Forwarded from BotValley - разработка ботов
⌨️ Про безопасность inline-кнопок.
- пригодится всем.
Inline-кнопками в ботах Телеграм называются кнопки, которые крепятся к сообщению снизу. Они могут выполнять разные функции: от перехода по ссылке до открытия Web App. Сегодня мы расскажем про их основное применение - выполнение действия в боте с помощью передачи callback_data.
Работает это так: бот передает в кнопку строку до 64 символов (callback_data), далее пользователь нажимает на кнопку и на сервер бота приходит этот callback_data обратно, отталкиваясь от которого бот выполняет нужное действие.
Кажется, что схема довольно простая, но за ней скрывается одна незаметная уязвимость - пользователи могут просматривать callback_data. Это легко сделать с помощью специальных клиентов или через API и это открывает огромное пространство для уязвимостей когда в callback_data передается важная секретная информация.
🔐 Как от этого защититься? Мы рекомендуем 3 способа:
1. Тщательно проверять и фильтровать всю информацию, которая передается в callback_data. Не передавать туда никаких ключей, токенов и вообще никакой информации, которая поможет злоумышленнику разобраться во внутренностях бота.
2. Шифрование. Принцип простой: шифруем callback_data перед передачей пользователю и расшифровываем при получении обратно. Тут важно учесть чтобы зашифрованная строка вмещалась в 64 байта (ограничение Телеграм).
3. Передаем вместо callback_data случайную строку, для которой в базе бота сохраняем соответствующий callback_data. При получении этой случайной строки ищем в базе исходный callback_data и выполняем нужное действие. На наш взгляд, это лучший вариант.
Остались вопросы? Или есть идея?
Обращайся - @lvadislav, @justdii
- пригодится всем.
Inline-кнопками в ботах Телеграм называются кнопки, которые крепятся к сообщению снизу. Они могут выполнять разные функции: от перехода по ссылке до открытия Web App. Сегодня мы расскажем про их основное применение - выполнение действия в боте с помощью передачи callback_data.
Работает это так: бот передает в кнопку строку до 64 символов (callback_data), далее пользователь нажимает на кнопку и на сервер бота приходит этот callback_data обратно, отталкиваясь от которого бот выполняет нужное действие.
Кажется, что схема довольно простая, но за ней скрывается одна незаметная уязвимость - пользователи могут просматривать callback_data. Это легко сделать с помощью специальных клиентов или через API и это открывает огромное пространство для уязвимостей когда в callback_data передается важная секретная информация.
🔐 Как от этого защититься? Мы рекомендуем 3 способа:
1. Тщательно проверять и фильтровать всю информацию, которая передается в callback_data. Не передавать туда никаких ключей, токенов и вообще никакой информации, которая поможет злоумышленнику разобраться во внутренностях бота.
2. Шифрование. Принцип простой: шифруем callback_data перед передачей пользователю и расшифровываем при получении обратно. Тут важно учесть чтобы зашифрованная строка вмещалась в 64 байта (ограничение Телеграм).
3. Передаем вместо callback_data случайную строку, для которой в базе бота сохраняем соответствующий callback_data. При получении этой случайной строки ищем в базе исходный callback_data и выполняем нужное действие. На наш взгляд, это лучший вариант.
Остались вопросы? Или есть идея?
Обращайся - @lvadislav, @justdii
Forwarded from BotValley - разработка ботов
#portfolio
🔑 @ProxiesRobot - новый проект от нашей команды!
Сделали на досуге простенького бота, который собирает сотни прокси-серверов из открытых источников и выдает их поштучно бесплатно, без каких-либо ограничений.
Бот отлично подойдет для парсинга и подобных кодерских задач. Доступно 4 типа прокси: HTTP, HTTPS, SOCKS4, SOCKS5. Больше всего в боте прокси вида SOCKS4.
@ProxiesRobot
🔑 @ProxiesRobot - новый проект от нашей команды!
Сделали на досуге простенького бота, который собирает сотни прокси-серверов из открытых источников и выдает их поштучно бесплатно, без каких-либо ограничений.
Бот отлично подойдет для парсинга и подобных кодерских задач. Доступно 4 типа прокси: HTTP, HTTPS, SOCKS4, SOCKS5. Больше всего в боте прокси вида SOCKS4.
@ProxiesRobot
Forwarded from BotValley - разработка ботов
#portfolio
🎧 Аудиолиба - каталог аудиокниг
Хотим сегодня поделиться одной из последних наших работ на заказ - бот в виде WebApp для поиска аудиокниг.
• Что он умеет?
