Merge 6a82004727 into 2776051b17

* Патч IPA

* Update patch_ipa.md

* Update readme.md

---------

Co-authored-by: Alexey Polyakov <starwear3000@mail.ru>

docs/proto/tamtam_ws.md

@@ -0,0 +1,29 @@
+# Описание протокола TamTam по Websocket
+
+## Основная информация
+В веб версии мессенджера ТамТам используется протокол, работающий поверх Websocket. 
+
+Пакеты в этом протоколе являются текстовыми JSON данными.
+
+Структура пакета:
+```
+{
+    ver: int,
+    cmd: int,
+    seq: int,
+    opcode: int,
+    payload: {}
+}
+```
+
+* ver - версия протокола
+* cmd - определяет, от кого отправлен пакет. клиент - 0, сервер - 1
+* seq - порядковый номер пакета (сервер дублирует его из запроса клиента)
+* opcode - команда
+* payload - полезная нагрузка команды
+
+## Команды протокола
+
+### PING (1)
+Клиент периодически отправляет пакет с командой PING и пустой нагрузкой серверу.
+Сервер отвечает ему тем же.

faq/install.md

@@ -0,0 +1,18 @@
+# Установка
+
+1. Склонируйте репозиторий
+2. Установите зависимости
+
+```bash
+pip install -r requirements.txt
+```
+3. Настройте сервер (пример в `.env.example`)
+4. Импортируйте схему таблиц в свою базу данных из `tables.sql`
+5. Запустите сервер
+
+```bash
+python3 main.py
+```
+
+6. Создайте пользователя
+7. Зайдите со своего любимого клиента

faq/patch_apk.md

@@ -0,0 +1,27 @@
+# Смена сервера в мобильном клиенте
+> [!Caution]
+> Инструкция может быть недостаточной, если вы используете самоподписанный сертификат или сертификат, которому система не доверяет. Вам, возможно, потребуется выполнить дополнительные действия в модификации клиента для успешного входа.
+
+# MT Manager
+1. Открываем apk файл клиента, который желаете пропатчить
+2. Нажимаем на любой dex файл
+3. Выбираем в качестве редактора "Редактор dex+"
+4. Выбираем все dex файлы при появлении окна выбора "MultiDex"
+5. В поиске выбираем тип Smali, а в поле поиска пишем "api.oneme.ru"
+6. Проходимся по каждому результату и заменяем сервер на свой
+
+# ApkTool M
+1. Декомпилируем приложение, обязательно поставьте галочку у пункта "Декомпилировать classes*.dex"
+2. В папке проекта нажимаем на "лупу"
+3. Ставим поиск по содержимому с заменой
+4. В поле поиска пишем "api.oneme.ru", а в поле замены ваш адрес сервера
+5. После замены нажимаем на "Собрать проект"
+
+# ApkTool
+1. Помещаем apk в рабочую директорию
+2. Открываем консоль в той же директории и производим декомпиляцию: `apktool d <имя apk> -o max`
+3. Заходим в папку проекта и заменяем во всех классах "api.oneme.ru" на свой адрес сервера
+4. Производим повторную сборку с помощью команды: `apktool b max -o max_modified.apk`
+
+> [!WARNING]
+> Если у вас возникает ошибка при при повторной сборке, попробуйте декомпилировать клиент с параметром -r

faq/patch_ipa.md

@@ -0,0 +1,8 @@
+# Патч MAX для IOS
+
+1) Распаковываете IPA
+2) Находите файл MAX в Payload/Max.app
+3) Открываете hex-редактор и находите api.oneme.ru и меняете на свой
+   При желании можете поменять другие URL
+   URL не должен привышать количество символов которое было у изначального URL!
+4) Открываете IPA как архив и добавляете патченный файл MAX в Payload/Max.app

faq/readme.md

@@ -0,0 +1,8 @@
+# Навигация по faq
+
+## Работа с сервером
+[Установка сервера](install.md)
+
+## Патчинг клиентов
+[Патч мобильного клиента для Android](patch_apk.md)
+[Патч мобильного клиента для IOS](patch_ipa.md)

faq/servers.md

@@ -0,0 +1,11 @@
+> [!Caution]
+>
+> На данной странице представлены инстансы от сторонних разработчиков.
+>
+> Используйте на свой страх и риск
+> 
+
+# Открытые сервера
+
+* [JustMAX](https://t.me/justmax_official)
+* [mox.nyako.tk](https://t.me/opengrame/296), порт 443 (регистрация по реальному номеру)

readme.md

@@ -1,10 +1,9 @@
 > [!Caution]
 >
-> Проект находится на ранней стадии разработки и вероятно полон багов. 
+> Проект находится на ранней стадии разработки и, вероятно, полон багов.
 >
 > Использование в профессиональных средах не рекомендовано.
-
+> 
-
 # OpenMAX
 
