צ
@ששא כתב בAPI לקבלת רשימת הבנקים בישראל וקבלת סניפי בנק מסויים:
@dovid כתב בAPI לקבלת רשימת הבנקים בישראל וקבלת סניפי בנק מסויים:
https://www.boi.org.il/roles/statistics/banking/banks-and-branches/banks-and-branches/
את זה ראיתי, אבל הוא מוריד אקסל, הייתי יותר שמח בjson וכדומה
יש שם בXML.
וזה נתונים סטטיים, כלומר לא משתנים, תאחסן את זה אצלך.
@n123456 כתב באבטחת חשבונות:
קראתי שוב ועדיין לא הבנתי. כנראה חסר לי הבנה בנושא.
אולי לא הסברתי טוב מה קשה לי אחרי ההסבר של יוסי- על עוצמת ההגנה. נגיד מישהו פרץ למחשב ויודע את המשתמש והסיסמא והשתלט על הטלפון לקבל את הSMS. איך האימות הזה יגן על מקרה כזה, הרי הפורץ יכול לסרוק את הקוד בעצמו עם התוסף דפדפן.לפני שיוסי כתב מה שכתב כאן, הייתי בטוח שזה קוד שנשלח לאפקליקציה של המספר פאלפון שהנה יותר איכותית מSMS
הברקוד הוא סודי, ומוצג לך ביצירת החשבון,
האפליקציה מייצרת לך על פי אלגוריתם שלוקח את הזמן הנוכחי, + הברקוד קוד מספרי שאותו אתה מכניס לאתר,וככה האתר יודע שזה אתה שמנסה , כי ביצירת החשבון אתה קיבלת את הברקוד, ולא סתם גונב סיסמאות.
אם הפורץ השתלט על הפלאפון, הוא באמת יוכל לקחת גם את האפלקיציה, אבל במקרה כזה כל אימות דו שלבי לא יועיל..
זה עדיף מאשר SMS כי SMS אפשר ליירט גם בלי לקחת פיזית את המכשיר.
@n123456 כתב באבטחת חשבונות:
סליחה על הבורות אבל לגבי מנהל סיסמאות תמיד חשבתי שזה לא בטיחותי,למה לי שהסיסמאות יהיו שמורות איפה שהוא.
חשבתי תמיד שעדיף לשמור אותם בראש אם אפשר או בדרכים אחרות לא במחשבאם אפשר הסבר על זה, נשמח
תודה רבה לכולם על המידע
בעיקרון אתה צודק, עדיף שהכל יהיה לך בראש מאשר בקובץ
אבל זה ממש קשה לזכור לכל אתר את הסיסמה שלו אם אתה משתמש ביותר מ2 אתרים, והסיסמאות שלך מורכבות מכ 8 -15 תווים אותיות גדולות + קטנות+ מספרים +תו מיוחד - באופן אקראי ולא ITSmy100%
ולכן יש דבר שנקרא מנהל סיסמאות, הוא בעצם מציע לך סיסמאות באורך כזה רק מעורבל, וכזה שקשה לזכור בעל פה או לפרוץ אותו עם כח גס (לנסות את כל הסיסמאות עד שיצליחו), ומציע לך אותו אוטומטית בגישה לאתר ההוא בדף הLOGIN.
@yossiz כתב באבטחת חשבונות:
אני מקווה שאתה טועה. אתרים אלו אמורים להיות בפח הזבל של ההיסטוריה
שניכם צודקים, הוא שזה קיים, ואתה שהם צריכות להיות בפח הזבל של ההיסטוריה..
וזה למה אני מעדיף בכל אתר שיש התחברות עם חשבון גוגל, לעשות ככה, גם כי זה מהיר ויעיל יותר, וגם כי אף אחד לא שומר את הסיסמאות לא מוצפנות או עם MD5
היות ומדובר באבטחה, עדיף בלי קשר להוסיף "מלח" לכל סיסמה ואת המלח לא לשמור בשום מקום, אלא רק בראש, ואסביר.
