אבטחה - באימות דו שלבי / דעתכם... 🪪💂🏻
-
אני כבר מעל עשר שנים מתעסק עם מערכות של ימות המשיח עוד מהימים שהיינו צריכים מענה אנושי כדי לפתוח תת שלוחה, פתחתי מאות מערכות אם לא יותר.
המהלך הזה חשוב מאוד ומבורך מצד האבטחה, אבל אני כבר רואה כמה וכמה מערכות שאם האימות לא יאפשר לי להיכנס אליהם, איבדתי את הגישה.
יש לי מערכות שנפתחו על מספרי טלפון של אנשים שכבר לא זמינים ואני עדיין מטפל בהם, וגם מערכות שאין לי דרך אמיתית להוכיח שאני הבעלים שלהם.מבחינתי זה סגר לי את האפשרות לטפל בכמה וכמה מערכות שהייתי צריך להמשיך לנהל
היו ברוכים חברה נכבדה
-
הוזכר על-ידי ח חכמון
-
פוסט מפורט ומסודר בנושא, פורסם כעת כאן
-
@עידו זה לא לגמרי עוזר, כי יש המון מקרים שהטוקן נמצא רק בשרת...
אולי כדאי שיגלה גם את כל שלוחות הAPI -
לא עברתי על כל השרשור אבל לכל ה"מתכנתים" שמתלוננים על הכאב ראש שיש להם להחליף את כל הקודים שהיו להם, אני חושב להיפך שעכשיו הכאב ראש סוף סוף ייגמר ובפרט אם ייקרה הדבר שייחלתי לו מאז שהכרתי את הAPI של ימות המשיח:
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:יהיה אפשרות ליצור API_KEY קבוע, שזה קצת לא רוצה לומר דברים שלא קיימים, אבל בעזרת השם נעשה את זה בצורה טובה, שתאפשר גמישות ונוחות.
(אם אני מבין נכון מההטעמה של המילים זה כנראה יאפשר גם הרשאות מותאמות שזה דבר נצרך מאוד)
עדיין יהיה מקום גם לקומבינטורים למיניהם לעשות "מה בא להם" עם זה:
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:יהיה בעזרת השם אפשרות באתר להגדיר כתובות IP שלא יצטרכו לבצע אימות דו-שלבי. ואז הם יוכלו לבצע Login - לקבל טוקן - ולרוץ איתו. גם באתר הניהול הם יהיו פטורים מאימות דו-שלבי. רשימת ip לבנה ברמת הפיתוח זה בוצע, אבל צריך עוד לאפשר את זה באתר להגדיר את זה ולסגור פינות.
-
הוזכר על-ידי C CUBASE
-
הופה הופה!
הנה רשימה לבנה לכתובות IP כמו שהבטיח @שמואל , אין עליכם!!
-
@מנסה כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:זה לא טענה, "בעיה שלך, היית צריך קודם ללמוד בצורה מקצועית איך כותבים קוד נקי מסודר ושקל לתחזק אותו",
כי אם כן אני יכול לשאול אתכם באותה מידה, מדוע לא למדתם על אבטחה קודם, ואיך לסדר את כל זה מראש.זה טענה, אנחנו לא מפתחים מערכת של חיידר אחד, וגם לא של 100.
אני אומר את מה שאמרתי מההתחלה; אנחנו ננסה לעשות את המהלך (כמו שניתן לראות בפועל) הכי קל שניתן לטובת הלקוחות, תוך כדי שהם ידרשו לבצע שינויים מינמיליים. אבל ההתעקשות שלך במטרה לגרום למצב להישאר כמו שהוא עכשיו לנצח - מיותרת, כי לצערי זה לא יקרה.@עידו כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:אבל עדיין אני לא יודע מה זה הMFA אבל נשמע שזה כבר לא פשוט לשנות מספר:סיסמא לטוקן, זה כבר קצת יותר מורכב
זה אכן מערכת שלמה, אבל עם ההגדרות הנכונות, בתכלס, כאשר מדובר על שרת לשרת - זה יהיה שינוי מספר:סיסמה לטוקן, +/-, אולי תוך כדי הגדרת כתובות IP מאושרות, וכד. בעז"ה שהדברים יהיו בנויים בכל הקצוות - הכל יתועד ויסוכם כך שהכל יהיה ברור, ואם יהיה צורך נאריך את התאריך לאכיפת השירות - כדי שכלל הלקוחות יהיו מוכנים בזמן - ככל שניתן.
-
@חוויה-טלפונית כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:למשל: שכתובות IP מסויימות יאושרו לשימוש עם =token077:1234 גם בלי אימות דו שלבי
שוב,
השימוש עם סיסמת הניהול כחלק מהבקשה, בכל בקשה, לא יהיה.
אתם מוזמנים כבר מאתמול לעבור לתצורה של התחברות עם Login - והמשך הפעילות עם הטוקן - כל עוד הוא פעיל.
