אבטחה - באימות דו שלבי / דעתכם... 🪪💂🏻

שמואל

@מנסה כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

אבל הבעיה אם זה שייתכן במערכת אחת כמה שלוחות API שונות שמגיעות לשרתי תפעול שונים, אחת משמשת למכירת מוצר, השניה בכלל קשורה להפעלת דברים מתקדמים במערכת וכן הלאה, למה אני צריך שכל אלו יהיו מסונכרנים על הסשן הבודד שנוצר.

ככל וזה יהיה הגיוני - כמו שהצגת פה - לא יהיה בעיה.

בכל מקרה וכאמור, שימוש עם API_KEY יאפשר לגשת מהרבה כתובות IP בלי בעיה, בגבול הטעם הטוב. זה כאמור גם לעוד שאלות פה.

שמואל

@אבו כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

ובענין ה'סטנדרטי אבטחה המקובלים', אפשר לומר שלא כל כך מקובל לעשות אימות דו שלבי על api ועוד...

לא יהיה על API. ההוספת של MFA בAPI היא לטובת לקוחות שבונים אתרים שמתחברים לAPI הישיר מולנו.
לטובת שרת-לשרת - השימוש בסופו של דבר יהיה עם API_KEY קבוע.

יעקב 1

אשמח אם תוכלו לעזור לי לראות אם הבנתי נכון..

כרגע יש 2 דברים שצריך לדעת:

1. הנושא של החיבור api למערכת, שעד היום היה עם מספר וסיסמא, וזה בכל מקרה לא ישאר ככה, וכבר כעת ניתן לשנות את זה - שהחיבור יהיה באמצעות טוקן שמתחדש כל חצי שעה (ובעצם זה היה קיים כאפשרות מאז ומתמיד כמו שניתן לראות כאן https://f2.freeivr.co.il/post/24253 ).
2. מלבד זאת,יש את הנושא של אימות דו שלבי בapi, שבינתיים צריך לחכות ולראות מה בדיוק יהיה עם זה, אבל כרגע אין מה לשנות בקוד (ובהמשך כנראה יספיק רק להוסיף לקוד את הapi_key).

הבנתי נכון?

מה

@שמואל

עם היכנסו של הרגולציות החדשות:

אם הבנתי נכון, שהמודול שהרב @מיכאלוש הובא מודול הורדת נתונים לגוגל שיטס
יפסיק לעבוד.

הייתי מעיז לבקש מימות, לראות שיהיה אופציה חילופית (ממשק נתונים קבוע כמו דיגיקול וכדו')

זרח

@מה מדברים על פתרון גם לשיטס בעז"ה.

מנסה להבין12a

@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

זה לא. נדאג שלא.

האם זה קטע של אבטחה?
או קטע של לא לעשות משחקים עם המערכת?
או שיטה שרק מי שמבין באמת יעבוד בזה וירויח ?

מתלמד פון

פוסט זה נמחק!

צבי ד"צ

@מנסה-להבין12a אם הבנתי נכון את שמואל, הבעיה היא שכל אחד ששם מוד של מישהו אחר ההוא יכול לעשות מה שהוא רוצה במערכת, אז לשאלתך הבעיה היא אבטחה

יהודה'לה

@שמואל אם אני מכניס את הכתובת IP של השרת שלי בכתובות IP מאושרות - אני יכול להתחבר עם מספר מערכת:סיסמא, כמו שהיה עד היום?
או שאני צריך לעבור להתחברות עם טוקן (Login)?

