Сервис GitHub сообщил (https://github.blog/changelog/2019-07-01-verified-devices/) об изменении организации входа пользователей, у которых в настройках не включена двухфакторная аутентификация (https://help.github.com/en/articles/about-two-factor-authent...). Для таких пользователей вводится дополнительная верификация, в соответствии с которой система запоминает устройства, с которых осуществляется вход и допускает работу только с них.
Если устройство ранее не было верифицировано, на email пользователя отправляется код подтверждения входа, который нужно ввести при аутентификации. Если вход производится с уже ранее верифицированного устройства достаточно заполнить свои учётные данные.
URL: https://github.blog/changelog/2019-07-01-verified-devices/
Новость: https://www.opennet.me/opennews/art.shtml?num=51008
что-то я не пойму, их точно microsoft купила?Потому что все больше похоже что их купил гугль. (или это уже одно и то же?)
При чем тут Google или Microsoft? В качестве второго фактора используется TOTP, стандарт описанный в RFC. Ты можешь взять FreeOTP от RedHat или написать свое приложение для этих целей. Коды генерируются в оффлайне(у любого из приложений) и никто их кроме тебя не получает. Аналогично работает второй фактор хоть у Гугла, хоть у NameCheap, хоть у черта лысого.
For GitHub, the second form of authentication is a code that's generated by an application on your mobile device or sent as a text message (SMS).так что кончай врать
у гугла, говоришь, аналогично? Ну, собственно, да - телефон он зачем-то хочет.
Там самый обычный TOTP.Телефон на самом деле не нужен. Распознаешь QR-код чем хочешь, берешь http://www.nongnu.org/oath-toolkit/ и делаешь так:
oathtool --totp -b YOUR_SECRET_FROM_QR
Но AndOTP удобнее всего (под андроид).
Есть еще под андроид FreeOTP (или его форк FreeOTP+), эти вообще опенсорц.
AndOTP тоже открытый
> Там самый обычный TOTP.там его предлагают лишь как опцию - а 90% этой "двухфакторной" - по факту окажется sms.
В частности и потому что для этого не нужно распознавать какие-то дурацкие коды.
QR не дурацкие, а намного более фундаментальная и перспективная вещь, чем кажется.В первую очередь потому, что это статический визуальный макроскопический источник инфы, а не какие-то невидимые NFC. Но да это оффтоп. SMS конечно не нужны
> QR не дурацкие, а намного более фундаментальная и перспективная вещь, чем кажется.ага - весь их смысл в том, что ты их не можешь прочитать, а вот твой карманный зонд - может.
> ага - весь их смысл в том, что ты их не можешь
> прочитать, а вот твой карманный зонд - может.Это уже прогресс по сравнению с длинной base64-бнопней, которую что человек, что зонд читают одинаково плохо.
>> ага - весь их смысл в том, что ты их не можешь
>> прочитать, а вот твой карманный зонд - может.
> Это уже прогресс по сравнению с длинной base64-бнопней, которую что человек, что
> зонд читают одинаково плохо.ну был же вариант, использовавшийся в one-true-otp - s/key (к счастью, до него улучшайки еще не добрались, но чую, недолго уже он проработает даже там где остался).
Но нет, выбран такой, чтоб без мабилы вообще никак.
просто mobile device это common thing. по хорошему если ты отвественный парень ты заводишь совсем ОТДЕЛЬНЫЙ девайс для того чтобы такие пароли генерировать.
На ГитХабе есть, кстати, поддержка U2F (залочена под Хром, правда). Обещают что выкатят WebAuthn, но когда...
В общем, кто не хочет возиться с кодами - варианты есть.
Лиса тоже u2f умеет
> Лиса тоже u2f умеетЛиса - умеет, но многие сайты, в тоv числе и Гитхаб просто не дает такой опции если у тебя не Хром. Сейчас Лиса вообще по умолчанию включила U2F поддержку назад, хотя расширять её они не собираются.
Вот что выдает в Лисе
"This browser doesn’t support the FIDO U2F standard yet. We recommend updating to the latest Google Chrome to start using security key devices."
Майкрософт, майкрософт. Они "телеметрию", в том числе на своих сайтах (вы не сможете прочитать KB-страницы без JS, а скачать Студию - и подавно) и в своей рекламе на чужих сайтах (через AdSense, пруфы недавно проскакивали не помню где, вроде на Хабре) больше Гугла любят.
