关于自建 Telegram Bot API 服务端
大型Bot应用开发者可以考虑自建,去掉了多个中间层转换交互环节,一定程度上提升了Bot性能、可用性;尤其是服务器不在欧洲的情况下,通过自建可以就近连入Telegram其它数据中心改善响应速度
当然,绝大多数的一般开发应用场景使用 api.telegram.org 是够用的
Via @RAM9s
大型Bot应用开发者可以考虑自建,去掉了多个中间层转换交互环节,一定程度上提升了Bot性能、可用性;尤其是服务器不在欧洲的情况下,通过自建可以就近连入Telegram其它数据中心改善响应速度
当然,绝大多数的一般开发应用场景使用 api.telegram.org 是够用的
Via @RAM9s
This media is not supported in your browser
VIEW IN TELEGRAM
说者无心听者有意,看有人被黑自闭有感
很多时候无论你做什么、怎么做,多少都会触犯某些人利益、有意无意得罪了人,而网上负面这块如影随形,玩笑也好,真心喷也好,无脑跟风也罢,网上很多黑粉是不需要理由的,大都是太闲了,找个由头宣泄一下身上无处安放的能量
遭遇网络暴力的你,应该对自己说:你在做对的事,想要更高的成就,必然要经得起无尽地无穷尽的诋毁。在意的越少,留出来成长的时间才能越多
成事过程中一些事情考虑不周全:没做好、有问题没解决,不要一味回避、无视,凡事总有解决办法,偶尔心累是正常的,要学会看开与自我恢复,今天的你比昨天更好一点,你在成长
圈里有位牛人轻描淡写地说:现在每天有 200+ 个人 cao 我 ma
人们羡慕比自己更有成就的人,但很现实,突然给你百万粉丝关注,你不会欣喜若狂,没有成事的底子,你大概率只会被喷到自闭
看到不顺眼的人和事,点到为止,看到身边做的好与不好的朋友和伙伴,更少的去嫉妒和羡慕,真心的祝福与鼓励
心态越好,人越大气随和,越容易把事情做成
祝好
#摘录一些句子 #心累
很多时候无论你做什么、怎么做,多少都会触犯某些人利益、有意无意得罪了人,而网上负面这块如影随形,玩笑也好,真心喷也好,无脑跟风也罢,网上很多黑粉是不需要理由的,大都是太闲了,找个由头宣泄一下身上无处安放的能量
遭遇网络暴力的你,应该对自己说:你在做对的事,想要更高的成就,必然要经得起无尽地无穷尽的诋毁。在意的越少,留出来成长的时间才能越多
成事过程中一些事情考虑不周全:没做好、有问题没解决,不要一味回避、无视,凡事总有解决办法,偶尔心累是正常的,要学会看开与自我恢复,今天的你比昨天更好一点,你在成长
圈里有位牛人轻描淡写地说:现在每天有 200+ 个人 cao 我 ma
人们羡慕比自己更有成就的人,但很现实,突然给你百万粉丝关注,你不会欣喜若狂,没有成事的底子,你大概率只会被喷到自闭
看到不顺眼的人和事,点到为止,看到身边做的好与不好的朋友和伙伴,更少的去嫉妒和羡慕,真心的祝福与鼓励
心态越好,人越大气随和,越容易把事情做成
祝好
#摘录一些句子 #心累
#注意 最近Windows 10操作系统中一个“安全威胁”
只需要执行命令 cd c:\$i30:$bitmap
即可“破坏”当前NTFS文件系统,使磁盘驱动“不可用”
此代码无需管理员权限即可激活执行,很轻易隐藏到快捷方式、批处理脚本中,小心别“中招”了,虽然它并不会实际破坏当前操作系统
细节
命令执行后将看到有关“驱动损坏”的警告,查看系统事件日志记录可看到磁盘分区索引损坏记录
在下次Windows重启时可看到系统尝试自检磁盘相关提示并进行自我修复,全程无用户文件实际损坏或丢失
影响
2018 年 4 月发布的 Windows 10 build 1803,以及之后发布的 1809、1903、1909、2004 、最新的 20H2
建议
应注意禁用各类软件的自动文件下载以防可能的联锁触发风险,引发不必要的恐慌
