Павел Дуров выдаст юзеру «Хабра» $100К за найденную в Telegram уязвимость

Закроет ли хабр теперь ИБ за непрофильность?

Уйио! Ну совсем люди бритву Оккама разучились использовать. // Paranoia mode on// Ну вот нахрена кому протокол взламывать, когда и в iOS, и в Android есть вполне себе штатные кейлоггеры? // Paranoia mode off// Пилите, Павел, они золотые! Только сначала советую сделать свою мобильную ОС. А, да — со своей сотовой сетью впридачу — а то там тоже… Не очень.

Роман. Предполагается, что с обоих концов телеграма — не сломанная ось без логгеров )))) А так по факту ни одну переписку защитить нельзя.

Только советским ученым удалось выяснить имя фараона, мумию которого недавно нашли в Египте. На вопрос своих западных коллег: «Как им удалось это сделать?» Один из них сообщил : «Все очень просто! Он сам сознался.» Можно еще самих пользователей с пристрастием поспрашивать — о чем они общались.

ректально-термальным методом, ага

Не понял, Дуров заплатил за свою же закладку 100 килобаксов? Надеюсь он теперь понял, что «супер защищенному» мессенджеру достаточно один раз обосраться, чтобы потом никто его всерьез не воспринимал. Или видать это было единственное, что отличало телеграм от вотсапп.

Хейтер?

> Надеюсь он теперь понял, что «супер защищенному» мессенджеру достаточно один раз обосраться, чтобы потом никто его всерьез не воспринимал. Ну специалисты и раньше относились к телеграмму как к маркетинговому булшиту. Они так и остались при своём мнении. Простому обывателю маркетологи эту историю объяснят как «Ошибку нашли, честно выплатили 100 тыс$ и быстро поправили ошибку. Значит мессенджер хороший! Даже если найдут ошибку — то быстро поправят!». Параноики как раньше считали, что Телеграмм — это совместный проект ФСБ и АНБ, так и сейчас считают. Так что ничего не изменилось кроме того, что один человек получил 100 тыс$ (а другой — потерял их).

А другой человек вложил 100 тысяч в рекламу. Весь Хакерньюс и многие другие сайты несколько недель были заполнены Телеграмом

Гораздо важнее другое: в криптографии очень важны мелочи, и даже мелкая коррекция формулы якобы в сторону «усиления» может дать совсем иной эффект. Не терпит криптография импровизации в алгоритмах, куда лучше строго реализовать до буквы точно существующий алгоритм, чем импровизировать с мешаниной. Ну а для тех кто в теме вся эта сцена с дополнительным nonse, раскрытием в течении нескольких дней «яконечнонепрофессионал»-ом и выплатой соточки выглядит просто маркетинговой сценкой. Трудно их будет убедить, что это не было закладкой, очень трудно. Хотя я думаю, что в данном случае всё было предельно честно. Протокол делался в спешке, без тщательного разбора и анализа, и потенциальную уязвимость нашел тот, кто не поленился почитать вдумчиво описание. Порадовало, что end-to-end таки есть, т. е. сейчас как минимум можно быть уверенным, что админы переписку читать уже не смогут. Остаётся, конечно, вопрос телефонных номеров как логинов (зачем???) со сбросом пароля по СМС.

На хабре уже ещё одну закладку нашли. Причём пока топик был в пре-модерации и никому не виден, телеграм успел эту закладку поправить =). Не знаю, какое из двух маловероятных событий свершилось: или модераторы хабра слили информацию телеграму до публикации, или они и вправду одновременно обратили внимание на одно и то же.

> Порадовало, что end-to-end таки есть, Откуда есть? пока между ними есть сервер telegram никакого честного end-to-end не будет. Есть подозрение, что ACM-ов набирали не для разработки уже устоявшихся алгоритмов, а для внесения в них закладок.

На хабре уже ещё одну закладку нашли. Причём пока топик был в пре-модерации и никому не виден, телеграм успел эту закладку поправить =). а топик есть? копипастните?

http://habrahabr.ru/post/207038/ Также есть ветка с обсуждением в треде к предыдущей статье: http://habrahabr.ru/post/206900/#comment_7130526

«видимо проще найти закладку чем писать статью [для получения инвайта на хабр]»

Да вообще, все шито белыми нитками. Какой-то непонятный хабровец, к тому же непрофессионал в криптографии с рандомным ником, вылез из песочницы и сделал сенсационное открытие. Добрый Павел Дуров сразу же осыпал его золотом. Все довольны. Да, возможно все именно так и было, но что мешало попросту подстроить всю эту ситуацию? Ну а профит очевиден — неплохой пиар, притом вообще даром. Павел в этом мастер.

Работать надо, а не мусолить эту тему. Какая уже хрен разница кто откуда вылез и что написал. Глупо фапать на эти 100500 денег, и выяснять кто этот анонимус. Делать свою работу надо, а не фапать на чужое. Это я прежде всего сам себе говорю, так как считаю, что очередной раз бездарно потратил своё внимание на ерунду.