אבטחה - באימות דו שלבי / דעתכם... 🪪💂🏻
-
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:מערכת שתעבור מעל X פעמים בX זמן - כלומר, מערכת שתיצור מעל X סשנים חדשים בX זמן - הסשנים החדשים שלה יחסמו - כלומר, לא יהיה ניתן לבצע Login למערכת יותר - בדומה למערכת שמנסה להתחבר בX זמן עם סיסמה שגוייה.
לכאורה זה יהיה משולב IP ומערכת. למשל, 20 סשנים פעילים למערכת, 5 לכתובת IP.
המטרה - שהלקוחות ינהלו נכון את הסשנים שלהם. הכי קל לך כ"מפתח" זה ליצור סשן חדש בשביל כל שטות...זה קשור לזה או שאני מבלבל בין ה2, כי אם זה אותו דבר זה בעיה, כי בPHP זה הפתרון האולטמטיבי
-
@שמואל נחמד שלפחות הפעם יש עם מי לדבר (גם אם זה לא מועיל הרבה לשנות דברים).
-
@עידו כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:מערכת שתעבור מעל X פעמים בX זמן - כלומר, מערכת שתיצור מעל X סשנים חדשים בX זמן - הסשנים החדשים שלה יחסמו - כלומר, לא יהיה ניתן לבצע Login למערכת יותר - בדומה למערכת שמנסה להתחבר בX זמן עם סיסמה שגוייה.
לכאורה זה יהיה משולב IP ומערכת. למשל, 20 סשנים פעילים למערכת, 5 לכתובת IP.
המטרה - שהלקוחות ינהלו נכון את הסשנים שלהם. הכי קל לך כ"מפתח" זה ליצור סשן חדש בשביל כל שטות...זה קשור לזה או שאני מבלבל בין ה2, כי אם זה אותו דבר זה בעיה, כי בPHP זה הפתרון האולטמטיבי
לא קשור בכלל
לא דומה לא כמעט...שם מדובר על סשן של PHP בשרת שלך
והוא מדבר על סשן התחברות מול ימות
-
-
הקוד שלי בrender, אין שם ip קבוע כי זה משתנה בכל deploy. אז אין לי דרך להוסיף את הapi לרשימה לבנה?
-
@יעקב-1 נשמע שתצטרך לחכות לapikey קבוע.
מענין איך זה יהיה עם גוגל סקריפט, השימוש בAPIKEY יפתור את בעיית החסימות או שגם כאן זה יכול להחסם בגלל יותר מידי login במקביל?
-
@עידו כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:מענין איך זה יהיה עם גוגל סקריפט, השימוש בAPIKEY יפתור את בעיית החסימות או שגם כאן זה יכול להחסם בגלל יותר מידי login במקביל?
@שמואל ?
-
@עידו כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:מענין איך זה יהיה עם גוגל סקריפט, השימוש בAPIKEY יפתור את בעיית החסימות
בעז"ה נחשוב על זה בצורה שזה יעזור לדברים כאלה.
-
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:@זרח כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:לאחרונה ימות עושים קצת "מה בא להם", בשלל נושאים, מבלי ליידע כראוי. תהליכים לא אמורים להנחית ב"בום", זה לוקח זמן, וצריך לוודא שכולם מודעים ומתרגלים. עם כל הכבוד לחינמיות, יש לתהליכים האלו משמעויות רחבות היקף.
אדוני היקר,
שמו לך הודעה באתר שעוד חודשיים אתה צריך להפעיל אימות דו-שלבי.
