Decidim - situace se SMS potvrrzením #4

New Issue

2021-04-04T00:26:01+02:00

Podhorecky commented

2021-04-04 00:26:01 +02:00

(Migrated from git.spotter.cz)

Decidim v jedné variantě ověření identity nabízí i zaslání potvrzovacího kódu přes SMS. To dává smysl.

Nicméně nyní je v configu neaktivní, protože není nastavena SMS brána, to taky dává smysl.

naštěstí s tím v rozhraní uživatelského účtu ani nijak zvlášť neotravuje, ani se zadáváním telefonního čísla, takže to zdánlivě vypadá, že to pro běžný provoz není nezbytná featura. Tedy pokud někde netrvá na ověřené identitě mobilem.

V dokumentaci se píše o SMS gateway zde: https://docs.decidim.org/en/configure/initializer/#_sms_gateway_configuration

je tam vyobrazen kus nastavujícího kódu, ale předpokládám že není komplet, protože musí obsahovat další kód a uživatelské keys od SMS služby.

Vlezl jsem na site Twilio, kde lze získat trial účet a něco si zkusit. Pravděpodobně i pro případ SMS sender.

zatím jsem objevil miliardu nastavení na buhvíco. Taky tam je ukázka kusů kódu pro implementaci Twilio služeb do software, podle různých typů jazyků. Tedy včetně ruby a Pythonu atd.

Podle zběžného zkoumání dokumentace Decidimu se Decidim nevyjadřuje ke konkrétní službě Twilio, ani pro to nemá nějaké notičky. Dále jsem však toto nezkoumal, předpokládám, že k tomu musí vzniknout alespoň nějaká minimální programátorská činnost. A ta bude pro každý deployment jiná.

Normálně bych se asi SMS nezabýval, pokud bych měl nějaký blbovzdorný dvoufaktorový proces ověření v Decidim. Ale zatim to nějak drhne. Tak teď nevím jestli to mám řešit... Služby SMS gateway jsou placené, to se obejít nedá.

Decidim v jedné variantě ověření identity nabízí i zaslání potvrzovacího kódu přes SMS. To dává smysl. Nicméně nyní je v configu neaktivní, protože není nastavena SMS brána, to taky dává smysl. naštěstí s tím v rozhraní uživatelského účtu ani nijak zvlášť neotravuje, ani se zadáváním telefonního čísla, takže to zdánlivě vypadá, že to pro běžný provoz není nezbytná featura. Tedy pokud někde netrvá na ověřené identitě mobilem. V dokumentaci se píše o SMS gateway zde: https://docs.decidim.org/en/configure/initializer/#_sms_gateway_configuration je tam vyobrazen kus nastavujícího kódu, ale předpokládám že není komplet, protože musí obsahovat další kód a uživatelské keys od SMS služby. Vlezl jsem na site Twilio, kde lze získat trial účet a něco si zkusit. Pravděpodobně i pro případ **SMS sender**. zatím jsem objevil miliardu nastavení na buhvíco. Taky tam je ukázka kusů kódu pro implementaci Twilio služeb do software, podle různých typů jazyků. Tedy včetně ruby a Pythonu atd. Podle zběžného zkoumání dokumentace Decidimu se Decidim nevyjadřuje ke konkrétní službě **Twilio**, ani pro to nemá nějaké notičky. Dále jsem však toto nezkoumal, předpokládám, že k tomu musí vzniknout alespoň nějaká minimální programátorská činnost. A ta bude pro každý deployment jiná. Normálně bych se asi SMS nezabýval, pokud bych měl nějaký blbovzdorný dvoufaktorový proces ověření v Decidim. Ale zatim to nějak drhne. Tak teď nevím jestli to mám řešit... Služby SMS gateway jsou placené, to se obejít nedá.

