IT 🐈 Digital
Reposted from:
Двач
24.04.202515:36
Помните, были такие NFT?
Три года назад чел купил несколько NFT более чем за миллион долларов. Сегодня эти картинки просто исчезли с сервера — и их больше нельзя увидеть.
Directed by Robert B. Weide
Три года назад чел купил несколько NFT более чем за миллион долларов. Сегодня эти картинки просто исчезли с сервера — и их больше нельзя увидеть.
Directed by Robert B. Weide
23.04.202519:04
Авторизация через виджеты не создает полноценную MTProto-сессию и не
авторизовывает пользователя в клиенте Telegram. Она никогда не
предоставляет доступ к чатам пользователя и не позволяет управлять его
аккаунтом.
Вместо этого, после авторизации через виджет в списке авторизованных
устройств в настройках аккаунта создается ограниченная сессия,
отображающаяся как Telegram Widgets. Сессию можно завершить в настройках
приложения таким же образом, как и обычную. Завершение сессии разлогинит
пользователя из всех виджетов Telegram на этом устройстве.
Сессию также можно завершить кнопкой в служебном чате Telegram
Notifications – при создании новой сессии в виджете туда приходит
специальное уведомление.
Токен авторизации действует ограниченное время и автоматически истекает.
Каких-либо изменений в механиках работы виджетов не производилось.
С примером виджета можно ознакомиться на нашем сайте:
https://core.telegram.org/widgets/discussion.
2.2 Авторизация с помощью Login Widget:
На одном и том же устройстве для всех Telegram Widgets используется одна
сессия. Новые авторизации через Login Widget на разных сайтах не создают
дополнительных сессий.
Если пользователь подтверждает авторизацию, сайту передается следующая
публичная информация: имя, фамилия, публичное имя пользователя
(юзернейм) и публичная фотография. На основе этих данных авторизованный
сайт может создать свою сессию.
Сайт также получает временну́ю метку, которая соответствует переданным
данным, и может не использовать информацию, которую посчитает
устаревшей.
После авторизации пользователь получает уведомление в чате Telegram
Notifications, детали авторизации появляются в разделе
"Конфиденциальность" > "Подключенные сайты". Пользователь может отозвать
доступ как из этого раздела, так и через сообщение в чате Telegram
Notifications. Это действие не разлогинивает пользователя на том сайте,
где он уже авторизован, но для последующих авторизаций Telegram снова
запросит разрешение на передачу данных.
Передача информации от пользователя через авторизацию в виджете строго
ограничена. Вся передаваемая информация перечислена на нашем сайте:
https://core.telegram.org/widgets/login#receiving-authorization-data.
Авторизация через Login Widget никогда не предоставляет доступ к
сообщениям или учетным записям авторизовавшихся пользователей.
“Настройки звонков и секретных чатов”
Говоря о доступе виджетов к секретным чатам и звонкам, вновь отметим,
что авторизация через Telegram Widgets не предоставляет доступ к
сообщениям и учетным записям пользователей, включая секретные чаты и
звонки.
В вашей статье описана визуальная недоработка официального приложения на
Android, из-за которой для отображения сессий Telegram Widget
использовался такой же интерфейс, что и для обычных сессий, в том числе
включающий не работающие настройки для принятия звонков и секретных
чатов. Из-за фундаментальных различий в принципе работы сессий виджетов,
которая описана выше, эти параметры для подобных сессий никогда не были
актуальны. Эта интерфейсная ошибка была исправлена 19 апреля.
3. Авторизация в веб-версии (web.telegram.org):
Авторизация в веб-версии создаёт обычную сессию в Telegram. При
определенных условиях, если пользователь уже авторизован в мобильном
клиенте, авторизация в веб-версии на том же устройстве может происходить
моментально. Как и все сессии в Telegram, такая сессия отображается в
настройках приложения.
Перехват токена авторизации от новой сессии в веб-версии при этом
невозможен без доступа к устройству или браузеру жертвы. В случае
наличия такого доступа, злоумышленник уже имеет контроль над
приложениями или аккаунтами на сайтах пользователя (кража токена
авторизации в этом случае была бы избыточной). Описанное Вами поведение
представляет собой полностью компрометирующий сценарий для всех
приложений и сайтов на устройстве жертвы, но никак не уязвимость в
веб-версии Telegram.
авторизовывает пользователя в клиенте Telegram. Она никогда не
предоставляет доступ к чатам пользователя и не позволяет управлять его
аккаунтом.
Вместо этого, после авторизации через виджет в списке авторизованных
устройств в настройках аккаунта создается ограниченная сессия,
отображающаяся как Telegram Widgets. Сессию можно завершить в настройках
приложения таким же образом, как и обычную. Завершение сессии разлогинит
пользователя из всех виджетов Telegram на этом устройстве.
Сессию также можно завершить кнопкой в служебном чате Telegram
Notifications – при создании новой сессии в виджете туда приходит
специальное уведомление.
Токен авторизации действует ограниченное время и автоматически истекает.
Каких-либо изменений в механиках работы виджетов не производилось.
С примером виджета можно ознакомиться на нашем сайте:
https://core.telegram.org/widgets/discussion.
2.2 Авторизация с помощью Login Widget:
На одном и том же устройстве для всех Telegram Widgets используется одна
сессия. Новые авторизации через Login Widget на разных сайтах не создают
дополнительных сессий.
Если пользователь подтверждает авторизацию, сайту передается следующая
публичная информация: имя, фамилия, публичное имя пользователя
(юзернейм) и публичная фотография. На основе этих данных авторизованный
сайт может создать свою сессию.
Сайт также получает временну́ю метку, которая соответствует переданным
данным, и может не использовать информацию, которую посчитает
устаревшей.
После авторизации пользователь получает уведомление в чате Telegram
Notifications, детали авторизации появляются в разделе
"Конфиденциальность" > "Подключенные сайты". Пользователь может отозвать
доступ как из этого раздела, так и через сообщение в чате Telegram
Notifications. Это действие не разлогинивает пользователя на том сайте,
где он уже авторизован, но для последующих авторизаций Telegram снова
запросит разрешение на передачу данных.
