Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Java Новый топик    Ответить
Топик располагается на нескольких страницах: Ctrl  назад   1 [2] 3 4   вперед  Ctrl      все
 Re: использование telegram бота  [new]
mayton
Member

Откуда: loopback
Сообщений: 47981
вадя
mayton
В большистве соц-сетей ЕМНИП используется протокол OAuth.
А это тебе - ни хер собачий. Это стандарт над которым долго думали.
вот для примера захотел зайти на хабр
нажимаю ВОЙТИ
открывается окошко ВОЙТИ
выбираю с помощью Facebook
требует электронный адерс или номер телефона и пароль
смысл?

Смысл в том что хабр делегирует задачу установления личности социальной сети фейсбук. Хабру пофиг.
Он просто спроашивает - данный анонимос действительно вадя или нет. Вот и все.
24 июл 20, 16:03    [22173276]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17915
mayton
Смысл в том что хабр делегирует задачу установления личности социальной сети фейсбук. Хабру пофиг.
а мне пофиг кто и что - я просто не хочу на чужом компе что-то вводить и оставлять следы от введённого.
в моём случае не требуется ничего такого.....
я считываю открытый код - и отправляю
телега осуществляет своё прямое назначение тащит открытый код по своим закрытым каналам
(рекламировать эти каналы нет необходимости)
мой сервер просто соотносит код/сессию/ChatId/телефон - и отдаёт нужные страницы
просто
Вот и всё.
24 июл 20, 16:50    [22173303]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
mayton
Member

Откуда: loopback
Сообщений: 47981
(разводя руками)

Я не спец в телеграм-технологиях. Но вообще то что ты строишь пока имеет вид "народных рецептов"
или советов типа "хозяйке на заметку". Работает? И ладньенько.

Ты же пришел сюда... я надеюсь за этим?
Не за экспертизой по безопасности?

Сообщение было отредактировано: 24 июл 20, 16:54
24 июл 20, 16:56    [22173306]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17915
mayton
Я не спец в телеграм-технологиях.
ну с этого и надо было начинать.

mayton
Но вообще то что ты строишь пока имеет вид "народных рецептов"
в чём заключается "народность"?

mayton
Не за экспертизой по безопасности?
а вот как раз за ней.
но пока только услышал нечто подобное тому что слышал про ws лет 9 назад.

WhatsApp использует аналогичное - только он публикует не число , а qr-код
принципиально это ничего не меняет.
он использует своё приложение для отправки на свой сервер кода, я использую телегграм для отсылки кода на свой сервер.
WhatsApp использует своё шифрование - телеграм своё.
WhatsApp считается нормальным авторизатором, а мой вариант?
24 июл 20, 17:12    [22173315]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
mayton
Member

Откуда: loopback
Сообщений: 47981
Да я ничего. Я просто сижу тут. Жду комментариев других.
24 июл 20, 17:21    [22173326]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
crutchmaster
Member

Откуда: оттуда.
Сообщений: 1492
вадя
Вот и всё.

20 запросов в минуту.
Вот и всё.
Обсуждать нечего, это ни на что не годится, кроме хипсторских поделок на 3.5 человека.
24 июл 20, 17:35    [22173329]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17915
crutchmaster
20 запросов в минуту.
Вот и всё.
Обсуждать нечего, это ни на что не годится, кроме хипсторских поделок на 3.5 человека.
о каких запросах ты говоришь? запросов от кого? кому?
если ты будешь со своего телефона "бомбить" бот - первым делом твои "запросы" достанут сервер телеги, и этот сервер забанит тебя, твой телефон. до моего сервера не дойдет.
да что такое 20 запросом серверу?
если ты будешь обновлять страницу чтоб загрузить мой сервер - так я забаню твой ip. и делов то.

Сообщение было отредактировано: 24 июл 20, 17:39
24 июл 20, 17:40    [22173331]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
mayton
Member

Откуда: loopback
Сообщений: 47981
вадя
crutchmaster
20 запросов в минуту.
Вот и всё.
Обсуждать нечего, это ни на что не годится, кроме хипсторских поделок на 3.5 человека.
о каких запросах ты говоришь? запросов от кого? кому?
если ты будешь со своего телефона "бомбить" бот - первым делом твои "запросы" достанут сервер телеги, и этот сервер забанит тебя, твой телефон. до моего сервера не дойдет.

