青青青久草,四虎永久在线精品,二区免费视频,一级毛片在线直接观看,黄网在线免费观看,美女露全身永久免费网站,色婷婷六月桃花综合影院

原標(biāo)題：創(chuàng)始人自曝：30名工程師撐起9億用戶社交帝國(guó)！卻引安全專家怒斥：太不拿安全當(dāng)回事了

整理 | 屠敏

近段時(shí)間，全球知名的跨平臺(tái)即時(shí)通信軟件 Telegram（非正式簡(jiǎn)稱 TG、電報(bào)、紙飛機(jī)）被推向風(fēng)口浪尖，起因是其創(chuàng)始人 Pavel Durov 在采訪時(shí)透露，「整個(gè)公司只有 30 名工程師，沒(méi)有人力資源（HR） 部門，就連公司唯一的產(chǎn)品經(jīng)理，也是 Pavel Durov 本人擔(dān)任?！?/p>

本是簡(jiǎn)單一句介紹公司內(nèi)部分工的話語(yǔ)，卻讓他始料而未及的是，此話一出，外界的安全專家們著急了，紛紛指責(zé) Telegram，認(rèn)為他們僅部署這么一些人無(wú)疑是在刺激網(wǎng)絡(luò)攻擊者們，甚至直言：這是一個(gè)危險(xiǎn)的信號(hào)、簡(jiǎn)直是“安全噩夢(mèng)”。

全球第三大受歡迎的聊天軟件、用戶量超 9 億的 Telegram

之所以如此擔(dān)心，主要是因?yàn)?Telegram 名氣太大，用戶太多。

據(jù) SimilarWeb 發(fā)布的《2023 年全球最受歡迎的聊天應(yīng)用程序報(bào)告》顯示，Telegram 是繼 WhatsApp、Facebook Messenger 之后，排在全球第三的聊天應(yīng)用程序。

圖源:https://www.similarweb.com/blog/zh/research/market-research/worldwide-messaging-apps/

同時(shí)據(jù)《金融時(shí)報(bào)》報(bào)道，Telegram 于今年三月已實(shí)現(xiàn)數(shù)億美元營(yíng)收，并擁有超 9 億用戶。

對(duì)比之下，國(guó)內(nèi)于 2011 年推出的微信，如今在成為國(guó)民級(jí)應(yīng)用程序之際，據(jù)騰訊 2024 年第一季度的財(cái)務(wù)報(bào)告顯示，微信及 WeChat 的合并月活躍賬戶數(shù)量已接近 14 億。而 Telegram 自 2013 年推出以來(lái)發(fā)展到 9 億用戶量，可見其發(fā)展速度也并不慢。數(shù)據(jù)顯示，這款即時(shí)通訊應(yīng)用安裝量最多的國(guó)家分別是印度、印度尼西亞和俄羅斯。

正因此，支撐這么大體量的軟件，Pavel Durov 自曝內(nèi)部工程師數(shù)量，也讓人為內(nèi)部的防御能力以及安全性捏把汗。

不過(guò)，在 Pavel Durov 本人看來(lái)，他似乎并不擔(dān)心公司只雇傭了 30 名工程師，因?yàn)樗X(jué)得這是團(tuán)隊(duì)內(nèi)部“超級(jí)高效”的體現(xiàn)。從 Telegram 發(fā)展的過(guò)程中，也不難看出他一直有足夠的「技術(shù)」底氣。

“俄羅斯版的馬克·扎克伯格”

在外媒的報(bào)道中，大多數(shù)都會(huì)以「俄羅斯版的馬克·扎克伯格（Facebook 創(chuàng)始人）」來(lái)形容 Pavel Durov，因?yàn)樗元?dú)特的著裝風(fēng)格而聞名，他只穿“黑色”。

Pavel Durov（圖源：維基百科）

同樣，Pavel Durov 也是在讀大學(xué)期間，設(shè)計(jì)了一款受歡迎的論壇 spbgu.ru。后來(lái)，當(dāng)然也是看到了 Facebook 的日漸流行，萌生了創(chuàng)建一個(gè)俄羅斯社交網(wǎng)絡(luò)的想法，并將其付諸行動(dòng)，基于 spbgu.ru 擴(kuò)展，將新創(chuàng)建的項(xiàng)目命名為 VKontakte，簡(jiǎn)稱 VK，在俄語(yǔ)中有“保持聯(lián)系”的意思。

