אבטחה - באימות דו שלבי / דעתכם... 🪪💂🏻
-
טוב אז לאחר צניחה לשרשור עם מעל 100 פוסטים
חלקם מתוסכלים יותר חלקם מתוסכלים פחות אפרוס את טענותיישימו לב: פוסט זה נכתב בעוקצנות יתר
כי בכ"א כבר
דבר ראשון זה לא חכמה להגיד בעייה שלכם שלא בניתם עם קוד נקי אני בתור בונה מערכות מעל 10 שנים קצת פחות הגיוני שהייתי יודע אז לבנות מערכת פרפקט עם שליחת בקשת התחברות מסודרת שלא מפוזרת עם מס' מערכת וסיסמה בכל חור וכו'.
כי הרי גם @שמואל היקר שאני לא בא לזלזל בעבודת הקודש שלו חלילה לא ידע כשהוא התחיל לעבוד בחברה את כל מה שהוא יודע היום כי כל דבר לומדים לעשות ואתה לא מצפה אפילו ממייקל דל שבתחילת דרכו יבנה מחשב מושלם, לכל אחד יש טעויות שמהם הוא לומד,ו זה לא חכמה להאשים אותו
דבר שני אני למשל פתחתי מערכת אצל טלטק לפני כמה שנים והאיש פשוט התאייד עכשיו זה מערכת ממש חשובה ועכשיו לך תחפש אותו בכל בעולם כדי לעדכן מספר שפתח את המערכת ומה גם שאני מתקשר לשירות לקוחות התגובה הכי לקונית שאני מקבל זה "זה לא מערכת שלנו אתה לקוח של טלטק תדבר איותו". ואני עונה "אבל אנין לי עם מי לדבר". ועונים לי "זה לא מענין אותי אתה לא לקוח שלנו" וסלמאת.
מה בדיוק אני אמור לעשות.דבר שלישי אני ב"ה לא מחזיק עליי במהלך הזמן מכשיר סלולרי ולא כל פעם שאני מגיח שנייה לאיזה מחשב (אני לא לומד בעיר חרדית) אני פותח את המייל ועכשיו צריך אימותים ובלאגנים
אני מבין את הבעייה של @ימות-המשיח שרוצים אבטחה, אבל אותי זה לא מעניין. מה אכפת לי אני היחיד שיודע את כל הקודים הרנדומליים שלי. מצידי "דלת אנת ודל שיפורי אבטחתך"
תנו לנו לחיות בשקט
לא רוצים בלאגןמצידי תקחו לי כמה שקלים גם על השקט הנפשי הזה ותחתימו אותי על מה שאתם רוצים, אני אמשכן את הסבתא שלי בשביל זה
זה ל הגיוני להכריח אותי על משהו שאני לא רוצה הרי א"א לגנוב לי אפילו שקל גם מי שיודע מקסימום קצת לעשות בעיות עם יחידות, אני לא חושב שיש מישהו (חוץ מ... שכ"כ מעוניין להרוס לי את המערכותמקווה שהובני
למרות שהקאתי רק חצי מהכב בטן שלי על המהלך המעצבן הזה
יען כי אני לא זוכר את כל המערכות שבניתי בעשר השנים האחרונות
אז להתראות בינתיים
זה מה שהעליתי מהחודשיים שאני שומר בשמירה אוטומטית של גוגל את המערכות שלי כשנמאס לי להקליד בעצמי!
-
@נר-יצחק יש לי יותר, ואני ממש מזדהה איתך:
רק להגדיר לכולם את הטלפון והמייל שלי באימות, זה כבר סיוט של ממש
-
@שמואל כדאי שתוסיפו אפשרות לעשות את האימות באמצעות sso של גוגל. כמעט כל המיילים בציבור הם של גימייל וזה יקל מאוד לעשות את האימות בלחיצה במקום לפתוח מייל, לחכות שהקוד יגיע, להעתיק, להדביק
-
@גלאט-מערכות כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:עד היום היינו נכנסים עם כתובת URL הכוללת שם מערכת וסיסמה בטקסט פתוח – מה שמהווה סיכון אבטחתי, מכיוון שכל מי שיש לו גישה לשרת או ל-API יכול לראות את הסיסמה בקלות.
