Некоторое время назад наши подписчики обратили внимание, что если пройти по ссылке web.telegram.org из мобильного или десктопного приложения Telegram, то веб-приложение не предлагает пользователю пройти авторизацию, а сразу отображает содержимое его аккаунта. Рассказываем детали механизма автоматической авторизации Telegram.
Что происходит?
При переходе из мессенджера на некоторые веб-ресурсы Telegram пользователю не нужно авторизовываться там своим аккаунтом. Приложение добавляет к ссылке специальный токен, благодаря чему ресурс не запрашивает ни номер телефона аккаунта, ни облачный пароль, а автоматически пускает пользователя.Важно отметить, что функция появилась во всех приложениях Telegram довольно давно: ее поддерживают по меньшей мере последние несколько версий приложений на Android, iOS, MS Windows и macOS.
На каких ресурсах это работает?
- web.telegram.org: веб-приложение Telegram
- web.t.me: в настоящее время ведет на главную страницу официального сайта telegram.org
- a.t.me: ведет на telegram.org
- k.t.me: ведет на telegram.org
- z.t.me: ведет на telegram.org
- instantview.telegram.org: платформа для работы с шаблонами Instant View
- translations.telegram.org: платформа для перевода приложения на разные языки
- contest.com: платформа для конкурсов среди сторонних разработчиков и дизайнеров
- contest.dev: ведет на contest.com
- bugs.telegram.org: платформа для публикации и просмотра пользовательских сообщений о багах
- suggestions.telegram.org: платформа для публикации и просмотра пользовательских предложений
- themes.telegram.org: платформа для разработки тем оформления приложений
- promote.telegram.org: рекламная платформа
Риски
Незаметная авторизация удобна большинству пользователей, но создает некоторые риски.При авторизации в веб-приложении создается новый активный сеанс. Об этом пользователю приходит сообщение от служебного аккаунта Telegram, однако забыть о таком автоматически созданном сеансе все же проще, чем когда пользователь осознанно авторизовывается в веб-приложении. Закрыв вкладку браузера, пользователь может забыть о том, что по-прежнему авторизован.
Авторизация на веб-ресурсе происходит именно тем аккаунтов, из которого пользователь переходит по ссылке. Если пользователь ранее был авторизован на веб-ресурсе одним аккаунтом, а потом переходит по ссылке из другого, то в итоге он оказывается авторизован вторым аккаунтом, а не первым. На некоторых ресурсах это достаточно сложно заметить.
Эти два риска усугубляются тем, что ни приложение, ни веб-ресурс не только не предлагают пользователю ввести свои данные авторизации, но даже не предупреждают пользователя о том, что авторизация вообще происходит.