מסלול הייטק
-
@mgm-ivr אמר במסלול הייטק:
וככה בכל כתובת חדשה בNGROK אני פשוט יפתח אותה אוטומטי בסקריפט.
כתובות של ngrok אמורות להיות פתוחות
אם לא, תשלח פניה על הכתובת@magicode הנקודה היא שהרי מתכנת שמבקש לדוגמה לפתוח לו התחברות ssh לשרת. הרי כאשר הוא יבקש - יפתחו לו, כי זה צורך שנטפרי מכירים בו. אז למה שכאשר הוא עובר שרת הוא יצטרך לשלוח שוב פניה על הIP החדש? הרי עבורו זה לא שונה כלל מהותית מהשרת הקודם...
-
@צדיק-תמים נראה לי שהתשובה מאוד פשוטה, אין יכולת טכנית לדעת שזה "אותו" שרת. זה הכל.
-
אגב, אני מעלה את האפשרות שהעובדה שיש לפעמים קושי בנטפרי זה סה"כ משהו טוב, אני מבין גם את הצד הנגדי, שחייבים להנגיש את זה כמה שיותר, רק מעלה את האפשרות האחרת. זה יכול לתת הזדמנות להתבוננות על חובתנו בעולמנו ולמה אנחנו לא עושים מה שהכי קל ונוח
ובענין נשים חרדיות בהייטק, אציין, שאני תמיד מקבל השראה מלראות את התופעה הנפוצה מאוד של עמידה חזקה בעקרונות ואי הסכמה לשימוש בסינון אחר. התופעה נפוצה יותר אצל נשות ישראל שבזכותן נגאלנו ממצרים ואולי בזכותן ימהר השי"ת את הגאולה מגלותנו העכשווית. -
@magicode
אם אני מפרשן נכון את הבקשה
הם רוצים שכשפותחים כתובת SSH וכד' זה יפתח רק למבקש.
כך שזה לא משנה האם יש למשתמש כתובת אחת פתוחה לSSH או 20 כתובות.
כנ"ל לגבי ngrok (שזה באמת נשמע לי מוזר שהכל יהיה פתוח לכולם בברירת מחדל).@צדיק-תמים
אני שלחתי כתובות בודדים לפתיחה לSSH
אני תמיד נכנס למכונה אחת שפתוחה בנטפרי ומשם ניגש לשאר המכונות עםssh 1.2.3.4
זה מוסיף עוד חצי דקה כדי להתחבר לשרת אבל יותר נח מבחינת נטפרי וגם מבחינת אבטחה שאני לא צריך לפתוח בכל המכונות האלו את החומת אש לכל העולם ולא צריך IP קבוע מהספק. -
@yzahn ומה זה משנה אם זה שרת א' של חברת A או שרת ב' של חברת C? טכנית זה שונה, מהותית זה לא רלוונטי
הרעיון הוא שאם נטפרי מכירים בצורך של מישהו לssh אז אמור להיפתח לו כל הssh, ולא שכל שרת בנפרד יהיה צריך לשלוח פניה... -
@צדיק-תמים אמר במסלול הייטק:
@yzahn ומה זה משנה אם זה שרת א' של חברת A או שרת ב' של חברת C? טכנית זה שונה, מהותית זה לא רלוונטי
הרעיון הוא שאם נטפרי מכירים בצורך של מישהו לssh אז אמור להיפתח לו כל הssh, ולא שכל שרת בנפרד יהיה צריך לשלוח פניה...כוונתך ש22 יהיה פתוח בנטפרי כמו 3306?
בקלות היה א"כ אפשר לבנות "תת-רשת" פרוצה מתחת האף של נטפרי...
כנראה, שנטפרי מהווה חוץ מן הסינון שלעצמו גם כעין שמירה על המשתמש. הצורך לשליחת פניה, נותן הזדמנות להתבונן אם אתה באמת זקוק לזה או לא.
(למשל, פעם שאל ילד את ה"רבי" שלו בחיידר, למה הוא צריך לבקש כל פעם מן ה"רבי" אישור לצאת לשירותים, אם בין כך הוא תמיד מאשר לו... ) -
@צדיק-תמים
אני שלחתי כתובות בודדים לפתיחה לSSH
אני תמיד נכנס למכונה אחת שפתוחה בנטפרי ומשם ניגש לשאר המכונות עםssh 1.2.3.4
זה מוסיף עוד חצי דקה כדי להתחבר לשרת אבל יותר נח מבחינת נטפרי וגם מבחינת אבטחה שאני לא צריך לפתוח בכל המכונות האלו את החומת אש לכל העולם ולא צריך IP קבוע מהספק.ע"י SSH Port Forward היה אפשר לחסוך כמה שניות מן החצי דקה הזאת
-
@kodcode שוב, אין הבדל מהותי בין שרת לשרת, שניהם עם אותם מסוכנויות, מה שדיברתי היה שבהנחה שפותחים למישהו ssh לשרת אחד - למה לא לפתוח לו לכולם?
