הודעות שפורסמו על ידי שמואל

@חכמון כתב בשינוי במדיניות מינימום יחידות אפשרי להעברה (לשעבר 12):

למה אין על זה הודעה רשמית איפשהו?

אתה החלטת ש"שינוי במדיניות" ואתה שואל "למה אין הודעה". מגניב .

לא שידוע לי שהיה שינוי בנושא.

אין הבדל בין מערכת רגילה לוירטואל פלוס.
בעבר היה ניתן לנייד מספר "עם אפשרות לסמס" בממשק ייעודי. כרגע אין אפשרות כזו, אז אני לא מבין ממש על איזה מספרים אתם מדברים. קיבלתם מספרים שאמור לתמוך בסמסים והוא לא תומך?

אני אנסה לענות בקצרה את דעתי בנושא.

הטענה על "חורבן" שהולך לקרות - לא נכונה.
אני מסכים שלקוחות יצטרכו לבצע התאמות, ויהיה להם את הזמן לזה, אבל אני לא מקבל את הטענה ש"חודשי עבודה".

האימות הדו-שלבי באתר הוא באתר.
אני כתבתי למעלה בראשי פרקים את התכנון בנושא לAPI.

מבחינה טכנית - לא יהיה שום פגיעה בפונקציונליות של הAPI וכד, נהפוך הוא.

טענת "בניתי ללקוח משהוא, ושמתי את המספר מערכת והסיסמה בקריאות API עצמם, ויש לי את זה בערך 80 פעמים בשרת, ואני אפילו לא יודע איפה" היא טענה שלמעשה היא הסיבה הכי גדולה אולי אפילו להקדים את התאריך.

התחברות עם מספר מערכת וסיסמה בכל קריאה - לא ישאר.
סיסמת ניהול "1234" - לא ישאר.
אותה סיסמת ניהול במשך 10 שנים - לא ישאר.

לדעתי לא יהיה אפשרות לוותר על האימות הדו-שלבי לגמרי. יש צורך לבצע אימות פעם בזמן מסויים, לא כל 5 דקות. מדובר בפעולה לגיטימית מאד שלוקחת לא יותר מ10 שניות...

בנוגע לטענות ה"אני צריך לכתוב קודים מחדש, יקח לי כמה חודשים" - אין לי הרבה איך לענות. או יותר נכון, אני יענה בעדינות: זה בעיה שלכם.
שינויים קורים. אין מה לעשות. אם אתה "מפתח" משהוא שאתה עושה את אותה הפעולה כל כך הרבה פעמים - וזה מפוזר אצלך בכל כך הרבה מקומות, אז תתמודד.

למשל שהלקוח רוצה להחליף סיסמה למערכת שלו, אתה אומר לו "לא, זה נמצא אצלי במלא מקומות", נכון? כאמור .. זה התשובה.

בכל מקרה, לדעתי אתם לוקחים את הנושא קשה מידיי, ועדיין לא ברור לי בדיוק מה הנקודה שמפריעה לכם, לכן אני לא יודע לומר, אולי אתם כן צודקים שזה יהיה קשה מנשוא.
אבל לא מדובר שב01/11/2025 הAPI לא יעבוד יותר. אבל חד משמעית אני יכול לומר - יצטרכו לבצע שינויים, ויהיה זמן לזה.

@זאביק כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

וכך יוצא שבמקום להשקיע את הזמן והאנרגיות לשידרוג ושיכלול המערכת שלי, אני צריך לבזבז את הזמן מדי תקופה, בכדי לשמר את המערכת הבסיסית הקיימת, שלא יתחילו לשמוע שם פתאום: אין מענה מ API...,

זה בוודאי אשמתם של ימות המשיח ששומעים אין מענה משרת API, נכון?
כי ימות המשיח הייתה צריכה גם לכתוב לך את הקוד API שלך שיענה..

@פלוס כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

אם כ"כ רוצים לעשות אבטחה - למה שלא יעשו את זה גם (ובעיקר...) דרך הניהול הטלפוני...
נשמח לתגובה רשמית בנושא.

