אבטחה - באימות דו שלבי / דעתכם... 🪪💂🏻
-
@פלוס כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:ותודה שהתחשבתם בכותבי האשכול הזה - ואפשרתם התחברות פעם ל30 יום!
זה היה מתוכנן לפני שביקשו, אבל שמח שזה לשביעות רצונכם.
️@גלאט-מערכות כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:@שמואל מה עושים עם כל המערכות בריסיילרים ולא מוגדרים מספר בעל מערכת?
ברמת האפשרות, ניתן להגדיר לפי ריסיילר מיילים/טלפונים/ שיופיעו במנוע האימות בכל התחברות של כל הלקוחות שלו, או שיופיעו כאשר הריסיילר מתחבר רק עם סיסמת מאסטר בלבד, או אפילו כתובות IP לבנות (ברמת התחברות בלבד, זה לא עדיין יהיה צורך ב״אימות קשיח״ כדי להוסיף אמצעי אימות חדשים).
טלפונים/מיילים יאפשר לריסיילר לבצע את האימות הראשוני בהתחברות של הלקוחות שלו - ואז שהם יגדירו אמצעי אימות משלהם.@שמואל-ש כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:אז מה הבעיה?
יש בעיה.. כי מי שמשתמש עם API על שרת - הוא יפסיק לעבוד. כי יהיה חייב אימות דו-שלבי. האפשרות היחידה להשתמש עם הapi ״המסורתי״ אחרי תאריך האכיפה - יהיה לעשות אימות דו שלבי עם ״זכור אותי״, וזה יפתח את הip לחודש. אבל עדיין...
מי שמשתמש עם api באתרים שהוא בנה, אז בעז״ה שיעלה התיעוד של הMFA - יהיו צריכים להתאים את עצמם.ברמת הapi אני אכתוב בזהירות, שלא יביאו אליי אחרי זה ״אמרת״, אבל זה הכיוון של מה שהולך להיות:
- חיסול האפשרות להתחבר ולבצע פעולות כאשר מספר המערכת והסיסמה נמצאים בצורה ישירה בבקשה. (token=077:1111). אני יודע שזה יהיה קשה להרבה לקוחות, אבל לצערי האפשרות הזו לא תקינה מלכתכילה, ועם כל הכאב, זה לא יתאפשר יותר.
- יהיה בעזרת השם אפשרות באתר להגדיר כתובות IP שלא יצטרכו לבצע אימות דו-שלבי. ואז הם יוכלו לבצע Login - לקבל טוקן - ולרוץ איתו. גם באתר הניהול הם יהיו פטורים מאימות דו-שלבי. רשימת ip לבנה ברמת הפיתוח זה בוצע, אבל צריך עוד לאפשר את זה באתר להגדיר את זה ולסגור פינות.
- יהיה אפשרות ליצור API_KEY קבוע, שזה קצת לא רוצה לומר דברים שלא קיימים, אבל בעזרת השם נעשה את זה בצורה טובה, שתאפשר גמישות ונוחות.
טל״ח...
-
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:יש בעיה.. כי מי שמשתמש עם API הוא יפסיק לעבוד. האפשרות היחידה להשתמש עם הapi ״המסורתי״ אחרי תאריך האכיפה - יהיה לעשות אימות דו שלבי עם ״זכור אותי״, וזה יפתח את הip לחודש.
כתבתי את זה ל @פלוס שכתב שחייבים כזה דבר אז ציטטתי לו שכתבת שאכן הולך להיות אימות דו שלבי
-
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:יהיה בעזרת השם אפשרות באתר להגדיר כתובות IP שלא יצטרכו לבצע אימות דו-שלבי. ואז הם יוכלו לבצע Login - לקבל טוקן - ולרוץ איתו. גם באתר הניהול הם יהיו פטורים מאימות דו-שלבי.
למשל - התקנתי מייל לטלפון, שזה סקריפט בתוך קובץ גוגל שיטס, שנמצא בדרייב שלי,
והייתי צריך להריץ טוקן, ועשיתי זאת בחדר מחשבים.
עכשיו איזה ip המחשב זוכר,
כלומר, האם זה ימשיך להריץ את הסקריפט, גם כשהמחשב בחדר מחשבים אינו מחובר כבר?
והאם אצטרך פעם בחודש להריץ את הסקריפט שוב? -
@חכמון השאלה שלך חסרה מאד, כי ניכרת פה קצת חוסר הבנה.
אני גם לא יודע מה בדיוק גוגל סקריפט וכו.צריך להבין איך הדברים עובדים ואז תוכל לענות לבד. או שתסביר יותר.
גוגל זה משהוא שרץ במחשב שלך? לא נראה לי.