Двухфакторная недостаточно безопасна. Предлагаю 99-факторную авторизацию: пароль + SMS + TOTP + емейл + бумажное письмо + сигнальная ракета + включение телевизора в определенное время на определенном канале + посыл радиосигнала по определенной одноразовой частоте + физическая явка по определенным GPS-координатам + ...
...4 фотографии, дактилоскопия, сканирование сетчатки, анализ ДНК.
Глубокий внутренний отпечаток прямой кишки, очень надёжный с точки зрения безопасности метод, никто не сможет сфотографировать и попробовать обмануть систему аутентификации, даже 3D-модель не сделают, без вашего ведома, для идентификации предусмотрен специальный ректальный-зонд-сканер-манипулятор (благо на мысль 11ая серия 5го сезона популярного, одно время, в молодёжной среде, анимационного сериала South Park), новое поколение, конкуренты пусть плетутся позади, со своими FaceID!
для идентификации предусмотрен специальный
> ректальный-зонд-сканер-манипулятор (благо на мысль 11ая серия 5го сезона популярного,
> одно время, в молодёжной среде, анимационного сериала South Park), новое поколение,
> конкуренты пусть плетутся позади, со своими FaceID!Так и в самой первой серии такое было. Cartman gets an anal probe.
>но время, в молодёжной среде, анимационного сериала South ParkВы так и не вышли из этой среды, очевидно. Ничего, сентябрь близко.
Это называется WebAuthn с авторизацией по биометрии. Как бы стандарт уже.
WebAuthn - не о биометрии. По биометрии идёт аутентификация юзера устройству. А WebAuthn вообще эту тему не затрагивает кроме как "должна быть хоть просто кнопкой".
> WebAuthn - не о биометрии. По биометрии идёт аутентификация юзера устройству. А
> WebAuthn вообще эту тему не затрагивает кроме как "должна быть хоть
> просто кнопкой".Эээ, и да и нет. WebAuthn как раз таки прописывает в том числе авторизацию аутентификатора, в этом его отлчичие от U2F. Это в U2F достаточно кнопки, а WA в целом предпологает что, например, USB кому попало кнопку нажимать не даст. Тоже самое в например в реализации на базе TPM модулей - ключ хранится в TPM, но авторизация на доступ к нему в том числе по биометрии.
Напрямую, конечно, Webauthn биометрию НЕ описывает и не будет никакого "логин на сайт по отпечатку пальца", но то КАК был активирован аутентификатор - кнопкой, пином или биометрией сайтам передается.
Спасибо за пояснение. Это полная жопа.
А как устройство отличать?
https://ru.wikipedia.org/wiki/Цифровой_отпечаток_устройства
кукой
>А как устройство отличать?А это они у дурова спросят, его телега же мало того, что просит спалить номер телефона, так ещё и к устройству привязывается, "секурность" во все поля, защита тащ. майора от глупых попыток хомячка быть самым секурным и приватным, пусть хомячок думает, что его поползновения никому не известны, возможно некрософты вдохновились, решили подхватить тренд по "суперсекурности"?
Просто замечательно, кто избегал двухфакторной верификации по разным причинам, тому навязали ещё одну вариацию заднепроходного метода аутентификации
А что за причины кроме желания быть взломанным при утечке пароля могут быть для отказа от 2FA с использованием TOTP?
Недоверие github'у. Ему не нужен мой номер телефона. По-хорошему, ему и почта не нужна моя. И адрес проживания. И данные паспорта. Это не его дело.
А он и не просит твой номер телефона. И паспорт не просит. И адрес проживания.
Чудеса!
Ты не хочешь ему их давать и он их не проситhttps://tools.ietf.org/html/rfc6238
Читай
https://freeotp.github.io/
Проверяй исходники и используйTOTP работает оффлайн, у меня вот специально стоит на мобиле на которой никогда не было инета и все прекрасно пашет.
> А он и не просит твой номер телефона. И паспорт не просит.
> И адрес проживания.
> Чудеса!
> Ты не хочешь ему их давать и он их не просит
> https://tools.ietf.org/html/rfc6238
> Читай
> https://freeotp.github.io/
> Проверяй исходники и используй
> TOTP работает оффлайн, у меня вот специально стоит на мобиле на которой
> никогда не было инета и все прекрасно пашет.Ах, вот оно как. Но мне лень читать и вникать, есть где-нибудь краткое и понятное объяснение идеи? Если нет, то читать и вникать бессмысленно, потому что всё равно никто не будет это использовать серьёзно, потому что все как и я не будут читать rfc, и как и я не будут доверять этому TOTP, а значит всячески уклоняться от его использования. Технари не понимают этой социальной динамики, и пока они не поймут все их хорошие идеи так и продолжат гнить в виде rfc.