Передача информации от пользователя через авторизацию в виджете строго
ограничена. Вся передаваемая информация перечислена на нашем сайте:
https://core.telegram.org/widgets/login#receiving-authorization-data.
Авторизация через Login Widget никогда не предоставляет доступ к
сообщениям или учетным записям авторизовавшихся пользователей.
“Настройки звонков и секретных чатов”
Говоря о доступе виджетов к секретным чатам и звонкам, вновь отметим,
что авторизация через Telegram Widgets не предоставляет доступ к
сообщениям и учетным записям пользователей, включая секретные чаты и
звонки.
В вашей статье описана визуальная недоработка официального приложения на
Android, из-за которой для отображения сессий Telegram Widget
использовался такой же интерфейс, что и для обычных сессий, в том числе
включающий не работающие настройки для принятия звонков и секретных
чатов. Из-за фундаментальных различий в принципе работы сессий виджетов,
которая описана выше, эти параметры для подобных сессий никогда не были
актуальны. Эта интерфейсная ошибка была исправлена 19 апреля.
3. Авторизация в веб-версии (web.telegram.org):
Авторизация в веб-версии создаёт обычную сессию в Telegram. При
определенных условиях, если пользователь уже авторизован в мобильном
клиенте, авторизация в веб-версии на том же устройстве может происходить
моментально. Как и все сессии в Telegram, такая сессия отображается в
настройках приложения.
Перехват токена авторизации от новой сессии в веб-версии при этом
невозможен без доступа к устройству или браузеру жертвы. В случае
наличия такого доступа, злоумышленник уже имеет контроль над
приложениями или аккаунтами на сайтах пользователя (кража токена
авторизации в этом случае была бы избыточной). Описанное Вами поведение
представляет собой полностью компрометирующий сценарий для всех
приложений и сайтов на устройстве жертвы, но никак не уязвимость в
веб-версии Telegram.
20.04.202509:07
Христос воскрес!🥰
Reposted from:
Denis Sexy IT 🤖
16.04.202513:00
У OpenAI вышел классный гайд для бизнеса, на тему того как внедрять GenAI в бизнесс процессы:
https://openai.com/business/guides-and-resources/
Внутри 3 части:
– АИ на предприятии: Опыт семи передовых компаний
– Практическое руководство по созданию агентов ИИ: Что агенты АИ могут сделать для ваших сотрудников?
– Определение и масштабирование сценариев применения АИ: На чём концентрируются компании, первыми внедрившие АИ
Я полистал и там внутри много вещей на которых лично я набивал шишки в практике с GenAI, очень рекомендую корпоративным менеджерам
https://openai.com/business/guides-and-resources/
Внутри 3 части:
– АИ на предприятии: Опыт семи передовых компаний
– Практическое руководство по созданию агентов ИИ: Что агенты АИ могут сделать для ваших сотрудников?
– Определение и масштабирование сценариев применения АИ: На чём концентрируются компании, первыми внедрившие АИ
Я полистал и там внутри много вещей на которых лично я набивал шишки в практике с GenAI, очень рекомендую корпоративным менеджерам
14.04.202511:49
Или лучше так?:
Python теперь нативно в CUDA — и это меняет правила игры
На GTC 2025 NVIDIA представила то, чего ждали многие: полноценную поддержку Python в CUDA. Теперь можно писать высокопроизводительный GPU-код на чистом Python — без погружения в C++.
> «Это не просто обёртка над C. Всё должно ощущаться как нативный Python», — говорит Стивен Джонс, архитектор CUDA.
Что это даёт:
cuPyNumeric — альтернатива NumPy, которая работает на GPU.
JIT-компиляция и минимальные зависимости в новом CUDA Core.
Инструменты анализа и ускоренные библиотеки C++ — прямо из Python.
CuTile — новый подход к параллелизму: управляешь массивами, а не потоками.
Для ML и DS-разработчиков это буквально открывает дверь к «железу» — легко, быстро и без лишнего порога входа. В 2023 году с CUDA работали 4 млн человек. Теперь их может стать в разы больше.
Пока CuTile только для Python, но Rust, Julia и C++ — на подходе.
Если вы пишете на Python — теперь можно в полную силу использовать GPU. Уже пробовали? Поделитесь впечатлениями!
#Python #CUDA #NVIDIA #AI #ML #DataScience
---
[English]
Python Goes Native in CUDA — and That Changes Everything
At GTC 2025, NVIDIA announced what many developers have long hoped for: native Python support in CUDA. Now, you can write GPU-accelerated code directly in Python — no C++ required.
> “This isn’t a syntax wrapper. It’s designed to feel like real Python,” — said CUDA architect Stephen Jones.
What’s in the package:
cuPyNumeric — a NumPy-like library that runs on GPU.
JIT compilation and minimal dependencies in the redesigned CUDA Core.
Profiling tools and access to optimized C++ libraries — straight from Python.
CuTile — a fresh parallelism model that works with arrays, not threads.
For ML and DS engineers, this is a game-changer. In 2023, 4 million people used CUDA. That number could soon skyrocket.
CuTile is Python-first, but support for Rust, Julia, and even C++ is in the works.
If you’re a Python dev — you can now unlock the full power of GPUs. Have you tried it yet? Drop your thoughts below!
#Python #CUDA #NVIDIA #AI #MachineLearning #DeepLearning
Python теперь нативно в CUDA — и это меняет правила игры
На GTC 2025 NVIDIA представила то, чего ждали многие: полноценную поддержку Python в CUDA. Теперь можно писать высокопроизводительный GPU-код на чистом Python — без погружения в C++.
> «Это не просто обёртка над C. Всё должно ощущаться как нативный Python», — говорит Стивен Джонс, архитектор CUDA.
Что это даёт:
cuPyNumeric — альтернатива NumPy, которая работает на GPU.
JIT-компиляция и минимальные зависимости в новом CUDA Core.
