Код в мешке
249 subscribers
9.1K photos
1.6K videos
2.11K files
42.7K links
Код в мешке - про кодинг, и не только...
Это личная записная книжка

https://t.me/joinchat/AAAAAEIy6oGlr8oxqTMS5w
Download Telegram
⌨️ Про безопасность inline-кнопок.
- пригодится всем.

Inline-кнопками в ботах Телеграм называются кнопки, которые крепятся к сообщению снизу. Они могут выполнять разные функции: от перехода по ссылке до открытия Web App. Сегодня мы расскажем про их основное применение - выполнение действия в боте с помощью передачи callback_data.

Работает это так: бот передает в кнопку строку до 64 символов (callback_data), далее пользователь нажимает на кнопку и на сервер бота приходит этот callback_data обратно, отталкиваясь от которого бот выполняет нужное действие.

Кажется, что схема довольно простая, но за ней скрывается одна незаметная уязвимость - пользователи могут просматривать callback_data. Это легко сделать с помощью специальных клиентов или через API и это открывает огромное пространство для уязвимостей когда в callback_data передается важная секретная информация.


🔐 Как от этого защититься? Мы рекомендуем 3 способа:

1. Тщательно проверять и фильтровать всю информацию, которая передается в callback_data. Не передавать туда никаких ключей, токенов и вообще никакой информации, которая поможет злоумышленнику разобраться во внутренностях бота.

2. Шифрование. Принцип простой: шифруем callback_data перед передачей пользователю и расшифровываем при получении обратно. Тут важно учесть чтобы зашифрованная строка вмещалась в 64 байта (ограничение Телеграм).

3. Передаем вместо callback_data случайную строку, для которой в базе бота сохраняем соответствующий callback_data. При получении этой случайной строки ищем в базе исходный callback_data и выполняем нужное действие. На наш взгляд, это лучший вариант.

Остались вопросы? Или есть идея?
Обращайся - @lvadislav, @justdii
#portfolio
🔑 @ProxiesRobot - новый проект от нашей команды!

Сделали на досуге простенького бота, который собирает сотни прокси-серверов из открытых источников и выдает их поштучно бесплатно, без каких-либо ограничений.

Бот отлично подойдет для парсинга и подобных кодерских задач. Доступно 4 типа прокси: HTTP, HTTPS, SOCKS4, SOCKS5. Больше всего в боте прокси вида SOCKS4.

@ProxiesRobot
#portfolio
🎧 Аудиолиба - каталог аудиокниг

Хотим сегодня поделиться одной из последних наших работ на заказ - бот в виде WebApp для поиска аудиокниг.

• Что он умеет?

Бот выводит свою внутренюю базу аудиокниг в удобном графическом формате, с возможностью фильтрации по жанру, автору, чтецу, году и поиском по названию. Кроме этого, каждый пользователь может предложить свою книгу и она будет добавлена в каталог после модерации.

• Как он реализован?

Бот сделан с помощью технологии WebApp. Фактически это полноценный сайт прямо внутри Telegram. При выборе нужной книги, WebApp скрывается и книга отправляется для прослушивания уже через обычного Telegram-бота.

Остались вопросы? Или есть идея?
Обращайся - @lvadislav, @justdii
Forwarded from .
Please open Telegram to view this post
VIEW IN TELEGRAM
Настройка собственного Git сервера с помощью Gitea
https://habr.com/ru/articles/761026/

Приручаем GitLab: прикольные фишки и инциденты, которые упростят вашу жизнь
https://habr.com/ru/companies/nixys/articles/758068/