29 августа, основатель и глава Telegram Павел Дуров рассказал у себя в Telegram-канале, что мессенджер начал поддерживать ссылки второго типа. Теперь имя пользователя, написанное латиницей, можно будет увидеть и перед адресом страницы, а не только после него.
По словам Дурова, к основным и привычным ссылкам типа t.me/username добавятся новые — username.t.me. Сделано это в преддверии создания на базе мессенджера платформы по продаже запоминающихся никнеймов через аукционы.
«В преддверии грядущих событий, сегодня мы добавляем поддержку ссылок типа username.t.me для каждого имени пользователя в Telegram, в дополнение к уже существующим t.me/username. Эти ссылки уже функционируют в любом браузере», — сообщил Павел Дуров.
Источник: ferra.ru
Весьма интересно, почему команда Telegram решилась на такой шаг.
Каждый из нас, хотя бы раз, из-за любопытности, проверял, либо делился своим именем пользователя, каналом на t.me. Это обычный интерактивный редирект на основную страницу для приложения Telegram.
Раньше при входе на такую ссылку, никто не мог догадаться, какое имя пользователя вы посещаете, ссылка была спрятана внутри трафика TLS 1.2.
Всё было анонимно, и многие пользователи делились своими ссылками на порталах раскрытия личных данных, на форуме оппозиции Путина, на форме заявки и т.д.
Теперь же при входе на vova.t.me в расширении TLS Server_Name_Indication высвечивается ваше имя пользователя vova.
Посмотрим в WireShark:
Если вы хоть раз проходили по своей ссылке без VPN, то вы официально выдали свой IP адрес правоохранительным органам.
Согласно закону Яровой, оператор связи должен хранить интернет-трафик в течение 30 дней. Но через 30 дней ситуация не улучшится, мы знаем, что правительство очень дорожит такой чувствительной информацией.
Что же делать?
Просто никогда не пользоваться такими стандартами ссылок нигде, даже не кликать по незнакомым.
Комментарии (129)
numb
19.09.2022 09:46+28Заголовок вводит в заблуждение.
Вы переходите по ссылке, в домене которой указан никнейм того с кем Вы будете общаться.
Т.е. из перехваченного трафика раскрывается имя Вашего собеседника, но не Ваше.
А переходить самому, по своей же ссылке - зачем?
atc
19.09.2022 09:57+15раскрывается никнейм вашего собеседника, что может быть нежелательно
numb
19.09.2022 10:03+6Это да. Но чтобы получилось так как указано в заголовке, должно случится несколько "если"
Если Ваш собеседник перейдет по своей ссылке и выдаст свое местоположение
Если к нему придут с паяльником
Если Ваш собеседник знает Ваше местоположение.
entze
19.09.2022 11:47Если ПЯ реально работает и настроен так, как его было бы возможно использовать для решения конкретных задач. Ну и некое лицо тычет во все подряд.
makapohmgn
19.09.2022 17:08-33Ну, например, можно ловить пользователей которые прутся в какой-нибудь там магаз с наркотой точка t.me)
Или хомячков Навального, как вариант.
Очень много интересного можно узнать о посетителях канала)
Balling
21.09.2022 14:48Да, кстати, предпросмотр это только серверная вещь. Т.е. резолв не происходит. Но вот там в sms... и viber...
ZeroBot-Dot
19.09.2022 11:08+20Так а где обещанное из заголовка?
способна раскрыть ваше местополжение правоохранительным органам
13werwolf13
19.09.2022 12:24+3сейчас в рф все NS запросы идующие в открытую перехватываются и перенаправляются в скрепные NS сервера откуда и ответ. соответственно если у вас dns трафик не завёрнут в vpn и/или не прикрыт каким нибудь doh/dot/etc запрос резолва такого домена выдаёт ваш ip по которому в большинсве случаев правохранительные органы могут определить ваше местоположение (вопрос точности и скорости определения оставим за рамками данного обсуждения).
amarao
19.09.2022 14:04-1Да, и что знают оккупационные власти после определения факта резолвинга
t.me? Что у человека телеграм. Окааай.13werwolf13
19.09.2022 14:41+17Смоделируем ситуацию:
Чекисту надо выявить вражину, он под каким нибудь видом скидывает ему контакт vasyapupkin.t.me и смотрит откуда запросили этот домен и едет туда с "маски шоу". А в случае t.me/vasyapupkin он так не сможет.
