Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Java Новый топик    Ответить
Топик располагается на нескольких страницах: [1] 2 3 4   вперед  Ctrl      все
 использование telegram бота  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17915
вот тут https://habr.com/ru/post/501728/
"приложения используют Telegram-бота в качестве подтверждения входа в аккаунт"
а для чего так сложно?
вот к примеру для веб
можно проще - открылась страница на ней просто число 4-8 значное
вбиваешь это число в команда бота
(и если ранее передал этому боту свой номер и он был прописан на сервере)
открывается новая страница/страницы и только те которые разрешены тебе
всё просто

вообще как относитесь к такому методу входа?
23 июл 20, 23:54    [22172814]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
crutchmaster
Member

Откуда: оттуда.
Сообщений: 1492
вадя
вообще как относитесь к такому методу входа?

Хипсторство. Некоторые еще двери запирали через эту телегу. А потом РНК начал её банить. Вот смеху-то было.
24 июл 20, 06:10    [22172862]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17915
crutchmaster
Вот смеху-то было.
смешно было кагда Захарова рекламировала телеграм канал МИДа, в то время когда РНК бился в истерике преркрывая вся и всех
так же можно начинать бояться когда мелкомягкие перекроют свои каналы
да и гугл днсы свои

а телегу как ни пытались - так и не получилось. чем не реклама за чужой счёт.

зато не надо ничего запоминать , никто не подсмотрит логин/пароль , и не надо платить за смс
24 июл 20, 08:38    [22172888]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
crutchmaster
Member

Откуда: оттуда.
Сообщений: 1492
вадя
а телегу как ни пытались - так и не получилось

Ну так она сама иногда не плохо падает, а в один момент Пашке это всё надоест и будет как с аськой. Хипсторы уйдут на что-то новое и модное, а бизнес останется с интеграцией в телегу, которую переписывать будет некому.
24 июл 20, 09:23    [22172902]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17915
crutchmaster
вадя
а телегу как ни пытались - так и не получилось

Ну так она сама иногда не плохо падает, а в один момент Пашке это всё надоест и будет как с аськой. Хипсторы уйдут на что-то новое и модное, а бизнес останется с интеграцией в телегу, которую переписывать будет некому.

ну так можно обо всем сказать и значит сидеть и ничего не делать? и просто на счетах считать - вдруг электрику отключат
24 июл 20, 09:35    [22172911]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
crutchmaster
Member

Откуда: оттуда.
Сообщений: 1492
вадя
ну так можно обо всем сказать и значит сидеть и ничего не делать?

Как будто что-то плохое.

вадя
и просто на счетах считать - вдруг электрику отключат


Давайте для начала определимся, зачем вдруг нам так остро необходима понадобилась интеграция с телегой? Потому что "у всех есть"?

Сообщение было отредактировано: 24 июл 20, 10:23
24 июл 20, 10:25    [22172948]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17915
crutchmaster
Давайте для начала определимся, зачем вдруг нам так остро необходима понадобилась интеграция с телегой?
предложи что-то другое
как минимум
зато не надо ничего запоминать , никто не подсмотрит логин/пароль , и не надо платить за смс 
24 июл 20, 10:38    [22172959]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
mayton
Member

Откуда: loopback
Сообщений: 47981
Задачи входа в акк на сегодня имеют такую проблему как многофакторка.

Откуда ее взять? Грубо говоря как подтвердить что ты - это ты? Ведь телефон
у тебя могут украсть. И тогда один из факторов уже захвачен злыми Анонимусами.

В одном из банков мне выдали такой себе генератор токенов. Брелок. Отдельный девайс
который генерирует шифрованное время примерно каждые 30 секунд. И это тоже был
один из факторов.

В настоящее время его заменяет приложение DuoMobile для андроидов но это не очень
хорошо т.к. телефон у меня тоже могут украсть. В этом смысле брелок на ключах был
как-то с практической точки зрения полезнее. Уж без ключа то я точно из дома не выйду.
24 июл 20, 10:41    [22172962]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
crutchmaster
Member

Откуда: оттуда.
Сообщений: 1492
вадя
зато не надо ничего запоминать
никто не подсмотрит логин/пароль

И так не надо ничего запоминать, у всех есть кнопка "забыть пароль".

вадя
и не надо платить за смс

Ну такой плюсик, с другой стороны падает телега, падает всё у нас, а она уже падала и не раз. И потом вход в саму телегу по смс. Все слышали про недавний взлом твитора? Кто-то еще хочет связываться с смс авторизацией?
24 июл 20, 10:53    [22172973]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
crutchmaster
Member

Откуда: оттуда.
Сообщений: 1492
вадя,

Короче, единственный нормальный вариант - активный тонек с кнопкой активации (по отпечатку пальца) на которой передаётся запрос, там он подписывается и отправляется обратно. Правда он не защищает от кражи токена с пальцем.

