• Почему ваш любимый мессенджер должен умереть
    –4
    Серверы Telegram, вместе с перепиской, которая хранится на них в открытом виде, могут быть изъяты в любой момент, если так решит государство, в котором они размещаются.


    Автор ошибается. Вся информация на северах Телеграма хранится в зашифрованном виде, причем ключи для каждого отдельного случая находятся в другом кластере, расположенном в другой юрисдикции. Таким образом локальные вторжения или действия инженеров на местах не позволяют получить доступ к данным. См. telegram.org/privacy#cloud-chats
  • Авторизация/Регистрация пользователя через Telegram
    0
    Нет, такой возможности не предусмотрено и вряд ли стоит её ожидать в ближайшем будущем.
  • Авторизация/Регистрация пользователя через Telegram
    0
    Что имеется ввиду под отдельным окном? У пользователя может быть установлен любой из клиентов, в т.ч. нативный.
  • Авторизация/Регистрация пользователя через Telegram
    +4
    Очень плохой пример авторизации на базе Telegram.

    Правильное решение — использовать Telegram Bots API. Он был создан как раз для подобных задач.

    Автор явно не обратил внимание на раздел про Deep Linking. Этот механизм позволяет пользователю одним кликом на внешнем сайте открыть переписку с ботом в Telegram с передачей произвольного параметра.

    Во-первых с точки зрения usability пользователю куда проще нажать на одну кнопку на сайте, чтобы перейти в Telegram сразу в нужное место.

    Во-вторых подобный псевдо-пользователь, пишущий случайным пользователям первым, используя их username, для Telegram ничем не отличается от спам-бота, и следовательно, наверняка будет заблокирован.
  • Откровенность API Telegram
    –1
    Механизм генерации ключей между клиентом и сервером исключает возможность стороннего MITM. А для защиты от MITM со стороны сервера как раз и сделаны секретные чаты с оконечным шифрованием, в которых она невозможна.

    core.telegram.org/techfaq
  • Откровенность API Telegram
    +18
    Действительно, с 00:09 8 февраля до 22:48 10 февраля в АПИ была возможность получить название и изображение произвольного группового чата. С вечера 10го февраля этот недочет исправлен, спасибо.

    Следует отметить, что идентификаторы групп назначаются произвольно. Используя этот метод, получить информацию об участниках группы, сообщениях в ней или даже получить название беседы конкретного пользователя — невозможно.

    Хочу заметить, что я не являюсь сотрудником ВКонтакте с весны 2012 года.
  • Безопасен ли Telegram? Или как я искал закладку в MTProto
    0
    В документации этой ночью было добавлено:

    core.telegram.org/api/end-to-end#sending-a-request

    core.telegram.org/mtproto/auth_key
  • Остались ли ещё закладки в Telegram?
    +32
    Раз Ваш пост был отправлен в 19:47, то это, действительно, многое меняет.

    Мы пока не формулировали четкую политику bug-bounty в отношении багов на клиентской стороне (особенно, когда о них сообщают сразу из нескольких источников и не совсем ясно, кто был первым). Изначально не планировалось награждать за них так же, как за архитектурные серверные уязвимости.

    Но так как стимулы для поиска багов сохранять надо, мы разработаем некоторую схему для того, чтобы три человека, которые почти одновременно нашли эту проблему с проверкой, остались довольны и не чувствовали, что зря потратили время.

    Для получения Вашей части награды, пожалуйста, напишите нам на security@telegram.org

    А мы тем временем приступим к составлению четкой системы поощрения за найденные баги, чтобы неопределенности больше не существовало.
  • Безопасен ли Telegram? Или как я искал закладку в MTProto
    +2
    Наше внимание к проблеме привлек твит от @DefuseSec (https://twitter.com/DefuseSec/status/414827607687843840), мы с ним вчера связались. Кроме того, проблема была описана Хабраюзером aabc, как он утверждает, еще вчера в 19:47: habrahabr.ru/post/207038/

    Строго говоря, aabc был хронологически первым, хотя мы о проблеме узнали из другого источника.