 Эмулятор сервера MAX и ТамТам
@@ -14,7 +13,7 @@ https://t.me/openmax_alerts
 # Требования
 
 - Python 3.12+ (поддержка версий ниже не гарантирована)
-- MariaDB, MySQL или SQLite
+- MariaDB, MySQL или SQLite (использование последнего не рекомендуется, так как поддержка ещё в разработке)
 - Уметь патчить клиент MAX или собирать Komet из исходного кода (естественно с заменой сервера)
 - Сертификат и приватный ключ X.509 (для тестирования сервера можно сгенерировать самоподписанный: ```openssl req -x509 -newkey rsa:2048 -nodes -keyout key.pem -out cert.pem -days 365```)
 
@@ -22,23 +21,6 @@ https://t.me/openmax_alerts
 
 Клиент может быть практически любым, главное условие - чтобы он был совместим с официальным сервером (`api.oneme.ru` / `api.tamtam.chat`).
 
-На данный момент с сервером может работать последняя версия MAX (26.7.1), однако все тесты проходят на версии 26.5.0.
+# Дополнительная информация
-
+[Faq](faq/readme.md)
-# Установка
+[Открытые сервера](faq/servers.md)
-
-1. Склонируйте репозиторий
-2. Установите зависимости
-
-```bash
-pip install -r requirements.txt
-```
-3. Настройте сервер (пример в `.env.example`)
-4. Импортируйте схему таблиц в свою базу данных из `tables.sql`
-5. Запустите сервер
-
-```bash
-python3 main.py
-```
-
-6. Создайте пользователя
-7. Зайдите со своего любимого клиента

requirements.txt

@@ -1,9 +1,8 @@
 pyTelegramBotAPI
 aiomysql
-python-dotenv
 msgpack
 lz4
 websockets
 pydantic
-aiohttp
+aiosqlite
-aiosqlite
+python-dotenv

src/common/config.py

@@ -1,5 +1,6 @@
 import os
 from dotenv import load_dotenv
+
 load_dotenv()
 
 class ServerConfig:

src/common/rate_limiter.py

@@ -0,0 +1,51 @@
+import time, logging
+
+
+class RateLimiter:
+    """
+    ip rate limiter using sliding window algorithm
+    """
+    def __init__(self, max_attempts=5, window_seconds=60):
+        self.max_attempts = max_attempts
+        self.window_seconds = window_seconds
+        self.attempts = {}  # {ip: [timestamp, ...]}
+        self.logger = logging.getLogger(__name__)
+
+    def is_allowed(self, ip: str) -> bool:
+        now = time.monotonic()
+        cutoff = now - self.window_seconds
+
+        if ip not in self.attempts:
+            self.attempts[ip] = []
+
+        self.attempts[ip] = [t for t in self.attempts[ip] if t > cutoff]
+
+        if len(self.attempts[ip]) >= self.max_attempts:
+            self.logger.warning(f"request limit exceeded for {ip}: {len(self.attempts[ip])}/{self.max_attempts}")
+            return False
+
+        self.attempts[ip].append(now)
+        return True
+
+    def remaining(self, ip: str) -> int:
+        now = time.monotonic()
+        cutoff = now - self.window_seconds
+
+        entries = self.attempts.get(ip, [])
+        active = [t for t in entries if t > cutoff]
+        return max(0, self.max_attempts - len(active))
+
+    def retry_after(self, ip: str) -> int:
+        entries = self.attempts.get(ip, [])
+        if not entries:
+            return 0
+
+        now = time.monotonic()
+        cutoff = now - self.window_seconds
+        active = [t for t in entries if t > cutoff]
+
+        if len(active) < self.max_attempts:
+            return 0
+
+        oldest = min(active)
+        return max(0, int(oldest + self.window_seconds - now) + 1)

src/common/static.py

@@ -12,6 +12,7 @@ class Static:
         INVALID_TOKEN = "invalid_token"
         CHAT_NOT_FOUND = "chat_not_found"
         CHAT_NOT_ACCESS = "chat_not_access"
+        RATE_LIMITED = "rate_limited"
 
