אבטחה - באימות דו שלבי / דעתכם... 🪪💂🏻
-
@זרח כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:או פריסה, שזה קוד שגוגל מנפיקה על כל פירסום של סקריפט, אז שיהיה אפשר לאשר בימות לפי פריסה.
אתה בעצם מתכוין לAPI_KEY שדובר כאן
-
@חוויה-טלפונית כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:אגב בדקתי בהוסטינגר בשביל כתובת IP קבועה הם רוצים 10,399 שח לחודש...
אין מצב!!!!! הבנת אותם לא נכון...
כל שרת נותן לך PI קבוע
בלי זה לא היית יכול לחבר דומייןעריכה: אתה משתמש עם VPS , כן?
-
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:מערכת שתעבור מעל X פעמים בX זמן - כלומר, מערכת שתיצור מעל X סשנים חדשים בX זמן - הסשנים החדשים שלה יחסמו - כלומר, לא יהיה ניתן לבצע Login למערכת יותר - בדומה למערכת שמנסה להתחבר בX זמן עם סיסמה שגוייה.
לכאורה זה יהיה משולב IP ומערכת. למשל, 20 סשנים פעילים למערכת, 5 לכתובת IP.> המטרה - שהלקוחות ינהלו נכון את הסשנים שלהם. הכי קל לך כ"מפתח" זה ליצור סשן חדש בשביל כל שטות...
אבל הבעיה אם זה שייתכן במערכת אחת כמה שלוחות API שונות שמגיעות לשרתי תפעול שונים, אחת משמשת למכירת מוצר, השניה בכלל קשורה להפעלת דברים מתקדמים במערכת וכן הלאה, למה אני צריך שכל אלו יהיו מסונכרנים על הסשן הבודד שנוצר.
[אני מבין שזה אפשרי, אבל מאוד מאוד מסובך ליצור אינטרקציה בין כלל המערכות שלי שמפעילות API שונים, חלקן ע"י מאזינים, וחלקן ע"י טריגרים אחרים חיצוניים] -
@צדיק-תמים כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:אני מציע שתהיה אופציה במודול API שימות המשיח תפיק ותשלח אוטומטית עם הפרמטרים גם טוקן שפג אוטומטית מעט זמן אחרי ניתוק השיחה
ואני הייתי מציע שלא.
למה כל אחד שכותב פה בפורום "שימו את ההגדרות האלה בשלוחה, ותקבלו בחינם בחינם קו {כאן מכניסים הבטחות גדולות ומרובות על הקו}", ואנשים שמים את ההגדרות - והופ - יש לכל איזה מישהוא ש"בנה" "מודול" ספירה מתי הצום יוצא - טוקן לכל המערכת - של מי שרצה סה"כ "להתקין" מודול שמיעת הזמן שנותר עד לסוף הצום. -
@שמואל גם היום זה קורה... וגם יקרה הלאה גם אם זה יהיה יותר שלבים. מה שהצעתי רק מגביל את התוקף של הטוקן. אפשר לשים את ההפעלה של ההגדרה הזאת גלובלית תחת האימות דו שלבי
-
@צדיק-תמים כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:וגם יקרה הלאה גם אם זה יהיה יותר שלבים
זה לא. נדאג שלא.
אבל צריך לחשוב איך כן למצוא פיתרון בסגנון שכתבת, כי זה מורכב קצת לעשות טוקן כל כך זמני, וכו.בכל מקרה, זה דברים שניתן בעז"ה לעשות אחרי זה, מהצורה שזה יבנה. אי אפשר להכניס את זה מההתחלה ממש, אבל ככל ויוחלט לאפשר את זה, בעז"ה בצד הטכני זה לא יהיה סיפור מאד מאד מורכב.
-
@מנסה כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:אבל הבעיה אם זה שייתכן במערכת אחת כמה שלוחות API שונות שמגיעות לשרתי תפעול שונים, אחת משמשת למכירת מוצר, השניה בכלל קשורה להפעלת דברים מתקדמים במערכת וכן הלאה, למה אני צריך שכל אלו יהיו מסונכרנים על הסשן הבודד שנוצר.
ככל וזה יהיה הגיוני - כמו שהצגת פה - לא יהיה בעיה.
בכל מקרה וכאמור, שימוש עם API_KEY יאפשר לגשת מהרבה כתובות IP בלי בעיה, בגבול הטעם הטוב. זה כאמור גם לעוד שאלות פה.
-
@אבו כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:ובענין ה'סטנדרטי אבטחה המקובלים', אפשר לומר שלא כל כך מקובל לעשות אימות דו שלבי על api ועוד...
לא יהיה על API. ההוספת של MFA בAPI היא לטובת לקוחות שבונים אתרים שמתחברים לAPI הישיר מולנו.
לטובת שרת-לשרת - השימוש בסופו של דבר יהיה עם API_KEY קבוע. -
אשמח אם תוכלו לעזור לי לראות אם הבנתי נכון..
כרגע יש 2 דברים שצריך לדעת:
- הנושא של החיבור api למערכת, שעד היום היה עם מספר וסיסמא, וזה בכל מקרה לא ישאר ככה, וכבר כעת ניתן לשנות את זה - שהחיבור יהיה באמצעות טוקן שמתחדש כל חצי שעה (ובעצם זה היה קיים כאפשרות מאז ומתמיד כמו שניתן לראות כאן https://f2.freeivr.co.il/post/24253 ).
- מלבד זאת,יש את הנושא של אימות דו שלבי בapi, שבינתיים צריך לחכות ולראות מה בדיוק יהיה עם זה, אבל כרגע אין מה לשנות בקוד (ובהמשך כנראה יספיק רק להוסיף לקוד את הapi_key).
הבנתי נכון?
-
עם היכנסו של הרגולציות החדשות:
אם הבנתי נכון, שהמודול שהרב @מיכאלוש הובא מודול הורדת נתונים לגוגל שיטס
יפסיק לעבוד.הייתי מעיז לבקש מימות, לראות שיהיה אופציה חילופית (ממשק נתונים קבוע כמו דיגיקול וכדו')
-
@מה מדברים על פתרון גם לשיטס בעז"ה.
-
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:זה לא. נדאג שלא.
האם זה קטע של אבטחה?
או קטע של לא לעשות משחקים עם המערכת?
או שיטה שרק מי שמבין באמת יעבוד בזה וירויח ?
