forum.opennet.ru - "NPM для усиления защиты уходит от использования TOTP 2FA и классических токенов" (59)

"NPM для усиления защиты уходит от использования TOTP 2FA и классических токенов"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"NPM для усиления защиты уходит от использования TOTP 2FA и классических токенов"	+/–
Сообщение от opennews (ok), 23-Сен-25, 20:30
После новой волны фишинг-атак на сопровождающих, инцидентов с компрометацией популярных пакетов и появления червей, поражающих зависимости, в репозитории NPM решено реализовать дополнительные меры защиты:... Подробнее: https://www.opennet.me/opennews/art.shtml?num=63930
Ответить \| Правка \| Cообщить модератору

Оглавление

РКН Я только понял как удобно использовать TOTP Это заговор Всё то, что м, FSA (ok), 20:30 , 23-Сен-25, (1) +2

Джаббер-то где и чем скатился, пардон , Аноним (3), 20:33 , 23-Сен-25, (3) +3

Ровно в тот момент, когда оказалось что Whatsapp не будет включать федерацию , Аноним (28), 22:41 , 23-Сен-25, (28) –1

Ну это решение проприетарного Штоапа При чём здесь Jabber вцелом Виноват тольк, Аноним (48), 23:23 , 23-Сен-25, (48)

За 5 лет использования аппаратного FIDO токена убедился, что это примерно в 10 т, Аноним (11), 20:52 , 23-Сен-25, (11) +2

Вот это их хлопнуло по голове Интересно, они понимают что большинство контрибью, Аноним (3), 20:33 , 23-Сен-25, (2) +3

Fido2 уже везде есть Нет возможности использовать железный ключ - в браузерах е, morphe (?), 20:55 , 23-Сен-25, (13) –1

Не всё в жизни - это браузер По крайней мере, у меня , Аноним (3), 20:57 , 23-Сен-25, (14)

Браузеры используют системное хранилище ключей по идееНе уверен как это работает, morphe (?), 22:07 , 23-Сен-25, (22) –1

а чем это отличается от рандомного пасворда в текстовом файле иллюзией изоляции, penetrator (?), 22:30 , 23-Сен-25, (27) +1

Файл можно незаметно украсть Лаптоп 8212 нет , Аноним (28), 22:43 , 23-Сен-25, (29)

Лаптоп можно случайно полить кофе забыть в такси причём вместе с сумкой где и, Аноним (36), 22:52 , 23-Сен-25, (36)
если у тебя появился доступ к лаптопу и его файлам на уровне - что хочу то вороч, penetrator (?), 22:54 , 23-Сен-25, (38) +1

FIDO2 требует физического подтверждения присутствия, удачи что-то серьёзное пров, morphe (?), 23:00 , 23-Сен-25, (40)

Можно робота сделать, который силиконовым муляжом пальца с фейковыми паппилярным, Аноним (47), 23:19 , 23-Сен-25, (47)

Если речь про аттестацию - то да, в стандарте действительно заложено, однако оно, morphe (?), 23:32 , 23-Сен-25, (50)

Нет абсолютно любая аттестация именно для этого и предназначена приказать скоту, Аноним (53), 23:42 , 23-Сен-25, (53)

Для этого не нужно ничего в FIDO2 добавлять, владельцы платформ при желании давн, morphe (?), 23:49 , 23-Сен-25, (54)
Что значит могли Делали Стандартизировали не для этого А чтобы всех на него, Аноним (56), 23:55 , 23-Сен-25, (56)
Ошейники в лице windows hello, play integrity api, и чего-то там у apple сущес, morphe (?), 00:03 , 24-Сен-25, (58)
Я не говорил, что полностью подходит WEI похоронили потому, что Apple - важный , Аноним (59), 00:12 , 24-Сен-25, (59)
У эпла Private Access Tokens, при чём тут FIDO2 , morphe (?), 00:43 , 24-Сен-25, (60)

А в процессорах - SGX, SEV и TrustZone А у кого нет - те бомжи пусть на свалку , Аноним (47), 23:08 , 23-Сен-25, (44)

Это к чему вообще Что из этого есть в условном nitrokey любой другой fido2 желе, morphe (?), 23:11 , 23-Сен-25, (46)

Стандарт читайте В самодельных токенах нет, а вот в фабричных токенах официальн, Аноним (47), 23:24 , 23-Сен-25, (49)

FIDO2 конечно такое позволяет Однако при желании компании могут и без webauth, morphe (?), 23:39 , 23-Сен-25, (52)

Могут, но это нестандартизировано А вот когда это стандартизировали - это уже н, Аноним (55), 23:50 , 23-Сен-25, (55)

Минусы будут Если разработчик не может разобраться как токенами пользоваться, о, Аноним (28), 01:11 , 24-Сен-25, (61)

Не проще ли просто не пользоваться ни nodejs, ни npm Да и вообще джаваскриптом , Аноним (4), 20:37 , 23-Сен-25, (4) +2

не пользуйся, кто тебе не дает , пох. (?), 20:37 , 23-Сен-25, (6) –2

Он и не пользуется И у него никаких проблем в жизни нет типа описанных в соседн, Аноним (15), 21:10 , 23-Сен-25, (15) +1

такое впечатление, что они спросили совета как жыть - у чатгопоты последний пу, пох. (?), 20:37 , 23-Сен-25, (5) +5
FIDO2 хорош тем, что ключ не будет выдан, если домен отличается TOTP от такого , Аноним (-), 20:40 , 23-Сен-25, (7) +1

и тут ваш fido2 девайс внезапно сдох и да, я понимаю что у Вас лично их 5, Аноним (36), 21:59 , 23-Сен-25, (20) +4

Большинство сайтов требуют регистрировать минимум 2 ключа, и что android, что ma, morphe (?), 22:14 , 23-Сен-25, (24)

Да что тут ключи, вы ведь и сами до 150 лет дожить небось надеялись, а там и бес, Аноним (56), 23:59 , 23-Сен-25, (57)

Ну и обычно с fido2 у тебя либо скачивается код восстановления, либо только чере, morphe (?), 22:18 , 23-Сен-25, (26)

