תחומים - פורום חרדי מקצועי

@n123456 כתב באבטחת חשבונות:

האם גם אימות בSMS נחשב טוב לזה? זכור לי ששמעתי שזה פחות בטוח כי אקרים יודעים להשתלט על זה

לכן זה נחשב קצת פחות טוב מ-TOTP, אבל זה מספיק טוב לרוב אנשים, זה נכון שיש דרך להשתלט על מספר פלאפון, אבל זה סוג התקפה ממקודת וזה דורש משאבים, אם אתה לא אישיות מפורסמת או עובד בתפקיד רגיש לא צריך לדאוג יותר מדי מזה

לגבי האימות שנהיה נפוץ היום דרך אפליקציה שמקבלים מספר. האם למשתמשי נטפרי בעלי טלפון ללא אינטרנט יש אפשרות איך שהוא לעשות את זה?

זה נקרא TOTP
דרך עבודת המנגנון הוא שסורקים ברקוד לאפליקציה, התוכן של הברקוד הוא קוד סודי, האפליקציה משתמשת בקוד ובשעה הנוחכית כדי לחולל קוד בן שש ספרות
המנגנון לא דורש אינטרנט כלל, כל המידע שצריך כדי לחולל את הקוד הוא הקוד הסודי שהיה בברקוד והשעה הנוכחית
זה גם לא דורש פלאפון עם מצלמה או אפליקציה
יש תוסף לדפדפן שיכול לסרוק את הברקוד ולחולל את הקודים
יש גם מנהלי סיסמאות שיודעים לעשות את זה
לפעמים האתר מסכים להעביר את הקוד הסודי כטקסט במקום ברקוד ואפשר להזין את הטקסט לאפליקציה במקום דרך הברקוד

הנה לדוגמה תמונה מאתר סלאק:

אם לוחצים על "Can"t scan this barcode?" מבקלים את הקוד הסודי כטקסט

@dovid גם אני התקשיתי בזה עד שזכרתי שב-keychain במק הם בודקים את הזהות של התהליך שמבקש גישה (נראה לי לפי חתימה דיגיטלית של הבינארי) ותהליך שלא יצר את הסוד לא יכול לגשת בלי סיסמת המשתמש

@צבי-ש כתב באבטחת חשבונות:

בעיקרון אתה צודק, עדיף שהכל יהיה לך בראש מאשר בקובץ

אני לא כל כך מסכים. יש מספיק מידע רגיש שמור במחשב שלשמור גם סיסמאות לא מוסיף הרבה למדד הסיכון. אני לא מעודד לשמור סיסמאות בראש.

בנוסף לזה, ברוב מנהלי הסיסמאות הסיסמאות מוצפנים, ואם הגדרת סיסמה טובה כמעט בלתי אפשרי להגיע לסיסמאות

נראה לי שמצאתי את התשובה!!

https://stackoverflow.com/a/13814609/8997905

(אני רק לא מבין אם ככה למה זה כן עובד )

אם זו באמת הבעיה, תחפש מדריך רשמי של PHP איך להקים שרת בסביבת ווינדוס בצורה נכונה והבעיה אמורה להיפתר
למשל זה: https://www.php.net/manual/en/install.windows.apache2.php
(ותוודא שיש לך גירסאות מעודכנות של הכלים)

מישהו כתב פה פתרון לnginx על ווינדוס

@chagold כתב בבקשת cURL לnginx שעובדת מהקונסול אבל לא מתוך PHP:

התקרבתי לפתרון

אני לא יודע כמה זה מקדם אותנו, כי מה שהסקריפט עושה הוא בדיוק כמו להריץ פקודת curl ידנית. וזה ידענו כבר שעובד.

יש משהו מוזר פה

נסה לעבוד עם file_get_contents ולבדוק אם זה עובד בשום צורה

קצת מעניין שיש נסיגה בנושא זה
ב-API הוותיק של ווידנוס היה אפשר לבקש רשימת פונטים לפי charset (ועדיין אפשרי היום להשתמש ב-API זה)
(אגב, אפשר להבין לפי זה למה בתוכנת תג אותו גופן יכול להופיע ברשימה כמה פעמים, פעם אחת לכל charset שבגופן)
אבל מה שאני מבין מפה שהמידע מתקבל מתוך המטה דאטה של הגופן, וזה לא חייב להיות נכון, אז בכל מקרה הבדיקה של הימצאות גליף בפועל יותר אמינה
שוב מצאתי תיעוד רשמי ממייקרוסופט

At this time, there is no mechanism to enumerate fonts supporting arbitrary scripts or character ranges in Unicode. The NEWTEXTMETRICEX structure passed by EnumFontFamExProc includes the FONTSIGNATURE structure, which includes more detailed declarations provided by the font developer as to what code pages and what Unicode ranges the font supports. To determine more precisely what character ranges a given font supports, select the font into a device context and call GetFontUnicodeRanges

@dovid כתב באבטחת חשבונות:

אין לי מושג מה ההיקף במציאות, אבל ודאי שלוירוס/רוגלה יש אפשרות לקבל גישה לסיסמאות שמורות ולעוגיות.

