השרתים של גוגל (גוגל שיטס, App script) חסומים בימות המשיח

שמואל ש.

@חוויה-טלפונית כתב בהשרתים של גוגל (גוגל שיטס, App script) חסומים בימות המשיח:

@שמואל-ש
אני באמצע לבדוק את הנושא ביסודיות כשאעלה משהו בחכתי אכתוב
אני נמצא איתך באותה סירה

אני כן מעדיף דווקא את גוגל כי בסופו של דבר זה שרת יציב וחזק וללא סיכונים שתמצא את עצמך פתאום ללא כלום (בחינמי) וללא תשלום נוסף

צדיק תמים

@שמואל השאלה האם יש חסימה גם בנסיון של אותו משתמש + סיסמה בדיוק שוב ושוב? לענ"ד כזה דבר לא אמור להיחסם כנסיון פריצה, אלא רק אם מנסים להתחבר עם פרטים שונים.
אם מישהו מנסה להתחבר ברצף 10 פעמים עם אותם פרטים, זה לא אמור להיות מזוהה כ10 נסיונות אלא כאחד.

חוויה טלפונית

@צדיק-תמים
הרעיון הזה דובר כמה פעמים, העיקרון שלו ודאי נכון, אבל הפיתוח שלו הוא פיתוח מאוד רגיש.

צדיק תמים

@חוויה-טלפונית כתב בהשרתים של גוגל (גוגל שיטס, App script) חסומים בימות המשיח:

@צדיק-תמים
הרעיון הזה דובר כמה פעמים, העיקרון שלו ודאי נכון, אבל הפיתוח שלו הוא פיתוח מאוד רגיש.

כי?

חוויה טלפונית

@צדיק-תמים
כי מדובר על החלק הכי רגיש בימות המשיח והוא החלק של האבטחה . . .
זה על כל פנים התשובה שקיבלתי מהם
אולי דברים ישתנו אני מאוד אשמח

שמחה - זו הסיסמא

@צדיק-תמים כתב בהשרתים של גוגל (גוגל שיטס, App script) חסומים בימות המשיח:

אם מישהו מנסה להתחבר ברצף 10 פעמים עם אותם פרטים, זה לא אמור להיות מזוהה כ10 נסיונות אלא כאחד.

הפיתרון הזה לא יפתור לגמרי את הבעיה אלא רק יצמצם אותה
יש למעשה התקפה של ממש מכיוון השרתים של גוגל, (בבדיקה אתמול, מכל שרת היו בין 300 ל 600 נסיונות שגויים......) וזה גם לא על מערכת אחת אלא על כמה
כך שזה לא ממש יעזור, כי מספיק שהשרת ינסה על 6 , 7 מערכות וכבר הוא יחסם

מנסה

@שמחה-זו-הסיסמא

אולי יבדקו עם בעל המערכת אליה ניסו לפרוץ, ואם זה הוא יסדר נא את הטריגר שלו, ואם לא הוא אז לבדוק מי זה וכדו'

ניתן בקלות לבודד את העניין

[ייתכן שזה אצלי ואין לי איך לבדוק זאת לבד [ יתכן ופונקציה כלשהיא שבניתי לפני תקופה קיבלה שגיאה עקב שגיאת אחד המשתמשים, אין לי מושג, אולי זה לא אני, אבל אם זו מערכת שלי (לדוגמא) אין לי דרך לדעת מלבד פניה של ימות להודיע על כך]

שמואל ש.

@שמחה-זו-הסיסמא @eliyahu @שמואל @חוויה-טלפונית אני מבין את חומרת העניין ואת הבעיה בדבר, וזה שזה לא בעיה מצד ימות אלא מצד הלקוחות, ואין לי שום טענה כי הבנתי מהתחלה שהבעיה היא לא אצל ימות, אבל אני אומר שבסופו של דבר זה משהו שיש בו עשרות אם לא מאות משתמשים ולכל אחד יש כמה וכמה פרוייקטים כנראה, ככה שזה משהו זניח, ולכן אנחנו מבקשים אם בכל אופן אפשר לסנן משהו או לעשות שכן נוכל להשתמש עם זה.
העלו כאן כמה רעיונות, אף אחד מהם לא אפשרי?

eliyahu

@שמואל-ש אני מסכים איתך
אנחנו בוחנים מספר פתרונות לנושא

שמואל ש.

