אבטחה - באימות דו שלבי / דעתכם... 🪪💂🏻
-
אולי שמישהו סוף סוף יעשה כאן סדר גם ל"עמך" שיש להם קצת הבנה בנושא אבל עדיין לא מתכנתים אלא יודעים לבנות כמה דברים טובים על ידי AI וכו',
עכשיו שמישהו יעשה סדר מתי צריכים להכניס ולהגדיר שרת כמורשה בלי אימות דוש ומתי לא צריך
כלומר תפשטו בצורה פשוטהשים לב שאם תבין את ההיגיון שעומד מאחורי הלוגיקה הזאת... יהיה לך יותר פשוט לזכור
בכל פעם שאתה מתחבר למערכת "דרך הדלת הראשית" עם מספר והסיסמא צריך אימות דו שלבי!
דהיינו צורת הזיהוי הרגילה כמו שהיה עד היום - לא מספיק אלא צריך אימות כפול -
לכן גם באתר, גם ב Login וגם במספר מערכת:סיסמא, בכל הפעמים האלו אתה מתחייב באימות דו שלבי.
אמנם יש לך אפשרות להיפתר מהאימות דו שלבי - אם תכניס את הכתובת IP של מבקש הבקשה (שרת - בקוד, מחשב - באתר ניהול...) בתוך הכתובות שפטורות מאימודו"ש!
הכתובות האלו הם בעצם בעיקרון היו צריכות אימות דו שלבי הרי הם באים דרך הדלת הראשית אמנם - הם, יש להם פטור מיוחד... כיון שהם עברו אימות.
וכי תימא - אז בעצם מה ההבדל בין "אסימוני זכור אותי" ל"כתובות המאושרות" כלומר מה בא ה"זכור אותי" להוסיף אם ממילא אני יכול להיפטר לגמרי מהאימודו"ש?!
(שים לב שזכור אותי זה מהלך כזה שהוא לא פוטר אותך מאימו"דש אלא פשוט זוכר אותך...)אז בגדול - על המחשב שלך - וודאי שפשוט שתכניס את הכתובת IP המאושרת - ויותר לא תצטרך אימודו"ש
כל הנושא זה אם אתה רוצה להכניס כתובת שתהיה תקיפה רק לשלושים יום... למשל מחשב מסויים וכו'... דהיינו שאתה רוצה שמחשב מסויים לא ייפתר מהאימוד"ש אלא ייזכר לזמן מה...
נמצא שיש שלוש אפשרויות כניסה למערכת:
כניסה רגילה באתר למשל - דורש אימות דו שלבי.
כניסה ממחשב עם אסימון "זכור אותי" חייב באימות דו שלבי... אבל פשוט "זוכר"
כניסה מכתובת IP מאושרת... פטור מאימות דו שלבי בגלל האישור המיוחד שהוא קיבל...ופה נכנס החלק השלישי - כמו דלת אחורית שבכלל לא צריכה אימות... וזה כמובן החלק של API Key זה כמו בעה"ב בכבודו ובעצמו פשוט מגיע עם המפתח, פותח, ונכנס!... הוא לא צריך לעבור את הבידוק...(זה לא שהוא קיבל "פטור" מהאימות...).
לכן אם נכנסים למערכת עם המפתח הזה לא צריך להכניס לכתובות IP מאושרות ... כי כביכול זה המפתח עצמו של המערכת...
--- בלי קשר (או עם...) ימות החליטו שמהיום אין יותר שימוש עם מספר:סיסמא, אפילו בכתובות IP מאושרות...
דהיינו - א"א להזדהות עם מספר מערכת וסיסמא בלי לעבור את השלב של ההתחברות בפועל...על פניו נראה לא ברור מה מוסיף החלק של ה"כניסה"... ממילא תמיד זה עם מספר מערכת וסיסמא...
נראה לי העניין הוא שכשעושים login יש כל מיני הגבלות למשל שהחיבור נפקע אחרי זמן מסויים בלי בקשה (גם באתר - בלי שימוש החיבור מפסיק...)
מקווה שהייתי ברור (ייתכן שטעיתי אני גם למדתי את הנושא רק בזמן האחרון...
) -
@y6714453 כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:אני גם למדתי את הנושא רק בזמן האחרון
כאילו שהיה יותר זמן ללמוד את הנושא..
-
@y6714453 כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:וגם במספר מערכת:סיסמא,
טעות חמורה!!!
מספר מערכת:סיסמא לא יעבדו יותר כלל!ומעתה לק"מ...
@y6714453 כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:על פניו נראה לא ברור מה מוסיף החלק של ה"כניסה"... ממילא תמיד זה עם מספר מערכת וסיסמא...