     class ChatTypes:
         DIALOG = "DIALOG"
@@ -73,6 +74,12 @@ class Static:
             "error": "chat.not.access",
             "message": "Chat not access",
             "title": "Нет доступа к чату"
+        },
+        "rate_limited": {
+            "localizedMessage": "Слишком много попыток. Повторите позже",
+            "error": "error.rate_limited",
+            "message": "Too many attempts. Please try again later",
+            "title": "Слишком много попыток"
         }
     }
 

src/oneme_tcp/config.py

@@ -179,7 +179,7 @@ class OnemeConfig:
         "moscow-theme-enabled": True,
         "msg-get-reactions-page-size": 40,
         "music-files-enabled": False,
-        "mytracker-enabled": True,
+        "mytracker-enabled": False,
         "net-client-dns-enabled": True,
         "net-session-suppress-bad-disconnected-state": True,
         "net-stat-config": [

src/oneme_tcp/processors.py

@@ -1,4 +1,4 @@
-import json, random, secrets, hashlib, time, logging
+import json, secrets, hashlib, time, logging
 from oneme_tcp.models import *
 from oneme_tcp.proto import Proto
 from oneme_tcp.config import OnemeConfig
@@ -122,8 +122,8 @@ class Processors:
         # Извлекаем телефон из пакета
         phone = payload.get("phone").replace("+", "").replace(" ", "").replace("-", "")
 
-        # Генерируем токен с кодом
+        # Генерируем токен с кодом (безопасность прежде всего)
-        code = str(random.randint(100000, 999999))
+        code = str(secrets.randbelow(900000) + 100000)
         token = secrets.token_urlsafe(128)
 
         # Хешируем
@@ -217,7 +217,7 @@ class Processors:
                 # Создаем сессию
                 await cursor.execute(
                     "INSERT INTO tokens (phone, token_hash, device_type, device_name, location, time) VALUES (%s, %s, %s, %s, %s, %s)",
-                    (stored_token.get("phone"), hashed_login, deviceType, deviceName, "Epstein Island", int(time.time()),)    
+                    (stored_token.get("phone"), hashed_login, deviceType, deviceName, "Little Saint James Island", int(time.time()),)   # весь покрытый зеленью, абсолютно весь, остров невезения в океане есть 
                 )
 
         # Генерируем профиль
@@ -677,10 +677,12 @@ class Processors:
                         chat = await cursor.fetchone()
                         
                         if chat:
-                            # Если чат - диалог, и пользователь в нем не состоит,
+                            # Проверяем, является ли пользователь участником чата
-                            # то продолжаем без добавления результата
+
-                            if chat.get("type") == self.chat_types.DIALOG and senderId not in json.loads(chat.get("participants")):
+                            # (в max нельзя смотреть и отправлять сообщения в чат, в котором ты не участник, в отличие от tg (например, комментарии в каналах),
-                                continue 
+                            # так что надо тоже так делать)
+                            if senderId not in json.loads(chat.get("participants")):
+                                continue
 
                             # Получаем последнее сообщение из чата
                             message, messageTime = await self.tools.get_last_message(

src/oneme_tcp/proto.py

@@ -4,8 +4,19 @@ class Proto:
     def __init__(self) -> None:
         self.logger = logging.getLogger(__name__)
 
+    # TODO узнать какие должны быть лимиты и поменять,
+    # сейчас это больше заглушка
+    MAX_PAYLOAD_SIZE = 1048576 # 1 MB
+    MAX_DECOMPRESSED_SIZE = 1048576 # 1 MB
+    HEADER_SIZE = 10 # 1+2+1+2+4
+
     ### Работа с протоколом
     def unpack_packet(self, data: bytes) -> dict | None:
+        # Проверяем минимальный размер пакета
+        if len(data) < self.HEADER_SIZE:
+            self.logger.warning(f"Пакет слишком маленький: {len(data)} байт")
+            return None
+
         # Распаковываем заголовок
         ver = int.from_bytes(data[0:1], "big")
         cmd = int.from_bytes(data[1:3], "big")
@@ -18,6 +29,17 @@ class Proto:
 
         # Парсим данные пакета
         payload_length = packed_len & 0xFFFFFF
+
+        # Проверяем размер payload
+        if payload_length > self.MAX_PAYLOAD_SIZE:
+            self.logger.warning(f"Payload слишком большой: {payload_length} B (лимит {self.MAX_PAYLOAD_SIZE})")
+            return None
+
+        # Проверяем длину пакета
+        if len(data) < self.HEADER_SIZE + payload_length:
+            self.logger.warning(f"Пакет неполный: требуется {self.HEADER_SIZE + payload_length} B, получено {len(data)}")
+            return None
+
         payload_bytes = data[10 : 10 + payload_length]
         payload = None
 