Podhorecky commented

2021-04-11 12:27:34 +02:00

(Migrated from git.spotter.cz)

moved from Podhorecky/Hosting#58

Disassembler commented

2021-04-13 22:56:28 +02:00

(Migrated from git.spotter.cz)

Máte k tomu Twiliu nějaké API klíče nebo něco takového? Ideálně v nějakém testovacím módu, který reálně nic neposílá. Ukázkový kód pro Ruby obsahuje hodnoty

TWILIO_ACCOUNT_SID
TWILIO_AUTH_TOKEN
TWILIO_SENDER_NUMBER

vypadá, že to pro běžný provoz není nezbytná featura

Potvrzuji. Po zapnutí a konfiguraci by se to mělo zjevit jako další metoda ověření. Jinak se s tím v kódu nepracuje, pokud to explicitně neimplementuje nějaký modul mimo ty co jsou v základu.

Máte k tomu Twiliu nějaké API klíče nebo něco takového? Ideálně v nějakém testovacím módu, který reálně nic neposílá. Ukázkový kód pro Ruby obsahuje hodnoty - TWILIO_ACCOUNT_SID - TWILIO_AUTH_TOKEN - TWILIO_SENDER_NUMBER > vypadá, že to pro běžný provoz není nezbytná featura Potvrzuji. Po zapnutí a konfiguraci by se to mělo zjevit jako další metoda ověření. Jinak se s tím v kódu nepracuje, pokud to explicitně neimplementuje nějaký modul mimo ty co jsou v základu.

Podhorecky commented

2021-04-14 01:01:28 +02:00

(Migrated from git.spotter.cz)

twilio

login: j.podhorecky@gmail.com
heslo: L0vetwilio.com
recovery code: 4Jnn1hI5OkmZlamEW7ZxQMj3OaaoP9u9QdXu948D
Account SID: AC1549e27b82596f5d70b7688dd6cfa579
TEST AUTHTOKEN: 587f080a4bab0c03d3ce31d567e7d62c
Test Account SID: ACa01e478df5c347e19d69d3d96e46f8e1

End-User Sid
ITdf3fc4cc2bd7c885c8eca1229d4d5a05

k dispozici je 15,5 USD na vyplácání odesílání.

koupil jem z toho číslo pro SMS: cena je 12 USD na měsíc
ještě to budou ověřovat.
+420 736343198

v dokumentační sekci je povídání s kusy kódu v různých programovacích jazycích. Tedy včetně Ruby, Python, atd.

možná tady https://www.twilio.com/docs/sms/tutorials/marketing-notifications-ruby-rails

**[twilio](https://www.twilio.com)** * login: [j.podhorecky@gmail.com](mailto:j.podhorecky@gmail.com) * heslo: L0vetwilio.com * recovery code: 4Jnn1hI5OkmZlamEW7ZxQMj3OaaoP9u9QdXu948D * Account SID: AC1549e27b82596f5d70b7688dd6cfa579 * TEST AUTHTOKEN: 587f080a4bab0c03d3ce31d567e7d62c * Test Account SID: ACa01e478df5c347e19d69d3d96e46f8e1 End-User Sid ITdf3fc4cc2bd7c885c8eca1229d4d5a05 k dispozici je 15,5 USD na vyplácání odesílání. koupil jem z toho číslo pro SMS: cena je 12 USD na měsíc ještě to budou ověřovat. +420 736343198 v dokumentační sekci je povídání s kusy kódu v různých programovacích jazycích. Tedy včetně Ruby, Python, atd. možná tady https://www.twilio.com/docs/sms/tutorials/marketing-notifications-ruby-rails

Podhorecky commented

2021-04-14 12:53:23 +02:00

(Migrated from git.spotter.cz)

... takže testovací mód je ten, že skutečně posílá SMSky, ale platí to Twillio. Je to proto, že mobilní službu zajišťuje jiný kapitalista, jiná cesta neni. Ověření včetně mého OP bude trvat do 3 dnů

Podhorecky commented

2021-04-16 14:30:35 +02:00

(Migrated from git.spotter.cz)

Dear Customer,

Great news! Your Regulatory Bundle: Jiri Podhorecky Czechia Mobile 2021-04-14 at 0:52:48 has been approved. Please make sure that your approved Bundle is now assigned to your Phone Number(s) Once your Bundles are assigned to your Phone Number(s), no further action is necessary. Thanks for being a Twilio Customer!