如Telegram桌面版等带有默认自动下载资源文件功能
如何自动触发细节?(桌面客户端版潜在风险)
创建一个扩展名为.url的特殊文件,并在文件图标的地址中指定一个特殊的恶意命令。如果保持Telegram默认设置:启用自动下载资源文件,用户发送文件后目标Telegram客户端将自动下载文件到目录存储。在用户后续转到Telegram资源下载文件夹查看时,Windows将自动解析url文件并尝试从指定的路径加载图标,从而触发指令执行
源•作者 #勘误 #更新细节说明
#Windows #NTFS #文件 #系统 #漏洞
Via @RAM9s
只需要执行命令 cd c:\$i30:$bitmap
即可“破坏”当前NTFS文件系统,使磁盘驱动“不可用”
此代码无需管理员权限即可激活执行,很轻易隐藏到快捷方式、批处理脚本中,小心别“中招”了,虽然它并不会实际破坏当前操作系统
细节
命令执行后将看到有关“驱动损坏”的警告,查看系统事件日志记录可看到磁盘分区索引损坏记录
在下次Windows重启时可看到系统尝试自检磁盘相关提示并进行自我修复,全程无用户文件实际损坏或丢失
影响
2018 年 4 月发布的 Windows 10 build 1803,以及之后发布的 1809、1903、1909、2004 、最新的 20H2
建议
应注意禁用各类软件的自动文件下载以防可能的联锁触发风险,引发不必要的恐慌
如Telegram桌面版等带有默认自动下载资源文件功能
如何自动触发细节?(桌面客户端版潜在风险)
创建一个扩展名为.url的特殊文件,并在文件图标的地址中指定一个特殊的恶意命令。如果保持Telegram默认设置:启用自动下载资源文件,用户发送文件后目标Telegram客户端将自动下载文件到目录存储。在用户后续转到Telegram资源下载文件夹查看时,Windows将自动解析url文件并尝试从指定的路径加载图标,从而触发指令执行
源•作者 #勘误 #更新细节说明
#Windows #NTFS #文件 #系统 #漏洞
Via @RAM9s
Telegram上那些人可以向我发送信息?
如果对方知道你注册绑定的手机号码或者你主动先发送过信息(人或者Bot),对方可以给你发送信息
如果对方不知道你号码,则在以下场景找到你并向你发送信息:
▪处于同一群组中的两个人
▪有设置用户名,可通过全局搜索找到你
▪启用了附近的人并设置显示自身(默认不显示)
▪有关注频道,频道主/管理员尝试通过订阅列表向你发信息
🏷关于Telegram上附近的人功能
如果“附近的人”功能处于打开状态,则当前定位百米范围内的用户将可以在附近的人列表中看到你。如果不打开该功能,则将永远不会出现在其中
启用附近的人并进入附近列表需要单击“使自己可见”按钮
后续可以随时通过单击“不显示我”按钮从列表中删除展示个人信息
#Telegram #常见问题 #FAQ
Via @RAM9s
如果对方知道你注册绑定的手机号码或者你主动先发送过信息(人或者Bot),对方可以给你发送信息
如果对方不知道你号码,则在以下场景找到你并向你发送信息:
▪处于同一群组中的两个人
▪有设置用户名,可通过全局搜索找到你
▪启用了附近的人并设置显示自身(默认不显示)
▪有关注频道,频道主/管理员尝试通过订阅列表向你发信息
🏷关于Telegram上附近的人功能
如果“附近的人”功能处于打开状态,则当前定位百米范围内的用户将可以在附近的人列表中看到你。如果不打开该功能,则将永远不会出现在其中
启用附近的人并进入附近列表需要单击“使自己可见”按钮
后续可以随时通过单击“不显示我”按钮从列表中删除展示个人信息
#Telegram #常见问题 #FAQ
Via @RAM9s
sudo爆缓冲溢出提权漏洞 CVE-2021-3156
快速自检是否受到影响?
