ישיבה על קברו, בלי סיסמא?

dovid

@חוקר
המשפטים שלך, כל מילה, הם הכותרת של כל הפריצות וכל הבעיות אבטחה בארץ.
פה בארץ כל הכשלים הם אנושיים: "סברתי" "לא רצו להכביד" "עד היום לא שאבו"...
סליחה על הביטוי אבל בא לי לצעוק: גנבים!! זה לא מידע שלכם!! אנשים נותנים בכם אמון ואתם מתנהגים כמו... ישראלים...
גם אם לא הייתה לולאה אני ממש חושב שמוסרית היית חייב להפסיק את כל הקמפיין - אנשים בוטחים במערכת שלך, ואתה שומר על הפרטים שלהם.

אני תמה על @upsilon01 שפירסם פה (בהתחלה חשבתי שהוא פרסם באקסקלוסיבי), אבל אני לא אתפלא אם אין לו ניסיון בכהאי גוונא והוא פעל בלי לחשוב מחוסר מחשבה - אכן ראויה פה התנצלות.

אני אבל חוזר לחדד לך, שאולי נעשתה לך טובה. מזה שנשמע מדבריך שאם לא היה פרסום ולא היית מזהה לולאה אז היית נותן לזה להמשיך, מה גם שלו היה רק שולחים לך במייל היית מודה ונזהר טיפה אבל לא ממש "נכווה", וגם כעת אחרי הכויה עדיין יש לך בלב יותר על הפרסום מאשר על הלקח ששווה הון - שבחיים לא יצליחו לעשות לך את זה שוב!

מעניין אותי, מה יהיה פעם הבאה למען הפשטות? איך משלבים קלות לאנשים עם בטחון בשמירת הפרטים שלהם? זה הדבר שחייב להיות לך תשובה.

yossiz

@dovid גם אני התפלאתי שזה לא פורסם באקסקלוסיבי. שוב שמתי לב ש-@upsilon01 לא חבר פה. (לא שזה תירוץ)

clickone

@חוקר באמת חבל שלא שלחתי גם אליך מייל או התקשרתי אפילו
הייתי בטוח שאתה נמצא כאן ביותר תדירות.

שים לב שנראה שזה עדיין פתוח. (אולי תגביל בינתיים שלא יוכלו לגשת מנדרים פלוס ותשאיר רק את הטלפוני?)

ובאמת חבל שיש מי שמנצל כאלה דברים כדי לשאוב הכל. (לפחות שלא יעביר את החומר הלאה אם הוא כאן וקורא את מה שאני כותב)

dovid

@clickone אמר בישיבה על קברו, בלי סיסמא?:

שים לב שנראה שזה עדיין פתוח. (אולי תגביל בינתיים שלא יוכלו לגשת מנדרים פלוס ותשאיר רק את הטלפוני?)

@חוקר ???!!!!!

clickone

@dovid אני מצליח לשים תז (אמנם אני בודק עם 42 וייתכן שהוא החריג את זה) ולקבל נתונים
(עריכה: התשובה הייתה כשחשבתי שאתה שואל אותי)

clickone

מה שכן, אחרי כמה נסיונות יש חסימה של 5 דקות.
לפחות זה....

{
    "status": "זוהה כניסות מרובות מכתובת זו, אנא המתן 5 דקות ללא כניסה עד לשחרור החסימה"
}

dovid

@clickone גרוע מאוד. @חוקר, אתה חייב לעבוד נכון לגמרי. אל תוותר על אבטחה, תמיד יש פתרונות.
זה בעיה אצל כמה משתמשים פה (ודוקא @חוקר פחות בקטע הזה), שהם חיים במירוץ מטורף עם פרויקטים חיים,
והם לא "מעיזים" להחליט שתכנות נכון דוחה בשעתיים את ההפעלה של הפרוייקט.
וכשהם רואים את על הדרשות שלי פה על תכנות נכון הם שואבים אמונה וביטחון מהפרוייקטים העצומים שהם מנהלים (שאפו!) והם "מתגברים" על ה"נכון" למען ה"תכלס". אני מבין את זה על יום יומיים, אבל כשזה לתמיד ככה זה מפריע לי.

clickone

@dovid אני מסתכל על הפיתרון שלו כפיתרון זמני עד שיעשה את מה שצריך לעשות.
ואם ככה זה טוב. רק שלא יהיה "אין יותר קבוע מזמני....."

לגבי המירוץ המטורף בפרוייקטים החיים, אני חושב שברוב המוחלט של הדברים כן נותנים לאבטחה המון משקל. רק מפספסים בדברים אחרים (כולל [ואולי בעיקר] אני), ובזה אתה צודק.

dovid

@clickone אמר בישיבה על קברו, בלי סיסמא?:

@dovid אני מסתכל על הפיתרון שלו כפיתרון זמני עד שיעשה את מה שצריך לעשות.

זה אשליה זמנית.
הפרצה קיימת. אפשר לשאוב נתון בודד, ואפשר אפילו לשאוב הכל בלולאה איטית (ואפשר גם מהר עם פרוקסי או עם תוכנת רוגלה/וירוס).
רק מה? עשינו רושם של רציניים?

dovid

@clickone אמר בישיבה על קברו, בלי סיסמא?:

לגבי המירוץ המטורף בפרוייקטים החיים, אני חושב שברוב המוחלט של הדברים כן נותנים לאבטחה המון משקל. רק מפספסים בדברים אחרים (כולל [ואולי בעיקר] אני), ובזה אתה צודק.

