Comments 9
В своё время делал такое же на Telethon. Посыл про CallbackQuery хороший, но для данного бота это вообще не нужно :)
Это лишь скам со стороны бота...
Дело Пейсбука живет и процветает, и ВК в этой теплой кампании скамеров. Воистину, спермотоксикоз - двигатель коммерции.
В нашем случае, нам нужно шифровать id пользователя любыми доступными способами. К примеру хеширование.
А вы точно специалист по кибербезопасности?)
Вот так новость: если отправить клиенту данные то у него будет доступ к этим данным
Никогда такого не было и вот опять!
Статья уровня паблика школьников с багами и зломами вконтакте.
callback_data может содержать абсолютно любые данные. Бот может хэшировать user_id, тогда из callback_data вы ничего не получите.
Получить пользователя по id можно через оф клиент тг по ссылке вида tg://user?id=XXX. Для этого он должен быть сохранен в локальной БД. Без всяких юзерботов и прочего.
Как раз я писал об этом, можете почитать. Есть ещё куча мелочей, которыми можно ботов сломать)
В том-то и дело, что любые данные, отправляемые клиенту, априори скомпрометированы, а любые данные, получаемые от пользователя, ложные и опасные. Поэтому нельзя отправлять "чувствительные" данные клиенту, а также обязательно нужно проверять, может ли клиент прислать те данные, которые мы ожидаем; имеет ли он на это право и тп
История любви или как мы «взломали» телеграм бота анонимных вопросов