И юзернеймы разные

другой вопрос ща в дефолтном варианте боты поддерживают шифрование? У меня есть подозрение что нет. Тогда PCI DSS на такие цели не получишь или у тебя тупо его заберут

я про то что никто из бандерлогов не смотрит на это ID есои интерфейсы совпадают .. и обратная сторона медали .. кто всетки хоть чтото понимает 3 раза подумает вводить цвв в какогото бота или найти нормального бота который отправляет на знакомый эквайринг какогонть киви или альфабанка ..

Если ты своих юзеров считаешь тупыми, делай инструкцию в картинках

другой вопрос ща в дефолтном варианте боты поддерживают шифрование? У меня есть подозрение что нет. Тогда PCI DSS на такие цели не получишь или у тебя тупо его заберут

Жди нативную платёжку и API для неё

я чот читал что собираются запилить payment bot api.. встроенный в телеграмм

Ну да

Жди, скоро появится

но я имею в виду, что странно что другие не подсуетились

только шифрование - проблема?

Говорили, что Viber в этом месяце запустит

на хрен вообще в телеграме сделали разделение секрет чатов... сделали бы на все шифрование и все....

Если ты своих юзеров считаешь тупыми, делай инструкцию в картинках

при чем тут я .. я просто пишу процессинговых ботов .. и когда напишешь их много понимаешь что интерфейс нада делать из трех кнопок "Хочу" "НЕ хочу" и "Выключить и пойти пожрать" .. если бует 4 кнопка они обязательно запутаются .. это просто опыт ничего личного ..

пусть весь траффик шифруется )

при чем тут я .. я просто пишу процессинговых ботов .. и когда напишешь их много понимаешь что интерфейс нада делать из трех кнопок "Хочу" "НЕ хочу" и "Выключить и пойти пожрать" .. если бует 4 кнопка они обязательно запутаются .. это просто опыт ничего личного ..

Ну так если опыт, значит, ищи решения, при которых четыре кнопки не смогут запутать пользователей :)

Если не можешь их обучить, подстраивайся

короче думаю тут обсуждать тупость юзеров глупо )))) кто хочет чтоб его обманули, его обманут. Да и тут в телеграмме в основном пока публика кулхацкеров сидит

бабулек и дедулей вроде не встречал

короче так и не понятны 2 вещи. Почему шифруется в Tg не весь траффик. Почему не нашелся умник кто намутит паймент бота "не отходя от кассы".

Кстати бот может Secret chat создавать?

Нет

Бот даже группы создавать не умеет

Это приватный чат

Telegram's Bot API does not support secret chats at the moment. You can read the documentation, but a short explanation is: end-to-end encryption is used in secret chats which is tricky to implement for bots and requires additional work. There's no word on when it'll be supported, if ever. At any rate, Telegram Bots are generally meant as a useful aid or for fun, not for sensitive things like financial transactions.

ну вот гумоз, поэтому никто и не реализовал

Ну и правильно

Вот если они предоставляли платные возможности или сервисы тогда да

Собственно, Payments API закрывает этот недостаток

Ну и правильно

ага, Пашка раньше времени бабки терять не хочет )))

Собственно, Payments API закрывает этот недостаток

угу. О святой грааль

угу. О святой грааль

Почему?

потому что всех надули в очередной раз )

ну типа распиарили этот телеграмм типа как киберсекурная разработка )

а тут даже боты не могут траффик шифровать

Хз, где тебя надули, обратись к тому, кто надувал, пусть сдует.

Хз, где тебя надули, обратись к тому, кто надувал, пусть сдует.

злой же ты

Да нет, просто реально непонятно, где обманули. Есть секретные чаты, вот тебе секурно. Боты делаются сторонними разработчиками, так что даже если бы можно было создавать секретные чаты с ботами, тебе никто не даст гарантию, что на том конце провода данные не читает абстрактный товарищ майор.

Да нет, просто реально непонятно, где обманули. Есть секретные чаты, вот тебе секурно. Боты делаются сторонними разработчиками, так что даже если бы можно было создавать секретные чаты с ботами, тебе никто не даст гарантию, что на том конце провода данные не читает абстрактный товарищ майор.

хм. Логика есть. Блин просто тут отличается конечно же "чат с шифрованием" и "секурный чат"...

просто получается разные вещи это

Ну по умолчанию все чаты "с шифрованием", но не "секретные"

С шифрованием для стороннего наблюдателя, очевидно

т.е. по умолчанию по защищенному протоколу сообщения передаются или что?

тогда в чем разница тогда тут секретных от не секретных...

бабулек и дедулей вроде не встречал

смотря в какой стране

может на другом конце так и сидит дядя майор, но общается в секретном чате

может на другом конце так и сидит дядя майор, но общается в секретном чате

я бы кстати на его месте так и делал бы.. гы

смотря в какой стране

ну хз ) статистики у меня нет

по наблюдениям - в англоязычных пабликах и русских старичков не видел

т.е. по умолчанию по защищенному протоколу сообщения передаются или что?

