אבטחה - באימות דו שלבי / דעתכם... 🪪💂🏻
-
@אביי-ורבא כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:הבעיה היא שהסיסמה חשופה ומסתובבת בכל סקריפטון
אם אתה מוסיף כתובת IP לרשימה לבנה - זה אומר שאתה סומך עליה, לא?
@אביי-ורבא כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:וגם login לא מומלץ
אתה מתכוון login ללא אימות..
@אביי-ורבא כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:למעשה מעתה והילך הדרך המומלצת לאוטומציות וכדו' זה API_KEY
שלא תחשוב שאני חולק עליך, בוודאי ש-API_KEY זה יותר נוח ויותר פונקציונלי ויותר מאובטח, פשוט כרגע זה לא עובד בכל שירותי ה-API...
-
@CUBASE כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:אתה מתכוון login ללא אימות..
לא קשור, עבור לוגין תשתמש במקרה שבו אתה נותן למשתמש להתחבר בעצמו רק לשירות צד שלישי,
-
@אביי-ורבא מסכים עם @CUBASE אם כבר משתמשים בכמעט כל בקשה (הרי אימות תקף לחצי שעה, אז בשביל כמעט כל בקשה תצטרך לוגין מחדש) במספר וסיסמא אני לא רואה מניעה מלהשתמש בהם לכל הבקשות...
גם הAPIKEY כבר מסתובב בכל מיני מקומות, תבדוק בפורום ותראה... ככה שזה לא תירוץ.
ודאי שיש נוחות בAPIKEY אבל הוא לא עובד כרגע על כל הדברים, וגם אין צפי לזה.
אני לא רואה סיבה לבטל את המספר מערכת:סיסמא.
-
@עידו כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:גם הAPIKEY כבר מסתובב בכל מיני מקומות, תבדוק בפורום ותראה... ככה שזה לא תירוץ.
לגבי זה אני דווקא מסכים עם @אביי-ורבא , מפתח API אפשר להגביל לשירותים ופרמטרים ספציפיים, זה לא כמו סיסמה שמאפשרת גישה מלאה לכל המערכת, אבל זה עדיין לא סיבה לבטל את המספר מערכת:סיסמה בכתובות IP לבנות
-
לדעתי זה שבכל שינוי ip צריך לעשות אימות מחדש זה מאד מפריע, כל מי שמשתמש סטיק בכל חיבור שלו הip משתנה.
הייתי מציע שהסשן ישמר בדפדפן, כמו שכל אתר אחר עושה (google, github וכו' וכו'). -
@האדם-החושב למשתמשי נטפרי זה לא משתנה בכל חיבור, כי האייפי הוא של המכונת סינון..
-
@אביי-ורבא אתה בטוח במה שאתה אומר? כי לדעתי נטפרי נכנסים לפעולה רק כשהתשובה מתקבלת, יותר הגיוני לי שהIP קשור לספקית. ולכן גם כן אפשר לבקש מהספק IP קבוע.
-
@עידו אתה בטוח שהבנת מה אתה אומר?
מה שכתבתי זה לא סטנדרט או חוק - זה מציאות טכנית, וגם למשתמשי נטפרי זה עשוי להשתנות מפעם לפעםאבל בוא לא נסיט את הנושא
-
@אביי-ורבא כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:@עידו אתה בטוח שהבנת מה אתה אומר?
מה שכתבתי זה לא סטנדרט או חוק - זה מציאות טכנית, וגם למשתמשי נטפרי זה עשוי להשתנות מפעם לפעםאבל בוא לא נסיט את הנושא
אני בטוח שהבנתי, נטפרי הם לא פרוקסי אלא בודקים את התעבורה, לכן לדעתי הבקשה עוברת כך מחשב -> ספק -> אתר -> ספק -> נטפרי -> ספק ->מחשב (בגדול, זה לא מדויק לגמרי. וכן לא בטוח במסלול החזרה מי קודם למי) ולא מחשב -> ספק -> נטפרי -> שרת ->נטפרי ->ספק -> מחשב
אם כן, הIP היוצא (שזה מה שמעניין אותנו, ואני גם לא יודע אם יש אחר) שמגיע לשרת הוא של ספק האנטרנט שלך ולא של נטפרי.
אני לא יודע על איזו מציאות בשטח אתה מדבר, אתה יודע אילו כתובות IP יש לנטפרי? רוב מי שמשתמש בנטפרי משתמש באותם ספקיות לכן הIP דומה.
וכמובן, אתה יכול לבקש מחלק מהחברות IP קבוע, מה שאומר שזה תלוי בהם.
כך לדעתי לפחות -
@אביי-ורבא אם אתה צודק זה בעצם אומר שברגע שאתה מוסיף את כתובת הip של נטפרי כל אחד אחר בנטפרי יוכל להתחבר בלי אימות דו שלבי, מה הועילו חכמים בתקנתם...
-
@האדם-החושב זה היה נכון אם כל משתמשי נטפרי היו על אותה מכונת סינון בפועל זה לא ככה, ואפילו לא מתקרב לזה..
-
אני לא בטוח אבל יתכן ואתה צודק, שבכל מקרה זה עובר דרך נטפרי גם בדרך החוצה בשביל שיוכלו לסנן גם אתרים עם https, אחרת הם לא יוכלו לפענח את התעבורה בחזור מהשרת. וא"כ הIP כנראה הוא כן של נטפרי. -
@עידו הוא של נטפרי, זה לא כתובת אחת אבל כן הרבה משתמשים על כל כתובת
-
הבנתי ממישהו בימות שהפיתוח של הapi key בשלבי סיום