telegram <.>jabber

Работает это как-то так (за мат извените), вроде даже не падает

Кстати, в тред так же призываются рубисты, которые конструктивно обругают мой код, т.к. язык пришлось учить «по ходу дела», и я не уверен насчёт корректной реализации многопоточности и асинхронности

В 2019 писать что-то свежее на раби?

альтернативы? (inb4: C++)
а вообще, я не программист, как бы.

Для этой задачки Go разумеется

сложна, ниасилю

однако код там страшнее чикатило, ещё и на древних либах, поэтому было реешно перепиливать заново
Написан на Ruby

У меня настолько бомбануло

Почему?

это плохо?
если да, то почему?

я серьёзно, я не шарю, я не программист

потому что левый человек с моего устройства (!) без моего ведома и согласия (!!) удалил историю сообщений, в том числе и мою.
а бомбануло потому что там, к примеру, было что-то важное.

это уже бэкдор какой-то, не?

1. Руби переживает не лучшие времена;
2. Выбором языка вы сильно уменьшили аудиторию потенциальных коммитеров, да и пользователей. Мало кому хочется тащить в систему дополнительный интерпретатор ради одно програмульки.

Мало кому хочется тащить в систему

Его и не нужно ставить в систему, его нужно ставить рядом с XMPP-сервером.

ann@westfall ~> apt show libruby2.5 ruby | grep Installed-Size

Installed-Size: 15.0 MB
Installed-Size: 37.9 kB

1. Это можно расценивать и как положительную фичу, и отрицательную. Так же и ты можешь удалить какую-то информацию, которая тебя компрометирует.

2. Не хранить ничего важного в телеграме.

Так же и ты можешь удалить какую-то информацию, которая тебя компрометирует.

Всё, что ты отправляешь в Сеть, с вероятностью 99.9% останется там навсегда.
Нужно осознать и всегда помнить это, и не отправлять в Сеть то, что может «скомпрометировать» тебя.

Ну не знаю, спорное решение конечно с удалением переписки на чужом устройстве, но отчего тут бомбить должно не совсем понятно. С другой то стороны интересная и нужная возможность.

Выбором языка вы сильно уменьшили аудиторию потенциальных коммитеров

Ну, сначала я пытался сделать на Питоне, потому что вроде как Jabber-транспорты обычно на нём пишут.
Устал спотыкаться об баги питоньих библиотек для работы с XMPP, особый™ ООП и прочие интересности.

Но это всё ладно, баги monkey-patch'атся, с особым™ ООП можно смириться, но вот от онлайна в 100+ человек путон начинает натуральным образом тормозить.

Это, пардон, дебилизм, отправлять что-то в Сеть, ещё и в проприетарные мессенджеры, а потом «ой, я передумал, я не я и кобыла не моя», и типа не было ничего.

Ну не знаю, спорное решение конечно

Какое оно может быть спорное, когда, говоря прямым текстом, третьи лица имеют возможность удалить содержимое базы на ТВОЁМ локальном компьютере?

Я понимаю, если это какой-нибудь вконтактик, там такое можно и даже нужно.

Но тут — самый настоящий бэкдор.

Круто, как это tdlib-ruby и сабж заполучить под NixOS? В опакечивании рубей не бум-бум.

Лорчую - нужен гайд «для дурачков», как это собрать, настроить и запустить

потому что левый человек с моего устройства (!) без моего ведома и согласия (!!) удалил историю сообщений, в том числе и мою.

а бомбануло потому что там, к примеру, было что-то важное.

Завтра проверю. Вообще прикольная фича

Так Jabber-сервер у тебя свой есть?
Если да, то какой?

Нужно в конфиге твоего сервера добавить компонент, придумав JID и пароль для компонента (транспорта), эти же параметры в конфиг самого транспорта, и на этом всё

в следующий раз пиши на латыни. его хотя бы медики немного знают

человек путон начинает натуральным образом тормозить.

и поэтому на раби переписал?

Я на перле аналогичный проект пишу :)

Ссылочку?
Или не в паблик?

Клиент Telegram открыт, можно убрать то, что тебе не нравится. Например, хуки на удаление сообщений.

А где убрать хуки на отжирание нескольких гигабайт памяти через сутки аптайма?

Что не так?
Ruby медленнœ, типа? Так мы ж всё равно нативные функции вызываем через ffi, какая разница, из путона или из руби?

А вот библиотека для работы с XMPP реализовано во сто крат лучше и удобнее, чем питуновая sleekxmpp.

Запустить через valgrind или другой профилировщик.

Транспорт — тоже решение, почему бы и нет, если нет возможности совсем отказаться от Telegram.

Запустить через valgrind или другой профилировщик.

Ну да, команда программистов из Telegram не шмогла, а я шмогу, да.
Учитывая то, что я не программисть ☺

Кстати, можно ещё упороться и попробовать впилить XEP-0071 (XHTML сообщения), XEP-0308 (Last Message Correction),

Ещё всё хочу совсем упороться и попробовать запихать групповые чаты в MUC, но я не знаю, насколько это технически возможно.

Но тут — самый настоящий бэкдор.

Вы совсем не о тех бэкдорах беспокоитесь. Настоящий бэкдор - это логин по номеру телефона. По сравнению с ним, всё остальное - сущая ерунда.

А что не так с логином по номеру телефона?
Что мешает пойти и купить SIM-карту и зарегистрировать на неё телегу?

Проблема в том, что номер телефона спереть можно относительно легко. У меня как-то раз спёрли, я потом почти неделю насиловал мозг оператору, доказывая, что это не я сам добровольно поменял номер на другой. А судорожный забег в банк и блокировка всего и вся мне вообще на всю жизнь запомнились.