@@ -27,14 +49,14 @@ class Proto:
             if comp_flag != 0:
                 compressed_data = payload_bytes
                 try:
-
                     payload_bytes = lz4.block.decompress(
                         compressed_data,
-                        uncompressed_size=99999,
+                        uncompressed_size=self.MAX_DECOMPRESSED_SIZE,
                     )
                 except lz4.block.LZ4BlockError:
+                    self.logger.warning("Ошибка декомпрессии LZ4")
                     return None
-                
+
             # Распаковываем msgpack
             payload = msgpack.unpackb(payload_bytes, raw=False, strict_map_key=False)
 

src/oneme_tcp/server.py

@@ -1,6 +1,7 @@
 import asyncio, logging, traceback
 from oneme_tcp.proto import Proto
 from oneme_tcp.processors import Processors
+from common.rate_limiter import RateLimiter
 
 class OnemeMobileServer:
     def __init__(self, host="0.0.0.0", port=443, ssl_context=None, db_pool=None, clients={}, send_event=None, telegram_bot=None):
@@ -15,6 +16,12 @@ class OnemeMobileServer:
         self.proto = Proto()
         self.processors = Processors(db_pool=db_pool, clients=clients, send_event=send_event, telegram_bot=telegram_bot)
 
+        # rate limiter anti ddos brute force protection
+        self.auth_rate_limiter = RateLimiter(max_attempts=5, window_seconds=60)
+
+        self.read_timeout = 300 # Таймаут чтения из сокета (секунды)
+        self.max_read_size = 65536 # Максимальный размер данных из сокета
+
     async def handle_client(self, reader, writer):
         """Функция для обработки подключений"""
         # IP-адрес клиента
@@ -30,16 +37,33 @@ class OnemeMobileServer:
 
         try:
             while True:
-                # Читаем новые данные из сокета
+                # Читаем новые данные из сокета с таймаутом
-                data = await reader.read(4098)
+                try:
+                    data = await asyncio.wait_for(
+                        reader.read(self.max_read_size),
+                        timeout=self.read_timeout
+                    )
+                except asyncio.TimeoutError:
+                    self.logger.info(f"Таймаут соединения для {address[0]}:{address[1]}")
+                    break
 
                 # Если сокет закрыт - выходим из цикла
                 if not data:
                     break
 
+                
+                if len(data) > self.max_read_size:
+                    self.logger.warning(f"Пакет от {address[0]}:{address[1]} превышает лимит ({len(data)} байт)")
+                    break
+
                 # Распаковываем данные
                 packet = self.proto.unpack_packet(data)
 
+                # Скип если пакет невалидный 
+                if packet is None:
+                    self.logger.warning(f"Невалидный пакет от {address[0]}:{address[1]}")
+                    continue
+
                 opcode = packet.get("opcode")
                 seq = packet.get("seq")
                 payload = packet.get("payload")
@@ -48,14 +72,23 @@ class OnemeMobileServer:
                     case self.proto.SESSION_INIT:
                         deviceType, deviceName = await self.processors.process_hello(payload, seq, writer)
                     case self.proto.AUTH_REQUEST:
-                        await self.processors.process_request_code(payload, seq, writer)
+                        if not self.auth_rate_limiter.is_allowed(address[0]):
+                            await self.processors._send_error(seq, self.proto.AUTH_REQUEST, self.processors.error_types.RATE_LIMITED, writer)
+                        else:
+                            await self.processors.process_request_code(payload, seq, writer)
                     case self.proto.AUTH:
-                        await self.processors.process_verify_code(payload, seq, writer, deviceType, deviceName)
+                        if not self.auth_rate_limiter.is_allowed(address[0]):
+                            await self.processors._send_error(seq, self.proto.AUTH, self.processors.error_types.RATE_LIMITED, writer)
+                        else:
+                            await self.processors.process_verify_code(payload, seq, writer, deviceType, deviceName)
                     case self.proto.LOGIN:
-                        userPhone, userId, hashedToken = await self.processors.process_login(payload, seq, writer)
+                        if not self.auth_rate_limiter.is_allowed(address[0]):
-                    
+                            await self.processors._send_error(seq, self.proto.LOGIN, self.processors.error_types.RATE_LIMITED, writer)
-                        if userPhone:
+                        else:
-                            await self._finish_auth(writer, address, userPhone, userId)
+                            userPhone, userId, hashedToken = await self.processors.process_login(payload, seq, writer)
+
+                            if userPhone:
+                                await self._finish_auth(writer, address, userPhone, userId)
                     case self.proto.LOGOUT:
                         await self.processors.process_logout(seq, writer, hashedToken=hashedToken)
                         break
@@ -90,6 +123,8 @@ class OnemeMobileServer:
         except Exception as e:
             self.logger.error(f"Произошла ошибка при работе с клиентом {address[0]}:{address[1]}: {e}")
             traceback.print_exc()
+        except AttributeError:
+            self.logger.error(f"Повреждённый пакет от клиента {address[0]}:{address[1]}, пропускаю")
 
