Можно ли прицепить протокол шифрования Павла Дурова в Telegram к Web сайту?

Question

[Роман Ракзин]

Можно ли прицепить протокол шифрования Павла Дурова в Telegram к Web сайту?
Если да- как это сделать?
PS. На оф сайте я был

Answer 1

[sim3x]

Нет

Не занимайся шифрованием без полного понимания, что и зачем ты делаешь

Comments

[Роман Ракзин]

У меня websocket соединение и нужно, что б даже авторизованный пользователь не увидел, какие данные он отсылает и тем более -не смог их подставить. Подскажите -как это сделать? (про wss читаю- пока ещё не разобрался)

[Nikita Kuznetsov]

Роман Ракзин: вообще пользователю сложно будет посмотреть что летает в websocket-e, скажите вы делаете Web приложение?

[Роман Ракзин]

Nikita Kuznetsov: Да. Конечно обычный смертный не увидит, но программист увидит. Я хочу как-то зашифровать json, что б "прохаванный" не понял, что передаётся и не подставлял в строки что-попало своё

[sim3x]

Роман Ракзин: так сделать никак не получится, тк хороший пользователь легко получит доступ к ключам шифрования и на етом история закончится

Тебе не стоит использовать сокеты вообще если ты не понимаешь как они функционируют и как включить wss

[Nikita Kuznetsov]

sim3x: Вообще если у тебя JS, то программист в принципе сможет разобраться с твоим сценарием. Не следует доверять клиенту, и тем более не следует отталкиваться от такого рода защит.
https://en.wikipedia.org/wiki/Security_through_obs... (https://ru.wikipedia.org/wiki/%D0%91%D0%B5%D0%B7%D...

[Роман Ракзин]

sim3x: Ну тогда,если с другой стороны подойти. Как такие вещи делаются? просто, что б я не изобретал велосипед...

[sim3x]

Роман Ракзин: никак, просто смирись, что сунуть на твой сервер любой код может любой злоумышленник

Проверяй все что получаешь от пользователя

[sim3x]

Роман Ракзин: защита в вебе настроена на защиту от подсматривания, а не от пользователя

[Nikita Kuznetsov]

Роман Ракзин: можешь описать свой кейс? какого рода данные ты хочешь не дать увидеть?

[Роман Ракзин]

Nikita Kuznetsov: Ну пусть хотя-бы не сложное шифрование. Понятно, что крутые взломают, а обычные потыкаются помыкаются и забросят. Я думал хотябы примитивно взять к байтам каждого символа прибавить, к примеру по единичке и отослать это, а на сервере отнять по единичке...например. Данные типа '{"function":"GroupAdd","data":{"GroupName":"Название новой группы","SemesterId":"777"}}'

[sim3x]

Роман Ракзин:
закодируй в base64
stackoverflow.com/questions/246801/how-can-you-enc...

но опять же - оверкил в чистом виде

[Nikita Kuznetsov]

Роман Ракзин: вы боитесь, что пользователь передаст вместо 777 что-то другое? поверьте, надо проверять на сервере то, что пользователь передает. Websocket скроет от простых пользователей передаваемую информацию.

[Роман Ракзин]

На сервере, конечно, я проверяю)) Спасибо

Answer 2

[index0h]

Цель любой защиты - это сделать ее взлом не выгодным. Не более и не менее того.

От кого вы хотите защититься?

0. От перехвата траффика? - wss в вопросе ранее сегодня уже было.
1. От рядового пользователя? - он даже не представляет, что такое ws))
2. От программиста, которому лениво? - да, он взглянет, что ваш фронт обфусцирован и забьет фигурный болт.
3. От программиста, которому не лениво? - вдумайтесь: вы на хотите защитится от скомпроментированных данных клиента, код которого даете в публичный доступ... Это задача серверной стороны, жесткости проверок и продуманности API))

Answer 3

[bromzh]

SSL, WSS (для вебсокетов)
Этого хватит для 95% случаев.

Answer 4

[SerCe]

К слову, mtproto разработал не Павел, а Николай

Comments

[Роман Ракзин]

Ну да, я читал))