Я вам больше скажу, здесь важен не сам МАС как таковой, а возможности идентификации (фингерпринтинга) вашего устройства. Способов много, почему бы не задействовать их все?
Честно говоря, не интересно, так как все подобные повести заканчиваются примерно одинаково. Общество ловит себя на мысли что все окончательно задолбало, и так жить невыносимо, и приходит к единственно эффективному способу в данных обстоятельствах, то есть к революции. Но что будет с нами, в этом контексте, конечно же да, интересно.
Я говорю про возможные векторы атаки, а не про то что в каком-то конкретно взятом случае это прокатит. В любом случае давать доступ к базе, упрощенно говоря, стороннему сервису — значительный риск, и дополнительные пути для злоумышленника
Есть также алтернативный фактор при котором оператор сливает длительно неиспользуемый номер. Решаемо теоритически элементарным PIN-кодом или контрольными вопросами, но здесь появляется дополнительная задача по возможности и методам его восстановления при появлении такой необходимости, причем так, чтобы это было безотносительно «симки».
Чем поможет двухфакторка в случае, если скомпрометирован сам номер, как приведено выше? Брутить — рандомно по базе номеров и полученных ответов на запросы авторизации у godfather — да не так уж долго, если не адресная атака на конкретный сервер.
Пожалуй добавлю. Как я говорил выше, для таргетированной атаки, при должных мерах безопасности — довольно муторно. Но. Давайте допустим что сервер с таким ПО не один, и не десять. Один поставил, настроил, забыл, уволился, итп — простые человеческие факторы. @botfather прекрасно отдаст контроль любому, кто представится подходящим номером телефона, а номера периодически меняют пополняя пул свободных для оператора. Таким образом арендовав скажем условные 1000 номеров за условные 30 копеек, можно простым брутом пощупать их на предмет подобного доступа.
Это не то, что бы проблема, учитывая пул и без того имеющихся данных. BLE здесь скорее нужен для повышения точности уже существующих данных, чем для получения новых.
С точки зрения удобства — вероятно полезный инструмент, но с точки зрения безопасности — вы создали точку входа к критическим данным. Как мишень для таргетированной атаки — слишком заморочено, но как массовый поиск на наличие доступа вполне годится. Ваш подход имеет право на жизнь, но ваши задачи вполне могли бы покрыть шелл-скрипты с тем же эффектом, но при этом вы не дали бы дополнительный доступ извне. Если ввести в ваш бот дополнительные и достаточные меры защиты — простота и комфорт, ради которого он существует — сведется к тому же SSH доступу, только через бот, что сведет на нет его смысл. Сделки между простотой, комфортом и безопасностью — довольно отчаянный шаг в случае доступа к важным данным. Не говорю, что сделанное вами — плохо, но говорю, что к подобным инструментам стоит пододходить с большой осторожностью. Если угодно — с удовольствием подискутирую на эту тему.
А вы никогда не видели вопросов к мейнтейнеру open source «почему так долго, там одна строчка изменений»?
Не часто, но видел. Считаю подобное в контексте OS неприличным. Если вижу баг и возможность его быстрого исправления, отправлю PR, а не создам тикет с упреками мейнтейнера в нерасторопности.
Надеятся на "будет ли", я бы не стал, скорее — когда
Дорого, помимо потенциально интересных бесед, придется хранить гигантское количество неинтересных, к тому же их придется как-то классифицировать
Это не то, что бы проблема, учитывая пул и без того имеющихся данных. BLE здесь скорее нужен для повышения точности уже существующих данных, чем для получения новых.
Скорей уж дорога в ад для всех участников
И снова 1984. Как же власти привлекает этот вариант общества
Не часто, но видел. Считаю подобное в контексте OS неприличным. Если вижу баг и возможность его быстрого исправления, отправлю PR, а не создам тикет с упреками мейнтейнера в нерасторопности.