גם ביצוע Login לפני כל קריאה הוא דבר שלא יתאפשר בעת הפעלת השירות - ויחסם ברמת ההתחברות עצמה.אז כאמור - כבר מהרגע, תתחילו לעבוד על ביצוע Login, שמירה של הטוקן בצד (לטובת כלל הבקשות לאורך טווח), תוסיפו את הכתובות IP של השרתים שלכם כמוחרגים מהדרישה לאימות דו"ש - אופציה שעלתה היום - ותתחילו להשתמש עם טוקן. זה צורה שתמשיך לעבוד גם הלאה לתמיד.
לקוחות שאין להם כתובת IP קבועה ממנה הם פונים, כמו גוגל סקריפט וכל הדבר הזה, או סתם לקוחות שמתעצלים להשתמש עם Login כמו שהסברתי, יצטרכו להמתין שבעז"ה תעלה האפשרות של קבלת API_KEY קבוע. אבל כל מי שלא - שזה למעשה כל התגובות שהיו פה - קדימה לעבודה.
-
@תן-חיוך-1 כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:למה שימות המשיח לא יתנו ללקוחות עצמם לבחור האם הם מעוניינים באימות דו שלבי או לא
כי זה דרישת האבטחה וסטנדרט בסיסי בכל מקום.
זה כמו לבקש מג'מייל שיתנו לך לעשות מייל בלי סיסמה, שכל אחד יכול להתחבר. ועם "אימות קולי" כמו שאמרת ש"לא איכפת לך".
או לבקש מהבנק אותו הדבר.דרישות האבטחה של ימות המשיח, ושל התעשייה כולה, ושל כל תקן הכי בסיסי, זה שיהיה אימות דו-שלבי. אני בכלל לא מבין את הטענה הזו "תנו לי להיות לא מאובטח, שיוכלו לפרוץ לי, לשבש לי, לעשות מה שרוצים - כל עוד אני יגיד לכם ש"לא איכפת לי". לא מבין בכלל את ההו"א בשאלה שלך.
-
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:זה כמו לבקש מג'מייל שיתנו לך לעשות מייל בלי סיסמה
לא בדיוק, יש סיסמה למערכת, וכעת חובה באימות דו-שלבי, בחשבון גוגל לא מחייבים אימות דו-שלבי ומי שמעוניין מפעיל את זה.. (אמנם בשביל לשמור פרטי אשראי בחשבון גוגל חייבים אימות דו-שלבי, אבל לא בכל מערכת יש פרטי אשראי לקניית יחידות וכדו', למה שלא יהיה חובה רק במערכות ששמור בהם פרטי אשראי?)
-
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:אנחנו ננסה לעשות את המהלך (כמו שניתן לראות בפועל) הכי קל שניתן לטובת הלקוחות, תוך כדי שהם ידרשו לבצע שינויים מינמיליים.
זה משפט שמאוד חיכנו לו, ותודה רבה על כך שאתה כותב את זה
זה מקל עלינו אפילו רק את ההרגשה, גם אם בסוף העבודה תישאר אותו דבריחד עם זאת אנחנו עדיין מקווים לראות הקלות נוספות שאולי יהיה אפשר לעשות כי כמו שנכתב כאן לעיל הדרישה הזו היא על מנת שתעלה לרקיע בשביל חלק מהפרוייקטים
אפילו רק אם נחשבו על כמות הבקשות השגויות שהשרת שלי ישלח... ואולי יחסם בעקבות כך...
תחשבו על זה...@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:גם ביצוע Login לפני כל קריאה הוא דבר שלא יתאפשר בעת הפעלת השירות - ויחסם ברמת ההתחברות עצמה.
נשמח להסבר ברור יותר
הבנתי שאם אני שולח 100 בקשות ובשביל כל אחת אני אשלח Login נפרד זה לא יעבוד
אבל לא הבנתי מה בדיוק תהיה החסימה ?
האם כל עוד יש טוקן למערכת לא יהיה ניתן להוציא טוקן נוסף ?
אם צדקתי האם זה יהיה רק מאותה כתובת IP ?
או שיש עוד פרטים שלא חשבתי עליהם.
תודה רבה -
@חוויה-טלפונית כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:יחד עם זאת אנחנו עדיין מקווים לראות הקלות נוספות
דוגמא למשל לעשות שבמידה ונוודא באיזו דרך שהפניה לשרת הגיעה משיחה פעילה במערכת, לתת הקלה נוספת
אולי כן להשתמש ב 077:123 על אף שאני מבין ש @שמואל מאוד מתנגד לדרך הזו, לא שאני מבין לגמרי למה ?כי באמת לא הבנתי (סליחה על הבורות) את ההבדל בין בקשה אחת עם מספר מערכת וסיסמא שנשלחת בתחילת 10 בקשות, לבין 10 בקשות שנשלחות עם המספר מערכת וסיסמא.
אם אפשר לגנוב את הנתונים בדרך השניה (077:123) יהיה אפשר לגנוב אותם גם עם loginכי אם תסביר לי שזה ענין 'אתי' ולא יפה, אני לא אבין את הטענה הזו! בהתחשב בעובדה שזה יקח ממני 'המון זמן' ואולי 'קצת הרבה יותר מהמון מאוד זמן'.
