אבטחה - באימות דו שלבי / דעתכם... 🪪💂🏻

נר יצחק

@פלוס זה לא איפוס של המערכת רשמית
אלא מציאות של פקודת API של מחיקת שלוח
זבמקרה הזה מוחקת את השלוחה הראשית

נר יצחק

@אביי-ורבא סליחה שאני מגלה ומקווה שזה לא יהרוס לי כי אני אצל ריסיילר שלא כאן המקום לפתוח עליו את הפה אבל תכל'ס יש לי מערכת שמגיע לעשרות אלפי דקות ושיחות בחודש ולא הגדיר לילפני מס' שנים מספר מנהל כשפתחתי אצלו את המערכת והיום - נאדה. הוא נעלם מהראדר ואני תקוע עם אלף ואחד דברים

אבל לקנות יחידות אפשר דרך הניהול הטלפוני בלי אימות דו שלבי

נר יצחק

טוב אז לאחר צניחה לשרשור עם מעל 100 פוסטים
חלקם מתוסכלים יותר חלקם מתוסכלים פחות אפרוס את טענותיי

שימו לב: פוסט זה נכתב בעוקצנות יתר

Spoiler

כי בכ"א כבר

דבר ראשון זה לא חכמה להגיד בעייה שלכם שלא בניתם עם קוד נקי אני בתור בונה מערכות מעל 10 שנים קצת פחות הגיוני שהייתי יודע אז לבנות מערכת פרפקט עם שליחת בקשת התחברות מסודרת שלא מפוזרת עם מס' מערכת וסיסמה בכל חור וכו'.
כי הרי גם @שמואל היקר שאני לא בא לזלזל בעבודת הקודש שלו חלילה לא ידע כשהוא התחיל לעבוד בחברה את כל מה שהוא יודע היום כי כל דבר לומדים לעשות ואתה לא מצפה אפילו ממייקל דל שבתחילת דרכו יבנה מחשב מושלם, לכל אחד יש טעויות שמהם הוא לומד,ו זה לא חכמה להאשים אותו
דבר שני אני למשל פתחתי מערכת אצל טלטק לפני כמה שנים והאיש פשוט התאייד עכשיו זה מערכת ממש חשובה ועכשיו לך תחפש אותו בכל בעולם כדי לעדכן מספר שפתח את המערכת ומה גם שאני מתקשר לשירות לקוחות התגובה הכי לקונית שאני מקבל זה "זה לא מערכת שלנו אתה לקוח של טלטק תדבר איותו". ואני עונה "אבל אנין לי עם מי לדבר". ועונים לי "זה לא מענין אותי אתה לא לקוח שלנו" וסלמאת.
מה בדיוק אני אמור לעשות.

דבר שלישי אני ב"ה לא מחזיק עליי במהלך הזמן מכשיר סלולרי ולא כל פעם שאני מגיח שנייה לאיזה מחשב (אני לא לומד בעיר חרדית) אני פותח את המייל ועכשיו צריך אימותים ובלאגנים

אני מבין את הבעייה של @ימות-המשיח שרוצים אבטחה, אבל ****** אבטחה. אותי זה לא מעניין. מה אכפת לי אני היחיד שיודע את כל הקודים הרנדומליים שלי. מצידי "דלת אנת ודל שיפורי אבטחתך"
תנו לנו לחיות בשקט
לא רוצים בלאגן

מצידי תקחו לי כמה שקלים גם על השקט הנפשי הזה ותחתימו אותי על מה שאתם רוצים, אני אמשכן את הסבתא שלי בשביל זה
זה ל הגיוני להכריח אותי על משהו שאני לא רוצה הרי א"א לגנוב לי אפילו שקל גם מי שיודע מקסימום קצת לעשות בעיות עם יחידות, אני לא חושב שיש מישהו (חוץ מ... שכ"כ מעוניין להרוס לי את המערכות

מקווה שהובני

למרות שהקאתי רק חצי מהכב בטן שלי על המהלך המעצבן הזה

יען כי אני לא זוכר את כל המערכות שבניתי בעשר השנים האחרונות

אז להתראות בינתיים

Spoiler

זה מה שהעליתי מהחודשיים שאני שומר בשמירה אוטומטית של גוגל את המערכות שלי כשנמאס לי להקליד בעצמי

!

חכמון

@נר-יצחק יש לי יותר, ואני ממש מזדהה איתך:

Spoiler

רק להגדיר לכולם את הטלפון והמייל שלי באימות, זה כבר סיוט של ממש

צדיק תמים

@שמואל כדאי שתוסיפו אפשרות לעשות את האימות באמצעות sso של גוגל. כמעט כל המיילים בציבור הם של גימייל וזה יקל מאוד לעשות את האימות בלחיצה במקום לפתוח מייל, לחכות שהקוד יגיע, להעתיק, להדביק

צדיק תמים

@גלאט-מערכות כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

עד היום היינו נכנסים עם כתובת URL הכוללת שם מערכת וסיסמה בטקסט פתוח – מה שמהווה סיכון אבטחתי, מכיוון שכל מי שיש לו גישה לשרת או ל-API יכול לראות את הסיסמה בקלות.

