с 0000000010 и кончая 0000000020 , мне нужно не добавляя в друзья 0000000010 сделать так чтоб он был в списке контактов... можно ли как либо в протоколе VKontakte при проставлении галки не добавлять в список не друзей создать список исключений ? Напримеир я не хочу недрузей от 0000000014 до 0000000020 , но хочу добавить не друзей 0000000010 , 0000000011 , 0000000012 , 0000000013 при этом я не хочу добавлять кого либо из них в список друзей в ВК на сайте. Как быть ? В транспорте VK4XMPP всё работало следующим образом:
транспорт забирал список друзей :

0000000001
0000000002
0000000003
0000000005
0000000006
0000000007
0000000008
0000000009

при этом игнорировал всё что было от :

0000000011
0000000012
0000000013
0000000014
0000000015
0000000016
0000000017
0000000018
0000000019
0000000020

но если допустим некто с ID 0000000010 появлялся , то он был в стиле 0000000010@vk.servername в моём случаи 0000000010@vk.localhost , таким образом я не имел всех людей в списке контактов , но имел в списке контактов либо тех кого сам добавил в ростер , либо тех кто мне написал и кого я не добавлял в друзья.... не друзей я видел всё время оффлайн , а друзей с разным статусом... я хотел бы чтоб плагин для миранды позволял работать так же , это технически реализуемо ? Спрашиваю потому что не друзья могут нам писать и до переподключения не друзья остаются в списке контактов , но после переподключения не друзья пропадают из списка контактов если их не добавить в друзейна сайте , а это лично мне не удобно.

С уважением

[QIP User]

Я не пойму в чём проблема добавить ссылку "Исходноый файл" на картинку находящююся на сервере?

Представляешь , я тоже вообще не вижу ничего сложного в том что ты описал ) вот есть ссылка на исходную картинку на сайте ) ты её получил... теперь ты хочешь отправить её или переслать её кому-то одному или группе контактов... пусть будет для примера ссылка вида https://sun9-79.userapi.com/impg/Axxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.jpg?size=1530x1246&quality=96&sign=yyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy&c_uniq_tag=wwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwI-c&type=album , и ты хочешь переслать эту фотку... тебе никто не запрещает её открыть в браузере и затем скопировав адресную строку отправить во VKontakte тем людям , которым ты считаешь нужным ) при таком подходе тебе даже загружать фотку не придётся , ты просто копируешь ссылку и вставляешь ) у людей же она отобразится как обычная картинка мелкого размера с возможностью открыть оригинал и просмотреть его ) и ничего лично тебе загружать на сервер как ты описывал не придётся ) всё загружено до тебя )