אבטחה - באימות דו שלבי / דעתכם... 🪪💂🏻

יעקב 1

פוסט זה נמחק!

CUBASE

@יעקב-1 בסוף מצאתי הסבר של Render, ערכתי

חוויה טלפונית

@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

מערכת שתעבור מעל X פעמים בX זמן - כלומר, מערכת שתיצור מעל X סשנים חדשים בX זמן - הסשנים החדשים שלה יחסמו - כלומר, לא יהיה ניתן לבצע Login למערכת יותר - בדומה למערכת שמנסה להתחבר בX זמן עם סיסמה שגוייה.

זאת אומרת שאם יש לי שלוחת API שאמורה לבצע פעולות
אני לא יוכל לבצע התחברות עבור כל שיחה וניתוק בסיום, אלא אני חייב לשמור את ה טוקן הפעיל לכל השיחות הבאות ורק במקרה שהטוקן פג תוקף לבקש טוקן חדש ?

חוויה טלפונית

אגב בדקתי בהוסטינגר בשביל כתובת IP קבועה הם רוצים 10,399 שח לחודש...

חוויה טלפונית

@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

לקוחות שאין להם כתובת IP קבועה ממנה הם פונים

האם הכתובת IP הקבועה חייבת להיות לכל הבקשות או שמספיק לבקשה של הLogin ? ואז יההי אפשר לפנות עם הטוקן מכל כתובת IP ?

צדיק תמים

@שמואל אם כבר נוגעים בכל סוגיית האימות, אני מציע שתהיה אופציה במודול API שימות המשיח תפיק ותשלח אוטומטית עם הפרמטרים גם טוקן שפג אוטומטית מעט זמן אחרי ניתוק השיחה
זה יאפשר למערכות שלא מבצעות קריאות למערכת ברקע לא לשמור בכלל משתמש וסיסמה בשרת ולהשתמש רק בטוקן הזמני שיתקבל, גם יותר נוח גם יותר בטוח

זרח

@שמואל
כאחד שמשתמש המון עם גוגל סקריפט, הייתי מציע 2 רעיונות.
או פריסה, שזה קוד שגוגל מנפיקה על כל פירסום של סקריפט, אז שיהיה אפשר לאשר בימות לפי פריסה.
או הרשאה של גוגל, הרי גוגל בעצמם מאבטחים את הסקריפטים שלהם, ודורשים אימות של חשבון הגוגל עם כל פעולה רגישה בחשבון, אז אולי לבנות הרשאה מיוחדת ליצירת סקריפט, ולסמוך בעצם על גוגל.

באופן כללי הלוואי והייתם עושים אפשרות לאימות של חשבון גוגל, זה היה יכול להיות מדהים ונוח. בהרבה אתרים מפורסמים קיימת אפשרות כזאת (כולל מתמחים טופ...)

חוויה טלפונית

@זרח כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

או פריסה, שזה קוד שגוגל מנפיקה על כל פירסום של סקריפט, אז שיהיה אפשר לאשר בימות לפי פריסה.

אתה בעצם מתכוין לAPI_KEY שדובר כאן

y6714453

@חוויה-טלפונית כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

אגב בדקתי בהוסטינגר בשביל כתובת IP קבועה הם רוצים 10,399 שח לחודש...

אין מצב!!!!! הבנת אותם לא נכון...
כל שרת נותן לך PI קבוע
בלי זה לא היית יכול לחבר דומיין

עריכה: אתה משתמש עם VPS , כן?

מנסה

@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

מערכת שתעבור מעל X פעמים בX זמן - כלומר, מערכת שתיצור מעל X סשנים חדשים בX זמן - הסשנים החדשים שלה יחסמו - כלומר, לא יהיה ניתן לבצע Login למערכת יותר - בדומה למערכת שמנסה להתחבר בX זמן עם סיסמה שגוייה.
לכאורה זה יהיה משולב IP ומערכת. למשל, 20 סשנים פעילים למערכת, 5 לכתובת IP.

> המטרה - שהלקוחות ינהלו נכון את הסשנים שלהם. הכי קל לך כ"מפתח" זה ליצור סשן חדש בשביל כל שטות...

