אבטחה - באימות דו שלבי / דעתכם... 🪪💂🏻

מוטי לוין

@שמואל האם יהיה אפשרות להגביל לפי ערך פרמטר?

MGM IVR

@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

זה לא נכון, הוא כן אמור לעבוד. מה התגובה שחוזרת? (שים לב שהוא יעבוד פעם אחת בלבד - כי אחרי זה המפתח כבר מושמד).

אם זה אישור אוטומטי אחרי לחיצה על הלינק שים לב שכל מי שמותקן לו משהו על המייל שסורק וירוסים, או מיילים ארגוניים שונים, תמיד ילחצו על זה

צצ

@שמואל מה עם זה? אולי מרוב הודעות פיספסת את זה, נראה לי שזה משהו מאד משמעותי.

@הלי כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@שמואל מה דעתכם?
האם אפשרי יהיה אולי לשייך לצורך העניין כמובן באימות דו שלבי מערכות מרובות לחשבון מסוים ולהפעיל משם טוקנים?
אסביר עכשיו בעצם כל פעם שאני מפתח משהו למערכת אני צריך להוציא לפי הפיתוח החדש טוקן קבוע או לאשר IP וכולי ואם מחר אני משנה כתובת שרת אני צריך לשנות
אם היה אפשרי ליצור חשבון שניתן יהיה לשייך לשם מערכות מרובות ומשם יהיה אפשרי להוציא טוקנים וכולי יתכן שזה היה מועיל
(ללא קשר אני חושב שישנם דברים נוספים שניתן להרוויח בחשבונות מסודרים אבל זה בלי קשר ישיר לנושא הזה אני חושב שגם מבחינת אבטחה וגם מבחינת החברה זה בעצם יכול לייעל)
אשמח לתגובה

שמואל

@מוטי-לוין כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@שמואל האם יהיה אפשרות להגביל לפי ערך פרמטר?

כרגע אין אפשרות, חשבתי על זה, אבל צ״ע.

@MGM-IVR כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

אם זה אישור אוטומטי אחרי לחיצה על הלינק שים לב שכל מי שמותקן לו משהו על המייל שסורק וירוסים, או מיילים ארגוניים שונים, תמיד ילחצו על זה

חשבתי על זה, אולי צריך לעשות משהוא בנושא. כי כרגע זה פשוט פונה ל API. נראה.

שמואל

@צצ כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@שמואל מה עם זה? אולי מרוב הודעות פיספסת את זה, נראה לי שזה משהו מאד משמעותי.

לא ברור על איזה ״חשבון מסויים״ אתה מדבר.
ניתן לשייך מספר מערכות לטלפון אחד לטובת ביצוע אימות דו״ש מאותו הטלפון במספר מערכות. זה לא נחשב ״חשבון״? לא יודע. לא ברורה השאלה.
טוקן הוא לפי מערכת, אין כרגע משהוא שיכול ״לאחד״ בצורה כזו או אחרת מערכות - אז השאלה לא ברורה. נשמע שאתה לא מבקש איזה תוספת, אלא שיוכלו לפתוח ״ניהול מרוכז״ לכמה מערכות, בצורה שהיא לא ממש מחוברת למציאות ולצורה הקיימת שבה המערכת עובדת.

אני עם הקו

הוא מבקש לי אמות למספר הטלפון שפתחתי את המערכת
וזה אין לי
מה עושים?

עידו

@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@מנסה-להבין12a כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

האם זה קטע של אבטחה?
או קטע של לא לעשות משחקים עם המערכת?
או שיטה שרק מי שמבין באמת יעבוד בזה וירויח ?

זה לא ״קטע״ של שום דבר.
זה בשביל למנוע מצב שבו לקוח, כאמור בתיאור הקודם, ״מתקין״ מודול כזה או אחר על המערכת שלו שאיזה ״מפתח״ פיתוח, והוא מקבל את הסיסמאות של הלקוחות - בלי שהם מבינים את משמעות הדברים.

כן, אבל מי שיכניס בתמימות מספר:סיסמא יכניס גם APIKEY (כי הם לא מודעים לבעייתיות שיכולה להיות מזה שהכל עובר דרך השרת של מישהו אחר...) שבסופו של דבר זה בעצם אותו הדבר רק פחות נוח.

MGM IVR

@עידו כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@מנסה-להבין12a כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

האם זה קטע של אבטחה?
או קטע של לא לעשות משחקים עם המערכת?
או שיטה שרק מי שמבין באמת יעבוד בזה וירויח ?

זה לא ״קטע״ של שום דבר.
זה בשביל למנוע מצב שבו לקוח, כאמור בתיאור הקודם, ״מתקין״ מודול כזה או אחר על המערכת שלו שאיזה ״מפתח״ פיתוח, והוא מקבל את הסיסמאות של הלקוחות - בלי שהם מבינים את משמעות הדברים.

