Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Java Новый топик    Ответить
Топик располагается на нескольких страницах: Ctrl  назад   1 2 [3] 4   вперед  Ctrl      все
 Re: использование telegram бота  [new]
mayton
Member

Откуда: loopback
Сообщений: 47970
вадя
mayton,

давай пиши про токены, я про бота

Подожди. Ты сразу пропустил главное. Давай вернемся к Адаму и Еве.
Смысл данного топика в предложении по разработке новой системы МФА
(Много-факторной-автентификации (или авторизации тут 2 в 1 неважно))
для того чтобы залогониться на какой-то ресурс.

Верно?
24 июл 20, 20:23    [22173405]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17915
crutchmaster
Токены это всё равно, что p2p. Юзер что-то подписал своим ключом - значит это он.
где подписал? на веб-странице?
p2p это связь телефона с сервером? - т.е. ты должен с помощью программы-токена отправить подписанный токеном код со страницы.
24 июл 20, 20:26    [22173406]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17915
mayton
Верно?
да
24 июл 20, 20:27    [22173407]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
mayton
Member

Откуда: loopback
Сообщений: 47970
Хорошо. Я описываю первую фичу.

FeatureАвторизация на генераторе токеновАвторизация на базе телеграм бота
Offline work abilityYES
24 июл 20, 20:29    [22173409]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17915
FeatureАвторизация на генераторе токеновАвторизация на базе телеграм бота
Offline work abilityYES

что ты подразумеваешь под этим Offline work ability

Сообщение было отредактировано: 24 июл 20, 20:40
24 июл 20, 20:36    [22173414]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
mayton
Member

Откуда: loopback
Сообщений: 47970
Для работы токен генератора нужны точные часы.
И вобщем то все. Соединение с сервером необязательно.
24 июл 20, 21:29    [22173431]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17915
mayton,
ну и что?
а ты этим токеном можешь управлять страницей?
24 июл 20, 22:14    [22173442]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17915
mayton
Для работы токен генератора нужны точные часы.
И вобщем то все. Соединение с сервером необязательно.
и это все преимущества? если нет связи связи вообще - то и доступа к странице нет....
24 июл 20, 22:24    [22173446]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
mayton
Member

Откуда: loopback
Сообщений: 47970
А ты решил победить количеством?

Шапками закидать?
24 июл 20, 22:41    [22173449]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
dakeiras
Member

Откуда:
Сообщений: 549
OTP в боте - оч. плохая идея.

Я вообще не уверен что telegram не позволяет угонять аккаунты. Я видел странный пример, когда люди заходили в чужой аккаунт с таким же телефоном но другим кодом страны.
24 июл 20, 22:49    [22173454]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
mayton
Member

Откуда: loopback
Сообщений: 47970
Вот такая штука у меня был 3 проекта назад. Хардварный генератор.

Картинка с другого сайта.

Щас их стали больше заменять приложеним типа DuoMobile.
24 июл 20, 23:53    [22173469]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17915
dakeiras
OTP в боте - оч. плохая идея.

Я вообще не уверен что telegram не позволяет угонять аккаунты. Я видел странный пример, когда люди заходили в чужой аккаунт с таким же телефоном но другим кодом страны.
подобный вопрс поднимался на хабре
было предложено угнать аккаунт - не получилость
можно попробовать - для подтверждения предложит отправить смс на новый номер
25 июл 20, 04:25    [22173495]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17915
mayton
А ты решил победить количеством?

Шапками закидать?
нет, если сравнивать то все возможности
в твоем генераторе 6 цифр в моем варианте от 1 до n , главное чтоб не повторялись при текущем количестве сессий
25 июл 20, 04:34    [22173496]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17915
dakeiras
OTP в боте - оч. плохая идея.