לא בעיקר ולא בכלל... אולי יש לך מרוץ ולכן אתה חושב שאני מתכוון איליך.
מרוץ זה דבר טוב, הבעיה היא כשיש מרוץ ולא מנסים לעבוד נכון.
כולם נותנים משקל לאבטחה, אבל זה כבר "דיעבד".

clickone

@dovid לא
זה סגירה ממש ממש זמנית
אני מניח שיום יומיים הוא יסגור את הפינות ( @חוקר אל תאכזב! )

חוקר

@dovid
כמו תמיד אתה מדבר ומכוון למקום הנכון.
מכה אותו ואומר לו גדל.
לכאורה תמוה למה "המכה" ואומר גדל? והתשובה ניתנה כאן.

@dovid אמר בישיבה על קברו, בלי סיסמא?:

מעניין אותי, מה יהיה פעם הבאה למען הפשטות? איך משלבים קלות לאנשים עם בטחון בשמירת הפרטים שלהם? זה הדבר שחייב להיות לך תשובה.

יש פתרון.
לדרוש סיסמא המורכבת מ 4 הספרות האחרונות של מספר הטלפון איתו הוא נרשם

yossiz

@dovid אמר בישיבה על קברו, בלי סיסמא?:

בהתחלה חשבתי שהוא פרסם באקסקלוסיבי

אני מבין שבקעבות זה הוספת:

body.page-topic-category-תכנות-אקסקלוסיבי .container .row .topic {
    background: #fff3f3;
}

השאלה היא למה כולנו צריכים לסבול

חוקר

אני לא הספקתי לעבור מקודם על כל התגובות כאן, משון מה זה נתקע לי, כנראה בגלל שהעבירו את נושא לפורום אקסקלוסיבי.
כעת אני רואה את כל השרשור
כבר לפני כמה שעות השלמתי את הפיתוח של סיסמא הנ"ל (שהתיישבתי עליו מיד אתמול לאחר החסימה הזמנית, רק שפשוט נרדמתי על ההגה..).
אני מחכה שאליהו יעבור על השינויים שעשיתי ויעדכן את הקבצים בשרת שלו..
למזלי הוא בהפסקת חשמל כבר כמה שעות..
מיד הבנתי שזה לטובתי, ס"ה כמה שיותר אבטחה הוא ודאי הכרחי, אין ספק

חוקר

@clickone אמר בישיבה על קברו, בלי סיסמא?:

@dovid אני מצליח לשים תז (אמנם אני בודק עם 42 וייתכן שהוא החריג את זה) ולקבל נתונים
(עריכה: התשובה הייתה כשחשבתי שאתה שואל אותי)

לא כ"כ הבנתי לא לפני העריכה ולא לאחר העריכה..
מה התכוונת לומר על 42, ומה העריכה

חוקר

@dovid אמר בישיבה על קברו, בלי סיסמא?:

זה בעיה אצל כמה משתמשים פה (ודוקא @חוקר פחות בקטע הזה), שהם חיים במירוץ מטורף עם פרויקטים חיים,

אם אני לא פחות במירוץ, אז מה יכול להיות יותר?
יש כאן מישהו שיש לו 48 שעות ביום?

clickone

@חוקר
התז שבדקתי איתה הייתה 42, שהיא חוקית.
והגבתי ל @dovid לפני שהוא ערך את ההודעה שלו (הייתי בטוח שהוא התכוון אלי)

לגבי הפיתרון של ה4 ספרות אחרונות, כעת אני חושב, שאם המאגר כבר דלף החוצה, והוא ירצה נתונים מעודכנים, אז אולי זה לא רעיון חכם.
מצד שני אתה צריך לקוות שהוא לא הולך לשחרר את המאגר החוצה ואז אולי זה יותר קל.

הסיפור של אבטחה של כזה דבר אכן מורכב, לאפשר פשטות ומצד שני ביטחון....

חוקר

@clickone אמר בישיבה על קברו, בלי סיסמא?:

@חוקר
לגבי הפיתרון של ה4 ספרות אחרונות, כעת אני חושב, שאם המאגר כבר דלף החוצה, והוא ירצה נתונים מעודכנים, אז אולי זה לא רעיון חכם.
מצד שני אתה צריך לקוות שהוא לא הולך לשחרר את המאגר החוצה ואז אולי זה יותר קל.

הסיפור של אבטחה של כזה דבר אכן מורכב, לאפשר פשטות ומצד שני ביטחון....

למזלי הוא לא הספיק למשוך הרבה (1/9)
אני יודע בדיוק מאיזה עד איזה מספר זהות הוא הספיק למשוך
על קצב איטי הוא לא משך, כי יש לי תיעוד עם מספור לפי כניסות של IP.
ומאידך כעת אין לי כל פיתרון לתת סיסמא ללא פרטים הקיימים במערכת, אין לי ברירה אחרת מלבד שימוש בנתון קיים. לא?
וכן מה שיש לו מספרי טלפון כבר יש לו. ואין מידע נוסף שניתן למשוך ממני..

חוקר

אגב.
מה שכן ראיתי, שהשרת שלי מסוגל לעבוד ב200 בקשות בשניה ברצף של כמה שעות טובות, ללא שום קושי (מקסימום 40/200 CPU, וכמעט ללא תוספת צריכת ראם)
הממוצע הרגיל לשניה אצלי ברוב שעות היום הינו בין 10-20

chagold

@חוקר הדיון כאן כאילו אתה בטוח שהוא לא באקסלוסיבי.