а сори

такого нет

такого нет

прикольно удалилось)

тогда такой вопрос. Я могу ботом идентифицировать разговор, чтобы доверять контенту. А можно мимикрировать под другого абонента?

вопросы непонятны)

нет

нельзя

всё нельзя

это тока мне нельзя?) хотя если засниффить и заслать тот же пакет ничего наверное не сделать..

Всё что "автоматизировано" можно логать

бот примет какая разница кто послал то...

еще один ботодел для рампы или что?

еще один ботодел для рампы или что?

не, я про свое.

тогда такой вопрос. Я могу ботом идентифицировать разговор, чтобы доверять контенту. А можно мимикрировать под другого абонента?

вот этот вопрос можно понятнее?

вот этот вопрос можно понятнее?

как я понимаю, когда бот отправляет сообщение, в запросе указывается разговор. Обратную связь я еще не делал, но подозреваю что абонент, оторый боту что-то заслывает тоже укажет этот ID разогора или еще какую инфу, позволяющюу его идентифицировать. Если все открыто и сниффится, то кто угодно зашлет с теми же данными месседж и, тем самым, мимикрирует под этого абонента. Вопрос в том, может есть еще какой скрытый инструмент валидации, на техн. уровне, который не позволит вот так на шару заслать с другого девайса боту инфу, закосив под другого абонента. Надеюсь смог объяснить понятнее

mtproto

у каждого пользователя уникальный id

у каждого пользователя уникальный id

так если он сниффится и заслыай его - уникальный

так если он сниффится и заслыай его - уникальный

бот получает строку from_user с уникальным id

тебе нужно залогиниться под чужим номером чтобы иметь тот же id

как я понимаю, когда бот отправляет сообщение, в запросе указывается разговор. Обратную связь я еще не делал, но подозреваю что абонент, оторый боту что-то заслывает тоже укажет этот ID разогора или еще какую инфу, позволяющюу его идентифицировать. Если все открыто и сниффится, то кто угодно зашлет с теми же данными месседж и, тем самым, мимикрирует под этого абонента. Вопрос в том, может есть еще какой скрытый инструмент валидации, на техн. уровне, который не позволит вот так на шару заслать с другого девайса боту инфу, закосив под другого абонента. Надеюсь смог объяснить понятнее

нужно лезть в потроха mtproto и смотреть как оно там реализовано

тебе нужно залогиниться под чужим номером чтобы иметь тот же id

вопрос про перехват же :)

да, вопрос про перехват

я до сих пор не понял, лел

короче

проблема только в аккаунтах

тут самое уязвимое, на самом деле - это приложение-бот, потому что это сервер, который получает запросы, и если не ограничить список IP-адресов, то кто угодно может мимикрировать под телеграм и отсылать апдейты

если человек дал свой смартфон другому, а тот открыл у него telegram приложение. тто ты ничег оне сделаешь

тут самое уязвимое, на самом деле - это приложение-бот, потому что это сервер, который получает запросы, и если не ограничить список IP-адресов, то кто угодно может мимикрировать под телеграм и отсылать апдейты

так логаться то всё равно надо

можно покурить логины mtproto

если человек дал свой смартфон другому, а тот открыл у него telegram приложение. тто ты ничег оне сделаешь

ну можно еще паяльник в одно место сунуть и заставить зозяина нажимать кнопки.. это понятно не про то говорим

так логаться то всё равно надо

мы чет с тобой вообще про разное говорим

мы чет с тобой вообще про разное говорим

поясни, чего он хочет

поясни, чего он хочет

Он уже развернуто пояснил, вроде)

ну я и отвечаю на его вопрос

у человека есть юзер и бот

нужно точно определять, что это именно тот юзер

ну я и отвечаю на его вопрос

нет, ты отвечаешь на что-то своё, на уровне телеграма и бота, а не пакетов)

нет, ты отвечаешь на что-то своё, на уровне телеграма и бота, а не пакетов)

без авторизации ничего не сделать, я же уже говорил

.session файл

Я лучше тебе объясню что я имею в виду: У тебя хостится бот на сервере, получает обновление по вебхуку. Когда пользователь пишет в телеграм боту, с телеграм-серверов приходит запрос на твой вебхук, где сказано кто и че написал. Если кто-то узнает адрес вебхук-урл, а в коде не будут ограничены ip-адреса серверов, то злоумышленник сможет слать запросы "от пользователя"

без авторизации ничего не сделать, я же уже говорил

ты отправляешь пакет телеграму по сети. что мешает его перехватить, подменить на ходу, и отправить уже измененный дальше?

пока никто не перехватил чета

пока никто не перехватил чета

та ну?)

а зачем секретные чаты тогда?)

с end2end?)

ты отправляешь пакет телеграму по сети. что мешает его перехватить, подменить на ходу, и отправить уже измененный дальше?

если так, что будет грустно. А как вариант, чтобы в другое время кто не подстроился и не заслыла надо клю другим каналом слать, получается

ключ?