כן, אבל מי שיכניס בתמימות מספר:סיסמא יכניס גם APIKEY (כי הם לא מודעים לבעייתיות שיכולה להיות מזה שהכל עובר דרך השרת של מישהו אחר...) שבסופו של דבר זה בעצם אותו הדבר רק פחות נוח.

בשביל ליצור api key יש תהליך, שבו יוסבר בדיוק המשמעות של זה לכאורה
ואולי גם יוכלו להגביל לפעולות מסויימות, ואז בכלל זה יעבוד חלק יותר

CUBASE

@שמואל
אם הסיבה שמבטלים את השימוש במספר־מערכת:סיסמה במקום טוקן (ועכשיו גם מפתח API) זה בגלל הבעיה של שליחת הסיסמה כחלק מהבקשה, אז מה השתנה בזה מ־Login שגם מצרפים סיסמה כחלק מהבקשה?

אלא הבעיה היא שבמספר־מערכת:סיסמה א"א לבדוק אם התבצע אימות דו־שלבי או לא?

א"כ למה שלא יוכלו להשתמש במספר־מערכת:סיסמה לכתובות IP לפי רשימה לבנה?

Spoiler

או שיש סיבות אחרות שפיספסתי - אשמח לדעת!

CUBASE

@MGM-IVR כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@עידו כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@מנסה-להבין12a כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

האם זה קטע של אבטחה?
או קטע של לא לעשות משחקים עם המערכת?
או שיטה שרק מי שמבין באמת יעבוד בזה וירויח ?

זה לא ״קטע״ של שום דבר.
זה בשביל למנוע מצב שבו לקוח, כאמור בתיאור הקודם, ״מתקין״ מודול כזה או אחר על המערכת שלו שאיזה ״מפתח״ פיתוח, והוא מקבל את הסיסמאות של הלקוחות - בלי שהם מבינים את משמעות הדברים.

כן, אבל מי שיכניס בתמימות מספר:סיסמא יכניס גם APIKEY (כי הם לא מודעים לבעייתיות שיכולה להיות מזה שהכל עובר דרך השרת של מישהו אחר...) שבסופו של דבר זה בעצם אותו הדבר רק פחות נוח.

בשביל ליצור api key יש תהליך, שבו יוסבר בדיוק המשמעות של זה לכאורה
ואולי גם יוכלו להגביל לפעולות מסויימות, ואז בכלל זה יעבוד חלק יותר

מי שלא מבין בזה - ייצור מפתח API בלי להגביל לשירותים ולכתובות IP (אא"כ מְפַתֵּח המודול יציין שיש להגביל, שכל עוד ברירת המחדל היא שכל השירותים עובדים - אין עניין להסתבך בלהדריך את המשתמש איך להגביל ולְמָה..)

צדיק תמים

@שמואל אוקיי בדקתי שוב וזה תקין, רק שעושים חידוש מפתח הלינק של היצירה מפסיק לעבוד ומחזיר שגיאת

{"yemotAPIVersion":6,"responseStatus":"EXCEPTION","message":"IllegalStateException(session token is invalid)"}

שואל ברצינות

@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@צצ כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@שמואל מה עם זה? אולי מרוב הודעות פיספסת את זה, נראה לי שזה משהו מאד משמעותי.

לא ברור על איזה ״חשבון מסויים״ אתה מדבר.
ניתן לשייך מספר מערכות לטלפון אחד לטובת ביצוע אימות דו״ש מאותו הטלפון במספר מערכות. זה לא נחשב ״חשבון״? לא יודע. לא ברורה השאלה.
טוקן הוא לפי מערכת, אין כרגע משהוא שיכול ״לאחד״ בצורה כזו או אחרת מערכות - אז השאלה לא ברורה. נשמע שאתה לא מבקש איזה תוספת, אלא שיוכלו לפתוח ״ניהול מרוכז״ לכמה מערכות, בצורה שהיא לא ממש מחוברת למציאות ולצורה הקיימת שבה המערכת עובדת.

קיים משהו דומה - חשבון ריסיילר.
לפי מה שבדקתי - מספר ריסיילרים נתנו מערכות ללקוחות ללא אפשרות להגדיר את המספר שיצר את המערכת וכתובת המייל. זה יוצר מצב שבו מערכות פופולריות עם עשרות אלפי מאזינים עשויות להיעלם בחודשים הקרובים, תוצאה של חוסר גישה לניהול. נדרש API ייעודי עבור כך.

Spoiler

מקווה שהובנתי, במידת הצורך "רשותי" נתונה להשמדת הפוסט. מעריך את ההשקעה בנושא האבטחה.