Не вход по паролю, а пароль в строке поиска

[systracer]

Просмотрел Issues & Discussions и не нашел такого предложения. ИМХО, главный фатальный недостаток что Partisan-Telegram, что Postufgram - это само наличие пароля при запуске приложения. Сейчас все телефоны поголовно делаются с биометрией и обычный средний человек не ставит дополнительные пароли на приложения, так как если он потеряет телефон, то пароль разблокировки всего телефона защитит информацию, а если этот пароль заставляют разблокировать силой, тогда заставят ввести и пароли к приложениям, которые спроектированы в основной массе без двойного дна. Другими словами пароль на приложении и тем более мессенджере должен запустить в голове провластной подстилки красный код тревоги, который прямо указывает на возможность ввести пароль под принуждением и активировать сценарий допроса с особым пристрастием.

Поэтому в первую очередь стоит привести приложение в режим, соответствующий человеку, которому нечего скрывать - а именно не требовать пароли при старте вообще. Когда мы только открываем оригинальный телеграм, что видим? Правильно - строку поиска по чатам. Вот там-то и нужно вводить пароль, чтобы отобразились чаты, которые по умолчанию скрыты. Примерный сценарий я вижу таким:

1. После первого входа в аккаунт после первой установки программы вводим в строке поиска "*password*" без кавычек, где первая звездочка дает команду не искать эту фразу на серверах телеграма и означает начало пароля, затем идет сам password, а последняя звездочка закрывает пароль и означает, что этот пароль будет использоваться в дальнейшем для показа скрытых чатов.
2. Рабочий режим. После ввода правильного пароля (со звездочками по бокам) в строке поиска: в списке чатов появляются скрытые чаты, появляется возможность скрыть существующие чаты, а также доступ к настройкам. Без ввода правильного пароля в строке поиска поведение приложения не должно отличаться от оригинального.
3. В настройках можно тонко настроить поведение приложения, чтобы кроме существующих реализованных настроек выполнялись сценарии даже без ввода пароля, например разлогинивание из учетной записи может стирать скрытые чаты и отправлять SOS. Также настраивается что делать при сворачивании приложения или блокировке телефона, таймауты итд.
   В настройках же можно будет поменять и символ, который будет обрамлять пароль.
4. Если произвести выход из аккаунта, то при повторном входе должно быть невозможно установить пароль и поведение приложения ничем не должно отличаться от оригинального, только полная переустановка приложения (равно очистка данных приложения) должна дать возможность повторно установить пароль для скрытых чатов.

Ваши предложения - велкам. Весь смысл должен свестись к тому, чтобы приложение не вызывало подозрений, и по-моему эта схема реализовывает сценарий намного лучше подозрительного пароля при старте. Кроме того повышается удобство - пароль нужно вводить не каждый раз, а только если нужен доступ к скрытым чатам. Пароль может быть коротким, хоть из одной буквы, но если ввести его неправильно - опционально сработает триггер стирания скрытых чатов и зачистка следов.

[systracer]

Отдельно хочу указать на удобство такого метода показа скрытых чатов. Например, мы ставим в настройках чтобы пароль обрамляли буквы "g", а пароль при этом будет "p", тогда ввести в строку поиска нужно будет "gpg" без кавычек, при этом любой другой шаблон "g*g" (где звездочка обозначает любые символы) для защиты от перебора скрыто запустит триггер удаления пароля и скрытых чатов, либо на указанное в настройках время запретит реагировать даже на правильный пароль, чтобы не терять скрытые чаты (но оставить их удаление при разлогине). Ошибиться при вводе даже такого короткого пароля будет практически невозможно, т. к. после ввода "gp" пользователь видит, правильно ли он ввел пароль, и подтверждает ввод контрольной "g".
Момент с символами обрамления пароля нужно продумать так, чтобы его поведение не отличалось от оригинального, здесь лучше подходят знаки, например при вводе точки, запятой, знака равно или звездочки телеграм сразу говорит, что нет результатов, а это подходит лучше всего. Акцентирую на этом внимание, чтобы пароль не передавался на серверы телеграма.

[vivabelarus]

Здравствуйте. Да, обдумываем эту идею в последнее время. Слишком актуальной стала. Некоторые мысли по этому поводу.

