השרתים של גוגל (גוגל שיטס, App script) חסומים בימות המשיח

שמואל ש.

@שמואל כתב בהשרתים של גוגל (גוגל שיטס, App script) חסומים בימות המשיח:

@שמואל-ש אף אחד לא חסם אותם אישית, זה חסימה אוטומטית כי זה ניסיון פריצה לכל דבר.

1.ממה זה נגרם-רק מבקשות עם מערכת/סיסמה שגויים או עוד משהו יכול לגרום לזה?
2.

@שמואל-ש כתב בהשרתים של גוגל (גוגל שיטס, App script) חסומים בימות המשיח:

@eliyahu
אוקיי, אבל 1.אין פאשרות אלתר משהו יותר ספציפי מלחסום גורף? אני מבין שזה מובן שנחסם, אבל זה שרת גדול שהרבה מאוד משתמשים עם זה, אז א"א לחסום משהו יותר ספציפי שלא יחסום את כולם?
או אולי לחסום את המערכת הספציפית שאליו שולחים בקשות שגויות?
2.ההתקפות/בקשות שגויות אכן עדיין קיימות? וברגע שהם ייפסקו זה ישתחרר אוטומטית?

שמואל ש.

@חוויה-טלפונית כתב בהשרתים של גוגל (גוגל שיטס, App script) חסומים בימות המשיח:

@שמואל-ש הפיתרון הוא רק לשלוח את הבקשות לשרת מתווך

אבל אני צריך שיעשה המון פעולות, העתקת קבצים, קבלת תוכן קבצים, העלאת טקסט לקובץ וכו', איך אפשר להתבסס על מה שיש בגוגל סקריפט ולבנות רק קוד קצרצר שרק לוקח משם את מה שצריך ומבצע אותם?
דהיינו שכל הפקודות-פעולה על קבצים/קבלת תוכן קובץ/העלאת תוכן לקובץ יישארו בגוגל והוא רק יבצע אותם בפועל-ללא שאצטרך להעתיק את כל הפקודות לשרת, יש אפשרות כזאת?

חוויה טלפונית

@שמואל-ש
אני באמצע לבדוק את הנושא ביסודיות כשאעלה משהו בחכתי אכתוב
אני נמצא איתך באותה סירה

שמואל ש.

@חוויה-טלפונית כתב בהשרתים של גוגל (גוגל שיטס, App script) חסומים בימות המשיח:

@שמואל-ש
אני באמצע לבדוק את הנושא ביסודיות כשאעלה משהו בחכתי אכתוב
אני נמצא איתך באותה סירה

אני כן מעדיף דווקא את גוגל כי בסופו של דבר זה שרת יציב וחזק וללא סיכונים שתמצא את עצמך פתאום ללא כלום (בחינמי) וללא תשלום נוסף

צדיק תמים

@שמואל השאלה האם יש חסימה גם בנסיון של אותו משתמש + סיסמה בדיוק שוב ושוב? לענ"ד כזה דבר לא אמור להיחסם כנסיון פריצה, אלא רק אם מנסים להתחבר עם פרטים שונים.
אם מישהו מנסה להתחבר ברצף 10 פעמים עם אותם פרטים, זה לא אמור להיות מזוהה כ10 נסיונות אלא כאחד.

חוויה טלפונית

@צדיק-תמים
הרעיון הזה דובר כמה פעמים, העיקרון שלו ודאי נכון, אבל הפיתוח שלו הוא פיתוח מאוד רגיש.

צדיק תמים

@חוויה-טלפונית כתב בהשרתים של גוגל (גוגל שיטס, App script) חסומים בימות המשיח:

@צדיק-תמים
הרעיון הזה דובר כמה פעמים, העיקרון שלו ודאי נכון, אבל הפיתוח שלו הוא פיתוח מאוד רגיש.

כי?

חוויה טלפונית

@צדיק-תמים
כי מדובר על החלק הכי רגיש בימות המשיח והוא החלק של האבטחה . . .
זה על כל פנים התשובה שקיבלתי מהם
אולי דברים ישתנו אני מאוד אשמח

שמחה - זו הסיסמא

@צדיק-תמים כתב בהשרתים של גוגל (גוגל שיטס, App script) חסומים בימות המשיח:

אם מישהו מנסה להתחבר ברצף 10 פעמים עם אותם פרטים, זה לא אמור להיות מזוהה כ10 נסיונות אלא כאחד.

