אבטחה - באימות דו שלבי / דעתכם... 🪪💂🏻

שמואל

@עידו כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

מענין איך זה יהיה עם גוגל סקריפט, השימוש בAPIKEY יפתור את בעיית החסימות

בעז"ה נחשוב על זה בצורה שזה יעזור לדברים כאלה.

אבו

@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@זרח כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

לאחרונה ימות עושים קצת "מה בא להם", בשלל נושאים, מבלי ליידע כראוי. תהליכים לא אמורים להנחית ב"בום", זה לוקח זמן, וצריך לוודא שכולם מודעים ומתרגלים. עם כל הכבוד לחינמיות, יש לתהליכים האלו משמעויות רחבות היקף.

אדוני היקר,
שמו לך הודעה באתר שעוד חודשיים אתה צריך להפעיל אימות דו-שלבי.
משהוא שלימות המשיח אין שום תועלת בו. זה מעמיס טכנית, שמירה של מידע מיותר, עלויות הוצאת שיחות/מסרונים לאימות, אפשר אפילו לאמת מספר חו״ל - כי לימות המשיח יש לקוחות כאלה- ואנחנו לא יכולים לעשות ״מה שבא לנו״ ושהם לא יוכלו להתחבר למערכת בבוקר אחד. מדובר פה פיתוח מטורף ודאגה לאכיפה של זה בכל הצורות, באתר, בAPI, ועוד הנושא עוד לא הסתיים. בקושי התחיל.

לך שמו באתר הודעה שלפחות כרגע - בחודשיים הקרובים, אתה יכול או לבצע אימות של מספר/מייל נוסף, או להקיש לחיצה אחת נוספת על העכבר בכל התחברות.

אני מבין שבשבילך זה ״בום״ גדול, אז באמת צר לי שלקחת את הנושא כל כך קשה. איך אמרת, ללחיצה הזו יש בוודאי ״משמעויות רחבות היקף...״.

נושא האימות הדו-שלבי כרגע עלה בתור הודעה הכי פשוטה באתר.. אני לא מבין את הטענה שלך.
נשמע ממך שהיינו אמורים להגיע לכל בעל מערכת לבית ולדבר איתו האם הוא מסכים שננסה לפתח משהוא בסגנון של אימות דו-שלבי.

ימות המשיח מתמודדת עם דברים בשוק, וממשיכה לתת שירות חינמי כזה או אחר, ואני חושב שלקוחות כמוך לא מגיבים בצורה פרופורציונלית בנושא.

בכל מקרה,
נושא האימות הדו-שלבי יכנס בהדרגה, והוא נעשה לטובת הלקוחות ולטובת עמידה בסטנדרטי אבטחה המקובלים - לטובת הלקוחות.

מסכים (כמעט) עם כל מילה.
חוץ מזה שנכון שבמקרה הספציפי הזה לא עשו את זה ב'בום'
ובענין ה'סטנדרטי אבטחה המקובלים', אפשר לומר שלא כל כך מקובל לעשות אימות דו שלבי על api ועוד...
ואם באמת היה כאן רק ענין של אבטחה היינו כבר מקבלים תגובה האם (או תשובה חיובית ש)לקוח שמעוניין יוכל לבטל את זה במערכת שלו (כמו ב'סטנדרטי אבטחה המקובלים'...)

CUBASE

שמתם לב שסוף סוף במספרים כשרים זה נותן ישר אימות בשיחה ואין אפשרות לסמס?

@שמואל ניכרת ההשקעה הרבה בפרטים הקטנים!

CUBASE

@יעקב-1 כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

הקוד שלי בrender, אין שם ip קבוע כי זה משתנה בכל deploy. אז אין לי דרך להוסיף את הapi לרשימה לבנה?

במסך הראשי של ה-Service שלך ברנדר תלחץ על Connect ושם תראה את כתובות ה-IP שאיתם רנדר משתמש לשירות שלך

יעקב 1

פוסט זה נמחק!