גם המנהל סיסמאות של הדפדפן שניתן לגשת יחסית בקלות לסיסמאות השמורות שלו, וגם מנהלי סיסמאות שאם ח"ו ייפרצו, בשניהם אם אתה תוסיף אחרי התווים הרנדומלים שהוא מייצר אתה תוסיף את הספרות 12 (כדוגמא) ואותם לא תשמור בשום מנהל סיסמאות, אלא תדע שזה הסיסמה המובנית של המנהל + 12,
ככה בכל מצב שיפרצו לך, בין אם זה למנהל סיסמאות בדפדפן, בין להוא בתשלום שבנוי נורמלי, את הסיסמה שלך לא יהיה להם לשום אתר, גם אם הם יראו את הPLANTEXT עצמו, כי הוא לא שלם, אלא חסר בו 12
@ששא כתב במסד נתונים קיים ולא קיים בmysql:
@dovid כתב במסד נתונים קיים ולא קיים בmysql:
למה אתה לא מחזיר את המצב לקדמותו
איך אפשר?
@ששא כתב במסד נתונים קיים ולא קיים בmysql:
אז הלכתי למקור... עצרתי את mysql, הלכתי לתיקייה /var/lib/mysql/ ושם שיניתי את שם שני המסדים שרציתי להחליף לשמות החדשים והפעלתי מחדש
@mekev כתב בחיפוש שירות: קבלת מייל יומי מסוכם עם היתרות עו"ש בבנקים:
@יהודי-טוב כתב בחיפוש שירות: קבלת מייל יומי מסוכם עם היתרות עו"ש בבנקים:
בכל כניסה זה דורש אימות או רק בפעם הראשונה?
בכל כניסה מתקבל קוקיז התקף ל 8 שעות
ויש שם אימות שאינך רובוט או אימות דו שלבי? או שאפשר להכניס לקוד שם משתמש וסיסמה ולהתחבר עם זה ולקבל את הקוקיז?
רק מעדכן למקרה שעוד מישהו יחליט משום מה לצפות בקורס הזה מימות הקורונה.
קורס נחמד, מלמד על יסודות ההתקפה בצד הלקוח, או על חלק מהיסודות, ואיך ניתן להתגונן מהם,
ללמד את התחום? זה לא מלמד, אבל טוב בתור לפתוח את התיאבון לכל העולם של אבטחה, ושל פיתוח ווב באופן קצת יותר מאובטח, וכמובן צד שרת כדי שלא יזריקו לך sql, או js script ותשלח את זה הלאה למשתמש (xss)
למי שיש קצת חוש טכני, לחלוטין לא שווה את הכמה גיגות הורדה וזמן להתקנה של האתר שהובא כאן למעלה, זה סתם שורף זמן יקר. ובמקסימום להתקין מהגיטאב ש yossiz שלח פה למעלה, בענף 38, את הקוד פייתון לשרת http, ופשוט להריץ אותו (צריך להריץ גם db, אולי אפשר sqlite, לא בדקתי) במקום את הvm.
למי שאין וסתם יסתבך עם ההבנה של החומר מבלי לתרגל ממש באותו אתר שמלמדים בקורס, אולי שווה את ההתקנה המוזרה הזאת.
@yossiz כתב בבעיה בגישה לדומיין מקומי במכונה וירטואלית על MacBook M2:
@צבי-ש יש לי חדשות טובות בשבילך
אתה יכול להיפטר מהמכונה השמנה
באמת לא מובן מה חשבו. למה צריך פיירפוקס, ליברהאופיס, וכו' כדי להריץ אתרהיה קל מאוד להגיע לדסקטופ
צריך פשוט לתפוס אותו לפני שהוא ננעל
זה מוגדר לנעול אחרי שניה אחת של חוסר פעילות
אבל אפשר לפתוח טרמינל
אחרי שהיה לי טרמינל דיפדפתי בהיסטוריה בהיסטוריה (כן, יש שם הרבה דברים משעשעים) וראיתי את הפקודה של
gsettingsשמגדיר את ה-idle timeout לנעילה, ופשוט הרצתי במקום זהgsettings reset ...כדי לחזור לברירת המחדל
משם היה קל מאוד להגיע לסיסמת המשתמש (cecadmin2020) לקבלsudo(אין שום צורך)
בדקתי את היסטורית הדפדפן והגעתי לריפו זה
https://github.com/DaniRubin/pizzaCyber
שם יש כל מה שצריך להריץ את האתר...אאל"ט תוכל להריץ לוקלית על מק בלי להסתבך עם מכונה וירטואלית ענקית
אני קצת עצוב שלא בדקתי בעצמי את זה... אני אמור לאהוב את הסגנון הזה ואת הבדיקה בקבצים וכולי, אולי כי זה רץ איטי במחשב שלי ונתקע כל הזמן העדפתי לוותר, בכל מקרה תודה רבה, אעבור על הריפו הזה ואבדוק באמת.