הפיתרון הזה לא יפתור לגמרי את הבעיה אלא רק יצמצם אותה
יש למעשה התקפה של ממש מכיוון השרתים של גוגל, (בבדיקה אתמול, מכל שרת היו בין 300 ל 600 נסיונות שגויים......) וזה גם לא על מערכת אחת אלא על כמה
כך שזה לא ממש יעזור, כי מספיק שהשרת ינסה על 6 , 7 מערכות וכבר הוא יחסם

מנסה

@שמחה-זו-הסיסמא

אולי יבדקו עם בעל המערכת אליה ניסו לפרוץ, ואם זה הוא יסדר נא את הטריגר שלו, ואם לא הוא אז לבדוק מי זה וכדו'

ניתן בקלות לבודד את העניין

[ייתכן שזה אצלי ואין לי איך לבדוק זאת לבד [ יתכן ופונקציה כלשהיא שבניתי לפני תקופה קיבלה שגיאה עקב שגיאת אחד המשתמשים, אין לי מושג, אולי זה לא אני, אבל אם זו מערכת שלי (לדוגמא) אין לי דרך לדעת מלבד פניה של ימות להודיע על כך]

שמואל ש.

@שמחה-זו-הסיסמא @eliyahu @שמואל @חוויה-טלפונית אני מבין את חומרת העניין ואת הבעיה בדבר, וזה שזה לא בעיה מצד ימות אלא מצד הלקוחות, ואין לי שום טענה כי הבנתי מהתחלה שהבעיה היא לא אצל ימות, אבל אני אומר שבסופו של דבר זה משהו שיש בו עשרות אם לא מאות משתמשים ולכל אחד יש כמה וכמה פרוייקטים כנראה, ככה שזה משהו זניח, ולכן אנחנו מבקשים אם בכל אופן אפשר לסנן משהו או לעשות שכן נוכל להשתמש עם זה.
העלו כאן כמה רעיונות, אף אחד מהם לא אפשרי?

eliyahu

@שמואל-ש אני מסכים איתך
אנחנו בוחנים מספר פתרונות לנושא

שמואל ש.

@eliyahu כתב בהשרתים של גוגל (גוגל שיטס, App script) חסומים בימות המשיח:

@שמואל-ש אני מסכים איתך
אנחנו בוחנים מספר פתרונות לנושא

צפי לטיפול בקרוב?
כי אני צריך לדעת האם להתחיל לעבוד ולהעביר הכל לשרת אחר

eliyahu

@שמואל-ש כמו שכתבתי, אנחנו בוחנים מספר פתרונות לנושא
כך שהנושא כבר נמצא "בטיפול"
יחד עם זאת, אין לי צפי. זה עדיין נמצא בשלב המחקר.

אביי ורבא

@חוויה-טלפונית כתב בהשרתים של גוגל (גוגל שיטס, App script) חסומים בימות המשיח:

ראשית אבקש מכל אחד לבדוק אם יש לו איזה קובץ שיטס ששולח בקשות עם סיסמא שגויה
ועם זאת ממשתמשי הפורום הוותיקים אולי יש לכם פיתרון לבעיה החמורה הזו

עקב שככה"נ יש לי חלק גדול ביצירת הבעיה... אשמח גם למנוע אותה לעתיד וזאת ע"י עצירת שליחת קריאות עם פרטים לא תקינים לשרת, לכן אשמח אם תוכל לשלוח אלי cs@abaye.ml את הפלט שמתקבל מימות המשיח כשבקשה נחסמת וכן כשבקשת לוגין שגויה, ע"מ שאוכל לתקן זאת בגרסה הבאה.

חוויה טלפונית

@אביי-ורבא
כשהסיסמא שגויה

{"yemotAPIVersion":6,
"responseStatus":"EXCEPTION",
"message":"IllegalStateException(session token is invalid)"}

jack

@צדיק-תמים כתב בהשרתים של גוגל (גוגל שיטס, App script) חסומים בימות המשיח:

@שמואל השאלה האם יש חסימה גם בנסיון של אותו משתמש + סיסמה בדיוק שוב ושוב? לענ"ד כזה דבר לא אמור להיחסם כנסיון פריצה, אלא רק אם מנסים להתחבר עם פרטים שונים.
אם מישהו מנסה להתחבר ברצף 10 פעמים עם אותם פרטים, זה לא אמור להיות מזוהה כ10 נסיונות אלא כאחד.

מצד שני ייתכן שימות חוסמים את שרת גוגל על מנת למנוע מתקפת ddos אבל מצד שלישי זה באמת מונע שירות מכל המשתמשים אז "המתקפה" בעצם הצליחה?

אביי ורבא

@jack זה לא בדיוק נכון... אני חושב שהחסימה לא היתה ענין של DDOS אלא ענין של בקשות רבות של לוגין שהגיעו עם סיסמה שגויה, ואז השרת חוסם את הבקשה כדי למנוע מצב שאתה תשלח מלא סיסמאות את שתצליח להתחבר...

שמואל ש.

@eliyahu מה המצב? יש התקדמות?

jack

@אביי-ורבא אם זה המצב אז למה השרת של ימות לא חוסם רק את הכניסה למערכת "המותקפת" בדומה למה שנעשה כאשר טועים 5 פעמים בממשק הכניסה באתר וצריך לקבל קוד שחרור מהפלאפון