进入低权限用户模式(非root权限用户)
运行 sudoedit -s /
如果响应返回
包含有 sudoedit: 开头字样则受影响
包含有 usage: 开头字样说明已修复
影响常见Linux发行版本
Ubuntu 20.04(Sudo 1.8.31)
Debian 10(Sudo 1.8.27)
Fedora 33(Sudo 1.9.2)
具体受影响的sudo版本区间
从1.8.2到1.8.31p2的所有旧版
从1.9.0到1.9.5p1的所有稳定版本
*即使 nobody 用户都可提权至root
来源 #Linux #提权 #漏洞
Via @RAM9s
快速自检是否受到影响?
进入低权限用户模式(非root权限用户)
运行 sudoedit -s /
如果响应返回
包含有 sudoedit: 开头字样则受影响
包含有 usage: 开头字样说明已修复
影响常见Linux发行版本
Ubuntu 20.04(Sudo 1.8.31)
Debian 10(Sudo 1.8.27)
Fedora 33(Sudo 1.9.2)
具体受影响的sudo版本区间
从1.8.2到1.8.31p2的所有旧版
从1.9.0到1.9.5p1的所有稳定版本
*即使 nobody 用户都可提权至root
来源 #Linux #提权 #漏洞
Via @RAM9s
Windows 系统中两个TCP/IP 远程执行代码漏洞
两个漏洞几乎影响现有Windows操作系统的绝大部分版本
具体包括如下:
Windows 7 SP1~Windows10 20H2
Windows Server 2008~Windows Server 20H2
解决(缓解)方案
针对CVE-2021-24074执行以下命令阻截
防火墙上阻截源路由请求或者
丢弃所有IPv4源路由请求
撤销操作指令
操作影响
Ipv4 源路由被认为是不安全的,并且在 Windows 中默认为阻止状态;但是,系统将处理该请求并返回拒绝该请求的 ICMP 消息。上述指令生效后将导致系统完全丢弃这些请求,而不进行任何处理
Src CVE-2021-24074
针对CVE-2021-24086执行以下命令阻截
根据业务需要可以在防火墙上丢掉IPv6来路的UDP分段数据或者
将全局重汇编极限设置为 0
禁用数据包重组。丢弃任何无序数据包
撤销操作指令
操作影响
丢弃无序数据包时可能会丢失部分数据包
Src CVE-2021-24086
附录
Windows系统 2021年2月安全更新细节说明
Via @RAM9s
两个漏洞几乎影响现有Windows操作系统的绝大部分版本
具体包括如下:
Windows 7 SP1~Windows10 20H2
Windows Server 2008~Windows Server 20H2
解决(缓解)方案
针对CVE-2021-24074执行以下命令阻截
防火墙上阻截源路由请求或者
丢弃所有IPv4源路由请求
netsh int ipv4 set global sourceroutingbehavior=drop撤销操作指令
netsh int ipv4 set global sourceroutingbehavior=dontforward操作影响
Ipv4 源路由被认为是不安全的,并且在 Windows 中默认为阻止状态;但是,系统将处理该请求并返回拒绝该请求的 ICMP 消息。上述指令生效后将导致系统完全丢弃这些请求,而不进行任何处理
Src CVE-2021-24074
针对CVE-2021-24086执行以下命令阻截
根据业务需要可以在防火墙上丢掉IPv6来路的UDP分段数据或者
将全局重汇编极限设置为 0
禁用数据包重组。丢弃任何无序数据包
Netsh int ipv6 set global reassemblylimit=0撤销操作指令
Netsh int ipv6 set global reassemblylimit=267748640操作影响
丢弃无序数据包时可能会丢失部分数据包
Src CVE-2021-24086
附录
Windows系统 2021年2月安全更新细节说明
Via @RAM9s
Telegram 7.5.x公开测试版特性
■新增无限人数的广播群类型(Broadcsast Group)
-群组人数无上限
-仅群管可正常发言(无法解除)、发起语音聊天(有权管理可单独解除)
-成员列表可以看见彼此(联系人、最近发言人靠前)
-暂不支持单独创建,在成员数达到199000时开放
*可以简单归为阉割部分用户互动,人数无上限的超级群组
■群组/频道的临时邀请链接功能上线
-管理可指定有效时间/邀请人次•使用次数
-Telegram提供一些常用模板,自动换成时间、次数,方便实用
*测试版目前看还是空架子,功能不起作用
■全会话场景支持消息自毁
-用户间的个人私聊
-公开或者私人的群组、频道
-目前支持设置周期:一天、七天
怎么设置?
