LINUX.ORG.RU

telegram <.>jabber

 ,


1

1

Привет, ЛОРчик! Это очередной нытик тред.

Недавно Паша Дуров & Ко. принесли в Telegram* очередную киллер-фичу — теперь собеседник может удалять любые сообщения из вашего с ним диалога.
Даже твои. Даже те, что ты отправлял год назад. И они тихо и незаметно исчезнут со всех девайсов.

У меня настолько бомбануло, что я решил с концами перекатиться на Jabber-транспорт, и пусть себе хоть обудаляются на здоровье.
Пилили мы как-то tg4xmpp, однако код там страшнее чикатило, ещё и на древних либах, поэтому было реешно перепиливать заново.

За пару бессонных ночей выкатился Жабограм, он уже умеет авторизацию, синхронизацию ростера, переписку, приём файлов и сохранение состояний.
Написан на Ruby+tdlib+xmpp4r.

Если у кого есть Jabber-сервер — милости прошу в бета-тестеры.
Остальные могут писать пожелания и предложения.

Спасибо.

______________________________________________________________

* — запрещено на территории РФ.

Работает это как-то так (за мат извените), вроде даже не падает

Кстати, в тред так же призываются рубисты, которые конструктивно обругают мой код, т.к. язык пришлось учить «по ходу дела», и я не уверен насчёт корректной реализации многопоточности и асинхронности

annerleen ★★ ()

однако код там страшнее чикатило, ещё и на древних либах, поэтому было реешно перепиливать заново
Написан на Ruby

Im_not_a_robot ★★★ ()
Последнее исправление: Im_not_a_robot (всего исправлений: 1)

У меня настолько бомбануло

Почему?

mbivanyuk ★★★★★ ()
Ответ на: комментарий от Im_not_a_robot

это плохо?
если да, то почему?

я серьёзно, я не шарю, я не программист

annerleen ★★ ()
Ответ на: комментарий от mbivanyuk

потому что левый человек с моего устройства (!) без моего ведома и согласия (!!) удалил историю сообщений, в том числе и мою.
а бомбануло потому что там, к примеру, было что-то важное.

это уже бэкдор какой-то, не?

annerleen ★★ ()
Последнее исправление: annerleen (всего исправлений: 1)
Ответ на: комментарий от annerleen
  1. Руби переживает не лучшие времена;
  2. Выбором языка вы сильно уменьшили аудиторию потенциальных коммитеров, да и пользователей. Мало кому хочется тащить в систему дополнительный интерпретатор ради одно програмульки.
Im_not_a_robot ★★★ ()
Ответ на: комментарий от Im_not_a_robot

Мало кому хочется тащить в систему

Его и не нужно ставить в систему, его нужно ставить рядом с XMPP-сервером.

ann@westfall ~> apt show libruby2.5 ruby | grep Installed-Size

Installed-Size: 15.0 MB
Installed-Size: 37.9 kB

annerleen ★★ ()
Ответ на: комментарий от annerleen
  1. Это можно расценивать и как положительную фичу, и отрицательную. Так же и ты можешь удалить какую-то информацию, которая тебя компрометирует.

  2. Не хранить ничего важного в телеграме.

Im_not_a_robot ★★★ ()
Ответ на: комментарий от Im_not_a_robot

Так же и ты можешь удалить какую-то информацию, которая тебя компрометирует.

Всё, что ты отправляешь в Сеть, с вероятностью 99.9% останется там навсегда.
Нужно осознать и всегда помнить это, и не отправлять в Сеть то, что может «скомпрометировать» тебя.

annerleen ★★ ()
Ответ на: комментарий от annerleen

Ну не знаю, спорное решение конечно с удалением переписки на чужом устройстве, но отчего тут бомбить должно не совсем понятно. С другой то стороны интересная и нужная возможность.

mbivanyuk ★★★★★ ()
Ответ на: комментарий от Im_not_a_robot

Выбором языка вы сильно уменьшили аудиторию потенциальных коммитеров

Ну, сначала я пытался сделать на Питоне, потому что вроде как Jabber-транспорты обычно на нём пишут.
Устал спотыкаться об баги питоньих библиотек для работы с XMPP, особый™ ООП и прочие интересности.