>> Но мне лень читать и вникать...poor schoolboy!
>>> Но мне лень читать и вникать...
> poor schoolboy!Да-да, я очень страдаю. Но тебе ведь тоже лень: ты ведь не может описать в двух словах идею, потому что тоже не читал. Так что я не только страдаю, но ещё и тебе сочувствую. Камрад по несчастью.
Я читал. Идея нетривиальна, поэтому в «двух словах» её не описать — нужно RFC пересказывать. А чем читать плохой пересказ RFC, лучше оригинал прочитать, там всего 7 страниц полезной информации.
> Я читал. Идея нетривиальна, поэтому в «двух словах» её не описать — нужно
> RFC пересказывать. А чем читать плохой пересказ RFC, лучше оригинал прочитать,
> там всего 7 страниц полезной информации.Совершенно бесполезно. Нетривиальную идею на семь страниц никто кроме нердов читать не будет, а значит никто кроме нердов в неё не поверит, а значит идея никому не нужна.
Выключай компьютер.
> Выключай компьютер.Тебе надо, ты и выключай.
Так это ты выступаешь против нетривиальных идей и считаешь что они никому не нужны, вычислительное устройство это не тривиальная идея, вот и выключай, не мучайся.
> Так это ты выступаешь против нетривиальных идей и считаешь что они никому
> не нужны, вычислительное устройство это не тривиальная идея, вот и выключай,
> не мучайся.Так это ты используешь такой приём как обобщение совершенно не понимая границ его применимости. Вот и выключай теперь компьютер сам.
> Нетривиальную идею на семь страниц никто кроме нердов читать не будет, а значит никто кроме нердов в неё не поверит, а значит идея никому не нужна.И где тут границы? Так что выключай ты.
> И где тут границы?Ты должен их увидеть сам. Я могу предложить тебе алгоритм действий.
1. Прочитай все комменты к этой новости. Увидь действие того, о чём я говорю. Костяб пытается всем доказать, что TOTP такая крутая штука, но чёт у него не выходит никак. Посмотри на это, пойми о чём я говорю.
2. Пофантазируй, примени этот общий принцип ко всяким разным случаям. Ты увидишь, что иногда он работает, а иногда нет. Если ты переберёшь достаточное количество случаев, то ты увидишь границу между "здесь работает" и "тут не работает".
3. ...
4. PROFIT
Если вы не можете объяснить ребенку в двух словах суть явления - значит вы сами его не понимаете.Старинная научная мудрость.
> Недоверие github'у. Ему не нужен мой номер телефона. По-хорошему, ему и почта
> не нужна моя. И адрес проживания. И данные паспорта. Это не
> его дело.И, да, так как они — коммерческая организация, то для биллинга им твой адрес и твои данные нужны. Но пока ты пользуешься бесплатной частью с тебе никто ничего не просит и даже не намекает(а на платную у тебя все равно денег нет)
> Но пока ты пользуешься бесплатной
> частью с тебе никто ничего не просит и даже не намекает(а
> на платную у тебя все равно денег нет)Если мне понадобиться платная, то я точно не буду пользоваться github. Если для меня является рациональным платить за хостинг сорцов, то ещё более рационально хостить их самостоятельно.
"хостинг сорцов" и сосальная сеточка для нового поколения разработчиков, не умеющих ни в мэйллисты ни в irc - это сильно разные вещи.Хостить второе самостоятельно (защищая от спама, досов и обеспечивая надежность доступа) - работа, для программиста несколько не основная, и вряд ли твоей квалификации хватит на собственный гитшлак.
А кое-как поставить gogs (или даже gitlab/ce, хотя там уже интересней) ты, конечно, сможешь.
Ой, иди рекламируй свою квалификацию где-нибудь в другом месте. Тебя я точно нанимать на эту работу не буду. Нахрен ты кому сдался такой.
какие же гении в этом треде.
Объясняю популярно.
Отсканировать QR-код и потом получать одноразовые пароли можно где угодно, от яндекс.ключа до бесплатной и опенсорсной FreeOTP.