да, это называется end2end шифрование и оно есть в секретных чатах)

ну и с двух сторон его обрабатывать. А ключ отдельным приложением. Ну типа проль доступа - как динамический ключ на сигналке. Сначала сервер его генерит, потом другим способом заслыает его клиенту, киент в свое сообщеиние для бота вставляет его. Бот подтягивает этот ключ и принимает команду. По IP не получится, соты меняются, WIFI и прочее...

или я чего не так думаю про IP???

ну вообще бот-платформа ну никак не предназначена для супер секретной информации

она все равно проходит через сервера телеграма

да, это называется end2end шифрование и оно есть в секретных чатах)

можо и не шифровать, я ж не скрываю что пишу. Мне галвное - валидация адрессата

валидация адресата - да как хочется

хоть уникальную урл давать ему

есть deep linking, можно давать ссылку на бота с небольшим payload, которая придет боту при нажатии на start

или надо при каждом сообщении проверять?

зачем такие сложности для рампы

кому вы нужны

валидация адресата - да как хочется

я к тому, что не повторить. Но если перехват и тут же слать - то да, пипец

кому вы нужны

что такое рампа? я думаю телеграм прикрутить к урпавлению умным домом. И не хочу давать потенцилаьную возможность кому угодно включить или выкл свет в сотрире хояина когда он в нем сидит

ну кто-то хочет перехватывать твои пакеты к телеграму?

кому вы нужны

еще раз. я не хочу скрывать что пишу. это не секрет. важна только валидация.

думаю достаточно просто защитить аккаунт от телеграма)

и сервер с приложением, которое будет "ботом"

А можно секретный чат с ботом создать?

От кого шифроваться собрался?

ну либо использовать tg cli + секретные чаты, но боюсь это совсем того не стоит

да понятно все, я малодушно уточняю, может можно настроить client-client))

Возьми и просто в личку напиши оппоненту

думаю достаточно просто защитить аккаунт от телеграма)

так а при чем тут акк? Если можно пакет заслать и тупо повторить? Я может чего недопонимаю, мало я знаю телеграм(

всё нельзя

За бабки и колёса банановым вкусом накачивают

так а при чем тут акк? Если можно пакет заслать и тупо повторить? Я может чего недопонимаю, мало я знаю телеграм(

можно, но это сложно, муторно, это должно принести прибыль и иметь смысл

а как ТГ защищен от клонов акк? Я вот поставил спокойно ТГ на планшет с другой симкой

а как ТГ защищен от клонов акк? Я вот поставил спокойно ТГ на планшет с другой симкой

от клонов никак

а как ТГ защищен от клонов акк? Я вот поставил спокойно ТГ на планшет с другой симкой

На уровне номера телефона аккаунта

На уровне номера телефона аккаунта

который я сам ввожу. ну понятно смс

от клонов никак

Не путай с клоунами ? ?

За бабки и колёса банановым вкусом накачивают

Люблю банановые ароматизаторы

который я сам ввожу. ну понятно смс

+ можно поставить пароль

тут и нужна двухэтапная валидация? Чтоб у челов был толко номер, например, мыла не было?

тогда на другом устройсте они мой акк не зарегят в тг?

не понимаю о чем ты)

не понимаю о чем ты)

авторизация в смысле, двухэтапная. Она помешает человеку, имеющую копию симки моей свободно войти в акк?

да, ему ещё нужен будет пароль

да, ему ещё нужен будет пароль

ага, понял. А такой вопрос. Если у меня два устройства, на них я с одного акк сижу. Я когда боту что-то зашлю, ну понятно, что серверу, который отправит дальше боту, так вот бот или сервер где-нибудь получит инфу с какого устройства пришел мессдж? или ID, и все

id и всё

если нужна защищенность и разделение клиентов - то предлагаю реализовать на tg cli с секретными чатами

если нужна защищенность и разделение клиентов - то предлагаю реализовать на tg cli с секретными чатами

я не знаю что это(

это консольная утилита, с помощью которой можно работать аля обычный клиент телеграма

то есть иметь доступ ко всем фишечкам обычного телеграма, типа инициировать чат, вступать в чатики, начинать секретные чаты

но она устарела, сложная и вообще я не уверен что tg cli умеет в секретные чаты

мм... интеречно.. то есть я могу вместо того, чтобы на сервере слать боту сообщ, а он клиенту, создать процесс, с ними работать?

не понял

но она устарела, сложная и вообще я не уверен что tg cli умеет в секретные чаты

ясно

я тебя реально через сообщение понимаю)

не понял

Да ладно, я тоже через лсово понимаю) себя) шутка) У меня сейчас нотификация с дома организована через бота телеграма. Что-то произошло, мой сервер, который вд оме, следить за всем, шлет http геты боту телеграма, что бы этот бот заслал клиенту инфу - типа пожар там-то

будет тоже самое, только приложение будет слать по бинарному протоколу телеграму

а про секретные чаты вообще не всекаю

а то что ты говоришь, это на моем сервере развернуть еще миничат и через енго засылвать