Безопасность ботов в Telegram

Доброго времени суток.

Сегодня хотелось бы рассказать всем читающим о том, на сколько безопасны боты телеграмма. Безопасно ли их использовать, и кто сможет Вас подслушать при общении с ними.

Для того чтобы понять на сколько это безопасно, необходимо понять как это вообще работает. Ниже приведена схематично отображено как обменивается пользователь данными с ботом. 

Для того, что бы можно было обмениваться с ботом сообщениями необходимо оного создать. Для этого используется @BotFather. После создания каждому боту выдается его уникальный token API, для совершения всех действий.

Прелесть этого токена в том, что он служит для идентификации вас, и предоставления к возможностям Bot API. С помощью этого токена бот (Разработчики, администраторы серверов, все кто знает этот токен, далее только бот) можно читать все сообщения, которые отправляют пользователи. Для того что бы запросить у Telegram сообщения, бот имеет два способа связи "Web hook" И "GET/POST запрос".

1. Web hook. Бот говорит Telegram куда отправлять сообщения. После того Web hook настроен, Telegram каждое сообщение пользователя отправляет на указанную страницу.
2. GET/POST запрос. Более простой способ узнать, какие сообщения были отправлены. Бот отправляет GET/POST запрос, с вопросом "Что нового?". В ответ на него получает последние сообщения, которые он не увидел.

Для обоих способов, что бы написать ответ пользователю бот должен отправить GET/POST запрос на специальную страницу Telegram. После чего Telegram уже отправляет указанному пользователю.

Давайте теперь разберем безопасность на каждом шаге. 

Для использования Web hook Telegram требует наличие SSL сертификата. GET/POST запросы к Telegram так же проходят через HTTPS. Исходя из этого можно сделать простой и очевидный вывод: Telegram сделал все возможное, что бы бот в обязательном порядке общался с ним через защищенный канал связи. 

Однако, не забывайте есть ведь еще сам бот. И вот тут начинается самое интересное.

Все что Вы отправляете Боту - он может не просто прочитать, а сделать с этим все что угодно. Естественно в целях отладки и каких-либо еще целях бот сохраняет все, что вы ему отправляете. Для дальнейшего анализа, для обработки, для настройки, не важно. Все данные могут храниться на стороне сервера бота.

А из этого уже легко сделать вывод, что защищенность отправленных данных прямо пропорциональна защищенности сервера и честности тех, кто ими владеет. Например, если разработчик арендует сервер в Data-центре (А зачастую так и происходит), то сдающая компания имеет полный доступ к данным на нем. То есть в данном случае данные есть не только у бота и его разработчика, но и у компании предлагающие услуги аренды сервера.

Из чего следует, что вся ответственность на защите персональных данных пользователя лежит на плечах разработчиков бота. И распоряжаться ей они могут как хотят.

По этому, когда пользуетесь каким-либо ботом, помните - это публичный сервис, которым распоряжаются и управляют третьи лица, а может быть четвертые. И в них надо соблюдать все те же меры безопасности, что и при использовании каких-либо обычных сайтов или программ. То, что вы отправляете - на вашей совести, а как кто-то этим распоряжается - на их. 

Не согласны или есть вопросы - @SnCode_Chat