Если вообще не хочешь использовать смартфон для этой цели - выбери пароль вместо QR-кода и введи его например в keepassxc.Если не хочешь хранить пароли даже в своем компе, заведи себе юбикей и используй U2F
> заведи себе юбикейя вот тебе заведу неразрешенное министерством любви средство шифрования!
>>юбикей
>средство шифрования!Выдыхай, майор, выдыхай.
...а потом эту ерунда каждый раз вводи, угу. Не нужно оно мне, "взломают" - да вперёд, ничего ценного там нет.В общем,Ю ровно те же причины, которые побуждают пользоваться bugmenot и mailinator и ставить пароли 123456.
> ...а потом эту ерунда каждый раз вводи, угу. Не нужно оно мне, "взломают" - да вперёд, ничего ценного там нет.Это ты думаешь, что там ничего ценного нет, и что код ты можешь перезалить куда хочешь, а тем временем какой-то индус уже давно качает его по зависимости прямо из мастера и не подозревает, что репозитории можно угонять ради подстановки в него майнеров и логеров.
99% аккаунтов - это одноразовые клоны, с которыми вообще ничего не происходит. Хоть подставляй в них майнеров, хоть нет
> 99% аккаунтов - это одноразовые клоны, с которыми вообще ничего не происходит.
> Хоть подставляй в них майнеров, хоть нетЗато оставшийся процент, если в него попасть пусть даже случайным образом, по пищевой цепочке может взорвать экосистему будь здоров. Вон, left-pad тоже никому не нужным выглядел, а как бомбануло!
Мне лучше знать, есть там что ценное или нет. Пошли наxер со своей "принудительной заботой".
> Мне лучше знать, есть там что ценное или нет. Пошли наxер со
> своей "принудительной заботой".Да-да, тёть Клава тоже так говорила, пока ей фоточки из отпуска не пошифровали.
Как минимум там есть вычислительные ресурсы github которыми ты бесплатно пользуешься и которые их владельцы хотели бы защитить от неправомочного использования.
>же давно качает его по зависимости прямо из мастераДолжны страдать
Чисто для проформы дополню, что есть некоторые сервисы, которые используют кастомизированные генераторы и требуют специальный софтин. Там стандартные реализации вроде FreeOTP могут не заработать.
Тот же HumbleBundle если не ошибаюсь использовал Authy или что-то в этом роде, но вернулся на Google Authenticator (стандартный TOTP). У NameCheap была сходная история.
> А что за причины кроме желания быть взломанным при утечке пароля могут быть для отказа от 2FA
> с использованием TOTP?причина банальна - нежелание связываться с оверинжиниренной ненужной хней, затрудняющей рутинную операцию - логин в аж целый гитхап.
а если у них утекают пароли - то извините, ребята, но по-моему эта проблема должна решаться совсем с другого конца.
С какого? Пароли утекают у пользователей, как её решить кроме 2FA?
Если пароли утекают у разработчиков софта (а остальные меня мало на гитхабе интересуют), то таким разработчикам нефиг делать на гитхабе. И вообще они вовсе и не разработчики и поделки их не нужны.
Но как говорится в случае если уж кому-то прям хочется то они могут использовать 2FA.
А вот навязывать вское ненужно абсолютно всем - точно не айс. Я сам о себе могу позаботиться.Короче лед тронулся... Я думаю все-таки мс добрался и до гитхаба со своей заботой.
Разработчик софта (например, кулинарной книги) не обязан быть специалистом по секурности.
> Разработчик софта (например, кулинарной книги) не обязан быть специалистом по секурности.если он разработчик, то как минимум базовые понятия имеются, а еще аналитические способности (хотя бы минимальные)
в противном случае пусть лучше занимается контентом кулинарной книги, а не логикой и алгоритмами (пусть даже и примитивными), которые лучше доверить соответсвующему специалисту самого заурядного уровня
Необходимость покупать телефон и помнить, что с него нужно иногда звонить, чтобы не отобрали номер.
Для TOTP телефон не нужен.
Смотри следующий комментарий про почту :)
А почту на mail.ru не ломал только ленивый.
Например - нежелание морочить голову. А аккаунт создан для мелких удобств и что там утечёт - вообще плевать, новый заведу, если в течение минуты на емейл пароль новый не придёт.
> А что за причины кроме желания быть взломанным при утечке пароля могут быть для отказа от 2FA с использованием TOTP?Потеря доступа к аккаунту при потере второго фактора аутентификации.
Примеры:
* Украли/сломалось устройство, на котором второй фактор.