זה לא טקסט פתוח, הפרמטרים של הבקשה מוצפנים בHTTPS
מי שיש לו גישה לשרת יכול גם לקרוא את הסיסמה בזמן ההתחברות או ישירות מהדיסק
איך אפשר "לראות בקלות"?

עידו

@שמואל אני באמצע לבנות API ללקוח, ולא אתי בעיני להביא לו קוד שאני יודע שעוד חודשיים לא יעבוד כי שינו את השיטה, לכן חשוב מאוד שתשחררו כמה שיותר מהר את התיעוד החדש, אפילו חלקו שנוכל להתארגן כמה שיותר מהר.

עידו

באדיבות GPT (לקח לי המון זמן לעשות את זה, להסביר במדויק הכל זה לא פשוט!) הוכן כלי לבדיקת קוים אם מכילים משהו שיכול להיות כמו סיסמא וטוקן, הוא בודק אם יש token, Token, TOKEN או משהו בפורמט מספר:סיסמה. ככה מנהלי קוים יכולים לבדוק יחסית בקלות אם יש שם משהו שיצטרך שינוי. כמובן זה לא מכסה את כל המקרים, אבל עוזר.
מוזמנים לבדוק ולעדכן איך עובד.
הכל עובד מהדפדפן ככה שהסיסמה והמספר לא עוברים לשום מקום (חוץ מימות המשיח כמובן), אין לי אחריות על כלום, כפשוטו ממש!

yemot_extini_scanner (3).html

שמואל ש.

@עידו כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

באדיבות GPT (לקח לי המון זמן לעשות את זה, להסביר במדויק הכל זה לא פשוט!) הוכן כלי לבדיקת קוים אם מכילים משהו שיכול להיות כמו סיסמא וטוקן, הוא בודק אם יש token, Token, TOKEN או משהו בפורמט מספר:סיסמה. ככה מנהלי קוים יכולים לבדוק יחסית בקלות אם יש שם משהו שיצטרך שינוי. כמובן זה לא מכסה את כל המקרים, אבל עוזר.
מוזמנים לבדוק ולעדכן איך עובד.
הכל עובד מהדפדפן ככה שהסיסמה והמספר לא עוברים לשום מקום (חוץ מימות המשיח כמובן), אין לי אחריות על כלום, כפשוטו ממש!

yemot_extini_scanner (3).html

חשוב גם שיבדוק אם יש פרמטר pass או password כי יש הרבה שלוקחים את המספר שהתקשר ורק את הסיסמה לוקחים מהשלוחה

עידו

@שמואל-ש אדבר איתו
עריכה - מחקתי כבר את הצ'אט הנ"ל (אני מוחק אותם מהר, לא אוהב דברים מיותרים) אז פשוט שיניתי לבד.

עידו

@שמואל-ש כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@עידו כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

באדיבות GPT (לקח לי המון זמן לעשות את זה, להסביר במדויק הכל זה לא פשוט!) הוכן כלי לבדיקת קוים אם מכילים משהו שיכול להיות כמו סיסמא וטוקן, הוא בודק אם יש token, Token, TOKEN או משהו בפורמט מספר:סיסמה. ככה מנהלי קוים יכולים לבדוק יחסית בקלות אם יש שם משהו שיצטרך שינוי. כמובן זה לא מכסה את כל המקרים, אבל עוזר.
מוזמנים לבדוק ולעדכן איך עובד.
הכל עובד מהדפדפן ככה שהסיסמה והמספר לא עוברים לשום מקום (חוץ מימות המשיח כמובן), אין לי אחריות על כלום, כפשוטו ממש!

yemot_extini_scanner (3).html

חשוב גם שיבדוק אם יש פרמטר pass או password כי יש הרבה שלוקחים את המספר שהתקשר ורק את הסיסמה לוקחים מהשלוחה

yemot_extini_scanner-3 (2).html

בpassword מוצא עוד כמה דברים כמו passwordRecovery אבל לא נורא.

חכם בצהריים

בגלל שינוי במשהו מסויים לא צריך לשנות הכל

צביקה

אני כבר מעל עשר שנים מתעסק עם מערכות של ימות המשיח עוד מהימים שהיינו צריכים מענה אנושי כדי לפתוח תת שלוחה, פתחתי מאות מערכות אם לא יותר.

המהלך הזה חשוב מאוד ומבורך מצד האבטחה, אבל אני כבר רואה כמה וכמה מערכות שאם האימות לא יאפשר לי להיכנס אליהם, איבדתי את הגישה.
יש לי מערכות שנפתחו על מספרי טלפון של אנשים שכבר לא זמינים ואני עדיין מטפל בהם, וגם מערכות שאין לי דרך אמיתית להוכיח שאני הבעלים שלהם.

מבחינתי זה סגר לי את האפשרות לטפל בכמה וכמה מערכות שהייתי צריך להמשיך לנהל

היו ברוכים חברה נכבדה