1 điểm bởi GN⁺ 2025-02-18 | 1 bình luận | Chia sẻ qua WhatsApp
  • X đang chặn người dùng đăng liên kết Signal.me — tên miền dùng để liên hệ trực tiếp trên Signal — trong DM, bài đăng công khai và phần giới thiệu hồ sơ
  • Khi bị chặn, tùy theo môi trường như web hoặc ứng dụng iPhone, sẽ xuất hiện các thông báo lỗi như “có khả năng gây hại”, “trông giống yêu cầu tự động”, hoặc “Description is considered malware”
  • Các liên kết Signal.me đã được đăng trước đó không bị chặn hoàn toàn, nhưng phải đi qua trang cảnh báo URL Policy của X mới có thể truy cập
  • Việc chặn có vẻ tập trung vào Signal.me; các liên kết tương tự như Signal.org hoặc URL liên hệ Telegram dường như vẫn được cho phép
  • Cách đăng handle Signal.me dưới dạng văn bản để người dùng tự sao chép và dán vào ứng dụng Signal hiện vẫn còn khả thi

Liên kết Signal.me bị chặn trên X

  • X đang chặn việc đăng liên kết tên miền Signal.me mà người dùng Signal chia sẻ để người khác có thể liên hệ trực tiếp qua ứng dụng
    • Phạm vi chặn bao gồm DM, bài đăng công khai và cả phần giới thiệu hồ sơ
  • Khi cố đăng, hệ thống sẽ hiển thị các thông báo thất bại khác nhau tùy môi trường sử dụng
    • “We can’t complete this request because this link has been identified by X or our partners as being potentially harmful”
    • “This request looks like it might be automated”
    • Nếu thêm vào phần giới thiệu hồ sơ, sẽ hiện “Account update failed. Description is considered malware”
  • Ngay cả các liên kết Signal.me đã đăng từ trước cũng không mở trực tiếp khi bấm vào mà phải qua trang cảnh báo
    • X thông báo rằng liên kết này bị nhận diện là “potentially spammy or unsafe”
    • Người dùng vẫn có thể bỏ qua cảnh báo và bấm thêm một liên kết nữa để đi tới URL Signal.me gốc

Phạm vi đã xác nhận và các cách lách còn lại

  • Chưa rõ việc chặn bắt đầu từ khi nào, nhưng trước đây người dùng vẫn có thể chèn liên kết Signal.me vào bài đăng công khai và phần giới thiệu hồ sơ
  • Tác động dường như chỉ giới hạn ở URL Signal.me
    • Các liên kết Signal khác như Signal.org dường như không bị chặn
    • Các liên kết dịch vụ bên thứ ba tương tự như URL liên hệ Telegram vẫn được X cho phép
  • Nhà nghiên cứu bảo mật Mysk là người đầu tiên phát hiện vấn đề này vào đêm 16/2/2025, và xác nhận việc chặn trong DM, bài đăng và phần giới thiệu hồ sơ
  • Signal từ lâu đã là phương tiện liên lạc riêng tư quan trọng giữa nhà báo và người cung cấp tin
    • Tin nhắn được mã hóa đầu cuối
    • Nội dung được lưu trên thiết bị và không được lưu trữ trên đám mây máy chủ của Signal
  • Trong vài tuần gần đây, Signal cũng đóng vai trò quan trọng khi các nhân viên liên bang cung cấp thông tin cho nhà báo liên quan đến việc DOGE của Elon Musk truy cập dữ liệu của nhiều cơ quan chính phủ
  • Hiện tại, người dùng Signal trên X vẫn có thể đăng handle Signal dưới dạng văn bản, và người dùng khác có thể sao chép rồi dán vào ứng dụng Signal

1 bình luận

 
GN⁺ 2025-02-18
Ý kiến trên Hacker News
  • Không phải tôi muốn bênh Twitter hay các chính sách của họ, nhưng chuyện này có thể chỉ là một sai sót hợp lý
    Ở quy mô của Twitter, việc bảo vệ và phát hiện URL không an toàn thường được tự động hóa, và điều này có thể tương tự như những lần các dịch vụ rút gọn URL bị chặn cả cụm vì một số nội dung độc hại, lừa đảo hoặc bị cấm
    Khi Signal phát triển hơn, các liên kết signal.me xuất hiện nhiều hơn trên Twitter, và dù phần lớn là hợp pháp thì số liên kết bất hợp pháp cũng có thể tăng lên, dẫn tới việc chặn tự động được kích hoạt
    Vấn đề thực sự là ngay cả khi đây là hành động có chủ đích, Twitter vẫn có thể dễ dàng núp sau lý do “tự động hóa quá mức và chúng tôi xin lỗi”, nhất là nếu sau thương vụ mua lại Twitter, những chuyên gia liên quan đã rời đi hoặc bị sa thải, khiến hệ thống tự động hóa không còn được duy trì hay tinh chỉnh đúng cách