אני מקבל.
אבל גם אם נוסיף סכנה זו אין יתרון בשימוש במייל אחר

אולי בנטפרי התוקף מתקשה לקבל את המידע?

רוב הדרכים הנפוצות לייצוא מידע יהיו חסומות ברשת נטפרי
עיין למטה

בהרבה אתרים הסיסמאות בשרת לא מגובבות בכלל

אני מקווה שאתה טועה. אתרים אלו אמורים להיות בפח הזבל של ההיסטוריה
בכל מקרה, הדרכים להתגוננות זהות חוץ מסיסמה חזקה שלא יעזור מול סכנה זו

@n123456
אי אפשר לדבר על אבטחה בחלל ריק, כדי לדבר על אבטחה צריך לדעת מול מה אתה מתגונן
ובכן, מה הדרכים הנפוצות שפורצים מקבלים גישה לחשבונות?
נראה לי שיש שתי דרכים עקריים
א. פריצה לשרת (או הגדרה יותר גנרית: דליפת מידע באיזשהו דרך מהשרת)
ב. דיוג

דרך פחות נפוצה:
ג. סתם ניחוש

במקרה של פריצה לשרת, מה שקורה בד"כ הוא ש(במקרה הגרוע) מקבלים הפורצים גישה לכתובות מייל וסיסמאות "מוצפנות" (אני שם את המילה "מוצפנות" בגירשיים כי טכנית זה לא בדיוק הצפנה, אבל לצורך הענין אפשר לקרוא לזה כך)
ואז הם עוברים על כל הסיסמאות ומנסים לפצוח אותם עם תוכנה שמנסה כל צירוף תווים אפשרי ובודקים אם תוצאת הצפנת התווים מתאים לסיסמה המוצפנת שמצאו.
כדי להתגונן מפני סכנה זו, בוחרים סיסמה רנדומלית בלי תבנית, כי התוכנות שמפצחים סיסמאות מוצפנות תמיד מתחילים עם תבניות של סיסמאות הנפוצות ואז עוברים לנסות צירופי תווים רנדומליים
(אפשר לקבל פה השערה כמה זמן לוקח בכלים של היום לפצח סיסמה, רק השערה גסה, כי זה תלוי באיכות ה"הצפנה" ובאלגוריתם שבו הפורץ מנסה לנחש סיסמאות)
אם הוא הצליח לפצח את הסיסמה, הדבר הבא שהפורץ יעשה הוא לבדוק עם צירוף מייל וסיסמה זה יעבוד באתרים אחרים
לכן ההמלצה לא לעשות שימוש חוזר בסיסמאות, שאם יבוא פורץ לאתר האחד והיו האתרים האחרים לפליטה

לגבי סכנת דיוג: דיוג הוא נסיון של פורצים להתחזות כאתר מסויים כדי לגרום למשתמש התמים להכניס לשם את הסיסמה שלך
אז, דבר ראשון: אם אתה משתמש בשירות סינון מבוסס רשימה לבנה כמו נטפרי, אתה בהרבה פחות סיכון, כי לרוב האתר של הדייג לא יהיה פתוח בסינון.
ב. הדרכים להתגונן:

• שימוש במנהל סיסמאות, כי מנהל הסיסמאות לא יפול בפח וידע מיד שהכתובת של האתר הוא לא הכתובת הנכונה ולא יציע לך את הסיסמה של האתר האמיתי
• יש צורות אימות דו שלבי שמוגנים מפני סכנה זו - לא כולם
• זהירות על איזה קישורים אתה לוחץ ובאיזה אתרים אתה מכניס סיסמאות

לגבי סכנת "סתם ניחוש"
סיסמה חזקה הוא הגנה כמעט הרמטית נגד זה

אתה רואה שאין סיכון ראשי שהפתרון המומלץ נגדו הוא הסתרת המייל שלך. זה יכול לעזור נגד "סתם ניחוש" אבל סיסמה חזקה סוגרת לגמרי את החור הזה.

