Ответ на пост «Неожиданный поворот с мошенниками на сайте знакомств»1
Преамбула.
Т.к. тут много людей, кто мало/плохо разбирается в программировании, многие вещи будут сознательно упрощены, а некоторые момент сознательно упущены дабы не влезать в технические дебри.
Глоссарий.
Вначале надо определиться с терминологией.
1) Клиент-серверная архитектура.
Штука, которая говорит как правильно писать код.
Все данные хранятся на серверах. Клиент же запрашивает данные, которые ему нужны.
При этом клиент и сервер работают независимо. Т.е. если сервер не будет работать, то клиент не сможет получить данные, но при этом сам будет работать. Как пример - не работает интернет, но сам браузер работает.
При этом клиент ничего не знает о сервере, а сервер ничего не клиенте.
2) API
Если клиент и сервер работают независимо друг от друга, то как они понимают друг друга?
Для этого есть штука, под названием API. Application Programming Interface. Интрфейс для общения программам.
Как оно работает? Есть специальные "ручки", куда нужно слать те или иные данные. В ответ получишь соответствующие данные.
К примеру, на "ручку auth" нужно отправить логин и пароль, в ответ получишь специальный токен, который служит этаким паспортом для клиента не этом сервер.
Как пример из реальной жизни, можно взять телефоны экстренных служб.
Позвонив на 01, можно вызвать пожарных, а на 8 800 555 35 35 можно получить денег и, возможно, приключений.
При этом разные "ручки" отвечают за свою часть работы и не предоставляют (помним про упрощение) данные, которые "не в их зоне ответственности". Т.е. позвонив на 01 вы не получите денег, а на 8 800 не сможете вызвать пожарных.
3) DevTools
Клиент общается с сервером при помощи API. Но, внезапно, простой пользователь не видит этого общения. Нажав на кнопку "отправить" мы не видим запрос, но видим результат работы. Это удобно для пользователя, но не удобно для разработчика. Как посмотреть ответ от сервера? Как посмотреть то, что отправил клиент? Для этого в браузере есть devtools. Они встроены в каждом браузере, достаточно перейти в Настройки -> Инструменты разработчика. Данная штука позволяет собирать запросы от клиента (вас) до сервера и его ответы вам. Причем, только ваши, т.к. см. п.1.
Вооружившись этими знаниями давай те рассмотрим, что нам пишем автор.
Перехожу в web версию ТГ и захожу в консоль разработчика в браузере. Отправляю команды на сервер и вижу что чат подключён к crm системе одного сайта.
1) Автор мог открыть dev tools, см. п.2. Это легко, это может сделать каждый
2) из devtools он мог узнать какие запросы посылает клиент. Т.е. ЕГО браузер.
3) CRM для клиента это отдельный клиент, ничем не отличающийся от сайта или приложения. См.п1: сервер ничего не знает о клиенте.
Т.е. узнать о том, что сервер общается с какой-то CRM автор из dev tools никак не мог. Если же он увидел, что сайт общается с левым сайтом, то для автора плохие новости: у тебя на компьютере вирус.
Иду на сайт и немножко ломаю его, совсем чуть чуть. Взамен он мне выдаёт внутреннюю переписку самих мошенников.
1) Мог ли автор взломать сайт? Да, мог. В любом ПО есть ошибки (это аксиома). Часть из этих ошибок могли бы предоставить доступ к админке сайта. Теоретически.
Практически, 90% (или дальше больше) всех взломов нацелены на самое слабое звено - прокладку между стулом и компьютером, т.е. человека. "Взломать" человека намного проще, чем взломать сайт.
2) Хранение внутренней переписке в CRM вызывает ОЧЕНЬ большие вопросы в нужности. Зачем это надо? Анализировать воронку продаж? Анализировать диалог, что бы найти "подход" к данному клиенту? Ты занимаешься противозаконной деятельностью, тайкой сайт сродни компромату, который ты будешь всегда с собой таскать. Плюс такой сайт нужен при очень высоком уровне организации, что бы автоматизировать "бизнес-процессы" по разводу граждан. Боюсь, если автор немношк ломанул таких людей, то его тоже немношк ломанут.
Итог:
Шансы, что автор действительно кого-то немнош ломанул сайт оцениваю как 1 к 1 000 000. Неверные первоначальные действия, слишком много вопросов к дальшейшему