אבטחה - באימות דו שלבי / דעתכם... 🪪💂🏻

זרח

@מה מדברים על פתרון גם לשיטס בעז"ה.

מנסה להבין12a

@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

זה לא. נדאג שלא.

האם זה קטע של אבטחה?
או קטע של לא לעשות משחקים עם המערכת?
או שיטה שרק מי שמבין באמת יעבוד בזה וירויח ?

מתלמד פון

פוסט זה נמחק!

צבי ד"צ

@מנסה-להבין12a אם הבנתי נכון את שמואל, הבעיה היא שכל אחד ששם מוד של מישהו אחר ההוא יכול לעשות מה שהוא רוצה במערכת, אז לשאלתך הבעיה היא אבטחה

יהודה'לה

@שמואל אם אני מכניס את הכתובת IP של השרת שלי בכתובות IP מאושרות - אני יכול להתחבר עם מספר מערכת:סיסמא, כמו שהיה עד היום?
או שאני צריך לעבור להתחברות עם טוקן (Login)?

נר יצחק

@יהודה-לה נראלי שגם אז יצטרכו לוגין

נר יצחק

יש לי רעיון השאלה אם זה יעבוד

ליצור סקיפט מסויים שמבק מידע פעם ב20 דקות באופן קבוע ופעם אחת לבקש טוקן ואז זה פשוט שומר על הטוקן תקף כל הזמן
השאלה שלי זה מה ייקרה בשבת האם זה סופר בקשות שנשלחות בשבת (למרות שהם לכאו' לא אמורות להצליח) או שלא

שמואל

@נר-יצחק כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

ליצור סקיפט מסויים שמבק מידע פעם ב20 דקות באופן קבוע ופעם אחת לבקש טוקן ואז זה פשוט שומר על הטוקן תקף כל הזמן

אי אפשר לגרום לטוקן רגיל להיות פעיל לנצח נצחים.
פעם בזמן - מה הוא יפוג תוקף.

אבל בהחלט אם תעשה ככה זה ישמור עליו לאורך זמן, אבל זה קצת מיותר שיש APY_KEYs.

שמואל

@יהודה-לה כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@שמואל אם אני מכניס את הכתובת IP של השרת שלי בכתובות IP מאושרות - אני יכול להתחבר עם מספר מערכת:סיסמא, כמו שהיה עד היום?

נכון לעכשיו - כן.
לאחר הפסקת התמיכה במספר מערכת:סיסמה - הנושא קצת לא רלוונטי.

שמואל

@מנסה-להבין12a כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

האם זה קטע של אבטחה?
או קטע של לא לעשות משחקים עם המערכת?
או שיטה שרק מי שמבין באמת יעבוד בזה וירויח ?

זה לא ״קטע״ של שום דבר.
זה בשביל למנוע מצב שבו לקוח, כאמור בתיאור הקודם, ״מתקין״ מודול כזה או אחר על המערכת שלו שאיזה ״מפתח״ פיתוח, והוא מקבל את הסיסמאות של הלקוחות - בלי שהם מבינים את משמעות הדברים.

יהודה'לה

@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@יהודה-לה כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@שמואל אם אני מכניס את הכתובת IP של השרת שלי בכתובות IP מאושרות - אני יכול להתחבר עם מספר מערכת:סיסמא, כמו שהיה עד היום?

נכון לעכשיו - כן.
לאחר הפסקת התמיכה במספר מערכת:סיסמה - הנושא קצת לא רלוונטי.

בעצם הפסקת התמיכה במספר מערכת:סיסמא, לא קשורה בכלל לכל הנושא של אימות דו שלבי, אלא בלי קשר בהמשך יורידו את האופציה?
הבנתי טוב?
למשל אני הפעלתי את השירות של האימות דו שלבי לפני תאריך האכיפה ובאמת הAPI לא עבד... הכנסתי את הכתובת IP של השרת לרשימה של הכתובות המאושרות וזה התחיל לעבוד שוב (עם התחברות - מספר מערכת:סיסמא)

אז זה לא קשור בכלל לכל החלק של האימות דו שלבי...