会话窗口右上角 清除历史记录 -> 配置 自动删除消息
■支持小部件(Android)
-两种类型:聊天列表、头像组合
-支持个人私聊、机器人、群组、频道
*相当于创建快捷方式,将常用聊天会话放桌面(屏幕)方便查看消息、即时响应
■频道/群组的举报投诉交互界面更新
针对频道消息现在可以操作举报精确到条而不再是整个频道
*逻辑改进,粒度更细分
#Telegram #更新 #特性
Via @RAM9s
■新增无限人数的广播群类型(Broadcsast Group)
-群组人数无上限
-仅群管可正常发言(无法解除)、发起语音聊天(有权管理可单独解除)
-成员列表可以看见彼此(联系人、最近发言人靠前)
-暂不支持单独创建,在成员数达到199000时开放
*可以简单归为阉割部分用户互动,人数无上限的超级群组
■群组/频道的临时邀请链接功能上线
-管理可指定有效时间/邀请人次•使用次数
-Telegram提供一些常用模板,自动换成时间、次数,方便实用
*测试版目前看还是空架子,功能不起作用
■全会话场景支持消息自毁
-用户间的个人私聊
-公开或者私人的群组、频道
-目前支持设置周期:一天、七天
怎么设置?
会话窗口右上角 清除历史记录 -> 配置 自动删除消息
■支持小部件(Android)
-两种类型:聊天列表、头像组合
-支持个人私聊、机器人、群组、频道
*相当于创建快捷方式,将常用聊天会话放桌面(屏幕)方便查看消息、即时响应
■频道/群组的举报投诉交互界面更新
针对频道消息现在可以操作举报精确到条而不再是整个频道
*逻辑改进,粒度更细分
#Telegram #更新 #特性
Via @RAM9s
Telegram 将支持群组/频道所有权继承
解说
如果群组/频道所有者删除其帐户,则将群组/频道的所有权转移给其中一位管理员
仅对近期新创建的群组/频道有效,如果是很久以前创建的群组/频道则必须由所有者转让才可,不会被系统转移继承
所有权继承的细节
频道
• 所有权转移给有权发布消息的管理员之一
• 拥有其他权限多会增加转让的可能性
• 如果管理员不能发布频道消息,就不能成为频道新的所有者
群组
• 关键因素在是否有任命新管理员的权限
• 拥有权限越多会增加所有权继承的机会
• 如果群组中没有管理员,则比其他人更早加入群组的用户继承成为所有者
*一些特殊情况不会出现所有权继承
#Telegran #权限
Via @RAM9s
解说
如果群组/频道所有者删除其帐户,则将群组/频道的所有权转移给其中一位管理员
仅对近期新创建的群组/频道有效,如果是很久以前创建的群组/频道则必须由所有者转让才可,不会被系统转移继承
所有权继承的细节
频道
• 所有权转移给有权发布消息的管理员之一
• 拥有其他权限多会增加转让的可能性
• 如果管理员不能发布频道消息,就不能成为频道新的所有者
群组
• 关键因素在是否有任命新管理员的权限
• 拥有权限越多会增加所有权继承的机会
• 如果群组中没有管理员,则比其他人更早加入群组的用户继承成为所有者
*一些特殊情况不会出现所有权继承
#Telegran #权限
Via @RAM9s
九秒RAM™
Apache HTTP Server 路径遍历 影响 只影响 2.4.49 版本 解决方案 更新到 2.4.50 及以上 CVE-2021-41773 PoC验证 127.0.0.1/cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd #Apache #越权 #访问 #漏洞 Via @RAM9s
Telegram 频道上的赞助商广告即将上线测试全面铺开
通过Telegram官方翻译平台上最近更新的字段说明
从中我们可以知道一些相关细节
◆广告投放来自Telegram广告,而不是频道管理员自定义的广告
◆赞助商广告目前处于测试阶段
◆测试阶段,只有Telegram从广告中收益
◆后续Telegram官方将专门上线广告投放平台(网站)