    • Điểm mấu chốt lại bị chôn trong chú thích. Ngay cả nếu chỉ là lỗi đơn thuần, đây vẫn là việc hoàn toàn có thể tránh được nếu áp dụng khâu rà soát của con người cho các thay đổi chặn URL của một trang được chia sẻ thường xuyên như thế này
      Nếu ai đó coi việc không giữ lại đủ nhân sự để nhận ra rằng mảnh URL (fragment) và hashtag dùng cùng một ký hiệu là “hiệu quả”, thì người đó không nên bén mảng tới bất kỳ tổ chức nào liên quan đến “hiệu quả chính phủ”
    • Nghe cũng hợp lý, vì tất cả các liên kết bị cấm đều có dạng này
      https://signal.me/#eu/fdy5h1miMifXa...
      Phần hash của URL (đoạn sau #) thường không được hệ thống tự động xem là phần có ý nghĩa của URL, vì hash ban đầu được dùng để chỉ tới một vị trí cụ thể trong trang web được tải từ phần URL phía trước
      Nếu một liên kết Signal.me nào đó bị đánh dấu vì lý do chính đáng như mã độc hay nội dung bất hợp pháp, thì hệ thống tự động hoàn toàn có thể bỏ phần hash đi và chặn toàn bộ tên miền có đường dẫn thực chất chỉ là /
      Sẽ khá thú vị để xem họ có sửa và hoàn tác việc này hay không. Nếu không, ta có thể khá chắc rằng đó là hành động có chủ đích
    • Mục đích của hệ thống chính là những gì hệ thống đó thực sự làm
    • Có ba lý do khiến tôi khó tin điều này. Ngay cả nếu là lỗi tự động hóa thì mất bao lâu để hoàn tác, tại sao chỉ bị chặn trên X chứ không phải ở các mạng xã hội khác, và chẳng phải trước đây X cũng từng chặn URL Substack và Mastodon sao?
    • Một nền tảng dựa trên chia sẻ liên kết thì phải biết tên miền nào là dịch vụ rút gọn URL
      Ngay cả khi tự động hóa xử lý, khi gặp các URL như signal.me, bit.ly, goo.gl thì trước tiên phải GET và áp dụng thuật toán lên đích được trả về trong header Location
      Không làm điều đó với một dịch vụ rút gọn URL phổ biến như signal.me là biểu hiện của sự bất tài về mặt kỹ thuật
  • Người Mỹ vẫn còn dùng X à? Nếu vậy thì tôi thật sự tò mò vì sao họ còn dùng. Ở lại trên nền tảng đó chẳng phải là tiến thêm một bước giúp ông chủ của nó phá hoại đất nước mình sao?

    • Cũng như mọi nền tảng xã hội khác, đó là vì hiệu ứng mạng lưới. Chức năng thực tế chỉ là thứ yếu so với tệp người dùng và văn hóa của nền tảng; dĩ nhiên tính năng có ảnh hưởng lớn đến văn hóa đó, nhưng vẫn là yếu tố thứ hai
      Game nhiều người chơi, nơi tụ tập, hay “không gian thứ ba” cũng tương tự
      Với nhiều nhóm, xitter là nền tảng mặc định. Ví dụ, các tác giả nội dung người lớn phong cách anime dùng nó làm nơi đăng tải chính, và nhiều công ty đăng các tin tức tức thời như sự cố dịch vụ hay thay đổi giờ làm. Chỉ riêng những điều đó cũng đủ là lý do để người ta ở lại
    • Tôi ngừng dùng X khi Elon mua lại nó, và sau khi Elon hoàn toàn ngả sang phía MAGA-phát xít kiểu Quốc xã, tôi cuối cùng cũng xóa luôn tài khoản đã dùng rất lâu. Tôi là người dùng từ thời kỳ đầu, thậm chí trước khi Twitter trở nên phổ biến đại chúng, nhưng tôi không hối tiếc
    • Ngay cả Liên minh châu Âu cũng vẫn xem X là nền tảng chính: https://european-union.europa.eu/index_en
    • Một số người thông minh và sâu sắc nào đó vì lý do nào đó chỉ đăng trên X. Tôi ước họ chọn nơi khác, nhưng tôi cũng không thấy việc tiếp tục theo dõi họ gây hại gì lớn
      Tôi đoán nhiều bạn bè hay người thân không thuộc giới công nghệ cũng chỉ đăng trên đúng một mạng xã hội. Tôi từng tạo tài khoản ở đủ nơi chỉ để theo dõi những người bạn cũ
    • Trớ trêu thay, xét về độ phủ tiếp cận, đây vẫn là nền tảng tốt nhất để chống lại các tuyên truyền của Elon và những người giống ông ta
  • Tôi thắc mắc chính xác signal.me là gì nên đã tìm thử, và có vẻ chi tiết nằm ở đây
    https://signal.miraheze.org/wiki/Signal.me_URLs
    https://signal.miraheze.org/wiki/Usernames#Username_links
    Liên kết Signal.me chỉ đơn giản là cách gửi số điện thoại hoặc tên người dùng cho người khác một cách dễ dàng, và không có xác minh danh tính bằng mật mã, cũng không có bảo vệ cho số điện thoại hay tên người dùng. Để vượt qua việc bị chặn, người dùng Signal chỉ cần gửi số điện thoại hoặc tên người dùng qua Twitter/X là được
    Định dạng tên người dùng được mã hóa có thể thu hồi nên cung cấp một mức độ bảo vệ danh tính nào đó, nhưng trong lúc còn hoạt động thì có vẻ ai đó vẫn có thể hỏi máy chủ Signal xem tên người dùng nào đang được liên kết
    Tốt hơn hết là đừng dùng Twitter/X cho mục đích này ngay từ đầu. Có thể nghĩ đến các lựa chọn thay thế như Mastodon, nhưng thật ra bất cứ thứ gì khác cũng có lẽ tốt hơn