Сообщение было отредактировано: 24 июл 20, 10:58
24 июл 20, 11:01    [22172981]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
mayton
Member

Откуда: loopback
Сообщений: 47981
Единственное что не могут украсть - это твой мозк. И если есть какой-то мозговой фактор - то его
надо как-то использовать.
24 июл 20, 11:09    [22172988]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17915
mayton
Откуда ее взять? Грубо говоря как подтвердить что ты - это ты? Ведь телефон
у тебя могут украсть. И тогда один из факторов уже захвачен злыми Анонимусами.
могут украсть, еще больше вероятность что могут подсмотреть логин/пароль.
mayton
В этом смысле брелок на ключах был
как-то с практической точки зрения полезнее. Уж без ключа то я точно из дома не выйду.
не факт,
но и ключи могут украсть, вместе с твоим брелком.

crutchmaster
И так не надо ничего запоминать, у всех есть кнопка "забыть пароль".
ну сам не войдёшь.
фишка в том что не надо помнить.
crutchmaster
с другой стороны падает телега, падает всё у нас, а она уже падала и не раз.
назови мне хоть что-то что не падало не разу?
даже когда есть вход по отпечатку пальца - есть возможность остаться без пальцев, что не сделаешь ради проникновения.

если надо войти в корпоративный портал из произвольного места - вводить логин/пароль на чужой машине намного опаснее, чем полученный код с экрана в свой телефон.
24 июл 20, 11:09    [22172990]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
crutchmaster
Member

Откуда: оттуда.
Сообщений: 1492
вадя
ну сам не войдёшь.

Войдешь. Он сохранён же в компухтере/телефоне. И помнить не надо, пока с девайсом всё нормально.

вадя
если надо войти в корпоративный портал из произвольного места - вводить логин/пароль на чужой машине намного опаснее, чем полученный код с экрана в свой телефон.

Вот для такого нужен какой-то токен, который умеет делать подписи и пара ключей. Хочешь войди, получаешь подписанный запрос с рандом от сервиса, проверяешь его, добавляешь логин, подписываешь своим ключом, отправляешь. Как-то так. Может что-то лишнее написал.
24 июл 20, 11:18    [22172996]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17915
mayton
Единственное что не могут украсть - это твой мозк. И если есть какой-то мозговой фактор - то его
надо как-то использовать.
т.е. предлагаешь оставить все как есть .....

я сделал с тб ещё одну штуку - разрешение входа в корпоративную сеть с переданного боту ip
довольно удобно - клиент определяет свой ip любым сервисом, отправляет его боту , бот открывает данный ip , клиент подключается - работает
закончил работу - отправляет команду закрыть ip.
24 июл 20, 11:19    [22172999]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17915
crutchmaster
Вот для такого нужен какой-то токен, который умеет делать подписи и пара ключей. Хочешь войди, получаешь подписанный запрос с рандом от сервиса, проверяешь его, добавляешь логин, подписываешь своим ключом, отправляешь. Как-то так. Может что-то лишнее написал.
сравни затраты -токен и бот

crutchmaster
Войдешь. Он сохранён же в компухтере/телефоне. И помнить не надо, пока с девайсом всё нормально.
это о чем? с каким девайсом? масло масленое?
crutchmaster
у всех есть кнопка "забыть пароль".
тут как-то просили вариант защиты от просмотра введенного и отправленного логина/пароля от просмотра в отладчике браузера - решения не найдено
в отладчике все просматривается прекрасно, и код не в состоянии отследить открыт ли отладчик.
забыть пароль на клиенте не действует
24 июл 20, 11:27    [22173008]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
Roman Mejtes
Member

Откуда: г. Пермь
Сообщений: 3894
у API бота телеги ограничение 20 запросов в минуту, может быть критично
24 июл 20, 11:39    [22173023]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
mayton
Member

Откуда: loopback
Сообщений: 47981
вадя
mayton
Единственное что не могут украсть - это твой мозк. И если есть какой-то мозговой фактор - то его
надо как-то использовать.
т.е. предлагаешь оставить все как есть .....

я сделал с тб ещё одну штуку - разрешение входа в корпоративную сеть с переданного боту ip
довольно удобно - клиент определяет свой ip любым сервисом, отправляет его боту , бот открывает данный ip , клиент подключается - работает
закончил работу - отправляет команду закрыть ip.

IP, и DNS не могут считаться достоверными поставщиками безопасности.

Вобщем если ты решил строить систему безопасности - посмотри на нее глазами
потенциального злоумышленника который 100% ЗНАЕТ твой код. Он не знает
сеансовых ключей и токенов но знает код.

Сообщение было отредактировано: 24 июл 20, 11:41
24 июл 20, 11:43    [22173026]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
crutchmaster
Member

Откуда: оттуда.
Сообщений: 1492
вадя
сравни затраты -токен и бот

Бот дороже и с надёжностью всё плохо. Смартфон можно использовать как токен, если ничего лучше нет. Хотя ssh можно гонять хоть на чистом js.
вадя
это о чем?