אולי מישהוא יאיר את עייניי מה אתה רוצים מ"שלוחות" ומה"ניהול הטלפוני".
אתה רוצה שיהיה טוקן קבוע בכניסה לשלוחת הניהול?
או שאתה רוצה שיהיה אפשרות בכניסה לניהול הטלפוני לשלוח בHedaer משהוא?
או שאתה רוצה שהמערכת תענה לאחר הקשה הסיסמה בJSON?

מה אתה רוצים בדיוק מהטלפוני , ומה זה קשור לשלוחות?

@חכמון השאלה שלך חסרה מאד, כי ניכרת פה קצת חוסר הבנה.
אני גם לא יודע מה בדיוק גוגל סקריפט וכו.

צריך להבין איך הדברים עובדים ואז תוכל לענות לבד. או שתסביר יותר.

גוגל זה משהוא שרץ במחשב שלך? לא נראה לי.
אתה יצרת שם טוקן? לא נראה לי. השתמש עם מערכת:סיסמה.

ודו״ק

@פלוס כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

ותודה שהתחשבתם בכותבי האשכול הזה - ואפשרתם התחברות פעם ל30 יום!

זה היה מתוכנן לפני שביקשו, אבל שמח שזה לשביעות רצונכם. ️

@גלאט-מערכות כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@שמואל מה עושים עם כל המערכות בריסיילרים ולא מוגדרים מספר בעל מערכת?

ברמת האפשרות, ניתן להגדיר לפי ריסיילר מיילים/טלפונים/ שיופיעו במנוע האימות בכל התחברות של כל הלקוחות שלו, או שיופיעו כאשר הריסיילר מתחבר רק עם סיסמת מאסטר בלבד, או אפילו כתובות IP לבנות (ברמת התחברות בלבד, זה לא עדיין יהיה צורך ב״אימות קשיח״ כדי להוסיף אמצעי אימות חדשים).
טלפונים/מיילים יאפשר לריסיילר לבצע את האימות הראשוני בהתחברות של הלקוחות שלו - ואז שהם יגדירו אמצעי אימות משלהם.

@שמואל-ש כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

אז מה הבעיה?

יש בעיה.. כי מי שמשתמש עם API על שרת - הוא יפסיק לעבוד. כי יהיה חייב אימות דו-שלבי. האפשרות היחידה להשתמש עם הapi ״המסורתי״ אחרי תאריך האכיפה - יהיה לעשות אימות דו שלבי עם ״זכור אותי״, וזה יפתח את הip לחודש. אבל עדיין...
מי שמשתמש עם api באתרים שהוא בנה, אז בעז״ה שיעלה התיעוד של הMFA - יהיו צריכים להתאים את עצמם.

ברמת הapi אני אכתוב בזהירות, שלא יביאו אליי אחרי זה ״אמרת״, אבל זה הכיוון של מה שהולך להיות:

• חיסול האפשרות להתחבר ולבצע פעולות כאשר מספר המערכת והסיסמה נמצאים בצורה ישירה בבקשה. (token=077:1111). אני יודע שזה יהיה קשה להרבה לקוחות, אבל לצערי האפשרות הזו לא תקינה מלכתכילה, ועם כל הכאב, זה לא יתאפשר יותר.
• יהיה בעזרת השם אפשרות באתר להגדיר כתובות IP שלא יצטרכו לבצע אימות דו-שלבי. ואז הם יוכלו לבצע Login - לקבל טוקן - ולרוץ איתו. גם באתר הניהול הם יהיו פטורים מאימות דו-שלבי. רשימת ip לבנה ברמת הפיתוח זה בוצע, אבל צריך עוד לאפשר את זה באתר להגדיר את זה ולסגור פינות.
• יהיה אפשרות ליצור API_KEY קבוע, שזה קצת לא רוצה לומר דברים שלא קיימים, אבל בעזרת השם נעשה את זה בצורה טובה, שתאפשר גמישות ונוחות.

