Telegram разрешил создавать интерфейсы для ботов Статьи редакции
И загружать собственные звуки уведомлений.
16 апреля мессенджер рассказал о новых функциях и обновлениях.
Интерфейсы для ботов
В Telegram можно создать интерфейс для бота на языке JavaScript. Через такой интерфейс можно, например, покупать товары или услуги. Проверить, как он будет работать, можно в тестовом боте с заказом еды.
Звуки уведомлений
В мессенджере можно использовать собственные звуки оповещения — аудиофайлы и голосовые сообщения размером меньше 300 Кб и продолжительностью менее 5 секунд. Также можно задать персонализированные уведомления для личных чатов, каналов и групп.
Чтобы выбрать звук уведомления, нужно открыть профиль нужного чата, выбрать «Звук» и «Настроить».
Автоудаление сообщений
Пользователи могут включить автоматическое удаление сообщений в любом чате. Для этого потребуется меньше действий, а настройки таймера стали более гибкими. Его можно установить, например, на несколько дней, недель или месяцев.
Другие обновления Telegram: улучшенный перевод сообщений на iOS, обновлённый режим «картинка в картинке» на Android, упрощённая работа с ботами-администраторами и выключение уведомлений на любой срок.
Крутой апдейт. Сильно расширит функциональность, юзабельность и применение ботов
А ещё исполняемый на клиенте код создаст кучу дырок, которые сейчас даже представить трудно.
Мне кажется, что там просто будет веб-фрейм открываться. Другого способа выполнить произвольный скрипт на айфонах нет, поэтому только так. Отсюда, в принципе, видно, что безопасность такая же, как и у открытия страниц в обычном браузере.
Если он будет как то взаимодействовать с api телеги (а какой иначе смысл?) дырки точно будут.
А сейчас боты не взаимодействуют с апи телеги?
А сейчас боты исполняют код на клиенте?
Даже если разрешат дёргать апи с клиента, то всё это уже давным давно было в ВК.
Ну ВКонтакте это как Северная Корея - ну прям вот вообще не ориентир. Совсем )))
Плохая аналогия подобна кошке с дверцей.
Поясняю. Рассуждать о информационной безопасности ВК который по первому требованию сливает любые данные - это смешно и глупо. Ее там нет, не было и не будет. Нормальный человек ставить это говно на свой телефон и пользоваться им никогда не будет.
У телеги все же изначально был немного другой посыл.
А технологически Приложения ВК делала команда Дурова. И интерфейс для ботов — фактически те же приложения. Кто кому сливает данные — это уже вопрос организационного характера.
Т. е. все люди, которые поставили ВК на телефон - ненормальные?
я может что-то не понимаю, чем это отличается от обычного браузера?
Тем, что браузер не имеет доступа к вашим перепискам и персональным данным, очевидно 🤷🏻♂️
Многие пользователи Телеграма любят добавлять левых ботов даже в свои "корпоративные" чатики в Телеграме. Какая уж тут безопасность.
Боты не имеют доступа к персональным данным (данным на клиенте). Они взаимодействуют через api сервера. Код бота исполняется на другом сервере (не на сервере tg).
Клиент на устройстве имеет полный доступ к данным - видит все тоже самое, что и вы. Пока код клиента пишет и верифицирует команда TG - все ок (если вы условно им доверяете). JS в ботах позволяет любому создателю бота запускать не верифицированный разработчиками код в так называемой "песочнице" - изолированной среде исполнения. История знает очень много примеров плохо сделанных песочниц, которые позволяли порваться сквозь изоляцию и исполнить код без ограничений. А там уже может быть вообще все что угодно. Как минимум слив ваших голых фоточек из переписок.
Доступно объяснил?
Песочницей будет являться компонент браузера. В нём есть поддержка HTML, CSS и JS. С API Телеграма взаимодействие скорее всего будет идти не напрямую, а через сервер бота. Но даже если и через клиентский API, то из того же браузера по REST API к серверу Телеграма. За пределы браузера и, соответственно, к данным клиента Телеграма доступа не будет. Возможность прорваться через песочницу компонента браузера будет означать потенциальную возможность прорваться и через изоляцию основного приложения браузера.
Сейчас ты описываешь исключительно свои фантазии. Как там под капотом ты не знаешь. Пока это выглядит, как доступ данным клиента. Запусти тестовый и попробуй. А что будет в реале - скоро увидим в отчетах по безопасности. Ну или в новостях )
Ты ведь точно так же описываешь свои фантазии. Но с какой целью браузерному приложению нужны данные клиента?
Удалите Chrome/Safari/Firefox с телефона, они сливают ваши голые фотки
Браузер не имеет доступа к персональным данным? Хехе
Гугл хром имеет))) привязкой гуглиаккаунта)
А это и будет окно браузера.
Окно браузера, которое помимо своего окна будет иметь доступ к клиенту tg. Какой доступ, насколько ограниченный, безопасный ли? Мы не знаем.
Ты явно в теме не шаришь, если считаешь, что есть какое-то браузерное апи, позволяющего просто так залезть в телефон.
По-хорошему ему это не нужно, а весь обмен с ТГ должен идти через сервер бота.
это и ежу понятно, но будем надеяться, что олимпиадники позаботятся о безопасности
Олимпиадники по скоростным посадкам из ФСБ?
Комментарий недоступен