Пароли с логинами записывают один раз в поле логин/пароль. Потом нажимают кнопку "сохранить (забыть) пароль" и всё, больше про них никто не вспоминает лет 10.
вадя
тут как-то просили вариант защиты от просмотра введенного и отправленного логина/пароля от просмотра в отладчике браузера - решения не найдено
в отладчике все просматривается прекрасно

В дебагере вообще всё просматривается прекрасно. Но кто даст туда смотреть?
24 июл 20, 11:53    [22173036]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
crutchmaster
Member

Откуда: оттуда.
Сообщений: 1492
Roman Mejtes
у API бота телеги ограничение 20 запросов в минуту, может быть критично

Критично. Тред можно закрывать, идею закапывать вместе с телегой. Любой мамкин хацкер может устроить дудос.

Сообщение было отредактировано: 24 июл 20, 11:58
24 июл 20, 11:53    [22173037]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
crutchmaster
Member

Откуда: оттуда.
Сообщений: 1492
Да и всё уже работает через асинхронное шифрование. Если ключи хранится в тайне, передаваемые данные можно хоть всем самым крутым хацкерам рассылать на мыло. Все эти логины-пароли - это атавизм и от нежелания/невозможности что-то делать.

Сообщение было отредактировано: 24 июл 20, 11:55
24 июл 20, 11:57    [22173044]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17915
crutchmaster
Пароли с логинами записывают один раз в поле логин/пароль. Потом нажимают кнопку "сохранить (забыть) пароль" и всё, больше про них никто не вспоминает лет 10.
ага на чужом , случайном компе
crutchmaster
В дебагере вообще всё просматривается прекрасно. Но кто даст туда смотреть?
если ты садишься за чужой комп - кто тебе даст проверить что дебаг не запущен? и как ты сможешь объяснить стандартному юзеру что такое дебаг?
mayton
IP, и DNS не могут считаться достоверными поставщиками безопасности.
да, но насколько вероятно что из подсети с этим ip будет хацкер, да ещё и ориентированный на прослушивание
и кто мешает ограничить число подключений с адного ip?
mayton
Вобщем если ты решил строить систему безопасности - посмотри на нее глазами
потенциального злоумышленника который 100% ЗНАЕТ твой код. Он не знает
сеансовых ключей и токенов но знает код.
а какой код надо знать?
бот открывает iptables для одного ip
уж как работает iptables - всем известно
crutchmaster
Смартфон можно использовать как токен, если ничего лучше нет. Хотя ssh можно гонять хоть на чистом js.
можно много чего если ты программист, системщик
и многие ли могут дать подключить что-то к кому, да и многие ли дадут подключить свой телефон к чужому компу?
конечно можно написать "токен" но его надо устанавливать - это и яблоко и андроид, и его так же надо как-то защищать - головняков будет выше крыши.
crutchmaster
Критично. Тред можно закрывать, идею закапывать вместе с телегой. Любой мамкин хацкер может устроить дудос.
ну тогда всё нужно закрывать
тут скорее дудосника закроют.
ну а имена бота можно сменить/иметь про запас для таких умников, да и светить не следует
crutchmaster
Да и всё уже работает через асинхронное шифрование. Если ключи хранится в тайне, передаваемые данные можно хоть всем самым крутым хацкерам рассылать на мыло. Все эти логины-пароли - это атавизм и от нежелания/невозможности что-то делать.
ты путаешь области применения и уровни защиты
если быть честным - от терморектального взлома ещё нет защиты
24 июл 20, 13:49    [22173161]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
mayton
Member

Откуда: loopback
Сообщений: 47981
вадя

а какой код надо знать?
бот открывает iptables для одного ip
уж как работает iptables - всем известно

Хорошо. Делай так. Только рассматривай эту забавную техническую фичу
как дополнительную а не как основную.
24 июл 20, 13:54    [22173166]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17915
mayton
Хорошо. Делай так. Только рассматривай эту забавную техническую фичу
как дополнительную а не как основную.
основную/дополнительную - дело вкуса
в общем - я интересуюсь мнением общества
и так получается что на все "обвинения" я высказал "опровержения"

есть куча сервисов где вход осуществляется через соцсети - существуют , тут тоже "соцсеть"
почему столько критики? боязнь нового?
24 июл 20, 14:06    [22173173]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
mayton
Member

Откуда: loopback
Сообщений: 47981
В большистве соц-сетей ЕМНИП используется протокол OAuth.
А это тебе - ни хер собачий. Это стандарт над которым долго думали.
24 июл 20, 14:18    [22173179]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17915
mayton
В большистве соц-сетей ЕМНИП используется протокол OAuth.
А это тебе - ни хер собачий. Это стандарт над которым долго думали.
вот для примера захотел зайти на хабр
нажимаю ВОЙТИ
открывается окошко ВОЙТИ
выбираю с помощью Facebook
требует электронный адерс или номер телефона и пароль
смысл?
24 июл 20, 14:52    [22173203]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: [1] 2 3 4   вперед  Ctrl      все
Все форумы / Java Ответить