Доступен новый выпуск Telegram Desktop 1.4.0 (https://github.com/telegramdesktop/tdesktop/releases/tag/v1.4.0) для Linux, Windows и macOS, в котором устранена уязвимость (https://www.inputzero.io/2018/09/bug-bounty-telegram-cve-201...) (CVE-2018-17780), приводящая к утечке сведений об IP-адресе при совершении голосового вызова (инициатор соединения может узнать IP-адрес вызываемого пользовтеля, а вызываемый IP-адрес вызывающего). Проблема проявляется в конфигурации по умолчанию и связана с установкой P2P-соединения в процессе вызова, без возможности отключить данное поведение (в версии для Android имеется настройка "peer-to-peer > nobody" для анонимизации).
Разработчики Telegram признали данную особенность уязвимостью и выплатили сообщившему о проблеме исследователю 2000 долларов в рамках программы по выплате вознаграждений за выявление проблем с безопасностью. В версии Telegram Desktop 1.4.0 добавлена настройка режима работы P2P ("Settings > Privacy and security > Calls > peer-to-peer"), позволяющая полностью отключить использование P2P или разрешить его применение только для пользователей из адресной книги.В новой версии также полностью переработан раздел с настройками, реализована опция для отключения анимированных эффектов для снижения нагрузки на CPU и добавлен новый переключатель тем оформления для чата. Улучшено кэширования изображений и добавлена настройка для управления размером кэша и временем нахождения записей в кэше.
URL: https://www.inputzero.io/2018/09/bug-bounty-telegram-cve-201...
Новость: https://www.opennet.me/opennews/art.shtml?num=49371
Интерфейс на голых Qt-виджетах, а выглядит будто на QML. Неплохо поработали.
Только ОЗУ оно жрёт почти как будто на электроне писано.
57 мб? Ну-ну...
У меня на тестах добивало до 100-174 МБ.
Электрон давно бы 500 метров скушал.
Это когда он не запущен
Да о нем стоит только подумать, он уже половину оперативы съест.
На медиа бывает больше ста, но это внезапно норма
У меня телеграм как соцсеть - всякие двачи и прочие яплакали с кучей гифок и видосов. После запуска (ни один чат не открывался ещё) при 80 непрочитанных - пишет 70 мегабайт. После прочтения всех чатиков (с загрузкой гифок и прочего) - занимает 150 метров. Электронный скайп с одним чатом после запуска и 50 непрочитанных - уже 300 метров, при этом ещё и тормозит.
> 57 мб? Ну-ну...открываешь картиночный канал и мотаешь его назад, за пару минут можно до падения домотать, от системы не зависит https://files.fm/u/ynvqtnms
А ты попробуй это самое в чЯтике на электроне сделать. Заодно и сравни с секундомером - кто по нехватке памяти упадет раньше.
> 57 мб? Ну-ну...Вообще 57 для IM тоже как-то многовато.
Не выгружает память, к сожалению. Раз в неделю перезапускаю.
Стоит из реп дебиана, там кстати qt стоковый.
Какой же он дырявый этот телеграмм, оставить такую глупую уязвить.
Посоветуйте альтернативы, но без уязвимостей.
Почта России
Скайп? У него p2p вырезан уже давно.
Телеграф - текст pgp
Есть опенсорсная альтернатива — publish.li
Сервер нужен свой что ли? Потому что http://publish.li формально нету
Wire.
Из обхора на лайфхакере
1. От создателя Skype
2. >>Я несколько минут ждал, пока Wire подгрузит абонентов из моей телефонной книги и в конце концов он выдал мне список абсолютно незнакомых людей с надписью «Вы можете их знать».
3. А еще Wire не разрешает зарегистрироваться без фотографии. Хорошо это или плохо — решать вам
Дальше не стал читать, вердикт - ненужно.
Не нужно, значит не нужно. Ни e2e-шифрование, ни открытые клиенты и серверная часть. Продолжайте юзать Телегу, Паша благодарит Вас.
Тг не юзаю, TOX юзнаю.
Как с e2e сохранять историю не по-дбильному (вайбер / ватсапп делают это без шифрования в гугл облаке)? А клиентская часть у Телеграма открыта, изучайте.
> Как с e2e сохранять историю не по-дбильному (вайбер / ватсапп делают это
> без шифрования в гугл облаке)?Не в курсе, не интересовался. Вам, простите, приватность с end-to-end шифрованием, или открытая история на серверах чужого дяди?
> А клиентская часть у Телеграма открыта, изучайте.
Я говорил _только_ о клиентах? Вот что у Телеги открыто более всего — так это возможность кусануть грибца без ввода номера телефона, например. Изучили? )
e2e в мессенджерах уже показало свою нежизнеспособность для массового повседневного применения, как ни крути. Для параноиков, конечно, маст хев, но обычные люди бэкапят ватсапп/вайбер во всякие гуглы в открытом виде.
В Телеграме же сделали наиболее оптимально на сегодня - осталось удобство синхронизации, без которой реально больно, есть опциональные секретные чаты, при этом есть шифрование и в облачных диалогах, которые в свою очередь шифруются на независимых серверах "чужого дяди", а ключи (те самые, ага) расположены в разных странах с разной юрисдикцией.
