דרך פורט 22 מה עושים צריך להילחץ?
E
eido
@eido
-
burte force על השרת שלי -
דפדפן מראה שהשרת לא מאובטח למרות שיש תעודה בתוקףאף אחד
? -
בירור על מערכת סליקת אשראי מתאימה לאתר עם מודל מנוייםמוזר, לי אמרו אחרת
-
דפדפן מראה שהשרת לא מאובטח למרות שיש תעודה בתוקףטוב, אז מתברר שימות המשיח כן שולח בקשות לשרת שלי, אבל השרת שלי לא שולח לעצמו... אפליקצית הnodejs נכשלת בfatch...
-
בירור על מערכת סליקת אשראי מתאימה לאתר עם מודל מנוייםנדרים פלוס עובדים רק עם גמא, הם לא עובדים עם יופיי. קשר כן, והם גם יותר זולים. לדעתי אם כבר, אז קשר עם טרנזילה.
-
דפדפן מראה שהשרת לא מאובטח למרות שיש תעודה בתוקףעכשיו בכלל... מראה שתקין אבל כותב שלא מאובטח באדום...
-
דפדפן מראה שהשרת לא מאובטח למרות שיש תעודה בתוקף@אביי מה שמענין זה שמבחינת zerossl בעצמם התעודה עוד לא הותקנה
-
דפדפן מראה שהשרת לא מאובטח למרות שיש תעודה בתוקףהשרת מבוסס alma מה שמנהל אותו זה סייבר פאנל עם לייט ספיד או משהו כזה.
בד"כ הוא מחדש אותו לבד אבל הגירסה האחרונה של הסייבר פאנל עושה קצת בעיות, אז נרשמתי לzeroSSL והוצאתי משם תעודה חדשה והוספתי דרך הממשק של סייבר פאנל.
-
דפדפן מראה שהשרת לא מאובטח למרות שיש תעודה בתוקףיש לי שרת שמכיל קבצי PHP וNODEJS שרץ על פורט 3000, הכל היה טוב עד שהתעודה פגה תוקף, חידשתי אותה עכשיו, ובכל זאת אם נכנסים לקבצי php הוא אומר שהאתר לא מאובטח, וכן אם פונים לnodejs בפורט 3000 הוא כותב שלא מאובטח. לפחות הוא לא מעלה כבר את ההודעה של מסוכן וחזרה לחוף מבטחים.
מה שיותר בעיה שא"א להתחבר משירותים שמממשים https כמו השרת של ימות המשיח... וזה מוזר כיעד עכשיו זה עבד, הכל הלך טוב.
מישהו יודע מה לעשות?
-
בירור על מערכת סליקת אשראי מתאימה לאתר עם מודל מנויים@יצירה כתב בבירור על מערכת סליקת אשראי מתאימה לאתר עם מודל מנויים:
אתה יכול להשתמש בsumit שסולקים עם יופיי (בערך אחוז) ויש API מסודר רק כנראה תצטרך לבנות את הגביה החודשית, אך הAPI שלהם ברור וקל
אני חושב שsumit המחירים עולים אחרי שנה.
-
שמירת מאגר מספרים וסיסמאות/טוקן בצורה מאובטחת@אביי כתב בשמירת מאגר מספרים וסיסמאות/טוקן בצורה מאובטחת:
@eido כתב בשמירת מאגר מספרים וסיסמאות/טוקן בצורה מאובטחת:
לא. העניין הוא שכיון שבימות המשיח כבר לא צריך את המספר, רק את הטוקן, והמספר הוא רק לצירוך זיהוי שלי, לדעת באיזה טוקן להשתמש אז אפשר לעשות את ההאש על המספר ואז לא ידעו למי הטוקן שייך, ומה יעשו עם טוקן בלי לדעת למי זה שייך? אני מתכון אם הטוקן מוגבל לדברים מסוימים, הוא יהיה פחות יעיל אם לא ידעו למי הוא שייך.
קריאה פשוטה לGetSession מחזירה את מספר המערכת
נכון, בדיוק לכן כתבתי שהטוקן מוגבל.
-
שמירת מאגר מספרים וסיסמאות/טוקן בצורה מאובטחת@אביי כתב בשמירת מאגר מספרים וסיסמאות/טוקן בצורה מאובטחת:
@eido כתב בשמירת מאגר מספרים וסיסמאות/טוקן בצורה מאובטחת:
ומי שישים ידו על מאגר המידע, סביר להניח שישים ידו גם על המפתח...
לא בהכרח, אם תנהל את שמירת הסקריט כמו שצריך, (ויעוי' בפ' השבוע שעבר..)