View your Regulatory Bundle:
https://www.twilio.com/console/phone-numbers/regulatory-compliance/bundles/BU0ca6a598df1860aa69e30bdd3eea1f78

Account: AC1549e27b82596f5d70b7688dd6cfa579

Regulatory Bundle SID: BU0ca6a598df1860aa69e30bdd3eea1f78

Need more information? Take a look at our Getting Started with Phone Number Regulatory Compliance Guide

If you have any questions, please reach out to us at numbers-regulatory-review@twilio.com .

Dear Customer, Great news! Your Regulatory Bundle: Jiri Podhorecky Czechia Mobile 2021-04-14 at 0:52:48 has been approved. Please make sure that your approved Bundle is now assigned to your Phone Number(s) Once your Bundles are assigned to your Phone Number(s), no further action is necessary. Thanks for being a Twilio Customer! View your Regulatory Bundle: https://www.twilio.com/console/phone-numbers/regulatory-compliance/bundles/BU0ca6a598df1860aa69e30bdd3eea1f78 Account: AC1549e27b82596f5d70b7688dd6cfa579 Regulatory Bundle SID: BU0ca6a598df1860aa69e30bdd3eea1f78 Need more information? Take a look at our Getting Started with Phone Number Regulatory Compliance Guide If you have any questions, please reach out to us at numbers-regulatory-review@twilio.com .

Podhorecky commented

2021-04-16 22:32:00 +02:00

(Migrated from git.spotter.cz)

jestli jsem to dobře pochopil, tak testovací nákup SMS čísla vyprší v půlce května.

Disassembler commented

2021-04-18 12:30:30 +02:00

(Migrated from git.spotter.cz)

Jsem mírně překvapen, že ten můj bastlkód funguje. V testovacím režimu (tj. ten co používá Test Account SID, TEST AUTHTOKEN a číslo +15005550006 dle https://www.twilio.com/docs/iam/test-credentials#test-sms-messages-parameters-From ) odeslání SMS a následné ověření prošlo.

Teď jdu vyzkoušet ten ostře-testovací při kterém by mi měla přijít skutečná SMS na moje skutečné číslo.

Jsem mírně překvapen, že ten můj bastlkód funguje. V testovacím režimu (tj. ten co používá _Test Account SID_, _TEST AUTHTOKEN_ a číslo +15005550006 dle https://www.twilio.com/docs/iam/test-credentials#test-sms-messages-parameters-From ) odeslání SMS a následné ověření prošlo. ![image](/uploads/1bc0f757219046f835b6e8ba0cfa1eb2/image.png) Teď jdu vyzkoušet ten ostře-testovací při kterém by mi měla přijít skutečná SMS na moje skutečné číslo.

Podhorecky commented

2021-04-18 12:34:33 +02:00

(Migrated from git.spotter.cz)

twilio security code 4959810

Disassembler commented

2021-04-18 12:47:53 +02:00

(Migrated from git.spotter.cz)

Několik mezipoznatků, než je zapomenu. V tuto chvíli možná obvious, za půl roku už ale obvious být nemusejí.

Na twilio účtu koukám máte 2FA. To asi není problém, protože mimo dnešek tam přistupovat nejspíš nebudu potřebovat, takže ho tam klíďo nechte. To je spíš jen tak FYI.
"ostrý" Auth token 14e032a8494f2317a7fd6af7b620ad9e
V testovacím módu je možno posílat SMS pouze na verifikovaná čísla, která se zadávají na https://www.twilio.com/console/phone-numbers/verified Přidal jsem se tam.

