API נדרים פלוס, נחסם?
-
@יעקב2 כתב בAPI נדרים פלוס, נחסם?:
@למדן-וידען קרה
תחפש הודעה של @אביי בנושאחיפשתי, לא זכיתי למצוא חפרתי עד 2020..
אם אפשר הכוונה יותר מדוייקת.
בכלל זה מוזר מאוד שאין בAPI שום סיסמת API וכד'
תיאורטית אני יכול לקחת אשראי של מישהו ולהקים חיוב בכל המסופים של נדרים.. -
@למדן-וידען
מהודעתך הפותחת נראה שאתה שואל האם יענישו אותך אם תתנהג לא יפה.
אם נדרים לא רוצה שתשתמש עם API (יותר מדוייק לומר, עם גישה רובוטית/אוטומטית) ואתה כן רוצה,
דבר ראשון תדבר איתם! תסביר להם את הצורך, תתחנן. מסתבר שיש להם מענה אם יש לך צורך נורמטיבי לגיטימי.
אם זה לא עבד, אל תכתוב את זה בפורום פה כי זה פורום של ילדים טובים...
דבר שלישי, תברר עם מי שצריך אם אתה בסדר, כי יכול להיות שאתה צריך לכבד את הרצונות של האחר.תיאורטית אני יכול לקחת אשראי של מישהו ולהקים חיוב בכל המסופים של נדרים..
אפשר לעשות בדיוק אותו דבר בכל פלטפורמת תרומה, בלי קשר לAPI.
זה חייב להיות ככה אם אפשר אנונימית דרך דפדפן, אפשר להוסיך קאפצ'ה אבל לא מעבר. -
@dovid כתב בAPI נדרים פלוס, נחסם?:
מסתבר שיש להם מענה אם יש לך צורך נורמטיבי לגיטימי.
הם טוענים שהם מחוייבים לדרוש רישיון PCI בתוקף.
@dovid כתב בAPI נדרים פלוס, נחסם?:
זה חייב להיות ככה אם אפשר אנונימית דרך דפדפן, אפשר להוסיך קאפצ'ה אבל לא מעבר.
סיסמת API תואמת למסוף בהחלט יכולה למנוע את זה,
אם כי אתה צודק שאפשר גם לחייב בעמדת נדרים ישירות..@dovid כתב בAPI נדרים פלוס, נחסם?:
@למדן-וידען
מהודעתך הפותחת נראה שאתה שואל האם יענישו אותך אם תתנהג לא יפה.בדיוק. יש למישהו מידע קונקרטי?
-
@למדן-וידען אני אומר לך שחוסמים (חסמו לנו או הודיעו שאם לא מפסיקים הם סוגרים מיידית לא זוכר בדיוק)
ההודעה הייתה לכאורה כאן אבל משום מה נמחק ( @dovid הגעתי לזה דרך חיפוש גוגל - לתשומת ליבך) -
@למדן-וידען כתב בAPI נדרים פלוס, נחסם?:
הם טוענים שהם מחוייבים לדרוש רישיון PCI בתוקף.
מעניין שחברות הסליקה כמו פלא-קארד ודומיו שיש להם API, אינם מחוייבים לרישיון PCI בצד הלקוח.
-
@ששא כתב בAPI נדרים פלוס, נחסם?:
ביקשתי להם API של מילוי טספים
למה אתה מתכוון API של מילוי טפסים
טופס קיים, או לטופס שלךיש לי שם טופס שמתממשק עם השרת שלי (בכל כניסה לטופס מתבצעת בקשה מנדרים אלי לקבל את המידע, ובאישור נדרים שולחים לי את הפרטים שהמשתמש כתב)
-
@Shmuel754 אסור להם לספק סליקה באמצעות API. זה החוק.
אצלינו אנחנו מאד מקפידים על זה, מהסיבה הפשוטה שיש הרבה מאד אנשים - לפעמים בחורים צעירים מאד - שמפתחים מערכות פשוטות ולא מאובטחות, ועלולים לגרום לנזק גדול לתורמים (במידה וידלוף מידע),
ולכן מחובתינו לדאוג שמי שעושה שימוש במערכות יעשה זאת בצורה חכמה, נכונה ובטוחה.יש פתרון מושלם עם האייפרם.
עומד בתקן PCI הכי מחמיר שיש,
עובד נהדר ובשימוש של כל החברות הגדולות,
אז מה רע? -
@למדן-וידען ברגע שכל התעבורה של הסליקת אשראי עוברת דרך השרת שלך,
כלל העסקאות צבועות עם הכתובת IP שלך,והיות ואתה בלי רישיון PCI, אין לנו אפשרות לוודא שהעסקאות אמיתיות ושלא מדובר בתקיפה (הרצת סדרות אשראי / הונאה), ולכן, ברגע שאנחנו מזהים פעילות חריגה (הרבה סירובים בזמן קצר מכתובת IP בודדת) אוטומטית אנחנו חוסמים את הכתובת הזו. אם זה קורה כמה פעמים בטווח זמן מסויים, המוסד כולו נחסם.
אם היה לך רישיון PCI, היינו יכולים להיות רגועים שיש בצד שלך מערכות הגנה, ומלבינים את הכתובת IP שלך...