* Аккаунтом пользуюсь редко, забыл, какой у меня второй фактор, или случайно снес аутентикатор, или забыл пароль на аутентикатор, или OTP присылаются пачкой кодов и эти коды устарели.
* Перестал работать провайдер второго фактора, например обанкротился, или просто забил, или временно глючит когда очень надо, или поменял формат кодов. Особенно весело в сочетании с предыдущим пунктом.
> Потеря доступа к аккаунту при потере второго фактора аутентификации.там обещают что его тебе восстановят, как только ты введешь секретный-пресекретный код (который, ну конечно же, не могут спереть точно так же как и пароль - но зато его вполне можно потерять вместе с диском/флэшкой - и остаться без доступа к акаунту в принципе)
и так у этих - все.
* Украли/сломалось устройство, на котором второй фактор.Резервные копии (генераторы это позволяют), резервный токен доступа (можно привязать несколько токенов обычно)
* Аккаунтом пользуюсь редко, забыл, какой у меня второй фактор, или случайно снес аутентикатор, или забыл пароль на аутентикатор, или OTP присылаются пачкой кодов и эти коды устарели.
Если пользуешься аутентификатормов одном месте, скорее всего пользуешься и в другом, так чло случайно не снесешь, а если снес - резервная копия на другом устройстве
* Перестал работать провайдер второго фактора, например обанкротился, или просто забил, или временно глючит когда очень надо, или поменял формат кодов. Особенно весело в сочетании с предыдущим пунктом.
Это как вы себе представляете? В случае с обычным TOTP нет никаких "провайдеров", да и коды все по стандарту. Те компании которые начинают городить велосипеды и требуют чтобы ты пользовал конкретное приложение - ССЗБ. В случае с U2F\WebAuthn опять же провайдера нет, есть сайт, устройство и вы.
Вот у меня сегодня (точнее, уже вчера) случилось. Месяц назад полетел домашний компьютер, где хранились данные для логина на бесплатную почту. Почтой этой сейчас практически не пользуюсь — там только спам, но активно пользовался, когда регистрировался на Гитхабе 5 лет назад. Поэтому чинить не торопился — хватало рабочего компа и планшета. Сегодня полез по работе отправить пачку багрепортов через Гитхаб — получил отлуп. Пароль к бесплатной почте не помню, а Гитхаб со всех устройств меня разлогинил. Первый час ночи, а я всё ещё колдую над битым диском, пытаясь извлечь пароль.
Будем верифицировать прямо по их железкам, раз не хотят они светить свой номер телефона, а то иш умники нашлись, данными делиться не хотят, пополнять свой профиль в досье у Большого Брата, такого допустить никак нельзя, мы должны заставить их думать о своей безопасности и всячески напирать на это, а то ведь, так не ровён час они могут подумать, что все эти методы, не более чем повод для сбора данных...
> Будем верифицировать прямо по их железкам, раз не хотят они светить свой
> номер телефона, а то иш умники нашлись, данными делиться не хотят,
> пополнять свой профиль в досье у Большого Брата, такого допустить никак
> нельзя, мы должны заставить их думать о своей безопасности и всячески
> напирать на это, а то ведь, так не ровён час они
> могут подумать, что все эти методы, не более чем повод для
> сбора данных...Еще один. Для 2FA НЕ ТРЕБУЕТСЯ НОМЕР ТЕЛЕФОНА. Ты и твой телефон им не интересны.
https://tools.ietf.org/html/rfc6238
https://freeotp.github.io/
а гитхап так не думает.
На гитхабе инструкция для идиотов. Никто не мешает не быть идиотом.
не быть идиотом - это не использовать дурацкие наслоения аутентификации, когда и пароль защищает ее вполне надежно. Ну, при минимальных телодвижениях с той стороны, хоть как-то затрудняющих его прямой подбор или просто угон.но это немодно, нестильно и немолодежно
Да нифига он не надежно защищает. Никакой внимательности не хватит каждый раз проверять сертификат. Про истории с выдачей сертификатов кому попало и про перенаправление трафика куда попало более специфичными BGP-анонсами напомнить или не надо?
лучше просто подскажи, где я могу недорого без sms купить сертификат аль....ой, извините, давайте лучше ВТБ.
С bgp я как-нибудь разберусь сам, и хрен они меня потом найдут.(и кому нахрен вcpaлся при этом какой-то вшивый гитшлак?)
