LINUX.ORG.RU

Официальный клиент Telegram сливает ссылки, вставленные в мессенджер

 ,


1

4

При вставке ссылок в клиент Telegram для Linux он сливает их на свои сервера, после чего по ним тут же заходит бот. Причём даже Send нажимать не надо.

Можно проверить на https://uriteller.io/

Нажимаете кнопочку «Let's find out!» и вставляете сгенерированную ссылку в мессенджер. Запросы к этой ссылке отображаются на странице.

Гугл молчит. Неужели никто раньше не заметил этого?



Последнее исправление: meskalin (всего исправлений: 1)

Давно известно. Генерирует ту «красивую» ссылочку с предпросмотром и прочими радостями.

Deleted
()

+1 в копилку грехов телеграмма

Deleted
()

Неужели никто раньше не заметил этого?

Никто реально озабоченный приватностью не использует Телеграм.

devl547 ★★★★★
()

Потому что он запрашивает тайтл и описание, чтобы тебе красиво показать, но додуматься до этого, конечно, сложно. И не сервера телеграма, а клиенты это делают.

Deleted
()
Ответ на: комментарий от meskalin

Если одноразовая ссылка удаляется от GET-запроса, значит этот сайт нарушает протокол HTTP и его надо фиксить.

Legioner ★★★★★
()

Это ещё одна его киллерфича! Предпросмотр и титл. Удивительно, что прочие нелодумались.

dk-
()
Ответ на: комментарий от meskalin

А ты бы хотел, чтобы твой собеседник таким простым способом мог узнать твой IP? Наоборот в Telegram сделали всё правильно, проксируя запрос через свои серверы и скрывая твой настоящий IP-адрес. Возможно они даже не могут читать сам запрос, если SSL запрос исходит от клиента, а они только проксируют зашифрованный трафик (например так делает Signal).

Legioner ★★★★★
()
Ответ на: комментарий от dk-

Удивительно, что прочие нелодумались.

Гнойный вайбер тоже это делает. Убил бы.

thesis ★★★★★
()
Ответ на: комментарий от meskalin

Согласно стандарту HTTP, запросы типа GET считаются идемпотентными

И даже стандарт зацитирую:

9.1.2 Idempotent Methods

Methods can also have the property of «idempotence» in that (aside from error or expiration issues) the side-effects of N > 0 identical requests is the same as for a single request. The methods GET, HEAD, PUT and DELETE share this property. Also, the methods OPTIONS and TRACE SHOULD NOT have side effects, and so are inherently idempotent.

Dark_SavanT ★★★★★
()

Так это все делают ещё со времён скайпа. Там они это объяснили заботой о безопасности пользователя. Типа а вдруг по ссылке страшный вирус? Вот поэтому они на неё заходили и проверяли типа.

WARNING ★★★★
()
Ответ на: комментарий от Legioner

Naturally, it is not possible to ensure that the server does not generate side-effects as a result of performing a GET request; in fact, some dynamic resources consider that a feature.

meskalin
() автор топика

При вставке ссылок в клиент Telegram для Linux он сливает их на свои сервера

Значит все это End-to-End шифрование, которым они так пиарятся - фигня и они так же могут слить разговоры на сервера?

anonymous
()
Ответ на: комментарий от meskalin

А почему ты вырываешь фразу из контекста?

Implementors should be aware that the software represents the user in their interactions over the Internet, and should be careful to allow the user to be aware of any actions they might take which may have an unexpected significance to themselves or others.

In particular, the convention has been established that the GET and HEAD methods SHOULD NOT have the significance of taking an action other than retrieval. These methods ought to be considered «safe». This allows user agents to represent other methods, such as POST, PUT and DELETE, in a special way, so that the user is made aware of the fact that a possibly unsafe action is being requested.

Naturally, it is not possible to ensure that the server does not generate side-effects as a result of performing a GET request; in fact, some dynamic resources consider that a feature. The important distinction here is that the user did not request the side-effects, so therefore cannot be held accountable for them.

Фичи, о которых пишут, это какие-нибудь счётчики посещения, например. Но никак не удаление файла в ответ на GET-запрос. Кстати какой именно файлообменник таким грешит?

Legioner ★★★★★
()
Последнее исправление: Legioner (всего исправлений: 1)
Ответ на: комментарий от anonymous

А что им может помешать это сделать? У клиента исходники закрытые, скачиваешь ты его непонятно откуда, на что ты вообще можешь рассчитывать? Не, они, конечно, скорее всего добросовестны, но техническая возможность слить что угодно есть у кучи компаний, которые насували софта в твоей телефон (как в сам андроид, так и во всякие прошивки).

Legioner ★★★★★
()
Ответ на: комментарий от anonymous

Код клиента открыт, можешь сам провести аудит.

Только надо после этого собрать из этого кода клиент и установить себе на телефон, а не пользоваться всякими магазинами приложений. Ну и не забывать про остальные приложения, которые могут перехватывать информацию.

Legioner ★★★★★
()

Неужели никто раньше не заметил этого?

Так все заняты! Кто-то на красивые стикеры любуется, кто-то доказывает в интернетах его «безопасность».

Alve ★★★★★
()

Представляешь, он ещё и номер твоего телефона хранит

Dred ★★★★★
()
Ответ на: комментарий от anonymous

И из дома не выходит. Сейчас камеры повсюду(

devl547 ★★★★★
()

Проблема, видимо, не в том, что телеграм ходит по ссылке, а то что он анализирует содержимое сообщения до его отправки и этого end-to-end шифрования.

BigAlex ★★★
()

Считать Telegram безопасным — очень уж наивно. Просто почитайте статьи про него. Особенно статьи про конкурсы.

Deathstalker ★★★★★
()
Ответ на: комментарий от aplay

Вот уж действительно, почему бы не ходить по ссылке и генерировать превью с IP отправителя? С IP получателя понятно, почему нельзя - можно будет отправить специальную ссылку и автоматически узнать IP-адрес собеседника. Со стороны же отправителя этой проблемы нет. Зачем сливать ссылку на посторонний сервер?

anonymous
()

При вставке ссылок в клиент Telegram для Linux он сливает их на свои сервера, после чего по ним тут же заходит бот

Это всем известно, вообще-то. Ну видимо, кроме тебя.

no-such-file ★★★★★
()
Ответ на: комментарий от dmtrge

Так мы тебе и рассказали за просто так. Безопасность стоит денег.

anonymous
()
Ответ на: комментарий от Deathstalker

Безопасным для чего? Для торговли наркотиками? Для съёма малолеток? Для организации террактов? Для передачи информации, являющейся гостайной?

targitaj ★★★★★
()
Ответ на: комментарий от dmtrge

GNU Ring или вообще электропочту с gnupg и ручным обменом ключами

legolegs ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.