在創(chuàng)建過(guò)程中，VK 吸引了獲得國(guó)際數(shù)學(xué)和編程競(jìng)賽冠軍、也是 Pavel Durov 的哥哥 Nikolai Durov 的加入，擔(dān)任這家初創(chuàng)公司的 CTO。兩兄弟共同努力實(shí)現(xiàn)一個(gè)目標(biāo)，即為俄羅斯網(wǎng)絡(luò)打造一個(gè)更快、更好的 Facebook 版本。

很快，VK 擁有 Facebook 用戶所熟悉的所有功能，包括用戶資料、直接消息、發(fā)布內(nèi)容的空間，以及最重要的用戶個(gè)人信息展示。由于最初的大學(xué)論壇 spbgu.ru 只有收到其他用戶的邀請(qǐng)才能使用，但隨著 VK 迅速流行起來(lái)，該應(yīng)用取消了邀請(qǐng)要求，其用戶數(shù)量開始飆升。

不到一年的時(shí)間，VK 就擊敗了競(jìng)爭(zhēng)對(duì)手 Odnoklassniki，成為俄羅斯最受歡迎的社交網(wǎng)絡(luò)，用戶群達(dá)到 100 萬(wàn)。

然而，Pavel Durov 實(shí)現(xiàn)技術(shù)烏托邦夢(mèng)想的道路并不總是一帆風(fēng)順。到 2010 年，VK 的用戶已超過(guò)一億，其廣泛的影響力引起了俄羅斯政府的注意。

2011 年 12 月，一波抗議浪潮席卷全國(guó)，反對(duì)議會(huì)選舉結(jié)果。為了挽救局勢(shì)，聯(lián)邦安全局要求 VK 關(guān)閉使用該網(wǎng)站協(xié)調(diào)和集會(huì)抗議活動(dòng)的群組和頁(yè)面。Pavel Durov 在回應(yīng)了他們的要求時(shí)，發(fā)布了一張穿著連帽夾克的狗吐舌頭的照片。

最終，Pavel Durov 因?yàn)閳?jiān)持保證社交網(wǎng)絡(luò)信息的保密性原則，被迫將手頭剩余的 12% 股份賣給了俄羅斯網(wǎng)絡(luò)資訊供應(yīng)商 Mail.ru，辭去了 CEO 一職，離開了俄羅斯。

這次的離開，也造就了 Telegram 的崛起。

Telegram 的崛起

離開俄羅斯短短幾個(gè)月后，2013 年 8 月，Pavel Durov 靈機(jī)一動(dòng)，推出了加密聊天服務(wù) Telegram。

據(jù)報(bào)道，Pavel Durov 在 VK 被收購(gòu)后帶著 3 億美元離開了俄羅斯，他用了這筆錢為 Telegram 項(xiàng)目提供了資金和基礎(chǔ)設(shè)施。他的兄弟 Nikolai Durov 依然專注于編碼，并創(chuàng)建了 MTProto 協(xié)議，這是該通訊服務(wù)的基礎(chǔ)。

MTProto 移動(dòng)協(xié)議 來(lái)源：Telegram

有了之前的創(chuàng)業(yè)經(jīng)歷，Telegram 發(fā)展得很快，該服務(wù)于 2013 年 8 月 14 日在 iOS 上推出，并于 2013 年 10 月 20 日在 Android 上推出。

隨后相繼帶來(lái) Bot API（機(jī)器人）、頻道、超級(jí)群組、端到端加密的秘密聊天功能、 Passport、視頻通話等多種功能。

2021 年，由于 WhatsApp 宣布更新其隱私政策，同時(shí)要求用戶允許與母公司 Facebook 共享數(shù)據(jù)時(shí)，Telegram 作為強(qiáng)有力的備選，吸引了更多用戶的使用。當(dāng)時(shí)有數(shù)據(jù)統(tǒng)計(jì)，2021 年 1 月，Telegram 用戶突破 5 億；到了 2021 年 8 月底，全球下載量已經(jīng)達(dá) 10 億次，2022 年 6 月，Telegram 的用戶量突破 7 億。

號(hào)稱全球沒(méi)人能監(jiān)控的聊天軟件

Telegram 的成功，不僅靠競(jìng)爭(zhēng)對(duì)手的成全，也有自身的實(shí)力。以 Nikolai Durov 為 Telegram 創(chuàng)建的 MTProto 協(xié)議來(lái)看，它可以實(shí)現(xiàn)一對(duì)一的聊天提供端對(duì)端加密，加密模式是基于 256 位對(duì)稱 AES 加密，RSA 2048 的加密和 Diffie-Hellman 的安全密鑰交換協(xié)議。

