0. id-mt 44 29.10.15 14:42 Сейчас в теме

Двухфакторная аутентификация с помощью мессенджера Telegram

Повесть о том, как приручить бота из Telegram для аутентификации пользователей при входе в приложение 1С.

Перейти к публикации

Комментарии
Избранное Подписка Сортировка: Древо развёрнутое
Свернуть все
1. I_G_O_R 59 29.10.15 21:36 Сейчас в теме
так 1С уже запущена, толку от телеграм-аутентификации нет, потому что клиента можно легко поломать, особенно браузер.
2. soltik 19 29.10.15 22:25 Сейчас в теме
(1) I_G_O_R, сломать можно теоретически все, вопрос в количестве ресурсов которых необходимо потратить на доступ к злонамеренному действию. Применение двухфакторной аутентификации усложняет несанкционированный доступ однозначно.
4. I_G_O_R 59 30.10.15 13:27 Сейчас в теме
(2)(3) можно написать бота, который с помощью http (GET/POST) запросов обойдет телеграм-аутентификацию.Чтобы защита реально была, права нужно ограничивать на сервере, а не на клиенте.
5. id-mt 44 03.11.15 12:44 Сейчас в теме
(4) I_G_O_R,
Код авторизации проверяется на сервере, информация о прекращении работы передается на клиент, потенциально можно подменить страницу указав, что она не должна закрываться, но тогда будет рассинхронизация данных между клиентом и сервером и при первом серверном вызове вы получите ошибку.
Если вы знаете алгоритм как обойти данную авторизацию поделитесь, пожалуйста, им, чтобы мы могли его учесть. Спасибо.
8. I_G_O_R 59 04.11.15 19:00 Сейчас в теме
(5) суть в том, что когда открывается окно аутентификации телеграм, пользователь фактически уже залогинен и может практически пользоваться программой, ему мешает только это самое окно, его лишь нужно закрыть без последствий, например можно каким-то образом очистить свойство формы ОписаниеОповещенияОЗакрытии. Я конечно этим никогда не занимался, но кажется, что с помощью javascript в браузере это будет не так сложно сделать. В тонкий клиент кажется тоже можно внедриться, с учетом существования всяких плагинов типа снегопат, это задача кажется вполне решаемой.
3. gostmair 29.10.15 23:26 Сейчас в теме
(1) I_G_O_R,
Если я правильно понял вопрос относился к надежности самих клиентов для работы с приложениями 1С. Если речь идет о тонком клиенте, то можно настроить работу между кластером серверов и клиентом с уровнем безопасности "Постоянно", если речь о веб-клиенте, то и там можно работать по защищенному каналу. В случае двухфакторной аутентификации это просто вариант дополнительной защиты не от взлома клиентов для работы с 1С, а защита от различных атак вида "Фишинг" и т.д., с использованием социальной инженерии.
DmMVS; soltik; eval; +3 Ответить
6. Dmitryiv 127 04.11.15 10:04 Сейчас в теме
Боты — обычные аккаунты Telegram, управляемые программой и не требующие привязки к телефонному номеру.


Вот в этой детали дьявол и кроется. Если я, как злоумышленник, завладел паролем для входя в ситстему и узнал имя бота - я вошёл в ситему.
7. gostmair 04.11.15 10:10 Сейчас в теме
(6) Dmitryiv,
Это вряд ли, одного имени бота не достаточно, нужен его токен. И даже если вы знаете токен, то этого тоже не достаточно, код авторизации генерируется на сервере 1С, а бот выступает лишь средством доставки (к примеру, вместо смс).
9. sdwggg 16.02.16 09:40 Сейчас в теме
тоже интегрировал 1С и Telegram (для запроса разных данных из базы и получения их на мобильное устройство).
основной момент, который не нравится в работе с ботом Telegram - это то, что всегда должен быть запущен чат с этим ботом. Если случайно не просто очистить чат, а еще и остановить, то сообщения от бота перестанут приходить. И вот тут можно сидеть и думать, то ли 1Ска стала недоступна, то ли еще что случилось.
и еще хотелось бы создавать секретные чаты с ботом с возможностью самоудаления. Это ведь одна из главных фишек Telegram.
10. METAL 111 08.11.16 10:59 Сейчас в теме
Добрый день!
Скажите, а не приходилось ли Вам делать интеграцию с Facebook API https://developers.facebook.com/ ?
Иными словами, можно ли то же самое прикрутить не к Телеграм, а к Фейсбуку?
Просто в нашей компании никто Телеграм не использует, а интеграцию с каким-нибудь популярным мессенджером хотят, и несмотря на мои уговоры, даже пробовать телеграм не хотят, аргумент такой - вот есть Фейсбук, приложение у всех стоит, АПИ есть, пусть корпоративный бот работает на этой платформе...
Но мне пока не удалось найти ни одного примера реализации бота.. Это потому что на порядок сложней, чем с телеграмом, или просто руки не дошли ни у кого?..

Например, сложно было бы реализовать 2хфакторную идентификацию через мессенджер фейсбука? Сложней, чем через телеграм?

Чего хочу - понять что разработка приложения для АПИ фейсбук на порядок сложнее и аргументировать в компании, чтоб всё таки ставили телеграм.. Либо если не сложнее - тогда понять как же это сделать... :)

Спасибо!
11. Ukubaeva 08.06.17 12:07 Сейчас в теме
Бот перестает отправлять код аутентификации, если регулярно с периодичностью раз в сутки не напоминать ему о себе каким нибудь сообщением. Это не позволяет использовать механизм, потому что пользователю приходится перед тем как в очередной раз аутентифицироваться предварительно что то отправить боту. Это очень неудобно
12. vbuots 20 06.02.18 15:10 Сейчас в теме
Необходимо добавить проверку в Общий модуль "ДвухфакторнаяАутентификацияТелеграм.ПроверитьКодРегистрации":

+++ Если Сообщение.message.from.Свойство("username") Тогда
                Если Сообщение.message.from.username = ИмяПользователяТелеграма И Сообщение.message.text = КодРегистрации Тогда
                    Идентификатор 					= Сообщение.message.from.id;
                    ПараметрыВозврата.Статус 		= "OK";
                    ПараметрыВозврата.Идентификатор	= Формат(Идентификатор,"ЧГ=0");
                    УстановитьИдентификаторПользователяТелеграмма(ПараметрыВозврата.Идентификатор);
                    Возврат ПараметрыВозврата;
                КонецЕсли;	
+++            КонецЕсли; 
Показать

без этой проверки почему-то выдавал ошибки (
AlexandrSmith; +1 Ответить
Оставьте свое сообщение
Новые вопросы с вознаграждением
Автор темы объявил вознаграждение за найденный ответ, его получит тот, кто первый поможет автору.

Вакансии

Программист 1С
Москва
зарплата от 100 000 руб. до 150 000 руб.
Полный день

Автор новостных обзоров на тему 1С и бухучета
Санкт-Петербург
По совместительству

Специалист внедрения и сопровождения 1С
Москва
зарплата от 80 000 руб.
Полный день

Product Owner (Менеджер по продукту 1С)
Москва
зарплата от 100 000 руб. до 170 000 руб.
Полный день

Тим лид по разработке 1С (Team Lead 1С)
Москва
зарплата от 100 000 руб. до 200 000 руб.
Полный день