נר יצחק

@יהודה-לה נראלי שגם אז יצטרכו לוגין

נר יצחק

יש לי רעיון השאלה אם זה יעבוד

ליצור סקיפט מסויים שמבק מידע פעם ב20 דקות באופן קבוע ופעם אחת לבקש טוקן ואז זה פשוט שומר על הטוקן תקף כל הזמן
השאלה שלי זה מה ייקרה בשבת האם זה סופר בקשות שנשלחות בשבת (למרות שהם לכאו' לא אמורות להצליח) או שלא

שמואל

@נר-יצחק כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

ליצור סקיפט מסויים שמבק מידע פעם ב20 דקות באופן קבוע ופעם אחת לבקש טוקן ואז זה פשוט שומר על הטוקן תקף כל הזמן

אי אפשר לגרום לטוקן רגיל להיות פעיל לנצח נצחים.
פעם בזמן - מה הוא יפוג תוקף.

אבל בהחלט אם תעשה ככה זה ישמור עליו לאורך זמן, אבל זה קצת מיותר שיש APY_KEYs.

שמואל

@יהודה-לה כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@שמואל אם אני מכניס את הכתובת IP של השרת שלי בכתובות IP מאושרות - אני יכול להתחבר עם מספר מערכת:סיסמא, כמו שהיה עד היום?

נכון לעכשיו - כן.
לאחר הפסקת התמיכה במספר מערכת:סיסמה - הנושא קצת לא רלוונטי.

שמואל

@מנסה-להבין12a כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

האם זה קטע של אבטחה?
או קטע של לא לעשות משחקים עם המערכת?
או שיטה שרק מי שמבין באמת יעבוד בזה וירויח ?

זה לא ״קטע״ של שום דבר.
זה בשביל למנוע מצב שבו לקוח, כאמור בתיאור הקודם, ״מתקין״ מודול כזה או אחר על המערכת שלו שאיזה ״מפתח״ פיתוח, והוא מקבל את הסיסמאות של הלקוחות - בלי שהם מבינים את משמעות הדברים.

יהודה'לה

@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@יהודה-לה כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@שמואל אם אני מכניס את הכתובת IP של השרת שלי בכתובות IP מאושרות - אני יכול להתחבר עם מספר מערכת:סיסמא, כמו שהיה עד היום?

נכון לעכשיו - כן.
לאחר הפסקת התמיכה במספר מערכת:סיסמה - הנושא קצת לא רלוונטי.

בעצם הפסקת התמיכה במספר מערכת:סיסמא, לא קשורה בכלל לכל הנושא של אימות דו שלבי, אלא בלי קשר בהמשך יורידו את האופציה?
הבנתי טוב?
למשל אני הפעלתי את השירות של האימות דו שלבי לפני תאריך האכיפה ובאמת הAPI לא עבד... הכנסתי את הכתובת IP של השרת לרשימה של הכתובות המאושרות וזה התחיל לעבוד שוב (עם התחברות - מספר מערכת:סיסמא)

אז זה לא קשור בכלל לכל החלק של האימות דו שלבי...

שלמה צובל

@שמואל נכון לעכשיו זה עובד כרגיל גם בלי שמכניסים את כתובת הip לרשימה לבנה. בינתיים הכל עובד כרגיל, אם יש תאריך לשינוי - אשמח לדעת.
כמו כן אשמח לדעת מתי תיפסק האפשרות של מספר וסיסמא

פלמנמוני

@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

הטוקן פעיל למשך חצי שעה מהשימוש האחרון בו. אם אתה מבצע במערכת שלך פעם בחצי שעה פעולה - ואז חצי שעה לא מבצע כלום - אז אתה צודק. כל חצי שעה אתה תתחיל בLogin.

והוא לא פג כעבור שבוע בכל מקרה?

שלמה צובל

שימו לב לחידושים באתר בלשונית אבטחה
מה שלא ברור לי, הפעלתי אכיפה מוקדמת, לא הוספתי ip לרשימה לבנה, ועדיין הקוד עובד כרגיל

יהודה'לה

@שלמה-צובל יכול להיות שהשרת כבר התחבר למערכת
תכנס ללשונית אבטחה> סשנים פעילים> ןתבטל את החיבור ותנסה להתחבר שוב עם הAPI

שלמה צובל

@יהודה-לה עדיין עובד