|
использование telegram бота
|
|||
---|---|---|---|
#18+
вадя mayton В большистве соц-сетей ЕМНИП используется протокол OAuth. А это тебе - ни хер собачий. Это стандарт над которым долго думали. нажимаю ВОЙТИ открывается окошко ВОЙТИ выбираю с помощью Facebook требует электронный адерс или номер телефона и пароль смысл? Смысл в том что хабр делегирует задачу установления личности социальной сети фейсбук. Хабру пофиг. Он просто спроашивает - данный анонимос действительно вадя или нет. Вот и все. ... |
|||
:
Нравится:
Не нравится:
|
|||
24.07.2020, 16:03 |
|
использование telegram бота
|
|||
---|---|---|---|
#18+
mayton Смысл в том что хабр делегирует задачу установления личности социальной сети фейсбук. Хабру пофиг. в моём случае не требуется ничего такого..... я считываю открытый код - и отправляю телега осуществляет своё прямое назначение тащит открытый код по своим закрытым каналам (рекламировать эти каналы нет необходимости) мой сервер просто соотносит код/сессию/ChatId/телефон - и отдаёт нужные страницы просто Вот и всё. ... |
|||
:
Нравится:
Не нравится:
|
|||
24.07.2020, 16:50 |
|
использование telegram бота
|
|||
---|---|---|---|
#18+
(разводя руками) Я не спец в телеграм-технологиях. Но вообще то что ты строишь пока имеет вид "народных рецептов" или советов типа "хозяйке на заметку". Работает? И ладньенько. Ты же пришел сюда... я надеюсь за этим? Не за экспертизой по безопасности? ... |
|||
:
Нравится:
Не нравится:
|
|||
24.07.2020, 16:56 |
|
использование telegram бота
|
|||
---|---|---|---|
#18+
mayton Я не спец в телеграм-технологиях. mayton Но вообще то что ты строишь пока имеет вид "народных рецептов" mayton Не за экспертизой по безопасности? но пока только услышал нечто подобное тому что слышал про ws лет 9 назад. WhatsApp использует аналогичное - только он публикует не число , а qr-код принципиально это ничего не меняет. он использует своё приложение для отправки на свой сервер кода, я использую телегграм для отсылки кода на свой сервер. WhatsApp использует своё шифрование - телеграм своё. WhatsApp считается нормальным авторизатором, а мой вариант? ... |
|||
:
Нравится:
Не нравится:
|
|||
24.07.2020, 17:12 |
|
использование telegram бота
|
|||
---|---|---|---|
#18+
Да я ничего. Я просто сижу тут. Жду комментариев других. ... |
|||
:
Нравится:
Не нравится:
|
|||
24.07.2020, 17:21 |
|
использование telegram бота
|
|||
---|---|---|---|
#18+
вадя Вот и всё. 20 запросов в минуту. Вот и всё. Обсуждать нечего, это ни на что не годится, кроме хипсторских поделок на 3.5 человека. ... |
|||
:
Нравится:
Не нравится:
|
|||
24.07.2020, 17:35 |
|
использование telegram бота
|
|||
---|---|---|---|
#18+
crutchmaster 20 запросов в минуту. Вот и всё. Обсуждать нечего, это ни на что не годится, кроме хипсторских поделок на 3.5 человека. если ты будешь со своего телефона "бомбить" бот - первым делом твои "запросы" достанут сервер телеги, и этот сервер забанит тебя, твой телефон. до моего сервера не дойдет. да что такое 20 запросом серверу? если ты будешь обновлять страницу чтоб загрузить мой сервер - так я забаню твой ip. и делов то. ... |
|||
:
Нравится:
Не нравится:
|
|||
24.07.2020, 17:40 |
|
использование telegram бота
|
|||
---|---|---|---|
#18+
вадя crutchmaster 20 запросов в минуту. Вот и всё. Обсуждать нечего, это ни на что не годится, кроме хипсторских поделок на 3.5 человека. если ты будешь со своего телефона "бомбить" бот - первым делом твои "запросы" достанут сервер телеги, и этот сервер забанит тебя, твой телефон. до моего сервера не дойдет. Почему он забанит? На каком основании? ... |
|||
:
Нравится:
Не нравится:
|
|||
24.07.2020, 17:46 |
|
использование telegram бота
|
|||
---|---|---|---|
#18+
