אבטחה - באימות דו שלבי / דעתכם... 🪪💂🏻

שלמה צובל

@יהודה-לה עדיין עובד

יהודה'לה

@שלמה-צובל ממש מוזר...
כנראה לא מחקת את החיבור המדובר...
אני עשיתי הפעלתי את האכיפה - ובאמת זה נשאר מחובר וגם תהיתי איך זה יכול להית...
מחקתי את החיבור והוא לא חזר...
(למרות שבלוגים בשרת לא ראיתי שגיאה)
הכנסתי לרשימה של הכתובות IP מאושרות וזה חזר לעבוד
תבדוק שוב...

שמואל

@שלמה-צובל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

מה שלא ברור לי, הפעלתי אכיפה מוקדמת, לא הוספתי ip לרשימה לבנה, ועדיין הקוד עובד כרגיל

האכיפה תיכנס לתוקף בסשנים חדשים בלבד, וגם, ב API זה עדיין לא חל על על השירותים.
בין הייתר כבר עלה המנגנון של מפתחות גישה קבועים (APY_KEYS), אפשר לנסות את זה כבר:

אבל כמו שכתוב, זה עדיין לא יעבוד על כל השירותים.

בעיקרון, נכון לכתיבת שורות אלה, הAPI_KEYS & הפעלת האכיפה המוקדמת בAPI תעבוד ב yAfast בגירסא 6.7.27 ומעלה וב yALogs גירסא 4.4.1 ומעלה.
זה לא יעבוד על yAserver ולא על yemotAPI.
בתשובה של כל שירות ניתן לראות איזה מערכת מדובר:

@שלמה-צובל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

אם יש תאריך לשינוי - אשמח לדעת

כן, כתוב באתר. כרגע התאריך הוא 01/11/2025.

הלי

@שמואל מה דעתכם?
האם אפשרי יהיה אולי לשייך לצורך העניין כמובן באימות דו שלבי מערכות מרובות לחשבון מסוים ולהפעיל משם טוקנים?
אסביר עכשיו בעצם כל פעם שאני מפתח משהו למערכת אני צריך להוציא לפי הפיתוח החדש טוקן קבוע או לאשר IP וכולי ואם מחר אני משנה כתובת שרת אני צריך לשנות
אם היה אפשרי ליצור חשבון שניתן יהיה לשייך לשם מערכות מרובות ומשם יהיה אפשרי להוציא טוקנים וכולי יתכן שזה היה מועיל
(ללא קשר אני חושב שישנם דברים נוספים שניתן להרוויח בחשבונות מסודרים אבל זה בלי קשר ישיר לנושא הזה אני חושב שגם מבחינת אבטחה וגם מבחינת החברה זה בעצם יכול לייעל)
אשמח לתגובה

מוטי לוין

@שמואל
האם יהיה אפשרות להגביל APY_KEY לנתיב מסיום?
למשל להגביל בשרות API רק לRenderYMGRFile ולהגביל רק לנתיב wath=ivr2:/2/1/ExaminationLogOK.ymgr
או שזה כבר קיים? כי לא הצלחתי
ותודה רבה על הפיתוח המדהים!

שלמה צובל

את הapi key להכניס במשתנה בשם YMOT_TOKEN?

צדיק תמים

@שלמה-צובל כתוב באתר

יש לשלוח בפרמטר token בפניה ב API או בכותרת (header) בשם ״authorization״

@מוטי-לוין כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

האם יהיה אפשרות להגביל APY_KEY לנתיב מסיום?

ברירת מחדל, מפתח גישה מורשה לבצע את כל הפעולות כמו התחברות רגילה בAPI. מפתח הגישה פטור מחובת אימות דו-שלבי תמיד, ולכן המפתח יכול לבצע בכל זמן את כל הפעולות, הוא לא מוגבל לשירותים מסויימים, או לפרמטרים מסויימים שאפשר לשלוח איתו ו/או לכתובות ה IP שאפשר לגשת עם המפתח.
ניתן לבצע את ההגבלות הבאות על כל מפתח גישה:
הגבלת כתובות IP לפי רשימה לבנה. שרק כתובות IP מהרשימה שתאשרו יוכלו להשתמש עם המפתח.
הגבלת כתובות IP לפי רשימה שחורה. שרק כתובות IP מהרשימה לא יוכלו להשתמש עם המפתח, ומכל כתובת שלא מוגדרת - יהיה אפשר להשתמש עם המפתח.

הגבלת WS - שמות שירות - לפי רשימה לבנה. מגדיר רשימה לבנה של שירותי API לשימוש עם המפתח.
הגבלת WS - שמות שירות - לפי רשימה שחורה. מגדיר רשימה שחורה של שירותי API לשימוש עם המפתח, כאשר כל השירותים הקיימים מותרים לשימוש - חוץ ממה שרשום ברשימה.