שלמה צובל

@שמואל נכון לעכשיו זה עובד כרגיל גם בלי שמכניסים את כתובת הip לרשימה לבנה. בינתיים הכל עובד כרגיל, אם יש תאריך לשינוי - אשמח לדעת.
כמו כן אשמח לדעת מתי תיפסק האפשרות של מספר וסיסמא

פלמנמוני

@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

הטוקן פעיל למשך חצי שעה מהשימוש האחרון בו. אם אתה מבצע במערכת שלך פעם בחצי שעה פעולה - ואז חצי שעה לא מבצע כלום - אז אתה צודק. כל חצי שעה אתה תתחיל בLogin.

והוא לא פג כעבור שבוע בכל מקרה?

שלמה צובל

שימו לב לחידושים באתר בלשונית אבטחה
מה שלא ברור לי, הפעלתי אכיפה מוקדמת, לא הוספתי ip לרשימה לבנה, ועדיין הקוד עובד כרגיל

יהודה'לה

@שלמה-צובל יכול להיות שהשרת כבר התחבר למערכת
תכנס ללשונית אבטחה> סשנים פעילים> ןתבטל את החיבור ותנסה להתחבר שוב עם הAPI

שלמה צובל

@יהודה-לה עדיין עובד

יהודה'לה

@שלמה-צובל ממש מוזר...
כנראה לא מחקת את החיבור המדובר...
אני עשיתי הפעלתי את האכיפה - ובאמת זה נשאר מחובר וגם תהיתי איך זה יכול להית...
מחקתי את החיבור והוא לא חזר...
(למרות שבלוגים בשרת לא ראיתי שגיאה)
הכנסתי לרשימה של הכתובות IP מאושרות וזה חזר לעבוד
תבדוק שוב...

שמואל

@שלמה-צובל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

מה שלא ברור לי, הפעלתי אכיפה מוקדמת, לא הוספתי ip לרשימה לבנה, ועדיין הקוד עובד כרגיל

האכיפה תיכנס לתוקף בסשנים חדשים בלבד, וגם, ב API זה עדיין לא חל על על השירותים.
בין הייתר כבר עלה המנגנון של מפתחות גישה קבועים (APY_KEYS), אפשר לנסות את זה כבר:

אבל כמו שכתוב, זה עדיין לא יעבוד על כל השירותים.

בעיקרון, נכון לכתיבת שורות אלה, הAPI_KEYS & הפעלת האכיפה המוקדמת בAPI תעבוד ב yAfast בגירסא 6.7.27 ומעלה וב yALogs גירסא 4.4.1 ומעלה.
זה לא יעבוד על yAserver ולא על yemotAPI.
בתשובה של כל שירות ניתן לראות איזה מערכת מדובר:

@שלמה-צובל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

אם יש תאריך לשינוי - אשמח לדעת

כן, כתוב באתר. כרגע התאריך הוא 01/11/2025.

הלי

@שמואל מה דעתכם?
האם אפשרי יהיה אולי לשייך לצורך העניין כמובן באימות דו שלבי מערכות מרובות לחשבון מסוים ולהפעיל משם טוקנים?
אסביר עכשיו בעצם כל פעם שאני מפתח משהו למערכת אני צריך להוציא לפי הפיתוח החדש טוקן קבוע או לאשר IP וכולי ואם מחר אני משנה כתובת שרת אני צריך לשנות
אם היה אפשרי ליצור חשבון שניתן יהיה לשייך לשם מערכות מרובות ומשם יהיה אפשרי להוציא טוקנים וכולי יתכן שזה היה מועיל
(ללא קשר אני חושב שישנם דברים נוספים שניתן להרוויח בחשבונות מסודרים אבל זה בלי קשר ישיר לנושא הזה אני חושב שגם מבחינת אבטחה וגם מבחינת החברה זה בעצם יכול לייעל)
אשמח לתגובה

מוטי לוין

@שמואל
האם יהיה אפשרות להגביל APY_KEY לנתיב מסיום?
למשל להגביל בשרות API רק לRenderYMGRFile ולהגביל רק לנתיב wath=ivr2:/2/1/ExaminationLogOK.ymgr
או שזה כבר קיים? כי לא הצלחתי
ותודה רבה על הפיתוח המדהים!