После удаления Telegram входит в учетную запись без верификации даже после смены пароля



После удаления приложения Telegram с Вашего macOS-устройства стандартным путем (переносом из папки Applications в корзину) — в нем остаются файлы.

Скриншот файлов

Это какая-то часть переписки, информация об аккаунте и т.д. Вещи на первый взгляд не страшные — все, что есть, похоже, зашифровано. Честно говоря, я сильно не изучал [UPD: была статья о том, что данные хранятся в незашифрованном виде].

Но меня удивило другое.

После того, как я снова скачал Telegram из App Store — при открытии приложения я моментально попал в свой аккаунт. Там уже отображалась часть переписки, а также изображения собеседников, сохраненные ранее до удаления. Пока клиент все еще не подгрузил новые данные, пытаясь перехитрить Roskomnadzor, я ожидал получить окно верификации или хоть что-нибудь. Но вместо этого он просто перешел в нормальную работу.

Я подумал, что я не очень умный, а ребята из Telegram магическим образом связали mac-адрес моего устройства или же аккаунт из App Store со своими логами, поняли, что это настоящий я и пустили без какой-либо верификации. Даже без сообщения в мобильное приложение о код-пароле.

Хорошо, тогда я нарушу Ваш умный алгоритм. Теперь после удаления Telegram я изменю свой двухфакторный пароль (тот, который запрашивается после введения высланного телеграмом код-пароля). Очевидно, что я попаду в страшный кейс, когда от последнего входа появилось важное событие в аккаунте и нужно убедиться, что Пользователь верный и спросить у него код-пароль и двухфакторный новый пароль.

Но на мое удивление — никто меня ничего не спросил и после повторной установки просто пустил в аккаунт!

Видимо, ребята из Telegram имеют какие-то более изощренные алгоритмы и включают тайминг. Я пришел в офис и скачал Telegram из App Store, который был удален минимум месяц назад. И меня спокойно пустили в мой аккаунт.

То есть любой, кто имел доступ к компьютеру, с которого я разок заходил в телеграм и удалил его, мог скачать Telegram для своих нужд и попасть в мой аккаунт. Но самое страшное — узнать, что у меня неинтересная жизнь.

Я прошу тех, кого эта возможная проблема волнует, проверить данное поведение на своих macOs девайсах, а также на других платформах. Если у Вас воспроизведется — сообщите в Telegram, потому что я совершенно не разобрался куда писать.

Важное UPD:


Ни в коем случае не претендуя на абсолютную компетенцию своих знаний (коих вообще нет) — я пожелал поднять данный вопрос, чтобы можно было дополнительно разобраться о возможных совершенно неочевидных вещах.

Лично меня сбило то, что после смены пароля сессия на других устройствах продолжает жить. Кажется, когда-то была здоровая практика, что после смены пароля на девайсе, с которого происходило его изменение, сессия продолжалась. А на других устройствах сессия становилась недействительной и нужно было ввести новый пароль. Пароль у Телеграма с включенной двухфакторной аутентификации (то, о чем говорится в статье) — это не пароль от аккаунта, а… да кто его знает что это. Важно то, что его смена не влияет на сессии на других девайсах. Поэтому после смены пароля необходимо вручную закрывать сессии других устройств.

Теперь о том самом удалении Телеграма:

Не смотря на встроенную интуитивную простоту установки и удаления приложений На macOs (засунул файл с расширением .app в приложение — установилось, перенесли этот файл в корзину — удалилось), нужно иметь в виду, что это не равносильно установке и удалении программ на Windows через инсталляторы и деинсталляторы. Как писали в комментариях — после удаления Телеграма через панель управления никаких входов без верификации при его повторной установке не было. Полноценный повтор кейса описанного в статье со Skype на macOs показал аналогичный результат.

Соответственно, нужно сделать следующие выводы:
  1. Если Вы установили на чужом устройстве мессенджер для разового использования — перед его удалением обязательно сперва разлогиньтесь (касается и мобильных приложений)
  2. Удаление приложения не означает, что где-то в системе не останутся какие-либо файлы в незашифрованном виде
  3. Какие-то очевидные именно для Вас вещи не обязательно очевидны для всего остального мира, поэтому нужно дружить с реальностью
AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама

Комментарии 105

    +3
    сообщите в Telegram, потому что я совершенно не разобрался куда писать.