Ибо другие варианты без облака - словно возвращение в каменный век, увы. Надеюсь, это изменится в ближайшие десятилетия, и появится децентрализованные безлимитные каналы хранения.> кусануть грибца без ввода номера телефона
Номер телефона - это реально та информация, которую есть смысл скрывать? Впрочем, если во всяких вайберах номер телефона - единственный публичный идентификатор, то в Телеграме оно скрывается, и никто, кроме существующих контактов (замена устаревшему списку друзей), номер не увидит.
> Я говорил _только_ о клиентах?
У большинства _популярных_ мессенджеров и такого нет. Маргинальные же бессмысленно использовать - там будет минимум человек.
Номер телефона — это то, что я хочу давать только тому, кому я хочу. Хотя, конечно, когда у тебя родные и друзья массово сливают свои контакты той же Телеге, Вайберу и Вотсаппу... Хочется их убивать. )Да, у популярных. Вот потому ниже и написали, что Телега — это маркетинг, вместе со всеми их «секретными» чатами.
Кому надо — тот может юзать сколько угодно, никто ж не против. А если плясать именно от количества контактов лично для меня в сравнении со Скайпом маргинальна даже Телега, например. )
> Номер телефона — это то, что я хочу давать только тому, кому я хочуВне авторизации Телеграма он сам собой никуда не улетит.
> родные и друзья массово сливают свои контакты
Контакты сегодня - всего лишь аналог друзей в соц.сетях, не больше.
> Телега — это маркетинг, вместе со всеми их «секретными» чатами.
Секретные чаты для секретной приватной переписки, но не анонимной. Всё ок)
А Скайп, этот ужас микрософта, надеюсь, скоро умрет. Да и сейчас моё окружение использует его в основном для видеозвонков. Завезли бы в телегу групповые и видеозвонки - был бы кайф)
> Вне авторизации Телеграма он сам собой никуда не улетит.Кроме серверов Телеги, а дальше... Я вот не знаю, куда. И вообще, зачем он телеграмщикам.
> Контакты сегодня - всего лишь аналог друзей в соц.сетях, не больше.
Ну-ну.
> Секретные чаты для секретной приватной переписки, но не анонимной. Всё ок)
От кого секретной-то? От соседа Васи?
> А Скайп, этот ужас микрософта, надеюсь, скоро умрет. Да и сейчас моё
> окружение использует его в основном для видеозвонков. Завезли бы в телегу
> групповые и видеозвонки - был бы кайф)И тем не менее. Да, сейчас эта погань тоже требует мобилу. Вот только я пожилой пердун, и большая часть моего ростера в скайпе составлялась давно, когда такого не было. То же о моих собеседниках. И далеко не все из них хотят переться в другой сервис, чтоб делиться своими мобилками с чужими дядями, ради непонятно чего.
> Вне авторизации Телеграма он сам собой никуда не улетит.Все так говорят. А потом даже последний спамер из банка с рекламой кредитов по имени-отчеству величает. Даже если вы никогда и не были клиентом их спамерского банка.
Не пались так явно, маркетолух.
> e2e в мессенджерах уже показало свою нежизнеспособность для массового повседневного примененияe2e поддерживает синхронизацию и все остальные плюшки швитой телеги, просто майору проще когда за него сортируют флуд и "секретные" чаты.
> но обычные люди бэкапят ватсапп/вайбер во всякие гуглы в открытом виде.
Зачем? С первого раза не доходит? Wire хранит переписку на устройстве и если нужно можно скопировать.
> есть опциональные секретные чаты
Для удобства товарища майора. Читать только экстремистов.
> которые в свою очередь шифруются на независимых серверах "чужого дяди", а ключи (те самые, ага) расположены в разных странах с разной юрисдикцией.
Какая разница где они расположены? Доступность прочтения переписки от этого не снижается.
> Номер телефона - это реально та информация, которую есть смысл скрывать?
Через 5 лет: Скан паспорта - это реально та информация, которую есть смысл скрывать?
>Через 5 лет: Скан паспорта - это реально та информация, которую есть смысл скрывать?ты расстроишься, но 5 лет ждать не нужно:)
> e2e поддерживает синхронизациюПочему Viber/WhatsApp этого не показали? Топовые мессенджеры не могут в адекватную реализацию? А кто смог? Wire?
> Wire хранит переписку на устройстве и если нужно можно скопировать
Вау, какое ретро. Прямо как ICQ в 2000-ых :)
> Для удобства товарища майора. Читать только экстремистов.
Конечно, ведь Телеграм - проект ФСБ. Какая чушь :)
> Через 5 лет: Скан паспорта - это реально та информация, которую есть смысл скрывать?
Уже. Может, я ВНЕЗАПНО удивлю, но большинство лет 10 как в открытую выкладывают своё реальное имя в соц.сети, свой город, свои данные, своё настроение, мнение, интересы. А страничку с пересечением границ заменяет Инстаграм.
Не за горами время, когда паспорт в текущим виде просто прекратит своё существование как легаси. В Китае вон его функции уже местный мессенджер заменяет.И мир явно придет к тому, что достаточно будет посмотреть на человека, как система мгновенно его распознает и выдаст полное досье. Хорошо это или нет - покажет время, но если так будет работать с каждым, не вижу ничего плохого. Когда ВСЕ вокруг особенные - никто не особенный.
Но это уже тема совершенно отдельной дискуссии, развивать дальше не вижу смысла.