עבר קצת זמן (עוד לא שלחתי את הפוסט הזה), עברתי קצת על הריפו הוא כתוב בשפה שאני לא מכיר
, פייתון 2+ או משהו כזה, עם ענף כן מעודכן יותר ל3.8 לכאורה, בכל מקרה אם ארצה להריץ רק את זה אצטרך להריץ הנפרד db כלשהוא (לא בדקתי באיזה סוג db עדיין) וזה כבר להתחיל להיכנס לקודים, וכל באג שיהיה לי אני אצטרך ״להפיל״ את זה עליי ולא עליהם, אז אסתכל אולי אחרי הקורס, נטו לידע ולראות כמה הרסו....
@yossiz כתב בבעיה בגישה לדומיין מקומי במכונה וירטואלית על MacBook M2:
@צבי-ש
זה עבד לי:qemu-system-x86_64 \ -hda "ubuntuvm-disk001.qcow2" \ -m 2048 \ -smp 4 \ -device e1000,netdev=net0 \ -netdev user,id=net0,hostfwd=tcp::8080-:80 \ -vga std \ -usb -device usb-tablet \ -cpu max \ -rtc base=utcואז אפשר להיכנס ב-localhost:8080
שים לב שזה חושף רק פורט 8080 מהאורח, וייתכן שמתישהו בקורס תצטרך לגשת לעוד פורטים
תודה רבה רבה, זה אכן עבד לי, יישר כח.
תוכל להרחיב קצת בהסבר מה בעצם שינת?
וכן אם אני רוצה בכל זאת להשתמש בדומיין http://pizzaluigi/ , אני אצטרך לעשות את זה ברמת הdns אצלי במחשב?
אני רוצה לעבור על הקורס הזה
https://courses.campus.gov.il/courses/course-v1:CS+GOV_CS_WebSec+1_2020/course/
יש שם חלק שמדבר על התקנה של מערכת וירטואלית של ubuntu (אני חושב) רזה שהם הכינו לבד שבעצם מדמה אתר להזמנת מגשי פיצה, שעליו לומדים במהלך הקורס את ה״התקפות״ וכיצד להגן עליהם וכולי.
כאן יש את ההוראות איך להתקין את האתר פיצה
יש לי מחשב macbook עם מעבד m2, והורדתי את התוכנה שהם מציעים שם virtualBox, ולא הצלחתי להפעיל את הקובץ שלהם, זה עושה לי שגיאה כזאת
זה אחרי שאני טוען את הקובץ שלהם
זה השגיאה כשאני מנסה להפעיל
באמצעות gpt התקנתי תוכנה על המחשב בשם qemu שזה בעצם גם מערכת וירטואלית,
ואז באמצעות
qemu-img convert -f vdi -O qcow2 ./ubuntuvm-disk001.vdi ./ubuntuvm-disk001.qcow2
המרתי את הקובץ שלהם, לקובץ QCOW2, ועכשיו אני יכול להריץ אותו עם
qqemu-system-x86_64 \
-hda "/Users/zvi/Downloads/PizzaLuigi 2/ubuntuvm-disk001.qcow2" \
-m 2048 \
-smp 4 \
-net nic \
-netdev user,id=n1 \
-device e1000,netdev=n1 \
-vga std \
-usb -device usb-tablet \
-cpu max \
-rtc base=utc
וככה המכונה נראית כשהיא רצה
הבעיה שבהדרכה של הקורס הם כותבים שאם אגש לוקאלית מהמחשב שלי (לא מהמכונה[היא נעולה עם סיסמה שאין לי מושג מה היא]) אל הכתובת http://pizzaluigi אני אגיע לאתר דמו שעליו הקורס מתבסס, הבעיה שזה לא קורה, כלומר המכונה רצה, אבל אני לא מצליח לראות את האתר המדובר במחשב,
אציין, כי בחלק מהשלבים שהמכונה עולה, אפשרי להיכנס לחשבון לינוקס (אולי לוקח לה זמן להינעל בחוץ , לא ברור לי) ואז כן יש גישה לטרמינל שם, רק בלי העתקה והדבקה, ויש שם התראה איפשהוא ענקית במרכז המסך להכניס סיסמה, קיצור, לא שימוש נורמלי עם המכונה כשהיא פתוחה.