משהוא שלימות המשיח אין שום תועלת בו. זה מעמיס טכנית, שמירה של מידע מיותר, עלויות הוצאת שיחות/מסרונים לאימות, אפשר אפילו לאמת מספר חו״ל - כי לימות המשיח יש לקוחות כאלה- ואנחנו לא יכולים לעשות ״מה שבא לנו״ ושהם לא יוכלו להתחבר למערכת בבוקר אחד. מדובר פה פיתוח מטורף ודאגה לאכיפה של זה בכל הצורות, באתר, בAPI, ועוד הנושא עוד לא הסתיים. בקושי התחיל.לך שמו באתר הודעה שלפחות כרגע - בחודשיים הקרובים, אתה יכול או לבצע אימות של מספר/מייל נוסף, או להקיש לחיצה אחת נוספת על העכבר בכל התחברות.
אני מבין שבשבילך זה ״בום״ גדול, אז באמת צר לי שלקחת את הנושא כל כך קשה. איך אמרת, ללחיצה הזו יש בוודאי ״משמעויות רחבות היקף...״.
נושא האימות הדו-שלבי כרגע עלה בתור הודעה הכי פשוטה באתר.. אני לא מבין את הטענה שלך.
נשמע ממך שהיינו אמורים להגיע לכל בעל מערכת לבית ולדבר איתו האם הוא מסכים שננסה לפתח משהוא בסגנון של אימות דו-שלבי.ימות המשיח מתמודדת עם דברים בשוק, וממשיכה לתת שירות חינמי כזה או אחר, ואני חושב שלקוחות כמוך לא מגיבים בצורה פרופורציונלית בנושא.
בכל מקרה,
נושא האימות הדו-שלבי יכנס בהדרגה, והוא נעשה לטובת הלקוחות ולטובת עמידה בסטנדרטי אבטחה המקובלים - לטובת הלקוחות.מסכים (כמעט) עם כל מילה.
חוץ מזה שנכון שבמקרה הספציפי הזה לא עשו את זה ב'בום'
ובענין ה'סטנדרטי אבטחה המקובלים', אפשר לומר שלא כל כך מקובל לעשות אימות דו שלבי על api ועוד...
ואם באמת היה כאן רק ענין של אבטחה היינו כבר מקבלים תגובה האם (או תשובה חיובית ש)לקוח שמעוניין יוכל לבטל את זה במערכת שלו (כמו ב'סטנדרטי אבטחה המקובלים'...) -
שמתם לב שסוף סוף במספרים כשרים זה נותן ישר אימות בשיחה ואין אפשרות לסמס?
@שמואל ניכרת ההשקעה הרבה בפרטים הקטנים!
-
@יעקב-1 כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:הקוד שלי בrender, אין שם ip קבוע כי זה משתנה בכל deploy. אז אין לי דרך להוסיף את הapi לרשימה לבנה?
במסך הראשי של ה-Service שלך ברנדר תלחץ על Connect ושם תראה את כתובות ה-IP שאיתם רנדר משתמש לשירות שלך
-
פוסט זה נמחק! -
@יעקב-1 בסוף מצאתי הסבר של Render, ערכתי
-
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:מערכת שתעבור מעל X פעמים בX זמן - כלומר, מערכת שתיצור מעל X סשנים חדשים בX זמן - הסשנים החדשים שלה יחסמו - כלומר, לא יהיה ניתן לבצע Login למערכת יותר - בדומה למערכת שמנסה להתחבר בX זמן עם סיסמה שגוייה.
זאת אומרת שאם יש לי שלוחת API שאמורה לבצע פעולות
אני לא יוכל לבצע התחברות עבור כל שיחה וניתוק בסיום, אלא אני חייב לשמור את ה טוקן הפעיל לכל השיחות הבאות ורק במקרה שהטוקן פג תוקף לבקש טוקן חדש ? -
אגב בדקתי בהוסטינגר בשביל כתובת IP קבועה הם רוצים 10,399 שח לחודש...
-
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:לקוחות שאין להם כתובת IP קבועה ממנה הם פונים
האם הכתובת IP הקבועה חייבת להיות לכל הבקשות או שמספיק לבקשה של הLogin ? ואז יההי אפשר לפנות עם הטוקן מכל כתובת IP ?
