אבטחה - באימות דו שלבי / דעתכם... 🪪💂🏻
-
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:הטוקן פעיל למשך חצי שעה מהשימוש האחרון בו. אם אתה מבצע במערכת שלך פעם בחצי שעה פעולה - ואז חצי שעה לא מבצע כלום - אז אתה צודק. כל חצי שעה אתה תתחיל בLogin.
והוא לא פג כעבור שבוע בכל מקרה?
-
שימו לב לחידושים באתר בלשונית אבטחה
מה שלא ברור לי, הפעלתי אכיפה מוקדמת, לא הוספתי ip לרשימה לבנה, ועדיין הקוד עובד כרגיל -
@שלמה-צובל יכול להיות שהשרת כבר התחבר למערכת
תכנס ללשונית אבטחה> סשנים פעילים> ןתבטל את החיבור ותנסה להתחבר שוב עם הAPI -
@יהודה-לה עדיין עובד
-
@שלמה-צובל ממש מוזר...
כנראה לא מחקת את החיבור המדובר...
אני עשיתי הפעלתי את האכיפה - ובאמת זה נשאר מחובר וגם תהיתי איך זה יכול להית...
מחקתי את החיבור והוא לא חזר...
(למרות שבלוגים בשרת לא ראיתי שגיאה)
הכנסתי לרשימה של הכתובות IP מאושרות וזה חזר לעבוד
תבדוק שוב... -
@שלמה-צובל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:מה שלא ברור לי, הפעלתי אכיפה מוקדמת, לא הוספתי ip לרשימה לבנה, ועדיין הקוד עובד כרגיל
האכיפה תיכנס לתוקף בסשנים חדשים בלבד, וגם, ב API זה עדיין לא חל על על השירותים.
בין הייתר כבר עלה המנגנון של מפתחות גישה קבועים (APY_KEYS), אפשר לנסות את זה כבר:
אבל כמו שכתוב, זה עדיין לא יעבוד על כל השירותים.
בעיקרון, נכון לכתיבת שורות אלה, הAPI_KEYS & הפעלת האכיפה המוקדמת בAPI תעבוד ב yAfast בגירסא 6.7.27 ומעלה וב yALogs גירסא 4.4.1 ומעלה.
זה לא יעבוד על yAserver ולא על yemotAPI.
בתשובה של כל שירות ניתן לראות איזה מערכת מדובר:
@שלמה-צובל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:אם יש תאריך לשינוי - אשמח לדעת
כן, כתוב באתר. כרגע התאריך הוא 01/11/2025.
-
@שמואל מה דעתכם?
האם אפשרי יהיה אולי לשייך לצורך העניין כמובן באימות דו שלבי מערכות מרובות לחשבון מסוים ולהפעיל משם טוקנים?
אסביר עכשיו בעצם כל פעם שאני מפתח משהו למערכת אני צריך להוציא לפי הפיתוח החדש טוקן קבוע או לאשר IP וכולי ואם מחר אני משנה כתובת שרת אני צריך לשנות
אם היה אפשרי ליצור חשבון שניתן יהיה לשייך לשם מערכות מרובות ומשם יהיה אפשרי להוציא טוקנים וכולי יתכן שזה היה מועיל
(ללא קשר אני חושב שישנם דברים נוספים שניתן להרוויח בחשבונות מסודרים אבל זה בלי קשר ישיר לנושא הזה אני חושב שגם מבחינת אבטחה וגם מבחינת החברה זה בעצם יכול לייעל)
אשמח לתגובה -
@שמואל
האם יהיה אפשרות להגביל APY_KEY לנתיב מסיום?
למשל להגביל בשרות API רק לRenderYMGRFile ולהגביל רק לנתיב wath=ivr2:/2/1/ExaminationLogOK.ymgr
או שזה כבר קיים? כי לא הצלחתי
ותודה רבה על הפיתוח המדהים! -
את הapi key להכניס במשתנה בשם YMOT_TOKEN?
-
@שלמה-צובל כתוב באתר
יש לשלוח בפרמטר token בפניה ב API או בכותרת (header) בשם ״authorization״
@מוטי-לוין כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:האם יהיה אפשרות להגביל APY_KEY לנתיב מסיום?