Так что привязка вообще чего угодно к номеру телефона — это дикая дыра в безопасности.

так 2fa

Проблема в том, что номер телефона спереть можно относительно легко.

«угадай, как называется эта страна» (c)

Не панацея. И не все сервисы позволяют задать пароль или привязать Google Authenticator.

Про аутентификацию по смс в роуминге вообще говорить не нужно. Это просто рак.

«угадай, как называется эта страна» (c)

Да как угодно, на самом деле. В моём случае это просто оператор обосрался и мой номер никто занять не успел. Но такое можно и специально сделать.

Да как угодно, на самом деле.

Не, в той стране и в ближайшем зарубежье добрая тётя из Билайна согласится перевыпустить SIM-карту, принадлежащую не тебе, за пару сотен долларов.


В цивилизованном мире для перехвата SMS придётся использовать уязвимости в SS7 (хотя это даже не уязвимости — сеть SS7 по-умолчанию основана на доверительной политике между операторами)
Это раньше обходилось примерно от 10 до 100 тысяч доллааров, сейчас, вроде бы, прикрыли, но это не точно.

Так я про тележный 2fa — помимо авторизации по номеру телефона, нужно ещё ввести пароль.

Не, в той стране и в ближайшем зарубежье добрая тётя из Билайна согласится перевыпустить SIM-карту, принадлежащую не тебе, за пару сотен долларов.

Не было никакого перевыпуска сим-карты, была дыра у опсоса в бэкенде его приложения. Дыры в софте в любой стране бывают.

В цивилизованном мире для перехвата SMS придётся использовать уязвимости в SS7

Ты слишком хорошего мнения о цивилизованных странах. Вот тебе канонический пример: https://en.wikipedia.org/wiki/Weev#AT&T_data_breach

Так я про тележный 2fa — помимо авторизации по номеру телефона, нужно ещё ввести пароль.

Это круто, и пароль может хоть как-то спасти. Но удобной подобную схему всё равно назвать никак нельзя.

Ты слишком хорошего мнения о цивилизованных странах. Вот тебе канонический пример: https://en.wikipedia.org/wiki/Weev#AT&T_data_breach

Ну так я и сказал «цивилизованные страны», а мне в пример тут США приводят ☺

Не было никакого перевыпуска сим-карты, была дыра у опсоса в бэкенде его приложения. Дыры в софте в любой стране бывают.

Я думал, речь про «стандартную» схему с перевыпуском SIM-карт.
Ибо сам аж три раза становился жертвой попыток таких вот «атак».

Ну так я и сказал «цивилизованные страны», а мне в пример тут США приводят ☺

А, ну если ты про Единственную Истинную Корею, где сим-карт у населения просто нет, то никаких проблем. Там такое и правда невозможно.

Я думал, речь про «стандартную» схему с перевыпуском SIM-карт.
Ибо сам аж три раза становился жертвой попыток таких вот «атак».

Что лишний раз показывает весь долбоебизм ситуации. Особенно учитывая весь геморрой с использованием дополнительных номеров телефона.

Что значит «хоть как-то»?
Вот прямо полностью и спасает.

А вообще, большинство людей хотят «удобненько и шоб просто работало», а из всех зол в виде виберов, вацапов или вообще Б-же упаси ВКОНТАКТЕ — телега самая адеватная, ибо хотя бы исходники клиентской части открывает и полное API даёт.

А, ну если ты про Единственную Истинную Корею, где сим-карт у населения просто нет, то никаких проблем. Там такое и правда невозможно.

Я хотя бы про ЕС, где за перевыпуск договорной SIM-карты «не тому лицу» можно вполне себе угодить в кутузку.

Что лишний раз показывает весь долбоебизм ситуации. Особенно учитывая весь геморрой с использованием дополнительных номеров телефона.

Ну, я-то со своей телеком-колокольни имею доступ к читам в виде огромного количества номеров «ни на кого», поэтому я таки к этому чуть лояльнее отношусь, да.

Вот прямо полностью и спасает.

Это если у тебя пароль не 123456. Или если базу паролей не сольют, что у многих сервисов бывает регулярно.

А вообще, большинство людей хотят «удобненько и шоб просто работало»

Ты у них спрашивал?

вообще Б-же упаси ВКОНТАКТЕ

А что, клиентская часть vk.com закрыта? :)

Я хотя бы про ЕС, где за перевыпуск договорной SIM-карты «не тому лицу» можно вполне себе угодить в кутузку.

Ну вот мой случай был вполне себе в ЕС, но в кутузку никто не попал. Ещё раз, перевыпуск сим-карты не нужен, достаточно номер слить.

Ты у них спрашивал?

Конечно.
С Jabber для обывателя много гемороя, Matrix/Tox/прочие — слишком нестабильные и ВНЕЗАПНО могут перестать работать, а ты об этом даже не узнаешь.
Что там ещё у нас осталось?.

А что, клиентская часть vk.com закрыта? :)

Так это и не мессенджер, а социальная сеть с модерацией.

С Jabber для обывателя много гемороя, Matrix/Tox/прочие — слишком нестабильные и ВНЕЗАПНО могут перестать работать, а ты об этом даже не узнаешь.

У всех этих штук основная проблема в том, что для них нет ни одного нормального рабочего клиента, которым было бы удобно пользоваться. Либо адские недоделки типа Riot, либо страшный грех вроде tkabber.

Алсо, я напомню, что и WhatsApp, и Facebook Messenger, и GTalk изначально использовали XMPP и держали s2s.

Так это и не мессенджер, а социальная сеть с модерацией.

Чатег там тоже типа есть.