אבטחה - באימות דו שלבי / דעתכם... 🪪💂🏻

שמואל

@נר-יצחק כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

ליצור סקיפט מסויים שמבק מידע פעם ב20 דקות באופן קבוע ופעם אחת לבקש טוקן ואז זה פשוט שומר על הטוקן תקף כל הזמן

אי אפשר לגרום לטוקן רגיל להיות פעיל לנצח נצחים.
פעם בזמן - מה הוא יפוג תוקף.

אבל בהחלט אם תעשה ככה זה ישמור עליו לאורך זמן, אבל זה קצת מיותר שיש APY_KEYs.

שמואל

@יהודה-לה כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@שמואל אם אני מכניס את הכתובת IP של השרת שלי בכתובות IP מאושרות - אני יכול להתחבר עם מספר מערכת:סיסמא, כמו שהיה עד היום?

נכון לעכשיו - כן.
לאחר הפסקת התמיכה במספר מערכת:סיסמה - הנושא קצת לא רלוונטי.

שמואל

@מנסה-להבין12a כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

האם זה קטע של אבטחה?
או קטע של לא לעשות משחקים עם המערכת?
או שיטה שרק מי שמבין באמת יעבוד בזה וירויח ?

זה לא ״קטע״ של שום דבר.
זה בשביל למנוע מצב שבו לקוח, כאמור בתיאור הקודם, ״מתקין״ מודול כזה או אחר על המערכת שלו שאיזה ״מפתח״ פיתוח, והוא מקבל את הסיסמאות של הלקוחות - בלי שהם מבינים את משמעות הדברים.

יהודה'לה

@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@יהודה-לה כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@שמואל אם אני מכניס את הכתובת IP של השרת שלי בכתובות IP מאושרות - אני יכול להתחבר עם מספר מערכת:סיסמא, כמו שהיה עד היום?

נכון לעכשיו - כן.
לאחר הפסקת התמיכה במספר מערכת:סיסמה - הנושא קצת לא רלוונטי.

בעצם הפסקת התמיכה במספר מערכת:סיסמא, לא קשורה בכלל לכל הנושא של אימות דו שלבי, אלא בלי קשר בהמשך יורידו את האופציה?
הבנתי טוב?
למשל אני הפעלתי את השירות של האימות דו שלבי לפני תאריך האכיפה ובאמת הAPI לא עבד... הכנסתי את הכתובת IP של השרת לרשימה של הכתובות המאושרות וזה התחיל לעבוד שוב (עם התחברות - מספר מערכת:סיסמא)

אז זה לא קשור בכלל לכל החלק של האימות דו שלבי...

שלמה צובל

@שמואל נכון לעכשיו זה עובד כרגיל גם בלי שמכניסים את כתובת הip לרשימה לבנה. בינתיים הכל עובד כרגיל, אם יש תאריך לשינוי - אשמח לדעת.
כמו כן אשמח לדעת מתי תיפסק האפשרות של מספר וסיסמא

פלמנמוני

@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

הטוקן פעיל למשך חצי שעה מהשימוש האחרון בו. אם אתה מבצע במערכת שלך פעם בחצי שעה פעולה - ואז חצי שעה לא מבצע כלום - אז אתה צודק. כל חצי שעה אתה תתחיל בLogin.

והוא לא פג כעבור שבוע בכל מקרה?

שלמה צובל

שימו לב לחידושים באתר בלשונית אבטחה
מה שלא ברור לי, הפעלתי אכיפה מוקדמת, לא הוספתי ip לרשימה לבנה, ועדיין הקוד עובד כרגיל

יהודה'לה

@שלמה-צובל יכול להיות שהשרת כבר התחבר למערכת
תכנס ללשונית אבטחה> סשנים פעילים> ןתבטל את החיבור ותנסה להתחבר שוב עם הAPI

שלמה צובל

@יהודה-לה עדיין עובד

יהודה'לה

@שלמה-צובל ממש מוזר...
כנראה לא מחקת את החיבור המדובר...
אני עשיתי הפעלתי את האכיפה - ובאמת זה נשאר מחובר וגם תהיתי איך זה יכול להית...
מחקתי את החיבור והוא לא חזר...
(למרות שבלוגים בשרת לא ראיתי שגיאה)
הכנסתי לרשימה של הכתובות IP מאושרות וזה חזר לעבוד
תבדוק שוב...