         # Удаляем клиента из словаря
         if userPhone:
@@ -151,4 +186,4 @@ class OnemeMobileServer:
         self.logger.info(f"Сокет запущен на порту {self.port}")
 
         async with self.server:
-            await self.server.serve_forever()
+            await self.server.serve_forever()

src/tamtam_tcp/processors.py

@@ -1,11 +1,19 @@
-import hashlib, secrets, random, time, logging, json
+import hashlib
+import secrets
+import time
+import logging
+import json
+import re
 from common.static import Static
 from common.tools import Tools
 from tamtam_tcp.proto import Proto
 from tamtam_tcp.models import *
 
+
 class Processors:
-    def __init__(self, db_pool=None, clients={}, send_event=None):
+    def __init__(self, db_pool=None, clients=None, send_event=None):
+        if clients is None:
+            clients = {}  # Более правильная логика
         self.static = Static()
         self.proto = Proto()
         self.tools = Tools()
@@ -27,11 +35,11 @@ class Processors:
             "message": "Unknown error",
             "title": "Неизвестная ошибка"
         })
-        
+
         packet = self.proto.pack_packet(
             cmd=self.proto.CMD_ERR, seq=seq, opcode=opcode, payload=payload
         )
-        
+
         await self._send(writer, packet)
 
     async def process_hello(self, payload, seq, writer):
@@ -42,10 +50,10 @@ class Processors:
         except Exception as e:
             await self._send_error(seq, self.proto.HELLO, self.error_types.INVALID_PAYLOAD, writer)
             return None, None
-        
+
         # Получаем данные из пакета
-        deviceType = payload.get("userAgent").get("deviceType")
+        device_type = payload.get("userAgent").get("deviceType")
-        deviceName = payload.get("userAgent").get("deviceName")
+        device_name = payload.get("userAgent").get("deviceName")
 
         # Данные пакета
         payload = {
@@ -64,8 +72,8 @@ class Processors:
 
         # Отправляем
         await self._send(writer, packet)
-        return deviceType, deviceName
+        return device_type, device_name
-    
+
     async def process_request_code(self, payload, seq, writer):
         """Обработчик запроса кода"""
         # Валидируем данные пакета
@@ -76,17 +84,17 @@ class Processors:
             return
 
         # Извлекаем телефон из пакета
-        phone = payload.get("phone").replace("+", "").replace(" ", "").replace("-", "")
+        phone = re.sub(r'\D', '', payload.get("phone", ""))  # Не хардкодим, через регулярки
 
         # Генерируем токен с кодом
-        code = str(random.randint(000000, 999999))
+        code = f"{secrets.randbelow(1_000_000):06d}"  # Старая версия ненадежна, могла отбросить ведущие нули или вообще интерпритировать как систему счисления с основанием 8
         token = secrets.token_urlsafe(128)
 
         # Хешируем
         code_hash = hashlib.sha256(code.encode()).hexdigest()
         token_hash = hashlib.sha256(token.encode()).hexdigest()
 
-        # Время истечения токена
+        # Срок жизни токена (5 минут)
         expires = int(time.time()) + 300
 
         # Ищем пользователя, и если он существует, сохраняем токен
@@ -95,12 +103,14 @@ class Processors:
                 await cursor.execute("SELECT * FROM users WHERE phone = %s", (phone,))
                 user = await cursor.fetchone()
 
-                if user is None:
+                if not user:
                     await self._send_error(seq, self.proto.REQUEST_CODE, self.error_types.USER_NOT_FOUND, writer)
                     return
 
