אבטחה - באימות דו שלבי / דעתכם... 🪪💂🏻

דוד נחום

@חכמון ברור שכך, אבל עדיין, המצב הוא שימות המשיח 'כופים' את האימות המחמיר למרות שהיה אפשרי גם לפני כן, והטענה היחידה ששכנעה אותי שיש צורך בזה היא שעמותות ומערכות גדולות עלולות לפספס את האפשרות/לוותר על הכאב ראש הקטן יחסית.
ואותם הצעתי לחייב, במקום את כל הציבור, או לחילופין לסמוך עליהם, שאת זה ימות כבר לא מוכנים לסבול (אני מניח שאותו סיפור שהובא כאן הסתיים בנזק גם כלפי ימות המשיח, ולא רק אותה עמותה)

@חכמון כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

אתה מכיר איזה מייל עסקי מאוד חשוב שלא מאובטח באימות דו שלבי?!

אותה עמותה שסופר עליה, לא מכיר, אבל ברור שיש, כל עוד זה לא חובה.

מנסה

אני מבין שבחודש האחרון של השנה אני אצטרך מהבוקר עד הלילה לעשות התאמות למאות מערכות תוכן לאימות החדש
והלקוחות שלי חלקם לא יאהבו את זה וישלמו, וחלקם פשוט לא יסכימו,[ עוד כמה שעות של ויכוחים מתישים]
בסך הכל מדובר על שינויים מפליגים באלפי שורות קוד שונות, בעשרות מערכות שונות
[אני מדבר על API כמובן]

או בקיצור הולך להישרף לי חודש מהחיים על השינוי הזה
[ככל הנראה גם ללא שאקבל על זה תשלום]

תודה על האבטחה...

[אי אפשר כל שבוע שבועיים להתקשר למנהל ת"ת או חנות שלקחו אצלך מערכת ולומר להם, אדוני אתה צריך כעת לשלם לי עוד X כסף כי ימות עשו שיוני במערכת ולכן המערכת שבניתי לך יותר לא תעבוד עד לתיקון, אם זה משהו חד פעמי כן, אבל זה נהיה על בסיס קבוע, פעם פירסומות ופעם אבטחה ועוד...
אז בפירסומות הם חרקו שיניים והתקשרו לשירות הלקוחות, הפעם אני אצטרך כנראה לעבוד ושנות הכל בלי ליידע אותם, ומקווה בכלל שאמצא את הפתרונות היעילים, לא תמיד זה יהיה אפשרי להוסיף יצירת טוקן וכדו' [תלוי בצורת העבודה שהשתמשתי איתה בזמנו לפי האופציות שהיו פתוחות אז]

אני מסכים שיש בעיות סייבר גוברות והאבטחה חשובה מאוד, אבל השאלה האם כל חשש מצדיק את זה, בהתאם לסטנדרטים הבין לאומיים
כמדומני שגוגל מאפשרת בחירה אם יהיה אימות, וכן בAPI לא נדרש אימות [מלבד הפקת טוקן ח"פ קבוע]
וכן הלאה בחברות רבות שרק בכניסת משתמש פיזית דורשים אימות [ולפי בחירת הלקוח בדרך כלל], אבל בAPI לא נדרש משהו מעבר להפקה מאובטחת

שלמה צובל

ממתי יכנס השינוי בAPI? זה סופי?

זאביק

@מנסה כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

או בקיצור הולך להישרף לי חודש מהחיים על השינוי הזה

להישרף לך ולעוד אלפי לקוחות...

ורק שכחת להוסיף, שיש סיכוי סביר שבעלי המערכות עלולים לסבול מזה גם במשך חצי שנה לאחר החודש ההוא, כאשר פתאום תתגלה עוד שלוחה בעייתית, ועוד שלוחה,
ואז לאחר בדיקה יתגלה, שהיה איזה קוד זניח בשלוחה מסויימת (או בתיקייה מסויימת בשרת) ששכחו לטפל בו,

והרי כל בעל מערכת גדולה שמורכבת עם המון קודים יודע, שלאחר תקופת ההרצה הראשונית של חצי שנה שכבר כל הבאגים שנמצאו נבדקו וטופלו, הרי מכאן ואילך מעדיפים כמה שפחות לגעת בקודים, משום שכל שינוי קטן בקוד ספציפי שמשוייך להמון שלוחות, עלול לגרום לאיזה באג, שלעיתים יגלו אותו רק לאחר חצי שנה.

פלוס

@זאביק כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

הרי מכאן ואילך מעדיפים כמה שפחות לגעת בקודים,

בהחלט!
ואז יוצא שבמקום רווח להגן על המערכות - הוא יעשה את ההפך הגמור,
יותר לא יגעו בקודים להחלפתו!

וסתם כך אני לא מבין,
אם כ"כ רוצים לעשות אבטחה - למה שלא יעשו את זה גם (ובעיקר...) דרך הניהול הטלפוני...
נשמח לתגובה רשמית בנושא.

זאביק

@מנסה כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

[אי אפשר כל שבוע שבועיים להתקשר למנהל ת"ת או חנות שלקחו אצלך מערכת ולומר להם, אדוני אתה צריך כעת לשלם לי עוד X כסף כי ימות עשו שיוני במערכת ולכן המערכת שבניתי לך יותר לא תעבוד עד לתיקון, אם זה משהו חד פעמי כן, אבל זה נהיה על בסיס קבוע, פעם פירסומות ופעם אבטחה ועוד...