Да да, 2 недели назад дядю как раз отправляли фейковым письмом не восстановление, Аноним (36), 22:46 , 23-Сен-25, (32)

Потому что человек привыкает к подобным действиям и выполняет их машинально, не , morphe (?), 22:50 , 23-Сен-25, (34)

А TOTP чем-то им не угодил , Аноним (8), 20:42 , 23-Сен-25, (8) +5

Тем что все его ставят аддоном в браузер и хранят рядом с паролем , Аноним (11), 20:50 , 23-Сен-25, (10)
Злоумышленники создают фейк сайты где запрешивают оба фактора От такого totp не, morphe (?), 20:52 , 23-Сен-25, (12) +1

А что из предложенного спасёт , Аноним (36), 21:31 , 23-Сен-25, (16)

Правильно настроенный парольный менеджер Он пароль не отдаст фейковому сайту и , Секрет Полишинеля (?), 21:43 , 23-Сен-25, (18) +1

Но это на стороне клиента делается, а не на стороне сервера если клиент очень , Аноним (36), 21:55 , 23-Сен-25, (19)

ну и тут все это автоматические автоматизации по выкату версий через гит пуш, би, Аноним (36), 22:05 , 23-Сен-25, (21)

Для CI предлагается OIDC последний пункт , без постоянных токенов , morphe (?), 22:16 , 23-Сен-25, (25)

И как оно поможет не получить секрет в момент штатной сборки и, напомню, тут же, Аноним (36), 22:43 , 23-Сен-25, (30)

Он за пределы CI не выходитАтаки на CI конечно существуют, спасибо кривизне гитх, morphe (?), 22:47 , 23-Сен-25, (33)

Так буча и пошла именно с такой атаки изнутри, при СИ скачивался заражённый мод, Аноним (36), 22:57 , 23-Сен-25, (39)

Раньше был постоянный токен которым пользователь сам руками распоряжался и мог п, morphe (?), 23:05 , 23-Сен-25, (43)

Сайты изменяются, и парольные менеджеры перестают определять формы входа порой , morphe (?), 22:53 , 23-Сен-25, (37)

Fido2 Нормальная криптография вместо паролей, и проверка кто на самом деле ключ, morphe (?), 23:02 , 23-Сен-25, (41)

Тем, что нет TEE-аттестации и биометрии , Аноним (47), 23:10 , 23-Сен-25, (45)

Пора бы уже галочки подтверждённых адресантов и адресатов делать ООО Mozilla и, Bob (??), 22:11 , 23-Сен-25, (23) +1

Опять дети WoT изобретают Ты бы ещё key signing party предложил провести , Аноним (28), 22:45 , 23-Сен-25, (31)
Не, время эту лапшу на уши вешать давно прошло Сейчас время ультраправых поли, Аноним (51), 23:36 , 23-Сен-25, (51) –1

Шиза крепчала Не нужно Не взлетит Красная полоска тоже не нужна Хватит Дост, Аноним (35), 22:51 , 23-Сен-25, (35) +1
Скрыто модератором, Аноним (47), 23:05 , 23-Сен-25, (42) +2

Сообщения [Сортировка по времени | RSS]

1. "NPM уходит от использования TOTP 2FA и классических токенов ..." +2 +/–

Сообщение от FSA (ok), 23-Сен-25, 20:30

[РКН]. Я только понял как удобно использовать TOTP... Это заговор. Всё то, что мне начинает нравится, скатывается... KDE, Gnome, Ubuntu, Jabber...

Ответить | Правка | Наверх | Cообщить модератору

3. "NPM уходит от использования TOTP 2FA и классических токенов ..." +3 +/–

Сообщение от Аноним (3), 23-Сен-25, 20:33

Джаббер-то где и чем скатился, пардон?

Ответить | Правка | Наверх | Cообщить модератору

28. "NPM уходит от использования TOTP 2FA и классических токенов ..." –1 +/–

Сообщение от Аноним (28), 23-Сен-25, 22:41

Ровно в тот момент, когда оказалось что Whatsapp не будет включать федерацию.

Ответить | Правка | Наверх | Cообщить модератору

48. "NPM уходит от использования TOTP 2FA и классических токенов ..." +/–

Сообщение от Аноним (48), 23-Сен-25, 23:23

Ну это решение проприетарного Штоапа. При чём здесь Jabber вцелом? Виноват только тем, что Всосап тоже использовал XMPP ?

Ответить | Правка | Наверх | Cообщить модератору

11. "NPM уходит от использования TOTP 2FA и классических токенов ..." +2 +/–

Сообщение от Аноним (11), 23-Сен-25, 20:52

За 5 лет использования аппаратного FIDO токена убедился, что это примерно в 10 тысяч раз удобнее чем ввод кодов с телефона.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +3 +/–

Сообщение от Аноним (3), 23-Сен-25, 20:33

Вот это их хлопнуло по голове. Интересно, они понимают что большинство контрибьюторов на три буквы их отправит с этими пожеланиями?
Нормальный TOTP в качестве MFA - это достаточно защищённо. Все вот эти вот мертворожденные высеры с FIDO - это для шизиков уровня бородача Столлмана, которые никуда никогда не поедут, и дико ограничат людей как в железе, так и в софте.
NPM, походу, решил себя закопать.

Ответить | Правка | Наверх | Cообщить модератору

13. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." –1 +/–

Сообщение от morphe (?), 23-Сен-25, 20:55

> Все вот эти вот мертворожденные высеры с FIDO - это для шизиков уровня бородача Столлмана, которые никуда никогда не поедут, и дико ограничат людей как в железе, так и в софте.
Fido2 уже везде есть. Нет возможности использовать железный ключ - в браузерах есть passkeys.
TOTP намного менее удобно чем нажать на nitrokey стоящий в usb порту

Ответить | Правка | Наверх | Cообщить модератору

14. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (3), 23-Сен-25, 20:57

Не всё в жизни - это браузер. По крайней мере, у меня.

