הודעות שפורסמו על ידי שמואל

@צדיק-תמים כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@שמואל האם אפשר תמיד לשלוח את הטוקן בheader של Authorization

כן

נוספה התמיכה בAPY_KEYS בכל השירותים.
קצת השתנה הצורה של ההגבלות.

בכל מקרה,
כרגע ההגבלות שפעילות בכל השירותים הם הגבלת כתובות IP והגבלת שמות שירותים (Web services).

עוד לא הספקתי מספיק לעדכן באתר בפועל את ההסברים, אבל בקצרה, אפשר להשתמש עם ?, עם * או עם ** גם בכתובות IP וגם בשמות שירותים.

למשל, כדי לאפשר כתובות IP לפי התחלה: 192.168.168.*
או שירותים שמתחילים ב Get ולא משנה מה הלאה..

בנוסף, בגלל האפשרות של הגמישות הזו - נוספה גם אפשרות לשלב בין רשימה לבנה לבין רשימה שחורה, כי למשל אפשר לאפשר כל מה שמתחיל ב Get, אבל לחסום רק את GetIVR2Dir.

באתר טכנית עוד אין אפשרות לערוך את זה ככה עדיין.

בכל מקרה, רלוונטי למי שרוצה לחקור ולנסות.

כאמור וכמודגש באתר: עוד לא הסתיים הפיתוח של מפתחות הגישה - והדברים כל הזמן יכולים להשתנות.

ב"ה,

נוספה אפשרות להוסיף שיטת אימות במנגנון האימות הדו-שלבי מסוג "מפתח גישה/passkey" לטובת ביצוע התחברות בצורה מהירה וקלה ללא תלות בקוד שנשלח במייל/בטלפון.

על מנת לרשום את השיטה החדשה, יש להתחבר למערכת - ולאחר ביצוע אימות דו-שלבי באותו החיבור (אימות קשיח) בלשונית "אבטחה>ניהול אימות דו שלבי" בלחצן "הוספת צורת אימות" - כברירת מחדל - הסוג הוא "מפתח גישה":

ב"כינוי" ניתן לכתוב תיאור מסויים - לטובת זיהוי של המפתח בעתיד - אם תרצו למחוק אותו.
למשל בגוגל, המפתח מסונכרן בין כל המכשירים, אז כדאי לרשום תיאור עליו.

בלחיצה על "אישור" יעלה חלון ברמת מערכת ההפעלה של המכשיר שלכם - לטובת השלמת יצירת המפתח.

בסוף יצירת המפתח - הוא יהיה זמין לשימוש באופן מיידי - ולא נדרש לו אימות נוסף.

בחלון ביצוע האימות הדו שלבי אפשרות מפתח גישה תופיע ראשונה, ככל ויש ברשותכם מפתח אחד לפחות.
שימו לב, שגם אם תוסיפו מספר מפתחות גישה - בעת ביצוע האימות יופיע אפשרות אחת בלבד לאימות מפתח גישה - שהיא יכולה לבצע אימות של כל אחד ממפתחות הגישה שרשמתם במערכת:

שימו לב,
בגלל הצורה שמפתחות גישה עובדות - ניתן לבצע אימות של המפתח רק מאותו האתר שממנו המפתח נוצר (למשל call2all.co.il // private.call2all.co.il), ולכן לא ניתן לאמת מפתחות גישה דרך API - אלא בשימוש עם MFA SSO.

בנוגע ליצירת מפתחות גישה בAPI ומימוש מלא של הצד לקוח - תוך כדי אפשרות ליצור אותו מקושר לאתרים אחרים שלקוחות בונים - ככל ותיהיה דרישה לזה, הנושא ישקל.

בברכה,

@איל-משולש כתב בעדכון בנוגע לתחילת האכיפה בנושא אימות דו-שלבי בהתחברות:

@שמואל לאחר השלמת הפיתוח של ה API_KEYS יצרכו עוד משהו חוץ מהטוקן הזה

לא.
זה יעבוד בדיוק כמו שזה כבר עובד עכשיו - רק בניגוד לעכשיו - שזה עובד על חלק מהשירותים בצורה מלאה (הגבלת כתובות IP, שירותים, פרמטרים, שכתוב/נעילה של פרמטרים וכו וכו כל מה שיש באתר), בשלב הראשוני של ההטמעה של השירות בכל שירותי הAPI שכרגע זה לא עובד בהם בכלל - אז זה פשוט יעבוד בלי כל הפיצ'רים של ההגבלות, אלא יעבוד ממש כמו מערכת:סיסמה/טוקן, ובשלב השני - גם ההגדרות וההגבלות המיוחדות לAPI_KEYS שפותחו - יעבדו בכל השירותים.