אתה יצרת שם טוקן? לא נראה לי. השתמש עם מערכת:סיסמה.ודו״ק
-
@שמואל הייתי צריך להכניס שם טוקן login,
ואחרי שהכנסתי את הערך - הסקריפט ממשיך לרוץ,
אז זה נשמר בדרייב שלי?
זה צילום מהטוקן שם:
-
@שמואל אני גם רואה שתיקנו את הבאג שאי אפשר ללחוץ אנטר אחרי שמקישים את הקוד,
אלא חייבים לזוז עם העכבר ל"אמת את הקוד".
עכשיו כבר אפשר. -
@חכמון כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:ואחרי שהכנסתי את הערך - הסקריפט ממשיך לרוץ,
אז זה נשמר בדרייב שלי?זה נשמר בדרייב, והריצה מתבצעת משרתי גוגל סקריפט, ולהם יש ה-מ-ו-ן כתובות IP, יהיה קצת קשה לסדר את זה,
אולי זה יעזור:@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:יהיה אפשרות ליצור API_KEY קבוע
לי יש הרבה סקריפטים שרצים בגוגל סקריפט, אני מקווה שלא ייהרסו לי המערכות... -
@שמואל
א. ישנם בעלי מערכות שאינם מתכנתים בעצמם, אך הקימו בעבר מערכת מורכבת מאוד שמבוססת כולה על API ע"י מתכנת מקצועי בתשלום נכבד,והם לא משתמשים "חינמיים", אלא הם משלמים זה שנים על הקו שלהם ל'ימות', הן בהחזקת הקו / והן ברכישה קבועה של יחידות לשיגור הודעות / וכיום גם על הסרת פרסומות.
וכעת קשה להם מבחינה תקציבית לשלם למתכנת מדי תקופה, בכדי להתאים את המערכות שלהם לכל מיני שינויים שמבוצעים במערכות אצלכם, מעת לעת.
-
ולגביהם לא יעזור מה שאתם בודאי תטרחו ליידע את המשתמשים (המתכנתים), כיצד יש לבצע את ההתאמות מבחינה טכנית, - כיון שעדיין המתכנת יבקש מהם תשלום על העבודה / וגם לא תמיד למתכנת יש זמן פנוי. - ולמעשה זה מצב לא נעים שיש להם באגים במערכת מדי תקופה.
-
השאלה היא, מדוע שלא יהיה אפשרי, למי שמעוניין בכך, להגדיר באתר שאינו מעוניין באימות החדש, ושהאימות החדש לא ישפיע במערכת שלו כלל על כל הפקודות שנשלחות ב API ??
הרי הנהלת ימות המשיח לא צריכה לחשוש לביטחון המערכת הפרטית של הלקוח, יותר ממה שהלקוח בעצמו חושש.
[כל הנ"ל נכתב גם לגבי שאר חידושים עתידיים שתרצו לעשות, שכדאי לתת את הדעת על כך, שישנם לקוחות שזה פוגע להם בכיס, כיון שהם צריכים לשלם למתכנת בכל פעם בכדי להתאים את השינויים].
ב. ואם כבר הגענו לנושא של אבטחת המידע במערכות, אז יש נושא קריטי לא פחות, והוא: הפסקת פעילות ה FTP
כי מצד אחד לא אכפת לנו שחסמתם את האפשרות הזו, מחמת החשש המובן שיש לכם שמא יעברו עם החומר לחברות מתחרות,
- אך מצד שני, כיון שכל הזמן אנחנו משנים ומשדרגים את המערכות לפי הצורך, אנו חייבים שתהיה לנו אפשרות ליצור נקודות שיחזור פנימיות, למקרה של תקלה חמורה, או למקרה שנרצה לבטל את השינויים שנעשו בתקופה האחרונה.
וזה דבר שעלול לקרות הרבה הרבה יותר, מאשר פריצה של מישהו שיעלה על הקוד, - [ובנוסף, אם תהיה נקודת שיחזור יוכלו להתגבר בקלות על הנזקים של הפריצה, ולהחליף את הסיסמא].
והרי כל מי שכותב מסמך בקובץ WORD פשוט, יש לו אפשרות ליצור כמה גירסאות של הקובץ, ואילו במערכת שלכם עם אלפי הגדרות למיניהם אין את האפשרות הזו,
[ואם זה קשה לכם כיון שזה מכפיל את נפח האיחסון של המערכות בשרתים שלכם, אז לפחות תתנו את האפשרות הזו רק לבעלי המערכות שמשלמים לכם תשלום חודשי על החזקת המערכת]
וכמובן שלא באתי בכל הנ"ל חלילה להקניט מישהו, - אלא באתי רק להסב את תשומת ליבכם לנקודת המבט של הלקוחות, שברור לנו שחשוב לכם לשמוע את דעתנו.