הגבלת פרמטרים ברשימה לבנה - הגבלה כללית של הפרמטרים שניתן לשלוח עם המפתח - כאשר ברירת מחדל כל הפרמטרים לא מותרים - חוץ ממה שמוגדר.
הגבלת פרמטרים ברשימה שחורה - הגבלה כללית של הפרמטרים שניתן לשלוח עם המפתח - כאשר ברירת מחדל כל הפרמטרים מותרים - חוץ ממה שמוגדר.

שימו לב, בכל ההגדרות - הגדרת רשימת לבנה גוברת על רשימה שחורה. כך שאם מוגדרת רשימה לבנה - והבדיקה נכשלה - הגישה לשירות תידחה.

צדיק תמים

@שמואל נראה מושלם
נשמח לעדכון בפורום כשזה יהיה זמין בכל חלקי הAPI

נ.ב.
כתיב בהודעת אישור יצירת מפתח

מוטי לוין

@צדיק-תמים כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@שלמה-צובל כתוב באתר

יש לשלוח בפרמטר token בפניה ב API או בכותרת (header) בשם ״authorization״

@מוטי-לוין כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

האם יהיה אפשרות להגביל APY_KEY לנתיב מסיום?

ברירת מחדל, מפתח גישה מורשה לבצע את כל הפעולות כמו התחברות רגילה בAPI. מפתח הגישה פטור מחובת אימות דו-שלבי תמיד, ולכן המפתח יכול לבצע בכל זמן את כל הפעולות, הוא לא מוגבל לשירותים מסויימים, או לפרמטרים מסויימים שאפשר לשלוח איתו ו/או לכתובות ה IP שאפשר לגשת עם המפתח.
ניתן לבצע את ההגבלות הבאות על כל מפתח גישה:
הגבלת כתובות IP לפי רשימה לבנה. שרק כתובות IP מהרשימה שתאשרו יוכלו להשתמש עם המפתח.
הגבלת כתובות IP לפי רשימה שחורה. שרק כתובות IP מהרשימה לא יוכלו להשתמש עם המפתח, ומכל כתובת שלא מוגדרת - יהיה אפשר להשתמש עם המפתח.

הגבלת WS - שמות שירות - לפי רשימה לבנה. מגדיר רשימה לבנה של שירותי API לשימוש עם המפתח.
הגבלת WS - שמות שירות - לפי רשימה שחורה. מגדיר רשימה שחורה של שירותי API לשימוש עם המפתח, כאשר כל השירותים הקיימים מותרים לשימוש - חוץ ממה שרשום ברשימה.

הגבלת פרמטרים ברשימה לבנה - הגבלה כללית של הפרמטרים שניתן לשלוח עם המפתח - כאשר ברירת מחדל כל הפרמטרים לא מותרים - חוץ ממה שמוגדר.
הגבלת פרמטרים ברשימה שחורה - הגבלה כללית של הפרמטרים שניתן לשלוח עם המפתח - כאשר ברירת מחדל כל הפרמטרים מותרים - חוץ ממה שמוגדר.

שימו לב, בכל ההגדרות - הגדרת רשימת לבנה גוברת על רשימה שחורה. כך שאם מוגדרת רשימה לבנה - והבדיקה נכשלה - הגישה לשירות תידחה.

אבל הוא לא נותן להכניס בפרמטרים את what=ivr2:/2/1 למשל
בנתיים זה עדיין לא קיים

צדיק תמים

@מוטי-לוין צודק, ההגבלה היא לפי פרמטר ולא לפי ערך פרמטר

צדיק תמים

@שמואל כפתור העתקת מפתח לא מעתיק, למרות שמוצגת הודעת אישור. כרום 140
ונראה לי שעדיף שבחירת סוג סינון יהיה ברירת מחדל רשימה לבנה (שזה הנפוץ)
ואגב הלינק ביטול טוקן שנשלח למייל לא עובד, אולי כי זה yemotAPI

שמואל

@צדיק-תמים כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@שמואל כפתור העתקת מפתח לא מעתיק, למרות שמוצגת הודעת אישור. כרום 140

טופל.

@צדיק-תמים כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

ונראה לי שעדיף שבחירת סוג סינון יהיה ברירת מחדל רשימה לבנה (שזה הנפוץ)

שיניתי שזה יהיה ברירת מחדל (הראשון).

@צדיק-תמים כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

ואגב הלינק ביטול טוקן שנשלח למייל לא עובד, אולי כי זה yemotAPI

זה לא נכון, הוא כן אמור לעבוד. מה התגובה שחוזרת? (שים לב שהוא יעבוד פעם אחת בלבד - כי אחרי זה המפתח כבר מושמד).

מוטי לוין

@שמואל האם יהיה אפשרות להגביל לפי ערך פרמטר?

MGM IVR

@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

זה לא נכון, הוא כן אמור לעבוד. מה התגובה שחוזרת? (שים לב שהוא יעבוד פעם אחת בלבד - כי אחרי זה המפתח כבר מושמד).