@eliyahu כתב בהשרתים של גוגל (גוגל שיטס, App script) חסומים בימות המשיח:

@שמואל-ש אני מסכים איתך
אנחנו בוחנים מספר פתרונות לנושא

צפי לטיפול בקרוב?
כי אני צריך לדעת האם להתחיל לעבוד ולהעביר הכל לשרת אחר

eliyahu

@שמואל-ש כמו שכתבתי, אנחנו בוחנים מספר פתרונות לנושא
כך שהנושא כבר נמצא "בטיפול"
יחד עם זאת, אין לי צפי. זה עדיין נמצא בשלב המחקר.

אביי ורבא

@חוויה-טלפונית כתב בהשרתים של גוגל (גוגל שיטס, App script) חסומים בימות המשיח:

ראשית אבקש מכל אחד לבדוק אם יש לו איזה קובץ שיטס ששולח בקשות עם סיסמא שגויה
ועם זאת ממשתמשי הפורום הוותיקים אולי יש לכם פיתרון לבעיה החמורה הזו

עקב שככה"נ יש לי חלק גדול ביצירת הבעיה... אשמח גם למנוע אותה לעתיד וזאת ע"י עצירת שליחת קריאות עם פרטים לא תקינים לשרת, לכן אשמח אם תוכל לשלוח אלי cs@abaye.ml את הפלט שמתקבל מימות המשיח כשבקשה נחסמת וכן כשבקשת לוגין שגויה, ע"מ שאוכל לתקן זאת בגרסה הבאה.

חוויה טלפונית

@אביי-ורבא
כשהסיסמא שגויה

{"yemotAPIVersion":6,
"responseStatus":"EXCEPTION",
"message":"IllegalStateException(session token is invalid)"}

jack

@צדיק-תמים כתב בהשרתים של גוגל (גוגל שיטס, App script) חסומים בימות המשיח:

@שמואל השאלה האם יש חסימה גם בנסיון של אותו משתמש + סיסמה בדיוק שוב ושוב? לענ"ד כזה דבר לא אמור להיחסם כנסיון פריצה, אלא רק אם מנסים להתחבר עם פרטים שונים.
אם מישהו מנסה להתחבר ברצף 10 פעמים עם אותם פרטים, זה לא אמור להיות מזוהה כ10 נסיונות אלא כאחד.

מצד שני ייתכן שימות חוסמים את שרת גוגל על מנת למנוע מתקפת ddos אבל מצד שלישי זה באמת מונע שירות מכל המשתמשים אז "המתקפה" בעצם הצליחה?

אביי ורבא

@jack זה לא בדיוק נכון... אני חושב שהחסימה לא היתה ענין של DDOS אלא ענין של בקשות רבות של לוגין שהגיעו עם סיסמה שגויה, ואז השרת חוסם את הבקשה כדי למנוע מצב שאתה תשלח מלא סיסמאות את שתצליח להתחבר...

שמואל ש.

@eliyahu מה המצב? יש התקדמות?

jack

@אביי-ורבא אם זה המצב אז למה השרת של ימות לא חוסם רק את הכניסה למערכת "המותקפת" בדומה למה שנעשה כאשר טועים 5 פעמים בממשק הכניסה באתר וצריך לקבל קוד שחרור מהפלאפון

MGM IVR

@jack כתב בהשרתים של גוגל (גוגל שיטס, App script) חסומים בימות המשיח:

@אביי-ורבא אם זה המצב אז למה השרת של ימות לא חוסם רק את הכניסה למערכת "המותקפת" בדומה למה שנעשה כאשר טועים 5 פעמים בממשק הכניסה באתר וצריך לקבל קוד שחרור מהפלאפון

גם באתר זה חסימה על הכל, לאו דווקא על מערכת ספציפית,
חוץ מזה, שapi זה שונה, וחוסמים תכלס את הכתובת ip

מנסה

@אביי-ורבא

חסימת שרת מחזיר

"yemotAPIVersion":6,
"responseStatus":"EXCEPTION",
"message":"creating login token error(account locked, Please verify the details and try again later)"

אגב, המייל שציינת לא מקבל מיילים [חסר סיומת ככל הנראה]

אביי ורבא

@מנסה כתב בהשרתים של גוגל (גוגל שיטס, App script) חסומים בימות המשיח:

אגב, המייל שציינת לא מקבל מיילים [חסר סיומת ככל הנראה]

צודק טעות cs@abaye.ml