ברירת מחדל, מפתח גישה מורשה לבצע את כל הפעולות כמו התחברות רגילה בAPI. מפתח הגישה פטור מחובת אימות דו-שלבי תמיד, ולכן המפתח יכול לבצע בכל זמן את כל הפעולות, הוא לא מוגבל לשירותים מסויימים, או לפרמטרים מסויימים שאפשר לשלוח איתו ו/או לכתובות ה IP שאפשר לגשת עם המפתח.
ניתן לבצע את ההגבלות הבאות על כל מפתח גישה:
הגבלת כתובות IP לפי רשימה לבנה. שרק כתובות IP מהרשימה שתאשרו יוכלו להשתמש עם המפתח.
הגבלת כתובות IP לפי רשימה שחורה. שרק כתובות IP מהרשימה לא יוכלו להשתמש עם המפתח, ומכל כתובת שלא מוגדרת - יהיה אפשר להשתמש עם המפתח.הגבלת WS - שמות שירות - לפי רשימה לבנה. מגדיר רשימה לבנה של שירותי API לשימוש עם המפתח.
הגבלת WS - שמות שירות - לפי רשימה שחורה. מגדיר רשימה שחורה של שירותי API לשימוש עם המפתח, כאשר כל השירותים הקיימים מותרים לשימוש - חוץ ממה שרשום ברשימה.הגבלת פרמטרים ברשימה לבנה - הגבלה כללית של הפרמטרים שניתן לשלוח עם המפתח - כאשר ברירת מחדל כל הפרמטרים לא מותרים - חוץ ממה שמוגדר.
הגבלת פרמטרים ברשימה שחורה - הגבלה כללית של הפרמטרים שניתן לשלוח עם המפתח - כאשר ברירת מחדל כל הפרמטרים מותרים - חוץ ממה שמוגדר.שימו לב, בכל ההגדרות - הגדרת רשימת לבנה גוברת על רשימה שחורה. כך שאם מוגדרת רשימה לבנה - והבדיקה נכשלה - הגישה לשירות תידחה.
-
@שמואל נראה מושלם
נשמח לעדכון בפורום כשזה יהיה זמין בכל חלקי הAPIנ.ב.
כתיב בהודעת אישור יצירת מפתח
-
@צדיק-תמים כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:@שלמה-צובל כתוב באתר
יש לשלוח בפרמטר token בפניה ב API או בכותרת (header) בשם ״authorization״
@מוטי-לוין כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:האם יהיה אפשרות להגביל APY_KEY לנתיב מסיום?
ברירת מחדל, מפתח גישה מורשה לבצע את כל הפעולות כמו התחברות רגילה בAPI. מפתח הגישה פטור מחובת אימות דו-שלבי תמיד, ולכן המפתח יכול לבצע בכל זמן את כל הפעולות, הוא לא מוגבל לשירותים מסויימים, או לפרמטרים מסויימים שאפשר לשלוח איתו ו/או לכתובות ה IP שאפשר לגשת עם המפתח.
ניתן לבצע את ההגבלות הבאות על כל מפתח גישה:
הגבלת כתובות IP לפי רשימה לבנה. שרק כתובות IP מהרשימה שתאשרו יוכלו להשתמש עם המפתח.
הגבלת כתובות IP לפי רשימה שחורה. שרק כתובות IP מהרשימה לא יוכלו להשתמש עם המפתח, ומכל כתובת שלא מוגדרת - יהיה אפשר להשתמש עם המפתח.הגבלת WS - שמות שירות - לפי רשימה לבנה. מגדיר רשימה לבנה של שירותי API לשימוש עם המפתח.
הגבלת WS - שמות שירות - לפי רשימה שחורה. מגדיר רשימה שחורה של שירותי API לשימוש עם המפתח, כאשר כל השירותים הקיימים מותרים לשימוש - חוץ ממה שרשום ברשימה.הגבלת פרמטרים ברשימה לבנה - הגבלה כללית של הפרמטרים שניתן לשלוח עם המפתח - כאשר ברירת מחדל כל הפרמטרים לא מותרים - חוץ ממה שמוגדר.
הגבלת פרמטרים ברשימה שחורה - הגבלה כללית של הפרמטרים שניתן לשלוח עם המפתח - כאשר ברירת מחדל כל הפרמטרים מותרים - חוץ ממה שמוגדר.שימו לב, בכל ההגדרות - הגדרת רשימת לבנה גוברת על רשימה שחורה. כך שאם מוגדרת רשימה לבנה - והבדיקה נכשלה - הגישה לשירות תידחה.
