בכרטיסייה אבטחה
-
@שמואל
לא הבנתי
כתבת שאם כתובת אחת תנסה לפרוץ למערכת עם סיסמא שגויה זה לא ישבית את המערכת (פירוש ימנע חסימה ב API)אני ניסתי מכתובת אחת למערכת אחת וסיסמא אחת
וכאשר כתובת אחרת ניסתה להיכנס זה חסם אותהלמה זה לא מה שכתבת?
ואגב הפיתרון שכתבתי לא יפגע באבטחה של אף אחד, זה לא להחריג.
אלא להגדיר שניסיון עם טוקן אחד כמה פעמים יחשב כניסיון אחד.
איזה היגיון יש שניסיון עם אותו טוקן יזוהה כניסיון פריצה חוזר למערכת (כאשר מנסים לפרוץ למערכת ולנחש את הסיסמא כשסיסמא אחת לא עבדה, לא מנסים אותה שוב כי כבר יודעים מראש את התשובה. כן ?)
מלבד זה שלא רוצים לשמור את הסיסמא שניסו לפרוץ איתה, אבל בגלל מצב כזה זה מתבקש. -
@שמחה-זו-הסיסמא אמר בבכרטיסייה אבטחה:
למה זה לא מה שכתבת?
תקרא שוב את מה שכתבתי עד שתצליח להבין.
אי לא יכול לשמור עכשיו כל ניסיון התחברות את הסיסמה. ברגע שמשתמש מנסה לפרוץ לי למערכות אני חוסם אותו.
לא מבין בכלל על מה הדיון, למה שאני יעזור למי שמגיש אלי בקשות לא תקינות, איפה שמענו דבר כזה. תדאגו שהשרתים שלכם לא ינסו לפרוץ למערכות.אין פה שום בעיה של השבתה של מערכת, אם מישהוא יחליט שהוא רוצה להשבית את הלקוחות וירים שרת וינסה להתחבר לעשרות לקוחות זה לא ישבית להם את המערכת ושוב, לפי מה שכתבתי למעלה.
-
@שמואל אם מישהו יתנכל למערכת ספציפית, וינסה שוב ושוב להתחבר עם מספר:סיסמה, מכמה כתובות IP, זה לא יחסום לבעל המערכת את השימוש בAPI?
-
@שמואל
זה ממש לא ככה מבדיקה היה לי קו ששלח בAPI בקשות שגויות בעקבות טעות למשך זמן ארוך וכל אותו הזמן לא יכולתי להכנס למערכת -
@תן-חיוך-1 אמר בבכרטיסייה אבטחה:
זה ממש לא ככה מבדיקה היה לי קו ששלח בAPI בקשות שגויות בעקבות טעות למשך זמן ארוך וכל אותו הזמן לא יכולתי להכנס למערכת
זה גם מה שאני כתבתי ל @שמואל.
מה שהוא ענה כנראה זה שאם היו בקשות נוספות לאותה מערכת מכמה כתובות. אז שרת אחד יכול לשגע את הראש לגמרי.
אבל אם רק שרת אחד מנסה זה יחסום את השרת
מקווה שהבנתי אותו נכון -
@שמחה-זו-הסיסמא אמר בבכרטיסייה אבטחה:
אבל אם רק שרת אחד מנסה זה יחסום את השרת
ממה שאני רואה במציאות זה חוסם גם את המערכת וגם את השרת
-
@שואל-ברצינות אני אשמח אם כן שתפרש לנו את דבריו של @שמואל למה הייתה כוונתו שלא יחסום
@שמואל אמר בבכרטיסייה אבטחה:
אם כתובת אחת תנסה כל היום את המערכת שלך זה לא ישבית לך את המערכת.
החסימה תיהיה ברמת כתובת. -
@שמחה-זו-הסיסמא אמר בבכרטיסייה אבטחה:
@שואל-ברצינות אני אשמח אם כן שתפרש לנו את דבריו של @שמואל למה הייתה כוונתו שלא יחסום
@שמואל אמר בבכרטיסייה אבטחה:
אם כתובת אחת תנסה כל היום את המערכת שלך זה לא ישבית לך את המערכת.
החסימה תיהיה ברמת כתובת.תשאל אותו...
-
@שואל-ברצינות שאלתי
@שמחה-זו-הסיסמא אמר בבכרטיסייה אבטחה:כתבת שאם כתובת אחת תנסה לפרוץ למערכת עם סיסמא שגויה זה לא ישבית את המערכת (פירוש ימנע חסימה ב API)
אני ניסתי מכתובת אחת למערכת אחת וסיסמא אחת
וכאשר כתובת אחרת ניסתה להיכנס זה חסם אותה
למה זה לא מה שכתבת?והוא ענה
@שמואל אמר בבכרטיסייה אבטחה:
זה ברור שככה. לא קראת מה כתבתי.
-
@שואל-ברצינות
לסיכמו של עניין שמואל לא חייב לנו כלוםההחלטה של חברת ימות המשיח היא תקינה. כל בקשה עם סיסמא שגויה גורמת לרישום בקשה חריגה.
ועל כל אחד לדאוג שבשרתים שלו לא יהיו בעיותעל אף שלחלק מהלקוחות (ואני ביניהם) זה לא מוצא חן והיינו מעדיפים שרק בקשה עם סיסמא שגויה שונה תרשום בקשה חריגה
כרגע זו ההחלטה.
-
@שמחה-זו-הסיסמא מה יצא בסוף? שליחת ניסיונות שגויים חוסמת את השרת או המערכת?, והאם הניסיונות נרשמים?
-
@avrham
חוסם -
@שמחה-זו-הסיסמא זה לא תקין, כי זה מאפשר למי שרוצה להשבית בקלי קלות מערכות שהוא לא חפץ ביקרן, ולנסות עם סיסמה שגויה מכמה כתובות, וכך המערכת תיחסם לבעליה
-
@צדיק-תמים אמר בבכרטיסייה אבטחה:
@שמחה-זו-הסיסמא זה לא תקין, כי זה מאפשר למי שרוצה להשבית בקלי קלות מערכות שהוא לא חפץ ביקרן, ולנסות עם סיסמה שגויה מכמה כתובות, וכך המערכת תיחסם לבעליה
בAPI
- חוסם את הכתובת.
בכניסה רגילה לאתר
- חוסם את הכניסה לניהול עד שיהיה אימות
לא רואה פה שום חסימה גרועה למערכת או למנהל שלה...
-
@nyh אוקיי, אז הכל בסדר, אי אפשר לתקוף מערכת כדי שלא יוכלו להפריע לתפקוד שלה ב api/ ממשק הניהול, אז הכל בסדר.
-
@avrham אמר בבכרטיסייה אבטחה:
@nyh אוקיי, אז הכל בסדר, אי אפשר לתקוף מערכת כדי שלא יוכלו להפריע לתפקוד שלה ב api/ ממשק הניהול, אז הכל בסדר.
לא הבנתי למה כוונתך
-
@nyh כשראיתי את השרשור כאן, לא הבנתי בידיוק מתי זה נחסם, כעת ענית לי.
כי אמרתי שאם לאחר X ניסיונות שגויים באתר/API זה חוסם את המערכת ולא את האתר / שרת, אז יכלו עכשיו לבצע לולאה שתנסה להתחבר 200 פעם לניהול ואז בעצם לגרום למערכת להחסם.