當(dāng)時(shí)為了驗(yàn)證自己的安全性過(guò)硬，Telegram 每年都會(huì)組織了一場(chǎng)安全性的競(jìng)賽，倘若有人發(fā)現(xiàn)秘密聊天實(shí)現(xiàn)中的潛在漏洞，就獎(jiǎng)勵(lì) 10 萬(wàn)美金。

根據(jù) Telegram 官方更新的發(fā)展歷程來(lái)看，這么多年來(lái)，似乎只有在 2013 年 12 月，也就是 Telegram 成立的當(dāng)年，有過(guò)一個(gè)人拿到過(guò)這筆獎(jiǎng)金。

當(dāng)時(shí) Telegram 表示：

habrahabr 用戶x7mz發(fā)現(xiàn)，如果 Telegram 服務(wù)器被惡意第三方控制，它可以向參與秘密聊天的每個(gè)客戶端發(fā)送不同的隨機(jī)數(shù)。

引入這些隨機(jī)數(shù)是為了為秘密聊天密鑰增加更多隨機(jī)性，主要是因?yàn)橐苿?dòng)設(shè)備上的隨機(jī)生成器可能存在未被發(fā)現(xiàn)的漏洞。

正如有人指出的那樣，這種解決方案還可以在中間人攻擊的情況下，使共享密鑰的可視化表示完全相同--前提是這種攻擊是由被奪取的服務(wù)器實(shí)施的。顯然，該服務(wù)器一直處于 Telegram 的控制之下，因此這種理論上的威脅從未有機(jī)會(huì)實(shí)現(xiàn)。

來(lái)源：https://telegram.org/blog/crowdsourcing-a-more-secure-future

網(wǎng)絡(luò)專家質(zhì)疑

話雖如此，安全專家還是持質(zhì)疑態(tài)度，他們認(rèn)為 Telegram 默認(rèn)不啟用端到端加密，導(dǎo)致用戶必須啟動(dòng)“秘密聊天”才能啟用端到端加密，這樣 Telegram 或除預(yù)期收件人以外的任何人都無(wú)法讀取消息。此外，多年來(lái)，許多人對(duì) Telegram 加密的安全性表示懷疑，因?yàn)樵摴臼褂米约旱膶Ｓ屑用芩惴ā?/p>

雖然 Pavel Durov 也曾在 2017 年發(fā)文對(duì)于《為什么 Telegram 不默認(rèn)啟用端到端加密》做出一些回應(yīng)（https://telegra.ph/Why-Isnt-Telegram-End-to-End-Encrypted-by-Default-08-14），其表示：

像 WhatsApp、Viber 和 Line 這些受歡迎的應(yīng)用，它們依賴 Apple iCloud 和 Google Drive 去存儲(chǔ)用戶的歷史消息。這些備份消息不是端對(duì)端加密并在恢復(fù)時(shí)解密的。雖然看起來(lái)，作為一個(gè)用戶可以自由選擇放棄備份消息，但在現(xiàn)實(shí)中這幾乎是不可能的，即使你選擇注銷，和你聊天的人可能不會(huì)。

這將產(chǎn)生一種情況，當(dāng)你發(fā)送和接收的消息在云端存儲(chǔ)時(shí)沒(méi)有端對(duì)端加密，你也沒(méi)有意識(shí)到它。你對(duì)真正的端到端的加密和備份零透明度。你依賴端到端的加密并且相信“沒(méi)有第三方可以訪問(wèn)我的信息”，但你的私人數(shù)據(jù)實(shí)際上是容易受到黑客的入侵，比如從云端存儲(chǔ)中找到它。

相比之下，Telegram 不希望用戶將聊天數(shù)據(jù)放到第三方備份，也不想剝奪我們用戶在其他同類軟件中享受的功能。所以經(jīng)過(guò)一些研究，我們決定推出兩種聊天方式——加密聊天和云聊天。

加密聊天是端對(duì)端的加密聊天，不能備份聊天記錄。云聊天也是采用端對(duì)端的加密，但有內(nèi)置的備份，云聊天是為大多數(shù)用戶設(shè)計(jì)的，與小眾程序不同的是，云聊天用戶，和 Telegram 上的加密聊天用戶之間的流量是混合的，兩種情況的加密方式相同，只是在云聊天中我們的服務(wù)器可以訪問(wèn)加密秘鑰，這樣用戶使用加密聊天的事實(shí)不會(huì)被暴露。

1）與 WhatsApp 不同，我們不會(huì)將用戶的數(shù)據(jù)發(fā)送給第三方。相反，我們依賴于我們自己的分布跨區(qū)域加密云存儲(chǔ)，認(rèn)為這比放在 Google 和 Apple 更安全。Telegram 迄今為止，沒(méi)有透露任何云端信息給第三方。