Инструменты анализа и ускоренные библиотеки C++ — прямо из Python.
CuTile — новый подход к параллелизму: управляешь массивами, а не потоками.
Для ML и DS-разработчиков это буквально открывает дверь к «железу» — легко, быстро и без лишнего порога входа. В 2023 году с CUDA работали 4 млн человек. Теперь их может стать в разы больше.
Пока CuTile только для Python, но Rust, Julia и C++ — на подходе.
Если вы пишете на Python — теперь можно в полную силу использовать GPU. Уже пробовали? Поделитесь впечатлениями!
#Python #CUDA #NVIDIA #AI #ML #DataScience
---
[English]
Python Goes Native in CUDA — and That Changes Everything
At GTC 2025, NVIDIA announced what many developers have long hoped for: native Python support in CUDA. Now, you can write GPU-accelerated code directly in Python — no C++ required.
> “This isn’t a syntax wrapper. It’s designed to feel like real Python,” — said CUDA architect Stephen Jones.
What’s in the package:
cuPyNumeric — a NumPy-like library that runs on GPU.
JIT compilation and minimal dependencies in the redesigned CUDA Core.
Profiling tools and access to optimized C++ libraries — straight from Python.
CuTile — a fresh parallelism model that works with arrays, not threads.
For ML and DS engineers, this is a game-changer. In 2023, 4 million people used CUDA. That number could soon skyrocket.
CuTile is Python-first, but support for Rust, Julia, and even C++ is in the works.
If you’re a Python dev — you can now unlock the full power of GPUs. Have you tried it yet? Drop your thoughts below!
#Python #CUDA #NVIDIA #AI #MachineLearning #DeepLearning
24.04.202510:14
Ещё чуть чуть и мы будем смотреть то что нам по "вайбу", а не искать и выбирать что-то из того что предзаписаного... Думаю станет такой же диковинкой, порядка как сегодня молодёж использует кассетные плееры)
И два поводу отпраздновать🥳
Я употребил слово "молодёж" в первый раз 😏
И канал набрал 201 подписчика🥇
И два поводу отпраздновать🥳
Я употребил слово "молодёж" в первый раз 😏
И канал набрал 201 подписчика🥇
23.04.202519:04
Your document describes an Android-specific visual glitch due to which
the widget session details screen on Android was showing the same
interface as regular client sessions – including settings for “accepting
calls” and “accepting secret chats”. These settings have never worked
for the widget session because of its completely different nature, which
is described above. This visual glitch has been corrected as of
Saturday, April 19th.
3. Telegram Web Authorization (web.telegram.org):
This is a regular Telegram session. A seamless transition may happen
under certain conditions inside a mobile browser. This session is
visible and managed under Settings > Devices.
Intercepting a token from a new Telegram Web session would require
access to the victim’s device or browser. At that point, the attacker
would already control the environment and would have access to user data
across all apps or websites (without the need to steal session tokens).
This would constitute a full compromise scenario for all apps on the
device or all websites in the browser, not a vulnerability in Telegram
Web.
Furthermore, contrary to what you describe in your document, logging
into a Telegram Web session, regardless of the method used, always
generates a prominent notification at the top of the user’s chat list:
“Someone just got access to your messages!” – with options to terminate
the new session immediately. Additionally, this generates a notification
in the user's system notifications chat on Telegram.
For maximum clarity, web sessions are completely unrelated to Login and
Discussion Widgets, the login token from a widget cannot be used to
access a Telegram Web session.
Each of these separate authentication flows are working properly and
none of them constitute a vulnerability. As you can see, the reasoning
in your article has fundamental issues due the misunderstandings
described above. There is no way to silently create a session that would
allow a user's messages or account to be accessed. There is no way to
intercept a Telegram Web token without first compromising the device or
browser, which would be a game-over scenario against which no app or
website can protect.
Thank you again for looking into how Telegram works and reaching out
with your ideas.
Best,
The Telegram Team
=====
Спасибо за ваше обращение. Наша команда тщательно изучила ваше
исследование. К сожалению, из-за неправильной интерпретации того, как
различные типы независимых авторизаций работают в Telegram, в нем
приведены неверные заключения.
Ваше предположение относительно “общего токена”, который используется во
всех видах авторизации, некорректно: в веб-версии невозможно
авторизоваться, используя токен Login Widget. Также невозможно
перехватить токен авторизации веб-версии – это потребовало бы прямой
доступ к устройству или браузеру пользователя.
Наконец, все сессии, которые дают доступ к чатам и аккаунту пользователя
(например, сессия в веб-версии), отображаются в списке сессий в
Настройках > раздел Устройства, а при появлении такой сессии
пользователю показывается уведомление вверху списка чатов. Эти
уведомления отправляются на все устройства, где авторизован
пользователь, и не могут быть скрыты удаленно.
В описанных процессах нет уязвимостей и каждый из них работает
корректно. Для максимальной ясности мы подробнее расскажем о различных
типах авторизации и том, как они работают.
1. Авторизация на платформах Telegram (например, платформа переводов
https://translations.telegram.org и публичный баг-треккер
https://bugs.telegram.org/):
Авторизация этого типа не дает доступа к аккаунту пользователя в
Telegram. Клиенты Telegram не хранят информацию о таких авторизациях, а
пользователи могут сбросить авторизацию непосредственно на той
платформе, где авторизовались.
Авторизация на платформах Telegram никогда не предоставляет доступ к
сообщениям или учетным записям авторизовавшихся пользователей.
2. Виджеты
2.1 Общее поведение виджетов (например, Discussion Widget):
При авторизации через любой виджет в Telegram создается сессия со строго
ограниченными правами.
the widget session details screen on Android was showing the same
interface as regular client sessions – including settings for “accepting
calls” and “accepting secret chats”. These settings have never worked
for the widget session because of its completely different nature, which
is described above. This visual glitch has been corrected as of
Saturday, April 19th.
3. Telegram Web Authorization (web.telegram.org):
This is a regular Telegram session. A seamless transition may happen
under certain conditions inside a mobile browser. This session is
visible and managed under Settings > Devices.