amarao
19.09.2022 15:13А, я понял. Вы не по поводу "ну и что, есть же t.me" писали, а наоборот, указывали, что проблема шире, чем sni.
nixtonixto
20.09.2022 14:01+1Они ему скинут уникальную ссылку на свой редиректор и html-кодами исправят в сообщении отображаемый текст ссылки на нейтральный. Тогда жертва ни о чём не догадается, если не наведёт мышку на ссылку и не посмотрит, куда она реально ведёт, а у них будет единственный переход по своей ссылке со всей доступной через скрипты информацией, от IP и часовой зоны до версии браузера.
saboteur_kiev
19.09.2022 18:42+8оккупационные власти
Что у человека телеграм. Окааай.
Вы видимо не очень активно читаете, что делают оккупационные власти с человеком у которого есть телеграм. Или телефон. Или вообще этот человек есть.
grafstroganov
19.09.2022 15:11т.е. живущим в Европе боятся нечего, получается?
13werwolf13
19.09.2022 15:56+7Как будто только в России есть "большой брат" и нарушители законов или "законов".
Перефразируя вас: "не всем стоит бояться". От локации тут ничего не зависит.
igorsd
20.09.2022 12:09Не перехватываются. Не перенаправляются. И даже если бы перенаправлялись - то не все.
Balling
21.09.2022 14:51Нет, не перенаправляются. Вернее, скрепы это и есть сервера официальные, никто не шлет до 1.1.1.1 в сша, представляете себе? Сервер 1.1.1.1 есть в Москве. Ну и вообще-то doh есть везде уже.
13werwolf13
21.09.2022 14:53есть ряд доменов отправив запрос на резолв которых из россии и из любой другой страны на один и тот же 1.1.1.1 вы получите совсем разные ответы. список можно нагуглить (емнип на гитхабе лежит) правда я хз поддерживает ли его кто в актуальном состоянии.
Balling
21.09.2022 14:56Я вам больше скажу, если бы dns не зависил от вашего ip, то CDN и не работал бы. IP адресов много на один сайт может быть даже в одном запросе.
И они постоянно меняются тоже, если только не прям статический адрес.
13werwolf13
21.09.2022 14:58я вам ещё больше скажу: не все домены резолвятся на cdn илиимеют несколько A записей. думаю намёк понятен.
Murimonai
19.09.2022 12:24+2Вообще-то все сабдомены *.t.me поинтятся на один и тот же айпи 149.154.167.99
Который судя по базе whois принадлежит Дурову и его мессенджеру.
flx0
19.09.2022 12:38+8Речь не про то, во что резолвится имя хоста, а про то что это самое имя хоста передается без шифрования.
Murimonai
19.09.2022 12:41+4А толку что передается без шифрования, если это имя хоста вообще ни о чем не говорит? Ну передали вы неопределенному кругу анонимусов (среди которых есть и силовики) офигительный никнейм serg1198798 (с добавкой в виде .t.me) - и что? Где проблема-то?
WraithOW
19.09.2022 13:27+14Навскидку проблема в том, что так проще отслеживать людей, которые читают в телеге всякую оппозицию. Без vpn ip весьма однозначно маппится в человека, следовательно, можно собирать списки неблагонадежных. serg1198798 скорее всего никому не интересен, а вот какой-нибудь navalny - весьма.
Murimonai
19.09.2022 13:31-6Без vpn ip весьма однозначно маппится в человека,
А теперь внимательно прочитайте начало ветки и подумайте, на какого же человека будет мапиться вышеозначенный айпи...
Layan
19.09.2022 13:37+4Так вроде и работает:
есть канал opposition.t.me, есть пользователи, которые перешли по этой ссылке, их (IP посетителей) условно можно сравнить с читателями данного канала.
Но это настолько условно... Но особого смысла в этом нет, разве что вычислять собеседника заранее известного контакта, да еще так, чтобы была использована ссылка, а не пара других способов для установления контакта.makapohmgn
19.09.2022 17:16+1Ну, справедливости ради, то что человек ткнул в какое-нибудь mamkiny-opozitcionery.t.me не означает, что он читает этот канал.