כמובן, אני לא טוען שאני בקי באבטחה ושלא פיספסתי שום דבר. אשמח אם תתקנו אותי אתם חושבים שפיספסתי נקודה

@n123456

@n123456 כתב באבטחת חשבונות:

בסדר לפתוח אותם על המייל שמשתמשים בו לשאר דברים

זה בסדר. אין שום בעיה שאנשים יודעים מה כתובת המייל שלך
מה שחשוב מאוד זה לשמור על "הגיינה" נכונה בנוגע לסיסמאות

ועוד כיוצא בזה המלצות לאבטחת חשבון

אני כותב את הכללים לפי סדר חשיבות (לענ"ד)

הכלל הכי חשוב:
חשבון המייל הוא החשבון הכי חשוב! זה המפתח לכל שאר החשבונות, ולכן צריך לשמור עליו בצורה נכונה

אסור בשום פנים ואופן להשתמש בסיסמת המייל עבור שום חשבון אחר!
סיסמת חשבון המייל חייב להיות משהו שקשה לנחש. סיסמה ארוכה יחסית ולא לפי תבנית שקל לניחוש (כמו 123456 או תאריך הלידה שלך, או "סיסמה123" וכדומה)
והכי טוב שתגדיר אימות דו שלבי
(גוגל דורשים אימות נוסף בכל מקרה כאשר אתה נכנס ממחשב לא מוכר, כדאי שאתה תשלוט על זה ותגדיר את זה בהגדרות החשבון)

הכלל השני בחשיבותו - אבל גם חשוב מאוד:
לא להשתמש באותו סיסמה עבור שום שני אתרים. לכל אתר סיסמה משלו!
אפשר להתפשר לגבי כלל זה לגבי אתרים לא חשובים. אבל באתרים חשובים כדאי מאוד להקפיד על זה

כלל שלישי:
כדאי שכל סיסמה יהיה סיסמה חזקה, שזה אומר קשה לניחוש

כלל רביעי:
המחמירים (או ברוח הזמן המהדרין) מגדירים אימות דו שלבי בכל מקום שמוצעת אפשרות כזאת
זה לא הכרחי בהרבה מקרים אבל כדאי עבור אתרים ששומרים מידע רגיש

אם תשמור על כללים אלו תהיה חייב להשתמש במנהל סיסמאות, שזה תוכנה שיוצרת ושומרת בשבילך סיסמאות
היום יש מנהל סיסמאות בסיסי מובנה בדפדפן כרום
זה מספיק לגמרי ומומלץ להשתמש בו

אני אישית שומר אצלי בזכרון רק שתי סיסמאות
הסיסמה של המייל שלי שהוא גם הסיסמה של מנהל הסיסמאות שלי אבל בשום פנים ואופן לא סיסמה של שום דבר אחר
(אני מאפשר לעצמי קולא זו להשתמש באותו סיסמה עבור מייל ומנהל סיסמאות, כי אני סומך על בטיחות מנהל הסיסמאות ושהסיסמה לא שמורה בשום מקום ברשת או במחשב, אם אתה רוצה להחמיר גם בזה, מה טוב)
סיסמה שנייה: סיסמה (קשה לניחוש אבל) קל לי לזכרון, אני משתמש בו רק עבור אתרים ממש לא חשובים
בשום פנים אני לא משתמש בו עבור אתרים חשובים
כל שאר הסיסמאות הם מחרוזות רנדומליים לגמרי ונשמרים במנהל הסיסמאות (הם נראים ככה: LUn2n.BV6o ואין שום דרך לזכור אותם לבד)
(אני משתמש ב-1password עבור ניהול סיסמאות. אבל זה מוצר בתשלום אבל אפשר לגמרי להסתדר עם מוצרים חינמיים, פשוט החוויה שם הכי טובה)

@chagold כתב בבקשת cURL לnginx שעובדת מהקונסול אבל לא מתוך PHP:

אבל לא התוים הנוספים הם הסיבה. כי עשיתי טסט בלי פרמטרים בכלל. ועדיין..

[26-Dec-2024 08:08:38 UTC] PHP Warning:  file_get_contents(http://g-in.com:200/index.php): Failed to open stream: HTTP request failed! in C:\xampp\file.php on line 340
[26-Dec-2024 08:08:38 UTC] API call failed: Failed to get contents

יש לך שני אתרי PHP אם הבנתי נכון, ואתה מנסה לעשות קריאה מאחד לשני
הלוג פה מראה רק את הקריאה של file_get_contents
האם אתה בטוח שהאתר השני (g-in.com:200) גם עובר דרך php-fpm?

אם לא, אז מה כן?
אתה יכול להראות את הקונפיגרציה של השרת אפאצ'י או nginx?

@barbar סלח לי, זה לא יפה שאנשים דנים בשאלה שלך וביקשו ממך הבהרות, ואתה מתעלם לגמרי ומעוניין רק ב"תכלס".