הצפנת נתונים רגישים במנוחה זה סטנדרט מקובל והגיוני,באופן אישי אני במקרים כאלה מוסיף לסקריט הכללי גם פרט מידע של המשתמש (מזהה וכו' - משהו קבוע שלא ניתן לשינוי!) וככה ההצפנה היא ייחודית לכל משתמש
איך עושים את זה? הרי אם הוא שמור על השרת אז מי שהשיג גישה לשרת יכול לעקוב מאיפה זה נטען ולמצוא אותו בקלות.
-
שמירת מאגר מספרים וסיסמאות/טוקן בצורה מאובטחת@אביי כתב בשמירת מאגר מספרים וסיסמאות/טוקן בצורה מאובטחת:
@eido כתב בשמירת מאגר מספרים וסיסמאות/טוקן בצורה מאובטחת:
אני כן יכול לעשות hash על המספר או אמצעי הזיהוי ואז אולי תהיה להם סיסמא ביד אבל לא ידעו לאיפה היא שייכת...
לא הבנתי איך זה יעבוד, השירות החיצוני מקבל האשים של טוקנים במקום את הטוקן עצמו?
לא. העניין הוא שכיון שבימות המשיח כבר לא צריך את המספר, רק את הטוקן, והמספר הוא רק לצירוך זיהוי שלי, לדעת באיזה טוקן להשתמש אז אפשר לעשות את ההאש על המספר ואז לא ידעו למי הטוקן שייך, ומה יעשו עם טוקן בלי לדעת למי זה שייך? אני מתכון אם הטוקן מוגבל לדברים מסוימים, הוא יהיה פחות יעיל אם לא ידעו למי הוא שייך.
ודאי שזה לא טוב, אבל זו אופציה.
-
שמירת מאגר מספרים וסיסמאות/טוקן בצורה מאובטחתאיך אפשר לשמור סיסמאות (במקרה שלי טוקן) ומספר או אמצעי זיהוי אחר כשהסיסמאות משמשות להתחברות לשירות חיצוני?
אני לא יכול לעשות האש על הסיסמא כי אז היא תהיה לא שמישה, ואני גם לא רואה טעם בהצפנה הרי המפתח צריך להיות נגיש בשביל לפענח את ההצפנה, ומי שישים ידו על מאגר המידע, סביר להניח שישים ידו גם על המפתח...
אני כן יכול לעשות hash על המספר או אמצעי הזיהוי ואז אולי תהיה להם סיסמא ביד אבל לא ידעו לאיפה היא שייכת...
מה הדרך המקובלת לעשות?
-
בירור על מערכת סליקת אשראי מתאימה לאתר עם מודל מנויים@צדיק-תמים פתחתי ב2019 ואני עדיין לא עוסק זעיר (בדרך), עוסק פטור זה מה שאמרתי.
-
בירור על מערכת סליקת אשראי מתאימה לאתר עם מודל מנויים@אביי כתב בבירור על מערכת סליקת אשראי מתאימה לאתר עם מודל מנויים:
@eido כתב בבירור על מערכת סליקת אשראי מתאימה לאתר עם מודל מנויים:
אולי רק מדווח בשנה הראשונה.
אתה מתכוון מדווח אחת לשנה למס הכנסה בלבד
צודק, טעות שלי לא הייתי מספיק ברור.
התכוונתי שבשנה הראשונה מדווחים כל חודש (וגם משלמים אם צריך) ושנה אח"כ כבר לא צריך (כך אצלי לפחות).
כל סוף שנה מדווח למע"ם (ענין של שניה) ובאיזור חודש רביעי למניינם מדווח למס הכנסה על כל השנה שעברה. -
בירור על מערכת סליקת אשראי מתאימה לאתר עם מודל מנויים@NH.LOCAL בתור עוסק פטור אתה לא מתעסק בכלל עם מע"מ או מס הכנסה, אולי רק מדווח בשנה הראשונה.
מי פנה אליך? הפנתי 2, לדעתי קשר הכי זולים.
אןי לי נסיון עם אף אחד מהם ולא עם חיוב חודשי, אבל אלו חברות גדולות ואמינות.
אם תרצה אוכל להפנות אליך גם את טרנזילה, אבל לדעתי הם יותר יקרים.כדאי לשאול אותם הכל כולל הודעות על ביטולים, למרות שלדעתי כולם עושים את זה.
-
הסרת מודעות ממסד נתונים - מורכב להסביר בשורה אחת@dovid אני שולף את שניהם אחד אחרי השני, לא אכפת לי שיהיה במכה אחת, אבל איך משתמשים בזה? איך אני רואה אם זה חדש או ישן?