-
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:ואם יהיה צורך נאריך את התאריך לאכיפת השירות - כדי שכלל הלקוחות יהיו מוכנים בזמן - ככל שניתן
חשוב מאד!
תאריך היעד, 1/11 יוצא די צמוד לחגים, ועד אחרי החגים אני מאמין שאני לא היחיד פה שעמוס בלי זמן לטפל בכל זה...
יישר כח! -
@שמואל האם כבר אפשר לשנות את ההתחברות לטוקן? / שיהיה טווח זמן שיהיה אפשר להתחבר גם באמצעות טוקן וגם באמצעות מספר מערכת וסיסמה?
אושההתחברות עם טוקן היא רק מהתאריך המיועד? (01/11) -
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:אתם מוזמנים כבר מאתמול לעבור לתצורה של התחברות עם Login - והמשך הפעילות עם הטוקן - כל עוד הוא פעיל.
גם ביצוע Login לפני כל קריאה הוא דבר שלא יתאפשר בעת הפעלת השירות - ויחסם ברמת ההתחברות עצמה.הטוקן פעיל למשך חצי שעה לא? זה אומר שכמעט כל בקשה תתחיל בlogin?
-
@חוויה-טלפונית כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:אפילו רק אם נחשבו על כמות הבקשות השגויות שהשרת שלי ישלח... ואולי יחסם בעקבות כך...
הוא לא יחסם כמו התחברויות שגויות. אחרי השינוי מספר מערכת:סיסמה המערכת תתעלם מזה בצורה שלא ממש תפריע לה - כך שתוכלו להריץ כאלה מהבוקר עד הלילה, -/+.
@חוויה-טלפונית כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:אבל לא הבנתי מה בדיוק תהיה החסימה ?
החסימה תיהיה במנגנון המעבר באימות הדו-שלבי שמערכת יכולה לעבור.
על כל טוקן - סשן - יש צורך לעבוד במנגנון האימות הדו שלבי. לאחר מעבר במנגנון - מתבצעת החלטה - האם הסשן צריך אימות דו שלבי, או שהוא פטור - כי הוא הגיע מכתובת IP לבנה, או שיש שמור אותי, וכו.
מערכת שתעבור מעל X פעמים בX זמן - כלומר, מערכת שתיצור מעל X סשנים חדשים בX זמן - הסשנים החדשים שלה יחסמו - כלומר, לא יהיה ניתן לבצע Login למערכת יותר - בדומה למערכת שמנסה להתחבר בX זמן עם סיסמה שגוייה.
לכאורה זה יהיה משולב IP ומערכת. למשל, 20 סשנים פעילים למערכת, 5 לכתובת IP.המטרה - שהלקוחות ינהלו נכון את הסשנים שלהם. הכי קל לך כ"מפתח" זה ליצור סשן חדש בשביל כל שטות...
-
@עידו כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:הטוקן פעיל למשך חצי שעה לא? זה אומר שכמעט כל בקשה תתחיל בlogin?
הטוקן פעיל למשך חצי שעה מהשימוש האחרון בו. אם אתה מבצע במערכת שלך פעם בחצי שעה פעולה - ואז חצי שעה לא מבצע כלום - אז אתה צודק. כל חצי שעה אתה תתחיל בLogin.
-
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:מערכת שתעבור מעל X פעמים בX זמן - כלומר, מערכת שתיצור מעל X סשנים חדשים בX זמן - הסשנים החדשים שלה יחסמו - כלומר, לא יהיה ניתן לבצע Login למערכת יותר - בדומה למערכת שמנסה להתחבר בX זמן עם סיסמה שגוייה.
לכאורה זה יהיה משולב IP ומערכת. למשל, 20 סשנים פעילים למערכת, 5 לכתובת IP.
המטרה - שהלקוחות ינהלו נכון את הסשנים שלהם. הכי קל לך כ"מפתח" זה ליצור סשן חדש בשביל כל שטות...זה קשור לזה או שאני מבלבל בין ה2, כי אם זה אותו דבר זה בעיה, כי בPHP זה הפתרון האולטמטיבי
-
@שמואל נחמד שלפחות הפעם יש עם מי לדבר (גם אם זה לא מועיל הרבה לשנות דברים).
-
@עידו כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:מערכת שתעבור מעל X פעמים בX זמן - כלומר, מערכת שתיצור מעל X סשנים חדשים בX זמן - הסשנים החדשים שלה יחסמו - כלומר, לא יהיה ניתן לבצע Login למערכת יותר - בדומה למערכת שמנסה להתחבר בX זמן עם סיסמה שגוייה.
לכאורה זה יהיה משולב IP ומערכת. למשל, 20 סשנים פעילים למערכת, 5 לכתובת IP.
המטרה - שהלקוחות ינהלו נכון את הסשנים שלהם. הכי קל לך כ"מפתח" זה ליצור סשן חדש בשביל כל שטות...זה קשור לזה או שאני מבלבל בין ה2, כי אם זה אותו דבר זה בעיה, כי בPHP זה הפתרון האולטמטיבי
לא קשור בכלל
לא דומה לא כמעט...שם מדובר על סשן של PHP בשרת שלך
והוא מדבר על סשן התחברות מול ימות
