1週間前、ボットを作成するためのプラットフォームである Bots APIがTelegramメッセンジャーで開始されました。 プラットフォームは少し気味が悪く、少し松葉杖になっているかもしれませんが、それでもなお、ユーザーと開発者の両方にとって興味深いものです。 しかし、判明したように、APIには少なくとも1つの機能があり、それはエンドユーザーにとっては予想外の(さらには不快な)ものに思えるかもしれません。
私はすぐに予約しなければなりません。このメモは、Telegramのセキュリティに対する別の攻撃ではありません。 さらに、一部のメッセンジャー開発者との友好関係を考えると、私は特に記事を書きたくありませんでした。 しかし、Telegramでボットを作成し、そして最も重要なこととして使用することを計画している人々に警告することは、私にとって重要であるように思えました。 「プラトは私の友人ですが、真実はもっと貴重です。」
まず、一般ユーザー向けです。 テレグラムでボットに写真を送信する場合 (ボットがこの写真を他の人に送信すると仮定)、 写真の最終受信者(必要な場合)があなたの名前/写真/ユーザー名を簡単に見つけられることを覚えておいてください (直接連絡することができます) ) ボットがプライバシーと匿名性を伴う場合でも。 この興味深い側面は、ボットの作成者にとっても非常に明白ではありません。 そして、彼らは(今のところ!)それについて何もできない。 厳密に言えば、これは写真だけでなく(ほとんどすべての種類の添付ファイル)に適用されるだけでなく、他のケースであなたのプロフィールを見るのは少し難しいです。
これは、新しい@HotOrBotプラットフォームの説明に記載されている例にも適用されます。 この「Tinderアナログ」では、写真を評価するように求められている人のアカウントを簡単に覗き見ることができます(実際、まだ往復していない場合でも書き込みます)。
(イラストに見られるように、たとえば、 TelegramのWebバージョンで写真を開くだけです)
私が作成した@TalkBot (IRCまたはtête- à -têteの精神で「部屋」で匿名で通信できるようになり、仲介者として機能します)は同じ問題です。匿名化されたくない場合はチャットルームに写真を送信しないでください。 しかし、私のボットは少なくともこれについて全員に警告します。
技術的背景と、なぜこの問題が電報の参加なしに解決できないのか。 これで、ボットにファイルが送信されると、ボットはたった1つのことを行うことができます:ID( file_id )を取得して他の誰かに送信します(これはメッセージ自体ではなく、添付された画像/ビデオ/オーディオ/ドキュメントのみです、ドキュメントでは保存するトリックのように見えますリソース)。 残念ながら、現時点ではファイルの本文を取得することはできません(明らかに、この機能はアーカイブされているため、近い将来実装される予定です)。 そうしないと、同じfile_idを使用せずに、写真に再度記入することができます(少なくともいくつかの回避策があります)。 現在、ユーザーに警告する(または機能を制限する)以外の解決策はありません。
プラットフォームのバグではないのはなぜですか? 正式には、この動作は通常のAPIで多少文書化されています ( InputMediaPhotoとInputMediaUploadedPhotoコンストラクター 、および返された写真オブジェクト)。したがって、バグと見なすことはできません。 一般に、ボットは第三者によって作成されます-プライバシーはどのようなものですか。 Telegramをプライバシーに焦点を当てたメッセンジャーとして位置付けていることを考えると、ボットに送信されるすべてのデータがボット作成者に完全に開かれていることをクライアントアプリケーションが明確にすることは価値があるかもしれません(それがどんなに普通に聞こえても)。