> Почему Viber/WhatsApp этого не показали? Топовые мессенджеры не могут в адекватную реализацию?Они писали в блоге что ввели e2e ещё несколько лет назад. Что тебе показывать?
> Вау, какое ретро. Прямо как ICQ в 2000-ых :)
Всяко лучше чем в открытом виде на серверах телеграма. При этом на самом устройстве оно хранится в зашифрованном виде.
> Конечно, ведь Телеграм - проект ФСБ. Какая чушь :)
Твой сарказм мог сработать с Signal что он проект АНБ, но с телеграмом такой номер не прокатит. Сколько в Лахте нынче платят?
> Что тебе показывать?Где адекватный вариант "e2e поддерживает синхронизацию"? Чтоб как в Телеграме. Быстро, без необходимости держать одно из устройств включенным.
> в открытом виде на серверах телеграма
Голословное утверждение.
> При этом на самом устройстве оно хранится в зашифрованном виде
А если я хочу общаться одновременно на ПК, телефоне и планшете, имея доступ ко всей истории? А при возможной потере устройства - удаленно выйти с аккаунта и прогрузить всю историю и файлы на другом. Wire это обеспечит?
> Твой сарказм мог сработать с Signal что он проект АНБ, но с телеграмом такой номер не прокатит
Заявлять не шутя, что Телеграм проект ФСБ - это, простите, какой-то верх идиотизма. Без пруфов это показывает лишь уровень "интеллекта", ну правда.
Хотя бы даже потому, что рашкинские приспешники со своей безалаберностью просто не осилят такое качество. Да и у них есть своя лавочка - ВК, Одноклассники и прочий маразм.
На вконтракт и одноклассников их безолаберности тоже не хватило? И да, это одни лавочки.
Соре, но дуров представляет менеджер как приватный, при этом не уделяя этому должного внимания и зависит от телефона (давно уже не является надежным каналом) и который на ходу меняет своё мнение по сотрудничеству с госорганами, это мягко говоря не вызывает доверие. Зато как красиво рассказывал, что придумал телегу под стук фсбшников.
> не уделяя этому должного вниманияWhatsApp/Viber изначально кидают друг-другу IP, таким образом 100% звонков там с этой вот "уязвимостью". У Телеграме же есть фича - перекидывать зашифрованный звонок через сервера Telegram, скрывая таким образом IP, что давно было на телефонах, и вот теперь появилось на десктопе (суть этой новости, собственно).
> который на ходу меняет своё мнение по сотрудничеству с госорганами
Они давно боролись с терроризмом методом блокировок. А если они выдадут реального, доказанного нормальным судом, террориста - что в этом плохого? Пока, правда, пишут, что такого еще не было.
> Зато как красиво рассказывал, что придумал телегу под стук фсбшников
Ну типа это... Выдать IP и телефон подверженного террориста != выдать переписку. Вообще. Даже этого подтвержденного террориста :)
>> Что тебе показывать?
> Где адекватный вариант "e2e поддерживает синхронизацию"? Чтоб как в Телеграме. Быстро,
> без необходимости держать одно из устройств включенным.Можешь зайти с нескольких телефонов, а первый выключить, ничего не упадёт. Если такое есть, то это сделали специально, от e2e это не зависит.
>> в открытом виде на серверах телеграма
> Голословное утверждение.Все сообщения идут на сервер в окрытом виде. Даже на сайте у них написано что шифруются только секретные чаты.
>> При этом на самом устройстве оно хранится в зашифрованном виде
> А если я хочу общаться одновременно на ПК, телефоне и планшете, имея
> доступ ко всей истории?Если добавишь все устройства сразу, то будет вся история, а если нет, то с момента добавления. Ты не сможешь расшифровать старые сообщения на новом устройстве, ключ на каждом устройстве свой. Можно было сделать синхронизацию одного ключа с получением всей истории, но такую дыру могут додуматься сделать только в телеге.
> А при возможной потере устройства - удаленно
> выйти с аккаунта и прогрузить всю историю и файлы на другом.
> Wire это обеспечит?Закрытие сессии любой сервис обеспечивает.
>> Твой сарказм мог сработать с Signal что он проект АНБ, но с телеграмом такой номер не прокатит
> Да и у них есть своя лавочка -
> ВК, Одноклассники и прочий маразм.И прочий Телеграм, ага.
> Через 5 лет: Скан паспорта - это реально та информация, которую есть смысл скрывать?Желающие могут запостить их прямо сейчас. Пригодится.
Не плакай, безлимитное хранение уже появилось в датацентрах анб.
> e2e в мессенджерах уже показало свою нежизнеспособность для массового повседневного примененияТак показало что в любом мессенджере 2018 только оно и используется. Кроме телеграма, конечно.
Ну ок, объясняю.
E2E в рамках мессенджеров - всего лишь маркетинговая фишка для распространения ложной безопаности и рекламы своего продукта. Почему? Попса вроде Вайбера сейвит историю на сервера гугла / аппле в открытом виде. Да, можно не включать, но где гарантия, что собеседник не включит? В том или ином виде диалоги будут доступны американским компаниям. Таким образом делая якобы железную защиту бесполезной. Кайф, правда?