Но это всё ладно, баги monkey-patch'атся, с особым™ ООП можно смириться, но вот от онлайна в 100+ человек путон начинает натуральным образом тормозить.

annerleen ★★ ()
Ответ на: комментарий от mbivanyuk

Это, пардон, дебилизм, отправлять что-то в Сеть, ещё и в проприетарные мессенджеры, а потом «ой, я передумал, я не я и кобыла не моя», и типа не было ничего.

annerleen ★★ ()
Ответ на: комментарий от mbivanyuk

Ну не знаю, спорное решение конечно

Какое оно может быть спорное, когда, говоря прямым текстом, третьи лица имеют возможность удалить содержимое базы на ТВОЁМ локальном компьютере?

Я понимаю, если это какой-нибудь вконтактик, там такое можно и даже нужно.

Но тут — самый настоящий бэкдор.

annerleen ★★ ()

Круто, как это tdlib-ruby и сабж заполучить под NixOS? В опакечивании рубей не бум-бум.

t184256 ★★★★★ ()

Лорчую - нужен гайд «для дурачков», как это собрать, настроить и запустить

TheAnonymous ★★★★★ ()
Ответ на: комментарий от annerleen

потому что левый человек с моего устройства (!) без моего ведома и согласия (!!) удалил историю сообщений, в том числе и мою.

а бомбануло потому что там, к примеру, было что-то важное.

Завтра проверю. Вообще прикольная фича

fornlr ★★★★★ ()
Последнее исправление: fornlr (всего исправлений: 1)
Ответ на: комментарий от TheAnonymous

Так Jabber-сервер у тебя свой есть?
Если да, то какой?

Нужно в конфиге твоего сервера добавить компонент, придумав JID и пароль для компонента (транспорта), эти же параметры в конфиг самого транспорта, и на этом всё

annerleen ★★ ()
Ответ на: комментарий от annerleen

в следующий раз пиши на латыни. его хотя бы медики немного знают

der_looser ★★ ()
Ответ на: комментарий от annerleen

человек путон начинает натуральным образом тормозить.

и поэтому на раби переписал?

Joe_Bishop ()

Клиент Telegram открыт, можно убрать то, что тебе не нравится. Например, хуки на удаление сообщений.

Pravorskyi ()
Ответ на: комментарий от Pravorskyi

А где убрать хуки на отжирание нескольких гигабайт памяти через сутки аптайма?

annerleen ★★ ()
Ответ на: комментарий от Joe_Bishop

Что не так?
Ruby медленнœ, типа? Так мы ж всё равно нативные функции вызываем через ffi, какая разница, из путона или из руби?

А вот библиотека для работы с XMPP реализовано во сто крат лучше и удобнее, чем питуновая sleekxmpp.

annerleen ★★ ()
Ответ на: комментарий от annerleen

Запустить через valgrind или другой профилировщик.

Транспорт — тоже решение, почему бы и нет, если нет возможности совсем отказаться от Telegram.

Pravorskyi ()
Ответ на: комментарий от Pravorskyi

Запустить через valgrind или другой профилировщик.

Ну да, команда программистов из Telegram не шмогла, а я шмогу, да.
Учитывая то, что я не программисть ☺

annerleen ★★ ()

Кстати, можно ещё упороться и попробовать впилить XEP-0071 (XHTML сообщения), XEP-0308 (Last Message Correction),

Ещё всё хочу совсем упороться и попробовать запихать групповые чаты в MUC, но я не знаю, насколько это технически возможно.

annerleen ★★ ()
Ответ на: комментарий от annerleen

Но тут — самый настоящий бэкдор.