זה לא טקסט פתוח, הפרמטרים של הבקשה מוצפנים בHTTPS
מי שיש לו גישה לשרת יכול גם לקרוא את הסיסמה בזמן ההתחברות או ישירות מהדיסק
איך אפשר "לראות בקלות"? -
@שמואל אני באמצע לבנות API ללקוח, ולא אתי בעיני להביא לו קוד שאני יודע שעוד חודשיים לא יעבוד כי שינו את השיטה, לכן חשוב מאוד שתשחררו כמה שיותר מהר את התיעוד החדש, אפילו חלקו שנוכל להתארגן כמה שיותר מהר.
-
באדיבות GPT (לקח לי המון זמן לעשות את זה, להסביר במדויק הכל זה לא פשוט!) הוכן כלי לבדיקת קוים אם מכילים משהו שיכול להיות כמו סיסמא וטוקן, הוא בודק אם יש token, Token, TOKEN או משהו בפורמט מספר:סיסמה. ככה מנהלי קוים יכולים לבדוק יחסית בקלות אם יש שם משהו שיצטרך שינוי. כמובן זה לא מכסה את כל המקרים, אבל עוזר.
מוזמנים לבדוק ולעדכן איך עובד.
הכל עובד מהדפדפן ככה שהסיסמה והמספר לא עוברים לשום מקום (חוץ מימות המשיח כמובן), אין לי אחריות על כלום, כפשוטו ממש! -
@עידו כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:באדיבות GPT (לקח לי המון זמן לעשות את זה, להסביר במדויק הכל זה לא פשוט!) הוכן כלי לבדיקת קוים אם מכילים משהו שיכול להיות כמו סיסמא וטוקן, הוא בודק אם יש token, Token, TOKEN או משהו בפורמט מספר:סיסמה. ככה מנהלי קוים יכולים לבדוק יחסית בקלות אם יש שם משהו שיצטרך שינוי. כמובן זה לא מכסה את כל המקרים, אבל עוזר.
מוזמנים לבדוק ולעדכן איך עובד.
הכל עובד מהדפדפן ככה שהסיסמה והמספר לא עוברים לשום מקום (חוץ מימות המשיח כמובן), אין לי אחריות על כלום, כפשוטו ממש!חשוב גם שיבדוק אם יש פרמטר pass או password כי יש הרבה שלוקחים את המספר שהתקשר ורק את הסיסמה לוקחים מהשלוחה
-
@שמואל-ש אדבר איתו
עריכה - מחקתי כבר את הצ'אט הנ"ל (אני מוחק אותם מהר, לא אוהב דברים מיותרים) אז פשוט שיניתי לבד. -
@שמואל-ש כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:@עידו כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:באדיבות GPT (לקח לי המון זמן לעשות את זה, להסביר במדויק הכל זה לא פשוט!) הוכן כלי לבדיקת קוים אם מכילים משהו שיכול להיות כמו סיסמא וטוקן, הוא בודק אם יש token, Token, TOKEN או משהו בפורמט מספר:סיסמה. ככה מנהלי קוים יכולים לבדוק יחסית בקלות אם יש שם משהו שיצטרך שינוי. כמובן זה לא מכסה את כל המקרים, אבל עוזר.
מוזמנים לבדוק ולעדכן איך עובד.
הכל עובד מהדפדפן ככה שהסיסמה והמספר לא עוברים לשום מקום (חוץ מימות המשיח כמובן), אין לי אחריות על כלום, כפשוטו ממש!חשוב גם שיבדוק אם יש פרמטר pass או password כי יש הרבה שלוקחים את המספר שהתקשר ורק את הסיסמה לוקחים מהשלוחה
yemot_extini_scanner-3 (2).html
בpassword מוצא עוד כמה דברים כמו passwordRecovery אבל לא נורא.
-
בגלל שינוי במשהו מסויים לא צריך לשנות הכל
-
אני כבר מעל עשר שנים מתעסק עם מערכות של ימות המשיח עוד מהימים שהיינו צריכים מענה אנושי כדי לפתוח תת שלוחה, פתחתי מאות מערכות אם לא יותר.
המהלך הזה חשוב מאוד ומבורך מצד האבטחה, אבל אני כבר רואה כמה וכמה מערכות שאם האימות לא יאפשר לי להיכנס אליהם, איבדתי את הגישה.
