הודעות שפורסמו על ידי שמואל

@yankl כתב ביצירת אסימון 'זכור אותי' בAPI:

ניסיתי עשרות נסיונות, מחקתי אסימונים ושוב..
מצליח רק לעשות רק כתובת IP מאושרת, אבל בכל דרך לא הצלחתי לעשות אסימון זכור אותי משום סוג שהוא, רק דרך האתר

תכתוב לי פרטים מלאים במייל, אבדוק לעומק.

@הלוי-הלוי כתב ביצירת אסימון 'זכור אותי' בAPI:

היו לי כמה אסימונים קודמים גם מכתובות IP

אז כנראה זה הסיבה.
תנסה ממקום חדש לגמרי.
או שתמחק את כל האסימונים ואז תנסה.

@גמ-ח-קריינות היה תקלה בנושא לכמה דקות, זה טופל כבר.

@הלוי-הלוי כתב ביצירת אסימון 'זכור אותי' בAPI:

לא נוצר אסימון זכור אותי חדש בטבלה

יכול להיות שכבר קיים אחד כזה?
כאמור, זה אמור ליצור ברמת IP בלבד.

הטוקן שכתבת לא נכון, לא היה טוקן כזה, אז אני לא יכול לוודא...
תביא דוגמא עם פרט כל שהוא אמיתי - שנוכל לבדוק.

@yankl כתב ביצירת אסימון 'זכור אותי' בAPI:

נראה שזה לא ממש עובד,

״לא ממש עובד״ זה לא תיאור של בעיה.
זה כמובן אמור ליצור אסימון ברמת הIP בלבד. ניסית לבדוק אחרי הפעולה האם רואים את האסימון בטבלא?

@mn מהתמונה ששלחת זה אמור להיות תקין, והתגובה שקיבלת מצביעה על זה שהטוקן לא תקין, או נמחק, וכו...
שליחת סמסים אמורה לעבודה עם הAPY_KEY.
תוודא את הפרטים, ככל שאתה משוכנע שזה באמת לא עובד - תכתוב לי פרטים מדוייקים במייל ואנסה לבדוק.

@משרדי כתב בהודעה חשובה בעניין השינוי המתוכנן ל 01/11/2025:

דהיינו, אפשר יהיה להחליף את שיטת ההתחברות כהיום באמצעות מערכת:סיסמא לapi_key וחסל?

כן, בעז"ה.

@אופיר כתב בהודעה חשובה בעניין השינוי המתוכנן ל 01/11/2025:

האם יהיה תיעוד API ליצירת API_KEY?

מסיבות אבטחה, יצירת מפתח תיהיה אפשרית רק באתר הניהול עצמו.

@sumone

אשמח להבין איזה חלק לא מובן בשינוי שהולך לקרות.
יצאו לפחות 2 מיילים אל הנושא,
יש את השרשור הנוכחי שמדבר על השינויים, שמתוכו כל בקשה לגיטימית התקבלה ונבחנה - ואף נוספו דברים.

ויש את ההודעה הרשמית: https://f2.freeivr.co.il/post/159438 שפורסם לפני למעלה מחודש, יש את ההודעה באתר שמתחברים, ויש את הסברים באתר ניהול ובכל פינה.

בקיצור, כמו ששאלתי בהתחלה, אשמח להסבר מה לא מובן בשינוי.. כל הדברים שהולכים להיות כבר קיימים - רק שכרגע ניתן לדלג על האימות הדו-שלבי, ואחרי התאריך - זה יהיה חובה.

נשקול את הדברים, אני מבין את הטענות.

@אביי-ורבא כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

@שמואל זה אומר שכעת כלל שירותי הAPI יפעלו עם מפתחות API?

לא.

@אביי-ורבא כתב בתיעוד API לטובת ניהול וביצוע אימות דו-שלבי - לטובת מפתחי ממשקים חיצוניים:

@שמואל מתי כלל הAPI השונים יעבדו עם המפתחות וכל העדכונים החדשים, והאם אכן בתחילת החודש הבא יתחיל חובת האימות הדו שלבי או שזה ידחה מעט

הצפי הוא כמה שיותר מהר.
יתכן שהתאריך ידחה קצת, אבל לא בטוח.
בעיקרון המנגנון של האימות הדו-שלבי מוכן והוא נותן מענה כמעט לכל הצרכים. (חוץ מלקוחות שצריכים להתחבר מכל צי הכתובות IP של גוגל).

הAPI_KEYS הוא מנגנון חדש שמאפשר גמישות רבה והוא פחות קריטי ממש ובא כתוספת.

@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪:

בעיקרון, נכון לכתיבת שורות אלה, הAPI_KEYS & הפעלת האכיפה המוקדמת בAPI תעבוד ב yAfast בגירסא 6.7.27 ומעלה וב yALogs גירסא 4.4.1 ומעלה.

עדכון:
כרגע האכיפה המוקדמת פעילה לכל שירותי הAPI.
לקוח שהפעיל אכיפה מוקדמת - גם בAPI - ובכל השירותים - יקבל "הדמיה" של מה שיהיה בעצם אחרי התאריך של האכיפה הכללית.

זה מאפשר ללקוחות להפעיל כמובן את ההגנה של האימות, אבל גם מאפשר למפתחים לראות איך בדיוק הAPI יתנהג אחרי התאריך של אכיפת השירות.

