Откровенность API Telegram

[batya15]

Провал резидента.

[Xlab]

(здесь был тупой комментарий от меня, я его стёр)

[ksenobayt]

Баг не в мессенджере, а в программном интерфейсе как таковом был.

[Bakuutin]

Это не баг клиента, прочитайте, пожалуйста, до конца, это баг API.

[Bakuutin]

Кстати говоря, как мы видим, как минимум названия чатов хранятся на сервере в открытом виде, то есть на данный момент угроза MITM всё ещё остаётся.

[valkiriy]

Согласен, где гарантии их честности? А тут ещё и исходники сервера закрыты, а АПИ пользуйся кто хочет… А даже если исходники открыты, где гарантия что сервер работает именно на них?

Мне интересно, а будет ли вознаграждение за найденный баг?

[Malamut]

Да вообще непонятно, как можно говорить о 146% безопасности с закрытыми исходниками? Безопасность и закрытый код — вещи по определению несовместимые.

Какой-то бред, если честно. Который удивительным образом исходит от, вроде бы, прекрасных разработчиков. Я принёс посылку для вашего мальчика, только я вам её не отдам. Мы создали самый безопасный мессенджер, только продемонстрировать эту безопасность не можем.

О чём вообще разговор? Забудьте уже про безопасность Telegram. Но опасен по-определению, как и абсолютно любой софт с закрытыми исходниками. Вот уж не ожидал от вконтактовцев такого наглого маркетинга. Кажется, им удалось убедить использовать «безопасный» с «telegram» даже тех, кто прекрасно понимает, что ни о какой безопасности идти и речи не может.

[Chamie]

Да вообще непонятно, как можно говорить о 146% безопасности с закрытыми исходниками? Безопасность и закрытый код — вещи по определению несовместимые.

Так сервер — это просто среда передачи. Как интернет. Если бы всё шифрование было end-to-end, то код самого сервера был неважен.

[nagimov]

Почитайте про их «механизм генерации ключей», еще совсем недавно он имел открытую закладку «для блага пользователей», позволяющую снять все шифрование с серверной стороны. Да, закладку «баг» закрыли, но уже с тех пор стало понятно, что без открытых исходников сервера Telegram априори не может считаться защищенным.
А до тех пор — забудьте про безопасность Telegram.

[Chamie]

Я читал. Суть же не в исходниках сервера, а в самом шифровании, в его механизме генерации ключей. Сервер вообще по умолчанию должен считаться недоверенной стороной, потому что даже если исходники открыты, то никто не может гарантировать, что на сервере запущен именно результат чистой компиляции этих исходников.

[Japet]

Забудьте уже про безопасность Telegram. Он опасен по-определению, как и абсолютно любой софт с закрытыми исходниками.

Добавлю от себя, что подобный софт (активно реклабирующий себя как «обеспечивающий приватность») опаснее традиционных мессенджеров в плане приватности. Потому что любопытные по долгу службы товарищи в первую очередь будут читать то, что пытаются скрыть.

[ibeatle]

Механизм генерации ключей между клиентом и сервером исключает возможность стороннего MITM. А для защиты от MITM со стороны сервера как раз и сделаны секретные чаты с оконечным шифрованием, в которых она невозможна.

core.telegram.org/techfaq

[ibeatle]

Действительно, с 00:09 8 февраля до 22:48 10 февраля в АПИ была возможность получить название и изображение произвольного группового чата. С вечера 10го февраля этот недочет исправлен, спасибо.

Следует отметить, что идентификаторы групп назначаются произвольно. Используя этот метод, получить информацию об участниках группы, сообщениях в ней или даже получить название беседы конкретного пользователя — невозможно.

Хочу заметить, что я не являюсь сотрудником ВКонтакте с весны 2012 года.

[rixaman]

Наверное в этом и смысл громких заявлений, конкурсов и пафоса, чтобы было к клиенту пристальное внимание и люди находили новые баги.

[Homakov]

Уязвимы были только те кто пользовались этим кривым веб клиентом (почему то я сразу подумал что веб клиент телеграма будет таким же кривым как и сам вк) или вообще любые пользователи телеграма? Если второе то за сим закапываем сей прекрасный месенджер.

[Homakov]

Баг был в АПИ. Штрилиц, это провал.

[ComodoHacker]

Почему сразу закапываем? Не вижу особой разницы между багами в одном и другом месте. Вы написали в жизни что-нибудь такое, в чем потом никогда не находилось багов?

[Xlab]

Ну да, сможет ли Егор обнаружить у себя бревно.

[Homakov]

Если бы я писал секюрный месенжер и ку меня нашлась закладка в крипто плюс такой баг в апи я бы поджав хвост убрал весь бред про супер безопасность с сайта. Ну и во вторых я не разработчик, и как пользователь доверия к телеграму уже не осталось.

[Yan_Alex]

Поддерживаю на 1000000, такая нелепая нубская дыра в МЕГАСЕКУРНОМ протоколе — кому то должно быть ооооочень стыдно.

[turbo_exe]

Не угадал автора по заголовку.

[iavael]

Вы наверное, удивитесь, узнав, что он еще и ваших корреспондентов серверу раскрывает, что, кстати, в некоторых ситуациях, не меньшая угроза безопасности.
У меня вообще есть подозрение, что телеграм рано или поздно начнеть монетизироваться, «сливая» социальные связи человека.

[mediagenia]

Кстати, а как вообще будет монетизироваться телеграм? Павел пишет что он будет бесплатный во веки веков, а так же свободен от рекламы. Им даже на акциях денег не поднять будет, так как какие инвесторы будут вкладывать в то, что не может приносить прибыль.

[evgeny_eJ]

Да-да, а Jabber будет поддерживаться серверами «Вконтакте» всегда и во веки веков. Такому человеку можно верить!

[Yan_Alex]

Дно-Решето, API, который хоть что то отдает по чужой ссылке — это фейл, учитывая что эта дыра уже х** знает сколько там, как вообще можно после этого пользоваться этим говном?

[Homakov]

Эти ребята настолько самоуверенные что похоже не заказывали пентестов у меня ни у кого. В whitebox аудите этот баг был бы просто очевиден.

[Yan_Alex]

Не понимаю, как они сами свой API тестили, похоже что одним полузакрытым глазом, думаю мы скоро еще услышим новости о том, как подменить id беседы и читать переписку )))))))

[Chamie]

Паранойя — это отдельный скилл, его прокачивать нужно ломая сознание, а нужен он не то чтобы много где.