Сам по себе переход по ссылке вообще мало что значит.
Кстати, можно каких-нибудь, например, драг дилеров вылавливать, убеждая их перейти по ссылке tovaristch-mayor.t.me)) если, конечно, они настолько тупые, что свой ip не скрывают
sakontwist
19.09.2022 19:59+3Не означает. Но на руку можно поставить табуретку и посмотреть в телефоне, какие там каналы человек читал, комментировал, отправлял (более чем одному человеку). И раскрываемость сразу растет.
Festelo
20.09.2022 13:09В некоторых чатах есть приветственные сообщения вроде «Добро пожаловать, user111, [пройди проверку на бота]».
Человек переходит по ссылке, время и айпи записывается у оператора или где-то еще, в чате появляется сообщение - можно сопоставить время сообщения и время перехода по ссылке - получить связь IP - username
erty3
20.09.2022 13:17не означает
можно вылавливать
Для одних означает, а для других нет? Какую форму черепа товарищ майор назначит, такая и будет?
Murimonai
19.09.2022 19:19-4Нет, opposition.t.me мапится в 149.154.167.99 как и все до единого сабдомены *.t.me, что вы тут вычислять будете? Откуда возьмете айпи посетителей? Напишете письмо Дурову с просьбой выдать всех подписчиков канала?
Balling
21.09.2022 15:02Это не так работает. Что по http, что по https домен передается, от это зависит какой сайт получите. Youtube и mail.google.com так же работают.
WraithOW
19.09.2022 13:39+4Прочитайте внимательно первое предложение моего комментария и вы поймёте, о чьем айпи речь.
Artem_zin
19.09.2022 14:45+33Автор, вы всё пишите правильно, комментаторы не понимают или не хотят признавать, что теперь возможна крайне простая фильтрация по имени интересующих Telegram каналов и резолвинг IPшников обратившихся к ним клиентов.
Можно отфильтровать как самого автора Telegram канала (первые исторические запросы наверняка автора канала или его команды — проверяют работоспособность), так и читателей канала. Далее по IP адресу и datetime запроса выясняется провайдер и к провайдеру делают обращение о выдаче адреса проживания и персональных данных по связке IP & datetime.
Кошмар.
aim
19.09.2022 15:34+5сам факт обращения к технолгическому сервису ничего не значит.
но да — даёт повод обратится в суд за ордером на обыск помещения в случае если есть основания полагать бла-бла-бла.
makapohmgn
19.09.2022 17:19-9В рекламе вылезла ссылка, случайно ткнул, открылась какая-то параша, которую я стремительно закрыл. Какие ваши доказательства?
Format-X22
19.09.2022 18:15+8Оно наоборот работает - теперь докажите что это был случайный клик и мы вас оставим в покое (нет).
leu_astashonak
19.09.2022 23:22+5— Права я знаю. Дайте мне телефон.
— Зачем, мистер Андерсон? Какой толк от телефона, если сейчас вы немы?
hyperwolf
20.09.2022 00:04+6По ссылочке перешли, вот протокольчик, вот показания свидетелй, вот логи провайдера.
garaphone
20.09.2022 14:40-4К Сожалению это не во всех странах так работает, например в России не применяют уголовные статьи и штрафы на тех кто качает торренты, смотрит запрещённую информацию и т.д. в отличие стран дикого запада, но мы работаем над этим.
geher
20.09.2022 14:03Если клик один, то можно отбрехаться, что случайно. Если клики регулярные, то это совсем другой вопрос.
Как в анекдоте.
- Как все произошло?
-Я сидел, чистил ножом яблоко. Он шел мимо, поскользнулся на очистках и случайно упал на нож. И так шесть раз.
mylo27
19.09.2022 15:07-28Сколько читаю, не могу понять - откуда такой негатив к сотрудникам? Благодаря отделу К было раскрыто множество серьезных преступлений, найдено фейковых колл-центров, и реальных экстремистов с оружием.
PanDubls
19.09.2022 15:49+19Ну или найдено достаточное количество гавриков подходящей национальности, которых можно показать по телевизору как экстремистов с оружием и получить премию
Dabbuger
19.09.2022 16:08+24посажено и оштрафовано за лайки, гораздо больше.