שמואל

@שלמה-צובל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

מה שלא ברור לי, הפעלתי אכיפה מוקדמת, לא הוספתי ip לרשימה לבנה, ועדיין הקוד עובד כרגיל

האכיפה תיכנס לתוקף בסשנים חדשים בלבד, וגם, ב API זה עדיין לא חל על על השירותים.
בין הייתר כבר עלה המנגנון של מפתחות גישה קבועים (APY_KEYS), אפשר לנסות את זה כבר:

אבל כמו שכתוב, זה עדיין לא יעבוד על כל השירותים.

בעיקרון, נכון לכתיבת שורות אלה, הAPI_KEYS & הפעלת האכיפה המוקדמת בAPI תעבוד ב yAfast בגירסא 6.7.27 ומעלה וב yALogs גירסא 4.4.1 ומעלה.
זה לא יעבוד על yAserver ולא על yemotAPI.
בתשובה של כל שירות ניתן לראות איזה מערכת מדובר:

@שלמה-צובל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

אם יש תאריך לשינוי - אשמח לדעת

כן, כתוב באתר. כרגע התאריך הוא 01/11/2025.

הלי

@שמואל מה דעתכם?
האם אפשרי יהיה אולי לשייך לצורך העניין כמובן באימות דו שלבי מערכות מרובות לחשבון מסוים ולהפעיל משם טוקנים?
אסביר עכשיו בעצם כל פעם שאני מפתח משהו למערכת אני צריך להוציא לפי הפיתוח החדש טוקן קבוע או לאשר IP וכולי ואם מחר אני משנה כתובת שרת אני צריך לשנות
אם היה אפשרי ליצור חשבון שניתן יהיה לשייך לשם מערכות מרובות ומשם יהיה אפשרי להוציא טוקנים וכולי יתכן שזה היה מועיל
(ללא קשר אני חושב שישנם דברים נוספים שניתן להרוויח בחשבונות מסודרים אבל זה בלי קשר ישיר לנושא הזה אני חושב שגם מבחינת אבטחה וגם מבחינת החברה זה בעצם יכול לייעל)
אשמח לתגובה

מוטי לוין

@שמואל
האם יהיה אפשרות להגביל APY_KEY לנתיב מסיום?
למשל להגביל בשרות API רק לRenderYMGRFile ולהגביל רק לנתיב wath=ivr2:/2/1/ExaminationLogOK.ymgr
או שזה כבר קיים? כי לא הצלחתי
ותודה רבה על הפיתוח המדהים!

שלמה צובל

את הapi key להכניס במשתנה בשם YMOT_TOKEN?

צדיק תמים

@שלמה-צובל כתוב באתר

יש לשלוח בפרמטר token בפניה ב API או בכותרת (header) בשם ״authorization״

@מוטי-לוין כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

האם יהיה אפשרות להגביל APY_KEY לנתיב מסיום?

ברירת מחדל, מפתח גישה מורשה לבצע את כל הפעולות כמו התחברות רגילה בAPI. מפתח הגישה פטור מחובת אימות דו-שלבי תמיד, ולכן המפתח יכול לבצע בכל זמן את כל הפעולות, הוא לא מוגבל לשירותים מסויימים, או לפרמטרים מסויימים שאפשר לשלוח איתו ו/או לכתובות ה IP שאפשר לגשת עם המפתח.
ניתן לבצע את ההגבלות הבאות על כל מפתח גישה:
הגבלת כתובות IP לפי רשימה לבנה. שרק כתובות IP מהרשימה שתאשרו יוכלו להשתמש עם המפתח.
הגבלת כתובות IP לפי רשימה שחורה. שרק כתובות IP מהרשימה לא יוכלו להשתמש עם המפתח, ומכל כתובת שלא מוגדרת - יהיה אפשר להשתמש עם המפתח.

הגבלת WS - שמות שירות - לפי רשימה לבנה. מגדיר רשימה לבנה של שירותי API לשימוש עם המפתח.
הגבלת WS - שמות שירות - לפי רשימה שחורה. מגדיר רשימה שחורה של שירותי API לשימוש עם המפתח, כאשר כל השירותים הקיימים מותרים לשימוש - חוץ ממה שרשום ברשימה.

הגבלת פרמטרים ברשימה לבנה - הגבלה כללית של הפרמטרים שניתן לשלוח עם המפתח - כאשר ברירת מחדל כל הפרמטרים לא מותרים - חוץ ממה שמוגדר.
הגבלת פרמטרים ברשימה שחורה - הגבלה כללית של הפרמטרים שניתן לשלוח עם המפתח - כאשר ברירת מחדל כל הפרמטרים מותרים - חוץ ממה שמוגדר.

