אבטחה - באימות דו שלבי / דעתכם... 🪪💂🏻
-
הוא מבקש לי אמות למספר הטלפון שפתחתי את המערכת
וזה אין לי
מה עושים? -
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:@מנסה-להבין12a כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:האם זה קטע של אבטחה?
או קטע של לא לעשות משחקים עם המערכת?
או שיטה שרק מי שמבין באמת יעבוד בזה וירויח ?זה לא ״קטע״ של שום דבר.
זה בשביל למנוע מצב שבו לקוח, כאמור בתיאור הקודם, ״מתקין״ מודול כזה או אחר על המערכת שלו שאיזה ״מפתח״ פיתוח, והוא מקבל את הסיסמאות של הלקוחות - בלי שהם מבינים את משמעות הדברים.כן, אבל מי שיכניס בתמימות מספר:סיסמא יכניס גם APIKEY (כי הם לא מודעים לבעייתיות שיכולה להיות מזה שהכל עובר דרך השרת של מישהו אחר...) שבסופו של דבר זה בעצם אותו הדבר רק פחות נוח.
-
@עידו כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:@מנסה-להבין12a כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:האם זה קטע של אבטחה?
או קטע של לא לעשות משחקים עם המערכת?
או שיטה שרק מי שמבין באמת יעבוד בזה וירויח ?זה לא ״קטע״ של שום דבר.
זה בשביל למנוע מצב שבו לקוח, כאמור בתיאור הקודם, ״מתקין״ מודול כזה או אחר על המערכת שלו שאיזה ״מפתח״ פיתוח, והוא מקבל את הסיסמאות של הלקוחות - בלי שהם מבינים את משמעות הדברים.כן, אבל מי שיכניס בתמימות מספר:סיסמא יכניס גם APIKEY (כי הם לא מודעים לבעייתיות שיכולה להיות מזה שהכל עובר דרך השרת של מישהו אחר...) שבסופו של דבר זה בעצם אותו הדבר רק פחות נוח.
בשביל ליצור api key יש תהליך, שבו יוסבר בדיוק המשמעות של זה לכאורה
ואולי גם יוכלו להגביל לפעולות מסויימות, ואז בכלל זה יעבוד חלק יותר -
@שמואל
אם הסיבה שמבטלים את השימוש במספר־מערכת:סיסמה במקום טוקן (ועכשיו גם מפתח API) זה בגלל הבעיה של שליחת הסיסמה כחלק מהבקשה, אז מה השתנה בזה מ־Login שגם מצרפים סיסמה כחלק מהבקשה?אלא הבעיה היא שבמספר־מערכת:סיסמה א"א לבדוק אם התבצע אימות דו־שלבי או לא?
א"כ למה שלא יוכלו להשתמש במספר־מערכת:סיסמה לכתובות IP לפי רשימה לבנה?
או שיש סיבות אחרות שפיספסתי - אשמח לדעת! -
@MGM-IVR כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:@עידו כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:@מנסה-להבין12a כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:האם זה קטע של אבטחה?
או קטע של לא לעשות משחקים עם המערכת?
או שיטה שרק מי שמבין באמת יעבוד בזה וירויח ?זה לא ״קטע״ של שום דבר.
זה בשביל למנוע מצב שבו לקוח, כאמור בתיאור הקודם, ״מתקין״ מודול כזה או אחר על המערכת שלו שאיזה ״מפתח״ פיתוח, והוא מקבל את הסיסמאות של הלקוחות - בלי שהם מבינים את משמעות הדברים.כן, אבל מי שיכניס בתמימות מספר:סיסמא יכניס גם APIKEY (כי הם לא מודעים לבעייתיות שיכולה להיות מזה שהכל עובר דרך השרת של מישהו אחר...) שבסופו של דבר זה בעצם אותו הדבר רק פחות נוח.
בשביל ליצור api key יש תהליך, שבו יוסבר בדיוק המשמעות של זה לכאורה
ואולי גם יוכלו להגביל לפעולות מסויימות, ואז בכלל זה יעבוד חלק יותרמי שלא מבין בזה - ייצור מפתח API בלי להגביל לשירותים ולכתובות IP (אא"כ מְפַתֵּח המודול יציין שיש להגביל, שכל עוד ברירת המחדל היא שכל השירותים עובדים - אין עניין להסתבך בלהדריך את המשתמש איך להגביל ולְמָה..)
