
Комментарии 7
шифрованный шеринг сниппетов
Ключ кладётся в URL-фрагмент:
idegram.app/s/<id>#<key>
Т.е. любой, кто получит урл с фрагментом, может прочитать сообщение. В т.ч. если человек случайно перешлет кому-то сообщение, расшарит ссылку и т.п.
Всё верно, и это сознательное архитектурное решение, а не баг. Шифрование защищает от одной конкретной угрозы — компрометации нашего сервера. Если завтра нас взломают и сольют всю БД, атакующий получит набор шифротекстов без ключей, потому что ключи физически никогда у нас не были (по HTTP-спецификации часть URL после # на сервер не отправляется, она живёт только в браузере получателя). Так же это работает в PrivateBin, Bitwarden Send и бывшем Firefox Send. От второй угрозы — что получатель сам перешлёт ссылку дальше — ни мы, ни любая другая система защититься в принципе не может. Если ты отправил человеку кусок кода, он его получил и волен делать с ним что угодно. Это ровно та же модель, что у обычного TG-сообщения, GitHub Gist или скрина в Slack: пересылается = расшарено. Поэтому формулировка “end-to-end” тут означает буквально то, что означает — код доступен только на эндпоинтах, отправитель и получатель. Если получателю доверять нельзя — проблема не в транспорте, а в выборе получателя, и никакой инструмент это не лечит. Что мы можем сверху дать (и планируется в следующих версиях): TTL на ссылку, лимит просмотров, отзыв ссылки одной кнопкой из IDE. Это не решает фундаментальную проблему “получатель сделал скриншот”, но сильно сужает окно злоупотребления при случайной пересылке.
не осилил после
Эта статья — про то, что реально работает в коде сейчас, а не про дорожную карту.
А мы в команде просто постоянно сидим в голосе если в данный момент на рабочем месте и в целом молчим но если надо любой человек может подключиться и сразу обсудить проблему или расшарить экран а не слать в Telegram куски кода)
+ В целом очень странно выглядит часто необходимость отсылать какие-то кусочки кода коллеге, ну то есть если это большая фича то по ней был груминг скорее всего а далее разработчик сам делает фичу и на кодревью все вместе посмотрят, а если вы по 10 раз отправляете какой-то кусок кода вместо того чтобы один раз созвониться то это проблема в процессах и вряд ли этот плагин прям решит проблему
Ну отправлять себе в Telegram куски кода чтобы потом дома посмотреть или кому-то показать?
Вы в курсе про гит?
Telegram в IntelliJ: как устроен IDEGram и что он умеет