AndreyDmitriev
19.09.2022 17:01+5Из объяснительной:
"...Я, Иванов Иван Иванович, протирая экран своего смартфона, случайно лайкнул этот пост.
Прошу суд проявить снисхождение и заменить срок на условный.
Обещаю, что больше такого не повторится..."
907
20.09.2022 10:40+2Я , Иванов Иван Иванович , обязуюсь больше не протирать экран своего смартфона ...
mylo27
20.09.2022 15:54-4А гораздо больше это сколько?
Или люди со светлыми лицами в цифры не умеют, за базар не отвечают и только трусливо в карму тыкают?)
30-40 человек, из которых у части еще сопутствующие статьи? Ах, кошмар какой, новый гулаг, половина страны сидит за репосты.
https://www.forbes.ru/tehnologii/369439-srok-za-repost-skolko-v-rossii-osuzhdennyh-za-deystviya-v-internete
Невелика цена за реально задержанных террористов. Форбс же люди, мечтающие о "Прекрасной России будущего признают"?
Gutt
19.09.2022 23:51+17Благодаря отделу К было раскрыто множество серьезных преступлений, найдено фейковых колл-центров, и реальных экстремистов с оружием.
А при Гитлере автобаны строились. Существуют деяния, обнуляющие репутацию.
Nasreddin_Hodja
19.09.2022 22:29способна раскрыть ваше местополжение правоохранительным органам
Пфф, я вас умоляю, надо будет они сами органам передадут всю инфу. https://www.rbc.ru/technology_and_media/06/03/2022/622427ce9a79474eced2ebe5
Divisi0n
20.09.2022 00:57+3Регистрация Телеграмма привязана к реальному мобильному номеру как минимум у бОльшей части переживающих выше комментаторов. Товарищ майор не будет заморачиваться с разбором TCP пакетов, у него есть более простой способ.
xcilessMore
20.09.2022 01:32-1Жаль, ни в Signal, ни в Matrix, ни в ещё более диковинном, но концептуально интересном Skred нет каналов (для публикации контента).
В РФ пора тикать с ТГ, что-то всё меньше к нему доверия...
Ждём ещё какой нетривиальный бэкдор?
И как же хочется, чтобы набрал популярность какой-нибудь мессенджер без регистрации по номеру телефона (типа того же Skred).
Подход WhatsApp, который и принёс ему славу (логин по номеру телефона, и точка), имеет право на жизнь, но весьма сомнителен по нынешним временам. Необходима альтернатива.
BigBeaver
20.09.2022 08:28+1что-то всё меньше к нему доверия...
Вы так говорите, как будто бы оно было когда-то.
SergeyUstinov
21.09.2022 11:48Сейчас вот это смотрю:
https://hubzilla.org//page/hubzilla/hubzilla-project
Правда, это вообще не мессенджер, но если скрестить с матриксом...
gmtd
20.09.2022 04:33+3Ну если человек из "опасной" оппозиции или откровенного криминала, то он должен знать, что DNS трафик тоже можно засунуть в VPN. Иначе у него РКН и так кучу сайтов блокирует по доменным запросам.
Хотя да, для Телеграмма это дыра однозначно. Не должно быть такого.
svr_91
20.09.2022 08:59+1Читал, что есть и другой способ обнаруживать посетителей канала (не помню, в телеграмме или нет):
1) Создаем картинку произвольного содержания
2) Выкладываем у себя на сайте
3) Публикуем в интересующем канале
4) Смотрим по логам сайта, у каких пользователей произошла предзагрузка картинки
VEG
20.09.2022 09:18+2Превью загружает робот Телеграма с его же серверов. То есть, пока вы по ссылке картинки не перейдёте, ваш IP сервер не получит.
victor-homyakov
20.09.2022 12:51Есть корреляция между "выложили в канал картинку размера X килобайт" и "в течение N секунд после этого такие-то IP получили f(X) килобайт определённого трафика", и чем больше картинок - тем точнее метод. Вроде бы в РБ это пытались использовать.
khacsam
20.09.2022 10:55-5Возможно, нужно не совершать противоправных действий, чтобы правоохранительные органы не интересовались вами и вашим местоположением?
