אבטחה - באימות דו שלבי / דעתכם... 🪪💂🏻
-
@CUBASE כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:(באמת לא מובן מה הקטע..)
מה לא מובן? זה פשוט דרך ממש מטופשת ולא בטוחה..
הרבה יותר הגיוני להשתמש במפתח API קבוע, שלא מספיק לפעול כשאתה משנה את סיסמת המערכת, ומצד שני ניתן לביטול בכל עת ללא צורך בשינוי של סיסמת המערכת
-
@אביי-ורבא מה שלא מובן הוא שאם הבעיה היא לצרף סיסמה בבקשה - אז מה שונה Login?, אלא הבעיה שבמספר־מערכת:סיסמה לא ניתן לבדוק אם בוצע אימות דו־שלבי או לא, א"כ ב-IP שנמצא ברשימה לבנה - מה הבעיה שישתמש במספר־מערכת:סיסמה הרי הוא לא צריך אימות?
כמובן שמבחינת נוחות מפתח API יותר טוב, אבל מבחינת אבטחה לא דחוף לבטל לגמרי את השימוש במספר־מערכת:סיסמה.
-
@CUBASE לא נכון, הבעיה היא לא הבקשה, שנשלחת בצורה מאובטחת בפרוטוקול https, הבעיה היא שהסיסמה חשופה ומסתובבת בכל סקריפטון..
(וגם login לא מומלץ, למעשה מעתה והילך הדרך המומלצת לאוטומציות וכדו' זה API_KEY) -
@אביי-ורבא כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:הבעיה היא שהסיסמה חשופה ומסתובבת בכל סקריפטון
אם אתה מוסיף כתובת IP לרשימה לבנה - זה אומר שאתה סומך עליה, לא?
@אביי-ורבא כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:וגם login לא מומלץ
אתה מתכוון login ללא אימות..
@אביי-ורבא כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:למעשה מעתה והילך הדרך המומלצת לאוטומציות וכדו' זה API_KEY
שלא תחשוב שאני חולק עליך, בוודאי ש-API_KEY זה יותר נוח ויותר פונקציונלי ויותר מאובטח, פשוט כרגע זה לא עובד בכל שירותי ה-API...
-
@CUBASE כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:אתה מתכוון login ללא אימות..
לא קשור, עבור לוגין תשתמש במקרה שבו אתה נותן למשתמש להתחבר בעצמו רק לשירות צד שלישי,
-
@אביי-ורבא מסכים עם @CUBASE אם כבר משתמשים בכמעט כל בקשה (הרי אימות תקף לחצי שעה, אז בשביל כמעט כל בקשה תצטרך לוגין מחדש) במספר וסיסמא אני לא רואה מניעה מלהשתמש בהם לכל הבקשות...
גם הAPIKEY כבר מסתובב בכל מיני מקומות, תבדוק בפורום ותראה... ככה שזה לא תירוץ.
ודאי שיש נוחות בAPIKEY אבל הוא לא עובד כרגע על כל הדברים, וגם אין צפי לזה.
אני לא רואה סיבה לבטל את המספר מערכת:סיסמא.
-
@עידו כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:גם הAPIKEY כבר מסתובב בכל מיני מקומות, תבדוק בפורום ותראה... ככה שזה לא תירוץ.
לגבי זה אני דווקא מסכים עם @אביי-ורבא , מפתח API אפשר להגביל לשירותים ופרמטרים ספציפיים, זה לא כמו סיסמה שמאפשרת גישה מלאה לכל המערכת, אבל זה עדיין לא סיבה לבטל את המספר מערכת:סיסמה בכתובות IP לבנות
-
לדעתי זה שבכל שינוי ip צריך לעשות אימות מחדש זה מאד מפריע, כל מי שמשתמש סטיק בכל חיבור שלו הip משתנה.
הייתי מציע שהסשן ישמר בדפדפן, כמו שכל אתר אחר עושה (google, github וכו' וכו'). -
@האדם-החושב למשתמשי נטפרי זה לא משתנה בכל חיבור, כי האייפי הוא של המכונת סינון..
-
@אביי-ורבא אתה בטוח במה שאתה אומר? כי לדעתי נטפרי נכנסים לפעולה רק כשהתשובה מתקבלת, יותר הגיוני לי שהIP קשור לספקית. ולכן גם כן אפשר לבקש מהספק IP קבוע.
-
@עידו אתה בטוח שהבנת מה אתה אומר?
מה שכתבתי זה לא סטנדרט או חוק - זה מציאות טכנית, וגם למשתמשי נטפרי זה עשוי להשתנות מפעם לפעםאבל בוא לא נסיט את הנושא
-
@אביי-ורבא כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:@עידו אתה בטוח שהבנת מה אתה אומר?
מה שכתבתי זה לא סטנדרט או חוק - זה מציאות טכנית, וגם למשתמשי נטפרי זה עשוי להשתנות מפעם לפעםאבל בוא לא נסיט את הנושא
אני בטוח שהבנתי, נטפרי הם לא פרוקסי אלא בודקים את התעבורה, לכן לדעתי הבקשה עוברת כך מחשב -> ספק -> אתר -> ספק -> נטפרי -> ספק ->מחשב (בגדול, זה לא מדויק לגמרי. וכן לא בטוח במסלול החזרה מי קודם למי) ולא מחשב -> ספק -> נטפרי -> שרת ->נטפרי ->ספק -> מחשב
אם כן, הIP היוצא (שזה מה שמעניין אותנו, ואני גם לא יודע אם יש אחר) שמגיע לשרת הוא של ספק האנטרנט שלך ולא של נטפרי.
אני לא יודע על איזו מציאות בשטח אתה מדבר, אתה יודע אילו כתובות IP יש לנטפרי? רוב מי שמשתמש בנטפרי משתמש באותם ספקיות לכן הIP דומה.
וכמובן, אתה יכול לבקש מחלק מהחברות IP קבוע, מה שאומר שזה תלוי בהם.
כך לדעתי לפחות -
@אביי-ורבא אם אתה צודק זה בעצם אומר שברגע שאתה מוסיף את כתובת הip של נטפרי כל אחד אחר בנטפרי יוכל להתחבר בלי אימות דו שלבי, מה הועילו חכמים בתקנתם...
-
@האדם-החושב זה היה נכון אם כל משתמשי נטפרי היו על אותה מכונת סינון בפועל זה לא ככה, ואפילו לא מתקרב לזה..
-
אני לא בטוח אבל יתכן ואתה צודק, שבכל מקרה זה עובר דרך נטפרי גם בדרך החוצה בשביל שיוכלו לסנן גם אתרים עם https, אחרת הם לא יוכלו לפענח את התעבורה בחזור מהשרת. וא"כ הIP כנראה הוא כן של נטפרי. -
@עידו הוא של נטפרי, זה לא כתובת אחת אבל כן הרבה משתמשים על כל כתובת
-
הבנתי ממישהו בימות שהפיתוח של הapi key בשלבי סיום