שימו לב, בכל ההגדרות - הגדרת רשימת לבנה גוברת על רשימה שחורה. כך שאם מוגדרת רשימה לבנה - והבדיקה נכשלה - הגישה לשירות תידחה.

צדיק תמים

@שמואל נראה מושלם
נשמח לעדכון בפורום כשזה יהיה זמין בכל חלקי הAPI

נ.ב.
18641698-b783-486b-97f9-f6470d3688ff-CleanShot 2025-09-27 at 20.52.32@2x.png כתיב בהודעת אישור יצירת מפתח
d5c2b1bd-43e2-4f7c-ad44-213929e10ae1-CleanShot 2025-09-27 at 20.52.58@2x.png

מוטי לוין

@צדיק-תמים כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@שלמה-צובל כתוב באתר

יש לשלוח בפרמטר token בפניה ב API או בכותרת (header) בשם ״authorization״

@מוטי-לוין כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

האם יהיה אפשרות להגביל APY_KEY לנתיב מסיום?

ברירת מחדל, מפתח גישה מורשה לבצע את כל הפעולות כמו התחברות רגילה בAPI. מפתח הגישה פטור מחובת אימות דו-שלבי תמיד, ולכן המפתח יכול לבצע בכל זמן את כל הפעולות, הוא לא מוגבל לשירותים מסויימים, או לפרמטרים מסויימים שאפשר לשלוח איתו ו/או לכתובות ה IP שאפשר לגשת עם המפתח.
ניתן לבצע את ההגבלות הבאות על כל מפתח גישה:
הגבלת כתובות IP לפי רשימה לבנה. שרק כתובות IP מהרשימה שתאשרו יוכלו להשתמש עם המפתח.
הגבלת כתובות IP לפי רשימה שחורה. שרק כתובות IP מהרשימה לא יוכלו להשתמש עם המפתח, ומכל כתובת שלא מוגדרת - יהיה אפשר להשתמש עם המפתח.

הגבלת WS - שמות שירות - לפי רשימה לבנה. מגדיר רשימה לבנה של שירותי API לשימוש עם המפתח.
הגבלת WS - שמות שירות - לפי רשימה שחורה. מגדיר רשימה שחורה של שירותי API לשימוש עם המפתח, כאשר כל השירותים הקיימים מותרים לשימוש - חוץ ממה שרשום ברשימה.

הגבלת פרמטרים ברשימה לבנה - הגבלה כללית של הפרמטרים שניתן לשלוח עם המפתח - כאשר ברירת מחדל כל הפרמטרים לא מותרים - חוץ ממה שמוגדר.
הגבלת פרמטרים ברשימה שחורה - הגבלה כללית של הפרמטרים שניתן לשלוח עם המפתח - כאשר ברירת מחדל כל הפרמטרים מותרים - חוץ ממה שמוגדר.

שימו לב, בכל ההגדרות - הגדרת רשימת לבנה גוברת על רשימה שחורה. כך שאם מוגדרת רשימה לבנה - והבדיקה נכשלה - הגישה לשירות תידחה.

אבל הוא לא נותן להכניס בפרמטרים את what=ivr2:/2/1 למשל
בנתיים זה עדיין לא קיים

צדיק תמים

@מוטי-לוין צודק, ההגבלה היא לפי פרמטר ולא לפי ערך פרמטר

צדיק תמים

@שמואל כפתור העתקת מפתח לא מעתיק, למרות שמוצגת הודעת אישור. כרום 140
ונראה לי שעדיף שבחירת סוג סינון יהיה ברירת מחדל רשימה לבנה (שזה הנפוץ)
ואגב הלינק ביטול טוקן שנשלח למייל לא עובד, אולי כי זה yemotAPI

שמואל

@צדיק-תמים כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@שמואל כפתור העתקת מפתח לא מעתיק, למרות שמוצגת הודעת אישור. כרום 140

טופל.

@צדיק-תמים כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

ונראה לי שעדיף שבחירת סוג סינון יהיה ברירת מחדל רשימה לבנה (שזה הנפוץ)

שיניתי שזה יהיה ברירת מחדל (הראשון).

@צדיק-תמים כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

ואגב הלינק ביטול טוקן שנשלח למייל לא עובד, אולי כי זה yemotAPI

זה לא נכון, הוא כן אמור לעבוד. מה התגובה שחוזרת? (שים לב שהוא יעבוד פעם אחת בלבד - כי אחרי זה המפתח כבר מושמד).