API נדרים פלוס, נחסם?
-
@למדן-וידען ברגע שכל התעבורה של הסליקת אשראי עוברת דרך השרת שלך,
כלל העסקאות צבועות עם הכתובת IP שלך,והיות ואתה בלי רישיון PCI, אין לנו אפשרות לוודא שהעסקאות אמיתיות ושלא מדובר בתקיפה (הרצת סדרות אשראי / הונאה), ולכן, ברגע שאנחנו מזהים פעילות חריגה (הרבה סירובים בזמן קצר מכתובת IP בודדת) אוטומטית אנחנו חוסמים את הכתובת הזו. אם זה קורה כמה פעמים בטווח זמן מסויים, המוסד כולו נחסם.
אם היה לך רישיון PCI, היינו יכולים להיות רגועים שיש בצד שלך מערכות הגנה, ומלבינים את הכתובת IP שלך...
-
@Nedarim אכן זה הגיוני ומובן לפי מה שאתה כותב לגבי סליקה ופרטי לקוחות (וטוב שיש מישהו במגזר שחשוב לו הבטיחות של האנשים..), אבל אני בזמנו דיברתי על API לממשק הניהול לשליטה על המסופים שרשומים במוסד (חסימה/מודעות וכו'), ועל עוד משהו שאינני זוכר בדיוק אבל בפירוש לא התקשר בשום דרך שהיא לתרומות או פרטי התורמים, ועדיין הודיעו לי שהגישה שלנו תחסם לצמיתות, ובטלפון היו קצת (הרבה) יותר קשוחים
בזמנו, לא התעקשתי, זה ערב פורים ויש דברים יותר חשובים מזה, אבל זה היה די מעצבן, בפרט שכתבו לי משפט כמו "תגיד מה אתה צריך וניתן לך פיתרון רשמי" ואחרי שהצגתי את הצרכים המענה הוא שאין לנו דבר כזה (כשיש, בממשק..) ואוי ואבוי אם תנסו...
-
@Nedarim כתב בAPI נדרים פלוס, נחסם?:
המקרה זכור לי.
מי שביצע נסיונות גרם ליותר מאלף התראות במערכת בתוך שעות בודדות. זה פשוט היה סיוט.
במחלקת פיתוח מחוייבים לעבור על כל התראה כזו ולוודא שזה מישהו תמים ולא מישהו שמנסה לחפש חולשות במערכת.אני חושב שיש כאן ערבוב את הנסיונות הנ"ל כמדומני שאני בצעתי ללא קשר ל@אביי בכלל
[האם אתה מתכוון לשגיאת JS] -
@Nedarim כתב בAPI נדרים פלוס, נחסם?:
המקרה זכור לי.
מי שביצע נסיונות גרם ליותר מאלף התראות במערכת בתוך שעות בודדות. זה פשוט היה סיוט.
במחלקת פיתוח מחוייבים לעבור על כל התראה כזו ולוודא שזה מישהו תמים ולא מישהו שמנסה לחפש חולשות במערכת.גם לי היה מקרה דומה, וניסנו לדבר איתכם, אבל היה איום של ״תפסיקו או נחסום״, כמו כן פוסטים כאן נמחקו בנושא על פי בקשתכם.
מעולה שהאבטחה מצפצפת על כל דבר , ושבודקים את זה היטב כמו שצריך,
חבל שאין דרך להשבית את האבטחה על ידי שליחת פרמטר מסויים או ip וכד׳ כדי לעזור לאנשים שכן יודעים מה הם עושים, ועובדים בתיאום מולכם. -
@Nedarim סליחה לא התכוונתי, חבל שלא אמרתם את זה אז
אני לא יכול לזכור במדוייק, אבל לא נראה לי שביצעתי בסך הכולל יותר מ50 קריאות לשרת (שחלקן תקינות לחלוטין, דימיתי דפדפן)... בדקתי כעת את הקוד עצמו, ולפי מה שנראה ביצעתי 3 כניסות מ3 מחשבים שונים, נכנסתי לנטוורקס וביצעתי 2 פעמים מכל מחשב את הבקשה שרציתי, העתקתי את התוכן והשוותי אצלי, והכנסתי את זה לקוד, והרצתי, זה נפל כמה פעמים בגלל שגיאות, ואז הרצתי חסימה למסוף X ולמסוף Y, ובום! מייל חדש לא התכוונתי לעשות כ"כ מלא התראות...