יש לי מערכות שנפתחו על מספרי טלפון של אנשים שכבר לא זמינים ואני עדיין מטפל בהם, וגם מערכות שאין לי דרך אמיתית להוכיח שאני הבעלים שלהם.מבחינתי זה סגר לי את האפשרות לטפל בכמה וכמה מערכות שהייתי צריך להמשיך לנהל
היו ברוכים חברה נכבדה
-
הוזכר על-ידי ח חכמון
-
פוסט מפורט ומסודר בנושא, פורסם כעת כאן
-
@עידו זה לא לגמרי עוזר, כי יש המון מקרים שהטוקן נמצא רק בשרת...
אולי כדאי שיגלה גם את כל שלוחות הAPI -
לא עברתי על כל השרשור אבל לכל ה"מתכנתים" שמתלוננים על הכאב ראש שיש להם להחליף את כל הקודים שהיו להם, אני חושב להיפך שעכשיו הכאב ראש סוף סוף ייגמר ובפרט אם ייקרה הדבר שייחלתי לו מאז שהכרתי את הAPI של ימות המשיח:
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:יהיה אפשרות ליצור API_KEY קבוע, שזה קצת לא רוצה לומר דברים שלא קיימים, אבל בעזרת השם נעשה את זה בצורה טובה, שתאפשר גמישות ונוחות.
(אם אני מבין נכון מההטעמה של המילים זה כנראה יאפשר גם הרשאות מותאמות שזה דבר נצרך מאוד)
עדיין יהיה מקום גם לקומבינטורים למיניהם לעשות "מה בא להם" עם זה:
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:יהיה בעזרת השם אפשרות באתר להגדיר כתובות IP שלא יצטרכו לבצע אימות דו-שלבי. ואז הם יוכלו לבצע Login - לקבל טוקן - ולרוץ איתו. גם באתר הניהול הם יהיו פטורים מאימות דו-שלבי. רשימת ip לבנה ברמת הפיתוח זה בוצע, אבל צריך עוד לאפשר את זה באתר להגדיר את זה ולסגור פינות.
-
הוזכר על-ידי C CUBASE
-
הופה הופה!
הנה רשימה לבנה לכתובות IP כמו שהבטיח @שמואל , אין עליכם!!
-
@מנסה כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:זה לא טענה, "בעיה שלך, היית צריך קודם ללמוד בצורה מקצועית איך כותבים קוד נקי מסודר ושקל לתחזק אותו",
כי אם כן אני יכול לשאול אתכם באותה מידה, מדוע לא למדתם על אבטחה קודם, ואיך לסדר את כל זה מראש.זה טענה, אנחנו לא מפתחים מערכת של חיידר אחד, וגם לא של 100.
אני אומר את מה שאמרתי מההתחלה; אנחנו ננסה לעשות את המהלך (כמו שניתן לראות בפועל) הכי קל שניתן לטובת הלקוחות, תוך כדי שהם ידרשו לבצע שינויים מינמיליים. אבל ההתעקשות שלך במטרה לגרום למצב להישאר כמו שהוא עכשיו לנצח - מיותרת, כי לצערי זה לא יקרה.@עידו כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:אבל עדיין אני לא יודע מה זה הMFA אבל נשמע שזה כבר לא פשוט לשנות מספר:סיסמא לטוקן, זה כבר קצת יותר מורכב
זה אכן מערכת שלמה, אבל עם ההגדרות הנכונות, בתכלס, כאשר מדובר על שרת לשרת - זה יהיה שינוי מספר:סיסמה לטוקן, +/-, אולי תוך כדי הגדרת כתובות IP מאושרות, וכד. בעז"ה שהדברים יהיו בנויים בכל הקצוות - הכל יתועד ויסוכם כך שהכל יהיה ברור, ואם יהיה צורך נאריך את התאריך לאכיפת השירות - כדי שכלל הלקוחות יהיו מוכנים בזמן - ככל שניתן.
-
@חוויה-טלפונית כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:למשל: שכתובות IP מסויימות יאושרו לשימוש עם =token077:1234 גם בלי אימות דו שלבי
שוב,
השימוש עם סיסמת הניהול כחלק מהבקשה, בכל בקשה, לא יהיה.
