169 похожих чатов

В винде так-то Protected Storage есть. Но для хранения токена

телеграм-бота это уже оверкилл. Я бы просто в .ini рядом положил. Кому оно нужно-то?

30 ответов

32 просмотра

Просто .txt файлом тогда.

если бы бота то ладно а мне нужен свой тг клиент модульный чисто по одной утилите на одно действие что то вроде линукс утилит и желательно чтобы эти утилиты только у меня норм работали а если кто их скопирует и у себя запустит чтобы криво работали чтобы можно было открыто хранить эти утилиты на случай потери пк или аккаунта идея пока слегка мутная но я уверен что додумаю её до чего то стоящего и допилю что то большое - типа своего телеграм клиента (со всеми функциями) мне не осилить - да и не нужно я хочу только часть автоматизировать и вынести за пределы привычного телеграм клиента только рутину ну и в более далёких планах вообще все каналы и чаты отдалить от себя и напрямую их больше не видеть а видеть только компактный дашборд с кучей визуализаций и облак тегов с дайджестами настроений публикаций и кратким пересказом в 3-5 слов при этом всё фрактальное и пирпмидное полный психодел и всё такое ну и много чего другого планирую запилить но это совсем сложно объяснить так как там очень всё концептуально и ломает полностью все привычные представления об интернет сервисах в общем это опасно для мозга но мне норм

РЕТРОКУЛЬТИВАТОР ✊
если бы бота то ладно а мне нужен свой тг клиент...

Я уже задумывал написать свой клиент на FASM. Там всё не так просто (очень сложно реализовано всё), так что лучше используй tdlib, как написал Михаил.

КТ315
Я уже задумывал написать свой клиент на FASM. Там ...

было бы неплохо простенький клиент для одной ос на дискету сделать, mbedTLS есть)

Mixail Frolov
было бы неплохо простенький клиент для одной ос на...

Конечно, неплохо. Но там так всё муторно. С шифрованием, особенно. Над защитой обмена данных постарались однозначно.

КТ315
Конечно, неплохо. Но там так всё муторно. С шифров...

да. я читал описание но так до конца и не разобрался. опять таки блокчейн ещё сложнее. хотя я его описания не читал. только общий обзор.

а если допустим я устанавиливаю в системе 128 переменных окружения из них 64 фейковые и 64 настоящие у всех них названия длинные и рандомные но по некоему алгоритму а исполняемый файл читает нужные ему переменные и комбинирует их особым образом до получения нужного ключа при этом все переменные периодически меняются тоже по алгоритму например с периодами 30 секунд 300 секунд и 6000 секунд то есть что то вроде того что в Гугл Аутентикатор и подобных штуках все цифры примерные конечно суть вопроса такая: насколько это усложнит угон ключа? просто мне кажется что её будет немудрено обойти хотя с виду она и ого го. всм что сам исполняемый файл тоже нужно будет защитить как то - иначе это всё напрасно. простите что сумбурно. я в ажиотации и расстройстве одновременно. сперва обрадовался что нашёл простое интересное решение но пока писал что понял что оно недостаточно. горе.

РЕТРОКУЛЬТИВАТОР ✊
а если допустим я устанавиливаю в системе 128 пере...

Автомат, который тупо сканирует переменные окружения в поисках ключа обломается. Хакер тоже десять раз подумает, да и пойдет искать цель по-проще.

РЕТРОКУЛЬТИВАТОР ✊
а если допустим я устанавиливаю в системе 128 пере...

Но если хакер будет целиться в конкретную систему, то, конечно сможет разгадать.

s54820- Автор вопроса
РЕТРОКУЛЬТИВАТОР ✊
а если допустим я устанавиливаю в системе 128 пере...

Ты можешь хоть на голову встать, но где-то в коде ты будешь формировать HTTP-запрос. Там-то ключ точно будет плейнтекстом.

楽園松本
Какая у тебя цель?

Вот, отличный вопрос. Основа защиты -- модель угроз!

Alexander Morozov
Автомат, который тупо сканирует переменные окружен...

то есть пока это будет кастомным решением это будет достаточно надёжно но если из этого вырастет фреймворк и он станет достаточно популярен то такое решение станут обслуживать тоже и тогда его эффективность резко упадёт до первоначального значения или даже ниже. я понял. спасибо. это очень радует потому что я боялся что я ерунду придумал. а меня люто ранит подобное.

s54820- Автор вопроса
楽園松本
Всегда побеждает маленькая кастомная коробочка

К которой у пользователя нет доступа :)

РЕТРОКУЛЬТИВАТОР ✊
то есть пока это будет кастомным решением это буде...

Но при обустройстве такой коробочки надо всегда помнить, что ломают не замок, а сейф целиком. Могут вместо замка пробить стену.