    У них вполне есть github, в котором обычно и пишут багрепорты. К тому же, на их сайте можно написать запрос в техподдержку. И я бы не сказал, чтобы это всё было спрятано…
      +2
      По скриншоту, это не tdesktop, а github.com/overtake/TelegramSwift
        +11
        Техподдержка в самом Телеграме не работает. Сообщения просто игнорируются.
          +1
          Конкретно в этом случае, есть чат с разработчиком t.me/macswift
        +4
        Хммм… У меня на андроиде неделю назад такая же фигня была, но я подумал, что меня глюкнуло и не обратил внимания. Счас не повторилось.
          +3
          Может у вас бэкап на сервера Гугла включен просто?
          +3

          Если у вас есть доступ к клиенту с другого места, там же есть возможность убить все сессии на других устройствах.

            +2
            Да. Но Вы узнаете о том, что кто-то получил доступ к Вашему аккаунту лишь после того, как несанкционированный доступ был получен (можно еще несвоевременно принять меры). Просто в этой статье я указывал основную проблему вот в чем: после удаления приложения Вы явно не ожидаете, что будет вход в Ваш аккаунт без какой-либо верификации при повторной установке телеграма.
              +13
              Я не особо знаком с Mac Os, поэтому вынужден задать достаточно глупый вопрос:
              А браузеры сбрасывают кэши/пароли при удалении через перемещение в корзину?
              Разве вообще такой способ удаления предполагает выполнение каких-то скриптов/действий удаляемым приложением?
                –1
                В макоси — премещение приложения в корзину — штатная процедура удаления приложения.
                Как если бы вы вы винде удаляли через панель управления — программы и компоненты — удалить программу
                  +10
                  Ага. Я в курсе.
                  О чем я не в курсе: вызывается ли при этом какой-то скрипт удаления?
                  Я именно поэтому про браузеры и спросил. Как они? Удаляют свои кэши/явки/пароли?
                  Если нет — то какие вообще вопросы к Телеге?
                    +3
                    вызывается ли при этом какой-то скрипт удаления?

                    Не вызывается. Приложения, которым надо что-то за собой убрать, обычно, имеют деинсталлятор.
                      +1

                      На винде через установку программ либо все удаляется, либо запускается дефолтный для приложения деинсталятор. Запускается ли такой на маке?

                        0

                        Нет. На Маке не предусмотрено дефолтных деинсталляторов (есть отдельные программы, которые могут прибрать за удаляемым приложением). И собственные деинсталляторы есть далеко не у всех приложений, которые даже могли бы что-то сохранять в системе.


                        Фактически, удаление через корзину и установка заново — это просто «удалили экзешник, вернули экзешник». Думаю, что такое не сбросило бы логин пользователя и на других платформах.

                    +1
                    через панель управления — программы и компоненты — удалить программу
                    При таком удалении часто программы таки оставляют свои настройки и данные в папке юзера.
                      0
                      Да, оставляют. Но после такого удаления на Windows при повторной установке необходимо заново проходить верификацию при входе в аккаунт. Это, на мой взгляд, вполне корректно.
                      +2
                      Перемещение в корзину в макоси — это то же самое, что взять папку с приложением в винде и переместить в корзину. Файлы из разряда AppData/Roaming/итд не удаляются.
                    +7

                    Суть проблемы: удаление приложения из Applications не удаляет созданные им файлы (стандартное поведение для Маc приложений, где, как правило, нет никакого uninstaller)
                    На старых версиях MacOS можно было подвесить в систему скрипт на событие удаления папки и в нём зачистить остальное, сейчас – нет. Так что правильное поведение – стирать прогу и данные (полистайте FAQ телеги, там наверняка описано, как это делать проще всего – наверняка перед удалением проги надо что-то сделать).


                    Удалить, затем поставить приложение – всё равно что не удалять его вовсе.


                    Но всё же пошлите им багрепорт, что-то придумать можно (но ненадёжное… Всё, что не требует полной аутентификации на старте проги – ненадёжно)

                      +2
                      Для правильного удаления программ давным-давно написан AppCleaner и ещё пара аналогов.
                      +2
                      Да. Но Вы узнаете о том, что кто-то получил доступ к Вашему аккаунту лишь после того, как несанкционированный доступ был получен

                      не совсем так, как я понял просто аккаунт сохраняется как бы с активной сессией. Удаляется сама программа. Поэтому приём с выйти из других сессий, в данном случае, должен помочь.
                      Ну и выход из аккаунта перед удалением тоже
                        +1

                        А ещё при удалении многих программ, часто идёт вопрос: оставить ли настройки и данные или полностью все удалить. И я считаю такое более честным, чем просто удалиться оставив за собой кучу данных.

                          +2

                          Вы, видимо, не имели дела с MacOS? Там своя специфика.