Intercepting a token from a new Telegram Web session would require
access to the victim’s device or browser. At that point, the attacker
would already control the environment and would have access to user data
across all apps or websites (without the need to steal session tokens).
This would constitute a full compromise scenario for all apps on the
device or all websites in the browser, not a vulnerability in Telegram
Web.
Furthermore, contrary to what you describe in your document, logging
into a Telegram Web session, regardless of the method used, always
generates a prominent notification at the top of the user’s chat list:
“Someone just got access to your messages!” – with options to terminate
the new session immediately. Additionally, this generates a notification
in the user's system notifications chat on Telegram.
For maximum clarity, web sessions are completely unrelated to Login and
Discussion Widgets, the login token from a widget cannot be used to
access a Telegram Web session.
Each of these separate authentication flows are working properly and
none of them constitute a vulnerability. As you can see, the reasoning
in your article has fundamental issues due the misunderstandings
described above. There is no way to silently create a session that would
allow a user's messages or account to be accessed. There is no way to
intercept a Telegram Web token without first compromising the device or
browser, which would be a game-over scenario against which no app or
website can protect.
Thank you again for looking into how Telegram works and reaching out
with your ideas.
Best,
The Telegram Team
=====
Спасибо за ваше обращение. Наша команда тщательно изучила ваше
исследование. К сожалению, из-за неправильной интерпретации того, как
различные типы независимых авторизаций работают в Telegram, в нем
приведены неверные заключения.
Ваше предположение относительно “общего токена”, который используется во
всех видах авторизации, некорректно: в веб-версии невозможно
авторизоваться, используя токен Login Widget. Также невозможно
перехватить токен авторизации веб-версии – это потребовало бы прямой
доступ к устройству или браузеру пользователя.
Наконец, все сессии, которые дают доступ к чатам и аккаунту пользователя
(например, сессия в веб-версии), отображаются в списке сессий в
Настройках > раздел Устройства, а при появлении такой сессии
пользователю показывается уведомление вверху списка чатов. Эти
уведомления отправляются на все устройства, где авторизован
пользователь, и не могут быть скрыты удаленно.
В описанных процессах нет уязвимостей и каждый из них работает
корректно. Для максимальной ясности мы подробнее расскажем о различных
типах авторизации и том, как они работают.
1. Авторизация на платформах Telegram (например, платформа переводов
https://translations.telegram.org и публичный баг-треккер
https://bugs.telegram.org/):
Авторизация этого типа не дает доступа к аккаунту пользователя в
Telegram. Клиенты Telegram не хранят информацию о таких авторизациях, а
пользователи могут сбросить авторизацию непосредственно на той
платформе, где авторизовались.
Авторизация на платформах Telegram никогда не предоставляет доступ к
сообщениям или учетным записям авторизовавшихся пользователей.
2. Виджеты
2.1 Общее поведение виджетов (например, Discussion Widget):
При авторизации через любой виджет в Telegram создается сессия со строго
ограниченными правами.
16.04.202510:00
🥇золото уже 3300 долларов за унцию
23.04.202519:49
Телеграм прислали очень большой и развернутый ответ. Комментирую его сразу, т.к. в прошлый раз хотели удаление статьи:
Некоторые нестыковки в тексте который передан в телеграм вероятно есть. Хочу отметить что и "отсутствием проблем и фундаментальным непониманием" я это назвать не могу.
Декларируется странное поведени. (Виджет изменил свое поведение и теперь при создании сессии не является привелегированным)
Возможность авторизации без ввода Клауд пароля - есть
Связь виджета авторизации и токена авторизации... Может не так поняли, но окей. Со своей стороны я вроде даже видосик прикрепил (с демонстрацией именно проблемы инвалидизации) скинул им линк на исходник статьи тот же что и xakep.ru.
Заявление что токен один и генерируется только для web.telegram.org - хорошо, не доказано. Но вроде и не декларируется, хотя и отмечается странное его поведе поведение в части авторизации как раз без Клауд пароля.
Например уведомления о том что кто то вошел в аккаунт тг точно нет(только 1 раз, каждый вход же нет) и демонстрируется в видео так же. С моей точки зрения, это работает с проблемой. Каждая авторизация должна сообщать, но нет, это происходит 1 раз, далее при авторизации никаких более сообщений или реакции на смену ИП и переход в другой браузер. Это в статье есть и так и работает.
Если завершить сессию и иметь уже полученный токен — то можно его использовать для авторизации.
По моему мнению когда я завершаю сессию, она должна завершиться. Поведение же другое. проблема инвалидизации сессии присутствует. Так же присутствует на видео отправленное им и в xakep.ru
Само заявление "что все работает как надо" противоречит тому что есть в видео.
По моему мнению использование телеграм-браузера, особенно "по умолчанию" - это проблема.
Отправил ещё пояснения.
За сим мои полномочия всё.
Некоторые нестыковки в тексте который передан в телеграм вероятно есть. Хочу отметить что и "отсутствием проблем и фундаментальным непониманием" я это назвать не могу.
Декларируется странное поведени. (Виджет изменил свое поведение и теперь при создании сессии не является привелегированным)
Возможность авторизации без ввода Клауд пароля - есть
Связь виджета авторизации и токена авторизации... Может не так поняли, но окей. Со своей стороны я вроде даже видосик прикрепил (с демонстрацией именно проблемы инвалидизации) скинул им линк на исходник статьи тот же что и xakep.ru.
Заявление что токен один и генерируется только для web.telegram.org - хорошо, не доказано. Но вроде и не декларируется, хотя и отмечается странное его поведе поведение в части авторизации как раз без Клауд пароля.
Например уведомления о том что кто то вошел в аккаунт тг точно нет(только 1 раз, каждый вход же нет) и демонстрируется в видео так же. С моей точки зрения, это работает с проблемой. Каждая авторизация должна сообщать, но нет, это происходит 1 раз, далее при авторизации никаких более сообщений или реакции на смену ИП и переход в другой браузер. Это в статье есть и так и работает.