вадя если ты садишься за чужой комп То вся твоя работа скомпрометирована. Разговаривать больше не о чём. да и многие ли дадут подключить свой телефон к чужому компу? Считыватель в usb или синезуб. Если рабочий комп потенциально скомпрометирован и это не прокси, разговор, опять таки, не имеет смыла. вадя тут скорее дудосника закроют. Удачи с поисками дудосника. вадя ну а имена бота можно сменить/иметь про запас для таких умников Да, будешь давать своим клиентам пачку контактов ботов, чтобы они могли к тебе зайти. Оч. удобно. вадя ты путаешь области применения и уровни защиты Нет же. В гитхаб давно можно ходить по ssh ключу. Все нормальные админы тоже ходят по ssh ключу на сервера. Никто не вбивает никуда никакие пароли. Зачем это делать? Зачем ходить куда-то с чужих устройств? ... |
|||
:
Нравится:
Не нравится:
|
|||
24.07.2020, 17:47 |
|
использование telegram бота
|
|||
---|---|---|---|
#18+
mayton Почему он забанит? На каком основании? ... |
|||
:
Нравится:
Не нравится:
|
|||
24.07.2020, 17:47 |
|
использование telegram бота
|
|||
---|---|---|---|
#18+
вадя о каких запросах ты говоришь? запросов от кого? кому? От кучи валидных юзеров твоему хромому боту. Юзер раз в 3 секунды - это не нагрузка. ... |
|||
:
Нравится:
Не нравится:
|
|||
24.07.2020, 17:48 |
|
использование telegram бота
|
|||
---|---|---|---|
#18+
вадя mayton Почему он забанит? На каком основании? Это на хероку такие настройки по умолчанию? ... |
|||
:
Нравится:
Не нравится:
|
|||
24.07.2020, 17:50 |
|
использование telegram бота
|
|||
---|---|---|---|
#18+
crutchmaster То вся твоя работа скомпрометирована. Разговаривать больше не о чём. crutchmaster Нет же. В гитхаб давно можно ходить по ssh ключу. Все нормальные админы тоже ходят по ssh ключу на сервера. crutchmaster Зачем ходить куда-то с чужих устройств? ... |
|||
:
Нравится:
Не нравится:
|
|||
24.07.2020, 17:54 |
|
использование telegram бота
|
|||
---|---|---|---|
#18+
mayton Это на хероку такие настройки по умолчанию? ... |
|||
:
Нравится:
Не нравится:
|
|||
24.07.2020, 17:55 |
|
использование telegram бота
|
|||
---|---|---|---|
#18+
crutchmaster От кучи валидных юзеров твоему хромому боту вопрос дойдут ли столько с сервера телеги - где ты найдёшь стока телеграм клиентов чтоб организовать такую атаку? напишешь клиентов-ботов-вирусов и разошлёшь их кучи лохов? которые без телефона-номера будут бомбить сервер телеграм? ты ваще в теме что такое телеграм? ... |
|||
:
Нравится:
Не нравится:
|
|||
24.07.2020, 18:01 |
|
использование telegram бота
|
|||
---|---|---|---|
#18+
Мы уклонились куда-то не в ту сторону. Я еще раз попробую предложить отвернуться от бота в сторону уже существующих коробочных решений для многофакторки. Программный генератор токенов. Ставится на все телефоны. Можно по таймеру. Можно через push сообщения подтвержать вход в акк. https://play.google.com/store/apps/details?id=com.duosecurity.duomobile И еще одно такое же приложение по смыслу https://play.google.com/store/apps/details?id=com.azure.authenticator ... |
|||
:
Нравится:
Не нравится:
|
|||
24.07.2020, 18:35 |
|
использование telegram бота
|
|||
---|---|---|---|
#18+
mayton Мы уклонились куда-то не в ту сторону. Я еще раз попробую предложить отвернуться от бота в сторону уже существующих коробочных решений для многофакторки. Программный генератор токенов. Ставится на все телефоны. Можно по таймеру. Можно через push сообщения подтвержать вход в акк. нужен телефон во всех случаях. в любых вариантах надо приложение в отличии от второго варианта - мой можно поставить на любую ось. чем мой вариант не "коробочный"? что в нем то? задача в чем - соотнести конкретного юзера с его реквизитами на своём сервере как это будет сделано без разницы у нас есть хорошо закрытый канал от клиента до нашего сервер на странице видим код - сервер связал этот код с сессией у насесть устройство, которое мы можем однозначно идентифицировать на нашем сервере видим код - с нашего устройства передаем по защищённому каналу к нам на сервер - где видим связку - устройство-код однозначно определяющих с откуда пришёл код ну и далее.... принцип один и тот же разница в деталях ... |