ZeroBot-Dot
20.09.2022 11:00-1Да под каждой такой новостью собираются одни криминальные элементы. Тут даже ссылки для tg не нужны. Товарищу майору нужно просто переписать ники и сделать запрос в хабр =)
khacsam
20.09.2022 12:09-2Интересно, что я такого криминального написал, что минусы нахватал?
Rohan66
20.09.2022 13:13+5А это ответ на ваш посыл!
Вы ничего "криминального" не написали, но минусов отхватили.
Параллели сами проведёте?
khacsam
20.09.2022 14:18-2Я понимаю, на что Вы пытаетесь намекнуть, но параллелей здесь нет, а натягивать сову на глобус неконстркутивно. Какой может быть тнтерес ко мне и моему местоположению у правоохранительных органов, если я не нарушаю закон? Вот если бы я, вместо того, чтобы рассказать врачу о преимуществах препарата, его фармакокинетике, фармакодинамике и взаимодействии с другими лекарствами, давал ему "на лапу", чтобы он назначил мой препарат N-ному количеству пациентов, тогда я бы попал в поле зрения правоохранительных структур и получил бы "дизлайк" от государства на несколько лет. А здесь схлопотать "минуса" легко только за то, что твоя точка зрения не совпадает с точкой зрения кого-то из присутствующих.
Rohan66
20.09.2022 15:10+1давал ему "на лапу", чтобы он назначил мой препарат N-ному количеству пациентов
Ой! А сколько врачей за "процентик" назначает БАДы и фуфломицины?
если я не нарушаю закон?
Это вам только кажется.
khacsam
20.09.2022 17:17>Ой! А сколько врачей за "процентик" назначает БАДы и фуфломицины?
По поводу врачей и процентика - это стереотип: не такая уж это массовая практика, как было ещё лет 5 назад: большинство фармкомпаний соблюдают комплаенс, и даже ручки брендированные не дают. Есть, конечно, и такие, которые платят - этим грешат, в основном, компании из одной восточной страны, где любят петь и танцевать.
>Это вам только кажется.
Моя чистая сорокавосьмилетняя биография в качестве наглядного примера не подходит?
Rohan66
20.09.2022 17:21+3как было ещё лет 5 назад
Всего-то!
Моя чистая сорокавосьмилетняя биография
Это по вашему мнению чистая? Ну так себе аргумент... Может это просто чья-та недоработка.
khacsam
20.09.2022 17:51-3>Всего-то!
Если учесть, что фармацевтический рынок всегда был коррумпированым, конечно, это мало. Но лично меня не может не радовать то, что в отрасли всё постепенно переходит в правовое русло.
>Может это просто чья-та недоработка.
Я помню слова Феликса Эдмундовича. Но в отличие от минусаторов я не боюсь.
WraithOW
20.09.2022 19:05+5Вас накормили вашей же стряпней, так сказать. Высказывание мнения, противоречащего генеральной линии партии нынче правонарушение, а в случае рецидива - уголовное преступление. Ну а раз вы поддерживаете идею самоцензуры - вас не должно было затруднить и на хабре проявить, кхм, избирательность, не так ли? Вы её не проявили - получили минусов.
Всё исключительно логично.
khacsam
20.09.2022 19:10+1Почему же минусаторы не приемлют иного мнения, кроме своей "генеральной линии", а от государственных органов требуют иного отношения в свой адрес? Или опять я не понимаю, что "это другое"?
WraithOW
20.09.2022 19:39+6Почему же вы считаете возможным требовать свободы слова для себя, а от других людей ожидаете самоцензуры? Или я опять не понимаю, что "это другое"?
khacsam
20.09.2022 20:22-1Это в каких моих словах Вы заметили, что я требую свободы слова для себя, да и вообще, что-либо требую?
Я лишь высказал лишь своё мнение о том, что не нужно нарушать законы, чтобы не попасть в поле зрения правоохранительных органов.