אבל הוא לא נותן להכניס בפרמטרים את what=ivr2:/2/1 למשל
בנתיים זה עדיין לא קיים -
@מוטי-לוין צודק, ההגבלה היא לפי פרמטר ולא לפי ערך פרמטר
-
@שמואל כפתור העתקת מפתח לא מעתיק, למרות שמוצגת הודעת אישור. כרום 140
ונראה לי שעדיף שבחירת סוג סינון יהיה ברירת מחדל רשימה לבנה (שזה הנפוץ)
ואגב הלינק ביטול טוקן שנשלח למייל לא עובד, אולי כי זה yemotAPI -
@צדיק-תמים כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:@שמואל כפתור העתקת מפתח לא מעתיק, למרות שמוצגת הודעת אישור. כרום 140
טופל.
@צדיק-תמים כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:ונראה לי שעדיף שבחירת סוג סינון יהיה ברירת מחדל רשימה לבנה (שזה הנפוץ)
שיניתי שזה יהיה ברירת מחדל (הראשון).
@צדיק-תמים כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:ואגב הלינק ביטול טוקן שנשלח למייל לא עובד, אולי כי זה yemotAPI
זה לא נכון, הוא כן אמור לעבוד. מה התגובה שחוזרת? (שים לב שהוא יעבוד פעם אחת בלבד - כי אחרי זה המפתח כבר מושמד).
-
@שמואל האם יהיה אפשרות להגביל לפי ערך פרמטר?
-
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:זה לא נכון, הוא כן אמור לעבוד. מה התגובה שחוזרת? (שים לב שהוא יעבוד פעם אחת בלבד - כי אחרי זה המפתח כבר מושמד).
אם זה אישור אוטומטי אחרי לחיצה על הלינק שים לב שכל מי שמותקן לו משהו על המייל שסורק וירוסים, או מיילים ארגוניים שונים, תמיד ילחצו על זה
-
@שמואל מה עם זה? אולי מרוב הודעות פיספסת את זה, נראה לי שזה משהו מאד משמעותי.
@הלי כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:@שמואל מה דעתכם?
האם אפשרי יהיה אולי לשייך לצורך העניין כמובן באימות דו שלבי מערכות מרובות לחשבון מסוים ולהפעיל משם טוקנים?
אסביר עכשיו בעצם כל פעם שאני מפתח משהו למערכת אני צריך להוציא לפי הפיתוח החדש טוקן קבוע או לאשר IP וכולי ואם מחר אני משנה כתובת שרת אני צריך לשנות
אם היה אפשרי ליצור חשבון שניתן יהיה לשייך לשם מערכות מרובות ומשם יהיה אפשרי להוציא טוקנים וכולי יתכן שזה היה מועיל
(ללא קשר אני חושב שישנם דברים נוספים שניתן להרוויח בחשבונות מסודרים אבל זה בלי קשר ישיר לנושא הזה אני חושב שגם מבחינת אבטחה וגם מבחינת החברה זה בעצם יכול לייעל)
אשמח לתגובה -
@מוטי-לוין כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:@שמואל האם יהיה אפשרות להגביל לפי ערך פרמטר?
כרגע אין אפשרות, חשבתי על זה, אבל צ״ע.
@MGM-IVR כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:אם זה אישור אוטומטי אחרי לחיצה על הלינק שים לב שכל מי שמותקן לו משהו על המייל שסורק וירוסים, או מיילים ארגוניים שונים, תמיד ילחצו על זה
חשבתי על זה, אולי צריך לעשות משהוא בנושא. כי כרגע זה פשוט פונה ל API. נראה.
-
@צצ כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:@שמואל מה עם זה? אולי מרוב הודעות פיספסת את זה, נראה לי שזה משהו מאד משמעותי.
לא ברור על איזה ״חשבון מסויים״ אתה מדבר.
ניתן לשייך מספר מערכות לטלפון אחד לטובת ביצוע אימות דו״ש מאותו הטלפון במספר מערכות. זה לא נחשב ״חשבון״? לא יודע. לא ברורה השאלה.
טוקן הוא לפי מערכת, אין כרגע משהוא שיכול ״לאחד״ בצורה כזו או אחרת מערכות - אז השאלה לא ברורה. נשמע שאתה לא מבקש איזה תוספת, אלא שיוכלו לפתוח ״ניהול מרוכז״ לכמה מערכות, בצורה שהיא לא ממש מחוברת למציאות ולצורה הקיימת שבה המערכת עובדת.