Я вообще не уверен что telegram не позволяет угонять аккаунты. Я видел странный пример, когда люди заходили в чужой аккаунт с таким же телефоном но другим кодом страны.
когда бот запрашивает номер телефона , то телеграм отсылает его с кодом страны и плюсом
в таком виде он и хранится в базе , номеру телеграм присваивает ChatId который также хранится
наличие этого id говорит о том что юзер зарегистрировался, т.е. подтвердил свой номер
я не слышал инфы об угоне аккаунта-номера
если б такое было возможно не было б повода стока шуметь..
25 июл 20, 04:47    [22173497]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17915
украсть могут и телефон с DuoMobile, и телефон с телеграм, и брелок с ключами. ту все равнозначны.
тут ведь есть еще одна хитрость - даже если утащат тел - то не смогут зайти.
достаточно после каждой отправки очистить историю
ну и что-то помнить.
если украли брелок вводи цифры и входи
25 июл 20, 05:18    [22173498]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
mayton
Member

Откуда: loopback
Сообщений: 47970
Многофакторка сильна не количеством цифр а собственно, количеством факторов. В большинстве банкоматов pin состоит из 4х цифр но этого достаточно и.к первый фактор это подключение электроники банкомата к чип-карте.
25 июл 20, 08:33    [22173509]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
mayton
Member

Откуда: loopback
Сообщений: 47970
Да, брелок могут украсть.

Давай вспомним старика Керхгофса, на тему.

Он писал что в хорошей системе кража исходников (алгоритма ) не должна причинять неудобств.

Кража ключа, должна вызывать протокол его опровержения на всех уровнях системы.
25 июл 20, 08:38    [22173510]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17915
mayton,

как я понял - пока есть только недоверие к самому телеграм
если я вместо телеграмм - буду использовать почту т.е. увидев на странице код , с телефона почтовым клиентом отправлю на почту сервера этот код, сервер получив этот код и соотнеся имя почты и код сможет идентифицировать страницу и пользователя - откроет нужную инфу.

будут ли сомнения в таком канале?
25 июл 20, 12:09    [22173533]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
mayton
Member

Откуда: loopback
Сообщений: 47970
У меня нет недоверия к телеграм.

У меня есть принцип KISS. И есть тезисы Керхгофса в отношении проектирования безопасных систем.
25 июл 20, 13:08    [22173549]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17915
mayton
У меня нет недоверия к телеграм.
доверие к почте есть?
25 июл 20, 14:15    [22173561]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
mayton
Member

Откуда: loopback
Сообщений: 47970
вадя
mayton
У меня нет недоверия к телеграм.
доверие к почте есть?

Когда мне надо переслать что-то шибко секретеное. Продуктовый ключ. Или нечто такое - я использую openssl.
В остальных случаях - я обычный потребитель почты и мессенджеров.
25 июл 20, 15:21    [22173580]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17915
mayton,

и так вопрос уперся в канал связи - от клиента до сервера
насколько у нас прославился РКН в борьбе с телеграм - не доверять телеграм нет причин.
все токены - это ввод кода в браузер - ajax отправка.

т.е. тут не в разработке новой системы , а в использовании комбинации инструментов для получения новых возможностей

Сообщение было отредактировано: 25 июл 20, 15:52
25 июл 20, 15:49    [22173589]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17915
mayton
я использую openssl.
есть более продвинутый https://ru.wikipedia.org/wiki/MTProxy
25 июл 20, 16:02    [22173591]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
mayton
Member

Откуда: loopback
Сообщений: 47970
вадя
mayton
я использую openssl.
есть более продвинутый https://ru.wikipedia.org/wiki/MTProxy

Какой длины ключ и какой алгоритм симметрички там используется?
25 июл 20, 16:07    [22173594]     Ответить | Цитировать Сообщить модератору
 Re: использование telegram бота  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17915
mayton
Какой длины ключ и какой алгоритм симметрички там используется?
https://tlgrm.ru/docs/mtproto/description

https://tlgrm.ru/techfaq#a-mdash-ekspert-v-oblasti-bezopasnosti-i-a-scita
25 июл 20, 17:31    [22173610]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: Ctrl  назад   1 2 [3] 4   вперед  Ctrl      все
Все форумы / Java Ответить