|||
:
Нравится:
Не нравится:
|
|||
24.07.2020, 19:07 |
|
использование telegram бота
|
|||
---|---|---|---|
#18+
PS телеграм хорошо себя зарекомендовал - и защищённостью канала и стойкостью к блокировкам как поведёт себя Microsoft Authenticator в подобных условиях не понятно да и токены тоже под вопросом ... |
|||
:
Нравится:
Не нравится:
|
|||
24.07.2020, 19:12 |
|
использование telegram бота
|
|||
---|---|---|---|
#18+
Сравнение будет для нас очень сложным скорее всего. Надо рисовать матрицу фич. FeatureАвторизация на генераторе токеновАвторизация на базе телеграм бота И считать какие фичи важные и какие нет. Или считать их общее количество. ... |
|||
:
Нравится:
Не нравится:
|
|||
24.07.2020, 19:33 |
|
использование telegram бота
|
|||
---|---|---|---|
#18+
вадя мне так админить удобно. Ну, аргумент понятен. ... |
|||
:
Нравится:
Не нравится:
|
|||
24.07.2020, 19:51 |
|
использование telegram бота
|
|||
---|---|---|---|
#18+
вадя да и токены тоже под вопросом Токены это всё равно, что p2p. Юзер что-то подписал своим ключом - значит это он. ... |
|||
:
Нравится:
Не нравится:
|
|||
24.07.2020, 19:52 |
|
использование telegram бота
|
|||
---|---|---|---|
#18+
вадя мой хромой бот у меня на сервере может выдержать и 2000 обращений. Телега не выдержит больше 20. Хочешь больше - плати Пашке. Т.е. мы скатываемся в вариант с смс. ... |
|||
:
Нравится:
Не нравится:
|
|||
24.07.2020, 19:54 |
|
использование telegram бота
|
|||
---|---|---|---|
#18+
Очень многие вещи в It делаются нидлячего. Просто айтишники это невыросшие дети у которых - самые дорогие и ресурсоёмкие игрушки в информационном смысла. ... |
|||
:
Нравится:
Не нравится:
|
|||
24.07.2020, 19:55 |
|
использование telegram бота
|
|||
---|---|---|---|
#18+
mayton, давай пиши про токены, я про бота - защита и стойкость - проверены - отсутствие каких-либо логинов/паролей. - тел юзера прописывается админом на сервере, юзер с помощью бота регистрирует ChatId на сервере (возможен вариант и саморегистрации номера юзером) - при заходе на страницу видим только код - длина кода роли практически не несёт - хацкер может сколь угодно обновлять страницу - сделать ограничение на количество и фильтровать - хацкер может многократно слать сообщения боту с кодом - простая фильтрация по его ChatId - дальше обработчика onUpdateReceived он не пройдёт - большой нагрузки через бот не создать - подключить множество ботов для атаки на одного бота - можно - но бесполезно - сервер получил код - отправил страницу - значит сессия привязана к номеру телефона т.е. к конкретному юзеру. - командой боту можно закрыть страницу - командами бота можно управлять данными на странице - бот можно использовать как клавиатуру для ввода на страницу ... |
|||
:
Нравится:
Не нравится:
|
|||
24.07.2020, 20:07 |
|
использование telegram бота
|
|||
---|---|---|---|
#18+
crutchmaster Телега не выдержит больше 20. Хочешь больше - плати Пашке. Т.е. мы скатываемся в вариант с смс. https://tlgrm.ru/docs/bots/faq#my-bot-is-hitting-limits-how-do-i-avoid-this в моём варианте бот не рассылает сообщения - он только их принимает ... |
|||
:
Нравится:
Не нравится:
|
|||
24.07.2020, 20:19 |
|
|
start [/forum/topic.php?fid=59&msg=39983759&tid=2120734]: |
0ms |
get settings: |
7ms |
get forum list: |
5ms |
check forum access: |
2ms |
check topic access: |
2ms |
track hit: |
50ms |
get topic data: |
6ms |
get forum data: |
1ms |
get page messages: |
429ms |
get tp. blocked users: |
3ms |
others: | 293ms |
total: | 798ms |
0 / 0 |