Ответить | Правка | Наверх | Cообщить модератору

22. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." –1 +/–

Сообщение от morphe (?), 23-Сен-25, 22:07

> Не всё в жизни - это браузер. По крайней мере, у меня.
Браузеры используют системное хранилище ключей по идее
Не уверен как это работает в софте, у меня уже лет 8 железный ключ есть, знаю лишь что софтверные u2f давно везде существуют

Ответить | Правка | Наверх | Cообщить модератору

27. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +1 +/–

Сообщение от penetrator (?), 23-Сен-25, 22:30

а чем это отличается от рандомного пасворда в текстовом файле? иллюзией изоляции и защищенности?

Ответить | Правка | Наверх | Cообщить модератору

29. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (28), 23-Сен-25, 22:43

Файл можно незаметно украсть. Лаптоп — нет.

Ответить | Правка | Наверх | Cообщить модератору

36. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (36), 23-Сен-25, 22:52

Лаптоп можно случайно полить кофе.. забыть в такси. причём вместе с сумкой где и резервный токен лежал..
еще раз, если чел озаботился САМ безопасностью то резервный токен у него будет лежать отдельно, но он и на поддельное письмо скорее всего не клюнет, и TOTP не подарит... а если клюнет, то скорее всего и токен будет пролюблен при первой же возможности.

Ответить | Правка | Наверх | Cообщить модератору

38. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +1 +/–

Сообщение от penetrator (?), 23-Сен-25, 22:54

> Файл можно незаметно украсть. Лаптоп — нет.
если у тебя появился доступ к лаптопу и его файлам на уровне - что хочу то ворочу, то ты сможешь встроиться в пайплан и тебе никакой 2FA не поможет
ну как можно надеяться на магический токен, если систему уже скомпрометирована? ну это же сюр

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

40. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от morphe (?), 23-Сен-25, 23:00

> ну как можно надеяться на магический токен, если систему уже скомпрометирована? ну это же сюр
FIDO2 требует физического подтверждения присутствия, удачи что-то серьёзное провести автоматически и незаметно.

Ответить | Правка | Наверх | Cообщить модератору

47. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (47), 23-Сен-25, 23:19

Можно робота сделать, который силиконовым муляжом пальца с фейковыми паппилярными узорами будет жать на токен с биометрией. Но эту проблему решат. Там в FIDO2 встроен механизм аттестации. Грубо говоря аттестацию можно свести к следующей максиме - "с несвоим (не произведённым своим альянсом, и тут не FIDO2 имеется в виду, а альянс производителя железа и хозяина платформы) железом и софтом дела не имеем". Поэтому отрубить вход не через Windows Hello - как нефиг делать, в стандарте эта возможность изначально заложена. Будешь как пользователь яблоустройств - не можешь целостное устройство нужной модели предъявить - значит вон на мусорный полигон пошёл, M$ не обязан благотворительностью заниматься, тебе хостинг бесплатно предоставляя, вот устройство купи, биометрию предъяви, тем самым сервис оплати - вот тогда добро пожаловать.

Ответить | Правка | Наверх | Cообщить модератору

50. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от morphe (?), 23-Сен-25, 23:32

> Поэтому отрубить вход не
> через Windows Hello - как нефиг делать, в стандарте эта возможность
> изначально заложена.
Если речь про аттестацию - то да, в стандарте действительно заложено, однако оно предназначено не для этого, и для такого юзкейса не поддерживается.
Это действительно существует чтобы заменить кастомные драйвера что сейчас используются для карточек для входа на госпорталы на fido2, и это действительно может быть использовано для вендорлока, но это всё же имеет пользу.
Кроме того, аттестация подтверждает лишь модель устройства, а не конкретное устройство, из-за чего это нельзя использовать в качестве web integrity/private access token/прочего drm.
Сайты могут разрешить вход только через windows hello, но если вдруг windows hello получит возможность нарушать приватность (например будет передавать серийный номер устройства или чот ещё) - то аттестация для него будет отозвана глобально самими fido2, чего microsoft не захотят, ведь это нарушит работу намного большего числа сайтов.
https://fidoalliance.org/fido-technotes-the-truth-about-atte.../

Ответить | Правка | Наверх | Cообщить модератору

53. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (53), 23-Сен-25, 23:42

>однако оно предназначено не для этого
Нет абсолютно любая аттестация именно для этого и предназначена: приказать скоту какой надо девайс купить, а скоту придётся либо подчиниться, либо к бомжам на мусорный полигон проваливать.
>Сайты могут разрешить вход только через windows hello
Вот видите, вы же фактически полностью со мной согласны. Не вижу ни малейшего несогласия.
>но это всё же имеет пользу
Для Micro$oftа пользу, и для его союзников и коллаборационистов. Не для меня. Для меня и любых адекватных людей это - сплошной вред.

Ответить | Правка | Наверх | Cообщить модератору

54. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от morphe (?), 23-Сен-25, 23:49

> Нет абсолютно любая аттестация именно для этого и предназначена: приказать скоту какой надо девайс купить, а скоту придётся либо подчиниться, либо к бомжам на мусорный полигон проваливать.
Для этого не нужно ничего в FIDO2 добавлять, владельцы платформ при желании давно уже могли сделать лазейки для аттестации устройств от сайтов, это так нагло не делают потому что это противоречит антиминопольным законодательствам и GDPR. С FIDO2 смогут сделать, однако сдерживающая сила остаётся той же самой.
> Для Micro$oftа пользу, и для его союзников и коллаборационистов. Не для меня.
> Для меня и любых адекватных людей это - сплошной вред.
Т.е лучше ставить непонятный кривой софт от госконтор чтобы можно было входить на госпорталы по CCID? ID карточки распространены по всей Европе, есть много где в Азии, и ещё во многих странах.

Ответить | Правка | Наверх | Cообщить модератору

56. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (56), 23-Сен-25, 23:55

>Для этого не нужно ничего в FIDO2 добавлять, владельцы платформ при желании давно уже могли сделать лазейки для аттестации устройств от сайтов
Что значит "могли"? Делали. Стандартизировали не для этого. А чтобы всех на него завязать. Без стандартизаци это не взлетит. А вот со стандартизацией - это ещё поработать надо, чтобы взлетело, скот приучить, что носить ошейник надо, а создателей сайтов - что скот без ошейника надо гнать ради их (владельцев сайтов) нескольких сребренников. Пока у скота ошейников массово нет - сайты не внедрят. А чтобы у скота ошейники были - надо через свои рычаги их наличия требовать. Вот они  реализуют этот план.
>Т.е лучше ставить непонятный кривой софт от госконтор чтобы можно было входить на госпорталы по CCID? ID карточки распространены по всей Европе, есть много где в Азии, и ещё во многих странах.
Вы этот софт всё равно ставить будете. Когда вам скажут would you kindly - вы ведь не откажете.