Почему он забанит? На каком основании?
24 июл 20, 17:46    [22173334]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
crutchmaster
Member

Откуда: оттуда.
Сообщений: 1492
вадя
если ты садишься за чужой комп

То вся твоя работа скомпрометирована. Разговаривать больше не о чём.
да и многие ли дадут подключить свой телефон к чужому компу?

Считыватель в usb или синезуб. Если рабочий комп потенциально скомпрометирован и это не прокси, разговор, опять таки, не имеет смыла.

вадя
тут скорее дудосника закроют.

Удачи с поисками дудосника.

вадя
ну а имена бота можно сменить/иметь про запас для таких умников

Да, будешь давать своим клиентам пачку контактов ботов, чтобы они могли к тебе зайти. Оч. удобно.

вадя
ты путаешь области применения и уровни защиты

Нет же. В гитхаб давно можно ходить по ssh ключу. Все нормальные админы тоже ходят по ssh ключу на сервера. Никто не вбивает никуда никакие пароли. Зачем это делать? Зачем ходить куда-то с чужих устройств?
24 июл 20, 17:47    [22173335]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17915
mayton
Почему он забанит? На каком основании?
на основании превышения числа обращений с одного телефона/клиента
24 июл 20, 17:47    [22173336]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
crutchmaster
Member

Откуда: оттуда.
Сообщений: 1492
вадя
о каких запросах ты говоришь? запросов от кого? кому?

От кучи валидных юзеров твоему хромому боту. Юзер раз в 3 секунды - это не нагрузка.
24 июл 20, 17:48    [22173337]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
mayton
Member

Откуда: loopback
Сообщений: 47981
вадя
mayton
Почему он забанит? На каком основании?
на основании превышения числа обращений с одного телефона/клиента

Это на хероку такие настройки по умолчанию?
24 июл 20, 17:50    [22173341]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17915
crutchmaster
То вся твоя работа скомпрометирована. Разговаривать больше не о чём.
не будь наивным если что и будет скомпроментировано - то только та часть информации, что относится к клиенту у которого и для которого готовится инфа.
crutchmaster
Нет же. В гитхаб давно можно ходить по ssh ключу. Все нормальные админы тоже ходят по ssh ключу на сервера.
ты можешь ходить как угодно, но на удалёнке не всякому можно поставить впн или ссш

crutchmaster
Зачем ходить куда-то с чужих устройств?
мне так админить удобно.
24 июл 20, 17:54    [22173343]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17915
mayton
Это на хероку такие настройки по умолчанию?
это у телеги такие ограничения
24 июл 20, 17:55    [22173344]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17915
crutchmaster
От кучи валидных юзеров твоему хромому боту
мой хромой бот у меня на сервере может выдержать и 2000 обращений.
вопрос дойдут ли столько с сервера телеги - где ты найдёшь стока телеграм клиентов чтоб организовать такую атаку?
напишешь клиентов-ботов-вирусов и разошлёшь их кучи лохов? которые без телефона-номера будут бомбить сервер телеграм?
ты ваще в теме что такое телеграм?
24 июл 20, 18:01    [22173350]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
mayton
Member

Откуда: loopback
Сообщений: 47981
Мы уклонились куда-то не в ту сторону. Я еще раз попробую предложить отвернуться
от бота в сторону уже существующих коробочных решений для многофакторки.

Программный генератор токенов. Ставится на все телефоны. Можно по таймеру.
Можно через push сообщения подтвержать вход в акк.

https://play.google.com/store/apps/details?id=com.duosecurity.duomobile

И еще одно такое же приложение по смыслу

https://play.google.com/store/apps/details?id=com.azure.authenticator
24 июл 20, 18:35    [22173362]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17915
mayton
Мы уклонились куда-то не в ту сторону. Я еще раз попробую предложить отвернуться
от бота в сторону уже существующих коробочных решений для многофакторки.