Několik mezipoznatků, než je zapomenu. V tuto chvíli možná obvious, za půl roku už ale obvious být nemusejí. 1) Na twilio účtu koukám máte 2FA. To asi není problém, protože mimo dnešek tam přistupovat nejspíš nebudu potřebovat, takže ho tam klíďo nechte. To je spíš jen tak FYI. 2) "ostrý" Auth token 14e032a8494f2317a7fd6af7b620ad9e 3) V testovacím módu je možno posílat SMS pouze na verifikovaná čísla, která se zadávají na https://www.twilio.com/console/phone-numbers/verified Přidal jsem se tam.

Disassembler commented

2021-04-18 12:52:47 +02:00

(Migrated from git.spotter.cz)

Hmmm, teď jsem se zasekl na tomhle

Twilio::REST::RestError [HTTP 400] 21606 : Unable to create record
The From phone number +420736343198 is not a valid, SMS-capable inbound phone number or short code for your account.
https://www.twilio.com/docs/errors/21606

Chápu z toho, že i pro odesílání zpráv musí být to twilio číslo schopno zprávy přijímat. Podivné, ale budiž. Něco kolem toho se dá provést na https://www.twilio.com/console/phone-numbers/incoming (jak zmiňuje ten doc v textu chyby), ale takovouto manipulaci s číslem, potažmo financemi, nechám s dovolením na Vás. Je to číslo už vůbec aktivní? Nikde ho tam nevidím.

Hmmm, teď jsem se zasekl na tomhle ``` Twilio::REST::RestError [HTTP 400] 21606 : Unable to create record The From phone number +420736343198 is not a valid, SMS-capable inbound phone number or short code for your account. https://www.twilio.com/docs/errors/21606 ``` Chápu z toho, že i pro _odesílání_ zpráv musí být to twilio číslo schopno zprávy _přijímat_. Podivné, ale budiž. Něco kolem toho se dá provést na https://www.twilio.com/console/phone-numbers/incoming (jak zmiňuje ten doc v textu chyby), ale takovouto manipulaci s číslem, potažmo financemi, nechám s dovolením na Vás. Je to číslo už vůbec aktivní? Nikde ho tam nevidím.

Disassembler commented

2021-04-18 12:55:22 +02:00

(Migrated from git.spotter.cz)

No, i kdyby tohle byl nakrásně konec našich pokusů, tak s 98% pravděpodobností můžu říct, že to řešení, které teď máme, bude v ostrém provozu fungovat. Ten testovací test prošel a s webovou službou twilia se to evidentně baví.

Podhorecky commented

2021-04-18 13:30:56 +02:00

(Migrated from git.spotter.cz)

Na twilio účtu koukám máte 2FA.

Nerozumim. To jako dvě faktury? Klikám a nevim kde?

Chápu z toho, že i pro odesílání zpráv musí být to twilio číslo schopno zprávy přijímat.

to jsem taky předpokládal a když jsem to klikal, tak jsem tam volil že číslo odesílá i přijímá. Takže teď nevim kde jsem udělal chybu.

Je to číslo už vůbec aktivní? Nikde ho tam nevidím.

To ovšem nevim přesně. Je možné že jejich workflow má víc kroků než jsem si myslel. Takže jsem vybral číslo a vyzobal všechny ty Keys, pak jsem verifikoval svou identitu, to přišlo, pak jste se do toho pustil.
(Pokud se někde explicitně po těchto krocích znovu vybírá tlf. číslo, tak to jsem teď neudělal)

98% pravděpodobností můžu říct, že to řešení, které teď máme, bude v ostrém provozu fungovat.

Ok, to je dobrá zpráva a jestli to tak je, tak bych to asi považoval za 98% splněnou misi. Tj. když to bude potřeba použít, tak pujde jen o nákup služby.

