נקודה לרעיון על מערכת הפניות
-
@משוש אמר בנקודה לרעיון על מערכת הפניות:
@magicode אמר בנקודה לרעיון על מערכת הפניות:
יש בזה בעיה אפשרית של אבטחה.
האפשרות לבדוק האם קיים לינק מסויים במערכת. נראה לי צריך לחשוב על ההשלכות של בעית אבטחה שזה יכול ליצור.
אני עדיין לא יודע להגדיר את זה כי לא חשבתי על זה מספיק. אבל הנסיון שלי אומר שיש פה בעיה.איזה בעיות אבטחה?
באופן כללי - כל שאילתה מול מסד הנתונים היא עוד נקודה רגישה במערכת (SQL injection, וגם - מידע עסקי רגיש).
-
@ברצינות אמר בנקודה לרעיון על מערכת הפניות:
@משוש אמר בנקודה לרעיון על מערכת הפניות:
@magicode אמר בנקודה לרעיון על מערכת הפניות:
יש בזה בעיה אפשרית של אבטחה.
האפשרות לבדוק האם קיים לינק מסויים במערכת. נראה לי צריך לחשוב על ההשלכות של בעית אבטחה שזה יכול ליצור.
אני עדיין לא יודע להגדיר את זה כי לא חשבתי על זה מספיק. אבל הנסיון שלי אומר שיש פה בעיה.איזה בעיות אבטחה?
באופן כללי - כל שאילתה מול מסד הנתונים היא עוד נקודה רגישה במערכת (SQL injection, וגם - מידע עסקי רגיש).
אוקיי.
אבל זה לא ממוצפן? -
@משוש אמר בנקודה לרעיון על מערכת הפניות:
SQL injection
אין קשר בין הצפנה ל-SQL injection.
קראת קצת חומר לפני ששאלת? -
אני יכול להגיד לכם מה הבעיה.
אם אני שולח קישור יחודי למישהו ואני כל הזמן בודק האם זה הגיע למערכת הפניות.
אני יכול לדעת מתי הוא פתח את הקישור והאם הוא בנטפרי.
וכל זה רק בזכות ההתראה הזאת שהקישור כבר נשלח למערכת הפניות.
כל מידע שאתה מוציא ללקוח X על לקוח Y זה יכול להיות בעיה של זליגת מידע. -
@magicode אמר בנקודה לרעיון על מערכת הפניות:
אני יכול להגיד לכם מה הבעיה.
אם אני שולח קישור יחודי למישהו ואני כל הזמן בודק האם זה הגיע למערכת הפניות.
אני יכול לדעת מתי הוא פתח את הקישור והאם הוא בנטפרי.
וכל זה רק בזכות ההתראה הזאת שהקישור כבר נשלח למערכת הפניות.
כל מידע שאתה מוציא ללקוח X על לקוח Y זה יכול להיות בעיה של זליגת מידע.זה יכול להיות בעיה, אולי לעשות כשמישהו שולח בקשה לפנייה שתהיה לו אפשרות לשתף את הבדיקה עם כולם. לשמירה על הפרטיות.
-
@magicode אמר בנקודה לרעיון על מערכת הפניות:
אני יכול להגיד לכם מה הבעיה.
אם אני שולח קישור יחודי למישהו ואני כל הזמן בודק האם זה הגיע למערכת הפניות.
אני יכול לדעת מתי הוא פתח את הקישור והאם הוא בנטפרי.
וכל זה רק בזכות ההתראה הזאת שהקישור כבר נשלח למערכת הפניות.
כל מידע שאתה מוציא ללקוח X על לקוח Y זה יכול להיות בעיה של זליגת מידע.לא הבנתי את הבעייתיות,
משתמשי נטפרי אחרים לא יוכלו לדעת האם הקישור נפתח. וגם אתה יכול להסתיר את המידע הזה מהתומכים במערכת הפניות ורק להקפיץ את הפניה הזו בלי הסבר ו/או לטשטש בדרך אחרת את המידע הברור האם ומתי הקישור נפתח, ובכל מקרה התומכים של נטפרי חשופים למידע פרטי כזה או אחר. וגם אין סיבה שמישהו ישתמש בפונקציה הזו דווקא דרך נטפרי כשיש מגוון שירותים שמאפשרים מעקב כזה, כמו האתר הזה https://grabify.link/.
הסיכון הזה למיטב הבנתי (אם הבנתי מה הסיוכון) הוא רק עבורך, שאתה תשתמש בדבר בצורה לא ראויה. מאידך, אם אתה בוחר לפעול באופן לא הגון באמצעות המערכת של נטפרי יש לך עוד אלף דרכים כאחד שמכסה המנוע של נטפרי פתוח בפניו. אז בכל מקרה אין ברירה אלא לסמוך עליך (כמובן שאני סומך עליך גם אם "יש ברירה"..). -
@magicode
במקרה כזה כמו שכתבת גם היום יש בעיה
אם אני שולח למישהו קישור יחודי
ואחרי כמה זמן הוא פתאום פתוח בנטפרי
אני מבין שיש לו נטפרי ושהוא שלח את זה לבדיקה -
@יוקי-צדיקי אבל יותר קשה לך לעקוב בדיוק על זמן הפעולה וכולי
אין אפשרות לפתוח בלי לפתוח -
@אינו-יודע-לשאול אבל תכלס מי שרוצה לעקוב יצליח
-
@magicode במג'יקוד נחסם מה ששותף באופן ציבורי (לא באמת בדקתי איך זה עובד) אולי אפשר להחיל על זה את אותו מנגנון שרק קישור שנמצא במקום ציבורי ייכנס לסטטוס "בבדיקה" וקישורים אישיים ישלחו שוב ושוב
המהלך הזה יכול להוריד גם עומס מהמערכת בעיקר ברשימות תפוצה גדולות