טל״ח...

@y6714453 כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

האם זה נכון מה ש @MGM-IVR כתב פה, שמערכת שמוגדרת עם אימות דו שלבי, לא יהיה בעיה עם ה API?

עד לתאריך שבו ישנה אכיפה על הנושא - הפעלת השירות לא תשפיע על הAPI, ורק תתן תוספת אבטחה למי שכבר הגדיר שיטות אימות.
מאחרי התאריך, הAPI לא ממש יעבוד בצורה הנוכחית, כי כן, יהיה צריך אימות דו-שלבי גם בו.

@MGM-IVR כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

ולא שבAPI יהיה אימות דו שלבי

יהיה בעז"ה אפשרות לבצע אימות דו שלבי בסשן API, אבל זה יהיה רלוונטי ללקוחות שמפתחים אתרים או ממשקים, ולא לשימוש האמיתי של API שזה לשרת.

בעז"ה יהיה לזה פתרון גם לחלק הזה.

@הלי כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

אם לא אכפת לכם
אשמח לדעת
ולכן מה
כלומר לכן למה זה לא מספיק מבחינתכם

קצת לא הבנתי על מה הגבת, מה זה ה ״לא מספיק״ איזה חלק אתה מתקשה, ומה הפיתרון החלופי שאתה מציע, או סתם מווכח עם טענה כזו או אחרת.

@זרח כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

לאחרונה ימות עושים קצת "מה בא להם", בשלל נושאים, מבלי ליידע כראוי. תהליכים לא אמורים להנחית ב"בום", זה לוקח זמן, וצריך לוודא שכולם מודעים ומתרגלים. עם כל הכבוד לחינמיות, יש לתהליכים האלו משמעויות רחבות היקף.

אדוני היקר,
שמו לך הודעה באתר שעוד חודשיים אתה צריך להפעיל אימות דו-שלבי.
משהוא שלימות המשיח אין שום תועלת בו. זה מעמיס טכנית, שמירה של מידע מיותר, עלויות הוצאת שיחות/מסרונים לאימות, אפשר אפילו לאמת מספר חו״ל - כי לימות המשיח יש לקוחות כאלה- ואנחנו לא יכולים לעשות ״מה שבא לנו״ ושהם לא יוכלו להתחבר למערכת בבוקר אחד. מדובר פה פיתוח מטורף ודאגה לאכיפה של זה בכל הצורות, באתר, בAPI, ועוד הנושא עוד לא הסתיים. בקושי התחיל.

לך שמו באתר הודעה שלפחות כרגע - בחודשיים הקרובים, אתה יכול או לבצע אימות של מספר/מייל נוסף, או להקיש לחיצה אחת נוספת על העכבר בכל התחברות.

אני מבין שבשבילך זה ״בום״ גדול, אז באמת צר לי שלקחת את הנושא כל כך קשה. איך אמרת, ללחיצה הזו יש בוודאי ״משמעויות רחבות היקף...״.

נושא האימות הדו-שלבי כרגע עלה בתור הודעה הכי פשוטה באתר.. אני לא מבין את הטענה שלך.
נשמע ממך שהיינו אמורים להגיע לכל בעל מערכת לבית ולדבר איתו האם הוא מסכים שננסה לפתח משהוא בסגנון של אימות דו-שלבי.

ימות המשיח מתמודדת עם דברים בשוק, וממשיכה לתת שירות חינמי כזה או אחר, ואני חושב שלקוחות כמוך לא מגיבים בצורה פרופורציונלית בנושא.

בכל מקרה,
נושא האימות הדו-שלבי יכנס בהדרגה, והוא נעשה לטובת הלקוחות ולטובת עמידה בסטנדרטי אבטחה המקובלים - לטובת הלקוחות.