Перенаправил домен, используй летенкрипт
Помимо того, утечка может быть и не с моей стороны вообще. Ты удивишься, сколько еще идиотов хранят банально md5(pass) или sha1(pass) в своих базах.Мне вот регулярно валится вдохновленный Black Mirror спам вида "чувак, твой пароль XYZ123, а я его знаю, потому что затроянил твой комп и у меня есть видео, как ты наяриваешь на прон, высылай 100500 биткоинов или его всем разошлю". По тому, какие там пароли, прекрасно понятно, откуда оно взялось. :)
Т.е. проблема на стороне кода, но решают её за счёт пользователей. Что-то здесь не так.
о том и речь.в консерватории надо бы поправить, для начала-то.
(впрочем, не исключен случай что мой прекрасный пароль 123456 украдут где-то в другом месте, но, совершенно случайно, он и к акаунту на гитхапе подойдет. Другое дело, что там же ж масса всего ценного и нужного, ага, ага.)
Ну вот у меня много ценного и нужного, правда, не мне лично, заказчик использует гитхаб. Ну его дело.Сам-то я туда только опенсорс выкладываю, для собственных проектов у меня gogs на своем дедике :)
> Ну вот у меня много ценного и нужного, правда, не мне лично,
> заказчик использует гитхаб. Ну его дело.ну так скажи ему, чтоб мой пароль больше не трогал, и свой, отдельный выдумал и на листочке записал.
> Сам-то я туда только опенсорс выкладываю, для собственных проектов у меня gogs
> на своем дедике :)для собственных проектов у меня hg server, но, увы, это ни разу не социяльная сеточка, ценные комментики там пихать некуда.
Учитывая, что они ни разу не open, не больно-то и хотелось, конечно.а написать "афтыр лох, выпей йаду" в issue можно и с тем паролем, что у меня.
С гитхаба, справедливости ради, не утекало.Вот дропбокс обделался по полной.
Конечно не требуется, теперь им хочется НОМЕР ПЛАНШЕТА
Такие меры как будто гитхуб акк это что то ценное, как счёт в банке.Будут затягивать гайки - есть гитлаб и всегда можно расшарить в инет gitea со своего хостенга.
ну вообще-то поломав какой-нибудь интересный акаунт - можно получить доступ не к одному чужому счету в банке.другое дело, что надежнее оно от этого ни разу не станет, а вот ты не сможешь попасть в свой акаунт, оказавшись где-то далеко от своей почты, потому что большой брат снова позаботился о твоей безопастносте.
>ты не сможешь попасть в свой акаунт, оказавшись где-то далеко от своей почтыЯ пытаюсь себе представить эту ситуацию и не могу. Можешь набросать реалистичный сценарий?
Доступ к исходникам нужен сегодня, почтовый сервис в бане по маске IP, а на надёжный прокси или VPN деньги будут только через месяц.
> Доступ к исходникам нужен сегодня, почтовый сервис в бане по маске IP,мы с вами просто забыли, что типовой опеннетчик под словом "почта" понимает исключительно гугль и гугль.
Который, кстати, тоже может прислать вам sms "обнаружив подключение с неизвестного устройства" - на телефон, у которого нет роуминга в этой стране, или который вообще из дома не выносится, именно потому что там всякие sms и банковские учетки, и лучше временно не иметь к ним доступа, чем восстанавливать потом.> а на надёжный прокси или VPN деньги будут только через месяц.
или банально в китае он зобанен.
У меня еще более банальный вариант: в почте много всего разного, поэтому она вообще недоступна ниоткуда, кроме доверенных хостов. А вот в акаунтах на гитхапе у меня кроме issues в чужие проекты - ничего нет, мои собственные поделки как-нибудь обойдутся без их ценной помощи.В результате заслать issue не получилось, ну что же - шва...халявный софт проживет без патчей.
Зато безопасТно!
> типовой опеннетчик под словом "почта" понимает
> исключительно гугль и гугль.
> Который, кстати, тоже может прислать вам smsтак-то гуглоаккаунт тоже можно обмазать totp вместо sms, но это ж читать уметь надо, однако.
Хм… Гм… А куда они, собственно, засунули TOTP? Раньше было, а сейчас предлагают на выбор только 2FA по телефону (SMS или звонок), электронному ключу и снова телефону (push-уведомление).
где-то неделю назад это говно у них сломалосьпочинили только на следующий день после отписки в саппорт
У гитлаба рекапча с аггрессивным фингерпринтингом. Также они сами делают фингерпринтинг, в своём купленном гиттере. Хорошо хоть что опенсорс, а могли бы и обфусцировать.