CUBASE

@יעקב-1 בסוף מצאתי הסבר של Render, ערכתי

חוויה טלפונית

@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

מערכת שתעבור מעל X פעמים בX זמן - כלומר, מערכת שתיצור מעל X סשנים חדשים בX זמן - הסשנים החדשים שלה יחסמו - כלומר, לא יהיה ניתן לבצע Login למערכת יותר - בדומה למערכת שמנסה להתחבר בX זמן עם סיסמה שגוייה.

זאת אומרת שאם יש לי שלוחת API שאמורה לבצע פעולות
אני לא יוכל לבצע התחברות עבור כל שיחה וניתוק בסיום, אלא אני חייב לשמור את ה טוקן הפעיל לכל השיחות הבאות ורק במקרה שהטוקן פג תוקף לבקש טוקן חדש ?

חוויה טלפונית

אגב בדקתי בהוסטינגר בשביל כתובת IP קבועה הם רוצים 10,399 שח לחודש...

חוויה טלפונית

@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

לקוחות שאין להם כתובת IP קבועה ממנה הם פונים

האם הכתובת IP הקבועה חייבת להיות לכל הבקשות או שמספיק לבקשה של הLogin ? ואז יההי אפשר לפנות עם הטוקן מכל כתובת IP ?

צדיק תמים

@שמואל אם כבר נוגעים בכל סוגיית האימות, אני מציע שתהיה אופציה במודול API שימות המשיח תפיק ותשלח אוטומטית עם הפרמטרים גם טוקן שפג אוטומטית מעט זמן אחרי ניתוק השיחה
זה יאפשר למערכות שלא מבצעות קריאות למערכת ברקע לא לשמור בכלל משתמש וסיסמה בשרת ולהשתמש רק בטוקן הזמני שיתקבל, גם יותר נוח גם יותר בטוח

זרח

@שמואל
כאחד שמשתמש המון עם גוגל סקריפט, הייתי מציע 2 רעיונות.
או פריסה, שזה קוד שגוגל מנפיקה על כל פירסום של סקריפט, אז שיהיה אפשר לאשר בימות לפי פריסה.
או הרשאה של גוגל, הרי גוגל בעצמם מאבטחים את הסקריפטים שלהם, ודורשים אימות של חשבון הגוגל עם כל פעולה רגישה בחשבון, אז אולי לבנות הרשאה מיוחדת ליצירת סקריפט, ולסמוך בעצם על גוגל.

באופן כללי הלוואי והייתם עושים אפשרות לאימות של חשבון גוגל, זה היה יכול להיות מדהים ונוח. בהרבה אתרים מפורסמים קיימת אפשרות כזאת (כולל מתמחים טופ...)

חוויה טלפונית

@זרח כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

או פריסה, שזה קוד שגוגל מנפיקה על כל פירסום של סקריפט, אז שיהיה אפשר לאשר בימות לפי פריסה.

אתה בעצם מתכוין לAPI_KEY שדובר כאן

y6714453

@חוויה-טלפונית כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

אגב בדקתי בהוסטינגר בשביל כתובת IP קבועה הם רוצים 10,399 שח לחודש...

אין מצב!!!!! הבנת אותם לא נכון...
כל שרת נותן לך PI קבוע
בלי זה לא היית יכול לחבר דומיין

עריכה: אתה משתמש עם VPS , כן?

מנסה

@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

מערכת שתעבור מעל X פעמים בX זמן - כלומר, מערכת שתיצור מעל X סשנים חדשים בX זמן - הסשנים החדשים שלה יחסמו - כלומר, לא יהיה ניתן לבצע Login למערכת יותר - בדומה למערכת שמנסה להתחבר בX זמן עם סיסמה שגוייה.
לכאורה זה יהיה משולב IP ומערכת. למשל, 20 סשנים פעילים למערכת, 5 לכתובת IP.

> המטרה - שהלקוחות ינהלו נכון את הסשנים שלהם. הכי קל לך כ"מפתח" זה ליצור סשן חדש בשביל כל שטות...