                 # Сохраняем токен
-                await cursor.execute("INSERT INTO auth_tokens (phone, token_hash, code_hash, expires, state) VALUES (%s, %s, %s, %s, %s)", (phone, token_hash, code_hash, expires, "started",))
+                await cursor.execute(
+                    "INSERT INTO auth_tokens (phone, token_hash, code_hash, expires, state) VALUES (%s, %s, %s, %s, %s)",
+                    (phone, token_hash, code_hash, expires, "started",))
 
         # Данные пакета
         payload = {
@@ -143,10 +153,11 @@ class Processors:
         async with self.db_pool.acquire() as conn:
             async with conn.cursor() as cursor:
                 # Ищем токен
-                await cursor.execute("SELECT * FROM auth_tokens WHERE token_hash = %s AND expires > UNIX_TIMESTAMP()", (hashed_token,))
+                await cursor.execute("SELECT * FROM auth_tokens WHERE token_hash = %s AND expires > UNIX_TIMESTAMP()",
+                                     (hashed_token,))
                 stored_token = await cursor.fetchone()
 
-                if stored_token is None:
+                if not stored_token:
                     await self._send_error(seq, self.proto.VERIFY_CODE, self.error_types.CODE_EXPIRED, writer)
                     return
 
@@ -154,13 +165,14 @@ class Processors:
                 if stored_token.get("code_hash") != hashed_code:
                     await self._send_error(seq, self.proto.VERIFY_CODE, self.error_types.INVALID_CODE, writer)
                     return
-                
+
                 # Ищем аккаунт
                 await cursor.execute("SELECT * FROM users WHERE phone = %s", (stored_token.get("phone"),))
                 account = await cursor.fetchone()
 
                 # Обновляем состояние токена
-                await cursor.execute("UPDATE auth_tokens set state = %s WHERE token_hash = %s", ("verified", hashed_token,))
+                await cursor.execute("UPDATE auth_tokens set state = %s WHERE token_hash = %s",
+                                     ("verified", hashed_token,))
 
                 # # Создаем сессию
                 # await cursor.execute(
@@ -170,9 +182,9 @@ class Processors:
 
         # Генерируем профиль
         # Аватарка с биографией
-        photoId = None if not account.get("avatar_id") else int(account.get("avatar_id"))
+        photo_id = int(account["avatar_id"]) if account.get("avatar_id") else None
-        avatar_url = None if not photoId else self.config.avatar_base_url + photoId
+        avatar_url = f"{self.config.avatar_base_url}{photo_id}" if photo_id else None
-        description = None if not account.get("description") else account.get("description")
+        description = account.get("description")
 
         # Собираем данные пакета
         payload = {
@@ -180,7 +192,7 @@ class Processors:
                 id=account.get("id"),
                 phone=int(account.get("phone")),
                 avatarUrl=avatar_url,
-                photoId=photoId,
+                photoId=photo_id,
                 updateTime=int(account.get("updatetime")),
                 firstName=account.get("firstname"),
                 lastName=account.get("lastname"),
@@ -234,7 +246,8 @@ class Processors:
         async with self.db_pool.acquire() as conn:
             async with conn.cursor() as cursor:
                 # Ищем токен
-                await cursor.execute("SELECT * FROM auth_tokens WHERE token_hash = %s AND expires > UNIX_TIMESTAMP()", (hashed_token,))
+                await cursor.execute("SELECT * FROM auth_tokens WHERE token_hash = %s AND expires > UNIX_TIMESTAMP()",
+                                     (hashed_token,))
                 stored_token = await cursor.fetchone()
 
                 if stored_token is None:
@@ -255,12 +268,13 @@ class Processors:
                 # Создаем сессию
                 await cursor.execute(
                     "INSERT INTO tokens (phone, token_hash, device_type, device_name, location, time) VALUES (%s, %s, %s, %s, %s, %s)",
-                    (stored_token.get("phone"), hashed_login, deviceType, deviceName, "Epstein Island", int(time.time()),)    
+                    (stored_token.get("phone"), hashed_login, deviceType, deviceName, "Epstein Island",
+                     int(time.time()),)
                 )
 
         # Аватарка с биографией
-        photoId = None if not account.get("avatar_id") else int(account.get("avatar_id"))
+        photo_id = None if not account.get("avatar_id") else int(account.get("avatar_id"))
-        avatar_url = None if not photoId else self.config.avatar_base_url + photoId
+        avatar_url = None if not photo_id else self.config.avatar_base_url + photo_id
         description = None if not account.get("description") else account.get("description")
 
