Сиди ковыряй.

mtproto.js

++

отправил тут только что сообщение с куче нолей

Ёпта.

На JS заебашили даже.

в это время сниффил

Для самых погорелых.

протокол - ssl, нулей там нигде нет

я просто серьезно чего-то не понимаю

а как сообщение в секретном чате доставлются, если через сервера не проходят?

как провайдер может читать мои сообщения тут по-вашему??

У тебя на скрине нет тела запроса.

ладно на сервере

а как сообщение в секретном чате доставлются, если через сервера не проходят?

Напрямую

как провайдер может читать мои сообщения тут по-вашему??

Ну если он не умеет пользоваться Wireshark'ом, то, наверное, никак.

Напрямую

как?

Можно проще поступить.

IP серверов телеги.

как это возможно без сервера?

Перенаправить на свои.

И всё.

У тебя на скрине нет тела запроса.

на скрине нет, но там нет нолей могу кинуть дамп

а как сообщение в секретном чате доставлются, если через сервера не проходят?

P2P.

Поэтому они и отличаются от остальных.

всё, завязывай. если хочешь дам тебе адрес профильной конфы. но лучше почитай для начала нубогайды по перехвату СОБСТВЕННОГО ssl траффика в том же известном журнале. самом известном в россии.

Так как там схема другая.

Там есть handshake и прочее говно.

Сравнение ключей.

на скрине нет, но там нет нолей могу кинуть дамп

там все в 16ричном, нули также

Моего и твоего (когда мы в секретном чате).

P2P.

я вкурсе какая техноголия использует, как объясни в нескольких словах

всё, завязывай. если хочешь дам тебе адрес профильной конфы. но лучше почитай для начала нубогайды по перехвату СОБСТВЕННОГО ssl траффика в том же известном журнале. самом известном в россии.

ну я понимаю как сниффить свой траффик, там подменяется сертификат но провайдер то не может этого сделать!

Так это же всё объясняет уже. Когда мы общаемся в секретном чате, то дата пинается между нами.

При этом и твой и мой компьютер проверяют ключи друг друга.

Делают handshake'и и считывают подписи.

Тем самым обеспечивая безопасность соединения именно между нами двумя.

В групповых чатах и ОБЫЧНЫХ личных - это работает по-другому.

ну я понимаю как сниффить свой траффик, там подменяется сертификат но провайдер то не может этого сделать!

провайдер может всё

только тсс

?

Ты отправляешь сообщение на сервак в Telegram.

ну я понимаю как сниффить свой траффик, там подменяется сертификат но провайдер то не может этого сделать!

Может, если у него есть доступ к подписыванию палёного сертификата, чтобы жертва не осознала.

Он (сервер) broadcast'ом рассылает остальным.

там все в 16ричном, нули также

а не в HEX?

сорм-2 кто-нибудь видел вживую?

Может, если у него есть доступ к подписыванию палёного сертификата, чтобы жертва не осознала.

да, но у него ведь нету доступа к моему компу само собой митмить можно что угодно

провайдер может всё

Да в том числе и серты подменить и трафик куда надо направить.

а не в HEX?

это разве не одно и то же?

а не в HEX?

16ричный и есть HEX.

Казахстан и Китай - очень хорошие примеры.

мой затуп(

Да в том числе и серты подменить и трафик куда надо направить.

вот и я про что ) странные вопросы у Тёмы )

Казахстан и Китай - очень хорошие примеры.

как провайдер подменит сертификат если я руками рут не установлю?

Да в том числе и серты подменить и трафик куда надо направить.

провайдер такое может?

как провайдер подменит сертификат если я руками рут не установлю?

Слушай, ну ты смеёшься что ли?

провайдер такое может?

Провайдер может ВСЁ.

да, но у него ведь нету доступа к моему компу само собой митмить можно что угодно

И что? Он может перенаправить запрос на сторонний сервер, подписав его, как нужный, а там уже организовать хэндшейк от твоего имени.

Особенно магистраль.

Провайдер может ВСЁ.

да, но такое, это уже слишком...

Надо p2p mesh messenger

ооо, доброе утро. только узнали... пипец )

ребят, серьёзно, завязывайте )

PGP никто не отменял кстати

ну значит не зря подписался Incognito Man

мы обменивались мессагами шифроваными PGP еще во времена uucp

ERROR: S client not available

И что? Он может перенаправить запрос на сторонний сервер, подписав его, как нужный, а там уже организовать хэндшейк от твоего имени.

но я то увижу что я не по ssl связываюсь с ним?

PGP никто не отменял кстати

Выпиливаешь с компа центры сертификации и доверяешь только лично виденным людям, ага.

Хочу Baklan Messenger.

или по ssl но с херовым сертификатом

Хочу Baklan Messenger.

? ?

но я то увижу что я не по ssl связываюсь с ним?

Ты будешь связываться по ssl. С нормальным сертификатом даже.

? ?

Всегда закрыт -> безопасный.

?

Если у провайдера, конечно, есть, чем его подписать.

В том-то и прикол приватных ключей от корневых центров сертификации.

самая безопасная система - система без подключения к сети

Если у провайдера, конечно, есть, чем его подписать.

ну вот! но откуда у провайдера есть чем подписать, чтобы у меня оно в траст сторе было??

ну вот! но откуда у провайдера есть чем подписать, чтобы у меня оно в траст сторе было??

Большим провайдерам такое частенько предоставляют по необходимости :)

и тем более, если у меня трастед не несколько десятков, а ОДИН сертификат от одного CA, если речь о телеге например?

Особенно, если спецслужбам оно тоже хотелось бы.

ладно, ладно, но Дуров же предусмотрел все это? Разве нет? То что провайдер может много чего, и другое

и тем более, если у меня трастед не несколько десятков, а ОДИН сертификат от одного CA, если речь о телеге например?

Тут уже проблема. Решаемая паяльником, например :)

который уже вшит в приложение телеги, наверняка

ладно, ладно, но Дуров же предусмотрел все это? Разве нет? То что провайдер может много чего, и другое

Ты издеваешься?

чьо?

Тут уже проблема. Решаемая паяльником, например :)

ну вот! плюс есть же всякие прелести как hpkp например...

и тем более, если у меня трастед не несколько десятков, а ОДИН сертификат от одного CA, если речь о телеге например?

Опять же, я имел в виду в целом сеть, а не конкретно телеграм с одним СА :)

Ты издеваешься?

почему?

Опять же, я имел в виду в целом сеть, а не конкретно телеграм с одним СА :)

ну я понимаю) ну просто изначально то я срач и начал исходя из утверждения, что провайдер не может читать мои сообщения отправленные из телеги.

Ты вообще можешь быть параноиком и никому не доверять, обмениваясь пгп на собраниях анонимных шифропанков.

ну я понимаю) ну просто изначально то я срач и начал исходя из утверждения, что провайдер не может читать мои сообщения отправленные из телеги.

Вообще да, вряд ли провайдер так просто что-то из телеги прочитает, сильно сомневаюсь, что в телегу вшита куча доверенных СА

Вообще да, вряд ли провайдер так просто что-то из телеги прочитает, сильно сомневаюсь, что в телегу вшита куча доверенных СА

ну вот блин я об этом с самого начала и говорю, да

С другой стороны, а откуда ты знаешь, что провайдер тебе не подменил страничку маркета и не выдал левую телегу? ?

С другой стороны, а откуда ты знаешь, что провайдер тебе не подменил страничку маркета и не выдал левую телегу? ?

потому что качал его из эппл апп стора)

а там тоже думаю не так много доверенных CA)

Слишком много точек отказа :)

А вообще