אבל הבעיה אם זה שייתכן במערכת אחת כמה שלוחות API שונות שמגיעות לשרתי תפעול שונים, אחת משמשת למכירת מוצר, השניה בכלל קשורה להפעלת דברים מתקדמים במערכת וכן הלאה, למה אני צריך שכל אלו יהיו מסונכרנים על הסשן הבודד שנוצר.
[אני מבין שזה אפשרי, אבל מאוד מאוד מסובך ליצור אינטרקציה בין כלל המערכות שלי שמפעילות API שונים, חלקן ע"י מאזינים, וחלקן ע"י טריגרים אחרים חיצוניים]

שמואל

@צדיק-תמים כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

אני מציע שתהיה אופציה במודול API שימות המשיח תפיק ותשלח אוטומטית עם הפרמטרים גם טוקן שפג אוטומטית מעט זמן אחרי ניתוק השיחה

ואני הייתי מציע שלא.
למה כל אחד שכותב פה בפורום "שימו את ההגדרות האלה בשלוחה, ותקבלו בחינם בחינם קו {כאן מכניסים הבטחות גדולות ומרובות על הקו}", ואנשים שמים את ההגדרות - והופ - יש לכל איזה מישהוא ש"בנה" "מודול" ספירה מתי הצום יוצא - טוקן לכל המערכת - של מי שרצה סה"כ "להתקין" מודול שמיעת הזמן שנותר עד לסוף הצום.

צדיק תמים

@שמואל גם היום זה קורה... וגם יקרה הלאה גם אם זה יהיה יותר שלבים. מה שהצעתי רק מגביל את התוקף של הטוקן. אפשר לשים את ההפעלה של ההגדרה הזאת גלובלית תחת האימות דו שלבי

שמואל

@צדיק-תמים כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

וגם יקרה הלאה גם אם זה יהיה יותר שלבים

זה לא. נדאג שלא.
אבל צריך לחשוב איך כן למצוא פיתרון בסגנון שכתבת, כי זה מורכב קצת לעשות טוקן כל כך זמני, וכו.

בכל מקרה, זה דברים שניתן בעז"ה לעשות אחרי זה, מהצורה שזה יבנה. אי אפשר להכניס את זה מההתחלה ממש, אבל ככל ויוחלט לאפשר את זה, בעז"ה בצד הטכני זה לא יהיה סיפור מאד מאד מורכב.

שמואל

@מנסה כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

אבל הבעיה אם זה שייתכן במערכת אחת כמה שלוחות API שונות שמגיעות לשרתי תפעול שונים, אחת משמשת למכירת מוצר, השניה בכלל קשורה להפעלת דברים מתקדמים במערכת וכן הלאה, למה אני צריך שכל אלו יהיו מסונכרנים על הסשן הבודד שנוצר.

ככל וזה יהיה הגיוני - כמו שהצגת פה - לא יהיה בעיה.

בכל מקרה וכאמור, שימוש עם API_KEY יאפשר לגשת מהרבה כתובות IP בלי בעיה, בגבול הטעם הטוב. זה כאמור גם לעוד שאלות פה.

שמואל

@אבו כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

ובענין ה'סטנדרטי אבטחה המקובלים', אפשר לומר שלא כל כך מקובל לעשות אימות דו שלבי על api ועוד...

לא יהיה על API. ההוספת של MFA בAPI היא לטובת לקוחות שבונים אתרים שמתחברים לAPI הישיר מולנו.
לטובת שרת-לשרת - השימוש בסופו של דבר יהיה עם API_KEY קבוע.

יעקב 1

אשמח אם תוכלו לעזור לי לראות אם הבנתי נכון..

כרגע יש 2 דברים שצריך לדעת:

1. הנושא של החיבור api למערכת, שעד היום היה עם מספר וסיסמא, וזה בכל מקרה לא ישאר ככה, וכבר כעת ניתן לשנות את זה - שהחיבור יהיה באמצעות טוקן שמתחדש כל חצי שעה (ובעצם זה היה קיים כאפשרות מאז ומתמיד כמו שניתן לראות כאן https://f2.freeivr.co.il/post/24253 ).
2. מלבד זאת,יש את הנושא של אימות דו שלבי בapi, שבינתיים צריך לחכות ולראות מה בדיוק יהיה עם זה, אבל כרגע אין מה לשנות בקוד (ובהמשך כנראה יספיק רק להוסיף לקוד את הapi_key).

הבנתי נכון?