         # Собираем данные пакета
@@ -270,7 +284,7 @@ class Processors:
                 id=account.get("id"),
                 phone=int(account.get("phone")),
                 avatarUrl=avatar_url,
-                photoId=photoId,
+                photoId=photo_id,
                 updateTime=int(account.get("updatetime")),
                 firstName=account.get("firstname"),
                 lastName=account.get("lastname"),
@@ -290,4 +304,4 @@ class Processors:
             cmd=self.proto.CMD_OK, seq=seq, opcode=self.proto.FINAL_AUTH, payload=payload
         )
 
-        await self._send(writer, packet)
+        await self._send(writer, packet)

src/tamtam_tcp/proto.py

@@ -4,8 +4,19 @@ class Proto:
     def __init__(self) -> None:
         self.logger = logging.getLogger(__name__)
 
+    # TODO узнать какие должны быть лимиты и поменять,
+    # сейчас это больше заглушка
+    MAX_PAYLOAD_SIZE = 1048576 # 1 MB
+    MAX_DECOMPRESSED_SIZE = 1048576 # 1 MB
+    HEADER_SIZE = 10 # 1+2+1+2+4
+
     ### Работа с протоколом
     def unpack_packet(self, data: bytes) -> dict | None:
+        # Проверяем минимальный размер пакета
+        if len(data) < self.HEADER_SIZE:
+            self.logger.warning(f"Пакет слишком маленький: {len(data)} байт")
+            return None
+
         # Распаковываем заголовок
         ver = int.from_bytes(data[0:1], "big")
         cmd = int.from_bytes(data[1:3], "big")
@@ -18,6 +29,17 @@ class Proto:
 
         # Парсим данные пакета
         payload_length = packed_len & 0xFFFFFF
+
+        # Проверяем размер payload
+        if payload_length > self.MAX_PAYLOAD_SIZE:
+            self.logger.warning(f"Payload слишком большой: {payload_length} B (лимит {self.MAX_PAYLOAD_SIZE})")
+            return None
+
+        # Проверяем длину пакета
+        if len(data) < self.HEADER_SIZE + payload_length:
+            self.logger.warning(f"Пакет неполный: требуется {self.HEADER_SIZE + payload_length} B, получено {len(data)}")
+            return None
+
         payload_bytes = data[10 : 10 + payload_length]
         payload = None
 
@@ -27,14 +49,14 @@ class Proto:
             if comp_flag != 0:
                 compressed_data = payload_bytes
                 try:
-
                     payload_bytes = lz4.block.decompress(
                         compressed_data,
-                        uncompressed_size=99999,
+                        uncompressed_size=self.MAX_DECOMPRESSED_SIZE,
                     )
                 except lz4.block.LZ4BlockError:
+                    self.logger.warning("Ошибка декомпрессии LZ4")
                     return None
-                
+
             # Распаковываем msgpack
             payload = msgpack.unpackb(payload_bytes, raw=False, strict_map_key=False)
 

src/tamtam_tcp/server.py

@@ -1,6 +1,7 @@
 import asyncio, logging, traceback
 from tamtam_tcp.proto import Proto
 from tamtam_tcp.processors import Processors
+from common.rate_limiter import RateLimiter
 
 class TTMobileServer:
     def __init__(self, host="0.0.0.0", port=443, ssl_context=None, db_pool=None, clients={}, send_event=None):
@@ -15,6 +16,12 @@ class TTMobileServer:
         self.proto = Proto()
         self.processors = Processors(db_pool=db_pool, clients=clients, send_event=send_event)
 
+        # rate limiter
+        self.auth_rate_limiter = RateLimiter(max_attempts=5, window_seconds=60)
+
+        self.read_timeout = 300 # Таймаут чтения из сокета (секунды)
+        self.max_read_size = 65536 # Максимальный размер данных из сокета
+
     async def handle_client(self, reader, writer):
         """Функция для обработки подключений"""
         # IP-адрес клиента
@@ -30,16 +37,33 @@ class TTMobileServer:
 
         try:
             while True:
-                # Читаем новые данные из сокета
+                # Читаем новые данные из сокета (с таймаутом!)
-                data = await reader.read(4098)
+                try:
+                    data = await asyncio.wait_for(
+                        reader.read(self.max_read_size),
+                        timeout=self.read_timeout
+                    )
+                except asyncio.TimeoutError:
+                    self.logger.info(f"Таймаут соединения для {address[0]}:{address[1]}")
+                    break
 
