Comments 35
когда первый раз прочитал про эту идею подумал что она просто супер!
но если вдуматься - получается что какой-то левый вася будет иметь доступ к связке номер телефона + одноразовый код, а это точно безопасно (да, я вкурсе что есть ещё облачный пароль, но ведь не все его юзают, некоторые надмозги до сих пор поленились его поставить)?
Будешь брутить сессионный ключ, для которого сгенерировалась связка: номер телефона левого Васи + одноразовый код? Следующий запрос кода зароутит на левого Петю.
какой-то левый вася будет иметь доступ к связке номер телефона + одноразовый код
А что Васе это даст? Он этот код не сможет использовать, потому что этот код для установки вон той сессии, которую пытается установить законный владелец. Если Вася попробует с этим только что узнанным номером создать свою сессию, то ему понадобится другой код, который придёт уже какому-то рандомному Пете. Несложно реализовать схему, чтобы, например, код в течение суток одному и тому же "дропу" повторно не приходил.
Вся эта идея очень удобна, когда у вас тариф, в который, скажем, включено N минут и пара сотен CМС, которые вы не используете целиком.
А что Васе это даст?
я увы не копенгаген, но уверен что собрав приличное кол-во пар можно например понять алгоритм генерации кода или что-то в этом роде
Вся эта идея очень удобна, когда у вас тариф, в который, скажем, включено N минут и пара сотен CМС, которые вы не используете целиком.
у меня безлимит sms за 50₽, мне бы зашло..
можно например понять алгоритм генерации кода или что-то в этом роде
Если он не число из гспч
я увы не копенгаген, но уверен что собрав приличное кол-во пар можно например понять алгоритм генерации кода или что-то в этом роде
Никто не мешает вам собирать эти пары, создав кучу собственных аккаунтов и создавая кучу сессий.
Но, скорее всего, там просто случайное число, которое сервер генерирует, запоминает на какое-то время и высылает Васе.
собрав приличное кол-во пар можно например понять алгоритм генерации кода
Теоретически можно было бы, будь у вас система замкнутая. Но тот же генератор работает на всех пользователей. И поэтому даже если вы научитесь по N кодам стабильно предсказывать N+1-й, вы им не сможете воспользоваться - этот самый N+1-й уйдёт неизвестно кому.
Мне не нравятся тут две вещи:
Если я захочу предоставить свой пакет SMS для Телеграмных рассылок, в мой социальный граф в базе оператора (и всех, с кем он делится данными) войдёт 100 совершенно левых людей, которых я не выбирал. Да, контакт одноразовый, это уровень шума, но - лишнее.
Обратная сторона: с какого-то момента люди привыкнут, что коды Телеги приходят с обычных номеров их страны. Т.е. доверие отправителю размажется. Потенциально упростит всяческий MitM
Да, контакт одноразовый, это уровень шума, но - лишнее.
Наоборот, это отличная отмазка "не знаю я его, а рандомные числа(с кодом запуска ядерной боеголовки) - это я для Телеграма коды пересылал". Оттуда, наверное, и часть возмущения - тот самый профиль в социальном графе пользователя портится.
Т.е. доверие отправителю размажется. Потенциально упростит всяческий MitM
Я не очень понимаю, какое нужно доверие для отправителя кодов. Вроде бы должно быть совершенно все ранво, от кого он пришел?
п.1. в первом приближении выглядит скорее как плюс.
Мне не нравится именно нюанс с
в РФ стоимость этой опции составляет 329 рублей в месяц при ежемесячной оплате), но только после достигнутой «квоты» в 150 СМС-сообщений.
Я буду откровенно не удивлён если люди будут нести расходы на отправку СМС, но "по каким то причинам" не получать премиум потому что не достигли квоты.
Пока ещё отправка СМС не преступление.
Так уже давно схема: вам позвонят с рандомного номера, введите последние 4 цифры.
Замусоривать данные для слежки — это же хорошо. Если только потом это не засчитают как спонсирование армии нежелательной страны.
упростит всякое мошенничество. чел может же прислать не то же самое, а что-то похожее. или вообще что-то новое со ссылкой. а человек уже привык, что с левых номеров приходит конфиденциальная инфа и не заметит подвоха.
вот если бы это ещё как-то подписывалось... да и то, смс с левых номеров не должны читаться.
впрочем, ожидая доставку или такси мы вполне склонны отвечать на звонки и читать сообщения от левых номеров.
но всё же, не стоит приучать людей верить в сообщения с незнакомых номеров.
А почему вас беспокоит социальный граф в базе оператора?
Мне кажется, он может беспокоить только самого оператора или товарища майора. А для пользователя наоборот, чем меньше достоверной инфы о тебе знают посторонние, тем лучше.
Вот именно потому, что без моего ведома в этом графе может оказаться тот, кто интересует товарища майора.
Ну так и ладно. Потонет в куче спама.
Из той же серии -- есть какой-то блокировщик рекламы, который не просто блокирует, а ещё и невидимо переходит по вырезанным рекламным ссылкам. Тем самым расходуется впустую бюджет рекламодателя (хотя я не определился со своим отношением насчёт этичности этого) и полностью портятся результаты сбора рекламных предпочтений пользователя (а вот это однозначно хорошо).
люди привыкнут, что коды Телеги приходят с обычных номеров их страны
А сейчас они приходят не с "обычных номеров"?
Наоборот, куча сервисов присылает эти коды именно с обычных номеров, да ещё и добавляет к ним случайные слова. Я подозреваю, что так они пытаются мимикрировать под личные сообщения, чтобы операторы не выкатили бы этим сервисам повышенные тарифы (ну, примерно как с интернетом, который физику стоит 500 рублей, а точно такой же тариф для юрика обойдётся уже в 5000).
Считаю нелегитимной схему Telegram по авторизации через SMS и номер телефона.
По версии оператора, я не могу звонить на работу или по работе без доп платы ?
Я купил пакет (привет мтс интернет) и хочу трпатить их хоть отсылая дикпики, хоть коды, хоть маты....
первое. интересно, как они собираются выявлять такие сообщения? по шаблону текста? чтобы "тарифицировать отдельно" и блокировать.
далее, очень интересное заявление "смс не являются предметом для перепродажи". вот где здесь перепродажа? вознаграждение премиумом? и вообще, какая разница, как я использую свои честно купленные смс? или я их покупала, чтобы солить они пропадали неиспользованными?
они уже хотели тарифицировать voip трафик как gsm, потом дополнительно обложили раздачу интернета. а теперь банально хотят заработать ещё. при этом чтобы абонент как обычно переплачивал, не расходуя весь заявленный план.
А почему нельзя в пределах одной страны СМС высылать? Пакеты включённых СМС обычно по стране действуют, но не за рубеж
А зачем это нужно Telegram?
Бедные сотовые операторы, как они теперь будут без доходов от рассылки? Ну ничего, подпишут ещё больше ворот и бойлеров на анекдоты.
СМИ: в Tele2 считают нелегитимной схему Telegram «Premium в обмен на отправку СМС-сообщений с кодами авторизации»