Forwarded from AlPlank (Al Pt)
https://t.me/tgsucks/3181
这个消息不是很对:
1. 第三方可以通过偷官方密钥或者直接魔改官方客户端的方式来绕过这个限制(edited:因为自身签名校验,魔改官方客户端估计做不到了。不过偷token说不定还可以。)
2. telegram 目前还没说要上safetynet/咕果安全性检测
3. 果子
4. 如果政策没改,咕果安全性检测每个用户有100个白名单(对于刷机的用户的网开一面)
顺便一提,就算以上办法都堵了,黑产也可以买纯原厂便宜手机,adb scrcpy 加电脑脚本批量操作。
所以拦不住的 人家本来应该是魔高一尺道高一丈,现在黑产是被国内软件养蛊养的高了114514个版本(悲
这个消息不是很对:
1. 第三方可以通过偷官方密钥或者直接魔改官方客户端的方式来绕过这个限制(edited:因为自身签名校验,魔改官方客户端估计做不到了。不过偷token说不定还可以。)
2. telegram 目前还没说要上safetynet/咕果安全性检测
3. 果子
4. 如果政策没改,咕果安全性检测每个用户有100个白名单(对于刷机的用户的网开一面)
顺便一提,就算以上办法都堵了,黑产也可以买纯原厂便宜手机,adb scrcpy 加电脑脚本批量操作。
所以拦不住的 人家本来应该是魔高一尺道高一丈,现在黑产是被国内软件养蛊养的高了114514个版本(悲
Telegram
tg生态观察 ٭✡️⚝✹✸✶✷✴️✧⊛🔯❂⍣≛✨🇻🇳
https://t.me/xhqcankao/4205
👍1
Forwarded from AlPlank (Misuno Akihisa)
AlPlank
https://t.me/tgsucks/3181 这个消息不是很对: 1. 第三方可以通过偷官方密钥或者直接魔改官方客户端的方式来绕过这个限制(edited:因为自身签名校验,魔改官方客户端估计做不到了。不过偷token说不定还可以。) 2. telegram 目前还没说要上safetynet/咕果安全性检测 3. 果子 4. 如果政策没改,咕果安全性检测每个用户有100个白名单(对于刷机的用户的网开一面) 顺便一提,就算以上办法都堵了,黑产也可以买纯原厂便宜手机,adb scrcpy 加电脑脚本批量操作。…
1. Firebase Auth 和 FCM 一樣需要添加 applicationId 和/或其簽章 hash
2. Firebase Auth 要求 SN 或 reCAPTCHA,但 Telegram 似乎並沒有實現後者的 fallback
2. Firebase Auth 要求 SN 或 reCAPTCHA,但 Telegram 似乎並沒有實現後者的 fallback
Forwarded from Laoself 🦠 (Little Storm Brewer 🌀)
Laoself 🦠
考慮相當一部分spam account大規模使用modified client自動化註冊和控制,以及 #Telegram 對第三方客戶端除appid以外的甄別手段逐漸成熟,我覺得可以期待在重要操作上,第三方客戶端能力的進一步限縮。 至於違背開源精神云云,不管你客戶端怎麼做,Telegram一直都是那個掌握在Durov手裡的雲服務。這麼大量級的同行裡,Telegram依然是生態最開放的那個。
補充一點:
少耍盜用官方appid做自己fork的小聰明。#Telegram Cloud有很多手段鑑別你到底是什麼,早就能夠不靠appid區分正統官方app、原始碼原樣自行建構和做了修改的fork。盜用官方appid很有可能導致使用這個法外第三方客戶端的帳戶被標記為spam account,一旦被舉報或者受到其他限制基本上就不會進入appeal流程。
少耍盜用官方appid做自己fork的小聰明。#Telegram Cloud有很多手段鑑別你到底是什麼,早就能夠不靠appid區分正統官方app、原始碼原樣自行建構和做了修改的fork。盜用官方appid很有可能導致使用這個法外第三方客戶端的帳戶被標記為spam account,一旦被舉報或者受到其他限制基本上就不會進入appeal流程。
Forwarded from AlPlank (Al Pt)
https://t.me/tgsucks/3185
“Telegram Cloud有很多手段鑑別你到底是什麼”
不说明具体的方法的话,这句话就差不多等于小学老师不让小朋友考试作弊时的恐吓(
另外那些黑产可不会怕封号,他们114514个账号有致死量的试错成本
“Telegram Cloud有很多手段鑑別你到底是什麼”
不说明具体的方法的话,这句话就差不多等于小学老师不让小朋友考试作弊时的恐吓(
另外那些黑产可不会怕封号,他们114514个账号有致死量的试错成本
Telegram
tg生态观察 ٭✡️⚝✹✸✶✷✴️✧⊛🔯❂⍣≛✨🇻🇳
補充一點:
