אבטחה - באימות דו שלבי / דעתכם... 🪪💂🏻
-
למעשה בשורה סופית נוכחנו לראות שבהנהלה התחשבו כמעט בכל מה שהלקוחות ביקשו בעניין,
ואפילו כבר פיתחו בצורה נהדרת את הפונקצייה שהלקוחות יכולים להחליט בעצמם, האם להפעיל את האכיפה החדשה, או לבטל את האכיפה החדשה...
וכל הפער שנשאר הוא בכך, שבהנהלה מתכננים לבטל בעוד זמן מה את האופצייה של הלקוחות, שלא יוכלו יותר לבחור בביטול האכיפה.
- וכאן שוב עולה הבקשה והשאלה, מאחר שישנם לקוחות זהירים מאוד, שלא מסרו את הסיסמא אף פעם לשום גורם חיצוני, וחבל להם על הזמן להתחיל להחליף את כל הטוקנים הישנים ב API לטוקן חדש, (ואפילו אם נניח שיקח להם רק שעות בודדות בלבד לטפל בזה, אבל חבל להם על הזמן הזה).
ואם כן אולי יש מקום להנהלה לשקול, שאולי לא יהיה נורא אם הברירת מחדל תהיה שהאכיפה החדשה פועלת, ובכל זאת תישאר אפשרות ללקוח לבחור, האם מעוניין לבטל את האכיפה החדשה, - כמובן לאחר שיעשה אימות דו שלבי, ולאחר שהמערכת תזהיר אותו שהוא מסתכן בפריצות וכדומה, והכל על אחריותו האישית בלבד!!!
תודה רבה וגמר חתימה טובה!!
-
@שמואל השימוש ב-path(xx) לעטיפה של נתיב הוא גם בנתיב ללא ivr2: (לדוג' GetIVR2Dir)?
-
פוסט זה נמחק! -
@עידו כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:אולי גם @Liy יוכל לעזור בזה?
אם יש למישהו קבלה ממנו יעזור אם יביא צילום שלה למייל בפרופיל.
מצאתי כמה טלטק וכמה אתרים שלו.יש לי את המייל שלו,
תשלח לי בקשה באישי -
@kasnik כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:@עידו כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:אולי גם @Liy יוכל לעזור בזה?
אם יש למישהו קבלה ממנו יעזור אם יביא צילום שלה למייל בפרופיל.
מצאתי כמה טלטק וכמה אתרים שלו.יש לי את המייל שלו,
תשלח לי בקשה באישיזה @נר-יצחק ו @אביי-ורבא הם אלו שצריכים אותו, אני רק מנסה לעזור.
-
@שמואל אם כבר מסדרים את עניין האימות והאבטחה במערכות, כדאי לדעתי ליצור מנגנון אימות מול שירות הלקוחות גם ללא סיסמת המערכת, זה לא הסטנדרט שצריך לשלוח או לתת לשירות הלקוחות את הסיסמה כדי לקבל שירות,
ובמאמר המוסגר, תודה ענקית על כל השידרוג הזה, זה אומנם כאב ראש קטן לחודשיים הקרובים, אבל זה יחסוך הרבה מאוד כאב ראש בהמשך..
(בפרט ההגבלה לפי נתיבים ושירותי API..) -
רק שאלה
באם אני מגדיר את ה ip של הרשת הביתית שלי ברשימה הלבנה אני פטור מאימות? -
@kasnik אני מניח שכן, בתנאי שיש לך כמובן כתובת IP קבועה.
-
כל קבצי האקסס כדוגמת האלו של אריה יפסיקו לעבוד?
וא"כ איך אפשר להתגבר ע"ז? -
@מתעניין APIKEY
-
@עידו כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:@kasnik אני מניח שכן, בתנאי שיש לך כמובן כתובת IP קבועה.
יש לי קבועה.
זה לצמיתות או שאני יצטרך פעם בחודש וכו' -
@kasnik עד כמה שידוע לי פעם בחודש
האפשרות הקבועה היחידה היא APIKEY -
@עידו כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:עד כמה שידוע לי פעם בחודש
אני חושב שאתה מתבלבל בין "זכור אותי" לבין רשימה לבנה של כתובות IP
-
@CUBASE כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:@עידו כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:עד כמה שידוע לי פעם בחודש
אני חושב שאתה מתבלבל בין "זכור אותי" לבין רשימה לבנה של כתובות IP
יתכן
-
האם זה תקין לאפשר אתר נניח כמו קוסמוס עם api key?
כלומר אם אני רוצה לפרסם לציבור ממשק, מכיון שכבר אין מערכת:סיסמה, אז להדריך את המשתמשים איך ליצור api key, ולהזין אותו בממשק, זה בעיית אבטחה? זה תקין? -
@זרח בשביל זה יש API לאימות דו־שלבי, לא צריך מפתח API
אם תדריך את המשתמשים איך ליצור מפתח API ולהזין אותו בממשק שלך - אתה גורם לכך שיאבדו בך אמון, אף אחד לא ימסור סתם כך מפתח API אם אתה יכול לאפשר אימות דו־שלבי (לפני עידן האימות היית יכול לטעון שאתה לא שומר את המפתח והיו צריכים לסמוך עליך, היום אין תירוצים - מי שבונה ממשק לניהול מערכת מוזמן לשלב את ה-API לאימות דו־שלבי)
-
@CUBASE
Ok, אז איך עובד אימות דו שלבי לapi? כלומר איפה המשתמש מזין את מספר המערכת והסיסמה? -
https://f2.freeivr.co.il/topic/55/api-גישת-מפתחים-למערכות/71
אם זה מדי מסובך לך אז אתה יכול בינתיים להשתמש בפתרון הזה כפתרון זמני
-
@אביי-ורבא אני לעומת זאת מנסה להכנס לקוסמוס כדי לעשות את זה ולא מצליח
-
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:בגבול הטעם הטוב
זה אומר שגם על API_KEY יהיו מגבלות?
(לא שיש לי צרכים עם טעם פחות טוב.. אני פשוט מתחיל לשנות את הקודים שלי ורוצה להבין איך הדברים יעבדו, הכל יוכל לעבוד עם API_KEY?)
אני משתמש למשל הרבה עםCallExtensionBridging,UploadFile,UploadTextFile,UpdateExtension
ימשיך לעבוד לי עם API_KEY?תודה רבה רבה על הכל!!
בכל יום כל היום מה שמעניין אתכם זה שיהיה לנו טוב!
אז אולי פעם אחת נצטרך לטרוח גם אנחנו קצת ולהבין מה אתם עושים בשבילנו כל הזמן..
באמת כל הכבוד!!
תודה!