חוץ מזה שאם היית קורא מה שכתוב היית מבין שאין עניין להשיג בשביל מעלת כבודך את המתכנת ההוא כי כבר הסבירו פה איך זה עובד ולא צריך מתכנת מיוחד בשביל זה

@chagold כתב בבקשת cURL לnginx שעובדת מהקונסול אבל לא מתוך PHP:

כשאני פונה מהURL (=בגוגל כרום, מה שחוזר תקין) יוצא מה שכתוב בשורה 1 ו-2. (לא יודע למה הוא מדפיס 2 שורות כאילו זה 2 בקשות).

זה באמת שתי בקשות
שורה 1 זה העיקר, שורה 2 הוא סתם כי כרום מנסה לבקש favicon להציג אייקון של האתר

@chagold כתב בבקשת cURL לnginx שעובדת מהקונסול אבל לא מתוך PHP:

לא יודע למה בשורה 1,4,5 הוא לא כותב את כל הדומיין אלא מתחיל מה-index.php.

גם ב-2 זה מתחיל ככה. תמיד בקשת HTTP הוא ככה (הדומיין נמצא ב-header בשם host). השדה השני שכולל כל הדומיין הוא ה-referrer (ככה זה מוגדר בברירת מחדל. אפשר לשנות את הפורמט של הלוג בהגדרות)

@chagold כתב בבקשת cURL לnginx שעובדת מהקונסול אבל לא מתוך PHP:

איפה אני מוצא את הלוגים של php-fpm? בתיקיית PHP אין לי בכלל תיקיית משנה של logs.

אני לא יודע אצלך אם זה מוגדר עם php-fpm או עם משהו אחר, אני גם לא יודע איפה אתה יכול לחפש לוגים

יש לך לוג של php-fpm?
ההדפסה ללוג הוא מיד בהתחלה של התוכנה?

@chagold מי אחראי על ה-index.php שרץ בפורט 200? האם תוכל לודא שה-PHP מקבל את הבקשה?
האם תוכל להדפיס את הבקשה ש-index.php מקבל ולבדוק אם יש הבדלים בין הבקשה מ-PHP לבקשה מפקודת curl או מכרום?

@יוסף-בן-שמעון כתב בלתכנת דף PHP שיתחבר לקורא כרטיסים:

יש איזו תכונה ניסיונית שיכולה לעזור
https://developer.mozilla.org/en-US/docs/Web/API/USB/requestDevice

API זה בפירוש לא מאפשר חיבור לקוראי כרטיסים
https://stackoverflow.com/questions/66420229

@barbar השאלה שלך ממש קשה לי להבין. אולי החסרון תלוי בי
תסביר לי קצת על הפרוייקט שלך
איפה ה-PHP תרוץ? אני מניח שעל שרת?
איפה הכרטיס תהיה מחובר? אני מניח בדסקטופ של המשתמש שמעוגן היטב לקרקע ואינו בשום ענן...
איך אתה מצפה שה-PHP שרץ לו להנאתו בשרת באיזה ענן בעולם הגדול תתחבר לקורא הכרטיסים שנמצא פה לידינו על השולחן של המשתמש היקר שלנו?
אני מניח שראית משהו דומה וזה גרם לך לחשוב שזה אפשרי
מאיפה קיבלת השראה? אולי אוכל להסביר לך איך זה עובד שם. אני די בטוח שזה לא דף PHP בענן שמתחבר לקורא כרטיסים של המשתמש

הבעיה היא שרק שם התהליך "COM Surrogate - dllhost.exe" פה הוא לא מספיק מידע, כי זה תהליך שמארח תהליכים אחרים. המידע שצריך פה הוא מי הוא האורח המרעיש

בפעם הבא שזה קורה, אתה יכול לבדוק עם תוכנת https://systeminformer.com
כאשר מרחפים עם העכבר על השורה של תהליך dllhost הוא אמור להראות לך בטולטיפ משהו על האורח

@יגעתי-ומצאתי איזה פקודה אתה מריץ?
העריכה שעשית עוזר רק עבור הרצות של קובץ go-web.bat

@יגעתי-ומצאתי אולי פיספסת הודעה זו כי העליתי אותו שנייה לפני שהעלית הודעה שלך:

@yossiz כתב בשגיאת פלט ב RVC WebUi שמותקן על המחשב:

נחזור לנושא

האם תשובה זו עוזרת לך?
https://github.com/RVC-Project/Retrieval-based-Voice-Conversion-WebUI/issues/2227#issuecomment-2286582025

נחזור לנושא

האם תשובה זו עוזרת לך?
https://github.com/RVC-Project/Retrieval-based-Voice-Conversion-WebUI/issues/2227#issuecomment-2286582025