Серверы Telegram, вместе с перепиской, которая хранится на них в открытом виде, могут быть изъяты в любой момент, если так решит государство, в котором они размещаются.
Автор ошибается. Вся информация на северах Телеграма хранится в зашифрованном виде, причем ключи для каждого отдельного случая находятся в другом кластере, расположенном в другой юрисдикции. Таким образом локальные вторжения или действия инженеров на местах не позволяют получить доступ к данным. См. telegram.org/privacy#cloud-chats
Правильное решение — использовать Telegram Bots API. Он был создан как раз для подобных задач.
Автор явно не обратил внимание на раздел про Deep Linking. Этот механизм позволяет пользователю одним кликом на внешнем сайте открыть переписку с ботом в Telegram с передачей произвольного параметра.
Во-первых с точки зрения usability пользователю куда проще нажать на одну кнопку на сайте, чтобы перейти в Telegram сразу в нужное место.
Во-вторых подобный псевдо-пользователь, пишущий случайным пользователям первым, используя их username, для Telegram ничем не отличается от спам-бота, и следовательно, наверняка будет заблокирован.
Механизм генерации ключей между клиентом и сервером исключает возможность стороннего MITM. А для защиты от MITM со стороны сервера как раз и сделаны секретные чаты с оконечным шифрованием, в которых она невозможна.
Действительно, с 00:09 8 февраля до 22:48 10 февраля в АПИ была возможность получить название и изображение произвольного группового чата. С вечера 10го февраля этот недочет исправлен, спасибо.
Следует отметить, что идентификаторы групп назначаются произвольно. Используя этот метод, получить информацию об участниках группы, сообщениях в ней или даже получить название беседы конкретного пользователя — невозможно.
Хочу заметить, что я не являюсь сотрудником ВКонтакте с весны 2012 года.
Раз Ваш пост был отправлен в 19:47, то это, действительно, многое меняет.
Мы пока не формулировали четкую политику bug-bounty в отношении багов на клиентской стороне (особенно, когда о них сообщают сразу из нескольких источников и не совсем ясно, кто был первым). Изначально не планировалось награждать за них так же, как за архитектурные серверные уязвимости.
Но так как стимулы для поиска багов сохранять надо, мы разработаем некоторую схему для того, чтобы три человека, которые почти одновременно нашли эту проблему с проверкой, остались довольны и не чувствовали, что зря потратили время.
Для получения Вашей части награды, пожалуйста, напишите нам на security@telegram.org
А мы тем временем приступим к составлению четкой системы поощрения за найденные баги, чтобы неопределенности больше не существовало.
Наше внимание к проблеме привлек твит от @DefuseSec (https://twitter.com/DefuseSec/status/414827607687843840), мы с ним вчера связались. Кроме того, проблема была описана Хабраюзером aabc, как он утверждает, еще вчера в 19:47: habrahabr.ru/post/207038/
Строго говоря, aabc был хронологически первым, хотя мы о проблеме узнали из другого источника.
Чтобы не было путаницы, мы решили на будущее сформулировать четкую политику bug-bounty (сколько, за что, как определять, кто первый и пр). А в данном случае в качестве одноразового решения в какой-то степени наградить всех троих. Пожалуйста, напишите нам на security@telegram.org – расскажем, как получить награду
Больше спасибо. Изначально наше внимание к этой проблеме привлекли в Твиттере вчера вечером – и мы стали разбираться. Кстати, в англоязычной документации на момент Вашего комментария это должно было уже быть — возможно, Вы читали русскую версию?
Если вновь заметите нечто подобное, пожалуйста, пишите нам на security@telegram.org — будем награждать.
Насчет доступа к несекретным чатам через клонирование симки — мы рассматривали эту возможность с самого начала, и собираемся добавить защиту через пароль. Внедрение задерживается из-за того, что пока не найдены хорошие ответы на следующие вопросы:
Что делать, если пользователь забыл пароль? Если давать создавать новый аккаунт, то как это должно быть отражено у старых и новых контактов?
Нужно решение, которое совместит безопасность и удобство использования.
Кстати, сейчас при перехвате СМС и попытке входа пользователь сразу же получает уведомление с информацией о новом устройстве и его IP-адресе. Есть также возможность сбросить все сессии кроме текущей, тем самым отменить новую авторизацию.
Большое спасибо, автор поста полностью прав. Со своей стороны хотим пояснить, что сделано это было из лучших побуждений: исправление плохого рандома на клиентах.
