История любви или как мы «взломали» телеграм бота анонимных вопросов

[bodyawm]

[li0ard]

В своё время делал такое же на Telethon. Посыл про CallbackQuery хороший, но для данного бота это вообще не нужно :)

[ifap]

Это лишь скам со стороны бота...

Дело Пейсбука живет и процветает, и ВК в этой теплой кампании скамеров. Воистину, спермотоксикоз - двигатель коммерции.

[Germanets]

В нашем случае, нам нужно шифровать id пользователя любыми доступными способами. К примеру хеширование.

А вы точно специалист по кибербезопасности?)

[metah4cker]

Извините за запоздалый ответ. Вы правы, я сделал ошибку. Я имел ввиду, что нужно скрыть id пользователя любыми доступными способами. Действительно, написать про хеширование это было необдуманное решение, поскольку бот не сможет понять кому всё-таки отправить сообщение.

[nikto_b]

Вот так новость: если отправить клиенту данные то у него будет доступ к этим данным

Никогда такого не было и вот опять!

[vcKomm]

Статья уровня паблика школьников с багами и зломами вконтакте.

callback_data может содержать абсолютно любые данные. Бот может хэшировать user_id, тогда из callback_data вы ничего не получите.

Получить пользователя по id можно через оф клиент тг по ссылке вида tg://user?id=XXX. Для этого он должен быть сохранен в локальной БД. Без всяких юзерботов и прочего.

[r_anisimov]

Как раз я писал об этом, можете почитать. Есть ещё куча мелочей, которыми можно ботов сломать)

В том-то и дело, что любые данные, отправляемые клиенту, априори скомпрометированы, а любые данные, получаемые от пользователя, ложные и опасные. Поэтому нельзя отправлять "чувствительные" данные клиенту, а также обязательно нужно проверять, может ли клиент прислать те данные, которые мы ожидаем; имеет ли он на это право и тп

[metah4cker]

Спасибо за советы. Я почитал ваш материал. Как бывший разработчик телеграмм ботов, могу сказать, что ваша информация была очень интересной. Довольно информативно для тех, кто только начинает разрабатывать ботов.