Вы совсем не о тех бэкдорах беспокоитесь. Настоящий бэкдор - это логин по номеру телефона. По сравнению с ним, всё остальное - сущая ерунда.

DawnCaster ()
Ответ на: комментарий от DawnCaster

А что не так с логином по номеру телефона?
Что мешает пойти и купить SIM-карту и зарегистрировать на неё телегу?

annerleen ★★ ()
Ответ на: комментарий от annerleen

Проблема в том, что номер телефона спереть можно относительно легко. У меня как-то раз спёрли, я потом почти неделю насиловал мозг оператору, доказывая, что это не я сам добровольно поменял номер на другой. А судорожный забег в банк и блокировка всего и вся мне вообще на всю жизнь запомнились.

Так что привязка вообще чего угодно к номеру телефона — это дикая дыра в безопасности.

hateyoufeel ★★★★★ ()
Последнее исправление: hateyoufeel (всего исправлений: 1)
Ответ на: комментарий от hateyoufeel

Проблема в том, что номер телефона спереть можно относительно легко.

«угадай, как называется эта страна» (c)

annerleen ★★ ()
Ответ на: комментарий от annerleen

Не панацея. И не все сервисы позволяют задать пароль или привязать Google Authenticator.

Про аутентификацию по смс в роуминге вообще говорить не нужно. Это просто рак.

hateyoufeel ★★★★★ ()
Ответ на: комментарий от annerleen

«угадай, как называется эта страна» (c)

Да как угодно, на самом деле. В моём случае это просто оператор обосрался и мой номер никто занять не успел. Но такое можно и специально сделать.

hateyoufeel ★★★★★ ()
Ответ на: комментарий от hateyoufeel

Да как угодно, на самом деле.

Не, в той стране и в ближайшем зарубежье добрая тётя из Билайна согласится перевыпустить SIM-карту, принадлежащую не тебе, за пару сотен долларов.


В цивилизованном мире для перехвата SMS придётся использовать уязвимости в SS7 (хотя это даже не уязвимости — сеть SS7 по-умолчанию основана на доверительной политике между операторами)
Это раньше обходилось примерно от 10 до 100 тысяч доллааров, сейчас, вроде бы, прикрыли, но это не точно.

annerleen ★★ ()
Ответ на: комментарий от hateyoufeel

Так я про тележный 2fa — помимо авторизации по номеру телефона, нужно ещё ввести пароль.

annerleen ★★ ()
Ответ на: комментарий от annerleen

Не, в той стране и в ближайшем зарубежье добрая тётя из Билайна согласится перевыпустить SIM-карту, принадлежащую не тебе, за пару сотен долларов.

Не было никакого перевыпуска сим-карты, была дыра у опсоса в бэкенде его приложения. Дыры в софте в любой стране бывают.

В цивилизованном мире для перехвата SMS придётся использовать уязвимости в SS7

Ты слишком хорошего мнения о цивилизованных странах. Вот тебе канонический пример: https://en.wikipedia.org/wiki/Weev#AT&T_data_breach

hateyoufeel ★★★★★ ()
Последнее исправление: hateyoufeel (всего исправлений: 1)
Ответ на: комментарий от annerleen

Так я про тележный 2fa — помимо авторизации по номеру телефона, нужно ещё ввести пароль.

Это круто, и пароль может хоть как-то спасти. Но удобной подобную схему всё равно назвать никак нельзя.

hateyoufeel ★★★★★ ()
Ответ на: комментарий от hateyoufeel

Ты слишком хорошего мнения о цивилизованных странах. Вот тебе канонический пример: https://en.wikipedia.org/wiki/Weev#AT&T_data_breach

Ну так я и сказал «цивилизованные страны», а мне в пример тут США приводят ☺

Не было никакого перевыпуска сим-карты, была дыра у опсоса в бэкенде его приложения. Дыры в софте в любой стране бывают.