С настоящего момента в nonce всегда будет приходить ноль, и в следующем слое мы обязательно удалим это поле из схемы и поясним в документации.
Автор топика безусловно заслужил награды, просьба обратиться хабраюзера x7mz на email support@telegram.org для уточнения деталей.
не, designMode это на весь документ. был вообще везде и всегда.
в Fx, Opera, Webkit поддержка contentEditable есть уже довольно давно. По-моему только в Fx 2, Opera 9 не было contentEditable.
когда ширина менее 450, то не помещается текст статистики. clear: both делается, потому что на многих сайтах были выявлены некрасивости в вёрстке.
Но ничего не мешает Вам положить виджет в отдельный контейнер и отстилизовать его как Вам удобно. Хоть рядом с fb, хоть вместо неё)
Автор ошибается. Вся информация на северах Телеграма хранится в зашифрованном виде, причем ключи для каждого отдельного случая находятся в другом кластере, расположенном в другой юрисдикции. Таким образом локальные вторжения или действия инженеров на местах не позволяют получить доступ к данным. См. telegram.org/privacy#cloud-chats
Правильное решение — использовать Telegram Bots API. Он был создан как раз для подобных задач.
Автор явно не обратил внимание на раздел про Deep Linking. Этот механизм позволяет пользователю одним кликом на внешнем сайте открыть переписку с ботом в Telegram с передачей произвольного параметра.
Во-первых с точки зрения usability пользователю куда проще нажать на одну кнопку на сайте, чтобы перейти в Telegram сразу в нужное место.
Во-вторых подобный псевдо-пользователь, пишущий случайным пользователям первым, используя их username, для Telegram ничем не отличается от спам-бота, и следовательно, наверняка будет заблокирован.
core.telegram.org/techfaq
Следует отметить, что идентификаторы групп назначаются произвольно. Используя этот метод, получить информацию об участниках группы, сообщениях в ней или даже получить название беседы конкретного пользователя — невозможно.
Хочу заметить, что я не являюсь сотрудником ВКонтакте с весны 2012 года.
core.telegram.org/api/end-to-end#sending-a-request
core.telegram.org/mtproto/auth_key
Мы пока не формулировали четкую политику bug-bounty в отношении багов на клиентской стороне (особенно, когда о них сообщают сразу из нескольких источников и не совсем ясно, кто был первым). Изначально не планировалось награждать за них так же, как за архитектурные серверные уязвимости.
Но так как стимулы для поиска багов сохранять надо, мы разработаем некоторую схему для того, чтобы три человека, которые почти одновременно нашли эту проблему с проверкой, остались довольны и не чувствовали, что зря потратили время.
Для получения Вашей части награды, пожалуйста, напишите нам на security@telegram.org
А мы тем временем приступим к составлению четкой системы поощрения за найденные баги, чтобы неопределенности больше не существовало.
Строго говоря, aabc был хронологически первым, хотя мы о проблеме узнали из другого источника.
Чтобы не было путаницы, мы решили на будущее сформулировать четкую политику bug-bounty (сколько, за что, как определять, кто первый и пр). А в данном случае в качестве одноразового решения в какой-то степени наградить всех троих. Пожалуйста, напишите нам на security@telegram.org – расскажем, как получить награду
Если вновь заметите нечто подобное, пожалуйста, пишите нам на security@telegram.org — будем награждать.
Что делать, если пользователь забыл пароль? Если давать создавать новый аккаунт, то как это должно быть отражено у старых и новых контактов?
Нужно решение, которое совместит безопасность и удобство использования.
Кстати, сейчас при перехвате СМС и попытке входа пользователь сразу же получает уведомление с информацией о новом устройстве и его IP-адресе. Есть также возможность сбросить все сессии кроме текущей, тем самым отменить новую авторизацию.
С настоящего момента в nonce всегда будет приходить ноль, и в следующем слое мы обязательно удалим это поле из схемы и поясним в документации.
Автор топика безусловно заслужил награды, просьба обратиться хабраюзера x7mz на email support@telegram.org для уточнения деталей.
в Fx, Opera, Webkit поддержка contentEditable есть уже довольно давно. По-моему только в Fx 2, Opera 9 не было contentEditable.
Но ничего не мешает Вам положить виджет в отдельный контейнер и отстилизовать его как Вам удобно. Хоть рядом с fb, хоть вместо неё)
Или Вам не ясно, как на своём сервере хранить число, полученное из Javascript?