    • Liên kết signal.me được dùng để tham gia hoặc quảng bá nhóm Signal
    • Tên người dùng không nhất thiết phải gắn với danh tính thực, và số điện thoại cũng có thể được ẩn
      Đây không phải là cách giải thích kỳ quặc nhất để bào chữa cho Elon Musk và chính sách kiểm duyệt của X, nhưng chắc chắn nằm trong top 5
  • Điều này càng mỉa mai hơn nếu nghĩ tới việc DOGE được cho là dùng Signal làm nền tảng liên lạc. [1]
    [1] https://news.ycombinator.com/item?id=42579873

    • Nếu đó là một cơ quan chính phủ chính thức thì hẳn sẽ thuộc diện yêu cầu FOIA, và do đó có nghĩa vụ lưu giữ tài liệu, khá đáng chú ý
    • Elon cũng dùng Signal cho mục đích cá nhân, nên nếu việc này vẫn chưa được sửa thì tôi nghiêng về khả năng đây là một sai sót hợp lý sẽ sớm được khắc phục
  • Tôi gần như chắc chắn là vì nếu bỏ phần sau # thì về cơ bản mọi liên kết signal.me đều trở thành giống nhau
    Khi thực hiện yêu cầu HTTP(S), phần sau # tuyệt đối không được gửi trong URL của yêu cầu, và phần đó chỉ được trình duyệt web tự diễn giải. Rất có thể hệ thống chống spam cũng đã bỏ qua toàn bộ phần hash theo cách tương tự
    Ví dụ liên kết bị chặn: https://signal.me/#eu/P01wpUmC4nT2BBTwMrPAw7Nxcp81055tKHGbYw...
    Dạng đã bỏ hash cũng bị chặn: https://signal.me/
    Nếu thêm bất kỳ ký tự nào vào đường dẫn thì sẽ không bị chặn. Ví dụ: https://signal.me/abc#eu/P01wpUmC4nT2BBTwMrPAw7Nxcp81055tKHG...

  • Sáng nay rảnh nên tôi đã làm một trang đơn giản để chia sẻ liên kết Signal trên X
    https://link-in-a-box.vercel.app
    Nếu thấy có thể giúp ích cho ai đó thì mong mọi người chia sẻ, và nếu có phản hồi thì hãy gửi cho tôi

    • Bình luận này đang được đẩy lên rồi lại bị downvote, nhưng nếu có thời gian thì tôi sẽ rất cảm kích nếu mọi người để lại phản hồi
      Mọi người đã bắt đầu dùng nó rồi, nên nếu có vấn đề gì tôi muốn có thể xử lý hoặc sửa khi cần
  • Trong bối cảnh tương tự, quân đội Thụy Điển đã khuyến nghị những người làm công việc liên quan đến quân sự sử dụng Signal cho các cuộc gọi và tin nhắn không thuộc mức độ cơ mật cao hơn
    https://cornucopia.se/2025/02/forsvarsmakten-infor-krav-pa-s... (tiếng Thụy Điển)

  • Cái gọi là chủ nghĩa tuyệt đối về tự do ngôn luận này thật khắc nghiệt

  • Tự do ngôn luận cho các anh, chứ không phải cho tôi

    • Sao nào, chẳng lẽ Musk có thể đăng liên kết Signal lên X mà không gặp vấn đề gì?
    • Có những kiểu tự do ngôn luận còn tự do hơn những kiểu khác. /s
  • Nhìn từ phía này thì tôi thấy tò mò vì quyền sở hữu của signal.me bị che khá kỹ đằng sau Cloudflare và WHOIS privacy
    Làm như vậy với một tên miền hạ tầng không phải là ý hay. Nó khiến việc rà soát thủ công khó hơn và vì thế khuyến khích tình trạng chặn quá mức kéo dài
    Dù vậy vẫn có tài liệu chính thức nhắc đến signal.me: https://support.signal.org/hc/en-us/articles/360007320291-Fi...
    Trang này có trong chỉ mục của Bing, nhưng trên các công cụ tìm kiếm thì có vẻ “signal.me” bị xử lý như một stop word