Непонятно, почему они все мелочатся до сих пор. Почему сразу не ввести обязательный вход только по паспорту, паспорт делать в виде карточки со встроенным сканером отпечатка пальца для активации паспорта. Просто при любой аутентификации прикладываешь такой паспорт, на паспорт палец, ну ещё можно добавить обязательное произношение - клянусь царя и бога хранить.Всё равно же к этому ведут, зачем тормозить? Нужно решительнее внедрять старые добрый лагерь во все поля.
> Всё равно же к этому ведут, зачем тормозить? Нужно решительнее внедрять старые
> добрый лагерь во все поля.В каком месте 2FA TOTP к этому ведет? Покажи, а мы поржем.
Куда катится этот мир...
not affected (c) :]
> not affected (c) :]возвращать патчи в апстримы вы, я смотрю, уже не собираетесь?
В апстрим linux патчи возвращают через рассылку же.
> В апстрим linux патчи возвращают через рассылку же.это ж только ведро. А так - https://github.com/systemd/systemd/issues добро пожаловать! ;-)
Кстати, зелененькие бэджи со всякими code quality A+ для печально известной поделки (как и coverity issue - пацанам - можно!) говорят об их истиной цене ;-)
>> В апстрим linux патчи возвращают через рассылку же.
> это ж только ведро.Достаточно для опровержения обобщения.
> А так - https://github.com/systemd/systemd/issues добро пожаловать!
Так в недавней новости про СтатерКит не было systemd.
> ;-)
> Кстати, зелененькие бэджи со всякими code quality A+ для печально известной поделки
> (как и coverity issue - пацанам - можно!) говорят об их
> истиной цене ;-)
Альт случаем не планирует (или я не нашёл?) предоставлять подобный сервис? У Росы есть якобы "замена" github, как они говорят, защищённая от шаловливых ручек -- при этом они сами удалили мои репозиторий с перепугу. (Если что -- интерес праздный.)
Хорошо хоть без СМС)) Впрочем, юзверье все схавает, вот я бы долго блевал от.
как то есть без? Это их основной и любимый (гуглем) "2FA".
Остальные опциональны.
Вы не могли бы раскрыть тему немного подробнее?
в смысле? ВСЕ крупные проекты (и начиная с гугля) при попытке включить двухфакторку - предложат (или сразу вышлют) тебе sms.альтернативы доступны по пятнадцатой ссылке мелким шрифтом двенадцатого уровня вложенности - нет, не со зла, разумеется, а просто потому что феерически неудобны нормальным людям.
А пойти и посмотреть, прежде чем трындеть, не пробовал?
https://postimg.cc/WtmP0N3s
а приложение которое ты ставишь и которое звенит на сервер намного лучше чем номер трубы?
ты читаешь приваси полиси всяких звонилок которые используешь?
да там адское кол-во дичи, вплоть до того что смски уходят на их серверахуже только приваси полиси какого-нибудь инстаграма, которым нормальные люди не пользуются
> а приложение которое ты ставишь и которое звенит на сервер намного лучше
> чем номер трубы?На какой сервер? У меня приложение для TOTP собрано мной самим из исходников и установлено на мобилу которая НИКОГДА не подключалась к интернету, ей просто нечем и некуда, в ней нет сим-карт, а паролей к WiFi ей никто не давал.
> На какой сервер? У меня приложение для TOTP собрано мной самим из
> исходников и установлено на мобилу которая НИКОГДА не подключалась к интернету,
> ей просто нечем и некуда, в ней нет сим-карт, а паролей
> к WiFi ей никто не давал.прекрасно, просто прекрасно.
Вы прослушали номер "больной палаты #6 борется с всемирным заговором рептилоидов".Исходники-то хоть открывал? (кстати, отдельный вопрос - о привычках гуглефонов стучаться во все открытые wifi без спросу, для вашего большего удобства)
понимаешь, все остальные за пределами палаты - ТАК уж точно не собираются с ним бороться - им свое время немного жалко, да и создавать себе геморрой в виде бесполезной лопаты, которую необходимо за собой таскать да еще и оберегать от враждебных интернетов, чтобы она не слила о тебе все что насобирала за десять лет - дурачков крайне мало.
и все это ради счастья написать issue или засабмитить патчик, ага.
>> а приложение которое ты ставишь и которое звенит на сервер намного лучше
>> чем номер трубы?