אם זה אישור אוטומטי אחרי לחיצה על הלינק שים לב שכל מי שמותקן לו משהו על המייל שסורק וירוסים, או מיילים ארגוניים שונים, תמיד ילחצו על זה

צצ

@שמואל מה עם זה? אולי מרוב הודעות פיספסת את זה, נראה לי שזה משהו מאד משמעותי.

@הלי כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@שמואל מה דעתכם?
האם אפשרי יהיה אולי לשייך לצורך העניין כמובן באימות דו שלבי מערכות מרובות לחשבון מסוים ולהפעיל משם טוקנים?
אסביר עכשיו בעצם כל פעם שאני מפתח משהו למערכת אני צריך להוציא לפי הפיתוח החדש טוקן קבוע או לאשר IP וכולי ואם מחר אני משנה כתובת שרת אני צריך לשנות
אם היה אפשרי ליצור חשבון שניתן יהיה לשייך לשם מערכות מרובות ומשם יהיה אפשרי להוציא טוקנים וכולי יתכן שזה היה מועיל
(ללא קשר אני חושב שישנם דברים נוספים שניתן להרוויח בחשבונות מסודרים אבל זה בלי קשר ישיר לנושא הזה אני חושב שגם מבחינת אבטחה וגם מבחינת החברה זה בעצם יכול לייעל)
אשמח לתגובה

שמואל

@מוטי-לוין כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@שמואל האם יהיה אפשרות להגביל לפי ערך פרמטר?

כרגע אין אפשרות, חשבתי על זה, אבל צ״ע.

@MGM-IVR כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

אם זה אישור אוטומטי אחרי לחיצה על הלינק שים לב שכל מי שמותקן לו משהו על המייל שסורק וירוסים, או מיילים ארגוניים שונים, תמיד ילחצו על זה

חשבתי על זה, אולי צריך לעשות משהוא בנושא. כי כרגע זה פשוט פונה ל API. נראה.

שמואל

@צצ כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@שמואל מה עם זה? אולי מרוב הודעות פיספסת את זה, נראה לי שזה משהו מאד משמעותי.

לא ברור על איזה ״חשבון מסויים״ אתה מדבר.
ניתן לשייך מספר מערכות לטלפון אחד לטובת ביצוע אימות דו״ש מאותו הטלפון במספר מערכות. זה לא נחשב ״חשבון״? לא יודע. לא ברורה השאלה.
טוקן הוא לפי מערכת, אין כרגע משהוא שיכול ״לאחד״ בצורה כזו או אחרת מערכות - אז השאלה לא ברורה. נשמע שאתה לא מבקש איזה תוספת, אלא שיוכלו לפתוח ״ניהול מרוכז״ לכמה מערכות, בצורה שהיא לא ממש מחוברת למציאות ולצורה הקיימת שבה המערכת עובדת.

אני עם הקו

הוא מבקש לי אמות למספר הטלפון שפתחתי את המערכת
וזה אין לי
מה עושים?

עידו

@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@מנסה-להבין12a כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

האם זה קטע של אבטחה?
או קטע של לא לעשות משחקים עם המערכת?
או שיטה שרק מי שמבין באמת יעבוד בזה וירויח ?

זה לא ״קטע״ של שום דבר.
זה בשביל למנוע מצב שבו לקוח, כאמור בתיאור הקודם, ״מתקין״ מודול כזה או אחר על המערכת שלו שאיזה ״מפתח״ פיתוח, והוא מקבל את הסיסמאות של הלקוחות - בלי שהם מבינים את משמעות הדברים.

כן, אבל מי שיכניס בתמימות מספר:סיסמא יכניס גם APIKEY (כי הם לא מודעים לבעייתיות שיכולה להיות מזה שהכל עובר דרך השרת של מישהו אחר...) שבסופו של דבר זה בעצם אותו הדבר רק פחות נוח.

MGM IVR

@עידו כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@מנסה-להבין12a כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

האם זה קטע של אבטחה?
או קטע של לא לעשות משחקים עם המערכת?
או שיטה שרק מי שמבין באמת יעבוד בזה וירויח ?

זה לא ״קטע״ של שום דבר.
זה בשביל למנוע מצב שבו לקוח, כאמור בתיאור הקודם, ״מתקין״ מודול כזה או אחר על המערכת שלו שאיזה ״מפתח״ פיתוח, והוא מקבל את הסיסמאות של הלקוחות - בלי שהם מבינים את משמעות הדברים.

כן, אבל מי שיכניס בתמימות מספר:סיסמא יכניס גם APIKEY (כי הם לא מודעים לבעייתיות שיכולה להיות מזה שהכל עובר דרך השרת של מישהו אחר...) שבסופו של דבר זה בעצם אותו הדבר רק פחות נוח.

בשביל ליצור api key יש תהליך, שבו יוסבר בדיוק המשמעות של זה לכאורה
ואולי גם יוכלו להגביל לפעולות מסויימות, ואז בכלל זה יעבוד חלק יותר