Если завершить сессию и иметь уже полученный токен — то можно его использовать для авторизации.
По моему мнению когда я завершаю сессию, она должна завершиться. Поведение же другое. проблема инвалидизации сессии присутствует. Так же присутствует на видео отправленное им и в xakep.ru
Само заявление "что все работает как надо" противоречит тому что есть в видео.
По моему мнению использование телеграм-браузера, особенно "по умолчанию" - это проблема.
Отправил ещё пояснения.
За сим мои полномочия всё.
23.04.202519:04
Пришел ответ от телеграм:
Thank you for reaching out. Our team has thoroughly studied your report.
Unfortunately, it comes to the wrong conclusions due to a
misunderstanding of the several different types of authorization used on
Telegram, each of which functions independently.
Your assumption regarding a “shared token” used across all these
authorizations is incorrect: it is not possible to log in to Telegram
Web using a token from the Login Widget. It is also not possible to
intercept a login token for Telegram Web — this would require direct
access to a user's browser or device.
Lastly, all sessions that can access the user’s account and chats (such
as Telegram Web sessions), have always appeared as separate sessions in
Settings > Devices — and have always generated prominent notifications
at the top of the chat list.
There is no vulnerability and everything is working exactly as intended.
For maximum clarity, please find additional details on the various
possible types of authorization and how they work below:
1. Authorization on Telegram platforms (e.g., translations,
https://bugs.telegram.org/):
This has no relation to Telegram account access. Telegram clients do not
store any information about such authorizations. Authorization can only
be revoked on the website where it occurred.
Telegram platform authorization never gives any access to your messages
or your account.
2. Widgets
2.1 General Widget Behavior:
When logging in via any Telegram widget, a limited web session is
created. This session enables certain actions such as posting comments
or voting in polls directly from the widget.
Widget authorization does not create a full MTProto session, and does
not authorize the user in a Telegram client. It has never given any
access to your messages or your account.
Instead, widget authorization has always created a limited session that
appears in the Devices list under the name Telegram Widgets. It can be
terminated like any regular session. Doing so will log the user out of
all Telegram widgets on the session's device.
Additionally, when such a widget session is created, a notification is
sent to the Telegram Notifications chat. That message also includes a
button that allows the user to terminate the session right there or via
Settings > Devices.
The session token expires after a certain period of time. There have
been no recent changes to how this works.
Widget example: https://core.telegram.org/widgets/discussion.
2.2. Login Widget Details
The Telegram Widgets session is created once per device. New logins to
different websites via the Login Widget do not create new widget
sessions.
After the user confirms sharing their basic profile data (name,
username, and profile photo – which are all public), this information is
transferred to the website, which may then create and manage its own
session based on that data. The website also receives the timestamp of
this data and can choose not to use outdated information for
authorization.
After data is shared, the user receives a notification in Telegram
Notifications, and a record appears in Settings > Privacy and Security >
Connected Websites.
The user can disconnect access either from this section in Settings or
via the notification message itself. If disconnected, any future login
will again require user confirmation before any data is shared. However,
this action does not log the user out of the website.
Thus, the information shared by the user during widget authorization is
strictly limited
(https://core.telegram.org/widgets/login#receiving-authorization-data).
Login Widget authorization has never given any access to the user’s
messages or account.
Re: “Widget access to secret chats and calls”.
Note again that widget authorization has never provided access to the
user’s account or any of their chats, including secret chats and calls.
Thank you for reaching out. Our team has thoroughly studied your report.
Unfortunately, it comes to the wrong conclusions due to a
misunderstanding of the several different types of authorization used on
Telegram, each of which functions independently.
Your assumption regarding a “shared token” used across all these
authorizations is incorrect: it is not possible to log in to Telegram
Web using a token from the Login Widget. It is also not possible to
intercept a login token for Telegram Web — this would require direct
access to a user's browser or device.
Lastly, all sessions that can access the user’s account and chats (such
as Telegram Web sessions), have always appeared as separate sessions in
Settings > Devices — and have always generated prominent notifications
at the top of the chat list.
There is no vulnerability and everything is working exactly as intended.
For maximum clarity, please find additional details on the various
possible types of authorization and how they work below:
1. Authorization on Telegram platforms (e.g., translations,
https://bugs.telegram.org/):
This has no relation to Telegram account access. Telegram clients do not
store any information about such authorizations. Authorization can only
be revoked on the website where it occurred.
Telegram platform authorization never gives any access to your messages
or your account.
2. Widgets
2.1 General Widget Behavior:
When logging in via any Telegram widget, a limited web session is
created. This session enables certain actions such as posting comments
or voting in polls directly from the widget.
Widget authorization does not create a full MTProto session, and does
not authorize the user in a Telegram client. It has never given any
access to your messages or your account.
Instead, widget authorization has always created a limited session that
appears in the Devices list under the name Telegram Widgets. It can be
terminated like any regular session. Doing so will log the user out of
all Telegram widgets on the session's device.
Additionally, when such a widget session is created, a notification is
sent to the Telegram Notifications chat. That message also includes a
button that allows the user to terminate the session right there or via
Settings > Devices.
The session token expires after a certain period of time. There have
been no recent changes to how this works.
Widget example: https://core.telegram.org/widgets/discussion.
2.2. Login Widget Details
The Telegram Widgets session is created once per device. New logins to
different websites via the Login Widget do not create new widget
sessions.
After the user confirms sharing their basic profile data (name,
username, and profile photo – which are all public), this information is
transferred to the website, which may then create and manage its own
session based on that data. The website also receives the timestamp of
this data and can choose not to use outdated information for
authorization.
After data is shared, the user receives a notification in Telegram
Notifications, and a record appears in Settings > Privacy and Security >
Connected Websites.
The user can disconnect access either from this section in Settings or
via the notification message itself. If disconnected, any future login
will again require user confirmation before any data is shared. However,
this action does not log the user out of the website.
Thus, the information shared by the user during widget authorization is
strictly limited
(https://core.telegram.org/widgets/login#receiving-authorization-data).