По умолчанию весь трафик между тобой и телегой шифруется, шифруются сообщения на сервере, НО СЕРВЕР ЗНАЕТ КЛЮЧ. Подразумевается, что ключ шифрования знает только серверное ПО, при этом физически все данные, включая ключ разбиты под дата-центрам в разных частях мира. Сообщения лежат на сервере. В секретных чатах предварительно генерируются пары ключей и сообщения лежат на сервере до момента получения их вторым пользователем, после чего сразу удаляются. При этом сервер НЕ ЗНАЕТ ключи шифрования, для него это просто шифртекст. Сообщения лежат только на двух устройствах

У меня тоже. Но если вижу бабульку и дедульку на улице со смартофоном (у нас), то с вероятностью 90% там есть тг

По умолчанию весь трафик между тобой и телегой шифруется, шифруются сообщения на сервере, НО СЕРВЕР ЗНАЕТ КЛЮЧ. Подразумевается, что ключ шифрования знает только серверное ПО, при этом физически все данные, включая ключ разбиты под дата-центрам в разных частях мира. Сообщения лежат на сервере. В секретных чатах предварительно генерируются пары ключей и сообщения лежат на сервере до момента получения их вторым пользователем, после чего сразу удаляются. При этом сервер НЕ ЗНАЕТ ключи шифрования, для него это просто шифртекст. Сообщения лежат только на двух устройствах

а при этом сам ключ не через сервер передается?

По умолчанию весь трафик между тобой и телегой шифруется, шифруются сообщения на сервере, НО СЕРВЕР ЗНАЕТ КЛЮЧ. Подразумевается, что ключ шифрования знает только серверное ПО, при этом физически все данные, включая ключ разбиты под дата-центрам в разных частях мира. Сообщения лежат на сервере. В секретных чатах предварительно генерируются пары ключей и сообщения лежат на сервере до момента получения их вторым пользователем, после чего сразу удаляются. При этом сервер НЕ ЗНАЕТ ключи шифрования, для него это просто шифртекст. Сообщения лежат только на двух устройствах

и получается в таком варианте у не секурных чатов все исходящие сообщения изначально в незашифрованном виде

а при этом сам ключ не через сервер передается?

Почитай про end-to-end encryption, пожалуйста, а также о том, что передаётся по сети, а что всё время находится локально и не покидает пределы устройства

Почитай про end-to-end encryption, пожалуйста, а также о том, что передаётся по сети, а что всё время находится локально и не покидает пределы устройства

SSL это End-to-end или нет?

Это хомяк и пакет

Косвенно могут быть друг с другом как-то связаны, но в целом разные вещи

а блин, гемморойно для понимания.. я не до конца до сих пор представляю как SSL работает, хотя много раз пробовал читать про это... а уж End-to-end вообще неясно. ведь отправляя буллшит по сети, на другом конце должны знать как это буллшит расшифровать...

http://www.youtube.com/watch?v=tdXzMVkpRTw

все равно нихера непонятно. Как они обмениваются ключами?

все равно нихера непонятно. Как они обмениваются ключами?

Ключи не передаются вообще. Они генерируются совместно обоими сторонами по алгоритму Диффи-Хеллмана. В интернете полно статей о том как это работает, в т.ч. и на пальцах. "обмен" ключами скорее всего происходит через основной протокол, а уже после этого устанавливается канал для передачи голоса.

Да, я тоже раньше не понимал как это работает и говорил что тг врут и ключи у них есть Потом почитал про алгоритм и охуел

вот значит ключи можно спиздить в любом случае...

особенно если 2 стороны слушаешь...

они же обмениваются! а значит этот траффик уходит в сеть

вот значит ключи можно спиздить в любом случае...

Нельзя. Но можно вклиниться в передачу данных так, чтобы слушать обоих. Это называется атака man-in-the-middle.

они же обмениваются! а значит этот траффик уходит в сеть

еще раз, они НЕ обмениваются ключами.

> "обмен" ключами скорее всего происходит через основной протокол, а уже после этого устанавливается канал для передачи голоса.

Обмен - это терминология.

ну ты ж говоришь "обмен" ключами.. Есть public key на сервере и на клиентах есть private key (у каждого клиента свой же)...

на самом деле обмен происходит не ключами, а параметрами алгоритма для генерации идентичных ключей на обоих сторонах

прослушивающему ничего этот обмен не даст - он не сможет получить идентичный ключ

атака возможна только в том случае, если канал данных можно перехватить и замкнуть на себя

прослушивающему ничего этот обмен не даст - он не сможет получить идентичный ключ

как это? Он же может подслушать параметры

соотвественно сгенерировать ключ у себя

параметры подслушать может, но это ему не позволит сгенерировать ключ

выше на рисунке на примере смешивания красок показано как это работает

почитай что ли википедию, погугли статьи на хабре и видео - их есть много, где объясняется как этот алгоритм работает на простых примерах

ну это понятно что там какая-то конкатенация происходит...

просто суть в том что допустим я буду слушать обоих клиентов и получать с обоих траффик

как входящий так и исходящий

если ты будешь слушать обоих - то это тебе ничего не даст

чтото сделать можно, если ты встанешь посередине между ними

блин, я не понимаю. Если я получаю все что получают и отсылают они, значит я могу расшифровать ключ и применить его, чтобы расшифровать сообщение..

окей как алгоритм называется?

нет не можешь

Диффи-Хеллмана

?

да

поскольку здесь злоумышленник встретится с практически неразрешимой (за разумное время) проблемой вычисления

почему неразрешимой? они оба же могут вычислить значение...

??‍♂️

а что мешает также посчитать нашему камраду также значение...

ну так иди и вычисли, фиг ли...

Какой же ты упорный

бля терь понял

черт это геморрой да

?

просто на одной из сторон вычисляется конкатенация и она может в открытом виде так отправляться, а разобрать вторую часть сообщения настооок гемморойно что я б и не стал пробовать

можешь попробовтаь