Administrátor Ewwe 434 Odesláno: 24. Říjen, 2017 Administrátor Share Odesláno: 24. Říjen, 2017 Zdravím, v poslední době je hodně populární platforma Discord. Pro ty kdo neví o co jde je to alternativa k Teamspeaku která nabízí bezpočet lepších možností než Teamspeaku. A je i mimo jiné levnější ( zdarma ) vlastnit server. O čem chci psát jsou ale boti. Jedná se o aplikace běžící na NodeJs které Vám na serveru umožní používat mnoho vymožeností jako například přijímat notifikace svých oblíbených streamerů nebo za vás uklízet na serveru ( mazat staré zprávy atd ). Sám několik botů na svých serverech mám. A v posledních dnech jsem zabrousil do vývoje takového bota. A zjistil jsem že je to až extrémně jednoduché a co je důležitější potencionálně nebezpečné. Proč nebezpečné ? Například máte svůj server na kterém řešíte například věci ohledně vývoje nějaké aplikace, nebo jen chcete dát ostatním kamarádům na serveru přístup na svůj účet na nějaké stránce. Tak username a heslo hodíte do text channelu. A tady nastává problém. Při vývoji bota jsem zjistil že je extrémně jednoduché logovat co kdo v channelu napíše. bot.on('message', function (user, userID, channelID, message, evt) { logger.info(user+" > "+message); A potencionální nebezpečí je v tom ,že pokud máte na svém serveru nějakého bota od nějakého neznámého vývojáře tak on může mít uložený na svém serveru log s veškerými zprávami které na serverech na kterých je bot přizvaný kdo kdy poslal. Konverzace v textovém kanálu nejsou šifrované a jakýkoliv bot může kdykoliv logovat cokoliv co napíšete ( dají se i pořizovat nahrávky z voice kanálů ) . Z toho plyne že není bezpečné posílat jakákoliv citlivá data do "globálního" kanálu ale raději použijte PMky ( ty už jsou p2p šifrované ). // Nejsou šifrované (yet) ale boti nemají přístup do pm konverzací Link to comment Share on other sites More sharing options...
xhunterx 55 Odesláno: 24. Říjen, 2017 Share Odesláno: 24. Říjen, 2017 (upraveno) PM na discorde su p2p sifrovane? Odkedy? A naco je dobre vobec mat p2p, ked nemaju ziadny fingerprint na porovnanie? EDIT: Nie, nevyzera to ze by Discord mal end-to-end sifrovanie [1]. Edited 24. Říjen, 2017 by Dr. House Link to comment Share on other sites More sharing options...
Administrátor Ewwe 434 Odesláno: 24. Říjen, 2017 Author Administrátor Share Odesláno: 24. Říjen, 2017 Jo máš pravdu já jsem špatně pochopil smysl jednoho článku. Discord nemá šifrování i když WebRTC který používá ho umožnuje. Každopádně boti nemají přístup ke konverzaci mezi uživateli. Link to comment Share on other sites More sharing options...
xhunterx 55 Odesláno: 25. Říjen, 2017 Share Odesláno: 25. Říjen, 2017 (upraveno) Discord nemá šifrování i když WebRTC který používá ho umožnuje. WebRTC ma sifrovanie povinne [1] a Discord ho riadne vyuziva ako pre DM, tak aj pre skupiny [2]. Nema iba E2E sifrovanie. Samozrejme bot je schopny spravi napriek tomu logovat a dokazal by to aj pri E2E sifrovani, pretoze pripojenim bota k serveru mu davate pristup. Edited 25. Říjen, 2017 by Dr. House Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now