מה שכן שמתי לב שהשם משתמש שלה הוא pizzaluigi , ניסתי להתחבר עם ssh למשתמש@לוקלהוסט ולא הצלחתי.
אשמח לעזרה:
תראה כאן
https://mitmachim.top/post/884205
וכאן
חוקי הפורום סעיף 15
@רובוט כתב בAPI זיהוי מתקשרים:
@Elhanan
שני הרפוזטורים כבר לא קיימים
יש קישור חדש או משהו אחר ?
המקורי קיבל מייל מ me עם דרישה להסיר את זה,
אולי תוכל למצוא ברשת גירסאות קודמות להורדה כzip וככה תתקין
@ek0583232948 כתב במערכת IVR מומלצת, לצורך בוט טלפוני:
@צדיק-תמים
עיקרון של לקוח
מבחינתי אם זה היה וויט לייבל של מישהו שלוקח מימות , זה גם טוב, העיקר שבחשבונית לא יהיה כתוב ימות (לא מבחינת לעבוד על לקוח אלא שהוא לא רוצה להיות לקוח של ימות )
cs@mgmivr.com
ריסיילר בימות המשיח.
המידע לא זולג דרך פרצות, הוא יוצא בפתחים יותר ראשיים... במצב התרבותי של המדינה המידע האישי די זמין בלי שום פרצות.
למה כ"כ מתנגדים למאגר ביומטרי? כי הם יודעים איך זה "שגרת העבודה" במדינת ישראל.
אבל כרגע, לא דלף המידע, ויש כמה מתכנתים שמשתמשים איתו, וכל עוד זה פתוח, מחר יכולים פורצים להשתמש איתו,
אז אני לא עושה צייד נגד ה״טובים״ אלא נגד הרעים.
זאת אומרת שעכשיו יש לאנשים רשימה של כל מי שבאופן אקטיבי הפריע לו הצינתוקים - ושאפשר להתקשר לעניין אותו בהצעת למינהם?
@WWW כתב בAPI נדרים פלוס, נחסם?:
@צבי-ש כתב בAPI נדרים פלוס, נחסם?:
לא מכיר חברת אשראי שנותנת סליקה לא באמצעות ifream (עריכה, יש כאלה, בהמשך הפוסטים)
מעניין...
הספק של נדרים פלוס (פלאקרד) נותן חופשי.
האחריות היא עליך.
מבחינה חוקית אני לא יודע אם יש בעיה, אם אתה לא מאחסן פרטי אשראי רק מחייב עם טוקן.
בכל מקרה גם אם יש בעיה חוקית, זה רק אם קורה ויש זליגת מידע, אז האחריות עליך (ואם יש לך PCI אתה מוגן מתביעה), כל זמן שאין מקרה של זליגת מידע אין שום בעיה.בכלל לא כ"כ מובן מה קורה במכשירים של נדרים פלוס וכדו' עצמם, אין תקן PCI על המכשיר.
א, לכן ערכתי את הפוסט המקורי,
ב היה פה נידון לא מזמן, עם האקסס ואימות ריקאפצה שהם עושים, ואז בדקתי את הנושא, ויצא לי באמת שמותר לקחת, רק אסור לאחסן וכולי, ואז אמרתי לעצמי שבטח לכן ימות המשיח לוקחים מספרי אשראי
אבל מכייון שלא הייתי בטוח שזכרתי טוב כתבתי את מה שכתבתי.
אני עדיין לא בטוח שמותר לנדרים לתת api כזה חוקית, אולי רק לחברה שמעליהם, כי הם בהכרח מעבירים הלאה את המידע, ואני לא יכול להיות בטוח שהוא לא נשמר בדרך
@איש-נחמד כתב בAPI נדרים פלוס, נחסם?:
@צבי-ש כתב בAPI נדרים פלוס, נחסם?:
@איש-ימיני כתב בAPI נדרים פלוס, נחסם?:
@אביי כתב בAPI נדרים פלוס, נחסם?:
@צבי-ש כתב בAPI נדרים פלוס, נחסם?:
@Nedarim יש חדש?
