אבטחה - באימות דו שלבי / דעתכם... 🪪💂🏻
-
@חוויה-טלפונית כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:יחד עם זאת אנחנו עדיין מקווים לראות הקלות נוספות
דוגמא למשל לעשות שבמידה ונוודא באיזו דרך שהפניה לשרת הגיעה משיחה פעילה במערכת, לתת הקלה נוספת
אולי כן להשתמש ב 077:123 על אף שאני מבין ש @שמואל מאוד מתנגד לדרך הזו, לא שאני מבין לגמרי למה ?כי באמת לא הבנתי (סליחה על הבורות) את ההבדל בין בקשה אחת עם מספר מערכת וסיסמא שנשלחת בתחילת 10 בקשות, לבין 10 בקשות שנשלחות עם המספר מערכת וסיסמא.
אם אפשר לגנוב את הנתונים בדרך השניה (077:123) יהיה אפשר לגנוב אותם גם עם loginכי אם תסביר לי שזה ענין 'אתי' ולא יפה, אני לא אבין את הטענה הזו! בהתחשב בעובדה שזה יקח ממני 'המון זמן' ואולי 'קצת הרבה יותר מהמון מאוד זמן'.
-
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:ואם יהיה צורך נאריך את התאריך לאכיפת השירות - כדי שכלל הלקוחות יהיו מוכנים בזמן - ככל שניתן
חשוב מאד!
תאריך היעד, 1/11 יוצא די צמוד לחגים, ועד אחרי החגים אני מאמין שאני לא היחיד פה שעמוס בלי זמן לטפל בכל זה...
יישר כח! -
@שמואל האם כבר אפשר לשנות את ההתחברות לטוקן? / שיהיה טווח זמן שיהיה אפשר להתחבר גם באמצעות טוקן וגם באמצעות מספר מערכת וסיסמה?
אושההתחברות עם טוקן היא רק מהתאריך המיועד? (01/11) -
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:אתם מוזמנים כבר מאתמול לעבור לתצורה של התחברות עם Login - והמשך הפעילות עם הטוקן - כל עוד הוא פעיל.
גם ביצוע Login לפני כל קריאה הוא דבר שלא יתאפשר בעת הפעלת השירות - ויחסם ברמת ההתחברות עצמה.הטוקן פעיל למשך חצי שעה לא? זה אומר שכמעט כל בקשה תתחיל בlogin?
-
@חוויה-טלפונית כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:אפילו רק אם נחשבו על כמות הבקשות השגויות שהשרת שלי ישלח... ואולי יחסם בעקבות כך...
הוא לא יחסם כמו התחברויות שגויות. אחרי השינוי מספר מערכת:סיסמה המערכת תתעלם מזה בצורה שלא ממש תפריע לה - כך שתוכלו להריץ כאלה מהבוקר עד הלילה, -/+.
@חוויה-טלפונית כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:אבל לא הבנתי מה בדיוק תהיה החסימה ?
החסימה תיהיה במנגנון המעבר באימות הדו-שלבי שמערכת יכולה לעבור.
על כל טוקן - סשן - יש צורך לעבוד במנגנון האימות הדו שלבי. לאחר מעבר במנגנון - מתבצעת החלטה - האם הסשן צריך אימות דו שלבי, או שהוא פטור - כי הוא הגיע מכתובת IP לבנה, או שיש שמור אותי, וכו.
מערכת שתעבור מעל X פעמים בX זמן - כלומר, מערכת שתיצור מעל X סשנים חדשים בX זמן - הסשנים החדשים שלה יחסמו - כלומר, לא יהיה ניתן לבצע Login למערכת יותר - בדומה למערכת שמנסה להתחבר בX זמן עם סיסמה שגוייה.
לכאורה זה יהיה משולב IP ומערכת. למשל, 20 סשנים פעילים למערכת, 5 לכתובת IP.המטרה - שהלקוחות ינהלו נכון את הסשנים שלהם. הכי קל לך כ"מפתח" זה ליצור סשן חדש בשביל כל שטות...
-
@עידו כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:הטוקן פעיל למשך חצי שעה לא? זה אומר שכמעט כל בקשה תתחיל בlogin?
הטוקן פעיל למשך חצי שעה מהשימוש האחרון בו. אם אתה מבצע במערכת שלך פעם בחצי שעה פעולה - ואז חצי שעה לא מבצע כלום - אז אתה צודק. כל חצי שעה אתה תתחיל בLogin.
-
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:מערכת שתעבור מעל X פעמים בX זמן - כלומר, מערכת שתיצור מעל X סשנים חדשים בX זמן - הסשנים החדשים שלה יחסמו - כלומר, לא יהיה ניתן לבצע Login למערכת יותר - בדומה למערכת שמנסה להתחבר בX זמן עם סיסמה שגוייה.
לכאורה זה יהיה משולב IP ומערכת. למשל, 20 סשנים פעילים למערכת, 5 לכתובת IP.
המטרה - שהלקוחות ינהלו נכון את הסשנים שלהם. הכי קל לך כ"מפתח" זה ליצור סשן חדש בשביל כל שטות...זה קשור לזה או שאני מבלבל בין ה2, כי אם זה אותו דבר זה בעיה, כי בPHP זה הפתרון האולטמטיבי
-
@שמואל נחמד שלפחות הפעם יש עם מי לדבר (גם אם זה לא מועיל הרבה לשנות דברים).