Ответить | Правка | Наверх | Cообщить модератору

58. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от morphe (?), 24-Сен-25, 00:03

> Пока у скота ошейников массово нет - сайты не внедрят
"Ошейники" в лице windows hello, play integrity api, и чего-то там у apple существуют уже много лет
Применять их пытались через web integrity api, который намного лучше для таких задач подходит (зачем по твоему вообще web integrity api делали, когда webauthn по твоему полностью для тех же задач подходит?)
Это так не работает
> Вы этот софт всё равно ставить будете. Когда вам скажут would you kindly - вы ведь не откажете.
Раньше альтернативы не было, а сейчас есть, и её поддержку постепенно внедряют.

Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

59. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (59), 24-Сен-25, 00:12

>зачем по твоему вообще web integrity api делали, когда webauthn по твоему полностью для тех же задач подходит
Я не говорил, что полностью подходит. WEI похоронили потому, что Apple - важный игрок4, и у неё есть свой аналог. С названием, от которого у скота паника не начинается.

Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

60. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от morphe (?), 24-Сен-25, 00:43

> Я не говорил, что полностью подходит. WEI похоронили потому, что Apple -
> важный игрок4, и у неё есть свой аналог. С названием, от
> которого у скота паника не начинается.
У эпла Private Access Tokens, при чём тут FIDO2?

Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

44. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (47), 23-Сен-25, 23:08

А в процессорах - SGX, SEV и TrustZone. А у кого нет - те бомжи пусть на свалку проследуют, где им и место: в современном обществе нет места нежелательным элементам, саботирующим хозяйский надзор и контроль за своей собственностью, своим поголовьем. Не нравится в стойле - мусорный полигон с бомжами вон там.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

46. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от morphe (?), 23-Сен-25, 23:11

> А в процессорах - SGX, SEV и TrustZone.
Это к чему вообще? Что из этого есть в условном nitrokey/любой другой fido2 железке?

Ответить | Правка | Наверх | Cообщить модератору

49. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (47), 23-Сен-25, 23:24

Стандарт читайте. В самодельных токенах нет, а вот в фабричных токенах официальных партнёров альянса, включая Google Titan, Windows Hello, Google SafetyNet, и устройствах от Apple всё есть. И послать тебя за использование не своего устройства - эта штатная фича стандарта. В будущем будет в дополнение к reCAPTCHA/hCAPTCHA (которые нифига не капчи) - хочешь на сайт? Докажи, что у тебя какое надо устройство. Не доказал? Ну значит ты нежелателен, потому что законопослушному гражданину не зачем использовать что-то из того, что хозяева не одобрили.

Ответить | Правка | Наверх | Cообщить модератору

52. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от morphe (?), 23-Сен-25, 23:39

> хочешь на сайт? Докажи,
> что у тебя какое надо устройство. Не доказал? Ну значит ты
> нежелателен, потому что законопослушному гражданину не зачем использовать что-то из того,
> что хозяева не одобрили.
FIDO2 конечно такое позволяет... Однако при желании компании могут и без webauthn аттестацию проводить, банально на устройстве поднять вебсокет и из JS к нему цепляться, а там уже гонять что надо для аттестации. FIDO2 тут ничего нового не приносит, и есть причины почему так не делают.

Ответить | Правка | Наверх | Cообщить модератору

55. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (55), 23-Сен-25, 23:50

>Однако при желании компании могут и без webauthn аттестацию проводить, банально на устройстве поднять вебсокет
Могут, но это нестандартизировано. А вот когда это стандартизировали - это уже не звоночек, а целый набат. Вы находитесь здесь.

Ответить | Правка | Наверх | Cообщить модератору

61. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (28), 24-Сен-25, 01:11

> Интересно, они понимают что большинство контрибьюторов на три буквы их отправит с этими пожеланиями?
Минусы будут? Если разработчик не может разобраться как токенами пользоваться, он и как разработчик может не особо-то и нужен. А ну как pow от xor не отличит или ещё какую-нибудь такую дичь выкинет?

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

4. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +2 +/–

Сообщение от Аноним (4), 23-Сен-25, 20:37

Не проще ли просто не пользоваться ни nodejs, ни npm? Да и вообще джаваскриптом тож не пользоваться.

Ответить | Правка | Наверх | Cообщить модератору

6. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." –2 +/–

Сообщение от пох. (?), 23-Сен-25, 20:37

не пользуйся, кто тебе не дает?

Ответить | Правка | Наверх | Cообщить модератору

15. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +1 +/–

Сообщение от Аноним (15), 23-Сен-25, 21:10

Он и не пользуется. И у него никаких проблем в жизни нет типа описанных в соседних новостях. Вот он и спрашивает, для чего этим пользуются другие.

Ответить | Правка | Наверх | Cообщить модератору

5. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +5 +/–

Сообщение от пох. (?), 23-Сен-25, 20:37

такое впечатление, что они спросили совета как жыть - у чатгопоты.
(последний пункт еще мог бы иметь какой-то смысл, но все остальное - какой-то полный bullshit составленный по мотивам модных трендов без малейшей попытки понять причину и механизм последних взломов)

Ответить | Правка | Наверх | Cообщить модератору

7. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +1 +/–

Сообщение от Аноним (-), 23-Сен-25, 20:40

FIDO2 хорош тем, что ключ не будет выдан, если домен отличается. TOTP от такого типа атак не защищает.

Ответить | Правка | Наверх | Cообщить модератору

20. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +4 +/–

Сообщение от Аноним (36), 23-Сен-25, 21:59

и тут ваш fido2 девайс внезапно сдох и...... (да, я понимаю что у Вас лично их 5 шт  запасных настроено, но у среднего обывателя он был ровно один.)
а если там есть рекавери вариант входа, для получения нового секрета для нового токена (а он есть), то "мы просто свели задачу к предыдущей".