1. Да, ввод пароля в поисковую строку кажется хорошим компромисным решением между скоростью переключения и безопасностью.
2. Концепция беспарольного входа может более-менее сочетаться с текущей концепцией код-паролей. Пока я вижу так. При вводе ложного код-пароля, в котором включена опция беспарольного входа, выполнятся все настроенные на него действия (в том числе, скрытия чатов и аккаунтов), приложение маскируется под оригинал, как и сейчас происходит. И при этом ведёт себя так, будто в нём не включён код-пароль. Для возврата к обычному состоянию нужно будет в поисковую строку ввести оригинальный код-пароль. В итоге решаем проблему скрытия чатов и аккаунтов и маскировки под оригинал. И при этом не слишком сложно в реализации, так как почти всё уже готово. Но такое может быть сложно пользователям объяснить.
   2.1. У описанной выше концепции есть ещё одно преимущество. Если мусор поймёт, что телеграм партизанский и заставит пользователя вводить в поисковую строку код-пароль, тот может ввести туда другой ложный, при котором будет не скрытие, а удаление всего подозрительного.
3. Важно, чтобы этот механизм позволял скрывать не только чаты, но и аккаунты. Потому что в текущей ситуации стоит заводить отдельный аккаунт для политики.
4. Символы обрамления мне не кажутся хорошей идеей. Во-первых, не смотря на то, что при вводе одной звёздочки результаты поиска будут пустыми, при вводе текста, обрамлённого звёздочками результат будет присутствовать. Соответственно, это позволит понять, что телеграм партизанский. Замена пользователем обрамляющего символа на другой, кажется, сильно проблему не решает. С отправкой пароля на серверы телеграма я проблемы не вижу, так как пользователь в любом случае доверяет им хранение пароля от двухфакторки (пусть и в зашифрованном виде).

[systracer]

Спасибо за ответ, есть мысли на ваши мысли.
2. Не уверен, что правильно понял концепцию. Если правильно - код-пароль на открытие телеграма установлен, но убирается при вводе ложного код-пароля. Это не подходит по одной простой причине - его нужно вводить заранее перед каждой возможной встречей с неприятностью, например перед выходом на улицу. Без подготовки при внезапной проверке телефона будет запрошен код, либо идешь по улице и у тебя изымают телефон и видят, что установлен код, а значит есть что скрывать со всеми вытекающими. А вот при скрытии чатов по умолчанию до ввода пароля в строку поиска фактор внезапной проверки безопасен полностью, что нам и нужно.
2.1. А какие могут быть зацепки, чтобы понять, что телеграм партизанский? Нужно подумать, как сделать его неотличимым от оригинала изначально, чтобы вообще не приходилось вводить в строке поиска любой пароль под принуждением. Ведь если ты признался, что телеграм не оригинальный и вводишь пароль в поиск или куда-либо еще, то уже расписываешься в скрытии данных. Если устанавливать партизанский телеграм на нерутованый телефон, к его базе и ее анализу доступа не будет.
3. Если вы хотите реализовать скрытие не только чатов, но и аккаунтов - пожалуйста, все только спасибо скажут. Однако по моему мнению, массовый расчет должен быть изначально только на один аккаунт, во-первых в некоторых странах симку можно взять только на паспорт, во-вторых эта симка должна соответствовать номеру телефона в телеграме, чтобы проверка не вызвала подозрений. В-третьих по моему опыту несколько аккаунтов банально неудобно, а чем проще, тем лучше. Но опционально - почему бы и нет.
4. Вынужден согласиться, и раз уж вся переписка хранится на серверах телеги незашифрованной, можно доверить поиску и пароль. Однако в целях производительности возможно стоит проверять корректность пароля не после каждого введенного символа, а после пароля и энтера после него.
Кстати, триггер удаления следов может включать такой вариант - в настройках выбираем чат, который владелец телефона точно не будет открывать, и при его открытии сработает зачистка, как при разлогоне. Таких ловушек можно придумать несколько и в них легко угодит не владелец аккаунта.

[vivabelarus]

2. То, что код-пароль оригинальный не означает, что им обязательно нужно пользоваться на регулярной основе, как основным. В данном случае предполагается, что человек будет пользоваться ложным на постоянной основе, а оригинальный вводить только для чтения политики. И потом обратно заблокирует приложение. А для того, чтобы человек не волновался насчёт того, что он забудет активировать нужный ложный код-пароль, можно добавить активацию ложного код-пароля по таймеру. То есть если человек ввёл оригинальный код-пароль и несколько часов/минут не пользовался приложением, активируется ложный, со скрытием чатов, убиранием паролей и маскировкой под оригинал.
   2.1. Приложение невозможно сделать неотличимым от оригинала. Вообще никак. Поэтому в любом случае будут зацепки, по которым опытный человек сможет точно сказать, что приложение не оригинальное. Плюс мусор может посмотреть список каналов и понять, что что-то там пустовато.
3. Проблемы с симками на данный момент решаются покупкой иностранного виртуального номера за крипту (дёшево) или покупкой телеграмовского номера +888 (дорого). Скрытие чатов недостаточно безопасно. Менту достаточно войти в аккаунт с другого устройства (попутно выбив пароль от двухвакторки) для того, чтобы получить доступ к скрытым чатам. Скрытие чатов годится только на случай беглой проверки телефона на наличие экстремизма.
4. Проверка пароля на современных устройствах будет крайне быстрой. Нажатие на энтер может быть нужно только для того, чтобы пользователь убедился в правильности введённого пароля.
5. Про чат-триггер интересная идея. Будем думать.