@אופיר כתב בתיעוד API לטובת ניהול וביצוע אימות דו-שלבי - לטובת מפתחי ממשקים חיצוניים:

@שמואל גם לי זה די דחוף, לפחות תעדכן מה הצפי..

צפי בשביל מה?

@מתלמד-פון בהתחשב בזה שכל קוד שנשלח יש 5 נסיונות לאמת אותו, הנושא לא רלוונטי.

@זעליג כתב בצינתוקים לחו"ל? ההיינו כחולמים?:

אפשר גם לעשות שזיהוי היוצא בצינתוק יהיה המספר האמריקאי של הקו - לו יצוייר שיש לך כזה

שים לב שבמקרה שתעשה את זה - השיחה תצא רק למספרים אמריקאים, וכל המספרים הישראלים ברשימה - לא יקבלו צינתוק.

@חזקי-ראזנבערג כתב בצינתוקים לחו"ל? ההיינו כחולמים?:

אבל אין עדיין אפשרות להוסיף לרשימת הקבוצה מספרים אמריקאים

לרשימת צינתוקים חינמית ניתן להזמין מספרים אמריקאים להצטרף לרשימה דרך שלוחת ההזמנה הטלפונית.

@חוויה-טלפונית כתב בתיעוד API לטובת ניהול וביצוע אימות דו-שלבי - לטובת מפתחי ממשקים חיצוניים:

האם תהיה אופציה לעשות את זה עם נטו API זאת אומרת שישלח קוד לכתובת API שאני יאשר מראש ?

מה זה ההמצאה הזו? למה לא פשוט להציג את הקוד באתר וזהו?
איפה שמעת שדבר כזה נקרא ״אימות דו-שלבי״?
איפה פה הגורם השני?

@יעקב-1 כתב בתיעוד API לטובת ניהול וביצוע אימות דו-שלבי - לטובת מפתחי ממשקים חיצוניים:

API KEY

נושא API_KEY עוד לא הסתיים - והוא ניתן ללקוחות שמעוניינים לבדוק את הנושא ו/או לתת משוב.
כאשר נסיים עם זה בעז״ה זה יתועד וכו וכו.

@אופיר כתב בתיעוד API לטובת ניהול וביצוע אימות דו-שלבי - לטובת מפתחי ממשקים חיצוניים:

האסימון נשמר בצד שרת של ימות?
כלומר, אימות דו שלבי בדפדפן יאפשר גישה למערכת גם דרך תוכנות אחרות מאותו מחשב?

לפי כתובת IP - כן.

@אופיר כתב בתיעוד API לטובת ניהול וביצוע אימות דו-שלבי - לטובת מפתחי ממשקים חיצוניים:

אין שינוי בצורת השליחה של טוקן בעקבות הצורך באימות {לאחר שבוצע האימות כמובן}. נכון?

אכן.

ב״ה

• האפשרות ניתנת בתור אופציה לטובת לקוחות שלא יספיקו לפתח טיפול והתייחסות לנושא- וניתן כפיתרון מיידי.
• יתכן שנוריד את האפשרות - ללא הודעה מוקדמת - ובלי לתת הסברים.

לטובת לקוחות שמשתמשים עם תוכנות או ממשקים חיצוניים וצריכים פיתרון כדי לאמת טוקן באימות דו שלבי, יכולים להפנות את הלקוחות / לפתוח חלון דפדפן לכתובת:

https://www.call2all.co.il/ym/mfa.php

עם הפרמטרים הבאים (כרגע בGET):

mode=SSO
ymapitoken={TOKEN}
callback=https://{CALLBACK_URL}

דוגמא מלאה:

https://www.call2all.co.il/ym/mfa.php?mode=SSO&ymapitoken={token}&callback=https://local.yemot.sitedev.yemot.co.il/endMFAFromYemot

• על כתובת ה callback להיות תחת https.
• על הפרמטר ymapitoken להכיל טוקן API אותו מעוניינים לאמת.
• על הטוקן להיות טוקן רגיל, לא טוקן של מספר מערכת:סיסמה.
• ניתן לבצע עם ממשק זה רק אימות בשביל לקבל isPass. במקרה שהחיבור כבר קיבל אישור מעבר - יהיה חזרה ל callback עם סטטוס ALREADY_PASSED. משמעות הדברים - שלא ניתן להפנות משתמש לדף זה על מנת לבצע ״אימות קשיח״ בסשן שמאופשר ברמת הגישה הבסיסית.

באם הפרמטרים לא ישלחו כמו שצריך או יהיו חסרים - לא יהיה מעבר ל callback בכלל - והמשתמש יועבר לעמוד Login הרגיל.

הלקוח יבצע אימות דו שלבי באמצות גישה ישירה לAPI של ימות המשיח - כאשר יש רק שימוש ב״צד לקוח״ של ימות המשיח.
בסיום הפעולה, הוא ינותב לכתובת callback עם פרמטרים:

ymapitoken = הטוקן שנשלח במקור
mfaDoneStatus = סטטוס הפעולה

להלן פירוט הסטטוסים האפשריים שנשלחים בפרמטר mfaDoneStatus לכתובת ה callback :