ב"ה,

בהמשך להודעות בנושא באתר הניהול, בפורום ובמיילים, להלן עדכון בנושא הדרישה להפעלת אימות דו-שלבי בהתחברות למערכות:

• השירות יתחיל להאכף בכניסה לאתר הניהול הרגיל - כמתוכנן - במוצאי שבת.
• 🛜 אכיפת השירות בAPI תיהיה לאחר סיום ההטעמה של API_KEYS בכל השירותים, תוך מתן זמן סביר ללקוחות להתארגן להשתמש בזה.
• בניגוד לחששות ולתכנון המקורי, נוספה ב"אתר החדש" תמיכה במנגנון האימות הדו שלבי - כך שהוא ימשיך לעבוד גם לאחר אכיפת השירות גם בAPI, באמצעות ביצוע אימות וחזרה לאתר.

שימו לב שהפיתוח של האתר החדש הופסק ממזמן ואין באמור לעיל לאשר או להוות המלצה לשימוש באתר החדש, אשר הפיתוח שלו לא הושלם.

נקודות נוספות בנוגע לAPI:

• כאמור, האפשרות להשתמש בAPI באמצעות מספר מערכת:סיסמה - תבוטל ברגע שהאכיפת השירות בAPI, גם מהסיבה שחיוב האימות הדו-שלבי מחייב טוקן מסודר - מה שלא קיים שם - וגם בגלל שהוחלט לבטל את האפשרות מסיבות אבטחה.
• לקוחות שהפעילו "אכיפה מוקדמת" באתר הניהול - הדרישה לאימות דו-שלבי גם בAPI - תישאר.
• לקוחות שמשתמשים בAPI בממשקים אינטרנטיים (או בתוכנות) שהם בנו כאשר הפניה לימות המשיח נעשת בצד הלקוח - עליהם לממש את המנגנון בAPI בצד לקוח שלהם בהקדם/להשתמש במנגנון ההפניה לאתר הניהול לביצוע אימות דו שלבי - כי למרות שהאכיפה לא תתחיל בAPI על ההתחלה - היא תתחיל בקרוב.

בעזרת השם בתור התחלה יעלה בקרוב ממש האפשרות להשתמש עם API_KEY בכל שירותי הAPI - בלי ה"הגדרות המתקדמות" של המפתח - כפי שמופיעות כרגע באתר הניהול, אבל עצם התמיכה תספק מענה פשוט וקל ללקוחות שיש להם ממשקים או סקריפטים שמבוססים על מערכת:סיסמה, כאשר כל מה שהם יצטרכו להחליף - זה פשוט את מה שמוגדר להם כרגע - לAPI_KEY.

בברכה,

@yankl כתב ביצירת אסימון 'זכור אותי' בAPI:

ניסיתי עשרות נסיונות, מחקתי אסימונים ושוב..
מצליח רק לעשות רק כתובת IP מאושרת, אבל בכל דרך לא הצלחתי לעשות אסימון זכור אותי משום סוג שהוא, רק דרך האתר

תכתוב לי פרטים מלאים במייל, אבדוק לעומק.

@הלוי-הלוי כתב ביצירת אסימון 'זכור אותי' בAPI:

היו לי כמה אסימונים קודמים גם מכתובות IP

אז כנראה זה הסיבה.
תנסה ממקום חדש לגמרי.
או שתמחק את כל האסימונים ואז תנסה.

@גמ-ח-קריינות היה תקלה בנושא לכמה דקות, זה טופל כבר.

@הלוי-הלוי כתב ביצירת אסימון 'זכור אותי' בAPI:

לא נוצר אסימון זכור אותי חדש בטבלה

יכול להיות שכבר קיים אחד כזה?
כאמור, זה אמור ליצור ברמת IP בלבד.

הטוקן שכתבת לא נכון, לא היה טוקן כזה, אז אני לא יכול לוודא...
תביא דוגמא עם פרט כל שהוא אמיתי - שנוכל לבדוק.