ובשונה מחיידר, לנטפרי אין צורך לשמור על משמעת
-
@צדיק-תמים יש בהחלט הבדל, כנראה אינך מכיר את התמונה המלאה של הסיכונים האפשריים, אבל אני לא משוכנע שהמקום לדון על זה הוא בפורום, לא צריך לתת רעיונות מיותרים.
קונים בעלי אקספרס? התוסף שיעזור לכם: ✅ למצוא את המחיר הכי זול למוצר בעלי אקספרס 💰, ✅ לחפש כל מוצר שמצאתם באינטרנט ישירות בעלי אקספרס 🔍, ✅ להשוות מחירים עם טימו 👈 התקינו חינם!⚡
-
@מפתחת בסינונים אחרים שקיים כזה מסלול - אלו סינונים שיש להם whitelist לכל קבוצה
בנטפרי מה שפתוח - פתוח לכולם אא״כ יש הגדרה לחסום על החשבון או על הקהילההבעיה היא בד״כ כשמרימים שירות חדש ויש לו url חדש שלא מוגדר בנטפרי. (בשביל זה יש 3 נקודות, אני אשמח אם יהיה אפשר לשים יותר נקודות - אולי זה יעזור לזרז טיפול בפניות)
מה שהיה עוזר לי במסלול מתכנתים זה למשל לא לסנן packages שמתקינים כמו npm או pip
-
@code_monkey אמר במסלול הייטק:
מה שהיה עוזר לי במסלול מתכנתים זה למשל לא לסנן packages שמתקינים כמו npm או pip
נ"ל שזה היה רק אפשרי אם ההורדה היא בפרוטוקול מסיום שאפשר לפתוח אותו לחלוטין.
גבי NPM
https://stackoverflow.com/questions/47358304/what-protocol-and-port-does-npm-use -
@code_monkey אמר במסלול הייטק:
מה שהיה עוזר לי במסלול מתכנתים זה למשל לא לסנן packages שמתקינים כמו npm או pip
אתה משתמש בנטפרי? כי התקנות מnpm/pip עובדות חלק, רק צריך להתקין את התעודת אבטחה כפי המוסבר בויקי
-
@kodcode אמר במסלול הייטק:
כוונתך ש22 יהיה פתוח בנטפרי כמו 3306?
בקלות היה א"כ אפשר לבנות "תת-רשת" פרוצה מתחת האף של נטפרי...אם פותחים רק למבקש איך יבנו תת רשת פרוצה?
-
מה שכתבתי לעיל הוא לפי איך שנטפרי בנוי היום, שמה שנפתח, נפתח לכל המשתמשים.
רק תוך כדי דיבור התברר לי מה בדיוק ההצעה. (שלא יחול הסינון על פורט/פרוטוקול למשתמש יחיד (וכמו היום 3306 לכולם) )
-
@code_monkey סינון של packages הוא ג"כ מיותר למתכנתים.
אבל בתור מפתחת קבועה באתרים עם רכיבי ענן, כל כתובת חדשה שנפתחת למשל סביבת DEV, TEXT, PREP IPROD צריכה בקשה מיוחדת, וכל כל API חדש.
ואם יש תקלה בסביבה שלא פתחתי בעבר זה מצריך בקשה מיוחדת וגם 3 נקודות לא תמיד מסייע.ביקשתי שיפתחו את כל התתי דומנים של אתרי פיתוח בAZURE מה שכמובן לא אישרו.
-
@shraga כל הכתובות שיושבות תחת:
https://XXXXXX-[XXXX].azurewebsites.net/apiהחתימה מציינת שמדובר באתר AZURE של פיתוח.. -
@מפתחת בapi אפשר להכניס כל דבר אסור למה אתם חושבים שזה סיבה לפתוח את זה?
-
@אינו-יודע-לשאול תחת הדומיין azurewebsites.net יושבים אתרים שמשלמים עליהם כסף.
ז"א שבבנ"א בשביל לפתוח דבר שחסום בנטפרי יפתח אתר תחת זה ישלם תשלום מלא? אולי אבל סיכוי נמוך.
וכל API יכול להכיל דברים אסורים הכוונה לAPI בדומינים מסוימים שמיועדים לפיתוח נטו. -
@מפתחת אמר במסלול הייטק:
הכוונה לAPI בדומינים מסוימים שמיועדים לפיתוח נטו.
שוב, אז אתם מדברים על פתיחה של דומיינים מסוימים בazure?
זה המצב הקיים כרגע.
לפתוח כל מה שמסתיים בazurewebsites.net זה סיכון גדול מידיי, יש הרבה אתרים שמשתמשים בסאב דומיין כזה וחלקם עלולים לאפשר תכנים בעייתים. -
@shraga אמר במסלול הייטק:
@צדיק-תמים יש בהחלט הבדל, כנראה אינך מכיר את התמונה המלאה של הסיכונים האפשריים, אבל אני לא משוכנע שהמקום לדון על זה הוא בפורום, לא צריך לתת רעיונות מיותרים.
נכון מאוד.