ואחתום בתודה על כל השידרוגים והחידושים שאתם נותנים למשתמשים כל הזמן ללא עלות.
כתיבה וחתימה טובה!!! -
-
@שמואל עשיתי אצלי אימות דו שלבי ונכתב לי למעלה
אך כשנכנסתי למערכת בפעם הבאה קיבלתי שוב
יש לי כבר שיטות אימות
מה זה?
-
@זאביק כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:השאלה היא, מדוע שלא יהיה אפשרי, למי שמעוניין בכך, להגדיר באתר שאינו מעוניין באימות החדש, ושהאימות החדש לא ישפיע במערכת שלו כלל על כל הפקודות שנשלחות ב API ??
סתם מוסיף פה גם על מה שכתבת וגם באופן כללי - דוגמא לבעיה בכל מערכת ולא רק מערכות בפעילות:
לפני תקופה ארוכה, נשלחו אלפי סמסים של 'פישינג' ממערכת של עמותה מאד גדולה שטיפלתי בקו שלהם.
מערכות הספאם באפליקציות לא חסמו את זה כל כך מהר כי זה מספר מאד מאד מוכר וזה היה נזק אדיר!
לקח כמה שעות עד שהטלפונים התחילו להגיע לעמותה ואז פנו אלי... (התברר שהסיסמה הייתה שמורה אצל עובד אחר והוא השתמש עם תוסף לשמירת סיסמאות מאד פופולארי והתברר שפרצו לחברה של התוסף).הפורץ רכש יחידות ישירות בתוך המערכת באלפי שקלים(!!) - ולכן לא משנה העובדה שזה מערכת בשימוש או לא, מערכת שאפשר דרכה לבצע פעולות רגישות כמו הוצאת שיחות ושליחת סמסים - מחייבת אמצעי זהירות שימנע אותם.
ואגב, זה סטנדרטי לגמרי לחייב אימות דו שלבי.
-----
תכל'ס אני מבין אותך לגמרי שזה כאב ראש מטורף, אני גם סובל עכשיו מהבעיה שצריך להעלות מהאוב כמויות של מערכות ולוודא איפה יש API ואיפה אין.. אבל זה המחיר של אי סדר אישי שלי (ושל כל אחד אחר)
. -
@עץ-השדה עדיין לא הבנתי מה הבעייה שימות המשיח יתנו את האופצייה, שכל לקוח יוכל לבחור אם מעוניין באבטחה הכפולה הזו, או שאינו מעוניין?? (ואפי' מקובל שברירת המחדל תהיה תמיד שאבטחה כפולה פעילה, עד שהלקוח יבקש אחרת).
יש לי המון קודים ב API שמפוזרים בהרבה מקומות במערכת שלי ובשרת שלי, שנבנו במשך השנים ע"י כמה מתכנתים שונים, - ואם במקרה שלי החשש מפני פריצה הוא קטן (אני מאוד זהיר לא להכניס את הסיסמאות לאתרים או לשרתים אחרים), - ולעומת זאת הכאב ראש להתאים את כל הקודים הוא עצום, - ואולי גם יהיה לי נזק כספי באם לא אצליח להתאים לבד את כל מה שצריך, ואצטרך לערב מתכנת בתשלום, אז הרווח מהאבטחה הכפולה קטן מאוד לעומת הכאב ראש והנזק הגדול שיכול להסתכם בשעות על גבי שעות עבודה.
וזה רק להיום, כי בעוד חודשיים עלול להיות שידרוג נוסף בתחום אחר במערכות, שיצריך אותנו עוד פעם לעבוד להתאים את המערכת לשידרוגים החדשים, ואין לדבר סוף... - ואני לא חשבתי כשהקמתי את המערכת לפני כמה שנים, (ושילמתי אז באופן חד פעמי, הון רב למתכנת מקצועי), שהקמת מערכת מחייבת אותי להיות צמוד כל הזמן לטפל בקודים מחמת שינויים המתחדשים חדשים לבקרים.
@שמואל
ועל אף שאינני מתכנת, אני מרשה לעצמי לשער: שימות המשיח יכולים לבנות את האופצייה לתת ללקוח לבחור האם מעוניין באבטחה הכפולה, אם לאו, על ידי כמה שעות עבודה בודדות אצלם בפיתוח, ולכל היותר עשר שעות,ואילו ימות המשיח לא יתנו את האופצייה הזו, - הרי כשנחשיב את כמות הלקוחות שיצטרכו לעבוד להתאים את הקודים שלהם לזה, נגיע לעשרות או מאות אלפי שעות עבודה של הלקוחות שהולכים לריק ממש, בזמן שחלקם אינם מעוניינים כלל בתועלת של האבטחה לעומת הכאב ראש הגדול.