-
@Nedarim אכן זה הגיוני ומובן לפי מה שאתה כותב לגבי סליקה ופרטי לקוחות (וטוב שיש מישהו במגזר שחשוב לו הבטיחות של האנשים..), אבל אני בזמנו דיברתי על API לממשק הניהול לשליטה על המסופים שרשומים במוסד (חסימה/מודעות וכו'), ועל עוד משהו שאינני זוכר בדיוק אבל בפירוש לא התקשר בשום דרך שהיא לתרומות או פרטי התורמים, ועדיין הודיעו לי שהגישה שלנו תחסם לצמיתות, ובטלפון היו קצת (הרבה) יותר קשוחים
בזמנו, לא התעקשתי, זה ערב פורים ויש דברים יותר חשובים מזה, אבל זה היה די מעצבן, בפרט שכתבו לי משפט כמו "תגיד מה אתה צריך וניתן לך פיתרון רשמי" ואחרי שהצגתי את הצרכים המענה הוא שאין לנו דבר כזה (כשיש, בממשק..) ואוי ואבוי אם תנסו...
-
@Nedarim כתב בAPI נדרים פלוס, נחסם?:
המקרה זכור לי.
מי שביצע נסיונות גרם ליותר מאלף התראות במערכת בתוך שעות בודדות. זה פשוט היה סיוט.
במחלקת פיתוח מחוייבים לעבור על כל התראה כזו ולוודא שזה מישהו תמים ולא מישהו שמנסה לחפש חולשות במערכת.אני חושב שיש כאן ערבוב את הנסיונות הנ"ל כמדומני שאני בצעתי ללא קשר ל@אביי בכלל
[האם אתה מתכוון לשגיאת JS] -
@Nedarim כתב בAPI נדרים פלוס, נחסם?:
המקרה זכור לי.
מי שביצע נסיונות גרם ליותר מאלף התראות במערכת בתוך שעות בודדות. זה פשוט היה סיוט.
במחלקת פיתוח מחוייבים לעבור על כל התראה כזו ולוודא שזה מישהו תמים ולא מישהו שמנסה לחפש חולשות במערכת.גם לי היה מקרה דומה, וניסנו לדבר איתכם, אבל היה איום של ״תפסיקו או נחסום״, כמו כן פוסטים כאן נמחקו בנושא על פי בקשתכם.
מעולה שהאבטחה מצפצפת על כל דבר , ושבודקים את זה היטב כמו שצריך,
חבל שאין דרך להשבית את האבטחה על ידי שליחת פרמטר מסויים או ip וכד׳ כדי לעזור לאנשים שכן יודעים מה הם עושים, ועובדים בתיאום מולכם. -
@Nedarim סליחה לא התכוונתי, חבל שלא אמרתם את זה אז
אני לא יכול לזכור במדוייק, אבל לא נראה לי שביצעתי בסך הכולל יותר מ50 קריאות לשרת (שחלקן תקינות לחלוטין, דימיתי דפדפן)... בדקתי כעת את הקוד עצמו, ולפי מה שנראה ביצעתי 3 כניסות מ3 מחשבים שונים, נכנסתי לנטוורקס וביצעתי 2 פעמים מכל מחשב את הבקשה שרציתי, העתקתי את התוכן והשוותי אצלי, והכנסתי את זה לקוד, והרצתי, זה נפל כמה פעמים בגלל שגיאות, ואז הרצתי חסימה למסוף X ולמסוף Y, ובום! מייל חדש לא התכוונתי לעשות כ"כ מלא התראות...
עכ"פ זה דבר שAPI רשמי (עם מפתח/ות ייעודי) יפתור בקלות, ואני לא מדבר על להוסיף פונקציות, אלא על פונקציות קיימות במקטע של ניהול המסוף, לאפשר אליהם גישה באמצעות API, המערכת שלכם נמצאת היום בכל כך הרבה מקומות ודברים בציבור ב"ה שאני חושב שזה דבר די אלמנטרי, די טבעי שלאנשים שונים יהיו כל מיני צרכים ועניינים.
(כמה חודשים לפני זה פנה אלי גבאי שרצה לשחרר ולחסום את העמדה שלו דרך הטלפון, ובזמנו אמרתי לו שאין לי כח, כי אין API מצד נדרים, או לדוגמה מילוי טופס בנדרים באמצעות טלפון בAPI במקום לתחזק 2 מערכות שונות ולאחד את הנתונים שבאים משניהם)
תוספת: רגע לפני ששלחתי את ההודעה, ראיתי שהיה עוד משהו שעשיתי, ייבאתי את רשימת המתרימים במאצ'+ וכתבתי פונקציה שמעדכנת את הסכומים שהותרמו והיעדים, והיה זמן שזה רץ אוטומטית במענה לאירוע מסויים שקרה די הרבה, אולי זה יצר את כל ההתראות (זה גם רץ כל פעם מכתובת ip שונה, בלי כוונה, כחלק ממשהו רחב יותר), עכ"פ סו"מ.
-
@Nedarim מנסיוני, הדרך הטובה ביותר למנוע ממפתחים לעשות קומבינות זה לתת להם דרך נורמטיבית כל שהיא.
אם יהיה API (אפילו בהגבלות כל שהם ו/או בתשלום), וכפי שאמרו לא בהכרח לסליקה אלא אפילו סתם לחייב הו"ק וכדומה, זה גם יעזור מאוד למפתחים רבים וגם יוריד מהוריד שלכם את כל המתחכמים.
ברור שלהחזיק API זה עוד בלגן ותחזוקה, אבל נראה לי שהעדר של זה יכול להוליד הרבה כאבי ראש. -
בגדול יש API מלא ל-99% מהצרכים של כולם.
הבעיה שזה לא מונגש למפתחים בצורה מסודרת עם תיעוד מלא.מכמה סיבות:
- אנחנו לא נושמים, כפשוטו.
- ברגע שיהיה API רשמי, אוטומטית יהיה לנו ריבוי פניות של מפתחים לסיוע. לפעמים זה פשוט לא נגמר - במיוחד עם מפתחים מתלמדים או כאלו שכלל לא עברו הכשרה בסיסית)
נשתדל להשלים את החסר בחודשים הקרובים לרווחת כולם.