少耍盜用官方appid做自己fork的小聰明。#Telegram Cloud有很多手段鑑別你到底是什麼,早就能夠不靠appid區分正統官方app、原始碼原樣自行建構和做了修改的fork。盜用官方appid很有可能導致使用這個法外第三方客戶端的帳戶被標記為spam account,一旦被舉報或者受到其他限制基本上就不會進入appeal流程。
少耍盜用官方appid做自己fork的小聰明。#Telegram Cloud有很多手段鑑別你到底是什麼,早就能夠不靠appid區分正統官方app、原始碼原樣自行建構和做了修改的fork。盜用官方appid很有可能導致使用這個法外第三方客戶端的帳戶被標記為spam account,一旦被舉報或者受到其他限制基本上就不會進入appeal流程。
👍5
Forwarded from AlPlank (Misuno Akihisa)
AlPlank
https://t.me/tgsucks/3185 “Telegram Cloud有很多手段鑑別你到底是什麼” 不说明具体的方法的话,这句话就差不多等于小学老师不让小朋友考试作弊时的恐吓( 另外那些黑产可不会怕封号,他们114514个账号有致死量的试错成本
問題不在 Telegram 的 token,而在 Firebase 的 token
Forwarded from AlPlank (Al Pt)
AlPlank
問題不在 Telegram 的 token,而在 Firebase 的 token
我之前描述不太好
sed s/token/appid/g
sed s/token/appid/g
Forwarded from AlPlank (Misuno Akihisa)
目前 org.telegram.messenger 的 FCM token 不能在第三方客戶端使用,Firebase Auth 一樣不能
Forwarded from AlPlank (Al Pt)
我觉得几天之内币用(之类的盗版app)就能搞出来强行破解方案(服务器虚拟机或者二手手机构建通过safetynet的环境然后代为注册)
Forwarded from Laoself 🦠 (Little Storm Brewer 🌀)
https://t.me/tgsucks/3186
很不幸的是,一切現代anti-abuse策略依然依賴不對稱訊息。
我只是提醒有一些自己做fork玩的人注意,不要把自己號送進去。
每一層的限制都是有統計數據支撐的東西,只要這個策略能提高abuse成本,勸退一部分abuser,也不造成正常使用者太大的麻煩,就是好策略。
#Telegram
很不幸的是,一切現代anti-abuse策略依然依賴不對稱訊息。
我只是提醒有一些自己做fork玩的人注意,不要把自己號送進去。
每一層的限制都是有統計數據支撐的東西,只要這個策略能提高abuse成本,勸退一部分abuser,也不造成正常使用者太大的麻煩,就是好策略。
#Telegram
Telegram
tg生态观察 ٭✡️⚝✹✸✶✷✴️✧⊛🔯❂⍣≛✨🇻🇳
https://t.me/tgsucks/3185
“Telegram Cloud有很多手段鑑別你到底是什麼”
不说明具体的方法的话,这句话就差不多等于小学老师不让小朋友考试作弊时的恐吓(
另外那些黑产可不会怕封号,他们114514个账号有致死量的试错成本
“Telegram Cloud有很多手段鑑別你到底是什麼”
不说明具体的方法的话,这句话就差不多等于小学老师不让小朋友考试作弊时的恐吓(
另外那些黑产可不会怕封号,他们114514个账号有致死量的试错成本
👍2
Forwarded from Laoself 🦠 (Little Storm Brewer 🌀)
以頻道身份發言功能一出,就有人擔憂這個會造成spammer用馬甲傳廣告,只是到spammer真開始大規模這樣做的時候,#Telegram 轉手就把這個收進 Premium裡面。
Premium剛出的時候,就有人擔心spammer們不差這點錢,Premium特權會讓他們肆意橫行,尤其是低價區很容易成為溫床,只是現在頂著「官方認證」「輕鬆網賺」status emoji的spammer到處哭訴自己為什麼付了錢還無法發起聊天,威脅要退訂Premium。
Agressive Anti-spam到現在還被一些人誣為讓正常使用者封號的功能,但事實上除了早期有一些嚴重誤判走到複核才解除之外,AAS透過幾個月打磨已經越來越精確,誤判的限制策略也更理性。
Premium剛出的時候,就有人擔心spammer們不差這點錢,Premium特權會讓他們肆意橫行,尤其是低價區很容易成為溫床,只是現在頂著「官方認證」「輕鬆網賺」status emoji的spammer到處哭訴自己為什麼付了錢還無法發起聊天,威脅要退訂Premium。
Agressive Anti-spam到現在還被一些人誣為讓正常使用者封號的功能,但事實上除了早期有一些嚴重誤判走到複核才解除之外,AAS透過幾個月打磨已經越來越精確,誤判的限制策略也更理性。
Forwarded from Laoself 🦠 (Little Storm Brewer 🌀)