@CUBASE כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@שמואל קצת מטריד שההודעה על חיוב אימות דו-שלבי מופיעה גם כשרשום מספר שפתח את המערכת ומייל שחזור ובעצם כבר קיימות במערכת שיטות אימות רשומות.
ויותר מכך, ההודעה אינה נעלמת אפי' אחרי שעשיתי אימות עם "זכור אותי" - מה שלכאו' מעיד על כך שאני מודע לזה שבקרוב יהיה ניתן להיכנס רק עם אימות דו-שלבי..

הסיבה לכך היא שאני יוצא מנקודת הנחה שמי שיש לו מייל שחזור או מספר שפתח, בתכלס הוא מעולם לא היה צריך אותם או לא נגע בהם. יש אנשים מחזיקים שנים מערכת שחבר שלהם פתח להם או לא יודע מה.

בתכלס, ההודעה נעלמת כאשר את מוסיף אמצעי אימות דו-שלבי נוסף על מה שיש ״בלית ברירה״.

@רבנן-ברכו היה שם בעיה ברישום לצינתוק של לקוחות חדשים, זה טופל. מי שנרשם ולא קיבל צינתוק - יתחיל לקבל צינתוקים על סמסים חדשים, וכן לקוחות חדשים שנרשמים - ירשמו תקין.

@עידו כתב בהקמת מערכות תוכן על מספר נייד:

צריך לדעת סופית, מספר נייח רגיל כגון - 03-3130313

כן, סמסים פנים ארצים. (כלומר מהארץ, לא מוואצפ או גוגל, או מלקוחות בחו״ל).
ככל ולא, אפשר להביא לי דוגמא ספיציפית במייל ואנסה לבדוק את זה.

@מתעניין כתב בהקמת מערכות תוכן על מספר נייד:

מה המעלה של מספר נייד?

בעיקרון אין מעלה ספציפית. הוא יכול לקבל סמסים, כך שזה יכול להיות שימושי לחלק מהלקוחות, בעיקרון גם מספרים נייחים יכולים לקבל סמסים, אז לא בטוח שזה מעלה ייחודית..

@אביי-ורבא כתב בקניתי סמסים במערכת, ואני רוצה לשנות זיהוי שולח, איך ניתן לעשות זאת?:

אני לא מכיר ממשק שמאפשר להשתמש עם זה ישירות

לא מבין את הטענה שלך,
הוספת זיהוי ספיישל קיימת בלשונית קמפיינים במסך של בחירת הזיהוי:

וכנ"ל לשלוח סמס אפשר לבחור זיהוי, ואפשר לבחור זיהוי שעושים קמפיין...

@nyh כתב בשירות API חדש: GetIncomingSms | קבלת הסמסים שנכנסו למערכת:

והאם יש מערכות שמקבלות סמסים חוץ מהוירטואלי?

מערכות תוכן ששויך אליכם מספר נייד (מפעם) לטובת קבלת/שליחת סמסים למשל.
בנוסף, מספרים נייחים יכולים גם לקבל סמסים (מחלק ספקים לפחות).

@הלי כתב בשירות API חדש: GetIncomingSms | קבלת הסמסים שנכנסו למערכת:

אם מותר לשאול הקישור הזה https://f2.freeivr.co.il/post/130910 לא נחשב פורסם בצורה רשמית?

אתה צודק.. לא אני פרסמתי, ובזמנו בכוונה לא פרסמתי.. לא ראיתי שפרסמו את זה.
מחקתי את זה.

@אביי-ורבא כתב בשירות API חדש: GetIncomingSms | קבלת הסמסים שנכנסו למערכת:

יצא כבר משימוש?

זה כבר לא עובד,
זה מחזיר rows ריק וmessage להשתמש בשירות החדש, עם responseStatus ERROR

@מוטי-לוין כתב בשירות API חדש: GetIncomingSms | קבלת הסמסים שנכנסו למערכת:

@שמואל אין אפשרות דרך API את הסמסים שנשלחו מהמערכת?

יש את GetSmsOutLog מתועד פה: https://f2.freeivr.co.il/post/63910