ואני מוסיף מהצד של בעלי המערכות,
כשהקמתי מערכת והשקעתי עליה עשרות אלפי ש"ח, על ההקמה הראשונית ועל הפרסום בעיתונים במשך השנים, חשבתי לתומי שהמערכת תהיה יציבה בעזרת השם, - ולא חשבתי שאצטרך להסב את העיסוק שלי להיות חצי מתכנת, בשביל לפתור בכל תקופה את הבעייה שצצה במערכות מדי פעם.

וכך יוצא שבמקום להשקיע את הזמן והאנרגיות לשידרוג ושיכלול המערכת שלי, אני צריך לבזבז את הזמן מדי תקופה, בכדי לשמר את המערכת הבסיסית הקיימת, שלא יתחילו לשמוע שם פתאום: אין מענה מ API...,

כבר הזכירו בעבר בעניין הסיפור עם הקריינות, שהלקוחות בסך הכל מחפשים קו יציב, בלי שיצטרכו לבזבז זמן בשביל לתחזק אותו כל הזמן,

ואני מדגיש כאן שוב, שחלילה אין כוונתי כלל וכלל לקנטר מישהו, ובודאי שימות המשיח מתחשבים מאוד בלקוחות!!! ורק באתי להעלות כאן את הצד של הכאב ראש העצום של הלקוחות, שבסך הכל מחפשים שהקו יהיה יציב בלי צורך לתחזק אותו כל הזמן, - וכוונתי אמורה גם לשדרוגים החדשים שעלולים להיות בעוד חודשיים או בעוד חצי שנה וכו', שיש לשים לב שזה לא יגרום כאב ראש ללקוחות.

ואחתום שוב בתודה רבה לימות המשיח, על כל מיני שדרוגים מיוחדים ונפלאים שצצים מדי פעם, שלעיתים רבות חוסכים לנו המון המון כאב ראש שזה חוסך לנו לבנות בעצמנו קודים, ע"י הפיתוחים המפתיעים והמיוחדים כל הזמן!!!

y6714453

@שמואל מה אתה אומר? אחרי כל כך הרבה פוסטים של תסכול...
האם נראה לך שימות יאפשרו ללקוחות לוותר על האימות דו שלבי?

(כמו בחשבונות גוגל, חשבונות בנק, ועוד שירותים עם מידע הרבה יותר רגיש - שאפשר לוותר על האימוד"ש...)

ועוד שאלה - אני משער נכון? מה אמרת שיהיה צורך לטפל בAPI ... זה רק בAPI גישת מפתחים למערכות, ולא בסתם שלוחת API...
או שאני טועה?

sumone

@y6714453 כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

ועוד שאלה - אני משער נכון? מה אמרת שיהיה צורך לטפל בAPI ... זה רק בAPI גישת מפתחים למערכות, ולא בסתם שלוחת API...

ברור, שלוחת API האחריות על האבטחה היא על השרת שמקבל את הפניות.

חכמון

@פלוס כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

וסתם כך אני לא מבין,
אם כ"כ רוצים לעשות אבטחה - למה שלא יעשו את זה גם (ובעיקר...) דרך הניהול הטלפוני...

לא הכל,
רק על הפעלת קמפיין,
ועל דברים רגישים, כמו מחיקת שלוחות.

צבי ד"צ

ללא התייחסות לפוסטים הקודמים ולגוף הנידון, אני רק רוצה לבקש, שיביאו את הנוהל החדש של הAPI שנוכל כבר להתחיל לסדר את זה במערכות

צבי ד"צ

לגבי אלו שצריכים לשנות הרבה API, אני לא כזה מבין בזה, אבל אי אפשר פשוט להריץ איזשהו קוד בשרת שישנה את כל הקודים?

הערה נוספת שפתאום חשבתי, האם האתר החדש יעבוד לאחר השינוי?כי הוא עובד על הAPI, וזה תלוי מסתמא מה יעשו עם הAPI בסוף

חכמון

@צבי-ד-צ או אולי לפרט מה יהיה בדיוק התוכנית שלהם,
ולתת יותר זמן עד לתאריך היעד,
כי עוד שניה שבת חג שבת חג שבת חג שבת חג.

יהודה צ. כ.

@פלוס כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

יש לי מערכת בשרת הרגיל שפעם מישהו מכר לי, עכשיו רציתי לעשות אימות פלאפון של בעל המערכת, אז הסתכלתי בלשונית הגדרות משתמש כדי לראות מה מספר הפלאפון שפתח את המערכת, למזלי ב"ה המספר היה שם, (בלשונית אבטחה המספר אינו כתוב במלואו והלוגים השונים אופסו מזמן) חייגתי אל הבנאדם, ומה מתברר? או שהוא לא זוכר שהיו דברים מעולם, (זה היה לפני המון זמן) או שבכלל מישהו אחר פתח את המערכת מהפלאפון שלו...
לא חולפות כמה דקות וממש בעת כתיבת שורות אלו, מתקשר אלי שוב אותו אחד ומביא לי לדבר עם חבר שלו, ובקיצור הכל הסתדר על הצד היותר טוב ב"ה.

אבל כעת התעוררו אצלי שתי שאלות,

א. מה יהיה עם אנשים שפתחו מערכות מפלאפונים שאינם שלהם / מספרי פלאפון שכבר נסגרו / עברו לרשותו של מישהו אחר / פלאפון של אדם מהרחוב... וכו' איך יבצעו את האימות?

ב. בשיחת הפלאפון שלי עם אותו אדם היה לי קצת אי נעימות שיחשוב שאני חלילה מנסה לפרוץ לו למערכת כלשהיא.... לכן עצתי נתונה כי בשיחת האימות הנכנסת ימות המשיח ישמיעו את מספר המערכת עבורו מתבצע האימות (או את חלקו)

תודה רבה מראש

@ימות-המשיח @שמואל