Мне прислали телеграм-ссылку, но автор не досмотрел и вместо ссылки т.ме прислал внутреннюю ссылку веб.телеграм.орг.
Я тоже не досмотрел и на неё кликнул. Что же я получил?
Может быть, угнанный аккаунт в телеграме? Вроде пока нет (тьфу-тьфу-тьфу).
У меня открылся браузер, в браузере открылась веб-версия телеги. Залогиненная! У меня не спросили не только кода подтверждения, но и облачного пароля. Кстати, типового вопроса перед открытием ссылки я тоже не получил.
Хмыкнув, я разлогинился в браузере и кликнул ссылку ещё раз.
И снова попал в свой аккаунт.
Таким образом, пользователь логинится из телеграм-десктоп в телеграм-веб в один клик без единого запроса. Это очень удобно, но безопасно ли это? Может, я своему браузеру не доверяю!
Полистал гугл, полистал настройки телеги, но так и не нашёл способа это отключить. Разве что в hosts записать веб.телеграм.орг 127.0.0.1. Пока кто-нибудь другой не записал туда другой, фальшивый адрес.
Я тоже не досмотрел и на неё кликнул. Что же я получил?
Может быть, угнанный аккаунт в телеграме? Вроде пока нет (тьфу-тьфу-тьфу).
У меня открылся браузер, в браузере открылась веб-версия телеги. Залогиненная! У меня не спросили не только кода подтверждения, но и облачного пароля. Кстати, типового вопроса перед открытием ссылки я тоже не получил.
Хмыкнув, я разлогинился в браузере и кликнул ссылку ещё раз.
И снова попал в свой аккаунт.
Таким образом, пользователь логинится из телеграм-десктоп в телеграм-веб в один клик без единого запроса. Это очень удобно, но безопасно ли это? Может, я своему браузеру не доверяю!
Полистал гугл, полистал настройки телеги, но так и не нашёл способа это отключить. Разве что в hosts записать веб.телеграм.орг 127.0.0.1. Пока кто-нибудь другой не записал туда другой, фальшивый адрес.
22.03.2024 в 11:18
откуда браузер знает кто ты в тг?
ты раньше был залогинен на веб.телеграм.орг, и браузер помнит твой аккаунт?
22.03.2024 в 11:30
в куках твой логин хранится, что тут удивительного?
и в чём же отличие ситуации с веб.телеграм.орг от всех остальных сайтов, на которых ты залогинен?
22.03.2024 в 12:22
Видимо, по этому токену и происходит логин.
В куках логин не хранится. После логаута браузер предлагает отсанировать куар-код или перейти к логину через номер телефона. А при клике из телеграм-десктопа логинит снова, ничего не спрашивая.
До этой ситуации я никогда в телеграм-веб не логинился. Браузер не мог знать мой логин.
23.03.2024 в 23:08
ты сказал, что получил чужую ссылку
значит, токен в этой ссылке был с логином в чужой аккаунт
а ты по ней залогинился в свой
как так?
23.03.2024 в 23:20
24.03.2024 в 21:37
телеграм десктоп при клике на ссылку на веб.телеграм.орг, пришедшую зачем-то в телеграм (!), открывает браузер, передавая ему дополнительно токен с твоим логином.
мне непонятно, зачем вообще эта фича нужна
это частая ситуация - открывать ссылки на телеграм.орг из телеграм-десктопа?
или он твой логин сообщает не только этому сайту, а сайтам всем корпораций, заинтересованных в сборе данных, типа всяких фейсбуков, микрософтов и т.п.?