Login Widget authorization has never given any access to the user’s
messages or account.
Re: “Widget access to secret chats and calls”.
Note again that widget authorization has never provided access to the
user’s account or any of their chats, including secret chats and calls.
19.04.202514:40
Как просмотреть историю браузера в ТГ(она отдельная от твоего браузера):
Открыть браузер(перейдя например по ссылке внутри самого ТГ) -- нажать кнопку бургер(справа вверху) -- "история" и узнать много нового о себе😁
Можно нажать "настройки" и очистить всю историю или выключить вовсе встроенный браузер.
Открыть браузер(перейдя например по ссылке внутри самого ТГ) -- нажать кнопку бургер(справа вверху) -- "история" и узнать много нового о себе😁
Можно нажать "настройки" и очистить всю историю или выключить вовсе встроенный браузер.
14.04.202522:14
Основные термины в мире LLM:
LLM (Large Language Model / Большая Языковая Модель):
Простыми словами: Это очень большая и сложная компьютерная программа (нейросеть), которую научили понимать и генерировать человеческий текст на основе гигантского количества прочитанных ею книг, статей, сайтов и т.д.
Аналогия: Представьте себе невероятно умного попугая, который просмотрел всю библиотеку человечества и теперь может не просто повторять, а продолжать фразы, отвечать на вопросы или писать тексты в заданном стиле. Изначально необученная нейросеть выдаёт белый шум.
Пример: ChatGPT, Llama 3, Mixtral, Qwen – всё это LLM.
Веса/параметры (Parameters):
Простыми словами: Это сами "обученные нейрончики", их значения внутри нейросети (LLM). Их миллионы и миллиарды. В процессе обучения модели эти параметры подстраиваются так, чтобы модель лучше выполняла свои задачи. Чем больше параметров, тем потенциально модель умнее и способнее к сложным задачам, но как результат и тем она "тяжелее" (требует больше ресурсов).
Аналогия: векторная графика, где можно нарисовать синий круг и это будет всего 3 байта (круг+синий+размер). Больше объектов (параметров) – потенциально более детализированная картинка (и умная модель), но и файл (модель) занимает больше места т.к. описывает значительно большее количество объектов и их связей.
Пример: Llama 3 8B (8 миллиардов параметров), Llama 3 70B (70 миллиардов параметров). 70B модель значительно "тяжелее" 8B.
Параметры (parameters) в контексте нейронных сетей и LLM — это совокупность всех обучаемых (learnable) значений в модели. В подавляющем большинстве случаев это включает в себя:
Веса (Weights): Это числовые значения, которые определяют силу связи между нейронами в разных слоях сети. Это основная часть параметров в любой глубокой нейронной сети, включая LLM. Именно веса умножаются на входные данные или активации предыдущего слоя.
Смещения (Biases): Это дополнительные числовые значения, которые добавляются к результату взвешенной суммы в нейроне (перед применением функции активации). Они помогают модели лучше аппроксимировать данные, позволяя сдвигать функцию активации.
Ключевой момент: И веса, и смещения подбираются (обучаются) в процессе тренировки модели на данных.
Поэтому, хотя технически "параметры" включают и веса, и смещения, можно сказать, что:
Веса составляют абсолютное большинство параметров (часто >99% в больших моделях).
Когда говорят о "миллиардах параметров" LLM, в основном имеют в виду именно веса.
Так что да, для упрощенного понимания можно считать, что "параметры" — это в первую очередь "веса", просто помня, что технически туда входят еще и смещения. Это те самые числа, которые хранятся в файле модели и загружаются для работы.
Квантизация (Quantization):
Простыми словами: Это процесс "сжатия" модели LLM для уменьшения её размера и требований к памяти. Это достигается за счет снижения точности чисел, которыми представлены её параметры.
Аналогия: все мы используем(даже если не знаем об этом) бесконечное число π = 3.1415926535... Для многих даже космических расчетов достаточно использовать 3.14592. Мы потеряли в точности, но запись стала занимать весьма понятное количество памяти, да и оперировать с ним стало возможно с достаточной для определенных задач точностью. Квантизация делает то же самое с миллиардами параметров модели.
Пример:
Исходная модель может использовать формат FP16 (16 бит на параметр, высокая точность, большой размер).
Квантизованная модель может использовать Q4_K_M (в среднем 4 бита на параметр, точность ниже, размер значительно меньше). Модель Llama 3 70B в FP16 весит ~140 ГБ, а в Q4_K_M - около 40 ГБ! Это позволяет запустить её на более простых компьютерах.
Важно: Небольшая потеря точности часто почти незаметна для качества ответов, но выигрыш в размере и скорости (если, например, влезает в VRAM) огромен.
GGUF (ранее GGML):
Простыми словами: Это популярный формат файла, в котором хранятся квантизованные (сжатые) модели. Этот формат разработан специально для эффективной работы LLM на обычном железе (CPU + GPU) с помощью библиотеки llama.cpp.
LLM (Large Language Model / Большая Языковая Модель):
Простыми словами: Это очень большая и сложная компьютерная программа (нейросеть), которую научили понимать и генерировать человеческий текст на основе гигантского количества прочитанных ею книг, статей, сайтов и т.д.
Аналогия: Представьте себе невероятно умного попугая, который просмотрел всю библиотеку человечества и теперь может не просто повторять, а продолжать фразы, отвечать на вопросы или писать тексты в заданном стиле. Изначально необученная нейросеть выдаёт белый шум.
Пример: ChatGPT, Llama 3, Mixtral, Qwen – всё это LLM.
Веса/параметры (Parameters):
Простыми словами: Это сами "обученные нейрончики", их значения внутри нейросети (LLM). Их миллионы и миллиарды. В процессе обучения модели эти параметры подстраиваются так, чтобы модель лучше выполняла свои задачи. Чем больше параметров, тем потенциально модель умнее и способнее к сложным задачам, но как результат и тем она "тяжелее" (требует больше ресурсов).