https://hubo.dev/2020-05-07-source-code-walkthrough-of-telegram-ios-part-1/
很推薦Hu Bo的這份Source Code Walthrough of Telegram-iOS,沒有無聊的逐行流程分析,但是吸引你去瞭解Telegram的inner working。如果你自己想開發IM app,是個很好的梳理對照的材料;對於不做開發的人,也是比較有趣的behind the scenes。
#AppleDev #Telegram
很推薦Hu Bo的這份Source Code Walthrough of Telegram-iOS,沒有無聊的逐行流程分析,但是吸引你去瞭解Telegram的inner working。如果你自己想開發IM app,是個很好的梳理對照的材料;對於不做開發的人,也是比較有趣的behind the scenes。
#AppleDev #Telegram
hubo.dev
Source Code Walkthrough of Telegram-iOS: Part 1
Forwarded from /
👎2💩1
Forwarded from Hacker News
‘I will show you how safe Telegram is’ (🔥 Score: 158+ in 3 hours)
Link: https://readhacker.news/s/5ygwj
Comments: https://readhacker.news/c/5ygwj
Link: https://readhacker.news/s/5ygwj
Comments: https://readhacker.news/c/5ygwj
X (formerly Twitter)
John Scott-Railton (@jsrailton) on X
3/ Here he is demoing access to the #Gmail of a purported key political insider in #Kenya just days before the election.
This tech & tactics is kerosene on the flames of democracy.
This tech & tactics is kerosene on the flames of democracy.
👍2
Forwarded from Laoself 🦠 (Laboratory of Standard Bowl 🧪)
https://t.me/tgsucks/3198
樹大招風的典型案例。
這篇文章裡面提到hacker是透過「已知的SS7漏洞」駭入Telegram帳戶。用人話說就是偽裝自己從電信業者那裡騙到SMS驗證碼。不管你用的是Telegram還是Signal還是什麼別的,只要只走SMS驗證都是一樣的。設定好二步驗證密碼,強調過很多次了。
#Telegram
樹大招風的典型案例。
這篇文章裡面提到hacker是透過「已知的SS7漏洞」駭入Telegram帳戶。用人話說就是偽裝自己從電信業者那裡騙到SMS驗證碼。不管你用的是Telegram還是Signal還是什麼別的,只要只走SMS驗證都是一樣的。設定好二步驗證密碼,強調過很多次了。
#Telegram
Telegram
tg生态观察 ٭✡️⚝✹✸✶✷✴️✧⊛🔯❂⍣≛✨🇻🇳
‘I will show you how safe Telegram is’ (🔥 Score: 158+ in 3 hours)
Link: https://readhacker.news/s/5ygwj
Comments: https://readhacker.news/c/5ygwj
Link: https://readhacker.news/s/5ygwj
Comments: https://readhacker.news/c/5ygwj
Forwarded from Laoself 🦠 (Laboratory of Standard Bowl 🧪)
@durov 頻道重新啟用了reaction,不過只啟用了🏆 、🔥 和❤️ 三個選項。🌚
但是曾經那條倒讚30K、導致他關reaction的貼文( t.me/durov/194 )上已有的reaction依然可以追加,之前的reaction資料都還在,所以之前應該是採用了關閉reaction+伺服器不向客戶端報告reaction資料的處置方法。
#Telegram
但是曾經那條倒讚30K、導致他關reaction的貼文( t.me/durov/194 )上已有的reaction依然可以追加,之前的reaction資料都還在,所以之前應該是採用了關閉reaction+伺服器不向客戶端報告reaction資料的處置方法。
#Telegram
Please open Telegram to view this post
VIEW IN TELEGRAM