-
@עידו כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:מערכת שתעבור מעל X פעמים בX זמן - כלומר, מערכת שתיצור מעל X סשנים חדשים בX זמן - הסשנים החדשים שלה יחסמו - כלומר, לא יהיה ניתן לבצע Login למערכת יותר - בדומה למערכת שמנסה להתחבר בX זמן עם סיסמה שגוייה.
לכאורה זה יהיה משולב IP ומערכת. למשל, 20 סשנים פעילים למערכת, 5 לכתובת IP.
המטרה - שהלקוחות ינהלו נכון את הסשנים שלהם. הכי קל לך כ"מפתח" זה ליצור סשן חדש בשביל כל שטות...זה קשור לזה או שאני מבלבל בין ה2, כי אם זה אותו דבר זה בעיה, כי בPHP זה הפתרון האולטמטיבי
לא קשור בכלל
לא דומה לא כמעט...שם מדובר על סשן של PHP בשרת שלך
והוא מדבר על סשן התחברות מול ימות
-
-
הקוד שלי בrender, אין שם ip קבוע כי זה משתנה בכל deploy. אז אין לי דרך להוסיף את הapi לרשימה לבנה?
-
@יעקב-1 נשמע שתצטרך לחכות לapikey קבוע.
מענין איך זה יהיה עם גוגל סקריפט, השימוש בAPIKEY יפתור את בעיית החסימות או שגם כאן זה יכול להחסם בגלל יותר מידי login במקביל?
-
@עידו כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:מענין איך זה יהיה עם גוגל סקריפט, השימוש בAPIKEY יפתור את בעיית החסימות או שגם כאן זה יכול להחסם בגלל יותר מידי login במקביל?
@שמואל ?
-
@עידו כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:מענין איך זה יהיה עם גוגל סקריפט, השימוש בAPIKEY יפתור את בעיית החסימות
בעז"ה נחשוב על זה בצורה שזה יעזור לדברים כאלה.
-
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:@זרח כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:לאחרונה ימות עושים קצת "מה בא להם", בשלל נושאים, מבלי ליידע כראוי. תהליכים לא אמורים להנחית ב"בום", זה לוקח זמן, וצריך לוודא שכולם מודעים ומתרגלים. עם כל הכבוד לחינמיות, יש לתהליכים האלו משמעויות רחבות היקף.
אדוני היקר,
שמו לך הודעה באתר שעוד חודשיים אתה צריך להפעיל אימות דו-שלבי.
משהוא שלימות המשיח אין שום תועלת בו. זה מעמיס טכנית, שמירה של מידע מיותר, עלויות הוצאת שיחות/מסרונים לאימות, אפשר אפילו לאמת מספר חו״ל - כי לימות המשיח יש לקוחות כאלה- ואנחנו לא יכולים לעשות ״מה שבא לנו״ ושהם לא יוכלו להתחבר למערכת בבוקר אחד. מדובר פה פיתוח מטורף ודאגה לאכיפה של זה בכל הצורות, באתר, בAPI, ועוד הנושא עוד לא הסתיים. בקושי התחיל.לך שמו באתר הודעה שלפחות כרגע - בחודשיים הקרובים, אתה יכול או לבצע אימות של מספר/מייל נוסף, או להקיש לחיצה אחת נוספת על העכבר בכל התחברות.
אני מבין שבשבילך זה ״בום״ גדול, אז באמת צר לי שלקחת את הנושא כל כך קשה. איך אמרת, ללחיצה הזו יש בוודאי ״משמעויות רחבות היקף...״.
נושא האימות הדו-שלבי כרגע עלה בתור הודעה הכי פשוטה באתר.. אני לא מבין את הטענה שלך.
נשמע ממך שהיינו אמורים להגיע לכל בעל מערכת לבית ולדבר איתו האם הוא מסכים שננסה לפתח משהוא בסגנון של אימות דו-שלבי.ימות המשיח מתמודדת עם דברים בשוק, וממשיכה לתת שירות חינמי כזה או אחר, ואני חושב שלקוחות כמוך לא מגיבים בצורה פרופורציונלית בנושא.
בכל מקרה,
נושא האימות הדו-שלבי יכנס בהדרגה, והוא נעשה לטובת הלקוחות ולטובת עמידה בסטנדרטי אבטחה המקובלים - לטובת הלקוחות.מסכים (כמעט) עם כל מילה.
חוץ מזה שנכון שבמקרה הספציפי הזה לא עשו את זה ב'בום'
ובענין ה'סטנדרטי אבטחה המקובלים', אפשר לומר שלא כל כך מקובל לעשות אימות דו שלבי על api ועוד...
ואם באמת היה כאן רק ענין של אבטחה היינו כבר מקבלים תגובה האם (או תשובה חיובית ש)לקוח שמעוניין יוכל לבטל את זה במערכת שלו (כמו ב'סטנדרטי אבטחה המקובלים'...) -
שמתם לב שסוף סוף במספרים כשרים זה נותן ישר אימות בשיחה ואין אפשרות לסמס?
@שמואל ניכרת ההשקעה הרבה בפרטים הקטנים!
-
@יעקב-1 כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:הקוד שלי בrender, אין שם ip קבוע כי זה משתנה בכל deploy. אז אין לי דרך להוסיף את הapi לרשימה לבנה?
אפשר לתקשר איתך במייל?
יש לי משהו לדבר איתך בקשר לזה..