Ответить | Правка | Наверх | Cообщить модератору

24. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от morphe (?), 23-Сен-25, 22:14

> и тут ваш fido2 девайс внезапно сдох и...... (да, я понимаю что
> у Вас лично их 5 шт  запасных настроено, но у
> среднего обывателя он был ровно один.)
Большинство сайтов требуют регистрировать минимум 2 ключа, и что android, что macos, что windows из коробки имеют системную реализацию на базе tpm. В Linux тоже можешь поставить. Либо просто купить 2 железных ключа, они стоят мало, а большинство имеют у себя на борту opengpg, через который ты сможешь и письма подписывать, и по ssh авторизоваться куда угодно, и вообще что угодно делать.
Ну и не говоря о том что железные ключи практически бессмертные.

Ответить | Правка | Наверх | Cообщить модератору

57. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (56), 23-Сен-25, 23:59

>Ну и не говоря о том что железные ключи практически бессмертные.
Да что тут ключи, вы ведь и сами до 150 лет дожить небось надеялись, а там и бессмертия достичь...

Ответить | Правка | Наверх | Cообщить модератору

26. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от morphe (?), 23-Сен-25, 22:18

> а если там есть рекавери вариант входа, для получения нового секрета для нового токена (а он есть), то "мы просто свели задачу к предыдущей".
Ну и обычно с fido2 у тебя либо скачивается код восстановления, либо только через саппорт
Не думаю что кто-то это иначе реализует.

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

32. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (36), 23-Сен-25, 22:46

Да да, 2 недели назад дядю как раз отправляли фейковым письмом не восстановление 2ФА кодов... ну отправят на восстановление FIDO2... и получат код сами.

Ответить | Правка | Наверх | Cообщить модератору

34. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от morphe (?), 23-Сен-25, 22:50

> ну отправят на восстановление FIDO2... и получат код сами.
Потому что человек привыкает к подобным действиям и выполняет их машинально, не думая, и это проблема всех подобных схем основанных на людях.
Код восстановления же никто на постоянке не использует (= у человека больше времени на подумать не делает ли он чот не то), а FIDO2 от подобного MITM защищён (= машинально применять можно).

Ответить | Правка | Наверх | Cообщить модератору

8. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +5 +/–

Сообщение от Аноним (8), 23-Сен-25, 20:42

А TOTP чем-то им не угодил?

Ответить | Правка | Наверх | Cообщить модератору

10. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (11), 23-Сен-25, 20:50

Тем что все его ставят аддоном в браузер и хранят рядом с паролем.

Ответить | Правка | Наверх | Cообщить модератору

12. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +1 +/–

Сообщение от morphe (?), 23-Сен-25, 20:52

Злоумышленники создают фейк сайты где запрешивают оба фактора. От такого totp не спасает

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

16. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (36), 23-Сен-25, 21:31

А что из предложенного спасёт ?

Ответить | Правка | Наверх | Cообщить модератору

18. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +1 +/–

Сообщение от Секрет Полишинеля (?), 23-Сен-25, 21:43

Правильно настроенный парольный менеджер. Он пароль не отдаст фейковому сайту и не покажет коллеге за спиной. И никакой 2FA не нужен. Только тссс!

Ответить | Правка | Наверх | Cообщить модератору

19. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (36), 23-Сен-25, 21:55

Но это на стороне клиента делается, а не на стороне сервера.. если клиент очень хочет подарить свой доступ третьим лицам, он это сделает несмотря на препоны..

Ответить | Правка | Наверх | Cообщить модератору

21. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (36), 23-Сен-25, 22:05

ну и
>Переход на гранулированные токены, время жизни которых ограничено 7 днями.
>Классические токены будут объявлены устаревшими и доступ с их помощью будет
> по умолчанию отключён.
тут все это автоматические автоматизации по выкату версий через гит пуш, билт, тест, коммут в npm, идут лесом.. раз в 7 дней перевыпускать руками токен можно первые пару месяцев, потом это задолбает даже самых упёртых.
ну и таки если ты постоянно чтото разрабатываешь, то токен актуальный ты таки положишь, и тогда в приведённой несколько дней назад схеме ничего не поменяется, червю глубоко нас рать на то, временный он спёр токен или постоянный, что бы запушить "одно небольшое дополнение к безусловно хорошему пакету".

Ответить | Правка | Наверх | Cообщить модератору

25. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от morphe (?), 23-Сен-25, 22:16

> тут все это автоматические автоматизации по выкату версий через гит пуш, билт,
> тест, коммут в npm, идут лесом.. раз в 7 дней перевыпускать
> руками токен можно первые пару месяцев, потом это задолбает даже самых
> упёртых.
Для CI предлагается OIDC (последний пункт), без постоянных токенов.

Ответить | Правка | Наверх | Cообщить модератору

30. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (36), 23-Сен-25, 22:43

И как оно поможет не получить секрет в момент штатной сборки (и, напомню, тут же его и  применить для своих не шибко чистых целей, будь он хоть 5 минутной жизни)?
тут как бы или мы держим токен в секрете, и тогда не очень важно, 10 минутный он или годовой.. или мы его пролюбливаем на сторону и он сражу зе и пременятся "по назначению".
Это смахивает на проверку на рамках с выворачиванием карманов на входе на концерты и в театры.. 20 лет выворачивали чтобы злые дяди не прошли... задолбали своими проверками и задержками начала концертов и спектаклей всех и зрителей и артистов. но как только дяди захотели войти, то случилось так, что как раз от них то рамки не помогают ни разу.

