אבטחה - באימות דו שלבי / דעתכם... 🪪💂🏻
-
@תפארת-יעקבב @נר-יצחק אני גם מקווה שיטפלו, אבל אל תשכחו שהיו חגים באמצע.
בכל מקרה נראה שliy מכיר אותו ואולי יוכל לעזור, תפני אליו.
-
@צבי-ד-צ כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:לא הייתי פה איזה שבועיים, מישהו יכול לומר לי מה התקדם עם השינויים בAPI?
דוחים את זה קצת אולי?
פשוט יש לי עכשיו עומס גדול מכל החגים וכו' ואני צריך לשנות כמה דברים אם זה נכנס לתוקף כבר
תודה רבה!אין שום התקדמות ולא היה שום הודעה מצד ימות, לא פה ולא באתר.
גם לא נשמעה עדיין ההודעה המיוחלת שה API_Key עובד על כל שירותי ה API ...מן הסתם גם למתכנתים של ימות היה כמה חגים בתקופה האחרונה...
אולי אפשר לשער מכך שהתאריך יידחה... לא יותר מזה -
@CUBASE לדעתי יש משהו שחסר
שנגיד לא מצליח לעשות שלוחה ויש מיהו שיודע שיתנו לא במקום מס' מערכת וסיסמת ניהול
קוד מרוחק שבעל המערכת מאשר אותו חד פעמי -
-
להבנת הענין
אם אני שם את השרת שלי עם כתובת IP לבנה, אצטרך לעשות את הAPI החדש או שיספיק מספר:סיסמא? -
@עידו מספר מערכת:סיסמה יֵצֵא מכלל שימוש ללא קשר לכתובות IP ברשימה לבנה (באמת לא מובן מה הקטע..)
-
@CUBASE כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:@עידו מספר מערכת:סיסמה יֵצֵא מכלל שימוש ללא קשר לכתובות IP ברשימה לבנה (באמת לא מובן מה הקטע..)
אז עד שיסיימו את הAPIKEY נצטרך את הנוהל המעצבן של בקשת סשן? -
@עידו ...
-
@CUBASE כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:(באמת לא מובן מה הקטע..)
מה לא מובן? זה פשוט דרך ממש מטופשת ולא בטוחה..
הרבה יותר הגיוני להשתמש במפתח API קבוע, שלא מספיק לפעול כשאתה משנה את סיסמת המערכת, ומצד שני ניתן לביטול בכל עת ללא צורך בשינוי של סיסמת המערכת
-
@אביי-ורבא מה שלא מובן הוא שאם הבעיה היא לצרף סיסמה בבקשה - אז מה שונה Login?, אלא הבעיה שבמספר־מערכת:סיסמה לא ניתן לבדוק אם בוצע אימות דו־שלבי או לא, א"כ ב-IP שנמצא ברשימה לבנה - מה הבעיה שישתמש במספר־מערכת:סיסמה הרי הוא לא צריך אימות?
כמובן שמבחינת נוחות מפתח API יותר טוב, אבל מבחינת אבטחה לא דחוף לבטל לגמרי את השימוש במספר־מערכת:סיסמה.
-
@CUBASE לא נכון, הבעיה היא לא הבקשה, שנשלחת בצורה מאובטחת בפרוטוקול https, הבעיה היא שהסיסמה חשופה ומסתובבת בכל סקריפטון..
(וגם login לא מומלץ, למעשה מעתה והילך הדרך המומלצת לאוטומציות וכדו' זה API_KEY) -
@אביי-ורבא כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:הבעיה היא שהסיסמה חשופה ומסתובבת בכל סקריפטון
אם אתה מוסיף כתובת IP לרשימה לבנה - זה אומר שאתה סומך עליה, לא?
@אביי-ורבא כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:וגם login לא מומלץ
אתה מתכוון login ללא אימות..
@אביי-ורבא כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:למעשה מעתה והילך הדרך המומלצת לאוטומציות וכדו' זה API_KEY
שלא תחשוב שאני חולק עליך, בוודאי ש-API_KEY זה יותר נוח ויותר פונקציונלי ויותר מאובטח, פשוט כרגע זה לא עובד בכל שירותי ה-API...
-
@CUBASE כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:אתה מתכוון login ללא אימות..
לא קשור, עבור לוגין תשתמש במקרה שבו אתה נותן למשתמש להתחבר בעצמו רק לשירות צד שלישי,
-
@אביי-ורבא מסכים עם @CUBASE אם כבר משתמשים בכמעט כל בקשה (הרי אימות תקף לחצי שעה, אז בשביל כמעט כל בקשה תצטרך לוגין מחדש) במספר וסיסמא אני לא רואה מניעה מלהשתמש בהם לכל הבקשות...
גם הAPIKEY כבר מסתובב בכל מיני מקומות, תבדוק בפורום ותראה... ככה שזה לא תירוץ.
ודאי שיש נוחות בAPIKEY אבל הוא לא עובד כרגע על כל הדברים, וגם אין צפי לזה.
אני לא רואה סיבה לבטל את המספר מערכת:סיסמא.
-
@עידו כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:גם הAPIKEY כבר מסתובב בכל מיני מקומות, תבדוק בפורום ותראה... ככה שזה לא תירוץ.
לגבי זה אני דווקא מסכים עם @אביי-ורבא , מפתח API אפשר להגביל לשירותים ופרמטרים ספציפיים, זה לא כמו סיסמה שמאפשרת גישה מלאה לכל המערכת, אבל זה עדיין לא סיבה לבטל את המספר מערכת:סיסמה בכתובות IP לבנות
-
לדעתי זה שבכל שינוי ip צריך לעשות אימות מחדש זה מאד מפריע, כל מי שמשתמש סטיק בכל חיבור שלו הip משתנה.
הייתי מציע שהסשן ישמר בדפדפן, כמו שכל אתר אחר עושה (google, github וכו' וכו'). -
@האדם-החושב למשתמשי נטפרי זה לא משתנה בכל חיבור, כי האייפי הוא של המכונת סינון..
-
@אביי-ורבא אתה בטוח במה שאתה אומר? כי לדעתי נטפרי נכנסים לפעולה רק כשהתשובה מתקבלת, יותר הגיוני לי שהIP קשור לספקית.