Comments 9
Классный готовый телеграм бот для службы технической поддержки практически любого сервиса. Вот бы прикрутить еще веб морду админки для удобной аналитики и обработки заявок. Добавил в закладки.
del
Разве не правильнее и безопаснее при проверке принадлежности к админам вместо имени чата использовать его ID в этом коде? Иначе создаём чат с таким же title, как у админов, запускаем там бота и вуаля: мы - админ.
def admin(message): if message.chat.title == 'Chat Name IT':
Логично предположить, что затем можно упороться и создать БД юзеров с правами. Или подгружать из LDAP, но это уже Каневский.jpg
конечно. я тоже не понял этого прикола.
user id уникальный для каждого аккаунта.. а chat.title уязвимое место:
@bot.message_handler(commands=['admin'])
def admin(message):
if str(message.chat.id) == it_adm:
bot.send_message(chat_id=it_adm, text='Добрый день!\nВы в меню администратора.\nЧто Вам необходимо?\n', reply_markup=button.markup_admin())
else:
bot.send_message(message.chat.id, 'Вы не являетесь администратором', reply_markup=button.markup_start())
Спасибо, согласен. Имеется в данном месте проблема, но при создании группы с таким же именем, ответы будут прилетать в группу админов а не в группу с таким же chat.name.
В любом случае поправить имеет смысл, так как имеет место уязвимость. И держится лишь на незнание оригинального имени группы.
Отмечу ещё момент, та же ситуация с проверкой группы Secure.
Была идея с БД юзеров, показалось слишком сложным для реализации сходу, и что бы удобно было админить. А вот синхронизация с ldap это интересно🤔 надо будет обдумать. Спасибо за идею!
Вау,правда. Автору уважение и спасибо за почти полностью готовый код бота. Тутор получается от части...
Для меня как начинающего материал занятный. Пожалуй добавлю себе в закладки для выходных.
Спасибо за туториал.
Tg бот для IT + автоматизация ИПРО-2 используя MTS Exolve. Упаковка в Docker и автоматизация сборки с GitHub Actions