API נדרים פלוס, נחסם?
-
@ששא כתב בAPI נדרים פלוס, נחסם?:
ביקשתי להם API של מילוי טספים
למה אתה מתכוון API של מילוי טפסים
טופס קיים, או לטופס שלךיש לי שם טופס שמתממשק עם השרת שלי (בכל כניסה לטופס מתבצעת בקשה מנדרים אלי לקבל את המידע, ובאישור נדרים שולחים לי את הפרטים שהמשתמש כתב)
-
@Shmuel754 אסור להם לספק סליקה באמצעות API. זה החוק.
אצלינו אנחנו מאד מקפידים על זה, מהסיבה הפשוטה שיש הרבה מאד אנשים - לפעמים בחורים צעירים מאד - שמפתחים מערכות פשוטות ולא מאובטחות, ועלולים לגרום לנזק גדול לתורמים (במידה וידלוף מידע),
ולכן מחובתינו לדאוג שמי שעושה שימוש במערכות יעשה זאת בצורה חכמה, נכונה ובטוחה.יש פתרון מושלם עם האייפרם.
עומד בתקן PCI הכי מחמיר שיש,
עובד נהדר ובשימוש של כל החברות הגדולות,
אז מה רע? -
@למדן-וידען ברגע שכל התעבורה של הסליקת אשראי עוברת דרך השרת שלך,
כלל העסקאות צבועות עם הכתובת IP שלך,והיות ואתה בלי רישיון PCI, אין לנו אפשרות לוודא שהעסקאות אמיתיות ושלא מדובר בתקיפה (הרצת סדרות אשראי / הונאה), ולכן, ברגע שאנחנו מזהים פעילות חריגה (הרבה סירובים בזמן קצר מכתובת IP בודדת) אוטומטית אנחנו חוסמים את הכתובת הזו. אם זה קורה כמה פעמים בטווח זמן מסויים, המוסד כולו נחסם.
אם היה לך רישיון PCI, היינו יכולים להיות רגועים שיש בצד שלך מערכות הגנה, ומלבינים את הכתובת IP שלך...
-
@Nedarim אכן זה הגיוני ומובן לפי מה שאתה כותב לגבי סליקה ופרטי לקוחות (וטוב שיש מישהו במגזר שחשוב לו הבטיחות של האנשים..), אבל אני בזמנו דיברתי על API לממשק הניהול לשליטה על המסופים שרשומים במוסד (חסימה/מודעות וכו'), ועל עוד משהו שאינני זוכר בדיוק אבל בפירוש לא התקשר בשום דרך שהיא לתרומות או פרטי התורמים, ועדיין הודיעו לי שהגישה שלנו תחסם לצמיתות, ובטלפון היו קצת (הרבה) יותר קשוחים
בזמנו, לא התעקשתי, זה ערב פורים ויש דברים יותר חשובים מזה, אבל זה היה די מעצבן, בפרט שכתבו לי משפט כמו "תגיד מה אתה צריך וניתן לך פיתרון רשמי" ואחרי שהצגתי את הצרכים המענה הוא שאין לנו דבר כזה (כשיש, בממשק..) ואוי ואבוי אם תנסו...
-
@Nedarim כתב בAPI נדרים פלוס, נחסם?:
המקרה זכור לי.
מי שביצע נסיונות גרם ליותר מאלף התראות במערכת בתוך שעות בודדות. זה פשוט היה סיוט.
במחלקת פיתוח מחוייבים לעבור על כל התראה כזו ולוודא שזה מישהו תמים ולא מישהו שמנסה לחפש חולשות במערכת.אני חושב שיש כאן ערבוב את הנסיונות הנ"ל כמדומני שאני בצעתי ללא קשר ל@אביי בכלל
[האם אתה מתכוון לשגיאת JS] -
@Nedarim כתב בAPI נדרים פלוס, נחסם?:
המקרה זכור לי.
מי שביצע נסיונות גרם ליותר מאלף התראות במערכת בתוך שעות בודדות. זה פשוט היה סיוט.
