אבטחה - באימות דו שלבי / דעתכם... 🪪💂🏻
-
@נר-יצחק יש לי יותר, ואני ממש מזדהה איתך:
רק להגדיר לכולם את הטלפון והמייל שלי באימות, זה כבר סיוט של ממש
-
@שמואל כדאי שתוסיפו אפשרות לעשות את האימות באמצעות sso של גוגל. כמעט כל המיילים בציבור הם של גימייל וזה יקל מאוד לעשות את האימות בלחיצה במקום לפתוח מייל, לחכות שהקוד יגיע, להעתיק, להדביק
-
@גלאט-מערכות כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:עד היום היינו נכנסים עם כתובת URL הכוללת שם מערכת וסיסמה בטקסט פתוח – מה שמהווה סיכון אבטחתי, מכיוון שכל מי שיש לו גישה לשרת או ל-API יכול לראות את הסיסמה בקלות.
זה לא טקסט פתוח, הפרמטרים של הבקשה מוצפנים בHTTPS
מי שיש לו גישה לשרת יכול גם לקרוא את הסיסמה בזמן ההתחברות או ישירות מהדיסק
איך אפשר "לראות בקלות"? -
@שמואל אני באמצע לבנות API ללקוח, ולא אתי בעיני להביא לו קוד שאני יודע שעוד חודשיים לא יעבוד כי שינו את השיטה, לכן חשוב מאוד שתשחררו כמה שיותר מהר את התיעוד החדש, אפילו חלקו שנוכל להתארגן כמה שיותר מהר.
-
באדיבות GPT (לקח לי המון זמן לעשות את זה, להסביר במדויק הכל זה לא פשוט!) הוכן כלי לבדיקת קוים אם מכילים משהו שיכול להיות כמו סיסמא וטוקן, הוא בודק אם יש token, Token, TOKEN או משהו בפורמט מספר:סיסמה. ככה מנהלי קוים יכולים לבדוק יחסית בקלות אם יש שם משהו שיצטרך שינוי. כמובן זה לא מכסה את כל המקרים, אבל עוזר.
מוזמנים לבדוק ולעדכן איך עובד.
הכל עובד מהדפדפן ככה שהסיסמה והמספר לא עוברים לשום מקום (חוץ מימות המשיח כמובן), אין לי אחריות על כלום, כפשוטו ממש! -
@עידו כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:באדיבות GPT (לקח לי המון זמן לעשות את זה, להסביר במדויק הכל זה לא פשוט!) הוכן כלי לבדיקת קוים אם מכילים משהו שיכול להיות כמו סיסמא וטוקן, הוא בודק אם יש token, Token, TOKEN או משהו בפורמט מספר:סיסמה. ככה מנהלי קוים יכולים לבדוק יחסית בקלות אם יש שם משהו שיצטרך שינוי. כמובן זה לא מכסה את כל המקרים, אבל עוזר.
מוזמנים לבדוק ולעדכן איך עובד.
הכל עובד מהדפדפן ככה שהסיסמה והמספר לא עוברים לשום מקום (חוץ מימות המשיח כמובן), אין לי אחריות על כלום, כפשוטו ממש!חשוב גם שיבדוק אם יש פרמטר pass או password כי יש הרבה שלוקחים את המספר שהתקשר ורק את הסיסמה לוקחים מהשלוחה
-
@שמואל-ש אדבר איתו
עריכה - מחקתי כבר את הצ'אט הנ"ל (אני מוחק אותם מהר, לא אוהב דברים מיותרים) אז פשוט שיניתי לבד. -
@שמואל-ש כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:@עידו כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:באדיבות GPT (לקח לי המון זמן לעשות את זה, להסביר במדויק הכל זה לא פשוט!) הוכן כלי לבדיקת קוים אם מכילים משהו שיכול להיות כמו סיסמא וטוקן, הוא בודק אם יש token, Token, TOKEN או משהו בפורמט מספר:סיסמה. ככה מנהלי קוים יכולים לבדוק יחסית בקלות אם יש שם משהו שיצטרך שינוי. כמובן זה לא מכסה את כל המקרים, אבל עוזר.
מוזמנים לבדוק ולעדכן איך עובד.
הכל עובד מהדפדפן ככה שהסיסמה והמספר לא עוברים לשום מקום (חוץ מימות המשיח כמובן), אין לי אחריות על כלום, כפשוטו ממש!חשוב גם שיבדוק אם יש פרמטר pass או password כי יש הרבה שלוקחים את המספר שהתקשר ורק את הסיסמה לוקחים מהשלוחה
yemot_extini_scanner-3 (2).html
בpassword מוצא עוד כמה דברים כמו passwordRecovery אבל לא נורא.
-
בגלל שינוי במשהו מסויים לא צריך לשנות הכל
-
אני כבר מעל עשר שנים מתעסק עם מערכות של ימות המשיח עוד מהימים שהיינו צריכים מענה אנושי כדי לפתוח תת שלוחה, פתחתי מאות מערכות אם לא יותר.
המהלך הזה חשוב מאוד ומבורך מצד האבטחה, אבל אני כבר רואה כמה וכמה מערכות שאם האימות לא יאפשר לי להיכנס אליהם, איבדתי את הגישה.
יש לי מערכות שנפתחו על מספרי טלפון של אנשים שכבר לא זמינים ואני עדיין מטפל בהם, וגם מערכות שאין לי דרך אמיתית להוכיח שאני הבעלים שלהם.מבחינתי זה סגר לי את האפשרות לטפל בכמה וכמה מערכות שהייתי צריך להמשיך לנהל
היו ברוכים חברה נכבדה