-
@שמואל אוקיי בדקתי שוב וזה תקין, רק שעושים חידוש מפתח הלינק של היצירה מפסיק לעבוד ומחזיר שגיאת
{"yemotAPIVersion":6,"responseStatus":"EXCEPTION","message":"IllegalStateException(session token is invalid)"} -
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:@צצ כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:@שמואל מה עם זה? אולי מרוב הודעות פיספסת את זה, נראה לי שזה משהו מאד משמעותי.
לא ברור על איזה ״חשבון מסויים״ אתה מדבר.
ניתן לשייך מספר מערכות לטלפון אחד לטובת ביצוע אימות דו״ש מאותו הטלפון במספר מערכות. זה לא נחשב ״חשבון״? לא יודע. לא ברורה השאלה.
טוקן הוא לפי מערכת, אין כרגע משהוא שיכול ״לאחד״ בצורה כזו או אחרת מערכות - אז השאלה לא ברורה. נשמע שאתה לא מבקש איזה תוספת, אלא שיוכלו לפתוח ״ניהול מרוכז״ לכמה מערכות, בצורה שהיא לא ממש מחוברת למציאות ולצורה הקיימת שבה המערכת עובדת.קיים משהו דומה - חשבון ריסיילר.
לפי מה שבדקתי - מספר ריסיילרים נתנו מערכות ללקוחות ללא אפשרות להגדיר את המספר שיצר את המערכת וכתובת המייל. זה יוצר מצב שבו מערכות פופולריות עם עשרות אלפי מאזינים עשויות להיעלם בחודשים הקרובים, תוצאה של חוסר גישה לניהול. נדרש API ייעודי עבור כך.מקווה שהובנתי, במידת הצורך "רשותי" נתונה להשמדת הפוסט. מעריך את ההשקעה בנושא האבטחה. -
@מה כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:עם היכנסו של הרגולציות החדשות:
אם הבנתי נכון, שהמודול שהרב @מיכאלוש הובא מודול הורדת נתונים לגוגל שיטס
יפסיק לעבוד.הייתי מעיז לבקש מימות, לראות שיהיה אופציה חילופית (ממשק נתונים קבוע כמו דיגיקול וכדו')
צריך לראות אם הAPIKEY יעזור לגוגל סקריפט, ואז זה יהיה עוד יותר טוב.
-
@שואל-ברצינות כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:@צצ כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:@שמואל מה עם זה? אולי מרוב הודעות פיספסת את זה, נראה לי שזה משהו מאד משמעותי.
לא ברור על איזה ״חשבון מסויים״ אתה מדבר.
ניתן לשייך מספר מערכות לטלפון אחד לטובת ביצוע אימות דו״ש מאותו הטלפון במספר מערכות. זה לא נחשב ״חשבון״? לא יודע. לא ברורה השאלה.
טוקן הוא לפי מערכת, אין כרגע משהוא שיכול ״לאחד״ בצורה כזו או אחרת מערכות - אז השאלה לא ברורה. נשמע שאתה לא מבקש איזה תוספת, אלא שיוכלו לפתוח ״ניהול מרוכז״ לכמה מערכות, בצורה שהיא לא ממש מחוברת למציאות ולצורה הקיימת שבה המערכת עובדת.קיים משהו דומה - חשבון ריסיילר.
לפי מה שבדקתי - מספר ריסיילרים נתנו מערכות ללקוחות ללא אפשרות להגדיר את המספר שיצר את המערכת וכתובת המייל. זה יוצר מצב שבו מערכות פופולריות עם עשרות אלפי מאזינים עשויות להיעלם בחודשים הקרובים, תוצאה של חוסר גישה לניהול. נדרש API ייעודי עבור כך.מקווה שהובנתי, במידת הצורך "רשותי" נתונה להשמדת הפוסט. מעריך את ההשקעה בנושא האבטחה.זה בגלל שלרוב הריסיילרים אין אפשרות לעדכן כאלו פרטים, זה רק דרך הCRM של ימות המשיח שלרוב הריסיילרים אין (משום מה) גישה אליה, תצטרך ישירות מול שירות הלקוחות.