Это что-то сверхъестественное, или в каком-то государстве можно спокойно нарушать законы и за это к Вам в дом не постучатся специально обученные люди в погонах?
odins1969
20.09.2022 16:22+2а если противоправное действие состоит в том что вы думаете иначе чем те, кто приказывает тебе целовать его сапоги как быть тогда? целовать?
khacsam
20.09.2022 18:00-2Мне, почему-то, никто не приказывает целовать сапоги или какие-то части тела. А думать не запрещено никому - за это не сажают. Вот если после "думать иначе" начать противоправные действия, тогда Ваше местоположение действительно заинтересует товарища майора. Так это в любом государстве так - на то они и правоохранительные органы, чтобы охранять существующий порядок. Так было и в средневековье, когда в Европе действовала "церковная полиция" - инквизиция, а в Русском царстве при Иване IV Грозном - опричнина, так и в 21-м веке в любой стране. Так устроена государственная система везде. Напомнить, сколько человек пострадало во Франции во время протестов "жёлтых жилетов", или "это другое"?
Rohan66
21.09.2022 10:38+2А сегодня вы также думаете?
У нас "закон" может поменяться за 2 дня - и всё! Вы уже преступник!
khacsam
21.09.2022 10:51Возможно Вам это трудно понять, но я всегда так думал и думаю.
А насчёт "может" - так и ковидом заболеть можно, и эта вероятность гораздо выше, чем оказаться в поле зрения правоохранительных органов, не совершив правонарушения. Так что ж теперь, лечь в гроб и ждать смерти?
Моё глубокое убеждение: боятся раскрытия своего местоположения соответствующими органами только те, у кого совесть нечиста и они чувствуют, что их есть за что привлечь.
ALexhha
21.09.2022 12:23Вот если после "думать иначе" начать противоправные действия, тогда Ваше местоположение действительно заинтересует товарища майора.
вообще то уже даже сам факт "думать иначе" считается противоправным действием. И за него даже начали сажать
khacsam
21.09.2022 12:33А пруфы будут, что именно только за то, что думают иначе, безо всяких действий? Или фсёпрапальщиков не принято подкреплять нытьё фактами?
FSA
20.09.2022 12:18Кто копал глубже? SNI ведь сделан как костыль, чтобы один порт умел выдавать разные сертификаты для разных хостов. Т.е., по сути у телеграм может быть сертификат *.t.me и надобности использовать SNI нет. Я пробовал тестировать на своем сайте. Посещал на один IPv6 один сертификат на один сайт. Но, судя по запросам, SNI все равно продолжает использоваться.
force
20.09.2022 14:40Клиент не знает сколько на сервере сайтов на данном IP адресе, поэтому всегда использует SNI, если в принципе умеет в него. Сделать запрос без SNI, получить ошибку про невалидный сертификат, сделать повторный с использованием SNI - выглядит ещё большим костылём и в целом не добавляет безопасности.
Balling
21.09.2022 15:09Не может, а так оно и есть https://www.hardenize.com/report/t.me/1663269939#www_certs
SNI используется и в случае https://1.1.1.1
miniwalle
21.09.2022 19:36+1Шёл 2022 год, телеграмм анонимусы переживали за свой ip, даже смешно как то) анонимность в тг закончилась примерно с того момента как ее разбанили на территории рф, а может даже раньше. Оппозиционеры которые думают что за ними придут из за группы в тг, вы неуловимые Джо можете расслабить батоны)
abutorin
А зачем самому переходить по такой ссылке? Её ведь дают другому человеку или размещают на сайте. В результате большинство запросов по такому адресу будет происходить от "не владельца".
PowerMetall
Ну, как вариант - для того чтоб проверить "а работает ли".
Лично я всегда проверяю работоспособность любой ссылки перед отправкой её собеседнику либо перед выкладыванием её в веб. Привычка такая. Можно назвать это "сетевой этикет", что ли. И думаю не у одного меня такое ))
Так что с некоторой долей вероятности самый первый переход по ссылке - как раз и будет от её создателя
papilaz
Однако по "сетевому этикету" мало кто предварительно тестирует email на предмет кликабельности и доставляемости.
var4yn_nik
Да.
Balling
Для этого есть подпротоколы специальные. Почту отправлять не надо.
Balling
Никогда не проверяю ссылки из share меню. Эсли оно не работает, то обычно все равно никак не смогу другую ссылку отправить. Разве что в браузере открывать.
Moraiatw
И будут раскрывать с кем общается владелец.
(с иностранными агентами)Balling
Telegram же вроде просто иностранная компания?