-
-
-
@שואל-ברצינות כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:לפי מה שבדקתי - מספר ריסיילרים נתנו מערכות ללקוחות ללא אפשרות להגדיר את המספר שיצר את המערכת וכתובת המייל. זה יוצר מצב שבו מערכות פופולריות עם עשרות אלפי מאזינים עשויות להיעלם בחודשים הקרובים, תוצאה של חוסר גישה לניהול.
בכל הקווים שיש לי אצל הריסיילרים א"א לקנות יחידות ומספר משני
אז יחידות אפשר "לקמבן" ולהעביר ממערכות אחרות אבל מספר משני אי אפשר לקבל -
@שמואל צריך גם לטפל בזה
הוא מפנה למשהו לא תקין -
@שמואל אחרי שעושים אימות כדי לגשת לדף אבטחה באתר הוא כותב שהאימות בוצע בהצלחה הנכם מועברים לדף,
ולמעשה לא מועברים, וצריך להקיש פעמיים ביטול, (שני הכפתורים שרואים בתמונה):
ולפני כן זה לא היה כך. -
@עידו כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:@שמואל צריך גם לטפל בזה
הוא מפנה למשהו לא תקין
צריך לטפל בעוד מלא דברים.
מה זה קשור לכאן?
מצאת הזדמנות לדבר עם שמואל? -
@חכמון כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:@שמואל אחרי שעושים אימות כדי לגשת לדף אבטחה באתר הוא כותב שהאימות בוצע בהצלחה הנכם מועברים לדף,
ולמעשה לא מועברים, וצריך להקיש פעמיים ביטול, (שני הכפתורים שרואים בתמונה):
ולפני כן זה לא היה כך.זה משהו חדש מהיומיים האחרונים
-
@מוטי-לוין כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:זה משהו חדש מהיומיים האחרונים
כתבתי שלפני כן זה לא היה,
וצריך לטפל בזה. -
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:@CUBASE @מוטי-לוין קיבלתם:
אני לא מבטיח שזה ישאר ככה ויעלה באמת בכל המנוע, נראה. כרגע זה עובד על מה שזה עלה עליו.
אדיר!
תודה רבה!אבל באמת חייבים למצוא פיתרון לכל מי שפתח מערכת באחד הריסיילרים ועכשיו אין לו שום אמצעי לאימות
מה עושים כל האנשים האלה?@y6714453 תודה רבה, הוספת לי הרבה בהירות בנושא!
-
למעשה בשורה סופית נוכחנו לראות שבהנהלה התחשבו כמעט בכל מה שהלקוחות ביקשו בעניין,
ואפילו כבר פיתחו בצורה נהדרת את הפונקצייה שהלקוחות יכולים להחליט בעצמם, האם להפעיל את האכיפה החדשה, או לבטל את האכיפה החדשה...
וכל הפער שנשאר הוא בכך, שבהנהלה מתכננים לבטל בעוד זמן מה את האופצייה של הלקוחות, שלא יוכלו יותר לבחור בביטול האכיפה.
- וכאן שוב עולה הבקשה והשאלה, מאחר שישנם לקוחות זהירים מאוד, שלא מסרו את הסיסמא אף פעם לשום גורם חיצוני, וחבל להם על הזמן להתחיל להחליף את כל הטוקנים הישנים ב API לטוקן חדש, (ואפילו אם נניח שיקח להם רק שעות בודדות בלבד לטפל בזה, אבל חבל להם על הזמן הזה).
ואם כן אולי יש מקום להנהלה לשקול, שאולי לא יהיה נורא אם הברירת מחדל תהיה שהאכיפה החדשה פועלת, ובכל זאת תישאר אפשרות ללקוח לבחור, האם מעוניין לבטל את האכיפה החדשה, - כמובן לאחר שיעשה אימות דו שלבי, ולאחר שהמערכת תזהיר אותו שהוא מסתכן בפריצות וכדומה, והכל על אחריותו האישית בלבד!!!
תודה רבה וגמר חתימה טובה!!
-
@שמואל השימוש ב-path(xx) לעטיפה של נתיב הוא גם בנתיב ללא ivr2: (לדוג' GetIVR2Dir)?
-
פוסט זה נמחק! -
@עידו כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:אולי גם @Liy יוכל לעזור בזה?
אם יש למישהו קבלה ממנו יעזור אם יביא צילום שלה למייל בפרופיל.
מצאתי כמה טלטק וכמה אתרים שלו.יש לי את המייל שלו,
תשלח לי בקשה באישי