> На какой сервер? У меня приложение для TOTP собрано мной самим из
> исходников и установлено на мобилу которая НИКОГДА не подключалась к интернету,
> ей просто нечем и некуда, в ней нет сим-карт, а паролей
> к WiFi ей никто не давал.Давай сначала рассмотрим сценарий для непараноиков:
We recommend using cloud-based TOTP apps such as:
1Password
Authy
LastPass AuthenticatorДейтствительно.. клауд бейзед и не звенит.
Процент параноиков будет мал, основная масса выберет 1 из этих пунктов или смс.Ну допустим ты параноик, давай разбираться твоим кейсом. Юзеру необходимо:
1) проверить код
2) сбилдить всё самому
3) подготовить изолированное устройство
4) таскать его везде с собой (второй телефон)
5) сохранить рекавери коды в надежном хранилищеКак по мне так проще:
1) сгенерировать случайный пароль с энтропией 100+ бит (это 20+ символов a-z, A-Z, 0-9)
каждый дополнительный символ добавит ~5 бит энтропии
2) сделать тоже самое как и в пункте 5и так выходит пункт с надежным хранилищем никто не отменял,
случайный ключ в 100 бит ты не трахнешь даже в оффлайне
а вот гемороя меньше на порядок, но гитхаб нам это прям навязывает, и я прям чувствую руку мелкософта... сразу вспомнились Team Services где они хотел 2FA SMS
> а приложение которое ты ставишь и которое звенит на сервер намного лучше чем номер трубы?[Приложение][1], которое я ставлю, не звенит ни на какой сервер. Не веришь — посмотри [исходники][2].
[1]: https://f-droid.org/ru/packages/org.fedorahosted.freeotp/
[2]: https://github.com/freeotp/freeotp-android
>> а приложение которое ты ставишь и которое звенит на сервер намного лучше чем номер трубы?
> [Приложение][1], которое я ставлю, не звенит ни на какой сервер. Не веришь
> — посмотри [исходники][2].а квалификации-то хватит?
> [2]: https://github.com/freeotp/freeotp-android
а что это вы скромно молчите про [0]прекрасный totp гугля, который ррраз - и из открытого перел...исходника - сделался закрытым ?
> а квалификации-то хватит?Если не хватит, пусть закажет кому-нибудь аудит.
> а что это вы скромно молчите про [0]прекрасный totp гугля, который ррраз - и из открытого перел...исходника - сделался закрытым ?
Потому что это приложение я не ставлю, очевидно же.
> в смысле? ВСЕ крупные проекты (и начиная с гугля) при попытке включить
> двухфакторку - предложат (или сразу вышлют) тебе sms.Ты врешь. Зачем ты это делаешь непонятно. GitHub никаких смс не высылает и номер не просит, он спокойно предлагает использовать TOTP БЕЗ номеров телефонов. Ты — лжец.
О, да тут диванные эксперты собрались! Что, прививки - зло, а воду в банках у телека заряжать норм?
Почему для "двойной идентификации" нельзя использовать просто второй пароль?
Потому что они у тебя будут записаны на одном стикере.
> Потому что они у тебя будут записаны на одном стикере.но с разных же ж сторон!
Потому что приказы начальства не обсуждаются. А в ГитХабе теперь Майкрософт начальство.
чо-та по поведению - не складывается (microsoft просто попросила бы вводить live-login - кстати, вы не поверите, никакой 2fa она своим разработчикам не навязывает - хочешь, рожу в камеру суй, а хочешь - не суй)Я после всех недавних новостей про m$ уже начинаю нервничать - их точно-точно не покупает гугль вместе с гитшлаком?
А ГХ и не навязывает 2FA. Они просто фингерпринтят и всё.
> А ГХ и не навязывает 2FA. Они просто фингерпринтят и всё.ну здрасьте - "верификация устройств" это не "просто", это "хрен тебе а не логин с этого неведомого устройства - иди-ка второй фактор ищи где хочешь". В минимальном варианте, пока, надо думать, придется добираться до своего email - и горе тем, кто использовал одноразовый. Хазяина желает знать твой реальный мэйл!
Не сказал бы что я был особо высокого мнения о комментаторах, но почитав этот ужас волосы дыбом встают.
> почитав этот ужас волосы дыбом встаютНе разрешайте своим волосам читать такие ужасы, особенно на ночь.
Микрософт _возможность_ зонда, пока пока!! ))