Насколько безопасны библиотеки (php) для работы с телеграм?

Question

[Павел Берсенев]

Изобретать ли велосипед и делать обработку данных от бота в телеграм с нуля, или использовать готовые библиотеки? Вопрос в том, насколько безопасен сторонний код.

Answer 1

[Ge1i0N]

Безопасны настолько, насколько вы им доверяете.
Никакой опенсорс не защищён от закладок, выбирайте проверенные варианты с хорошей статистикой на гитхабе, там шанс поменьше.

Answer 2

[Виктор Кожухарь]

Коллега Ge1i0N всё верно написал. Следуйте его рекомендации. Советую, однако, посмотреть на безопасность немного с другой, более важной, стороны:

Если вы напишете свой велосипед, вы уверены, что вы напишете велосипед без дыр в безопасности? Вы знаете обо всех возможных векторах атак? Сможете ли вы поддерживать это решение, закрывая обнаруженные дыры или приспосабливая его к будущим изменениям в Телеграме?

Опенсорс - это чуть ли не самое безопасное, что у нас есть, если это, конечно, популярный проект с множеством звёздочек, контрибьютеров, и кучей закрытых issues. Много глаз смотрит на этот код, много глаз изучает его на дыры в безопасности, много людей пользуется этим кодом и пока их не взломали.

С другой стороны - проприетарное закрытое решение, которое разрабатывает какая-то там команда, которая может быть не очень опытной, им может быть плевать на всё, кроме денег, они сами могут внести хитрые бэкдоры, аккуратно сливающие кому-то ваши данные.

После этой информации вы уже сами решайте, как вам быть.

Comments

[Павел Берсенев]

Спасибо за развернутый ответ. Конкретизирую вопрос: если предполагается сделать простой обработчик текстовых запросов от бота (условно, все на проверке условий) + хранение данных в SQLite, имеет ли смысл вообще использовать сторонние решения?

[rPman]

Безопасность не тригер да/нет, а некая оценка, и ее величина почти напрямую зависит от вложений сил, т.е. вложил мало сил - уровень безопасности низкий, вложил по больше - уровень повысился.

Самое надежное (там где только вы сможете отвечать за результат, это ключевой момент в вопросах безопасности), это исключить посредников, в т.ч. библиотеки.

Но в этом случае вопрос исключения посредников создателей ОС, биоса, железа.. наверное тоже должен стоять?

p.s. библиотеки opensource, изучите их, и поймете, на сколько они для вас безопасны

[Виктор Кожухарь]

Павел Берсенев,
Мои рекомендации, если пишете велосипед:

1. Вы должны озаботиться тем, чтобы никто кроме бота не мог дёрнуть тот адрес, по которому расположен ваш скрипт. Это решается путём обязательно проверки токена от вашего бота. Расчитывать на то, что никто не знает этот урл кроме бота, небезопасно. Всё тайное всегда становится явным.

2. Сделайте список разрешённых хостов и принимайте запросы только с них. Остальных нещадно рубите. Подумайте о целесообразности внешней защиты от DDoS. Это зависит от ценности вашего бота и данных для вашего бизнеса, насколько важна его бесперерывная работа.

3. Самое главное: SQL-инъекции. Если вы не будете санитизировать входящие сообщения перед вставкой их в SQL запрос, то одно вредоносное сообщение сможет полностью убить вашу базу данных. Это касается всех данных, в том числе даже имён пользователей. Хакеры весьма изобретательны

4. В зависимости от того, что делает ваш бот, было бы неплохо организовать какой-то антиспам. Какие-то фишинговые ссылки может быть не принесут вреда вам, но вашим пользователям вполне могут.

[Павел Берсенев]

rPman, разумно. Но здесь железо и ОС можно на уровне услуг хостинга, наверное, решить.

[Павел Берсенев]

Виктор Кожухарь, факт. Спасибо.

[rPman]

Виктор Кожухарь, абсолютно верные советы и на столько же не по теме сообщения, автор выбирает библиотеку (боится что в ней могут быть ошибки или даже трояны?), а эти советы про разработку своей логики.

[Павел Берсенев]

Да, все верно. Спасибо

[Виктор Кожухарь]

rPman, Первая же строчка в моём ответе как бы намекает, что весь комментарий касается только того варианта, если автор собрался-таки писать велосипед. Или там на китайском написано?

А ведь я непрозрачно намекал в своём основном ответе, что стоит выбрать. И его уточняющий вопрос даёт понять, что он всё равно ещё раздумывает.

Вот я и ответил, какие штуки ему придётся минимально соорудить, чтобы быть хоть немного уверенным в безопасности.

[rPman]

Виктор Кожухарь, да все так, мало того именно скорее всего ваш комментарий является ответом на не высказанный вопрос автора вопроса, скорее всего автор говоря одно, под безопасностью, подразумевал совсем другое

[Виктор Кожухарь]

rPman, Я слишком много раз видел очень уверенных в себе людей, которые писали свой самописный PHP-фреймворк или CMS, рассуждая о том, что это будет безопасней, ведь никто не знает, как у них там всё устроено, и поэтому хрен взломают. И слышал точно такие же слова о потенциальной опасности опенсорса.

А потом... я находил в их коде возможность SQL-инъекций, полную беззащитность перед XSS, CSRF, и всяческие секретные токены не только в гите, но и в обычных куках, и даже прямо в Javascript-коде.

Вот поэтому я обратил внимание на этот вопрос и написал второй, якобы уже не нужный, ответ на вопрос автора, где советовал обращать внимание на безопасность с главной стороны, а не только с той, о которой он говорил в вопросе.