Идем дальше. Если получить файл по Вайберу, а потом удалить с устройства... Что будет? Файл будет потерян, навсегда. 2018 стремительно подходит к концу, а нас до сих пор кормят подобным непотребством. Кайф, да?Таким образом да, E2E в мессенджерах уже показало свою нежизнеспособность для массового повседневного применения. Поэтому подход Телеграма оптимален и он сам на несколько голов выше конкурентов в основном за счет облачного шифрования (передача в обычных и секретных чатах шифруется примерно одинаково). Я уже не говорю о синхронизации между всеми устройствами, о 1500 Мб на файл и прочих прикольных фишках (достаточно всего лишь их сравнить и немного изучить информацию, чтоб прийти к аналогичному выводу)
Не знаю, можно тут ссылки или нет, но вот неплохая статья самого Павлика на эту тему: medium.com/@tglive/telegram-end-to-end-e93554cb9e46
Там это расписано гораздо лучше (там же есть и о нишевых вариантах вроде Сигнала, о котором я в контексте массовости решил не писать)И нет, я не говорю, что Телеграм - самый защищенный анонимый мессенджер, это не так, и я первый плюну в лицо тому, кто начнет это утверждать. Но для массовости он правда объективно лучший, могу это уверенно заявить это после полутора лет использования и активной заинтересованностью темой мессенджеров.
Все шифрование телеграма - это как стальные ворота в деревянном заборе с калиткой. Ибо провайдер сотовой связи или даже злоумышленник, восстановивший симку на липовый паспорт получает доступ ко всей переписке.
> Ибо провайдер сотовой связи или даже злоумышленник, восстановивший симку на липовый паспорт получает доступ ко всей переписке.Нет. У меня он сможет только удалить весь аккаунт. Потому что я включил двухфакторку и без пароля в мой аккаунт не зайти, с симкой/перехватом смс можно только удалить и создать новый аккаунт. А это максимальное палево даже для моих собеседников, которые заподозрят и решат проверить через другие каналы, я ли это сделал без предупреждения и зачем.
>Продолжайте юзать Телегу, Паша благодарит Вас.Онеме головного мозга. То что вариантов бывает больше двух, разумеется не рассматривается.
> Онеме головного мозга. То что вариантов бывает больше двух, разумеется не рассматривается.Изначально человек просил альтернативу Телеге, я ответил про Wire. То есть в этой конкретной подветке речь ни о каких других клиентах/протоколах не шла изначально. Вариант того, что ты недопонял (а может мы оба), рассмотрен и признан жиизнеспособным.
>WireТам блобы от Google в мобильном клиенте, как и в Signal. Поэтому их обоих нет на F-Droid.
> Там блобы от Google в мобильном клиенте, как и в Signal. Поэтому
> их обоих нет на F-Droid.Они там так намертво прибиты, или некому собрать? Исходники же вроде на гитхабе есть.
Скорее второе, никто просто православный форк пока не запилил, как с телеграмом, а апстрим в F-Droid не заинтересован.
Оно не особо то и нужно. Без gapps блобы не работают.
Так с блобами в F-Droid не возьмут, вот апчом речь.
В issues на GH отписывались те кому удалось собрать без блобов, но пока что требуется ручной патчинг.
Ответ в стиле>Продолжайте юзать Телегу, Паша благодарит Вас.
является манипулятивным, потому как сарказм преподносится как важный агрумент, потому неприемлем.
Этот ответ не преподносится как аргумент. Это лёгкая издёвка, не более.
> Этот ответ не преподносится как аргумент. Это лёгкая издёвка, не более.Т.е. обычный информационный мусор. Онеме головного мозга оно такое, да.
> Онеме головного мозга оно такое, да.Тебе, как специалисту, виднее, наверное.
>Wire не разрешает зарегистрироваться без фотографии.А если ему дать любую jpgешку, например, фотку котика?
У меня не просил фотку. Фанат телеги не знает что уже выдумать.
Ничего он не требует, но да, аватар при регистрации появляется сам. Берётся одна из дефолтных стоковых фотографий (пейзажи природы/фото старинного замка/etc.)
>Wire не разрешает зарегистрироваться без фотографииВрут и не краснеют.
Там какие-то триалы, прайсинг. Зачем это всё нужно.
> Там какие-то триалы, прайсинг. Зачем это всё нужно.Это ты о Pro версии, для бусинеса.
Токс, бриар.
Бриар?
Бриар.
У токса была ровно та же проблема при звонках. Отследить айпишники собеседников можно было на любом транзитном шлюзе.
Так он и заявлял, что соединения анонимны. В нём всегда соединения только P2P.
fixed: Так он и не заявлял, что соединения анонимны. В нём всегда соединения только P2P.
Так телеграм тоже не заявлял, что он вообще анонимен, а не только соединения. Он приватностью пиарится.
Так ВПНом страховаться нужно было!!
TOX плюсую.
Tox и Ring - вот 2 единственные альтернативы. Остальное - хлам, либо привязывается к симке, либо имеет централизованные серверы. На Wire не ведись - это кал.
Как они синхронизируются между устройствами и сохраняют переписку / файлы без привязки к серверу?
Никак. Лично мне это необязательно/ненужно. Главное, чтоб не через центральный сервер и шифрование в обязательном порядке клиент-клиент.
Ну не знаю, не cloud-based и без возможности хранить файлы - это даже как-то совершенно неинтересно да и малоюзабельно.
Для тов. майора не очень интересно, да.
>ToxА у него есть «клиенты», способные проработать хотя бы 5 минут без падения?