Аналогия: векторная графика, где можно нарисовать синий круг и это будет всего 3 байта (круг+синий+размер). Больше объектов (параметров) – потенциально более детализированная картинка (и умная модель), но и файл (модель) занимает больше места т.к. описывает значительно большее количество объектов и их связей.
Пример: Llama 3 8B (8 миллиардов параметров), Llama 3 70B (70 миллиардов параметров). 70B модель значительно "тяжелее" 8B.
Параметры (parameters) в контексте нейронных сетей и LLM — это совокупность всех обучаемых (learnable) значений в модели. В подавляющем большинстве случаев это включает в себя:
Веса (Weights): Это числовые значения, которые определяют силу связи между нейронами в разных слоях сети. Это основная часть параметров в любой глубокой нейронной сети, включая LLM. Именно веса умножаются на входные данные или активации предыдущего слоя.
Смещения (Biases): Это дополнительные числовые значения, которые добавляются к результату взвешенной суммы в нейроне (перед применением функции активации). Они помогают модели лучше аппроксимировать данные, позволяя сдвигать функцию активации.
Ключевой момент: И веса, и смещения подбираются (обучаются) в процессе тренировки модели на данных.
Поэтому, хотя технически "параметры" включают и веса, и смещения, можно сказать, что:
Веса составляют абсолютное большинство параметров (часто >99% в больших моделях).
Когда говорят о "миллиардах параметров" LLM, в основном имеют в виду именно веса.
Так что да, для упрощенного понимания можно считать, что "параметры" — это в первую очередь "веса", просто помня, что технически туда входят еще и смещения. Это те самые числа, которые хранятся в файле модели и загружаются для работы.
Квантизация (Quantization):
Простыми словами: Это процесс "сжатия" модели LLM для уменьшения её размера и требований к памяти. Это достигается за счет снижения точности чисел, которыми представлены её параметры.
Аналогия: все мы используем(даже если не знаем об этом) бесконечное число π = 3.1415926535... Для многих даже космических расчетов достаточно использовать 3.14592. Мы потеряли в точности, но запись стала занимать весьма понятное количество памяти, да и оперировать с ним стало возможно с достаточной для определенных задач точностью. Квантизация делает то же самое с миллиардами параметров модели.
Пример:
Исходная модель может использовать формат FP16 (16 бит на параметр, высокая точность, большой размер).
Квантизованная модель может использовать Q4_K_M (в среднем 4 бита на параметр, точность ниже, размер значительно меньше). Модель Llama 3 70B в FP16 весит ~140 ГБ, а в Q4_K_M - около 40 ГБ! Это позволяет запустить её на более простых компьютерах.
Важно: Небольшая потеря точности часто почти незаметна для качества ответов, но выигрыш в размере и скорости (если, например, влезает в VRAM) огромен.
GGUF (ранее GGML):
Простыми словами: Это популярный формат файла, в котором хранятся квантизованные (сжатые) модели. Этот формат разработан специально для эффективной работы LLM на обычном железе (CPU + GPU) с помощью библиотеки llama.cpp.
23.04.202519:04
Кроме этого, вопреки описанному в Вашем документе, при авторизации в
веб-версии любым способом новая сессия всегда генерирует отчетливо
видное уведомление вверху списка чатов: “Кто-то получил доступ к Вашим
чатам!”. Внизу этого уведомления есть кнопка немедленного завершения
сессии. Кроме того, в служебном чате Telegram Notifications также
появляется уведомление о новой сессии.
Во избежание сомнений, отметим: авторизация в веб-версии не имеет
абсолютно никакого отношения к авторизации в виджетах, а авторизационный
токен из виджета не может быть использован для авторизации в веб-версии.
Каждый из описанных типов авторизации работает корректно, и в них не
обнаружено каких-либо уязвимостей. Как вы можете видеть, в аргументации
вашей статьи имеются фундаментальные проблемы, обусловленные описанными
выше недопониманиями. В Telegram нет каких-либо способов незаметно
создать сессию, которая позволила бы получить доступ к сообщениям
пользователя или его аккаунту. В Telegram нет способа перехватить
авторизационный токен веб-версии без компрометации устройства или
браузера, от чего не может защититься ни одно приложение или сайт.
Ещё раз благодарим вас за интерес к работе Telegram и за то, что
поделились своими идеями.
Всего наилучшего,
Команда Telegram
веб-версии любым способом новая сессия всегда генерирует отчетливо
видное уведомление вверху списка чатов: “Кто-то получил доступ к Вашим
чатам!”. Внизу этого уведомления есть кнопка немедленного завершения
сессии. Кроме того, в служебном чате Telegram Notifications также
появляется уведомление о новой сессии.
Во избежание сомнений, отметим: авторизация в веб-версии не имеет
абсолютно никакого отношения к авторизации в виджетах, а авторизационный
токен из виджета не может быть использован для авторизации в веб-версии.
Каждый из описанных типов авторизации работает корректно, и в них не
обнаружено каких-либо уязвимостей. Как вы можете видеть, в аргументации
вашей статьи имеются фундаментальные проблемы, обусловленные описанными
выше недопониманиями. В Telegram нет каких-либо способов незаметно
создать сессию, которая позволила бы получить доступ к сообщениям
пользователя или его аккаунту. В Telegram нет способа перехватить
авторизационный токен веб-версии без компрометации устройства или
браузера, от чего не может защититься ни одно приложение или сайт.
Ещё раз благодарим вас за интерес к работе Telegram и за то, что
поделились своими идеями.
Всего наилучшего,
Команда Telegram
Reposted from:
Хакер — Xakep.RU
22.04.202516:12
«Пасхалка» в Telegram. Как я нашел способ авторизоваться без клауд-пароля и уведомлений #статьи #подписчикам
Разработчики Telegram не сидят без дела: в мессенджере с каждым годом все больше функций. Но некоторые из них, если перефразировать «Собачье сердце», могут превратиться «из классной фичи в мерзкий баг». Этот материал — о любопытной уязвимости, с которой я столкнулся, расследуя, как украли 200 миллионов рублей в крипте зимой 2025 года.
https://xakep.ru/2025/04/22/telegram-widget-bug/
Разработчики Telegram не сидят без дела: в мессенджере с каждым годом все больше функций. Но некоторые из них, если перефразировать «Собачье сердце», могут превратиться «из классной фичи в мерзкий баг». Этот материал — о любопытной уязвимости, с которой я столкнулся, расследуя, как украли 200 миллионов рублей в крипте зимой 2025 года.
https://xakep.ru/2025/04/22/telegram-widget-bug/
17.04.202513:57
Huawei презентовала серверную ИИ-систему CloudMatrix.
