יצירת תיקיה בAPI

אביי ורבא

@עידו אין שום בעיה עם הפרטים הללו, הם לא רגישים ולא סודיים

עידו

@אביי-ורבא כתב ביצירת תיקיה בAPI:

@עידו אין שום בעיה עם הפרטים הללו, הם לא רגישים ולא סודיים

כבר מזמן לא עסקתי בתחום הזה, אבל כמה שאני זוכר זה כן עלול ליצור בעיות, זה נותן לתוקפים את הבסיס לדעת את מה לתקוף, הרי יש חולשות ידועות לכל מערכת, ויש המון מערכות, זה די מקל על התוקפים, ככה אני לפחות זוכר... ושים לב שרוב ככל האתרים מחליפים את דפי השגיאות לדפים אחרים כדי לא לחשוף פרטים. אבל כאמור שנים לא נגעתי בתחום אז לא אתווכח איתך על זה.

בכל מקרה, לגופו של ענין, ככל הנראה אני צריך ליצור/להעלות מעל 200 קבצי TTS ועוד קבצים של תיקיית הsaleproducts, יש דרך להעלות תיקיה שלימה או שצריך להעלות/ליצור אותם עם בקשות לשרת לכל קובץ בפני עצמו?

צדיק תמים

@עידו כתב ביצירת תיקיה בAPI:

יש דרך להעלות תיקיה שלימה

לא

MGM IVR

@עידו כתב ביצירת תיקיה בAPI:

בטוח? כדאי לבדוק שוב, עד כמה שהבנתי לבקשה עצמה אין מגבלה, המגבלה היא ברמת השרת, שהוא לא מוגדר כדי להתמודד עם זה.

https://www.google.com/search?q=HOW+MAX+DATA+ON+GET+REQUESTS&oq=HOW+MAX+DATA+ON+GET+REQUESTS&gs_lcrp=EgZjaHJvbWUyCQgAEEUYORigAdIBCTEwNzE0ajBqN6gCALACAA&sourceid=chrome&ie=UTF-8

@עידו כתב ביצירת תיקיה בAPI:

אגב, לגבי השגיאה שקיבלתי, איפה שמואל מהאבטחת מידע? כמדומני שהתגובה הזו לא תקינה כלל... היא מלמדת בדיוק איזה מערכת הפעלה באיזו גירסה מפעילה את השרת וכמובן איזה שרת...

על איזה תגובה אתה מדבר?

עידו

@MGM-IVR
העלאתי צילום מסך ומחקתי כי עד כמה שאני זוכר זה לא אמור להופיע

414 שהבקשה ארוכה מאוד + מערכת הפעלה שרצה על השרת (ובאיזו גירסה) ואיזה שרת היא מריצה

עידו

@MGM-IVR כתב ביצירת תיקיה בAPI:

בטוח? כדאי לבדוק שוב, עד כמה שהבנתי לבקשה עצמה אין מגבלה, המגבלה היא ברמת השרת, שהוא לא מוגדר כדי להתמודד עם זה.

https://www.google.com/search?q=HOW+MAX+DATA+ON+GET+REQUESTS&oq=HOW+MAX+DATA+ON+GET+REQUESTS&gs_lcrp=EgZjaHJvbWUyCQgAEEUYORigAdIBCTEwNzE0ajBqN6gCALACAA&sourceid=chrome&ie=UTF-8

נו תסתכל שם בתשובות...

אביי ורבא

פוסט זה נמחק!

עידו

@MGM-IVR @אביי-ורבא כתב ביצירת תיקיה בAPI:

@MGM-IVR כתב ביצירת תיקיה בAPI:

על איזה תגובה אתה מדבר?

הוא מדבר על משהו כמו זה, (רק בנג'ניקס..) שעכשיו כולם יודעם שאני משתמש באפאצ'י 2.4.52 על שרת אובנטו..

לא יפה לצחוק על אנשים.

במיוחד שלפי הדיבור שלך (למרות שתה מתכנת בחסד ומוערך כאן בפורום) אני לא סגור על זה שאתה עמוק באבטחת מידע.
לדוגמא עכשיו כל סקריפט קיד יוכל להשתמש עם זה על השרת שלך, ויש עוד.

לא סתם כולם חוסמים את עמודי שגיאה שמגיעים עם השרת ויש הגדרות מיוחדות לשרת כדי שלא ישלח פרטים עליו.... זה הרי הצעד הראשון לפני פריצה ויש כלים מיוחדים בשביל לברר את הפרטים האלו. ואתה פשוט מפרסם אותם כאן בגלוי...

אני מרגיש קצת עוינות, חבל... בואו נשאר ידידים, בכל זאת המטרה של כולם כאן זה לעזור אחד לשני...