2）與 WhatsApp 不同，由于我們內(nèi)置了云同步功能，用戶可以立即從多設(shè)備上同步訪問(wèn)歷史消息，因此用戶可以在 Mac、PC、iPad 甚至 Linux 服務(wù)器上感受到簡(jiǎn)單并且一致的用戶體驗(yàn)。

3）與 WhatsApp 不同的是，你不必在本地存儲(chǔ)所有歷史消息，在你需要時(shí)隨時(shí)可以從網(wǎng)絡(luò)上下載歷史消息和媒體信息，這節(jié)省了大量磁盤空間和內(nèi)存占用，這對(duì)于我們發(fā)展市場(chǎng)用戶非常重要，在 Telegram 上，本地存儲(chǔ)空間的不足，永遠(yuǎn)都不會(huì)導(dǎo)致信息的丟失。

4）與 WhatsApp 不同的是，Telegram 能夠?yàn)橛脩籼峁└呒?jí)功能，例如永久的群組聊天最多可以有 10000 個(gè)用戶成員，和不限制大小的頻道（channel），這些技術(shù)無(wú)法在“端對(duì)端加密+第三方備份”的模式下實(shí)現(xiàn)，我們的路線圖是和 WhatsApp 這種過(guò)時(shí)的架構(gòu)不同的。

這是我們?yōu)槭裁醋罱K采用更安全的“兩種聊天方式”（Telegram 云存儲(chǔ)比 Apple/Google 存儲(chǔ)有更好的保護(hù)），更透明（可以看到你的哪些端對(duì)端加密的消息存在云端，哪些沒(méi)有）和更多的豐富功能（我們可以實(shí)現(xiàn)上面提到的功能，以及更多的功能）。我們相信，從長(zhǎng)遠(yuǎn)來(lái)看，我們的“兩種聊天”方式更有意義，這就是 Kakao（2014）、Line（2015）以及 2016 年 Google Allo和 Facebook Messenger 復(fù)制的原因。這些公司做了自己的研究，證明 Telegram 的方式更具可擴(kuò)展性，安全性和透明度。

不過(guò)，據(jù) Techcrunch 報(bào)道，約翰霍普金斯大學(xué)密碼學(xué)專家 Matthew Green 表示：“如果沒(méi)有端到端加密、大量易受攻擊的目標(biāo)...這似乎將是一場(chǎng)安全噩夢(mèng)。”

電子前沿基金會(huì) (EFF) 網(wǎng)絡(luò)安全總監(jiān) Eva Galperin 在接受采訪時(shí)也指出，“與 Signal 不同，Telegram 不僅僅是一款消息應(yīng)用程序，它還是一個(gè)社交媒體平臺(tái)。作為一個(gè)社交媒體平臺(tái)，它擁有大量用戶數(shù)據(jù)?！?/p>

Galperin 補(bǔ)充說(shuō)道，「“三十名工程師”意味著沒(méi)有人可以對(duì)抗法律要求，也沒(méi)有處理濫用和內(nèi)容審核問(wèn)題的基礎(chǔ)設(shè)施。如果我是一名黑客，我肯定會(huì)認(rèn)為這是令人鼓舞的消息。每個(gè)攻擊者都喜歡人手嚴(yán)重不足、工作過(guò)度的對(duì)手?！?/p>

那么，對(duì)于一家運(yùn)營(yíng)主流應(yīng)用程序的公司，究竟該配備多少工程師？

上周，知名網(wǎng)絡(luò)安全專家 SwiftOnSecurity在 X 上撰文稱，“運(yùn)營(yíng)一家擁有所有正確網(wǎng)絡(luò)安全工具和員工的公司，其成本絕對(duì)是高得離譜的......”。

對(duì)于這一看法，有網(wǎng)友表示，“不同意。這不是成本問(wèn)題，而是能力問(wèn)題。在我上一個(gè)地方，我們總共有 50 人，其中 2 人是 IT 人員，并且完全符合 SOC2、GDPR、HIPAA 標(biāo)準(zhǔn)。CIS 前 20 名。每年進(jìn)行滲透測(cè)試等。預(yù)算很少，大量使用開源軟件。沒(méi)有發(fā)生任何事故?！?/p>

也有人稱，「我一直在等待首席財(cái)務(wù)官們說(shuō) "夠了"。但這還沒(méi)有發(fā)生。在某一點(diǎn)上，太多的利潤(rùn)變成了運(yùn)營(yíng)支出，落入了安全公司的腰包?！?/p>

最后，你如何看待 Telegram 只有 30 名工程師？一家公司到底多少工程師來(lái)支撐才足夠？