אתם מוזמנים כבר מאתמול לעבור לתצורה של התחברות עם Login - והמשך הפעילות עם הטוקן - כל עוד הוא פעיל.
גם ביצוע Login לפני כל קריאה הוא דבר שלא יתאפשר בעת הפעלת השירות - ויחסם ברמת ההתחברות עצמה.אז כאמור - כבר מהרגע, תתחילו לעבוד על ביצוע Login, שמירה של הטוקן בצד (לטובת כלל הבקשות לאורך טווח), תוסיפו את הכתובות IP של השרתים שלכם כמוחרגים מהדרישה לאימות דו"ש - אופציה שעלתה היום - ותתחילו להשתמש עם טוקן. זה צורה שתמשיך לעבוד גם הלאה לתמיד.
לקוחות שאין להם כתובת IP קבועה ממנה הם פונים, כמו גוגל סקריפט וכל הדבר הזה, או סתם לקוחות שמתעצלים להשתמש עם Login כמו שהסברתי, יצטרכו להמתין שבעז"ה תעלה האפשרות של קבלת API_KEY קבוע. אבל כל מי שלא - שזה למעשה כל התגובות שהיו פה - קדימה לעבודה.
-
@תן-חיוך-1 כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:למה שימות המשיח לא יתנו ללקוחות עצמם לבחור האם הם מעוניינים באימות דו שלבי או לא
כי זה דרישת האבטחה וסטנדרט בסיסי בכל מקום.
זה כמו לבקש מג'מייל שיתנו לך לעשות מייל בלי סיסמה, שכל אחד יכול להתחבר. ועם "אימות קולי" כמו שאמרת ש"לא איכפת לך".
או לבקש מהבנק אותו הדבר.דרישות האבטחה של ימות המשיח, ושל התעשייה כולה, ושל כל תקן הכי בסיסי, זה שיהיה אימות דו-שלבי. אני בכלל לא מבין את הטענה הזו "תנו לי להיות לא מאובטח, שיוכלו לפרוץ לי, לשבש לי, לעשות מה שרוצים - כל עוד אני יגיד לכם ש"לא איכפת לי". לא מבין בכלל את ההו"א בשאלה שלך.
-
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:זה כמו לבקש מג'מייל שיתנו לך לעשות מייל בלי סיסמה
לא בדיוק, יש סיסמה למערכת, וכעת חובה באימות דו-שלבי, בחשבון גוגל לא מחייבים אימות דו-שלבי ומי שמעוניין מפעיל את זה.. (אמנם בשביל לשמור פרטי אשראי בחשבון גוגל חייבים אימות דו-שלבי, אבל לא בכל מערכת יש פרטי אשראי לקניית יחידות וכדו', למה שלא יהיה חובה רק במערכות ששמור בהם פרטי אשראי?)
-
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:אנחנו ננסה לעשות את המהלך (כמו שניתן לראות בפועל) הכי קל שניתן לטובת הלקוחות, תוך כדי שהם ידרשו לבצע שינויים מינמיליים.
זה משפט שמאוד חיכנו לו, ותודה רבה על כך שאתה כותב את זה
זה מקל עלינו אפילו רק את ההרגשה, גם אם בסוף העבודה תישאר אותו דבריחד עם זאת אנחנו עדיין מקווים לראות הקלות נוספות שאולי יהיה אפשר לעשות כי כמו שנכתב כאן לעיל הדרישה הזו היא על מנת שתעלה לרקיע בשביל חלק מהפרוייקטים
אפילו רק אם נחשבו על כמות הבקשות השגויות שהשרת שלי ישלח... ואולי יחסם בעקבות כך...
תחשבו על זה...@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:גם ביצוע Login לפני כל קריאה הוא דבר שלא יתאפשר בעת הפעלת השירות - ויחסם ברמת ההתחברות עצמה.
נשמח להסבר ברור יותר
הבנתי שאם אני שולח 100 בקשות ובשביל כל אחת אני אשלח Login נפרד זה לא יעבוד
אבל לא הבנתי מה בדיוק תהיה החסימה ?
האם כל עוד יש טוקן למערכת לא יהיה ניתן להוציא טוקן נוסף ?
אם צדקתי האם זה יהיה רק מאותה כתובת IP ?
או שיש עוד פרטים שלא חשבתי עליהם.
תודה רבה
