פתרון אפשרי למניעת בקשות שגויות דרך שלוחת API
-
כל מי שפיתח שלוחת API כל שהיא נתקל בבעיה של מקרים שמכניסים בשלוחה סיסמת ניהול לא נכונה, או, גם אם הוכנסה הסיסמה הנכונה, מנהל המערכת מחליף סיסמה ולא תמיד זוכר לעדכן אותה בשלוחה, מה שגורם מדי פעם לחסימת השרת של המפתח (זמנית) מגישה לימות המשיח.
חשבתי על רעיון שיפתור את הבעיה, אם תהיה אפשרות להגדיר בשלוחת API שמלבד כל הפרמטרים הנשלחים לשרת בכל כניסה לשלוחה, תישלח גם סיסמת הניהול של המערכת השמורה אצל ימות המשיח, כמובן לא כברירת מחדל, אלא כשורת הגדרה נפרדת שיהיה ניתן להוסיף לשלוחה, ואז גם במקרה של החלפת הסיסמה תישלח תמיד הסיסמה העדכנית. -
@דוד_מלך_ישראל
בהחלט נצרך. -
@דוד_מלך_ישראל טכנית לא שייך (בהנחה שיש לימות מינימום אבטחת מידע) מכיון שהקוד מאוחסן בצורת האש (hash)
-
@דוד_מלך_ישראל הצבעתי בעד, אבל אני לא מסכים עם הרעיון, זה בעיה שאנחנו כמפתחים אמורים לפתור ולא ימות.
אני מתכוון לפתור את זה בעז"ה באופן סופי כך:
מודול לוגין שיקבל שם משתמש וסיסמה ויחזיר טוקן, אך לפני הקריאה לימות יבדוק האם המספר מופיע כחסום מבקשות קודמות, ובמקרה של חזרת בקשת שגיאה של שגיאה בשם משתמש וסיסמה המספר נכנס לרשימה השחורה שלא תשלח יותר בקשות לימות המשיח,
מלבד זה יש לי כתובת ip נוספת שבמידה והכתובת שלי נחסמת, אני יעבור אליה.
-
@שואף_גבוה כתב בפתרון אפשרי למניעת בקשות שגויות דרך שלוחת API:
@דוד_מלך_ישראל טכנית לא שייך (בהנחה שיש לימות מינימום אבטחת מידע) מכיון שהקוד מאוחסן בצורת האש (hash)
@שמואל זה נכון?
-
@אביי-ורבא כתב בפתרון אפשרי למניעת בקשות שגויות דרך שלוחת API:
@דוד_מלך_ישראל הצבעתי בעד, אבל אני לא מסכים עם הרעיון, זה בעיה שאנחנו כמפתחים אמורים לפתור ולא ימות.
אני מתכוון לפתור את זה בעז"ה באופן סופי כך:
מודול לוגין שיקבל שם משתמש וסיסמה ויחזיר טוקן, אך לפני הקריאה לימות יבדוק האם המספר מופיע כחסום מבקשות קודמות, ובמקרה של חזרת בקשת שגיאה של שגיאה בשם משתמש וסיסמה המספר נכנס לרשימה השחורה שלא תשלח יותר בקשות לימות המשיח,
מלבד זה יש לי כתובת ip נוספת שבמידה והכתובת שלי נחסמת, אני יעבור אליה.
אתה צודק, במודול הניהול שלי אני עובד היום בצורה כזו, שאחרי 3 בקשות שגויות המספר נחסם לפרק זמן מסוים, אבל אני חושב שאופציה כזו תוכל לפתור את הבעיה מהשורש.
-
@שואף_גבוה הסיסמאות בימות לא עוברים פונקציית Hash. מערכת שמאחסנת סיסמאות בHash לא אמורה לדעת את הסיסמה שלך.
בימות כאשר פותחים מערכת דרך הממשק האוטמטי או נציג שרות נשלחת ומופיעה בגוף המייל הסיסמה שבחרת. -
@yosef-avitan
בנוסף לא נראה לי שתהיה בעיה לתרגם סיסמאות מ hash כמו שאפשר לתרגם ל hash... -
@פיסטוק-פרווה כתב בפתרון אפשרי למניעת בקשות שגויות דרך שלוחת API:
@yosef-avitan
בנוסף לא נראה לי שתהיה בעיה לתרגם סיסמאות מ hash כמו שאפשר לתרגם ל hash...הרעיון בhash שזה חד כיווני, ואי אפשר להפוך חזרה.
-
@MGM-IVR תמיד אפשר לתרגם אש
-
@לומד-עס כתב בפתרון אפשרי למניעת בקשות שגויות דרך שלוחת API:
@MGM-IVR תמיד אפשר לתרגם אש
לא נכון, כלומר, האש זה גיבוב.. אפשר לגבב בדרך שיוכלו להחזיר, אבל לא משתמשים בזה כבר היום להצפנה
-
-
@MGM-IVR
כמעט כל הצפנה ברגע שאתה יודע את הצורה שמצפינים אתה יכול גם לפענח...
ואם יש אתרים באינטרנט שמצפינים זאת אומרת שאפשר לדעת את זה בקלות...
הבאתי לך אתר שעושה את זה ל 2 הכיוונים -
@פיסטוק-פרווה @לומד-עס למדתם פעם איך עובד האשינג? כי זה לא בדיוק נכון מה שכתבתם, זה בדיוק כל הרעיון של ההאש לסיסמאות, שזה פונקציה חד כיוונית.
-
@פיסטוק-פרווה כתב בפתרון אפשרי למניעת בקשות שגויות דרך שלוחת API:
הבאתי לך אתר שעושה את זה ל 2 הכיוונים
אפילו שם כתוב במפורש שלא ניתן
-
@אביי-ורבא
לא משנה, תכל'ס אפשר להמיר את זה חזרה... -
@פיסטוק-פרווה לא נכון!!
-
-
@פיסטוק-פרווה אתה מתווכח עם מציאות מתמטית, זה שניתן לבצע התקפה של ניסוי ותהיה עד למציאת המחרוזת התואמת לא אומרת שניתן להמיר את זה חזרה, אלא שבהינתן ערך האש זהה שאתה יודע מה הסטרינג המקורי שלו, תוכל לזהות את הסיסמה המגובבת בהאש, אבל עדיין לא תוכל לעשות לזה המרה חוזרת...
כמובן שכל האמור הוא לגבי הצפנה קריפטוגרפית, ולא על הצפנה מול מפתח
-
@פיסטוק-פרווה כתב בפתרון אפשרי למניעת בקשות שגויות דרך שלוחת API:
אני פשוט אחזור שוב
@MGM-IVR כתב בפתרון אפשרי למניעת בקשות שגויות דרך שלוחת API:
האש זה גיבוב.. אפשר לגבב בדרך שיוכלו להחזיר, אבל לא משתמשים בזה כבר היום להצפנה
הצורות של ההצפנה היום זה פונקציה חד כיוונית, שלא ניתן להחזיר אחורה, פעם היו מצפינים מול צופן כלשהוא, והיה ניתן להחזיר אחורה