◆一旦正式上线,在Telegram扣除基础运营成本后,广告相关收益将与频道所有者分享
◆每个频道仅展示一个赞助商广告位
◆目前赞助商广告位于频道消息最底部(看完所有频道消息推送后才显示)
◆广告商可以自主选择广告渠道来进行业务推广(目前仅频道)
◆Telegram不会追踪用户是否点击了赞助商广告
◆赞助商广告内将不支持外部链接
◆赞助商广告的展示推送仅基于频道主题而非访客(意味着访问同一频道的每位用户将会看到相同的广告)
目前广告投放素材要求
●仅支持文本
●最大长度不超过160个字符
*翻译平台上发布的信息与Telegram广告业务的最终执行呈现不具有百分百确定性,只有最终发布上线后我们才能知道它实际上是如何工作
#Telegram #广告渠道
Via @RAM9s
通过Telegram官方翻译平台上最近更新的字段说明
从中我们可以知道一些相关细节
◆广告投放来自Telegram广告,而不是频道管理员自定义的广告
◆赞助商广告目前处于测试阶段
◆测试阶段,只有Telegram从广告中收益
◆后续Telegram官方将专门上线广告投放平台(网站)
◆一旦正式上线,在Telegram扣除基础运营成本后,广告相关收益将与频道所有者分享
◆每个频道仅展示一个赞助商广告位
◆目前赞助商广告位于频道消息最底部(看完所有频道消息推送后才显示)
◆广告商可以自主选择广告渠道来进行业务推广(目前仅频道)
◆Telegram不会追踪用户是否点击了赞助商广告
◆赞助商广告内将不支持外部链接
◆赞助商广告的展示推送仅基于频道主题而非访客(意味着访问同一频道的每位用户将会看到相同的广告)
目前广告投放素材要求
●仅支持文本
●最大长度不超过160个字符
*翻译平台上发布的信息与Telegram广告业务的最终执行呈现不具有百分百确定性,只有最终发布上线后我们才能知道它实际上是如何工作
#Telegram #广告渠道
Via @RAM9s
This media is not supported in your browser
VIEW IN TELEGRAM
Telegram 广告投放平台上线测试相关细节
◆广告投放在用户订阅数大于 1K的频道上
◆广告基于频道的主题分类、上下文投放
◆广告内容为纯文本不超过 160个字符
◆目前每千次展示最低费用为 2 欧元
🚫条款明文禁止的内容
-惊悚、色情的内容
-仇恨、暴力、骚扰
-第三方商业权利(版权、商标等)
-欺骗性、误导性或掠夺性广告
-涉及选举或政治的广告
-赌博广告
-欺骗性或有害的金融产品或服务
-医疗服务、药物、补剂(保健品)
-药物、酒精、烟草、快餐(外卖)
-武器、火器、炸药、弹药
-垃圾邮件软件、恶意软件、黑客攻击
-有合法性问题的产品或服务(假证、泄露的个人数据等等)
Telegram广告投放平台预期是面向大型广告投放商开放
条款显示:为确保维护在 Telegram 平台上推出的高质量广告内容,最低首付充值需要 两百万 欧元,其中一百万欧作为押金,若广告商12个月内广告投放小于 一千万 欧元,则押金扣留不退,一年内投放花费超过 一千万 欧元则押金退回
Telegram Ads 入口
Telegram广告投放指南
Telegram广告投放服务条款
Via @RAM9s
◆广告投放在用户订阅数大于 1K的频道上
◆广告基于频道的主题分类、上下文投放
◆广告内容为纯文本不超过 160个字符
◆目前每千次展示最低费用为 2 欧元
🚫条款明文禁止的内容
-惊悚、色情的内容
-仇恨、暴力、骚扰
-第三方商业权利(版权、商标等)
-欺骗性、误导性或掠夺性广告
-涉及选举或政治的广告
-赌博广告
-欺骗性或有害的金融产品或服务
-医疗服务、药物、补剂(保健品)
-药物、酒精、烟草、快餐(外卖)
-武器、火器、炸药、弹药
-垃圾邮件软件、恶意软件、黑客攻击
-有合法性问题的产品或服务(假证、泄露的个人数据等等)