במחלקת פיתוח מחוייבים לעבור על כל התראה כזו ולוודא שזה מישהו תמים ולא מישהו שמנסה לחפש חולשות במערכת.גם לי היה מקרה דומה, וניסנו לדבר איתכם, אבל היה איום של ״תפסיקו או נחסום״, כמו כן פוסטים כאן נמחקו בנושא על פי בקשתכם.
מעולה שהאבטחה מצפצפת על כל דבר , ושבודקים את זה היטב כמו שצריך,
חבל שאין דרך להשבית את האבטחה על ידי שליחת פרמטר מסויים או ip וכד׳ כדי לעזור לאנשים שכן יודעים מה הם עושים, ועובדים בתיאום מולכם. -
@Nedarim סליחה לא התכוונתי, חבל שלא אמרתם את זה אז
אני לא יכול לזכור במדוייק, אבל לא נראה לי שביצעתי בסך הכולל יותר מ50 קריאות לשרת (שחלקן תקינות לחלוטין, דימיתי דפדפן)... בדקתי כעת את הקוד עצמו, ולפי מה שנראה ביצעתי 3 כניסות מ3 מחשבים שונים, נכנסתי לנטוורקס וביצעתי 2 פעמים מכל מחשב את הבקשה שרציתי, העתקתי את התוכן והשוותי אצלי, והכנסתי את זה לקוד, והרצתי, זה נפל כמה פעמים בגלל שגיאות, ואז הרצתי חסימה למסוף X ולמסוף Y, ובום! מייל חדש לא התכוונתי לעשות כ"כ מלא התראות...
עכ"פ זה דבר שAPI רשמי (עם מפתח/ות ייעודי) יפתור בקלות, ואני לא מדבר על להוסיף פונקציות, אלא על פונקציות קיימות במקטע של ניהול המסוף, לאפשר אליהם גישה באמצעות API, המערכת שלכם נמצאת היום בכל כך הרבה מקומות ודברים בציבור ב"ה שאני חושב שזה דבר די אלמנטרי, די טבעי שלאנשים שונים יהיו כל מיני צרכים ועניינים.
(כמה חודשים לפני זה פנה אלי גבאי שרצה לשחרר ולחסום את העמדה שלו דרך הטלפון, ובזמנו אמרתי לו שאין לי כח, כי אין API מצד נדרים, או לדוגמה מילוי טופס בנדרים באמצעות טלפון בAPI במקום לתחזק 2 מערכות שונות ולאחד את הנתונים שבאים משניהם)
תוספת: רגע לפני ששלחתי את ההודעה, ראיתי שהיה עוד משהו שעשיתי, ייבאתי את רשימת המתרימים במאצ'+ וכתבתי פונקציה שמעדכנת את הסכומים שהותרמו והיעדים, והיה זמן שזה רץ אוטומטית במענה לאירוע מסויים שקרה די הרבה, אולי זה יצר את כל ההתראות (זה גם רץ כל פעם מכתובת ip שונה, בלי כוונה, כחלק ממשהו רחב יותר), עכ"פ סו"מ.
-
@Nedarim מנסיוני, הדרך הטובה ביותר למנוע ממפתחים לעשות קומבינות זה לתת להם דרך נורמטיבית כל שהיא.
אם יהיה API (אפילו בהגבלות כל שהם ו/או בתשלום), וכפי שאמרו לא בהכרח לסליקה אלא אפילו סתם לחייב הו"ק וכדומה, זה גם יעזור מאוד למפתחים רבים וגם יוריד מהוריד שלכם את כל המתחכמים.
ברור שלהחזיק API זה עוד בלגן ותחזוקה, אבל נראה לי שהעדר של זה יכול להוליד הרבה כאבי ראש. -
בגדול יש API מלא ל-99% מהצרכים של כולם.
הבעיה שזה לא מונגש למפתחים בצורה מסודרת עם תיעוד מלא.מכמה סיבות:
- אנחנו לא נושמים, כפשוטו.
- ברגע שיהיה API רשמי, אוטומטית יהיה לנו ריבוי פניות של מפתחים לסיוע. לפעמים זה פשוט לא נגמר - במיוחד עם מפתחים מתלמדים או כאלו שכלל לא עברו הכשרה בסיסית)
נשתדל להשלים את החסר בחודשים הקרובים לרווחת כולם.