במסגרת השיפור המתמיד של הכוורת לטובת הגברת אבטחת המידע לארגון שלכם, ביצענו ונבצע בחודשים
הקרובים שינויים רבים במסגרת אבטחת המידע בכוורת.
שימו לב – אם אתם משתמשים ב-API אל מול הכוורת (דפי נחיתה חיצוניים, דפי נחיתה של פניות שירות ושימוש בשירות ה-API המלא שלנו) קראו בעיון את השינויים הקרובים, כי יתכן ותצטרכו לעשות התאמות לשינוי באתר שלכם ו/או בתוכנת האוטומציה שלכם (Zapier/Make)
שימו לב – הרבה מהשינויים הם טכניים ולכן יש להעביר קישור זה למי שמנהל לכם את הדיגיטל/ממשקים לתוכנה.
שינויים מיידיים שיתרחשו בחודשים הקרובים
- מעבר לקבצים המוגנים מפני גישה שאינה מורשית מבחוץ
- מעבר לפרוטוקול TLS 1.3 ואיסור שימוש בפרוטוקולים 1.0 ו-1.1
- מעבר לשירות API לקריאות API במקום הקישורים שהיו עד כה cloud
- תוקף טוקן ה-API הפג יפוג אחת לתקופה
1. מעבר לקבצים המוגנים מפני גישה שאינה מורשית מבחוץ
החל מה-3/3, כדי להגן על המידע שלכם, כל קובץ שתעלו לכוורת יהיה פתוח בצורה דיפולטית לשבועיים לגישה גם ללא חיבור למערכת. לאחר שבוע, הגישה תחסם לכל מי שלא מחובר למערכת.
במידה ותרצו לפתוח את הקובץ ללא חסימה, ניתן לעשות זאת בצורה ידנית בלחיצה על עריכת הקובץ ובחירת האפשרות "האם פתוח ציבורית" > "כן"
שימו לב שאפשרות זו כבר פעילה לחסימה/פתיחה למקרה שאתם רוצים להתיר/לחסום קבצים ליום השינוי.
הנה סרטון המרחיב על הנושא.
2. מעבר לפרוטוקול TLS 1.3 ואיסור שימוש בפרוטוקולים 1.0 ו-1.1
החל מה-9/3 לא תינתן האפשרות לבצע תקשורת בפרוטוקלים 1.0 ו-1.1 – כל תקשורת בפרוטוקולים אלה תחסם, היות והפרוטוקולים הללו מסכנים אתכם ואת המידע של הארגון שלכם.
במידה ואתם משתמשים בדפדפן מעודכן, אין צורך לעשות דבר.
במידה ואתם משדרים לכוורת מאתר ו/או שירות חיצוני, יש לוודא שהם תומכים ומשתמשים בפרוטוקול 1.2 ומעלה. עדיף 1.3 כמובן.
לבדיקת התמיכה לאתר/שירות חיצוני שלכם ניתן להשתמש בשירות הבא: https://www.cdn77.com/tls-test
החל מה-01/07/2026 לא תינתן עוד תקשורת בפרוטוקול 1.2 וניתן יהיה להשתמש רק ב-1.3.
3. מעבר לשירות API לקריאות API
באם אתם משתמשים בדפי נחיתה חיצוניים (API לידים), API פניות שירות או ה-API הכללי של הכוורת, החל מתאריך 01/04 לא תינתן עוד גישה לשירותי ה-api הכלליים של הכוורת מהכתובת הראשית cloud.kaveret.biz.
כל שעליכם לעשות הוא לעדכן בתוכנה/אתר/שירות חיצוני בו אתם משתמשים את הכתובת אליה אתם פונים לכתובת api.kaveret.biz
לדוגמה, אם פניתם לכתובת https://cloud.kaveret.biz/api/v1/customers
עדכנו אצלכם מעתה לפנות ל-https://api.kaveret.biz/api/v1/customers
שימו לב ששירות ה-API החדש הינו מחמיר יותר, כך שיתכן שקריאות לא חוקיות שביצעתם עד כה לא יתאפשרו בשירות החדש, לכן רצוי לבצע בדיקות על השירות לפני הפעלתו ולא לחכות לרגע האחרון לקראת אפריל כדי לתת לכם זמן להערך לשינוי
דוגמאות:
א. שליחת משתנה מספרי כמחרוזת שליחת משתנה מספרי כמחרוזת
don't use:
{
"document_type": "2"
}
use:
{
"document_type": 2
}ב. שליחת סוג תקבול כמחרוזת עם שם התקבול במקום קוד התקבול במערכת (מספרי)
don't use:
"payments": [
{
"type": "כרטיס אשראי",
"price": 800,
"card_num": "532623******4556",
"num_payments": "1"
}
],
use:
"payments": [
{
"type": 3,
"price": 800,
"card_num": "532623******4556",
"num_payments": "1"
}
],לכל שאלה בנושא ה-API אנא כתבו ל-api@kaveret.biz – שלחו בבקשה את כל הפרטים הבאים:
בשם איזה לקוח אתם פונים (עדיף לצרף ע.מ/ח.פ)
לאיזו כתובת פניתם
באיזו תצורה (get, post, put, delete)
מידע שנשלח (JSON)
4. תוקף טוקן ה-API הפג יפוג אחת לתקופה
טוקן ה-API שניתן לכם נותן לכם את האפשרות לעשות פעולות כמו כל משתמש במערכת ואף פעולות שמשתמשים אינם יכולים לעשות ולכן יש לאבטחו בצורה מקסימלית כדי למנוע שימוש זדוני בו.
א. אל תשמרו את הטוקן בצורה מפורשת בשירות/אתר שלכם, הצפינו אותו, כדי שאם גורמים זדוניים מצליחים להגיע לטוקן, לא יוכלו לעשות איתו כלום.
ב. אל תיתנו לטוקן הרשאות של משתמש מנהל אלא אם אין ברירה. הגבילו את הרשאות הטוקן לקבל גישה רק לפעולות שהוא צריך. באם כל מה שהוא צריך זה לחפש מידע, אל תתנו לו גישה להוספת/עדכון ו/או מחיקת מידע.
ג. הגבילו את הגישה לטוקן רק לאתר/שירות ממנו אתם פונים לכוורת, כדי שאם גורמים זדוניים השיגו גישה לטוקן, הם לא יוכלו לעשות בו שימוש מחוץ לגבולות האתר/שירות.
ד. החל מתאריך 01/04 כל הטוקנים בתוכנה יהיו מוגבלים לשנה, אנו ממליצים להחליף את הטוקן אחת לשנה, אך אם תבחרו בכך תוכלו להאריך את תוקף הטוקן לשנה נוספת.
אנו נדאג לתזכר אתכם חודש לפני סיום התוקף ויום לפני סיום התוקף. אנא ודאו עימנו שכתובת/כתובות המייל להתראות בנושא API מעודכנות בכוורת.