אבל הבעיה אם זה שייתכן במערכת אחת כמה שלוחות API שונות שמגיעות לשרתי תפעול שונים, אחת משמשת למכירת מוצר, השניה בכלל קשורה להפעלת דברים מתקדמים במערכת וכן הלאה, למה אני צריך שכל אלו יהיו מסונכרנים על הסשן הבודד שנוצר.
[אני מבין שזה אפשרי, אבל מאוד מאוד מסובך ליצור אינטרקציה בין כלל המערכות שלי שמפעילות API שונים, חלקן ע"י מאזינים, וחלקן ע"י טריגרים אחרים חיצוניים]

שמואל

@צדיק-תמים כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

אני מציע שתהיה אופציה במודול API שימות המשיח תפיק ותשלח אוטומטית עם הפרמטרים גם טוקן שפג אוטומטית מעט זמן אחרי ניתוק השיחה

ואני הייתי מציע שלא.
למה כל אחד שכותב פה בפורום "שימו את ההגדרות האלה בשלוחה, ותקבלו בחינם בחינם קו {כאן מכניסים הבטחות גדולות ומרובות על הקו}", ואנשים שמים את ההגדרות - והופ - יש לכל איזה מישהוא ש"בנה" "מודול" ספירה מתי הצום יוצא - טוקן לכל המערכת - של מי שרצה סה"כ "להתקין" מודול שמיעת הזמן שנותר עד לסוף הצום.

צדיק תמים

@שמואל גם היום זה קורה... וגם יקרה הלאה גם אם זה יהיה יותר שלבים. מה שהצעתי רק מגביל את התוקף של הטוקן. אפשר לשים את ההפעלה של ההגדרה הזאת גלובלית תחת האימות דו שלבי

שמואל

@צדיק-תמים כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

וגם יקרה הלאה גם אם זה יהיה יותר שלבים

זה לא. נדאג שלא.
אבל צריך לחשוב איך כן למצוא פיתרון בסגנון שכתבת, כי זה מורכב קצת לעשות טוקן כל כך זמני, וכו.

בכל מקרה, זה דברים שניתן בעז"ה לעשות אחרי זה, מהצורה שזה יבנה. אי אפשר להכניס את זה מההתחלה ממש, אבל ככל ויוחלט לאפשר את זה, בעז"ה בצד הטכני זה לא יהיה סיפור מאד מאד מורכב.

שמואל

@מנסה כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

אבל הבעיה אם זה שייתכן במערכת אחת כמה שלוחות API שונות שמגיעות לשרתי תפעול שונים, אחת משמשת למכירת מוצר, השניה בכלל קשורה להפעלת דברים מתקדמים במערכת וכן הלאה, למה אני צריך שכל אלו יהיו מסונכרנים על הסשן הבודד שנוצר.

ככל וזה יהיה הגיוני - כמו שהצגת פה - לא יהיה בעיה.

בכל מקרה וכאמור, שימוש עם API_KEY יאפשר לגשת מהרבה כתובות IP בלי בעיה, בגבול הטעם הטוב. זה כאמור גם לעוד שאלות פה.

שמואל

@אבו כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

ובענין ה'סטנדרטי אבטחה המקובלים', אפשר לומר שלא כל כך מקובל לעשות אימות דו שלבי על api ועוד...

לא יהיה על API. ההוספת של MFA בAPI היא לטובת לקוחות שבונים אתרים שמתחברים לAPI הישיר מולנו.
לטובת שרת-לשרת - השימוש בסופו של דבר יהיה עם API_KEY קבוע.

יעקב 1

אשמח אם תוכלו לעזור לי לראות אם הבנתי נכון..

כרגע יש 2 דברים שצריך לדעת:

1. הנושא של החיבור api למערכת, שעד היום היה עם מספר וסיסמא, וזה בכל מקרה לא ישאר ככה, וכבר כעת ניתן לשנות את זה - שהחיבור יהיה באמצעות טוקן שמתחדש כל חצי שעה (ובעצם זה היה קיים כאפשרות מאז ומתמיד כמו שניתן לראות כאן https://f2.freeivr.co.il/post/24253 ).
2. מלבד זאת,יש את הנושא של אימות דו שלבי בapi, שבינתיים צריך לחכות ולראות מה בדיוק יהיה עם זה, אבל כרגע אין מה לשנות בקוד (ובהמשך כנראה יספיק רק להוסיף לקוד את הapi_key).

הבנתי נכון?