                            0
                            Вы никогда не сталкивались с пользователями на винде. которые проги удаляют через перенос ярлыка в корзину?
                            Вот именно для таких пользователей Эпл делает свою ОС.
                            Там «интуитивность» поставлена во-главу угла. Но в итоге есть вот такие последствия.
                              +1
                              Интуитивность — это когда работает, и работает как ожидалось. А тут оно просто не работает — полное удаление софтины не удаляет часть ее файлов.
                                0
                                Зато как удобно! Поставил софтину и сразу опять онлайн.
                      +8
                      А не могла это быть просто сохраненная кука? Отправление приложения в корзину не должно «трогать» пользовательские файлы с данными. А смена пароля, по идее, не должна отражаться на открытых сессиях. Теории заговора, сюжет для Рен-тв.
                        –49

                        Технология называется cookies. То есть по-русски "кукис". У нее нет единственного числа. "Одна кука", это, извините, не по-русски. Имхо, правильно "один кукис"

                        +2
                        Если точнее, это сессия.
                        –9

                        Ты про кэши приложеник в оси не в курсе от слова совсем?

                          0
                          Разве они не должны становиться недействительными после смены пароля? Насколько я знаю — это хороший тон в плане безопасности.
                            +1

                            Вообще в телеграме нет пароля, это скорее токен для второго фактора, как TOTP.

                              +3
                              Нет. Никогда не видел чтобы ключ кэширования был производным от пароля.
                                +3
                                Он и не должен быть производным от пароля. Но хороший тон — инвалидировать все сессии кроме текущей сессии при смене пароля.
                            –1

                            Мдауж. В принципе, понятно почему так, но все таки хотелось бы чтоб мессенджер разлогинивался везде хотя бы при смене пароля. Хочется верить, что пофиксят.

                              +3
                              Ну вот нехорошие люди попали в ваш аккаунт каким-нибудь образом, поменяли пароль и тут же автоматически остались единственными у кого есть доступ к аккаунту. Удобно.
                              Хотя, в любом случае у них уже есть возможность все сессии завершить. Впрочем как и у вас когда вы меняете пароль.
                                +2

                                Нет возможности сессии завершить: у устройств, которые только что залогинились должно пройти какое-то время перед тем, как они смогут удалять сессии.


                                Так раньше точно было, сейчас не уверен.

                                  0
                                  Тогда всё хорошо. А вот если при смене пароля будут автоматически завершаться все сессии… кажется это было бы не очень хорошее решение.
                                    0

                                    Почему нет? При смене пароля завершать все сессии, кроме того где сменили пароль. Точно заставит задуматься. Ну а дальше варианты про двух факторку. Бывает так, что надо срочно разлогинить со всех устройств и это не твой телефон. И сменить пароль. Именно на новом устройстве. Потерял телефон, телефон стал вещь доком, и т. Д. и т. п.

                                    0

                                    И наверное, не только что залогинились, а залогинились, являясь совсем новым устройством, т.к. у меня сразу был доступ всегда к закрытию сессий других. Вообще, это походу нада самому всё проверять везде, а то похоже никто не в курсе как и что происходит :)

                                    0

                                    Если нехорошие люди получили доступ к моему устройству или аккаунту, то у меня проблемы совсем другого порядка. И меняя пароль я хочу чтоб мне хотя бы галочкой в интерфейсе в этом же окне предложили логаут.

                                    0
                                    Да, завершение сессии с любого устройства на любом очень полезная штука и выручает.
                                    +3
                                    Имхо, перед тем, как удалять приложение, нужно выйти из аккаунта.
                                    Или, таки правильно заметили выше, если забыли выйти, то всегда можно завершить сессию удаленно. И при смене пароля (при желании) можно выйти из всех сессий.
                                    Т.е. здесь скорее дается больше контроля пользователю.
                                      –8
                                      Мне больше стало интересно — реально ли в макоси удаление программ происходит через перенос папки в корзину и это стандартный для всех программ способ? Мне кажется тогда удобство Эппл тут теряется очень сильно. Или же кто-то просто как раз «криво» удалил?
                                        +4
                                        Нет, тут не нужно искать какие-то папки в глубине /usr/ или /Program Files/
                                        Перемещается «ярлык» из ланчпада в корзину и это инициирует удаление программы из системы.
                                        Так что с удобством все норм, не надо лезть в пакетный менеджер или в панель управления.
                                          +7

                                          Тут смешаны два случая.