                 # Если сокет закрыт - выходим из цикла
                 if not data:
                     break
 
+                # Проверяем размер данных
+                if len(data) > self.max_read_size:
+                    self.logger.warning(f"Пакет от {address[0]}:{address[1]} превышает лимит ({len(data)} байт)")
+                    break
+
                 # Распаковываем данные
                 packet = self.proto.unpack_packet(data)
 
+                # Если пакет невалидный — пропускаем
+                if packet is None:
+                    self.logger.warning(f"Невалидный пакет от {address[0]}:{address[1]}")
+                    continue
+
                 opcode = packet.get("opcode")
                 seq = packet.get("seq")
                 payload = packet.get("payload")
@@ -48,11 +72,20 @@ class TTMobileServer:
                     case self.proto.HELLO:
                         deviceType, deviceName = await self.processors.process_hello(payload, seq, writer)
                     case self.proto.REQUEST_CODE:
-                        await self.processors.process_request_code(payload, seq, writer)
+                        if not self.auth_rate_limiter.is_allowed(address[0]):
+                            await self.processors._send_error(seq, self.proto.REQUEST_CODE, self.processors.error_types.RATE_LIMITED, writer)
+                        else:
+                            await self.processors.process_request_code(payload, seq, writer)
                     case self.proto.VERIFY_CODE:
-                        await self.processors.process_verify_code(payload, seq, writer)
+                        if not self.auth_rate_limiter.is_allowed(address[0]):
+                            await self.processors._send_error(seq, self.proto.VERIFY_CODE, self.processors.error_types.RATE_LIMITED, writer)
+                        else:
+                            await self.processors.process_verify_code(payload, seq, writer)
                     case self.proto.FINAL_AUTH:
-                        await self.processors.process_final_auth(payload, seq, writer, deviceType, deviceName)
+                        if not self.auth_rate_limiter.is_allowed(address[0]):
+                            await self.processors._send_error(seq, self.proto.FINAL_AUTH, self.processors.error_types.RATE_LIMITED, writer)
+                        else:
+                            await self.processors.process_final_auth(payload, seq, writer, deviceType, deviceName)
                     case _:
                         self.logger.warning(f"Неизвестный опкод {opcode}")
         except Exception as e:

src/tamtam_ws/proto.py

@@ -12,14 +12,18 @@ class Proto:
             "payload": payload
         })
 
+    MAX_PACKET_SIZE = 65536 # 64 KB, заглушка, нужно узнать реальные лимиты и поменять, хотя кто будет это делать...
+
     def unpack_packet(self, packet):
-        # нужно try catch сделать
+        # try catch чтобы не сыпалось всё при неверных пакетах
-        # чтобы не сыпалось всё при неверных пакетах
+        if isinstance(packet, (str, bytes)) and len(packet) > self.MAX_PACKET_SIZE:
+            return {}
+
         try:
             parsed_packet = json.loads(packet)
-        except:
+        except (json.JSONDecodeError, TypeError, ValueError):
             return {}
-        
+
         return parsed_packet
         # мне кажется долго вручную всё писать
         # а как еще

src/tamtam_ws/server.py

@@ -21,12 +21,17 @@ class TTWSServer:
             # Распаковываем пакет
             packet = self.proto.unpack_packet(message)
 
+            if not packet:
+                self.logger.warning("Невалидный пакет от ws клиента")
+                continue
+
             # Валидируем структуру пакета
             try:
                 MessageModel.model_validate(packet)
             except ValidationError as e:
-                self.logger.error(e)
+                self.logger.warning(f"Ошибка валидации пакета: {e}")
-                
+                continue
+
             # Извлекаем данные из пакета
             seq = packet['seq']
             opcode = packet['opcode']
@@ -36,7 +41,7 @@ class TTWSServer:
                 case self.proto.SESSION_INIT:
                     # ПРИВЕТ АНДРЕЙ МАЛАХОВ
                     # не не удаляй этот коммент. пусть останется на релизе аххахаха
-                    deviceType, deviceType = await self.processors.process_hello(payload, seq, websocket)
+                    deviceType, deviceName = await self.processors.process_hello(payload, seq, websocket)
                 case self.proto.PING:
                     await self.processors.process_ping(payload, seq, websocket)
                 case self.proto.LOG:
@@ -57,5 +62,10 @@ class TTWSServer:
     async def start(self):
         self.logger.info(f"Вебсокет запущен на порту {self.port}")
 
-        async with serve(self.handle_client, self.host, self.port):
+        async with serve(
+            self.handle_client, self.host, self.port,
+            max_size=65536,
+            open_timeout=10,
+            close_timeout=10,
+        ):
             await asyncio.Future()