תצחק אבל אפילו לי בתור ריסיילר אין אפשרות לעדכן את הפרטים של עצמי... אין לי אפשרות לעשות אימות דו שלבי על כל המשתמע מכך... אני צריך באמת לדבר עם שירות הלקוחות לפני שייהיה מאוחר.
ואם כבר, @שמואל צריך פתרון גם לזה, יצא מזה שריסיילר שיש לו קווים שהוא יכול לפתוח ללקוחות אבל הםלא יוכלו להשתמש בהם כיון שאין אפשרות להכנס לחשבון, כי לא מוגדר בו פרטים לאימות דו שלבי, ויתכן שלא יהיה אפשר אפילו להחליף סיסמא כדי להביא ללקוח קו חדש.
-
@שמואל עוד שאלה, האם יהיה אפשר להגדיר כתובת IP לבנה באופן קבוע עד שהAPIKEY יעבוד לגמרי?
-
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:מבחינה טכנית - לא יהיה שום פגיעה בפונקציונליות של הAPI וכד, נהפוך הוא.
ועדיין לא הצלחתי להבין איך הקוד אמור להצליח לעשות לוג-אין, אם לא שיש לי IP קבוע.
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:ועדיין לא ברור לי בדיוק מה הנקודה שמפריעה לכם,
אאל"ט זה עיקר האירוע.
-
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:@צצ כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:@שמואל מה עם זה? אולי מרוב הודעות פיספסת את זה, נראה לי שזה משהו מאד משמעותי.
לא ברור על איזה ״חשבון מסויים״ אתה מדבר.
ניתן לשייך מספר מערכות לטלפון אחד לטובת ביצוע אימות דו״ש מאותו הטלפון במספר מערכות. זה לא נחשב ״חשבון״? לא יודע. לא ברורה השאלה.
טוקן הוא לפי מערכת, אין כרגע משהוא שיכול ״לאחד״ בצורה כזו או אחרת מערכות - אז השאלה לא ברורה. נשמע שאתה לא מבקש איזה תוספת, אלא שיוכלו לפתוח ״ניהול מרוכז״ לכמה מערכות, בצורה שהיא לא ממש מחוברת למציאות ולצורה הקיימת שבה המערכת עובדת.ברשותך אנסה להסביר
הרבה מערכות ואני חושב שיתכן שאפילו רוב מנוהלות טכנית אצל מספר אנשים כלומר ישנם אנשים שמתעסקים בתחום והם מנהלים הרבה מערכות להרבה אנשים
המצב כעת הוא שכל פעם צריך לשאול מה המספר מערכת ומה הססמא וכולי
המצב לאחר העדכון יהיה שעל כל דבר קטן יצטרכו אימות דו שלבי ולא רק זה אלא וזה העיקר על כל פעולה של API יצטרכו אימות דו שלבי ואז ליצור טוקן או לאשר כתובות IP וכולי
יתכן שזה יגרור את אותו הכשל באבטחה שהיה עד עכשיו כי כל מי שיפתח מודל קטן ידרוש אימות של טוקן קבוע או אימות דו שלבי לגישה למערכת על מנת להפעיל את המודל
מה שאני הצעתי זה ליצור כעין איזור אישי קטן שבו יהיה מעין חשבון משתמש שמערכת שתאשר מהמערכת גישה לחשבון משתמש זה יוכלו מאותו אזור משתמש לגשת לטוקנים של המערכת או ליצור טוקנים או אולי עדיף שמהמערכת יוצרו טוקן שיופיע בחשבון משתמש או שאולי יהיה טוקן שבשילוב מספר מערכת ללא סיסמא יוכל לגשת למערכות שאישרו גישה לחשבון זה
לא משנה מה בדיוק ואיך זה יעבוד
עיקר הרעיון זה לחסוך גישה לכל משהו קטן לכל המערכת על מנת ליצור או לאשר טוקן ובמקום זה לקבל גישה לטוקן מחשבון מסודר שכמובן יוכלו להסיר מהמערכת עצמה
מקווה שהובנתי
אם לא אשמח לשמוע מה לא ברור ולהבהיר@שואל-ברצינות כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:קיים משהו דומה - חשבון ריסיילר.
יתכן שאפשר להשתמש בפלוטפרמה הזאת אבל לאו דווקא לזה התכוונתי העיקר הרעיון
אני חושב שזה יהיה יותר מאובטח ויותר נוח
@שמואל נשמח לשמוע את דעתכם המקצועית