Меня попросили изучить исходники с т.з. безопасности и высказать свое мнение и рекомендации.
Конечно, многие скажут, что использование Телеграм уже небезопасно, но в данной ситуации, к сожалению, среду диктует потребитель. Поэтому этот выбор оставим за скобками.
Хотелось бы отметить следующие моменты:
1) Разработчики умело пользуются фреймворками и стандартизированными решениями, что минимизирует возникновение багов и потенциальных уязвимостей. Например, таких проблем в проекте нет.
2) В отличие от некоторых даркнет-предприятий, в этом проекте главный разработчик четко знает, что именно он создает (магазин ПАВ). Это позволяет убрать возможные недопонимания, возможные при легендировании. Кроме того, есть основания полагать, что вышеупомянутый разработчик имеет основательный опыт разработки именно телеграм-ботов.
3) Несмотря на свою специализацию, главный разработчик обладает довольно высоким уровнем понимания вопросов безопасности. Приведу пример. Даже случайные идентификаторы генерируются не при помощи встроенных функций на основе алгоритма Мерсенна, а основываясь на источниках энтропии, предоставленных ОС.
4) Предприняты определенные шаги для развязывания сервера магазина и сервера, контролирующего финансы. Это позволяет эшелонировать защиту и повысить доступность системы в целом.
Желаю проекту и его пользователям успеха.
special-purpose undeground research and development organization
Зарегистрирован только на Рунионе. Связь только через ЛС форума.