у него сам toxcore написан так и такими руками, что этого быть не должно.подозреваю что и сам протокол, если покопаться в нем детально, окажется фуфлом.
Threema.ch
но без смартфона не того.Так же XMPP+OTR+Tor/VPN, клиентов много.
уточню: у неё мастер апп на смартфоне, SIMка не нужна, вайфай достаточно. Десктопный клиент слэйвом, к смартфону подключается.
Kontalk — xmpp+pgp, сервер у них свой, но все открыто.
Еще есть delta chat — push imap + smtp + pgp
А чем не устроил psi+otr+gpg+tor ?
Сомнительная контора. https://roskomsvoboda.org/28518/А XMPP + OTR + Tor and/or VPN плюсую! Но лучше уже использовать OMEMO, это Axolotl / Double Ratchet, адаптированный для XMPP. Этот алгоритм впервые появился в Signal, а потом его растащили себе чуть ли не все совмененные IM с E2EE.
Просто десктоп развивается хуже мобилок, там давно всё ок и можно выбрать в настройках
Анонимность обещали во время пиара по федеральным сми. Сейчас телеграм идёт в сторону сбора паспортов, показ IP не такая большая дыра из всех что есть в телеге.
Написал аноним, который не понимает что нет ПО без уязвимостей.
Conversations.im на мобиле, Dino.im на десктопе (или любой другой клиент с поддержкой XMPP Carbons, XMPP Receipts, Message Archive Management и OMEMO, например, Gajim, но он мне не нравится визуально).
Поправлю себя:XEP-0184: Message Delivery Receipts
XEP-0280: Message Carbons
XEP-0313: Message Archive Management
XEP-0384: OMEMO Encryption
Забыл добавить:
XEP-0363: HTTP File UploadИ вообще, есть же XEP-0387: XMPP Compliance Suites 2018! Он перечисляет всё нужное. https://xmpp.org/extensions/xep-0387.html#im
> Conversations.im на мобиле, Dino.im на десктопе (или любой другой клиент с поддержкой
> XMPP Carbons, XMPP Receipts, Message Archive Management и OMEMO, например, Gajim,
> но он мне не нравится визуально).PSI же
Pidgin!
XEP-0184: Message Delivery Receipts – умеет только с плагином, работает хорошо
XEP-0280: Message Carbons – умеет только с плагином, работает хорошо
XEP-0313: Message Archive Management – не умеет
XEP-0384: OMEMO Encryption – работает только с плагином (lurch), да и то так себеА ещё не умеет HTTP Upload.
Справедливости ради отмечу, что несмотря на все минусы, я кроме Conversations использую только Pidgin и иногда Dino. Иногда – потому что реализация OMEMO не совсем совместима с lurch из Pidgin, и я не уверен, кто виноват – Dino или lurch.
PSI не умеет Message Archive Management.
Ни ужели в коем-то веке новость про сабж. :-)
Ещё добавлю в openSUSE Tumbleweed он недавно стал поставляться из коробки (из Oss).
Changelog:
https://github.com/telegramdesktop/tdesktop/blob/dev/changel...
отличная новость через несколько дней после автоматического апдейта
Об исправленной уязвимости стало известно только вчера вечером.
И это правильно
нет там таких настроек в 1.4.0
Зачем этот месседжер от майора с привызкой к симкарте, когда есть Tox/Ring?
рингу до токса очень далеко в плане открытости и приватности!
Он не от майора, это уже даже не смешно
А привязка к симке для удобства пользования
Какой тут смех..
Полковник же уже!!!
> привязка к симке для удобства пользованияДоооо...
конечно не от майора, он для майора.> А привязка к симке для удобства пользования
ага, моего удобства. Тут тебе и геолокация, и паспортные данные, и много чего еще полезного, что хранит о тебе оператор.
Телеграм не выдавал данные, включая номер телефона или IP. Если есть обратные пруфы - в студию, пожалуйста. Только без пруфов чушь не пишите.> Тут тебе и геолокация, и паспортные данные, и много чего еще полезного, что хранит о тебе оператор
Террорист-наркодилер детектед.
Минутка урока для защиты от полиции:
0. Необязательно всегда держать включенным телефон с этой симкой. Достаточно один раз зайти, и код для доступа на других устройствах будет приходить уже внутри Телеграма. По факту, эту симку можно один раз заюзать и потом только пополнять изредка, дабы не заблокировали.
1. Номер Телеграм не палит. Есть юзернеймы, но номер надо спрашивать лично.
2. Необязательно для этого использовать симку с привязкой к паспорту. Можно использовать виртуальные номера.Но это всяко лучше, чем e-mail, с которым в миллион раз проще создавать сети спама. Спам - гораздо более реальная и болезненная проблема, чем абстрактные возможные майорства.
> 1. Номер Телеграм не палит. Есть юзернеймы, но номер надо спрашивать лично.А как так вышло, что контакты, которые были у меня в адресной книге, оказались в телеграме, если номер он не палит?
Он синхронизирует все контакты, если разрешить. Если не разрешить - не синхронизирует и работает без проблем.
> Он синхронизирует все контакты, если разрешить. Если не разрешить - не синхронизирует
> и работает без проблем.Ну то есть про номер ты наврал, ОК.