                                          1. Удаление приложения, скачанного из App Store. В этом случае перетягивание в корзину в Launchpad – это не удаление .app, а просто альтернативный способ нажать "крестик", т. е. попросить ОС удалить программу.
                                          2. Для приложений не из App Store перетягивание из Launchpad в корзину ничего не делает, и для них стандартным способом удаления действительно является удаление .app из папки /Applications. Некоторые программы имеют деинсталлятор, который находится либо рядом с программой, либо в .dmg-образе установщика.
                                          +8
                                          Да, макось это юникс, а в юниксе не принято
                                          1) держать данные и код вместе
                                          2) удалять данные приложения когда удаляется кода приложения
                                          И это — хорошее и правильное поведение!

                                          Некоторые программы имеют деинсталляторы явно, для других программ можно найти рецепты как удалить все данные.

                                          Есть довольно определенные места где программа может складывать данные в папке пользователя. Такие как ~/Library/Application Support/%program name% или ~/.config/%program name%

                                          Удаление приложения методом переноса в корзину — это супер-удобно!
                                            0
                                            Да, в общем, и в Windows тоже считается хорошим тоном держать данные приложения в %APPDATA% (Telegram в этом плане — образцовое приложение: если установщик запущен с правами администратора, то он установится в %PROGRAMFILES%, если без — в профиль пользователя; если сам клиент запущен с правами администратора, он поместит профиль рядом с исполняемым файлом, а если без — профиль поедет в %APPDATA%). И эти данные точно так же либо не удаляются при удалении приложения, либо в деинсталляторе (если разработчик предусмотрел) есть опция «подтереть данные приложения».
                                              +1
                                              Только что проверил на клиенте для Windows 10, при переустановке мне предложили полностью заново указывать данные регистрации. Ничего ни откуда магическим образом не подтянулось.
                                                0
                                                Потому что в Windows за удаление отвечает родной деинсталлятор Telegram, он сносит каталог с данными приложения (tdata) без вопросов. Сохраните tdata самостоятельно и подсуньте после переустановки — вуаля, вы залогинены.

                                                А в macOS, если приложение установлено из App Store, или в Linux, если оно установлено из репозиториев, за удаление отвечает не деинсталлятор Telegram, а пакетный менеджер дистрибутива, у которого свои представления о том, нужно ли зачистить данные приложения. Например, пакетный менеджер apt при удалении приложения не тронет данные приложения, лежащие в домашнем каталоге пользователя. Это значит, что профили Telegram, Firefox, Chrome и подобных им приложений придётся удалить вручную.
                                                +2
                                                Да чёрт бы побрал это хорошее и правильное поведение! Куча мусора накапилвается в аппдате и реестре, при переустановке системы слетает ВСЁ, каждый раз надо искать куда прога насрала данными, трудно бэкапить, не скинешь программу на флешку и т.д…
                                                Хотя многие разработчики к счастью это понимают и делают портативные версии программ…
                                                  0

                                                  Лично я с Вами полностью согласен

                                                0

                                                Что же тут удобного, когда после удаления приложения в системе остаётся какой-то мусор? По-вашему удобно при удалении каждой программы искать какие-то "рецепты" или использовать всякие клинеры? По-моему это недоработка системы. Я не знаю, то ли это разработчики не используют какие-то хуки, чтобы подчищать за собой, то ли макось в принципе не даёт возможности делать такие хуки, но вот этот аспект я считаю отвратительным, только из-за этого я был вынужден переустанавливать ОС хотя бы раз в год, чтобы не тащить ненужный мусор.

                                                  +5

                                                  Это не винда, это Unix. Здесь не "мусор", а вполне четко организованные пользовательские данные, лежащие во вполне известных местах, и не дело программы при удалении решать за пользователя, нужны ли ему ЕГО данные, или нет. Подумайте хотя бы о возможности разделения одного профиля (например классическое монтирование /home по NFS) с разных машин — и что, программа будет удалять, не зная, что гробит другим копиям?


                                                  Или еще более в лоб — должна ли деинсталляция Microsoft Word удалять все файлы .doc на компьютере? А игра свои сэйвы — может, пользователь потом захочет переустановить и продолжить играть?..

                                                    +2
                                                    Которые сохраняла сама временные — да, а вот которые пользователь указывал, куда сохранять — нет.
                                                      0

                                                      Извините, и во многих современных играх пользователь реально может указать КУДА сохранять?

                                                        0
                                                        Ну я в игры давно не играл, думаю это желание самой программы не давать пользователю много свободы. Мне вот тоже не нравится, что в старой опере вроде бы можно было указать, куда сессию сохранить, а в вивальди уже надо самому выискивать.
                                                          0

                                                          Сейчас игры нацелены на облачное сохранение, чтобы иметь преимущество перед пиратскими копиями. А поиск локального сейва сделать предельно сложным

                                                        +4
                                                        Технологические данные приложения — не тоже самое, что файлы, которые создал пользователь. Без самого приложения это как раз мусор. И неплохо бы, чтобы приложение его за собой убирало. Если в Unix это не принято, то не думаю, что это стоит считать достоинством.
                                                          –1
                                                          И неплохо бы, чтобы приложение его за собой убирало. Если в Unix это не принято, то не думаю, что это стоит считать достоинств.юом.