Telegram广告投放平台预期是面向大型广告投放商开放
条款显示:为确保维护在 Telegram 平台上推出的高质量广告内容,最低首付充值需要 两百万 欧元,其中一百万欧作为押金,若广告商12个月内广告投放小于 一千万 欧元,则押金扣留不退,一年内投放花费超过 一千万 欧元则押金退回
Telegram Ads 入口
Telegram广告投放指南
Telegram广告投放服务条款
Via @RAM9s
Telegram 近期即将到来的新特性
◆私人频道/群组将支持禁止用户转发和保存媒体资源文件到本地
*除一般场景的内容分享行为被禁止,还将禁止包括:文字复制、截屏
*目前看仅交互层的禁止、限制、不可用
◆支持用户使用公开频道频道主的身份在公开群组中发言
*条件
-切换发言身份时自身至少创建有一个公共频道(最多显示十个可选用)
-仅能以公开频道主(所有者)身份进行发言(即频道的一般管理员不能代表频道对外发言)
*从接受者来看,与一般发言无异(查看发言者简介将进入频道)
*类似现有的,以频道主身份进入语音聊天
◆支持选择任意时间段内的所有消息进行删除
*日历中长按当天有消息预览
💡消息来源
Telegram官方发布的Android开发者大赛
Конкурс для разработчиков под Android
*仅依据现有信息源做前瞻解读、猜测
*不代表不确定Telegram最终实现以及品质
#Telegram #特性 #功能
Via @RAM9s
◆私人频道/群组将支持禁止用户转发和保存媒体资源文件到本地
*除一般场景的内容分享行为被禁止,还将禁止包括:文字复制、截屏
*目前看仅交互层的禁止、限制、不可用
◆支持用户使用公开频道频道主的身份在公开群组中发言
*条件
-切换发言身份时自身至少创建有一个公共频道(最多显示十个可选用)
-仅能以公开频道主(所有者)身份进行发言(即频道的一般管理员不能代表频道对外发言)
*从接受者来看,与一般发言无异(查看发言者简介将进入频道)
*类似现有的,以频道主身份进入语音聊天
◆支持选择任意时间段内的所有消息进行删除
*日历中长按当天有消息预览
💡消息来源
Telegram官方发布的Android开发者大赛
Конкурс для разработчиков под Android
*仅依据现有信息源做前瞻解读、猜测
*不代表不确定Telegram最终实现以及品质
#Telegram #特性 #功能
Via @RAM9s
Telegram 邀请链接更新
从今天开始,
新的邀请链接结构更新如下
t.me/+Qwertyuiop
之前创建邀请链接带有前缀 joinchat
t.me/joinchat/Qwertyuiop
*目前群组邀请链接已更新,频道还未同步更新此变化
*链接更为精简,具体用法与以往一样
Via @RAM9s
从今天开始,
新的邀请链接结构更新如下
t.me/+Qwertyuiop
之前创建邀请链接带有前缀 joinchat
t.me/joinchat/Qwertyuiop
*目前群组邀请链接已更新,频道还未同步更新此变化
*链接更为精简,具体用法与以往一样
Via @RAM9s
九秒RAM™
Telegram 近期即将到来的新特性 ◆私人频道/群组将支持禁止用户转发和保存媒体资源文件到本地 *除一般场景的内容分享行为被禁止,还将禁止包括:文字复制、截屏 *目前看仅交互层的禁止、限制、不可用 ◆支持用户使用公开频道频道主的身份在公开群组中发言 *条件 -切换发言身份时自身至少创建有一个公共频道(最多显示十个可选用) -仅能以公开频道主(所有者)身份进行发言(即频道的一般管理员不能代表频道对外发言) *从接受者来看,与一般发言无异(查看发言者简介将进入频道) *类似现有的,以频道主身份进入语音聊天…
This media is not supported in your browser
VIEW IN TELEGRAM