Бот выводит свою внутренюю базу аудиокниг в удобном графическом формате, с возможностью фильтрации по жанру, автору, чтецу, году и поиском по названию. Кроме этого, каждый пользователь может предложить свою книгу и она будет добавлена в каталог после модерации.
• Как он реализован?
Бот сделан с помощью технологии WebApp. Фактически это полноценный сайт прямо внутри Telegram. При выборе нужной книги, WebApp скрывается и книга отправляется для прослушивания уже через обычного Telegram-бота.
Остались вопросы? Или есть идея?
Обращайся - @lvadislav, @justdii
🎧 Аудиолиба - каталог аудиокниг
Хотим сегодня поделиться одной из последних наших работ на заказ - бот в виде WebApp для поиска аудиокниг.
• Что он умеет?
Бот выводит свою внутренюю базу аудиокниг в удобном графическом формате, с возможностью фильтрации по жанру, автору, чтецу, году и поиском по названию. Кроме этого, каждый пользователь может предложить свою книгу и она будет добавлена в каталог после модерации.
• Как он реализован?
Бот сделан с помощью технологии WebApp. Фактически это полноценный сайт прямо внутри Telegram. При выборе нужной книги, WebApp скрывается и книга отправляется для прослушивания уже через обычного Telegram-бота.
Остались вопросы? Или есть идея?
Обращайся - @lvadislav, @justdii
Павел Дуров анонсировал встройку блокчейна TON в Telegram через Wallet
https://habr.com/ru/news/761158/
Павел Дуров: осенью у всех пользователей Telegram появится кошелёк TON, блокчейн будет глубже интегрирован в приложение
https://habr.com/ru/news/761160/
...
https://habr.com/ru/news/761158/
Павел Дуров: осенью у всех пользователей Telegram появится кошелёк TON, блокчейн будет глубже интегрирован в приложение
https://habr.com/ru/news/761160/
...
Хабр
Павел Дуров анонсировал встройку блокчейна TON в Telegram через Wallet
В своем телеграм канале Павел написал: «Много лет назад мы создали TON - масштабируемую и быструю технологию блокчейн. TON была разработана для обслуживания сотен миллионов пользователей...
Утилита Telegram get remote IP в некоторых случаях позволяет определить IP-адрес собеседника из контактов в Telegram
https://habr.com/ru/news/761164/
https://habr.com/ru/news/761164/
Хабр
Утилита Telegram get remote IP в некоторых случаях позволяет определить IP-адрес собеседника из контактов в Telegram
Утилита разработчика по имени Denis Simonov (n0a) Telegram get remote IP позволяет в некоторых случаях определить IP-адрес собеседника из контактов в мессенджере Telegram через анализ трафика сетевого...
Роскомнадзор: мессенджер WhatsApp будет заблокирован в РФ, если проект будет распространять запрещённую информацию
https://habr.com/ru/news/761152/
https://habr.com/ru/news/761152/
Хабр
Роскомнадзор: мессенджер WhatsApp будет заблокирован в РФ, если проект будет распространять запрещённую информацию
14 сентября 2023 года Роскомнадзор сообщил СМИ, что американский мессенджер WhatsApp, , принадлежащий компании Meta* (* - в РФ признана экстремистской организацией, её деятельность запрещена), будет...
Что можно сделать из модульного ноутбука Framework: примеры разных проектов
https://habr.com/ru/companies/ru_mts/articles/761156/
https://habr.com/ru/companies/ru_mts/articles/761156/
Хабр
Что можно сделать из модульного ноутбука Framework: примеры разных проектов
О модульном ноутбуке Framework Laptop мы уже писали , и не раз. Это необычный проект, причём достоинство устройства не только в том, что его может без проблем отремонтировать даже не особо...
Эпоха низких цен на SSD и флеш-память, похоже, заканчивается. Вскоре все это начнет дорожать
https://habr.com/ru/companies/selectel/articles/761126/
https://habr.com/ru/companies/selectel/articles/761126/
Хабр
Эпоха низких цен на SSD и флеш-память, похоже, заканчивается. Вскоре все это начнет дорожать
В самом начале лета мы писали, что стоимость твердотельных накопителей снижается. При этом в марте цены и так были относительно низкими, а в июне они упали еще на 25% . Если вы еще не закупились...
Как рассказать о сайте поисковой системе
https://habr.com/ru/articles/761068/
https://habr.com/ru/articles/761068/
Хабр
Как рассказать о сайте поисковой системе
Содержание Введение Начало Robots.txt Sitemap.xml Метатэги OpenGraph Twitter Пример Заключение Введение Доброго времени суток. Сегодня хочу рассказать вам о том как добавить сайт в поисковую систему....