                                                          Это было бы крайне странно у абсолютно ужасно, если бы удаление приложения одним пользователем (ну, вот дали ему такую часть прав) приводило к уничтожению пользовательских данных у ВСЕХ пользователей этой системы. Даже на винде. На юниксах же это абсолютно неприемлимо.

                                                            –1
                                                            Не понятно, за что заминусили. Первый дельный комментарий по этому вопросу!
                                                              0
                                                              Не пользовательских данных, а служебных данных приложения. Например, кэш. Без самой программы такие данные — мусор.
                                                                0

                                                                Но в статье же речь про закешированные сессии, которые у каждого пользователя свои.

                                                                  0

                                                                  Ну так и кэш браузера, например, у каждого пользователя свой. Но это не важно, т.к. это не пользовательские данные, а служебные данные программы. Без самой программы они для всех пользователей никакого смысла не имеют.

                                                                    0

                                                                    Да ок. Вопрос-то не в их полезности. А в том, как какой-то пользователь может, удаляя софт, влиять на пользовательское пространство других пользователей?

                                                                      0
                                                                      Не совсем понимаю, что именно вас беспокоит. Да, когда пользователь удаляет программу, установленную для всех пользователей, он этим действием несомненно затрагивает всех остальных пользователей. Это принципиальное ограничение, если программы устанавливаются в общее пространство для всех пользователей. Не нравится? Можно устанавливать локально для своего пользователя, проблема исчезает (появляются другие).

                                                                      Или мы говорим о формальных правах доступа, что один пользователь не должен иметь прав на удаление в каталоге другого пользователя? Так для удаления программы из общего пространства требуются права администратора, а администратор обычно имеет доступ к каталогам всех пользователей.
                                                                        0

                                                                        Ну как минимум, я впервые слышу, чтобы хоть какая-то программа хоть в какой-то мультипользовательской ОС так делала. А то тут на никсы выпад был.

                                                                  0

                                                                  причём здесь кэш? Речь идёт об аутентификационных данных и истории сообщений. В вендах это норм, когда, скажем, при смене почтовой программы прибиваются почтовые базы и ssh-ключи ВСЕХ пользователей? Ведь без почтовой программы почтовая база не имеет смысла, правда? Ну, и зачем вам ssh ключ без ssh клиента, правда? А то, что можно поставить другую почтовую программу вы не подозреваете? Я давно знал, что венда малопригодная для работы система, но вот чтобы так? :)

                                                                    0
                                                                    аутентификационных данных
                                                                    У вас кто-то логин/пароль удалил? Удаляется токен сессии, который вам неизвестен и не нужен, а нужен он только программе, чтобы на каждый чих у вас логин с паролем не спрашивать (фактически, тот же кэш).
                                                                    истории сообщений
                                                                    История сообщений в Телеграме хранится на сервере. Удаляется локальный кэш истории сообщений.
                                                                    В вендах это норм, когда, скажем, при смене почтовой программы прибиваются почтовые базы и ssh-ключи ВСЕХ пользователей
                                                                    Нет, не норм, а что, кто-то их прибивает?
                                                                      0
                                                                      История сообщений в Телеграме хранится на сервере.

                                                                      Секретные чаты тоже?
                                                                        0
                                                                        А их тоже удаляют? Тогда косяк, несомненно.
                                                                          0
                                                                          Ну они лежат там же, в профиле. Есть удалять — то весь профиль, вместе с сообщениями и ключами к этим чатам. Если не удалять, то не удалять ничего, включая аутентификационные куки и ключи секретных чатов.
                                                                        0
                                                                        У вас кто-то логин/пароль удалил?

                                                                        нет, я его не помню. Я знаю, что компьютер помнит токен сессии (что даже безопаснее, чем пароль, если грамотно сделать). Я расчитываю, что если Я в ЯВНОМ виде не удаляю эту ВАЖНУЮ для инфраструктуры информацию (даже если я сам не могу её прочитать), то я смогу ею пользоваться в дальнейшем. То, что эта информация сгенерирована не мною лично, то, что я вручную не могу извлечь из неё смысла, то, что без программы я не могу ею воспользоваться — какая разница? Я и док файл не могу без ворда прочесть.