Он написал номер не палит. Ты пишешь что контакты из адресной книги оказались в телеграме. Как он мог спалить тебе их номера, если ты знал их уже? Он спалил тебе их телеграм-аккаунты по номерам твоей адресной книги, которую ты дал телеграму (можно не давать).
Я твой номер не знаю, если я тебя найду где-то в чате или по юзернейму, или ты мне сам напишешь, я не смогу узнать твой номер, телеграм не сольёт.
> Он написал номер не палит. Ты пишешь что контакты из адресной книги
> оказались в телеграме. Как он мог спалить тебе их номера, если
> ты знал их уже? Он спалил тебе их телеграм-аккаунты по номерам
> твоей адресной книги, которую ты дал телеграму (можно не давать).И товарищ майор радостно заходит в серверную телеграмма, а там все номера телефонов, которые телеграм не палит. И IP адреса ещё. И твёрдое обещание Паши эту информацию выдавать.
> Я твой номер не знаю, если я тебя найду где-то в чате
> или по юзернейму, или ты мне сам напишешь, я не смогу
> узнать твой номер, телеграм не сольёт.Ты никому не нужен, поэтому тебе никто номера и не даст, успокойся.
мне делать больше нечего, по серверным ходить?я позвоню, или напишу (email, вы думали, не умею?) - пришлет списочек, и с подробностями- с кем и против кого дружил, и чятики расшифрованные, если понадобится, к делу подошьем.
Куда он денется, если весь этот побег из курятника - на самом деле пересаживание за соседние столы в том же бизнес-центре, и компания "Телеграф" туточки, есть кому кое-что прищемлять кое-где.но это если понадобится. А оно пока маловероятно - от Пашеньки куда больше пользы как от засланного казачка- провокатора, а от ваших чятиков - никакого.
> мне делать больше нечего, по серверным ходить?
> я позвоню, или напишу (email, вы думали, не умею?) - пришлет
> списочек, и с подробностями- с кем и против кого дружил, и
> чятики расшифрованные, если понадобится, к делу подошьем.
> Куда он денется, если весь этот побег из курятника - на самом
> деле пересаживание за соседние столы в том же бизнес-центре, и компания
> "Телеграф" туточки, есть кому кое-что прищемлять кое-где.
> но это если понадобится. А оно пока маловероятно - от Пашеньки куда
> больше пользы как от засланного казачка- провокатора, а от ваших чятиков
> - никакого.В серверную можно и по SSH зайти, тут ты прав.
> Я твой номер не знаю, если я тебя найду где-то в чате
> или по юзернейму, или ты мне сам напишешь, я не смогу
> узнать твой номер, телеграм не сольёт.Привет, пишу тебе из "недолёкого светлого будущего", нет мы всё еще не покорили далёкий космом, не наверли порядок на родной Земле...
пиши свой @username от телеги и будешь приятно удивлён "как он его не палит"
могу сюда показать с +7(9**)***-***-** или пиши фэйкомыльце пришлю.
p.s. всех жителей переписали, 28403.
>[оверквотинг удален]
> 0. Необязательно всегда держать включенным телефон с этой симкой. Достаточно один раз
> зайти, и код для доступа на других устройствах будет приходить уже
> внутри Телеграма. По факту, эту симку можно один раз заюзать и
> потом только пополнять изредка, дабы не заблокировали.
> 1. Номер Телеграм не палит. Есть юзернеймы, но номер надо спрашивать лично.
> 2. Необязательно для этого использовать симку с привязкой к паспорту. Можно использовать
> виртуальные номера.
> Но это всяко лучше, чем e-mail, с которым в миллион раз проще
> создавать сети спама. Спам - гораздо более реальная и болезненная проблема,
> чем абстрактные возможные майорства.Ламер детектед !!
1. Необязательно вообще включать телефон с симкой. Можно и так зарегать на левый номер.
2. Если человек зарегистрировал на себя, то легко проверить наличие регистрации в мессенжерах ))Нумерация начинается с 1... Ну так на всякий случай ))
Сам ламер !!1. Я об этом и сказал. Но свою симку иметь надежнее. В идеале - жить в стране, где легально нет нужды в паспортных данных.
2. Если знаешь его номер, то да. Это как бы фича мессенджеров с привязкой на номерами. Замена устаревшего ненужного списка друзей на контакты. Знаешь номер = можешь с ним общаться по номеру. Не знаешь номер - в Телеграме и не узнаешь. Разве что подбором по вообще ВСЕМ номерам :)> Нумерация начинается с 1
Это было общее введение, так что тут всё корректно :)
> Телеграм не выдавал данные, включая номер телефона или IP. Если есть обратные пруфы - в студию, пожалуйста. Только без пруфов чушь не пишите.Открываем политику приватности Telegram LLC, читаем:
«В случае если Telegram получает судебное распоряжение, которое подтверждает, что пользователь подозревается в терроризме, то его IP-адрес и номер телефона могут быть раскрыты спецслужбам.»
Упс.
Это не касается российских спецслужб. Об этом я писал у себя в телеграме. Ни байта ФСБ, твердо и четко!
Признайся уже.. чего дурить народу голову !!
> Это не касается российских спецслужб. Об этом я писал у себя в
> телеграме. Ни байта ФСБ, твердо и четко!Уважаемый Павел!
Ваш телеграм не читал, и поэтому надо бы осудить, но ради смеха не буду.
