Спасибо за идею с bag report. Удивлён, что они так быстро работают.
Я уверен, что компаниям, специализирующимся на продажах эксплойтов - этот баг должен был быть известен уже лет 10. Его невозможно не заметить, при исследованиях. По этому сначала написал статью, и старался придать огласку. К сожалению, многие Алисы сами предоставляют Еве доступ к ТГ аккаунту с удаленными чатами, что бы показать какие они пушистые.
Ну и, совсем немного, эта история про инвайт на Хабр :)
Мы не можем знать этого точно, и надеюсь, никогда не узнаем. Но если в случае с gmail мы совершенно не представляем хранит ли alphabet удаленные сообщения. То в проектах Дурова, частенько замечаются на это намёки, так что это всеми воспринимается как должная истина.
Когда-то очень давно, ещё при Дурове, я для отправки изображений отправлял их сам себе ВКонтакте, и копировал на них прямые ссылки. Ссылки работали без авторизации, даже если исходное сообщение удалить. Лет через 8 обнаружил, что эти ссылки всё ещё работали.
В случае Telegram - если на проекте заботятся о удалении сообщений, то сложно не заметить пару десятков гигабайт сообщений из удаленных чатов.
Но важно не то, удаляется информация или нет, а то как к ней относятся. В этом случае - клиент не видит доступных для его аккаунта сообщений, и этим может воспользоваться злоумышленник. Так быть точно не должно.
Ваш случай, как и многие описанные ниже, похожи на ошибки приложений. Приходит событие "удаления сообщений", а обработчик заглючил - в итоге сообщения не удалились/никнейм не сменился/и т.п. Существуют клиенты, которые намеренно игнорируют события удаления сообщений, для тех кто любит хранить компроматы. Но всё это остаётся на устройстве локально.
Думаю, что всё это время люди не обращали внимания на всплывающие удаленные чаты, как раз из-за постоянных багов именно в клиенте. Я же долго не пользовался windows, и у меня эти чаты накопились, что бы их не заметить.
Кстати в вашем случае, у "конфликтного человека" мог остаться слепок basic group с сообщениями до повышения уровня чата. Если в тот момент повышения он находился в чате.
Спасибо за пример с Miranda, посмотрю как она работает. Когда Windows клиент "поддержит" скрытие проапгрейженных basic group буду рекомендовать её.
Самая старая группа, которую пока нашли 2016ого года. Есть группа 2020ого года, в которой, я полностью уверен, что участников не оставалось.
Для удаления нужно какое-то событие, и пока я нашел только "Удаление супергруппы её создателем для всех участников". Тогда старый чат становится по api недоступным. Либо отправка запроса на удаление со старым id каждым участником, но для этого клиент должен эту группу показывать.
Я даже не уверен, что из basic group будут удаляться сообщения при настроенном таймере, если они уже скопировались. В целом всё это можно проверять, но я пока не могу найти время..
Благодарен тому, кто написал в bug report https://bugs.telegram.org/c/36416
Ответ - это нормальное поведение.
Прошу присоединиться к убеждению сотрудников, что это опасное поведение, которое необходимо изменить.
Upd: Уточню, что проблема не в том, что клиент Windows показывает эти чаты. А в том, что остальные клиенты их скрывают.
Да, только с групповыми чатами.
Спасибо за идею с bag report. Удивлён, что они так быстро работают.
Я уверен, что компаниям, специализирующимся на продажах эксплойтов - этот баг должен был быть известен уже лет 10. Его невозможно не заметить, при исследованиях. По этому сначала написал статью, и старался придать огласку. К сожалению, многие Алисы сами предоставляют Еве доступ к ТГ аккаунту с удаленными чатами, что бы показать какие они пушистые.
Ну и, совсем немного, эта история про инвайт на Хабр :)
Мы не можем знать этого точно, и надеюсь, никогда не узнаем. Но если в случае с gmail мы совершенно не представляем хранит ли alphabet удаленные сообщения. То в проектах Дурова, частенько замечаются на это намёки, так что это всеми воспринимается как должная истина.
Когда-то очень давно, ещё при Дурове, я для отправки изображений отправлял их сам себе ВКонтакте, и копировал на них прямые ссылки. Ссылки работали без авторизации, даже если исходное сообщение удалить. Лет через 8 обнаружил, что эти ссылки всё ещё работали.
В случае Telegram - если на проекте заботятся о удалении сообщений, то сложно не заметить пару десятков гигабайт сообщений из удаленных чатов.
Но важно не то, удаляется информация или нет, а то как к ней относятся. В этом случае - клиент не видит доступных для его аккаунта сообщений, и этим может воспользоваться злоумышленник. Так быть точно не должно.
Ваш случай, как и многие описанные ниже, похожи на ошибки приложений. Приходит событие "удаления сообщений", а обработчик заглючил - в итоге сообщения не удалились/никнейм не сменился/и т.п. Существуют клиенты, которые намеренно игнорируют события удаления сообщений, для тех кто любит хранить компроматы. Но всё это остаётся на устройстве локально.
Думаю, что всё это время люди не обращали внимания на всплывающие удаленные чаты, как раз из-за постоянных багов именно в клиенте. Я же долго не пользовался windows, и у меня эти чаты накопились, что бы их не заметить.
Кстати в вашем случае, у "конфликтного человека" мог остаться слепок basic group с сообщениями до повышения уровня чата. Если в тот момент повышения он находился в чате.
Спасибо за пример с Miranda, посмотрю как она работает. Когда Windows клиент "поддержит" скрытие проапгрейженных basic group буду рекомендовать её.
Самая старая группа, которую пока нашли 2016ого года. Есть группа 2020ого года, в которой, я полностью уверен, что участников не оставалось.
Для удаления нужно какое-то событие, и пока я нашел только "Удаление супергруппы её создателем для всех участников". Тогда старый чат становится по api недоступным. Либо отправка запроса на удаление со старым id каждым участником, но для этого клиент должен эту группу показывать.
Я даже не уверен, что из basic group будут удаляться сообщения при настроенном таймере, если они уже скопировались. В целом всё это можно проверять, но я пока не могу найти время..