                                                                        Удаляется токен сессии, который вам неизвестен и не нужен, а нужен он только программе, чтобы на каждый чих у вас логин с паролем не спрашивать

                                                                        ssh ключ мне неизвестен и не нужен, сгенерирован программой, и нужен тоже только только программе, чтобы на кажый чих доступ не запрашивать. Можно удалять?


                                                                        на каждый чих у вас логин с паролем не спрашивать (фактически, тот же кэш).

                                                                        Расчёт вашей зарплаты бухгалтерия хранит во всяких базах данных и прочих системах просто, чтобы на каждый чих не пересчитывать его на счётах (фактически, тот же кэш). Почистите кэши в вашей конторе :)


                                                                        История сообщений в Телеграме хранится на сервере.

                                                                        Не вся. Впрочем, это же тоже просто кэш, историю сообщений можно вспомнить и написать заново!


                                                                        Нет, не норм

                                                                        вы уж определитесь норм или не норм. В вашей терминологии это всё служебные данные приложений. Да, без приложения они не нужны. Но если установить приложения заново (или другое однотипное приложение), то они, оппаньки, опять оказываются не просто нужны, но и жизненно необходимы.


                                                                        а что, кто-то их прибивает?

                                                                        Ну, вон, там выше человек пишет, что неудаление данных при удалениии приложения — это чуть ли не недостаток юниксов (и точно не достоинство). Видимо, в лишёных этого "недостатка" вендах, таки да :)

                                                                          0
                                                                          нет, я его не помню. Я знаю, что компьютер помнит токен сессии (что даже безопаснее, чем пароль, если грамотно сделать). Я расчитываю, что если Я в ЯВНОМ виде не удаляю эту ВАЖНУЮ для инфраструктуры информацию (даже если я сам не могу её прочитать), то я смогу ею пользоваться в дальнейшем
                                                                          Я не знаю, откуда у вас такие ожидания, но я никогда не видел программы, которая бы обещала пользователю сохранность токена сессии. Собственно, даже упоминаний о наличии этого токена обычно нет — потому что это детали реализации, а не важная для пользователя функциональность. Токен может быть инвалидирован даже без переустановки, например, по прошествию определенного времени, при изменениях в аккаунте, иногда даже просто при изменении IP адреса. Короче говоря, вы пользуетесь токеном не по назначению и вполне естественно, что программы не оправдывают ваших ожиданий.

                                                                          ssh ключ мне неизвестен и не нужен, сгенерирован программой, и нужен тоже только только программе, чтобы на кажый чих доступ не запрашивать
                                                                          Какой доступ? ssh ключ и есть ваш доступ, что будет запрашивать программа, если ключа нет?
                                                                          Кстати, если программа запросила у вас ключ, потом сохранила его где-нибудь у себя во временных файлах (но вам об этом не сообщила и не обещала, что ваш ключ надежно сохранен), то вот эта копия ключа опять-таки становится служебными данными программы и должна быть удалена при деинсталляции.

                                                                          Не вся. Впрочем, это же тоже просто кэш, историю сообщений можно вспомнить и написать заново!
                                                                          Нельзя, по крайней мере в общем случае.

                                                                          В вашей терминологии это всё служебные данные приложений
                                                                          См. выше — в ваших примерах это пользовательские данные.

                                                                          Ну, вон, там выше человек пишет, что неудаление данных при удалениии приложения — это чуть ли не недостаток юниксов
                                                                          Неудаление служебных данных, про пользовательские он такого не писал.
                                                                0
                                                                учитывая что программа удалена, то это скорее мусор, впрочем не важно
                                                                тут скорее почему бы не спросить разрешения на очистку данных во время удаления?
                                                                Или еще более в лоб — должна ли деинсталляция Microsoft Word удалять все файлы .doc на компьютере?

                                                                некорректное сравнение
                                                                А игра свои сэйвы — может, пользователь потом захочет переустановить и продолжить играть?..

                                                                да, пусть синхронизирует данные с облаком и удалит за собой все
                                                                  +3
                                                                  да, пусть синхронизирует данные с облаком и удалит за собой все

                                                                  Ага, а ещё пусть без подключения к облаку вообще не запускается… тьфу на вас триста раз..

                                                                  +1

                                                                  macOS имеет очень формальное отношение к юниксу и с течением времени отдаляется от него всё дальше. Я бы не стал апеллировать к юниксу в этом плане. Никаких монтирований /home по NFS в macOS нет. Там даже /home в том смысле, который вы в него вкладываете, нет.


                                                                  Деинсталляция Word не должна удалять все файлы .doc на компьютере. А вот удалить все кеши должна.


                                                                  Игра свои сейвы вполне может удалить предварительно спросив пользователя об этом. В 90% случаев эту игру пользователь уже не установит и сейвы будут лежать тем самым мусором на диске.