Ответить | Правка | Наверх | Cообщить модератору

33. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от morphe (?), 23-Сен-25, 22:47

> И как оно поможет не получить секрет в момент штатной сборки (и,
> напомню, тут же его и  применить для своих не шибко
> чистых целей, будь он хоть 5 минутной жизни)?
Он за пределы CI не выходит
Атаки на CI конечно существуют, спасибо кривизне гитхаб экшонов, но всё же более редкие чем атака лично на разработчиков.
> задолбали своими проверками и задержками начала концертов и спектаклей всех и зрителей и артистов
Объективно fido2 ключ удобнее и безопаснее чем TOTP, при правильной реализации его невозможно украсть (через софт, физически конечно можно, но это не тот сценарий атаки)/обмануть через MITM/ещё как-то

Ответить | Правка | Наверх | Cообщить модератору

39. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (36), 23-Сен-25, 22:57

Так буча и пошла именно с такой атаки. изнутри, при СИ скачивался заражённый модуль, тырил ключ (который при правильной организации процесса не должен был быть доступе для сборки, но был) и по нему коммитил свои грязные дела в репу.
тут мы меняем токен системы А на токен системы Б и всё. больше ничего не меняется. если мы  могли угнать старый, то и сможем еще раз и новый. мы это токен даже никуда не отправляем, а коммитим прямо отсюда же. меняйте хоть 2 разА на дню. трояну не мешает.

Ответить | Правка | Наверх | Cообщить модератору

43. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от morphe (?), 23-Сен-25, 23:05

> тут мы меняем токен системы А на токен системы Б и всё.
> больше ничего не меняется. если мы  могли угнать старый, то
> и сможем еще раз и новый. мы это токен даже никуда
> не отправляем, а коммитим прямо отсюда же. меняйте хоть 2 разА
> на дню. трояну не мешает.
Раньше был постоянный токен которым пользователь сам руками распоряжался и мог по тупости его потерять, буквально из буфера обмена вставить не на том сайте/сохранить прямо в репу/чот ещё. С OIDC ты будешь авторизовать условный гитхаб на публикацию пакетов от твоего имени, и ответственным за получение одноразовых токенов будет уже гитхаб.
Более того, все будут знать что это за токен, и откуда он пришёл, в случае утечки будет сразу понятно кто обосрался, в отличии от токенов, управление которыми доверяют прямо юзеру.

Ответить | Правка | Наверх | Cообщить модератору

37. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от morphe (?), 23-Сен-25, 22:53

> Он пароль не отдаст фейковому сайту и не покажет коллеге за спиной.
Сайты изменяются, и парольные менеджеры перестают определять формы входа порой. А на некоторых сайтах автозаполнение просто не работает.
Поэтому у людей всё равно есть привычка механически копировать и вставлять данные, и в итоге они не защищены.

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

41. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от morphe (?), 23-Сен-25, 23:02

> А что из предложенного спасёт ?
Fido2. Нормальная криптография вместо паролей, и проверка кто на самом деле ключ запрашивает идёт в железке, его нельзя так просто перехватить.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

45. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (47), 23-Сен-25, 23:10

Тем, что нет TEE-аттестации и биометрии.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

23. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +1 +/–

Сообщение от Bob (??), 23-Сен-25, 22:11

Пора бы уже "галочки" подтверждённых адресантов и адресатов делать.
ООО Mozilla и условный "анонимный" Вася, аппрувнутый через GNU.ORG
p.s.: о Васе знает только ООО GNU.ORG (сразу вайпает данные, после проверки на валидность). А Мозилла верит GNU и держателю Васеного "идентификатора".

Ответить | Правка | Наверх | Cообщить модератору

31. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (28), 23-Сен-25, 22:45

Опять дети WoT изобретают. Ты бы ещё key signing party предложил провести.

Ответить | Правка | Наверх | Cообщить модератору

51. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." –1 +/–

Сообщение от Аноним (51), 23-Сен-25, 23:36

Не, время эту лапшу на уши вешать давно прошло. Сейчас время "ультраправых" политиков: нам не будут лапшу науши вешать про "вот он ГНУ, но ничего никуда никому не сольёт", вместо этого будут через колено ломать: заходить будете через госуслуги, а кто не хочет через госуслуги заходить - тот вообще никак заходить не будет.

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

35. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +1 +/–

Сообщение от Аноним (35), 23-Сен-25, 22:51

Шиза крепчала. Не нужно. Не взлетит. Красная полоска тоже не нужна. Хватит. Достаточно.

Ответить | Правка | Наверх | Cообщить модератору

42. Скрыто модератором +2 +/–

Сообщение от Аноним (47), 23-Сен-25, 23:05

>Использование одноразовых паролей (TOTP) для двухфакторной аутентификации будет объявлено устаревшим
Когда Micro$oft навязывал "2FA" на GitHubе, я предупреждал - это всё ради навязывания биометрического FIDO2 с аттестацией, включая TEE-аттестацию Windows Hello. Dсякие клоуны на опеннете троллили "но ведь TOTP не имеет никакой аттестации". Вот вам ваш TOTP. Что ваш хозяин прикажет - тем вас юзать и будут.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "NPM уходит от использования TOTP 2FA и классических токенов ..."	+2 +/–
Сообщение от FSA (ok), 23-Сен-25, 20:30
[РКН]. Я только понял как удобно использовать TOTP... Это заговор. Всё то, что мне начинает нравится, скатывается... KDE, Gnome, Ubuntu, Jabber...
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "NPM уходит от использования TOTP 2FA и классических токенов ..."	+3 +/–
	Сообщение от Аноним (3), 23-Сен-25, 20:33
	Джаббер-то где и чем скатился, пардон?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "NPM уходит от использования TOTP 2FA и классических токенов ..."	–1 +/–
	Сообщение от Аноним (28), 23-Сен-25, 22:41
	Ровно в тот момент, когда оказалось что Whatsapp не будет включать федерацию.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	48. "NPM уходит от использования TOTP 2FA и классических токенов ..."	+/–
	Сообщение от Аноним (48), 23-Сен-25, 23:23
	Ну это решение проприетарного Штоапа. При чём здесь Jabber вцелом? Виноват только тем, что Всосап тоже использовал XMPP ?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "NPM уходит от использования TOTP 2FA и классических токенов ..."	+2 +/–
	Сообщение от Аноним (11), 23-Сен-25, 20:52
	За 5 лет использования аппаратного FIDO токена убедился, что это примерно в 10 тысяч раз удобнее чем ввод кодов с телефона.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору

2. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."	+3 +/–
Сообщение от Аноним (3), 23-Сен-25, 20:33
Вот это их хлопнуло по голове. Интересно, они понимают что большинство контрибьюторов на три буквы их отправит с этими пожеланиями? Нормальный TOTP в качестве MFA - это достаточно защищённо. Все вот эти вот мертворожденные высеры с FIDO - это для шизиков уровня бородача Столлмана, которые никуда никогда не поедут, и дико ограничат людей как в железе, так и в софте. NPM, походу, решил себя закопать.
Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."	–1 +/–
	Сообщение от morphe (?), 23-Сен-25, 20:55
	> Все вот эти вот мертворожденные высеры с FIDO - это для шизиков уровня бородача Столлмана, которые никуда никогда не поедут, и дико ограничат людей как в железе, так и в софте. Fido2 уже везде есть. Нет возможности использовать железный ключ - в браузерах есть passkeys. TOTP намного менее удобно чем нажать на nitrokey стоящий в usb порту
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."	+/–
	Сообщение от Аноним (3), 23-Сен-25, 20:57
	Не всё в жизни - это браузер. По крайней мере, у меня.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."	–1 +/–
	Сообщение от morphe (?), 23-Сен-25, 22:07
	> Не всё в жизни - это браузер. По крайней мере, у меня. Браузеры используют системное хранилище ключей по идее Не уверен как это работает в софте, у меня уже лет 8 железный ключ есть, знаю лишь что софтверные u2f давно везде существуют
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."	+1 +/–
	Сообщение от penetrator (?), 23-Сен-25, 22:30
	а чем это отличается от рандомного пасворда в текстовом файле? иллюзией изоляции и защищенности?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."	+/–
	Сообщение от Аноним (28), 23-Сен-25, 22:43
	Файл можно незаметно украсть. Лаптоп — нет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	36. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."	+/–
	Сообщение от Аноним (36), 23-Сен-25, 22:52
	Лаптоп можно случайно полить кофе.. забыть в такси. причём вместе с сумкой где и резервный токен лежал.. еще раз, если чел озаботился САМ безопасностью то резервный токен у него будет лежать отдельно, но он и на поддельное письмо скорее всего не клюнет, и TOTP не подарит... а если клюнет, то скорее всего и токен будет пролюблен при первой же возможности.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	38. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."	+1 +/–
	Сообщение от penetrator (?), 23-Сен-25, 22:54
	> Файл можно незаметно украсть. Лаптоп — нет. если у тебя появился доступ к лаптопу и его файлам на уровне - что хочу то ворочу, то ты сможешь встроиться в пайплан и тебе никакой 2FA не поможет ну как можно надеяться на магический токен, если систему уже скомпрометирована? ну это же сюр
	Ответить \| Правка \| К родителю #29 \| Наверх \| Cообщить модератору


	40. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."	+/–
	Сообщение от morphe (?), 23-Сен-25, 23:00
	> ну как можно надеяться на магический токен, если систему уже скомпрометирована? ну это же сюр FIDO2 требует физического подтверждения присутствия, удачи что-то серьёзное провести автоматически и незаметно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	47. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."	+/–
	Сообщение от Аноним (47), 23-Сен-25, 23:19
	Можно робота сделать, который силиконовым муляжом пальца с фейковыми паппилярными узорами будет жать на токен с биометрией. Но эту проблему решат. Там в FIDO2 встроен механизм аттестации. Грубо говоря аттестацию можно свести к следующей максиме - "с несвоим (не произведённым своим альянсом, и тут не FIDO2 имеется в виду, а альянс производителя железа и хозяина платформы) железом и софтом дела не имеем". Поэтому отрубить вход не через Windows Hello - как нефиг делать, в стандарте эта возможность изначально заложена. Будешь как пользователь яблоустройств - не можешь целостное устройство нужной модели предъявить - значит вон на мусорный полигон пошёл, M$ не обязан благотворительностью заниматься, тебе хостинг бесплатно предоставляя, вот устройство купи, биометрию предъяви, тем самым сервис оплати - вот тогда добро пожаловать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	50. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."	+/–
	Сообщение от morphe (?), 23-Сен-25, 23:32
	> Поэтому отрубить вход не > через Windows Hello - как нефиг делать, в стандарте эта возможность > изначально заложена. Если речь про аттестацию - то да, в стандарте действительно заложено, однако оно предназначено не для этого, и для такого юзкейса не поддерживается. Это действительно существует чтобы заменить кастомные драйвера что сейчас используются для карточек для входа на госпорталы на fido2, и это действительно может быть использовано для вендорлока, но это всё же имеет пользу. Кроме того, аттестация подтверждает лишь модель устройства, а не конкретное устройство, из-за чего это нельзя использовать в качестве web integrity/private access token/прочего drm. Сайты могут разрешить вход только через windows hello, но если вдруг windows hello получит возможность нарушать приватность (например будет передавать серийный номер устройства или чот ещё) - то аттестация для него будет отозвана глобально самими fido2, чего microsoft не захотят, ведь это нарушит работу намного большего числа сайтов. https://fidoalliance.org/fido-technotes-the-truth-about-atte.../
	Ответить \| Правка \| Наверх \| Cообщить модератору