Huawei представила новую стоечную систему AI CloudMatrix 384, которая должна конкурировать с GB200 NVL72 от Nvidia. Хотя CloudMatrix 384 менее энергоэффективна, а ее производительность в 2,6 раза ниже в показателе FLOP на ватт, это не считается ограничивающим фактором в Китае, поскольку страна располагает достаточными энергетическими ресурсами.
Система использует ускоритель Huawei Ascend 910C AI и позиционируется как мощное внутреннее решение в китайском технологическом ландшафте. Появление CloudMatrix 384 - результат продолжающейся технологической войны между США и Китаем.
scmp.com
Huawei представила новую стоечную систему AI CloudMatrix 384, которая должна конкурировать с GB200 NVL72 от Nvidia. Хотя CloudMatrix 384 менее энергоэффективна, а ее производительность в 2,6 раза ниже в показателе FLOP на ватт, это не считается ограничивающим фактором в Китае, поскольку страна располагает достаточными энергетическими ресурсами.
Система использует ускоритель Huawei Ascend 910C AI и позиционируется как мощное внутреннее решение в китайском технологическом ландшафте. Появление CloudMatrix 384 - результат продолжающейся технологической войны между США и Китаем.
scmp.com
14.04.202522:14
Аналогия: Как .zip или .rar являются форматами для сжатых архивов, так GGUF – это формат для сжатых LLM, оптимизированный для запуска на вашем ПК.
Пример: Вы скачиваете файл llama-3-70b-instruct.Q4_K_M.gguf – это квантизованная модель Llama 3 70B в формате GGUF.
Inference (Вывод / Генерация):
Простыми словами: Это процесс использования уже обученной LLM для получения ответа на ваш запрос (промпт). Когда вы задаете вопрос ChatGPT или локальной модели, происходит инференс.
Аналогия: Использование калькулятора для получения результата (2+2=4). Вы не создаете калькулятор, вы им пользуетесь.
Отличие от обучения: Обучение (Training) – это процесс создания модели с нуля или ее дообучение (Fine-tuning). Это требует огромных ресурсов и данных. Инференс требует гораздо меньше ресурсов (но все равно много VRAM для больших моделей).
Токены (Tokens):
Простыми словами: LLM обрабатывают текст не по буквам или целым словам, а по "кусочкам", которые называются токенами. Токен может быть словом, частью слова, символом.
Аналогия: Как слова состоят из букв, так текст для LLM состоит из токенов.
Пример: Фраза "Привет, мир!" может быть разбита примерно на токены: ["При", "вет", ",", " мир", "!"]. В среднем, 1 токен ~ 3/4 слова в английском, в русском может быть чуть меньше.
Важно: Размер контекстного окна и скорость генерации часто измеряются в токенах (например, "скорость 30 токенов/сек").
Контекстное окно (Context Window):
Простыми словами: Это максимальное количество токенов (из вашего запроса + истории диалога + ответа модели), которое модель может одновременно "держать в уме" при генерации ответа. Что то вроде контекста, но не совсем он.
Аналогия: Краткосрочная память человека во время разговора. Если разговор слишком длинный, начало забывается.
Пример: Модель с контекстным окном 4096 токенов может учитывать примерно 3000 слов из предыдущего диалога и вашего запроса. Если диалог превышает этот лимит, модель начнет "забывать" начало. Современные модели имеют окна 8K, 32K, 128K и даже миллион за бесплатно.
Пример: Вы скачиваете файл llama-3-70b-instruct.Q4_K_M.gguf – это квантизованная модель Llama 3 70B в формате GGUF.
Inference (Вывод / Генерация):
Простыми словами: Это процесс использования уже обученной LLM для получения ответа на ваш запрос (промпт). Когда вы задаете вопрос ChatGPT или локальной модели, происходит инференс.
Аналогия: Использование калькулятора для получения результата (2+2=4). Вы не создаете калькулятор, вы им пользуетесь.
Отличие от обучения: Обучение (Training) – это процесс создания модели с нуля или ее дообучение (Fine-tuning). Это требует огромных ресурсов и данных. Инференс требует гораздо меньше ресурсов (но все равно много VRAM для больших моделей).
Токены (Tokens):
Простыми словами: LLM обрабатывают текст не по буквам или целым словам, а по "кусочкам", которые называются токенами. Токен может быть словом, частью слова, символом.
Аналогия: Как слова состоят из букв, так текст для LLM состоит из токенов.
Пример: Фраза "Привет, мир!" может быть разбита примерно на токены: ["При", "вет", ",", " мир", "!"]. В среднем, 1 токен ~ 3/4 слова в английском, в русском может быть чуть меньше.
Важно: Размер контекстного окна и скорость генерации часто измеряются в токенах (например, "скорость 30 токенов/сек").
Контекстное окно (Context Window):
Простыми словами: Это максимальное количество токенов (из вашего запроса + истории диалога + ответа модели), которое модель может одновременно "держать в уме" при генерации ответа. Что то вроде контекста, но не совсем он.
Аналогия: Краткосрочная память человека во время разговора. Если разговор слишком длинный, начало забывается.
Пример: Модель с контекстным окном 4096 токенов может учитывать примерно 3000 слов из предыдущего диалога и вашего запроса. Если диалог превышает этот лимит, модель начнет "забывать" начало. Современные модели имеют окна 8K, 32K, 128K и даже миллион за бесплатно.
Shown 1 - 17 of 17
Log in to unlock more functionality.