עכ"פ זה דבר שAPI רשמי (עם מפתח/ות ייעודי) יפתור בקלות, ואני לא מדבר על להוסיף פונקציות, אלא על פונקציות קיימות במקטע של ניהול המסוף, לאפשר אליהם גישה באמצעות API, המערכת שלכם נמצאת היום בכל כך הרבה מקומות ודברים בציבור ב"ה שאני חושב שזה דבר די אלמנטרי, די טבעי שלאנשים שונים יהיו כל מיני צרכים ועניינים.
(כמה חודשים לפני זה פנה אלי גבאי שרצה לשחרר ולחסום את העמדה שלו דרך הטלפון, ובזמנו אמרתי לו שאין לי כח, כי אין API מצד נדרים, או לדוגמה מילוי טופס בנדרים באמצעות טלפון בAPI במקום לתחזק 2 מערכות שונות ולאחד את הנתונים שבאים משניהם)
תוספת: רגע לפני ששלחתי את ההודעה, ראיתי שהיה עוד משהו שעשיתי, ייבאתי את רשימת המתרימים במאצ'+ וכתבתי פונקציה שמעדכנת את הסכומים שהותרמו והיעדים, והיה זמן שזה רץ אוטומטית במענה לאירוע מסויים שקרה די הרבה, אולי זה יצר את כל ההתראות (זה גם רץ כל פעם מכתובת ip שונה, בלי כוונה, כחלק ממשהו רחב יותר), עכ"פ סו"מ.
-
@Nedarim מנסיוני, הדרך הטובה ביותר למנוע ממפתחים לעשות קומבינות זה לתת להם דרך נורמטיבית כל שהיא.
אם יהיה API (אפילו בהגבלות כל שהם ו/או בתשלום), וכפי שאמרו לא בהכרח לסליקה אלא אפילו סתם לחייב הו"ק וכדומה, זה גם יעזור מאוד למפתחים רבים וגם יוריד מהוריד שלכם את כל המתחכמים.
ברור שלהחזיק API זה עוד בלגן ותחזוקה, אבל נראה לי שהעדר של זה יכול להוליד הרבה כאבי ראש. -
בגדול יש API מלא ל-99% מהצרכים של כולם.
הבעיה שזה לא מונגש למפתחים בצורה מסודרת עם תיעוד מלא.מכמה סיבות:
- אנחנו לא נושמים, כפשוטו.
- ברגע שיהיה API רשמי, אוטומטית יהיה לנו ריבוי פניות של מפתחים לסיוע. לפעמים זה פשוט לא נגמר - במיוחד עם מפתחים מתלמדים או כאלו שכלל לא עברו הכשרה בסיסית)
נשתדל להשלים את החסר בחודשים הקרובים לרווחת כולם.
-
@צבי-ש כתב בAPI נדרים פלוס, נחסם?:
@Nedarim יש חדש?
מעדכן שעלה תיעוד מסודר, כאן:
https://matara.pro/nedarimplus/ApiDocumentation.html -
התיעוד שגוי,
כל אופציות הגישה לAPI זה לכתובת זהה
https://matara.pro/nedarimplus/Reports/Manage3.aspx -
@אביי כתב בAPI נדרים פלוס, נחסם?:
@צבי-ש כתב בAPI נדרים פלוס, נחסם?:
@Nedarim יש חדש?
מעדכן שעלה תיעוד מסודר, כאן:
https://matara.pro/nedarimplus/ApiDocumentation.htmlזה תיעוד של API רק של ממשק הניהול.
אין שם API לסליקה,
הם לא נותנים אפשרות סליקה ב API כמו כולם, רק באייפרם. -
@איש-ימיני כתב בAPI נדרים פלוס, נחסם?:
@אביי כתב בAPI נדרים פלוס, נחסם?:
@צבי-ש כתב בAPI נדרים פלוס, נחסם?:
@Nedarim יש חדש?
מעדכן שעלה תיעוד מסודר, כאן:
https://matara.pro/nedarimplus/ApiDocumentation.htmlזה תיעוד של API רק של ממשק הניהול.
אין שם API לסליקה,
הם לא נותנים אפשרות סליקה ב API כמו כולם, רק באייפרם.לא מכיר חברת אשראי שנותנת סליקה לא באמצעות ifream (עריכה, יש כאלה, בהמשך הפוסטים)
אני לא בטוח שמותר להם חוקית בכלל