Я думал, речь про «стандартную» схему с перевыпуском SIM-карт.
Ибо сам аж три раза становился жертвой попыток таких вот «атак».

annerleen ★★ ()
Ответ на: комментарий от annerleen

Ну так я и сказал «цивилизованные страны», а мне в пример тут США приводят ☺

А, ну если ты про Единственную Истинную Корею, где сим-карт у населения просто нет, то никаких проблем. Там такое и правда невозможно.

Я думал, речь про «стандартную» схему с перевыпуском SIM-карт.
Ибо сам аж три раза становился жертвой попыток таких вот «атак».

Что лишний раз показывает весь долбоебизм ситуации. Особенно учитывая весь геморрой с использованием дополнительных номеров телефона.

hateyoufeel ★★★★★ ()
Ответ на: комментарий от hateyoufeel

Что значит «хоть как-то»?
Вот прямо полностью и спасает.

А вообще, большинство людей хотят «удобненько и шоб просто работало», а из всех зол в виде виберов, вацапов или вообще Б-же упаси ВКОНТАКТЕ — телега самая адеватная, ибо хотя бы исходники клиентской части открывает и полное API даёт.

annerleen ★★ ()
Ответ на: комментарий от hateyoufeel

А, ну если ты про Единственную Истинную Корею, где сим-карт у населения просто нет, то никаких проблем. Там такое и правда невозможно.

Я хотя бы про ЕС, где за перевыпуск договорной SIM-карты «не тому лицу» можно вполне себе угодить в кутузку.


Что лишний раз показывает весь долбоебизм ситуации. Особенно учитывая весь геморрой с использованием дополнительных номеров телефона.

Ну, я-то со своей телеком-колокольни имею доступ к читам в виде огромного количества номеров «ни на кого», поэтому я таки к этому чуть лояльнее отношусь, да.

annerleen ★★ ()
Ответ на: комментарий от annerleen

Вот прямо полностью и спасает.

Это если у тебя пароль не 123456. Или если базу паролей не сольют, что у многих сервисов бывает регулярно.

А вообще, большинство людей хотят «удобненько и шоб просто работало»

Ты у них спрашивал?

вообще Б-же упаси ВКОНТАКТЕ

А что, клиентская часть vk.com закрыта? :)

hateyoufeel ★★★★★ ()
Ответ на: комментарий от annerleen

Я хотя бы про ЕС, где за перевыпуск договорной SIM-карты «не тому лицу» можно вполне себе угодить в кутузку.

Ну вот мой случай был вполне себе в ЕС, но в кутузку никто не попал. Ещё раз, перевыпуск сим-карты не нужен, достаточно номер слить.

hateyoufeel ★★★★★ ()
Ответ на: комментарий от hateyoufeel

Ты у них спрашивал?

Конечно.
С Jabber для обывателя много гемороя, Matrix/Tox/прочие — слишком нестабильные и ВНЕЗАПНО могут перестать работать, а ты об этом даже не узнаешь.
Что там ещё у нас осталось?.

А что, клиентская часть vk.com закрыта? :)

Так это и не мессенджер, а социальная сеть с модерацией.

annerleen ★★ ()
Ответ на: комментарий от annerleen

С Jabber для обывателя много гемороя, Matrix/Tox/прочие — слишком нестабильные и ВНЕЗАПНО могут перестать работать, а ты об этом даже не узнаешь.

У всех этих штук основная проблема в том, что для них нет ни одного нормального рабочего клиента, которым было бы удобно пользоваться. Либо адские недоделки типа Riot, либо страшный грех вроде tkabber.

Алсо, я напомню, что и WhatsApp, и Facebook Messenger, и GTalk изначально использовали XMPP и держали s2s.

Так это и не мессенджер, а социальная сеть с модерацией.

Чатег там тоже типа есть.

hateyoufeel ★★★★★ ()
Последнее исправление: hateyoufeel (всего исправлений: 2)
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)