                                                                    0
                                                                    лежащие во вполне известных местах

                                                                    Эм, где-то в профиле в каталоге с точкой это известное место? Или когда они по новому соглашению кидают конфиги в .config профиля, ибо в корне профиля уже помойка? Я уж молчу про базы данных, которые валяются в /var/, и конфиги из /etc/, вторые хотя бы подчищаются пакетным менеджером.
                                                              0
                                                              iCloud Keychain?
                                                                0
                                                                Удаляйте старые(ненужные) сесии. Они, кстати, создаются странным образом, у меня от одного и того же устройства несколько сессий.
                                                                  +4

                                                                  Telegram тут демонстрирует общепринятое поведение. Во-первых, предполагается что вы никого не пускаете в свой профиль на компьютере, а если надо, то еще и шифруете его. Во-вторых, в телеграме можно удаленно разлогиниться. В-третьих, пользовательские данные никто не трогает.


                                                                  OAuth-токены, не защищенные паролями ssh-ключи, открытые профили c долгосрочными куками в браузерах, и т.д. и т.п. — вас же не смущает все это? Добро пожаловать в дивный новый мир.

                                                                    +3
                                                                    Вообще удаление приложения из Applications в MacOS в корзину — стандартное поведение, при котором удаляется само приложение, а данные могут лежать (и обычно лежат) в другом месте. Очистка этих данных — работа пользователя. Для этого и придуманы множество утилит типа CleanMyMac (аналог CCleaner в Win)
                                                                      +1
                                                                      Тут, к слову, посоветую простую бесплатную утилитку-деинсталлятор, которой пользуюсь уже давно: AppCleaner. В нее перетягивается удаляемое приложение, и вместе с ним можно сразу отметить для удаления и все его данные.
                                                                        0

                                                                        Кстати, если не ошибаюсь, то разработчики бесплатную лицензию давали на CleanMyMac. Нужно было вступить в их группу в Facebook. Возможно, сейчас ещё актуально. Аргументировали они тем, что лучше мы вам дадим ключ, чем вы будете где-то скачивать пиратку.
                                                                        А AppCleaner тоже как-то попользовался: с задачей справлялась программка. Сейчас уже должно быть получше, развивается же.

                                                                      +10
                                                                      Внезапно — пользовательские данные хранятся в домашней директории пользователя. Удаление приложения при этом пользовательские данные не затрагивает.

                                                                      Тут это даже невозможно трактовать как баг, это известное поведение *никсов.
                                                                        +4
                                                                        Чет немного кликбейт, такое поведение на маке предсказуемо. Сносите
                                                                        ~/Library/Application Support/Telegram Desktop

                                                                        Advanced level:
                                                                        Ставьте/удаляйте все приложение через homebrew, он чистит за собой в отличие от «я перенес бинарь в корзину» метода
                                                                        github.com/Homebrew/homebrew-cask/blob/master/Casks/telegram-desktop.rb
                                                                          –1
                                                                          Так а об чем вопрос? Телеграм хранит историю на своих серваках, удаление приложения с Мака или телефона не приводит к удалению аккаунта, истории и всего что с ним связано, это обычно даже в плюсы приписывают в сравнении с Вайбером
                                                                            +5
                                                                            И где здесь уязвимость? Я тоже могу сделать pacman -R telegram-desktop, и данные профиля в домашней папке останутся и будут доступны после повторной установки клиента.
                                                                              +1
                                                                              Хорошая скрытая реклама CleanMyMac
                                                                                +5
                                                                                Такое чувство, что не только автор, но и внушительная часть комментирующих, не имеют вообще никакого представления не только о макоси, но и о том как работает типовой софт вообще. Перетаскивание апп-бандла (по сути — бинарника с либами и ресурсами) в корзину не удаляет данные приложения. Это не проблема телеграма и не проблема 3rd-party софта в целом. Пойдите на винде удалите telegram.exe, потом восстановите его и О ЧУДО, вы попадете в свой аккаунт без ввода пароля! Пора писать еще одну статью, только лучше уже на Пикабу или Фишки.нет — более подходящие места.
                                                                                  +2

                                                                                  Просто очередная статья о том, как в своём профиле на своём компе получить, внезапно, доступ к своей переписке.


                                                                                  Что не отменяет, конечно, того факта, что при смене пароля неплохо бы старые сессии если не инвалидировать, то хотя бы как-то подтверждать.

