Уважаемые, подскажите, насколько корректно использовать chatid приватного чата, как конфиденциальныю информацию пользователя, при написании бота?
Имеем обычный приватный чат, в котором бот и пользователь. Допустим, я хочу сгенерировать какой-либо приватный ключ для пользователя и делаю sha256(chatid). Теперь все, кто знает chatid чатика пользователя и бота, знают и приватный ключ пользователя. Вопрос, а кто знает chatid (кроме, пользователя и бота)? Кто теоретически может его узнать? считая, что Telegram надёжен)
ЗЫ: Идея генерировать приватный ключ возникает от нежелания хранить где-либо в приложении бота конфиденциальных данных пользователя. Да, можно запросить пароль или ключевую фразу у самого пользователя, но тогда придётся запрашивать её каждый раз при необходимости. Либо самому рандомно сгенерировать ключ, но тогда придётся его хранить
Насколько я понимаю chatid известен только боту. Не факт что на клиенте используется тот же id, хотя кто знает.
Если chatid на клиенте тот же что и у бота то узнать может man in the middle потому что чат с ботом не является секретным с end-to-end шифрованием.
Если вы собираетесь хранить в базе бота зашифрованные данные пользователя с ключом от chatid непонятно как это поможет ведь данные в бд наверняка будут связаны с этим chat is и соответственно ключ можно будет вычислить при наличии исходников. Если данные скачиваются и загружаются пользователем в виде файла тогда наверное неплохая схема.
На сколько я помню - chatid приватной беседы с ботом, для бота равен id пользователя. Цифровому id конечно. А он доступен для всех остальных ботов и некоторых клиентов. Т.е это очень публичная инфа, и узнать ее не сложно.
Да, все так, но насколько не сложно? Как это сделать практически? Или перефразируя вопрос так: приватная фраза отправляется пользователю бота по почте или СМС, она же глубокая ссылка. При проходе по ней она "смешивается" с чатид, алгоритм смешивания известен, опен сорс ведь, получается приватный ключ. С Вами точки зрения это безопасно для пользователя бота?
Простой