Архитектура высоконагруженных телеграм-ботов на Python
https://habr.com/ru/companies/otus/articles/760890/
https://habr.com/ru/companies/otus/articles/760890/
Хабр
Архитектура высоконагруженных телеграм-ботов на Python
Приветствую всех читателей Otus! Телеграм-боты стали незаменимым инструментом для автоматизации коммуникации, обработки данных и предоставления пользовательских услуг. Они не только сокращают нагрузку...
AmneziaVPN: раз, два, три — и готово
https://habr.com/ru/companies/roskomsvoboda/articles/761038/
https://habr.com/ru/companies/roskomsvoboda/articles/761038/
Хабр
AmneziaVPN: раз, два, три — и готово
НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН И (ИЛИ) РАСПРОСТРАНЕН ИНОСТРАННЫМ АГЕНТОМ «РОСКОМСВОБОДА» ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА «РОСКОМСВОБОДА». 18+ Рассказываем о том, как...
Настройка собственного Git сервера с помощью Gitea
https://habr.com/ru/articles/761026/
Приручаем GitLab: прикольные фишки и инциденты, которые упростят вашу жизнь
https://habr.com/ru/companies/nixys/articles/758068/
https://habr.com/ru/articles/761026/
Приручаем GitLab: прикольные фишки и инциденты, которые упростят вашу жизнь
https://habr.com/ru/companies/nixys/articles/758068/
Хабр
Шпаргалка по криптографии: что делать, если попал в проект с криптографами
https://habr.com/ru/companies/infotecs_official/articles/761008/
https://habr.com/ru/companies/infotecs_official/articles/761008/
Хабр
Шпаргалка по криптографии: что делать, если попал в проект с криптографами
Привет, Хабр! Сегодня мы решили помочь аналитикам, менеджерам проектов и другим людям, которым нужно быстро освоить или вспомнить базовые понятия криптографии . Может быть, вы присоединились к...
Облегчают анализ данных: 7 бесплатных сервисов на базе ИИ
https://habr.com/ru/articles/761002/
https://habr.com/ru/articles/761002/
Хабр
Облегчают анализ данных: 7 бесплатных сервисов на базе ИИ
Ниже представлены инструменты на основе искусственного интеллекта, которые облегчают анализ данных. По мнению разработчиков данных сервисов, они подходят не только для новичков в анализе...
Используй ChatGPT правильно, или проблема контекста в больших языковых моделях
https://habr.com/ru/companies/bimeister/articles/760974/
https://habr.com/ru/companies/bimeister/articles/760974/
Хабр
Используй ChatGPT правильно, или проблема контекста в больших языковых моделях
Используй ChatGPT правильно, или проблема контекста в больших языковых моделях Всем привет! Данная статья написана, чтобы помочь рядовым пользователям правильно использовать ChatGPT. В ней...
Запрет писать про VPN: общественное обсуждение продлено
https://habr.com/ru/companies/xeovo/articles/760978/
https://habr.com/ru/companies/xeovo/articles/760978/
Хабр
Запрет писать про VPN: общественное обсуждение продлено
Победа хабраэффекта: возможность формально сообщить Роскомнадзору своё мнение насчёт их инициативы о запрете писать про способы обхода блокировок в рамках общественного обсуждения восстановлена и...
Удивительная лампочка из Ашана
https://habr.com/ru/companies/lamptest/articles/760964/
https://habr.com/ru/companies/lamptest/articles/760964/
Хабр
Удивительная лампочка из Ашана
На прошлой неделе я протестировал 23 модели светодиодных ламп Ашан и среди них обнаружилась одна, «не такая, как все», причём отличается она в лучшую сторону. На сайте Ашан эта лампочка называется...
Как я использую WordPress для создания Телеграм-ботов
https://habr.com/ru/articles/760954/
https://habr.com/ru/articles/760954/
Хабр
Как я использую WordPress для создания Телеграм-ботов
Не мало людей удивятся «А что так можно было?». Да – хорошие боты можно писать на PHP. Да – WordPress хорошо подходит в качестве фреймворка. Далее поделюсь своим опытом. Речь пойдет о веб-хуках из...
LlamaIndex: создаем чат-бота без боли и страданий. Часть 3
https://habr.com/ru/articles/760944/
https://habr.com/ru/articles/760944/
Хабр
LlamaIndex: создаем чат-бота без боли и страданий. Часть 3
В предыдущих статьях ( начало , продолжение ) мы постепенно погружались в мир llamaIndex, рассмотрев основные концепции фреймворка и научившись реализовывать ключевые функции чат‑бота...