	53. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."	+/–
	Сообщение от Аноним (53), 23-Сен-25, 23:42
	>однако оно предназначено не для этого Нет абсолютно любая аттестация именно для этого и предназначена: приказать скоту какой надо девайс купить, а скоту придётся либо подчиниться, либо к бомжам на мусорный полигон проваливать. >Сайты могут разрешить вход только через windows hello Вот видите, вы же фактически полностью со мной согласны. Не вижу ни малейшего несогласия. >но это всё же имеет пользу Для Micro$oftа пользу, и для его союзников и коллаборационистов. Не для меня. Для меня и любых адекватных людей это - сплошной вред.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	54. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."	+/–
	Сообщение от morphe (?), 23-Сен-25, 23:49
	> Нет абсолютно любая аттестация именно для этого и предназначена: приказать скоту какой надо девайс купить, а скоту придётся либо подчиниться, либо к бомжам на мусорный полигон проваливать. Для этого не нужно ничего в FIDO2 добавлять, владельцы платформ при желании давно уже могли сделать лазейки для аттестации устройств от сайтов, это так нагло не делают потому что это противоречит антиминопольным законодательствам и GDPR. С FIDO2 смогут сделать, однако сдерживающая сила остаётся той же самой. > Для Micro$oftа пользу, и для его союзников и коллаборационистов. Не для меня. > Для меня и любых адекватных людей это - сплошной вред. Т.е лучше ставить непонятный кривой софт от госконтор чтобы можно было входить на госпорталы по CCID? ID карточки распространены по всей Европе, есть много где в Азии, и ещё во многих странах.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	56. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."	+/–
	Сообщение от Аноним (56), 23-Сен-25, 23:55
	>Для этого не нужно ничего в FIDO2 добавлять, владельцы платформ при желании давно уже могли сделать лазейки для аттестации устройств от сайтов Что значит "могли"? Делали. Стандартизировали не для этого. А чтобы всех на него завязать. Без стандартизаци это не взлетит. А вот со стандартизацией - это ещё поработать надо, чтобы взлетело, скот приучить, что носить ошейник надо, а создателей сайтов - что скот без ошейника надо гнать ради их (владельцев сайтов) нескольких сребренников. Пока у скота ошейников массово нет - сайты не внедрят. А чтобы у скота ошейники были - надо через свои рычаги их наличия требовать. Вот они реализуют этот план. >Т.е лучше ставить непонятный кривой софт от госконтор чтобы можно было входить на госпорталы по CCID? ID карточки распространены по всей Европе, есть много где в Азии, и ещё во многих странах. Вы этот софт всё равно ставить будете. Когда вам скажут would you kindly - вы ведь не откажете.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	58. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."	+/–
	Сообщение от morphe (?), 24-Сен-25, 00:03
	> Пока у скота ошейников массово нет - сайты не внедрят "Ошейники" в лице windows hello, play integrity api, и чего-то там у apple существуют уже много лет Применять их пытались через web integrity api, который намного лучше для таких задач подходит (зачем по твоему вообще web integrity api делали, когда webauthn по твоему полностью для тех же задач подходит?) Это так не работает > Вы этот софт всё равно ставить будете. Когда вам скажут would you kindly - вы ведь не откажете. Раньше альтернативы не было, а сейчас есть, и её поддержку постепенно внедряют.
	Ответить \| Правка \| К родителю #56 \| Наверх \| Cообщить модератору


	59. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."	+/–
	Сообщение от Аноним (59), 24-Сен-25, 00:12
	>зачем по твоему вообще web integrity api делали, когда webauthn по твоему полностью для тех же задач подходит Я не говорил, что полностью подходит. WEI похоронили потому, что Apple - важный игрок4, и у неё есть свой аналог. С названием, от которого у скота паника не начинается.
	Ответить \| Правка \| К родителю #58 \| Наверх \| Cообщить модератору


	60. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."	+/–
	Сообщение от morphe (?), 24-Сен-25, 00:43
	> Я не говорил, что полностью подходит. WEI похоронили потому, что Apple - > важный игрок4, и у неё есть свой аналог. С названием, от > которого у скота паника не начинается. У эпла Private Access Tokens, при чём тут FIDO2?
	Ответить \| Правка \| К родителю #59 \| Наверх \| Cообщить модератору


	44. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."	+/–
	Сообщение от Аноним (47), 23-Сен-25, 23:08
	А в процессорах - SGX, SEV и TrustZone. А у кого нет - те бомжи пусть на свалку проследуют, где им и место: в современном обществе нет места нежелательным элементам, саботирующим хозяйский надзор и контроль за своей собственностью, своим поголовьем. Не нравится в стойле - мусорный полигон с бомжами вон там.
	Ответить \| Правка \| К родителю #13 \| Наверх \| Cообщить модератору


	46. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."	+/–
	Сообщение от morphe (?), 23-Сен-25, 23:11
	> А в процессорах - SGX, SEV и TrustZone. Это к чему вообще? Что из этого есть в условном nitrokey/любой другой fido2 железке?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	49. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."	+/–
	Сообщение от Аноним (47), 23-Сен-25, 23:24
	Стандарт читайте. В самодельных токенах нет, а вот в фабричных токенах официальных партнёров альянса, включая Google Titan, Windows Hello, Google SafetyNet, и устройствах от Apple всё есть. И послать тебя за использование не своего устройства - эта штатная фича стандарта. В будущем будет в дополнение к reCAPTCHA/hCAPTCHA (которые нифига не капчи) - хочешь на сайт? Докажи, что у тебя какое надо устройство. Не доказал? Ну значит ты нежелателен, потому что законопослушному гражданину не зачем использовать что-то из того, что хозяева не одобрили.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	52. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."	+/–
	Сообщение от morphe (?), 23-Сен-25, 23:39
	> хочешь на сайт? Докажи, > что у тебя какое надо устройство. Не доказал? Ну значит ты > нежелателен, потому что законопослушному гражданину не зачем использовать что-то из того, > что хозяева не одобрили. FIDO2 конечно такое позволяет... Однако при желании компании могут и без webauthn аттестацию проводить, банально на устройстве поднять вебсокет и из JS к нему цепляться, а там уже гонять что надо для аттестации. FIDO2 тут ничего нового не приносит, и есть причины почему так не делают.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	55. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."	+/–
	Сообщение от Аноним (55), 23-Сен-25, 23:50
	>Однако при желании компании могут и без webauthn аттестацию проводить, банально на устройстве поднять вебсокет Могут, но это нестандартизировано. А вот когда это стандартизировали - это уже не звоночек, а целый набат. Вы находитесь здесь.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	61. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."	+/–
	Сообщение от Аноним (28), 24-Сен-25, 01:11
	> Интересно, они понимают что большинство контрибьюторов на три буквы их отправит с этими пожеланиями? Минусы будут? Если разработчик не может разобраться как токенами пользоваться, он и как разработчик может не особо-то и нужен. А ну как pow от xor не отличит или ещё какую-нибудь такую дичь выкинет?
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору

4. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."	+2 +/–
Сообщение от Аноним (4), 23-Сен-25, 20:37
Не проще ли просто не пользоваться ни nodejs, ни npm? Да и вообще джаваскриптом тож не пользоваться.
Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."	–2 +/–
	Сообщение от пох. (?), 23-Сен-25, 20:37
	не пользуйся, кто тебе не дает?
	Ответить \| Правка \| Наверх \| Cообщить модератору