מעדכן שעלה תיעוד מסודר, כאן:
https://matara.pro/nedarimplus/ApiDocumentation.htmlזה תיעוד של API רק של ממשק הניהול.
אין שם API לסליקה,
הם לא נותנים אפשרות סליקה ב API כמו כולם, רק באייפרם.לא מכיר חברת אשראי שנותנת סליקה. לא באמצעות ifream
אני לא בטוח שמותר להם חוקית בכללאיך ימות המשיח מאפשרים את זה מול רוב חברות הסליקה?
אולי יש להם אישור pci לסליקה, אולי לא,
אולי הם ״ממלאים טופס של נדרים פלוס״ בכל סליקה? מי אמר שהביאו להם api לזה?
@איש-ימיני כתב בAPI נדרים פלוס, נחסם?:
@אביי כתב בAPI נדרים פלוס, נחסם?:
@צבי-ש כתב בAPI נדרים פלוס, נחסם?:
@Nedarim יש חדש?
מעדכן שעלה תיעוד מסודר, כאן:
https://matara.pro/nedarimplus/ApiDocumentation.htmlזה תיעוד של API רק של ממשק הניהול.
אין שם API לסליקה,
הם לא נותנים אפשרות סליקה ב API כמו כולם, רק באייפרם.
לא מכיר חברת אשראי שנותנת סליקה לא באמצעות ifream (עריכה, יש כאלה, בהמשך הפוסטים)
אני לא בטוח שמותר להם חוקית בכלל
@ששא כתב בשרת איטי ללא ניצול משאבים כלל:
יש לי שרת בהצנר, השרת די איטי, גם בזמן התגובה ב VScode - בשמירת שינויים והצגת שגיאות (הוא מציג לי שיש שגיאה בקוד הרבה אחרי שתיקנתי אותה), וגם בדפדפן - האתר מיד מגיב אבל לא עולה למעשה רק אחרי כמה וכמה שניות
הנה מדד המשאבים שלו בזמן אמת
אלו התוספים המותקנים ב VScode
יצויין שבהתחברות לשרתים אחרים החיבור כן מהיר כך שהבעיה היא לא בחיבור האינטרנט שלי
נ.ב. זה עם מעבד שיתופי
תודה רבה לעוזרים והמסייעים
כמה זיכרון בדיסק נשאר לו?
@WeRedEvils כתב בשאלה / מערכת הודעות התגוננות מטעם פיקוד העורף בטכנולוגית CB:
כידוע פיקוד העורף התחיל להשתמש לאחרונה במערכת מסר אישי,
מערכת ז פועלת בטכנולוגיית Cell Broadcast
בעת הפעלת טכנולוגית "Cell Broadcast", כל מחזיקי הטלפונים הניידים באזור המאוים, יקבלו התרעה באמצעות הודעת טקסט שתשלח ישירות למכשיר הנייד כשהיא מלווה בצליל התרעה.
מה שקרה הוא, שבליל המתקפה האיראנית האחרונה קיבלתי מסר אישי
למכשיר הנוקיה 225 שברשותי, יצוין שלמכשיר אין סים כלל ובגדול הוא לא תומך ב CB.
ואילו למכשיר השני שברשותי (Nokia 800 Tough) לא קיבלתי התרעה כלל, המכשיר תומך בטכנולוגיה זו. והוא עם סים ולא קיבל התרעה, מישהו יודע מה הסיבה והאם עם חיבור לאינטרנט זה כן יעבוד? @A-I-V
עד כמה שהבנתי זה לא קשור לסים, אלא לתקשורת מול האנטנות, (יכול להיות גם פלאפון בלי סים שמחובר לצורך שיחות חירום וכו)
אני אישית לא קיבלתי את ההתראות, גם כשחברים לידי קיבלו,
לכך השיב סא"ל זמיר כי יכולים להיות מקרים שבהם מכשירים לא יקבלו את ההתראות, בין אם בגלל קליטה סלולרית או מגבלות של רשת הסלולר. "זו בדיוק הסיבה שהגישה שלנו היא להשתמש במגוון רחב של פלטפורמות, ולכן לא הפצנו את ההתראות רק ב-Cell Broadcast
עוד מהכתבה
בנוסף, הוא חשף כי מעל ל-30 אלף תאי סלולר קיבלו את ההתרעות, אך לא ציין את מספר המכשירים שקיבלו את ההודעות.