楽園松本
Какая у тебя цель?

я хочу сделать что то типа middleware для работы с аккаунтами и ботами телеграм такое чтобы моё общение с ним было по относительно небезопасным каналам (возможно даже по открытым) а все ключи хранились где то в нём - т.е. не у меня но при этом чтобы даже при длительном прослушивании моего обмена с middleware было невозможно вычислить алгоритм взаимодействия с middleware то есть даже без явной привязки в ip адресам было невозможно просчитать правильный запрос к middleware и таким образом было невозможно что то сделать от имени моего аккаунта или бота а само middleware чтобы работало 24 на 7 на 365 на вечно на халявных мощностях типа Cloudflare Functions например где есть 100к бесплатных исполнений в сутки всё это нужно для того чтобы я мог не париться о потере аккаунта через 365 дней в случае форс мажора то есть это функция хранения аккаунтов ну и связанных с ними ботов конечно ну и ещё возможность работать с одними и теми же аккаунтами с различных устройств но без опасения потери этих устройств включая силовые методы и ещё куча всяких других штук которые я пока не все продумал в общем, чтобы телеграм у меня был но вроде как нет мне кажется это то, чего я хочу

РЕТРОКУЛЬТИВАТОР ✊
я хочу сделать что то типа middleware для работы с...

В первой части описано банальное шифрование трафика.

РЕТРОКУЛЬТИВАТОР ✊
я хочу сделать что то типа middleware для работы с...

Но компонент в сети защищать и поддерживать придется в любом случае.

Alexander Morozov
Но компонент в сети защищать и поддерживать придет...

это да. но серверные решения могут быть весьма надёжными. куда надёжнее десктопных. тем более можно вообще скомпилить исполняемый файл сервера и запускать его без операционной системы. такое будет сложно сломать в принципе. я не говорю что это единственно верное решение но ведь можно и так.

Нет ОС это практически всегда хорошо

РЕТРОКУЛЬТИВАТОР ✊
это да. но серверные решения могут быть весьма над...

1) Готовим на защищённом десктопе монолит с зашитыми в него адресами, ключами и всем прочим. Обсфурцированый и обвешаный антиотладкой. 2) Выбрасываем в сеть, где он тупо запускается и висит-работает, пока не грохнут. В принципе -- вариант.

s54820
Ты можешь хоть на голову встать, но где-то в коде ...

Ну его не обязательно держать долго плейнтекстом. Он лежит в шифрованном виде. За 1 ms декодируется, приаттачивается в хедеры, и после отправки запроса в эту память записываются нули или рандомный шум.

s54820- Автор вопроса

Так вот в момент отправки всё это можно отлично отловить. Одним бряком, потому что вряд ли реализация TLS своя, а распространённых готовых меньше десятка.

s54820
Так вот в момент отправки всё это можно отлично от...

С козырей пошел? 😞 Я думал сначала мемори дамп...

s54820- Автор вопроса
🦝 Katowski Kotovsky
С козырей пошел? 😞 Я думал сначала мемори дамп...

С козырей — это выпустить себе сертификат (если он вообще проверяется), притвориться сервером, и пусть оно хоть заобфусцируется, даже отладчик запускать не придётся. Ну если принять, что бинарник с токеном где-то там внутри у нас уже есть.

s54820
С козырей — это выпустить себе сертификат (если он...

Или свою операционки написать. Со своими законами физики.

Похожие вопросы

Обсуждают сегодня

Господа, а что сейчас вообще с рынком труда на делфи происходит? Какова ситуация?
Rꙮman Yankꙮvsky
29
А вообще, что может смущать в самой Julia - бы сказал, что нет единого стандартного подхода по многим моментам, поэтому многое выглядит как "хаки" и произвол. Короче говоря, с...
Viktor G.
2
30500 за редактор? )
Владимир
47
а через ESC-код ?
Alexey Kulakov
29
Чёт не понял, я ж правильной функцией воспользовался чтобы вывести отладочную информацию? но что-то она не ловится
notme
18
У меня есть функция где происходит это: write_bit(buffer, 1); write_bit(buffer, 0); write_bit(buffer, 1); write_bit(buffer, 1); write_bit(buffer, 1); w...
~
14
Добрый день! Скажите пожалуйста, а какие программы вы бы рекомендовали написать для того, чтобы научиться управлять памятью? Можно написать динамический массив, можно связный ...
Филипп
7
Недавно Google Project Zero нашёл багу в SQLite с помощью LLM, о чём достаточно было шумно в определённых интернетах, которые сопровождались рассказами, что скоро всех "ибешни...
Alex Sherbakov
5
Ребят в СИ можно реализовать ООП?
Николай
33
https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_h_common.erl#L174 https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_olp.erl#L76 15 лет назад...
Maksim Lapshin
20
Карта сайта