> Na twilio účtu koukám máte 2FA. Nerozumim. To jako dvě faktury? Klikám a nevim kde? > Chápu z toho, že i pro *odesílání* zpráv musí být to twilio číslo schopno zprávy *přijímat*. to jsem taky předpokládal a když jsem to klikal, tak jsem tam volil že číslo odesílá i přijímá. Takže teď nevim kde jsem udělal chybu. > Je to číslo už vůbec aktivní? Nikde ho tam nevidím. To ovšem nevim přesně. Je možné že jejich workflow má víc kroků než jsem si myslel. Takže jsem vybral číslo a vyzobal všechny ty Keys, pak jsem verifikoval svou identitu, to přišlo, pak jste se do toho pustil. (Pokud se někde explicitně po těchto krocích znovu vybírá tlf. číslo, tak to jsem teď neudělal) > 98% pravděpodobností můžu říct, že to řešení, které teď máme, bude v ostrém provozu fungovat. Ok, to je dobrá zpráva a jestli to tak je, tak bych to asi považoval za 98% splněnou misi. Tj. když to bude potřeba použít, tak pujde jen o nákup služby.

Disassembler commented

2021-04-18 13:32:54 +02:00

(Migrated from git.spotter.cz)

2FA

Dvoufaktorovou autentizaci. Po zadání uživatelského jména a hesla Vám přijde SMS kód, který ještě musíte zadat taky, abyste se úspěšně přihlásil. To je ten kód, co jste mi sem promptně opsal.

> 2FA Dvoufaktorovou autentizaci. Po zadání uživatelského jména a hesla Vám přijde SMS kód, který ještě musíte zadat taky, abyste se úspěšně přihlásil. To je ten kód, co jste mi sem promptně opsal.

Disassembler commented

2021-04-18 13:36:37 +02:00

(Migrated from git.spotter.cz)

No a kde jste vzal to číslo +420 736 343 198? Podle workflow tadyhle https://www.twilio.com/docs/usage/tutorials/how-to-use-your-free-trial-account se má teď kliknout na Get your first Twilio phone number na https://www.twilio.com/console/phone-numbers/getting-started a pak pokračovat v jeho nastavení.

No a kde jste vzal to číslo +420 736 343 198? Podle workflow tadyhle https://www.twilio.com/docs/usage/tutorials/how-to-use-your-free-trial-account se má teď kliknout na _Get your first Twilio phone number_ na https://www.twilio.com/console/phone-numbers/getting-started a pak pokračovat v jeho nastavení.

Podhorecky commented

2021-04-18 13:41:11 +02:00

(Migrated from git.spotter.cz)

No a kde jste vzal to číslo

z dashboardu je tlačítko na nákup čísla do Ameriky, tak jsem zvolil výběr jiného čísla co mě poslalo na filtrovací formulář. https://www.twilio.com/console/phone-numbers/search
tak jsem vybral ČR

byla tam tabulka s nabídkou tlf čísel pro Českou republiku, volil jsem že jde o příjem odeslání SMS. Pak jsem zvolil to první v seznamu a kliknul na BUY. Tím jsem předpokládal, že jsem si ho na měsíc koupil.

> No a kde jste vzal to číslo z dashboardu je tlačítko na nákup čísla do Ameriky, tak jsem zvolil výběr jiného čísla co mě poslalo na filtrovací formulář. https://www.twilio.com/console/phone-numbers/search tak jsem vybral ČR byla tam tabulka s nabídkou tlf čísel pro Českou republiku, volil jsem že jde o příjem odeslání SMS. Pak jsem zvolil to první v seznamu a kliknul na BUY. Tím jsem předpokládal, že jsem si ho na měsíc koupil.