Наверное российские спецслужбы и ФСБ очень сильно отличаются от других спецслужб так, что конечно же они не достойны ваших байтов!
И вот тут то и начинается самое интересное, особенно в свете того, что например существуют программы по обмену информацией (грубо говоря теми же байтами) между всякими разными организациями. И даже если этот кто то не хочет меняться за так, может он захочет продать эти байты подороже. Вот где поле то не пахано!
Так что Павел как говорят некоторые, уже давно забытые (и не с проста забытые) персонажи, «Вторая свежесть -- вот что вздор! Свежесть бывает только одна -- первая, она же и последняя. А если осетрина второй свежести, то это означает, что она тухлая!».
Надеюсь, я Вас не сильно огорчил?
>> Это не касается российских спецслужб. Об этом я писал у себя в
>> телеграме. Ни байта ФСБ, твердо и четко!
> Уважаемый Павел!
> Ваш телеграм не читал, и поэтому надо бы осудить, но ради смеха
> не буду.
> Наверное российские спецслужбы и ФСБ очень сильно отличаются от других спецслужб так,
> что конечно же они не достойны ваших байтов!"ваших байтов", вот что самое интересное! ;;;;))))
При этом там написано, что такого еще ни разу не случалось. Упс.> судебное распоряжение
> пользователь подозревается в терроризмеТаких как бы необходимо сдавать. Если суд нормальной страны, конечно. И всем глубоко рать на страны, где Телеграм официально блокируется. Так что за мемасики не посадят, не волнуйся.
Пупс! Нормальная страна, нормальный суд.. ты сам то нормальный?
Он "цивилизованностранутый".
> При этом там написано, что такого еще ни разу не случалось. Упс.Мой сарай — самое надёжное укрытие от ядерной бомбы. Ни одна ядерная бомба ещё ни разу в него не попала.
ты с бутылочки-то чего вскочил? Наденься обратно. А выступление одобряю, молодец.> Телеграм не выдавал данные, включая номер телефона или IP.
есть один действительно надежный способ не выдавать эти данные, не требующих никаких пруфов: не хранить их и ими не интересоваться. Впрочем, тебе не нужно об этом беспокоиться.
> Спам - гораздо более реальная и болезненная проблема, чем абстрактные возможные майорства.
молодец, садись, можешь кушать.
Честному ж человеку главное что - чтоб спама не было! А скрывать от родного государства и пристроившихся к оному ему нечего и незачем. Дом со стеклянными стенами - это ерунда из позапрошлого века.P.S. но так, на всякий случай - спам вполне серьезный бизнес. В смысле, за ним стоит вполне серьезный криминал, имеющий выход даже не на меня, а на моих генералов. Никаких проблем с хоть миллионами симок у этих ребят тоже нет. У них в принципе проблем даже твою симку подменить нет, потому что это ровно та же тусовка, что крадет деньги наивных лохов с клиент-банков. Я к ним не лезу - шлепнуть среди бела дня или подбросить пакетик с неправильными деньгами за ними тоже совершенно не заржавеет. Да и работают их представители в соседних кабинетах, чего зря ссориться-то.
> не хранить их и ими не интересоватьсяГосподин Бутылочка, а как же без этих данных вообще можно создать нормальный удобный попсовый сервис? Да и номер телефона - тот еще секрет Полишинеля.
Конечно, можно пойти в крайности, но ими будет пользоваться меньшинство. А если основная масса и так уже использует всякую непотребность вроде Viber/WhatsApp/Facebook/Vk, то Телеграм тут реально оптимальный выбор.> Честному ж человеку главное что - чтоб спама не было
Потому что это реальная ежедневная проблема, а мифический майрозизм в контексте Телеграма - фигня умирающих со скуки выдумщиков. Если будут реальные данные - тогда и поговорим.
P.S. Май, ну согласись, e-mail для этого использовать легче. Зачем мyдакам облегчать труд? :)
Впрочем, Телеграм тут норм. Если приходит спам - через несколько часов спамер уже забанен.
matrix/riot
В линуксовом клиенте встроенный обход блокировок не сделали еще? Не охота вводить сомнительные прокси...
Вводите не сомнительные
Где взять несомнительных прокси? Ребзя, такидайте плз...
tor
> не сомнительные
> ребят, накидайтеСейчас тебе самых безопасных и проверенных за щёку накидают. Хочешь нормально - сделай сам, не осилил - не жалуйся.
Не осилил - используй Tor.
https://www.vpngate.org/
Якобы университетский исследовательский проект и шлюзы держат добровольцы-волонтёры. Для прона годится, для чего-то серьёзного - сам понимаешь...
Блин, лажанулся...
https://www.vpngate.net/
Сам из букмарки захожу, точно не помню поэтому.
Уже давно добавили! Прокси не нужен
Если всё надёжно зашифровано, то чего бояться? Не доверяете MTProto?
У слова "доверие" корень - вера. По вопросам веры обращайся к церковь. У нас тут своя атмосфера, либо ты знает пределы надежности чего-либо, либо не знаешь. Знания к вере не имеют никакого отношения.
Телеграм всё равно своими средствами шифрует всё
Всегда подозревал, что песня "позвони мне позвони" про социальный инженеринг. Теперь понятно зачем был нужен этот инжениринг..
Все разговоры про защищенность и товарища майора в контексте СОРМа такие смешные :)
для Qwerty в ответ на зачем-то удаленное безобидное "все провайдеры это видят".