Программный генератор токенов. Ставится на все телефоны. Можно по таймеру.
Можно через push сообщения подтвержать вход в акк.
а в чем отличие?
нужен телефон во всех случаях.
в любых вариантах надо приложение
в отличии от второго варианта - мой можно поставить на любую ось.
чем мой вариант не "коробочный"?
что в нем то?

задача в чем - соотнести конкретного юзера с его реквизитами на своём сервере
как это будет сделано без разницы
у нас есть хорошо закрытый канал от клиента до нашего сервер
на странице видим код - сервер связал этот код с сессией
у насесть устройство, которое мы можем однозначно идентифицировать на нашем сервере
видим код - с нашего устройства передаем по защищённому каналу к нам на сервер - где видим связку - устройство-код однозначно определяющих с откуда пришёл код ну и далее....
принцип один и тот же разница в деталях
24 июл 20, 19:07    [22173374]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17915
PS
телеграм хорошо себя зарекомендовал - и защищённостью канала и стойкостью к блокировкам
как поведёт себя Microsoft Authenticator в подобных условиях не понятно
да и токены тоже под вопросом
24 июл 20, 19:12    [22173375]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
mayton
Member

Откуда: loopback
Сообщений: 47981
Сравнение будет для нас очень сложным скорее всего. Надо рисовать матрицу фич.


FeatureАвторизация на генераторе токеновАвторизация на базе телеграм бота


И считать какие фичи важные и какие нет. Или считать их общее количество.
24 июл 20, 19:33    [22173380]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
crutchmaster
Member

Откуда: оттуда.
Сообщений: 1492
вадя
мне так админить удобно.

Ну, аргумент понятен.
24 июл 20, 19:51    [22173385]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
crutchmaster
Member

Откуда: оттуда.
Сообщений: 1492
вадя
да и токены тоже под вопросом

Токены это всё равно, что p2p. Юзер что-то подписал своим ключом - значит это он.
24 июл 20, 19:52    [22173387]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
crutchmaster
Member

Откуда: оттуда.
Сообщений: 1492
вадя
мой хромой бот у меня на сервере может выдержать и 2000 обращений.

Телега не выдержит больше 20. Хочешь больше - плати Пашке. Т.е. мы скатываемся в вариант с смс.
24 июл 20, 19:54    [22173389]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
mayton
Member

Откуда: loopback
Сообщений: 47981
Очень многие вещи в It делаются нидлячего. Просто айтишники это невыросшие дети у которых - самые дорогие
и ресурсоёмкие игрушки в информационном смысла.
24 июл 20, 19:55    [22173390]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17915
mayton,

давай пиши про токены, я про бота

- защита и стойкость - проверены
- отсутствие каких-либо логинов/паролей.
- тел юзера прописывается админом на сервере, юзер с помощью бота регистрирует ChatId на сервере
(возможен вариант и саморегистрации номера юзером)
- при заходе на страницу видим только код - длина кода роли практически не несёт
- хацкер может сколь угодно обновлять страницу - сделать ограничение на количество и фильтровать
- хацкер может многократно слать сообщения боту с кодом - простая фильтрация по его ChatId - дальше
обработчика onUpdateReceived он не пройдёт
- большой нагрузки через бот не создать
- подключить множество ботов для атаки на одного бота - можно - но бесполезно
- сервер получил код - отправил страницу - значит сессия привязана к номеру телефона т.е. к конкретному
юзеру.
- командой боту можно закрыть страницу
- командами бота можно управлять данными на странице
- бот можно использовать как клавиатуру для ввода на страницу
24 июл 20, 20:07    [22173394]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17915
crutchmaster
Телега не выдержит больше 20. Хочешь больше - плати Пашке. Т.е. мы скатываемся в вариант с смс.
чего не выдержит?
https://tlgrm.ru/docs/bots/faq#my-bot-is-hitting-limits-how-do-i-avoid-this
в моём варианте бот не рассылает сообщения - он только их принимает
24 июл 20, 20:19    [22173402]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: Ctrl  назад   1 [2] 3 4   вперед  Ctrl      все
Все форумы / Java Ответить