Disassembler commented

2021-04-18 13:46:34 +02:00

(Migrated from git.spotter.cz)

Podivné. Čuju nějaký souběh s tou aktivací trial účtu. Tak prosím proběhněte to workflow od Get your first Twilio phone number ještě jednou. Na konci workflow by to číslo mělo být vidět tady - https://www.twilio.com/console/phone-numbers/incoming

Podivné. Čuju nějaký souběh s tou aktivací trial účtu. Tak prosím proběhněte to workflow od *Get your first Twilio phone number* ještě jednou. Na konci workflow by to číslo mělo být vidět tady - https://www.twilio.com/console/phone-numbers/incoming

Podhorecky commented

2021-04-18 14:12:34 +02:00

(Migrated from git.spotter.cz)

Aha, procházím ten proces a už asi chápu... Proces nákupu telefonního čísla na rozesílání spamu o prodlužování penisů není jednoduchý webshop. Probíhá v každém státě pod regulacemi toho státu, nebo jiné EU. Bez toho číslo neprodají kdekomu. Takže chtějí po spammerovi 2 věci:

ten Regulatory bundle (prokazuji se OP a jinými údaji o záměru pachatele)
address (zadávám adresu odkud budu páchat trestnou činnost)

pokud toto není vyplněno, tak mne to vyzve vyrobit. No a já jsem kliknutím na BUY ještě nic nekoupil, pouze jsem se dostal do bodu kdy jsem dokládal co jsem zač.

Teď jsem vyrobil požadované, kliknu na koupení vybraného čísla a zas mne to oznamuje, že číslo není dostupné nebo že "Upgrade required to purchase number"

supr. na účtě mám pořád 15,5 USD, takže nic jsem nekoupil.

Musim teď jít, za hodinu to zkusim znova.

Aha, procházím ten proces a už asi chápu... Proces nákupu telefonního čísla na rozesílání spamu o prodlužování penisů není jednoduchý webshop. Probíhá v každém státě pod regulacemi toho státu, nebo jiné EU. Bez toho číslo neprodají kdekomu. Takže chtějí po spammerovi 2 věci: - ten Regulatory bundle (prokazuji se OP a jinými údaji o záměru pachatele) - address (zadávám adresu odkud budu páchat trestnou činnost) pokud toto není vyplněno, tak mne to vyzve vyrobit. No a já jsem kliknutím na BUY ještě nic nekoupil, pouze jsem se dostal do bodu kdy jsem dokládal co jsem zač. Teď jsem vyrobil požadované, kliknu na koupení vybraného čísla a zas mne to oznamuje, že číslo není dostupné nebo že "Upgrade required to purchase number" supr. na účtě mám pořád 15,5 USD, takže nic jsem nekoupil. Musim teď jít, za hodinu to zkusim znova.

Podhorecky commented

2021-04-18 14:20:55 +02:00

(Migrated from git.spotter.cz)

zřejmě ještě budou validovat adresu. achjo.

zřejmě ještě budou validovat adresu. achjo. ![Firefox_Screenshot_2021-04-18T12-19-57.780Z](/uploads/2540f18a0ae6ae3c0f4c40b8de90532f/Firefox_Screenshot_2021-04-18T12-19-57.780Z.png)

Disassembler commented

2021-04-18 14:22:36 +02:00

(Migrated from git.spotter.cz)

OK, jestli je s tím nějakého zbytečného jebání, které se Vám nechce podstupovat, tak to nechme být. Commitnu ten kód tak, jak ho máme, a až se jednoho krásného dne dostaneme k nějaké živé implementaci, tak uvidíme, jestli funguje tak, jak si myslím.

Podhorecky commented

2021-04-18 14:25:24 +02:00

(Migrated from git.spotter.cz)

jebání je otravné, ale dobře že si ho zkoušim. Alespoň vim s čím počítat. Ještě tomu budu věnovat pozornost, ale jak řikáte... pokud se to dá považovat za vyřešené, bude to stejně čekat až na budoucí živou implementaci

Podhorecky commented

2021-04-18 15:28:11 +02:00

(Migrated from git.spotter.cz)

každopádně za výkon v Ruby děkuji, já teď tedy zvážím zda Rubystu obtěžovat, zároveň počkáme zda se na projektu objeví nějaké zásadní fixy.

Podhorecky commented

2021-04-20 15:55:48 +02:00

(Migrated from git.spotter.cz)

mentioned in issue #18