    Чтобы не было путаницы, мы решили на будущее сформулировать четкую политику bug-bounty (сколько, за что, как определять, кто первый и пр). А в данном случае в качестве одноразового решения в какой-то степени наградить всех троих. Пожалуйста, напишите нам на security@telegram.org – расскажем, как получить награду
  • Безопасен ли Telegram? Или как я искал закладку в MTProto
    0
    Конечно, привязан. Но дело в том, что отправку СМС можно инициировать с любого устройства.
  • Безопасен ли Telegram? Или как я искал закладку в MTProto
    +2
    Больше спасибо. Изначально наше внимание к этой проблеме привлекли в Твиттере вчера вечером – и мы стали разбираться. Кстати, в англоязычной документации на момент Вашего комментария это должно было уже быть — возможно, Вы читали русскую версию?

    Если вновь заметите нечто подобное, пожалуйста, пишите нам на security@telegram.org — будем награждать.
  • Безопасен ли Telegram? Или как я искал закладку в MTProto
    +2
    Насчет доступа к несекретным чатам через клонирование симки — мы рассматривали эту возможность с самого начала, и собираемся добавить защиту через пароль. Внедрение задерживается из-за того, что пока не найдены хорошие ответы на следующие вопросы:
    Что делать, если пользователь забыл пароль? Если давать создавать новый аккаунт, то как это должно быть отражено у старых и новых контактов?
    Нужно решение, которое совместит безопасность и удобство использования.

    Кстати, сейчас при перехвате СМС и попытке входа пользователь сразу же получает уведомление с информацией о новом устройстве и его IP-адресе. Есть также возможность сбросить все сессии кроме текущей, тем самым отменить новую авторизацию.
  • Безопасен ли Telegram? Или как я искал закладку в MTProto
    +125
    Большое спасибо, автор поста полностью прав. Со своей стороны хотим пояснить, что сделано это было из лучших побуждений: исправление плохого рандома на клиентах.
    С настоящего момента в nonce всегда будет приходить ноль, и в следующем слое мы обязательно удалим это поле из схемы и поясним в документации.
    Автор топика безусловно заслужил награды, просьба обратиться хабраюзера x7mz на email support@telegram.org для уточнения деталей.
  • Тестовое задание для разработчиков iOS/Android от ZeptoLab
    +2
    интересно. а сколько людей трудится в вашей команде?
  • Как был взломан Вконтакте.ру
    +2
    чего, у тебя тоже не генерится?)
  • Content editable в HTML5
    +1
    не, designMode это на весь документ. был вообще везде и всегда.
    в Fx, Opera, Webkit поддержка contentEditable есть уже довольно давно. По-моему только в Fx 2, Opera 9 не было contentEditable.
  • Виджеты для сторонних сайтов
    0
    когда ширина менее 450, то не помещается текст статистики. clear: both делается, потому что на многих сайтах были выявлены некрасивости в вёрстке.
    Но ничего не мешает Вам положить виджет в отдельный контейнер и отстилизовать его как Вам удобно. Хоть рядом с fb, хоть вместо неё)
  • Виджеты для сторонних сайтов
    +1
    все виджеты совместимы с сайтами в utf-8
  • Виджеты для сторонних сайтов
    0
    vkontakte.ru/developers.php?o=-1&p=%C4%EE%EA%F3%EC%E5%ED%F2%E0%F6%E8%FF+%EE+%E2%E8%E4%E6%E5%F2%E5+%EA%EE%EC%EC%E5%ED%F2%E0%F0%E8%E5%E2 раздел «Хранение количества комментариев на стороннем сервере»
    Или Вам не ясно, как на своём сервере хранить число, полученное из Javascript?
  • Виджеты для сторонних сайтов
    0
    Вы плохо читали документацию в этих других местах.
  • Рунетология: теперь и в тексте
    0
    ну так да, скорей всего. есть люди, которые на таких вещах зарабатывают деньги)
  • Рунетология: теперь и в тексте
    0
    вряд ли задействована технология распознавания речи)
  • Украли базу резюме пользователей vshtate.ru
    +1
    конструктивно…
    мы всегда открыты к предложениям по улучшению качества сервиса. если есть конкретные идеи — с удовольствием выслушаем.
  • Украли базу резюме пользователей vshtate.ru
    +1
    Тот же Tor по сути прокси не является. Просто люди пользуются ip адресами друг друга.
  • Украли базу резюме пользователей vshtate.ru
    +3
    Мы уже не первый раз сталкиваемся с такими противоправными действиями, но обычно ситуация разрешается довольно быстро по первому же формальному запросу на email. С eserver.ru нам не удалось найти общий язык. Мы писали им на почту по этому поводу ещё 30го марта (30 Mar 2010 00:50:13 если быть точным), ответа никакого не последовало.

