https://www.opennet.ru/openforum/vsluhforumID3/125858.html Компания GitHub раскрыла информацию о двух инцидентах в инфраструктуре репозитория пакетов NPM. 2 ноября сторонние исследователи безопасности (Kajetan Grzybowski и Maciej Piechota) в рамках программы Bug Bounty сообщили о наличии в репозитории NPM уязвимости, позволяющей опубликовать новую версию любого пакета, используя для этого неавторизированную учётную запись. Проблема была устранена через 6 часов после появления информации об уязвимости...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56167<br> https://www.opennet.ru/openforum/vsluhforumID3/125858.html#66 Thu, 18 Nov 2021 13:27:10 GMT Короче, добавляете в проект .npmrc опцию strict=true, комитете package-lock.json и не обновляете пакеты, если нет необходимости.<br> https://www.opennet.ru/openforum/vsluhforumID3/125858.html#65 Thu, 18 Nov 2021 09:57:52 GMT &gt; ЯП без дефолт менеджера - плохой язык.<br><br>В корне неверная информация.<br><br>ЯП со своим велосипедом - плохой язык.<br> https://www.opennet.ru/openforum/vsluhforumID3/125858.html#64 Wed, 17 Nov 2021 14:37:57 GMT Микрософта без зондов не бывает.<br> https://www.opennet.ru/openforum/vsluhforumID3/125858.html#63 Wed, 17 Nov 2021 13:13:40 GMT &gt; Ввёл на телефоне пароль, на нём же сгенерировал TOTP<br><br>Вот тут ошибка. Надо было пароль вводить на одном устройстве, а TOTP использовать на другом.<br>Например входить с компа, а аутентификатор устанавливать на телефон.<br>Если все яйца у вас лежат в одной корзине, то от двухфакторки толку мало.<br><br>Хотя даже тут всё равно будет какая-никакая защита - если пароль просто отбрутфорсят или возьмут из какой-нибудь слитой базы данных, то зайти они не смогут. Собственно про это в новости и написано - про простые пароли, а не про взлом устройств разрабов.<br><br>&gt; Потом телефон накрылся, и ты остался без аккаунта.<br><br>Про гитхаб не знаю, но почти везде можно указать способ восстановления аккаунта - по e-mail, по кодам восстановления или по злосчастному смс.<br>Это по-сути ещё один фактор, который тоже надо "хранить" отдельно от остальных, если подходить по-умному.<br> https://www.opennet.ru/openforum/vsluhforumID3/125858.html#62 Wed, 17 Nov 2021 08:22:04 GMT Слава богу мне node.js не зашла, постоянные баги с ней<br> https://www.opennet.ru/openforum/vsluhforumID3/125858.html#60 Wed, 17 Nov 2021 08:09:20 GMT Ну да. В паразитории с вредоносным по снова обнаружили вредоносное по. Да и пиво разряботчики скорее всего пьют теплое и srаками.<br> https://www.opennet.ru/openforum/vsluhforumID3/125858.html#59 Wed, 17 Nov 2021 06:06:53 GMT мильены бандерлогов в процессе дальнейшего ухудшения качества Web просмотрели очередной баг<br> https://www.opennet.ru/openforum/vsluhforumID3/125858.html#58 Wed, 17 Nov 2021 06:02:57 GMT Ну, т.е. идея отличная, а вот с народом нам не повезло. Так, что ли?<br> https://www.opennet.ru/openforum/vsluhforumID3/125858.html#57 Wed, 17 Nov 2021 05:45:18 GMT NPM --- система удобного подтягивания троян^W замечательных js-пакетов, на которой сидят почти все js-frameworks, на которых сделан современный web и которые выполняются на вашей машине через современный браузер. Так что можно [уже] не беспокоиться.<br>