                                                                                    +1
                                                                                    Пойдите на винде удалите telegram.exe

                                                                                    На винде удаление запускаемого файла не является корректной деинсталляцией.
                                                                                      +1
                                                                                      Что определяет корректность деинсталляции? Насколько мне известно на винде тоже ничего не форсируется — анинсталлер может удалять данные приложения, а может не удалять.
                                                                                        +1
                                                                                        Что определяет корректность деинсталляции?

                                                                                        Удаление записей из реестра об установке, и соответственно отсутствие программы в «Установка и удаление программ». Да, удаляльщик может вообще только записи в реестре с ярлыками удалить, но обычно так не делают. А про удаление данных часто спрашивают, и в этом случае неоднозначности не будет. Это ИМХО корректное поведение.
                                                                                        Конечно, в идеале никаких Uninstall.exe вообще быть не должно, удалением должна заниматься операционная система, а приложению нужно лишь предоставить списки её файлов, разделённые по категориям, типа файлы приложения, кеш, данные, ещё чего-нибудь. Но почему-то об этом не подумали. Точнее, в винде есть MSI, но всем пофиг, включая саму МС, которая наворотила отдельную фигню для установки UWP.
                                                                                          0
                                                                                          удалением должна заниматься операционная система, а приложению нужно лишь предоставить списки её файлов, разделённые по категориям, типа файлы приложения, кеш, данные, ещё чего-нибудь

                                                                                          В идеальном мире — да. Но по факту любому хоть сколько-нибудь сложному приложению требуются еще какие-то дополнительные действия при установке/удалении/обновлении, которые в стандартной модели не предусмотрены.

                                                                                          MSI, к счастью, позволяет эти действия выполнять путем запуска скриптов, других программ или небольших кусочков кода (custom actions). В остальном MSI — лютый ******, переусложненный, неочевидный, с кучей побочных эффектов и т.д. Поэтому его уже который раз пытаются заменить, но пока безуспешно.
                                                                                    +5

                                                                                    Заголовок не соответствует действительности. Менялся не пароль, а метод 2FA, что не одно и то же. Смена 2FA как правило не завершает все сессии, а смена пароля — завершает.

                                                                                      +1
                                                                                      Все что телеграм обещает — это шифровать ваши сообщения от вашего устройства — до устройства получателя.
                                                                                      Что-то там удалять, шифровать локально, или не «привязываться» к вашему номеру телефона — в его обязанности не входит.
                                                                                        0
                                                                                        В мире unix систем — это норм поведение: удалять само приложение, но не пользовательские данные. Предполагается, что к каталогу пользователя имеет доступ только сам пользователь (ну и админ, конечно). Все эти секретные данные лежат в родном каталоге конкретного пользователя. У вас же там и ключи ssh лежат, ничего страшного же не происходит?
                                                                                          0
                                                                                          Для удаления программ вместе с их данными давно пользуюсь AppCleaner. Он бесплатный и отлично все подчищает. Если что
                                                                                          brew cask install appcleaner
                                                                                            0
                                                                                            Пользуясь случаем — посоветуйте, пожалуйста, куда писать разработчикам Telegram чтобы сообщить какую-то идею / фичу для Telegram?

                                                                                            Читал FAQ, там написано про то что можно в самом приложении писать и то что есть Twitter аккаунт. Писал в самом приложении, в разные дни (3 раза), не ответили. Писал в Twitter`е, под постом было много комментов без особого смысла, и Twitter аккаунт Telegram`а ответил почти на все. Но на мои два сообщения — ответа я так и не получил. Вот даже не знаю, в чем проблема наладить хоть один метод коммуникации?
                                                                                              –1
                                                                                              посоветуйте, пожалуйста, куда писать
                                                                                              Божена Львовна с полпинка снесла телеграм-канал, который ее пародировал. И даже теперь в новом канале дисклеймер про то, что это «Личный пародийный аккаунт» — примечание для совсем тупых, очевидно.
                                                                                              … будь как Божена!.. (с)
                                                                                              в чем проблема наладить хоть один метод коммуникации?
                                                                                              … скрипач — не нужен, родной… (с) освежите классику, что ли…
                                                                                              0

                                                                                              Такое ощущение, что он просто удалил ярлык со стола (как на Винде). К сожалению, макосью не пользуюсь, но почему никто лично не выходит с сессии перед удалением софта?

                                                                                                0

                                                                                                На Маке «ярлык» — это и есть само приложение. Точнее, специальная директория <appname>.app, в которой лежат бинарники и ресурсы приложения. Само собой, файлы с настройками приложения, кешем, базами данных и т.п. хранятся в отдельных директориях, как и в Винде.

                                                                                                –1
                                                                                                Я принес с работы папку портабельной телеги домой, скопировал на комп и все работает без каких-либо манипуляций…

                                                                                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                Самое читаемое