    Когда же наш сотрудник позвонил по телефону в их техподдержку, сначала они вообще не поверили, что это их сайт, а затем нам сказали, что такие запросы они решают только по запросу милиции. Как будто там и так не понятно, кто с кого что скопировал.
  • Украли базу резюме пользователей vshtate.ru
    +3
    это я про
    Да, мы знаем что информация была украдена. Мы уже..


    Я являюсь сотрудником ВШтате.Ру
  • Украли базу резюме пользователей vshtate.ru
    +10
    База данных не была украдена. Наш сотрудник несколько погорячился.
    Просто человек организовал ботов, которые выкачали около 2х тысяч резюме.

    А по поводу этого:
    Данные сайты не расположены на нашем хостинге.

    pastie.org/982072

    Как видно, подсеть принадлежит Хостинг-оператору eserver.ru
  • Вместо Qt Opera будет использовать Xlib
    0
    почему же только под Gnome? Xlib не есть GTK
    а .deb пакеты и на Kubuntu ставятся, к примеру
  • Медведев Групп на Хабре!
    0
    так вроде когда компанию организуют новую, стоит задуматься о названии, чтобы таких вопросов не было
    Медведев групп то появился уже при Медведеве, я так понимаю…
  • Медведев Групп на Хабре!
    0
    а почему компания «медведев групп», логин у Вас alexmedv, а зовут Алексей Осин?
    Решили заручиться поддержкой президента?)
  • Медведев Групп на Хабре!
    +1
    чето много понаписано, но сути я так и не понял…
    по звучащим фразам напомнило какую то секту новую)
  • Скачиваем историю сообщений из GTalk'a себе на компьютер
    +5
    обычно бывает наоборот)) отказываются от ICQ в пользу GT и Jabber…
  • Скачиваем историю сообщений из GTalk'a себе на компьютер
    +1
    ну просто у gmail'а, как ни крути, достаточно гибкая и быстрая система поиска. хотя конечно, порой хочется просто grep'нуть.
  • Скачиваем историю сообщений из GTalk'a себе на компьютер
    +9
    вроде история чатов в Google Talk хранится на сервере, чтоб избавить пользователя от необходимости следить за сохранностью подобных all.txt… )
    на за способ всё равно спасибо)
  • Сравнение PHP IDE
    0
    а на что же перешли, если не секрет?)
  • Demonoid возобновляет работу?
    0
    мой последний) piperzXjgbt63zwvqf9hno7uddb317xm
  • Demonoid возобновляет работу?
    +1
    piperzX11y242kguao805b7ynne8qa5xcgs31gjn2v4
    piperzX8cgqx22ui4t9ios08xy8fj30juj8nlr4p
    piperzXjnvwgj0sl0j4ebq5sgyjq3lqu
    piperzXx5hqiwqeuiclup0md68tyl5c3hz1fz
  • Беседы с БлогоМаниТвитоПиплами
    0
    у хабратопиков же есть тип «ссылка» для таких целей.
  • Какой дебаггер для PHP вы используете и почему?
    0
    var_dump(), FirePHP
  • Как заставить пользователей, вводить нормальную информацию?
    +1
    > Но 2 пользователя из 3-х, в поле название будут писать (пример: Завод малярного инструмента)
    не понял… так чего писать то будут?

    Вообще тут помогут только понятные интерфейс с подсказками и постмодерация.