Официальный клиент Telegram сливает ссылки, вставленные в мессенджер

Давно известно. Генерирует ту «красивую» ссылочку с предпросмотром и прочими радостями.

+1 в копилку грехов телеграмма

Сенсация: по (публичным) ссылкам кто-то да ходит! ;)

Неужели никто раньше не заметил этого?

Никто реально озабоченный приватностью не использует Телеграм.

А ведь существуют файлообменники, которые генерируют одноразовые ссылки.

С чего они вдруг стали публичные?

Потому что он запрашивает тайтл и описание, чтобы тебе красиво показать, но додуматься до этого, конечно, сложно. И не сервера телеграма, а клиенты это делают.

И не сервера телеграма, а клиенты это делают.

O RLY? А вы проверьте на uriteller.io, с каких IP заходят.

Если одноразовая ссылка удаляется от GET-запроса, значит этот сайт нарушает протокол HTTP и его надо фиксить.

Это ещё одна его киллерфича! Предпросмотр и титл. Удивительно, что прочие нелодумались.

А ты бы хотел, чтобы твой собеседник таким простым способом мог узнать твой IP? Наоборот в Telegram сделали всё правильно, проксируя запрос через свои серверы и скрывая твой настоящий IP-адрес. Возможно они даже не могут читать сам запрос, если SSL запрос исходит от клиента, а они только проксируют зашифрованный трафик (например так делает Signal).

А вообще ТС похож на срамера от «стартапа».

нарушает протокол HTTP

Держите наркомана!

Удивительно, что прочие нелодумались.

Гнойный вайбер тоже это делает. Убил бы.

Я просто поставил эту поделку посмотреть, и теперь у меня БАТРУТДИНОВ.

См. RFC 2616

Согласно стандарту HTTP, запросы типа GET считаются идемпотентными

И даже стандарт зацитирую:

9.1.2 Idempotent Methods

Methods can also have the property of «idempotence» in that (aside from error or expiration issues) the side-effects of N > 0 identical requests is the same as for a single request. The methods GET, HEAD, PUT and DELETE share this property. Also, the methods OPTIONS and TRACE SHOULD NOT have side effects, and so are inherently idempotent.

Так это все делают ещё со времён скайпа. Там они это объяснили заботой о безопасности пользователя. Типа а вдруг по ссылке страшный вирус? Вот поэтому они на неё заходили и проверяли типа.

Naturally, it is not possible to ensure that the server does not generate side-effects as a result of performing a GET request; in fact, some dynamic resources consider that a feature.

CONSIDER THAT A FEATURE, Карл!

Нет. У тебя просто школие.

При вставке ссылок в клиент Telegram для Linux он сливает их на свои сервера

Значит все это End-to-End шифрование, которым они так пиарятся - фигня и они так же могут слить разговоры на сервера?

А почему ты вырываешь фразу из контекста?

Implementors should be aware that the software represents the user in their interactions over the Internet, and should be careful to allow the user to be aware of any actions they might take which may have an unexpected significance to themselves or others.

In particular, the convention has been established that the GET and HEAD methods SHOULD NOT have the significance of taking an action other than retrieval. These methods ought to be considered «safe». This allows user agents to represent other methods, such as POST, PUT and DELETE, in a special way, so that the user is made aware of the fact that a possibly unsafe action is being requested.

Naturally, it is not possible to ensure that the server does not generate side-effects as a result of performing a GET request; in fact, some dynamic resources consider that a feature. The important distinction here is that the user did not request the side-effects, so therefore cannot be held accountable for them.

Фичи, о которых пишут, это какие-нибудь счётчики посещения, например. Но никак не удаление файла в ответ на GET-запрос. Кстати какой именно файлообменник таким грешит?

А то.

Код клиента открыт, можешь сам провести аудит.

А что им может помешать это сделать? У клиента исходники закрытые, скачиваешь ты его непонятно откуда, на что ты вообще можешь рассчитывать? Не, они, конечно, скорее всего добросовестны, но техническая возможность слить что угодно есть у кучи компаний, которые насували софта в твоей телефон (как в сам андроид, так и во всякие прошивки).

Код клиента открыт, можешь сам провести аудит.

Только надо после этого собрать из этого кода клиент и установить себе на телефон, а не пользоваться всякими магазинами приложений. Ну и не забывать про остальные приложения, которые могут перехватывать информацию.

Неужели никто раньше не заметил этого?

Так все заняты! Кто-то на красивые стикеры любуется, кто-то доказывает в интернетах его «безопасность».

Представляешь, он ещё и номер твоего телефона хранит

Ну Дуров! Пройдоха!

Никто реально озабоченный приватностью не использует интернет.

У кого-то паранойя, по-моему.

А как тогда предпросмотр генерировать?

И из дома не выходит. Сейчас камеры повсюду(

Проблема, видимо, не в том, что телеграм ходит по ссылке, а то что он анализирует содержимое сообщения до его отправки и этого end-to-end шифрования.

А как тогда предпросмотр генерировать?

На стороне клиента.

XMPP лишён этой проблемы.

XMPP лишён этой фичи.

Считать Telegram безопасным — очень уж наивно. Просто почитайте статьи про него. Особенно статьи про конкурсы.

Что конкретно почитать?

Вот уж действительно, почему бы не ходить по ссылке и генерировать превью с IP отправителя? С IP получателя понятно, почему нельзя - можно будет отправить специальную ссылку и автоматически узнать IP-адрес собеседника. Со стороны же отправителя этой проблемы нет. Зачем сливать ссылку на посторонний сервер?

https://xakep.ru/2015/12/01/telegram-metadata/

При вставке ссылок в клиент Telegram для Linux он сливает их на свои сервера, после чего по ним тут же заходит бот

Это всем известно, вообще-то. Ну видимо, кроме тебя.

Никто реально озабоченный приватностью не использует Телеграм.

Что же тогда использовать?

Так мы тебе и рассказали за просто так. Безопасность стоит денег.

XMPP

ну, стало быть, надо почаще постить это http://natribu.org/

Безопасным для чего? Для торговли наркотиками? Для съёма малолеток? Для организации террактов? Для передачи информации, являющейся гостайной?

GNU Ring или вообще электропочту с gnupg и ручным обменом ключами

Для здоровья.

Психического? Тебя такой вопрос уже не должен беспокоить.