@yankl כתב ביצירת אסימון 'זכור אותי' בAPI:

נראה שזה לא ממש עובד,

״לא ממש עובד״ זה לא תיאור של בעיה.
זה כמובן אמור ליצור אסימון ברמת הIP בלבד. ניסית לבדוק אחרי הפעולה האם רואים את האסימון בטבלא?

@mn מהתמונה ששלחת זה אמור להיות תקין, והתגובה שקיבלת מצביעה על זה שהטוקן לא תקין, או נמחק, וכו...
שליחת סמסים אמורה לעבודה עם הAPY_KEY.
תוודא את הפרטים, ככל שאתה משוכנע שזה באמת לא עובד - תכתוב לי פרטים מדוייקים במייל ואנסה לבדוק.

@משרדי כתב בהודעה חשובה בעניין השינוי המתוכנן ל 01/11/2025:

דהיינו, אפשר יהיה להחליף את שיטת ההתחברות כהיום באמצעות מערכת:סיסמא לapi_key וחסל?

כן, בעז"ה.

@אופיר כתב בהודעה חשובה בעניין השינוי המתוכנן ל 01/11/2025:

האם יהיה תיעוד API ליצירת API_KEY?

מסיבות אבטחה, יצירת מפתח תיהיה אפשרית רק באתר הניהול עצמו.

@sumone

אשמח להבין איזה חלק לא מובן בשינוי שהולך לקרות.
יצאו לפחות 2 מיילים אל הנושא,
יש את השרשור הנוכחי שמדבר על השינויים, שמתוכו כל בקשה לגיטימית התקבלה ונבחנה - ואף נוספו דברים.

ויש את ההודעה הרשמית: https://f2.freeivr.co.il/post/159438 שפורסם לפני למעלה מחודש, יש את ההודעה באתר שמתחברים, ויש את הסברים באתר ניהול ובכל פינה.

בקיצור, כמו ששאלתי בהתחלה, אשמח להסבר מה לא מובן בשינוי.. כל הדברים שהולכים להיות כבר קיימים - רק שכרגע ניתן לדלג על האימות הדו-שלבי, ואחרי התאריך - זה יהיה חובה.

נשקול את הדברים, אני מבין את הטענות.

@אביי-ורבא כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@שמואל זה אומר שכעת כלל שירותי הAPI יפעלו עם מפתחות API?

לא.

@אביי-ורבא כתב בתיעוד API לטובת ניהול וביצוע אימות דו-שלבי - לטובת מפתחי ממשקים חיצוניים:

@שמואל מתי כלל הAPI השונים יעבדו עם המפתחות וכל העדכונים החדשים, והאם אכן בתחילת החודש הבא יתחיל חובת האימות הדו שלבי או שזה ידחה מעט

הצפי הוא כמה שיותר מהר.
יתכן שהתאריך ידחה קצת, אבל לא בטוח.
בעיקרון המנגנון של האימות הדו-שלבי מוכן והוא נותן מענה כמעט לכל הצרכים. (חוץ מלקוחות שצריכים להתחבר מכל צי הכתובות IP של גוגל).

הAPI_KEYS הוא מנגנון חדש שמאפשר גמישות רבה והוא פחות קריטי ממש ובא כתוספת.

@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

בעיקרון, נכון לכתיבת שורות אלה, הAPI_KEYS & הפעלת האכיפה המוקדמת בAPI תעבוד ב yAfast בגירסא 6.7.27 ומעלה וב yALogs גירסא 4.4.1 ומעלה.

עדכון:
כרגע האכיפה המוקדמת פעילה לכל שירותי הAPI.
לקוח שהפעיל אכיפה מוקדמת - גם בAPI - ובכל השירותים - יקבל "הדמיה" של מה שיהיה בעצם אחרי התאריך של האכיפה הכללית.

זה מאפשר ללקוחות להפעיל כמובן את ההגנה של האימות, אבל גם מאפשר למפתחים לראות איך בדיוק הAPI יתנהג אחרי התאריך של אכיפת השירות.

@אופיר כתב בתיעוד API לטובת ניהול וביצוע אימות דו-שלבי - לטובת מפתחי ממשקים חיצוניים:

@שמואל גם לי זה די דחוף, לפחות תעדכן מה הצפי..

צפי בשביל מה?

@מתלמד-פון בהתחשב בזה שכל קוד שנשלח יש 5 נסיונות לאמת אותו, הנושא לא רלוונטי.