[systracer]

2. Мне кажется, что вы говорите о код-пароле, который нужно вводить для разблокировки телеграма, но суть моей концепции - чтобы явных паролей не было вообще, иначе это уже обозначает, что человеку есть что скрывать. Обычному человеку одной биометрии на разблокировку всего телефона достаточно, чтобы защитить данные внутри при его утере, а при принуждении не спасёт и внутренний пароль без двойного дна, но любые дополнительные пароли на самих приложениях уже вызовут повышенный интерес к человеку. Смысл один - не вызвать подозрений, при любых проверках, особенно внезапных, это значительно выгоднее, чем оправдывать нестандартное поведение, одним из триггеров которого является дополнительный пароль на приложении.
   2.1. Мы говорим не о проверке телефона экспертами, там конечно неоригинальное приложение не скроешь, а о визуальной уличной проверке без дополнительных средств, ведь в этом и есть смысл Partisan-Telegram. А вот отсутствие каналов совсем не является подозрительным, человек вовсе не обязан быть против власти.
3. Согласен, и, как альтернативу мультиаккаунту, нужно подумать, можно ли это обойти. Например, триггером для удаления скрытых чатов может стать получение сообщения с кодом для входа, которое приходит на все подключенные устройства. Даже если в момент сего перформанса интернет на телефоне будет отключен, можно дополнительно держать аккаунт открытым на другом устройстве, где правило и сработает.

[vivabelarus]

Извиняюсь за задержку с ответом.

2. К сожалению, на данный момент есть путаница в терминах. "Ложный код-пароль" означает и пароль, который необходимо вводить при входе в приложение, и сценарий, связанный с этим паролем (а так же с другими вариантами запуска сценария). В данном случае я говорю о сценарии. То, что код-пароль оригинальный не означает, что им обязательно нужно пользоваться на регулярной основе, как основным. В данном случае предполагается, что человек будет пользоваться ложным на постоянной основе, а оригинальный вводить только для чтения политики и прочего активизма. И потом обратно заблокирует приложение. А для того, чтобы человек не волновался насчёт того, что он забудет активировать нужный ложный код-пароль, можно добавить активацию ложного код-пароля по таймеру. То есть если человек ввёл оригинальный код-пароль и несколько часов/минут не пользовался приложением, активируется ложный, со скрытием чатов, убиранием паролей и маскировкой под оригинал. Получается, с одной стороны всё будет так, как Вы говорите, без видимых паролей для того, кто будет досматривать, а с другой стороны, на основе существующих наработок.
   2.1. Приложение невозможно сделать неотличимым от оригинала. Вообще никак, по сути. Поэтому в любом случае будут зацепки, которые могут сказать, что приложение не оригинальное. Плюс мусор может посмотреть список каналов и понять, что что-то там пустовато. "ведь в этом и есть смысл Partisan-Telegram" - не в этом суть. Скорее суть в затирании данных до того, как телефон попадёт к тем, кто сможет данные извлечь.
3. Такая схема кажется более сложной, чем мультиаккаунт.

[systracer]

Все вышесказанные предложения являются только предложениями, лично у меня нет необходимости пользоваться этим приложением, но если мои идеи могут помочь вам, почему бы их не высказать.
2. Моя основная идея заключается в том, чтобы изначально убрать подозрения, то есть убрать любые пароли на запуск приложения и перенести доступ к скрытым чатам и сценариям на пароль в строке поиска. Если вам легче для реализации делать иначе, оставляя пароли на вход в приложение, или ваше мнение просто не совпадает с моим - нет проблем, делайте как вам удобнее.
2.1. По-моему просто отвести от себя подозрение не менее важно, чем что-то затирать, ведь у всех прохожих не будут забирать телефоны и проверять, какие приложения на них установлены. Однако внезапная проверка не защищает любой телефон, так как можно сначала сделать его копию, а потом безопасно исследовать с откатами. Но возможно я ошибаюсь, поправьте меня, если это не так: допустим загрузчик телефона заблокирован, поэтому считать данные приложения невозможно, а попытка перезаписи приложения на подставное не поможет, так как его подпись будет отличаться от вашей - в таком случае имеет смысл делать скрытые функции, ведь при внезапном извлечении телефона данные приложения все равно нельзя будет проанализировать. Но если то, что я слышал про андроид, правда, а именно что данные шифруются стандартным паролем плюс пароль разблокировки, который можно выбить, то данные на любых андроидах можно достать и шифрование бессмысленно.

[vivabelarus]

В 3.4.0 реализовали примерно то, что обсуждалось здесь. Подробности на вики, а немного позже будет видеоинструкция на канале.