не, не видели. Видим мы netflow,и то не все - потому что с какого-то размера приходится делать его sampled. Этого хватит для выявления аномалий и DoS, а больше нам для работы и не надо.ну то есть теоретически могли бы отодвинуть или сдублировать линк в сторону сорма (там не все так просто и не всякое оборудование a) технически способно b) физически выдержит - там и так обычно все на пределе пропускной способности, поскольку это единственное во всей сети узкое место, куда заворачивается вообще абсолютно весь траффик, второго такого может не потянуть, а отключать фсбшную коробку - они позвонят, причем последние годы - довольно быстро, иногда раньше чем собственный мониторинг срабатывал), а практически все упирается в вопрос - ну вот валится у тебя с этого порта 1x10G (это совсем немного). Если у тебя есть доступ к сети достаточной мощности - сдублируй себе загруженную под 75% десяточку в спан, и подключи свой любимый вайршкварк. Шо, йапнулся или машина повисла? От тож. Не так-то просто даже хотя бы выделить оттуда интересный траффик, понадобится недешевое железо и понимание, что именно искать (у майора оно есть, поскольку он знает твой ip, недешевое железо называется "сормович" или aнaл-ог - мы его пользовать не можем, управление l2-линком уходит в сторону ФСБ, и пароли нам неизвестны.)
но вот в свете закона яровой все становится по-другому. Это уже не майор (он жадный и не собирается оплачивать хранилку) а мы должны все собирать и бережно на блюдечке подать по приказу, а кто в колхоз не идет - корову отнимут.
как это сделать - никто, на самом деле, пока не понимает. Поэтому выполняем на от...сь.
Когда (никакого `если` тут нет) придумаем как и где у вас отнять на это деньги - теоретически, сможем в этих данных, уже записанных, поэтому не нужны сверхмощные сетевые железки, порыться.
Что мешает вашему DPI сливать только нужный трафик вам на ноут? Да и почему-то у меня есть такая уверенность, что многие тут борцы за безопасность в сети при сообщении браузера, что у гугла невалидный сертификат- жмакают продолжить и топают дальше искать свои рефераты по биологии...
> Что мешает вашему DPI сливать только нужный трафик вам на ноут?то что у нас нет dpi в обычном понимании - если мы не про совсем местечковых, которые все еще таймслотами в E1 торгуют и могут вписаться в какую-нибудь старую цискину коробку по деньгам и по объемам.
У нас есть (и то не у всех) только sampled netflow - source/destination/size одного пакета из, скажем, 1000. Этого хватит для биллинга и для поиска проблем[ных клиентов].А какой-то вот волшебной коробочки в которую входит вообще весь траффик, а выходит "к нам на ноут" - нету, потому что нахрен не надо и неимоверно дорого будет стоить такая штука, не говоря уже про то как дотянуть до нее "весь траффик". Масштабы у нас не те что в твоем хоменете.
подобная коробка есть у ФСБ - вот она и называется "СОРМ". Цена ее самой и обспечивающей ей весь этот траффик очень непростой инфраструктуры, как ты понимаешь, не имеет значения - но, увы, у нас к ее управлению доступа нет.
зато, благодаря новым полезным законам о борьбе с терроризмом, мы теперь будем строить другую конструкцию - сохраняющую на перманентный сторадж вообще весь траффик. Как технически это сделать - "ученые работают", но сделано в том или ином виде - будет. И вот это все богадство, согласно текущей интерпретации этих полезных законов, будет уже у нас, а не у майора. И мощность ноутбука перестанет играть роль - оно на диске, уже неважно, сколько времени будет выбираться нужное (все равно велено хранить пять лет).
> А какой-то вот волшебной коробочки в которую входит вообще весь траффик,
> а выходит "к нам на ноут" - нету, потому что нахрен
> не надо и неимоверно дорого будет стоить такая штука, не говоря
> уже про то как дотянуть до нее "весь траффик". Масштабы у
> нас не те что в твоем хоменете.Кстати, с Яровой с пакетом https://roskomsvoboda.org/42060/ Вас! Вот проверяющим и расскажете - что есть, а чего нет.
Короче, ложная тревога. Это не уязвимость, а недоработка. При чем ТОЛЬКО в десктопном клиенте, который использует для менее 0.01% общего числа звонков. Теперь эта недоработка исправлена.Итого:
1. Теперь во всех клиентах можно звонить двумя методами (выбор есть в настройках): напрямую (Peer to Peer, с палевом IP) и через сервера Телеграма (IP скрываются). Напрямую связь лучше, через сервера - хуже.
2. В Viber/WhatsApp изначально есть только Peer to Peer, т.е. 100% совершенных там звонков обладают такой же "уязвимостью".
3. Звонки защищены оконечным шифрованием, только не забывайте сравнивать слепки ключей (в виде смайликов для удобства устного сравнения 😄).
> приводящая к утечке сведений об IP-адресе при совершении голосового
> вызова (инициатор соединения может узнать IP-адрес вызываемого пользовтеля, а вызываемый
> IP-адрес вызывающего).а при nobody вызов идёт через сервер телеграма или через цепочку третьих клиентов?
Пишут, что через сервер Телеграма в зашифрованном виде (чекай смайлики!)
Заодно eset убивает его на этапе обновления
Есть нормальный сайт где разжевывают обновления?