אביי ורבא

@עידו לא התכוונתי לצחוק על אף אחד, וודאי שלא עליך,

מחקתי את הפוסט, (לא בגלל שאני מפחד מהפומביות של הפרטים, אלא בגלל שנעלבת איכשהו)

אני די בטוח שהסיבה העיקרית שבגללה מחליפים את עמודי השגיאה היא אסתטיקה וseo,

אינני אומר שזה לא נחמד בשביל תוקף לדעת מה גרסה השרת שלך, אבל לפי מה שאני יודע לפחות זה לא מה שיעשה לך את הבעיות..

אדרבה, אשמח לדעת אם אני טועה, ואחסום את זה גם בשרתים שלי

עידו

@אביי-ורבא
אכן, זה לא מה שיעשה את הבעיות, אבל בלי המידע הזה יותר קשה לתקוף, צריך בדיקה מוקדמת כדי לזהות מה המערכת שלך, הרי אני לא אתקוף אובנטו כמו שאני תוקף את ווינדוס, נכון? אא"כ אני פשוט ארסס מתקפות ואבדוק מה פגע, שזה חבל על המשאבים, הזמן והחשש שיעלו עלי בטרם עת.

במקביל אני בודק את זה, כי כאמור כבר כמעט עשור שלא התעסקתי עם זה...

צדיק תמים

@עידו כתב ביצירת תיקיה בAPI:

לא סתם כולם חוסמים את עמודי שגיאה שמגיעים עם השרת ויש הגדרות מיוחדות לשרת כדי שלא ישלח פרטים עליו.... זה הרי הצעד הראשון לפני פריצה ויש כלים מיוחדים בשביל לברר את הפרטים האלו. ואתה פשוט מפרסם אותם כאן בגלוי...

אם זה כל כך בסיסי באבטחת מידע איך זה שהשרת עצמו לא מסתיר את המידע הזה כברירת מחדל? מה, היוצרים של nginx לא מבינים כלום באבטחת מידע?

MGM IVR

בדיוק היום שמעתי פרק בפודקאסט סייברסייבר על הנושא
https://cybercyber.co.il/?p=2694
הנושא של הפרק הוא הכותרות שהשרת מחזיר למי שמנסה לגשת אליו, וחלק מהפרק דיברו גם על גירסת שרת וכו.

זה באמת חשוב, כדי לא לחשוף לתוקף ידע, שעלול לעזור לו "לדוג" אותך ספציפי, כי עליך יש לו יותר פרטים, למשל גירסת NGINX שהיא ישנה ופגיעה, וכן על זה הדרך

עידו

טוב מיצינו את הנושא, מה שנקרא בלע"ז חזל"ש.

אני צריך להעלות 260+- של קבצי TTS ועוד קבצי מכירות לפי מק"ט ארוכים במיוחד.
מה הדרך המומלצת לעשות זאת?

אביי ורבא

@עידו כתב ביצירת תיקיה בAPI:

מה הדרך המומלצת לעשות זאת?

אתה שואל כיצד כדאי לכתוב קוד לזה מבחינה לוגית או מחפש מישהו שכבר מימש משהו כזה?

עידו

@אביי-ורבא
תודה

אני שואל איך כדאי, האם לולאה שתשלח מעל 260 בקשות API ליצירת קבצי TTS ואת שאר קבצי המכירות בPOST כמו שהצעת, או שיש דרך אחרת.

כי אלו המון בקשות לשלוח... אמנם אני לא שולח ידנית והכל נעשה אוטומטית כך שאני לא אתעייף מזה, אבל זה נראה לי מוגזם כזו כמות...

MGM IVR

@עידו כתב ביצירת תיקיה בAPI:

@אביי-ורבא
תודה

אני שואל איך כדאי, האם לולאה שתשלח מעל 260 בקשות API ליצירת קבצי TTS ואת שאר קבצי המכירות בPOST כמו שהצעת, או שיש דרך אחרת.

כי אלו המון בקשות לשלוח... אמנם אני לא שולח ידנית והכל נעשה אוטומטית כך שאני לא אתעייף מזה, אבל זה נראה לי מוגזם כזו כמות...

260 בקשות API זה לא הרבה

עידו

@MGM-IVR כתב ביצירת תיקיה בAPI:

בדיוק היום שמעתי פרק בפודקאסט סייברסייבר על הנושא
https://cybercyber.co.il/?p=2694
הנושא של הפרק הוא הכותרות שהשרת מחזיר למי שמנסה לגשת אליו, וחלק מהפרק דיברו גם על גירסת שרת וכו.

זה באמת חשוב, כדי לא לחשוף לתוקף ידע, שעלול לעזור לו "לדוג" אותך ספציפי, כי עליך יש לו יותר פרטים, למשל גירסת NGINX שהיא ישנה ופגיעה, וכן על זה הדרך

אגב, מי שמעניין אותו הנושא יש את זה ובכללי האתר הזה מאוד מעניין ומאוד מלמד בתחום האבטחת מידע יש שם חומר מקצועי מאוד, ובעברית.