Здравствуйте Гость [ Вход | Регистрация ] | Форум в сети 4844-й день

 Секьюрность и боты мессенджеров, доверять?

mussy
Mar 6 2019, 18:21
  
Пост #1



Репутация:   100  
Постоялец
***

Группа: Пользователи
Сообщений: 1 022
С нами с: 31-January 08


Мучает проблема того, что есть очень много информации, которой крайне удобно обмениваться с помощью телеграм бота. Я набросал список команд, по которым бот возвращает данные с определенной инфой (ссылки, фото, текст).

В телеграме боты публичны, то есть любой может найти моего, зная имя. Но при обработке getupdates , мой бот сейчас фильтрует никнеймы и всем, кого я не включил в список, он просто ничего не отвечает.

1. Насколько вообще безопасно подобное решение?
2. Насколько я понимаю, никто не может подменить никнейм в телеграм, если он кем-то занят, или это не так?
3. Если кто-то как-то узнает токен моего бота, то он может максимум перехватывать никнеймы тех, кто общается с ботом. И больше ничего, ни IP , ни телефонов, верно?

Сообщение отредактировал mussy - Mar 6 2019, 18:26
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
 
Reply to this topicStart new topic
Ответов(1 - 9)
Console
Mar 6 2019, 21:36
  
Пост #2



Репутация:   400  
Ветеран
*****

Группа: Пользователи
Сообщений: 6 859
С нами с: 23-March 08


Ну формально у телеграм нету експертного заключения как КСЗИ ( комплексной системы защиты информаци) в Украине..
А значит он не безопасен..
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
antonio2000
Mar 12 2019, 11:25
  
Пост #3



Репутация:   33  
Активист
*

Группа: Пользователи
Сообщений: 321
С нами с: 18-March 08


у телеграмма не может быть КСЗИ, так как КСЗИ это комплекс. у телеграма в лучшем случае может быть КЗИ.
>>експертного заключения как КСЗИ
абсолютно бесполезное занятие. вобще где встречается слово "КСЗИ" - это непроходимый совок или требования регулятора (совок 2)
или выкачивания бабла.

Но так как фактически проверка проходит только по бумажкам это бесполезное занятие (секюрности не добавляет).


>>>1. Насколько вообще безопасно подобное решение?
фильтруйте по ID
>>>2.
я бы юзал ID
>>>3.
если узнают токен вашего бота то можно подправить бота и у пользователя при нажатии на кнопку будет "отправить телефон".
IP - получить вроде низя


User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Console
Mar 12 2019, 14:27
  
Пост #4



Репутация:   400  
Ветеран
*****

Группа: Пользователи
Сообщений: 6 859
С нами с: 23-March 08


(antonio2000 @ Mar 12 2019, 11:25) Перейти к цитате

у телеграмма не может быть КСЗИ, так как КСЗИ это комплекс. у телеграма в лучшем случае может быть КЗИ.
>>експертного заключения как КСЗИ
абсолютно бесполезное занятие. вобще где встречается слово "КСЗИ" - это непроходимый совок или требования регулятора (совок 2)
или выкачивания бабла.

Но так как фактически проверка проходит только по бумажкам это бесполезное занятие (секюрности не добавляет).
>>>1. Насколько вообще безопасно подобное решение?
фильтруйте по ID
>>>2.
я бы юзал ID
>>>3.
если узнают токен вашего бота то можно подправить бота и у пользователя при нажатии на кнопку будет "отправить телефон".
IP - получить вроде низя


Ну не скажите, используют вполне секюрные решение и требования, а вот одному богу известно где и как сервера телеги.

Но тут больше важен уровень паранойи, может человеку достаточно вашего совета по фильтру ID
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
antonio2000
Mar 12 2019, 14:42
  
Пост #5



Репутация:   33  
Активист
*

Группа: Пользователи
Сообщений: 321
С нами с: 18-March 08


(Console @ Mar 12 2019, 14:27) Перейти к цитате

Ну не скажите, используют вполне секюрные решение и требования, а вот одному богу известно где и как сервера телеги.


Без анализа исходников толку от физического размещения ?

(Console @ Mar 12 2019, 14:27) Перейти к цитате

Но тут больше важен уровень паранойи, может человеку достаточно вашего совета по фильтру ID


как по мне, только read-only да и то , обезличенная/не коммерческая/не персональная не дай бог информация.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
mussy
Mar 14 2019, 0:17
  
Пост #6



Репутация:   100  
Постоялец
***

Группа: Пользователи
Сообщений: 1 022
С нами с: 31-January 08


(Console @ Mar 12 2019, 14:27) Перейти к цитате

Но тут больше важен уровень паранойи, может человеку достаточно вашего совета по фильтру ID

Паранойя присутствует, но удобство телеграма настолько велико, что я не могу противостоять соблазну его использовать. Везде ставим двухфакторную аутентификацию, но боюсь, что телеграм "френдли" к властям и спец службам. Учитывая, что в свое время блекбери мессенджер блокировали за то, что они не давали (или давали не всем) возможность вскрытия переписки, то остается надеться только на то, что те, кому может быть интересна информация, птицы низкого полета. Хотя хочется, чтобы и через СБУ эти вопросы не могли решить.


(antonio2000 @ Mar 12 2019, 14:42) Перейти к цитате

как по мне, только read-only да и то , обезличенная/не коммерческая/не персональная не дай бог информация.


Критичные данные будут в Veracrypt контейнерах отправляться. То, что можно в PDF и картинках. Спасиб, судя по всему фильтр по ID более надежный, хотя конечно не самый удобный. Но пользователей будет немного, поэтому не критично.

User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Console
Mar 14 2019, 8:03
  
Пост #7



Репутация:   400  
Ветеран
*****

Группа: Пользователи
Сообщений: 6 859
С нами с: 23-March 08


А двух факторка чия? Точней что именно сканер пальца или апаратные карты? Хотя я не уверен сканер пальца под 2х факторку вроде не подпадает.

Сообщение отредактировал Console - Mar 14 2019, 8:05
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
mussy
Mar 14 2019, 11:17
  
Пост #8



Репутация:   100  
Постоялец
***

Группа: Пользователи
Сообщений: 1 022
С нами с: 31-January 08


Двухфакторка в Telegrame помогает только от того случая, если кто-то получил доступ к вашей сим карте, клонировал симку, через оператора сделал виртуальную копию.
То есть для активации вашего телеграма на другом устройсвтве, при включенной двухфакторке, смски недостаточно. Нужен еще пароль. Он запрашивается только при активации на любом новом устройстве.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Console
Mar 14 2019, 12:39
  
Пост #9



Репутация:   400  
Ветеран
*****

Группа: Пользователи
Сообщений: 6 859
С нами с: 23-March 08


Я думал, вы на ПК в домене настроили двухфакторку..
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Vitaliy_y
Mar 14 2019, 13:11
  
Пост #10



Репутация:   106  
Cтаршой
**

Группа: Пользователи
Сообщений: 783
С нами с: 3-July 07


Я фильтрую по ID, оно в любом случае уникальное для пары юзер-номер телефона, бот рассылки делает из 1Ски, платежи, да отгрузки.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post

Reply to this topicStart new topic

 



- Упрощённая версия
Сейчас: 20th June 2019 - 1:41
Сайт не предоставляет электронные версии произведений, а занимается лишь коллекционированием и каталогизацией ссылок, присылаемых и публикуемых на форуме нашими читателями. Если вы являетесь правообладателем какого-либо представленного материала и не желаете чтобы ссылка на него находилась в нашем каталоге, свяжитесь с нами и мы удалим её. Файлы для обмена предоставлены пользователями сайта.