Исследователи из компании GitGuardian выявили массовую атаку на пользователей GitHub, в ходе которой был получен контроль над 327 учётными записями и осуществлена подстановка вредоносного обработчика Github Action в 817 репозиториев. Атака привела к утечке 3325 секретов, используемых в системах непрерывной интеграции и передаваемых через переменные окружения, включая токены доступа к PyPI, GitHub, NPM, DockerHub и различным облачным хранилищам...Подробнее: https://www.opennet.me/opennews/art.shtml?num=63831
> GitHub Actions даёт возможность разработчикам кода прикреплять обработчики для автоматизации различных операций в GitHub.Как новорится, ССЗБ. Нечего в проприетарном не селфхост облаке хранить критичные данные.
Дядя Петя, ты дундук? (с)> Вредоносный коммит добавлялся с учётных записей мэйнтейнеров проектов, которые, вероятно, до этого были взломаны или стали жертвой фишинга.
Что мешает взломать твое не проприетарное селфхостед облако?
Если ты им пользуешься сам, то может тебе хватит "Новая Папка (1)", "Новая Папка (2)" и тд?
А если у тебя распределенная команда, то вероятность того что их взломают, не меньше гита.
>"Новая Папка (1)", "Новая Папка (2)" и тдА что, на self hosted запрещается использовать git daemon?
Отсутствие неподконтрольного тебе обработчика
Если команда небольшая удобнее просто использовать Fossil вместо папок.
GitHub всё больше в помойку превращается. Большинство реп никому не нужны кроме хозяина. А с приходом ИИ всё становится ещё печальней.
Не, ну это конечно тоже вариант - "нет ci\cd как концепции - нет проблем с ci\cd", тут не поспоришь. Конечно будет проблема найти второго такого в "команду" - но тут на помощь всегда может прийти кот.
Угу, отрвился хлебом - пеки сам
Никогда такого не было и вот опять ?
Ага.
Если учетку мейнтенера сломают, то могут сделать плохие вещи.
Кто бы мог подумать?!!ИЧСХ у "типа конкурентов" гитхаба есть такие же экшены
docs.gitlab.com/user/project/quick_actions/
docs.gitea.com/usage/actions/comparison
Gitlab это скорее клон github
Нормальную конкуренцию может составить radicle.xyz
> Нормальную конкуренцию может составить radicle.xyzЭто ты про п2п штуку для нетакусиков?
Нормальные люди такой дичью не страдают.
Ты бы еще даркнет предложил)
Что у вас с логикой? Конкуренцию продукту А может составить продукт Б, который лучше удовлетворяет запрос потребителя, либо имеет другие рыночные преимущества.То что вы говорите, это _разнообразие_, а не конкуренция.
По вашей же логике получается, что конкуренцию БМВ и Ауди может составить паровой автомобиль.
Системы непрерывной интеграции троянов всё заинтегрировали нормально.
Ваши предложения?
Передевать код на дискетках как диды?
Кричать "вася не трогай файл N я туда сейчас буду изменения заливать!"?
Не делать автотесты перед мерджом?
да лучше на дискетах, сто процентов безопасно
Особенно, если она размагнитится по пути.
Два чая этому господину!
Мои дискеты не размагнитились за 35 лет. Что у тебя там за путь или дискеты?
Сказочник, блин
Даже для того, что бы донести из дома до универа писали минимум на две дискеты, потому что одна вполне может размагнитится даже за время пути из дома в универ. А у тебя якобы за 35 лет нифига
Ну, то есть я тебе верю. У тебя нет ни одной дискеты и потому ни одна не размагнитилась
Твоя сказка про твои дискеты и путь выглядит для меня как "купил колонки в магазине за 100500 денех, пока нёс до дома, магниты в динамиках размагнитились". :D Если то не понимаешь что такое "размагнитились" или от чего реальное размагничивание происходит, то ты ССЗБ.
Знаешь в чем твоя проблема?
У тебя не было дискет, ты в те времена еще не родился, а теперь тут рассказываешь сказки об их надежности
> Знаешь в чем твоя проблема?
> У тебя не было дискет, ты в те времена еще не родился,
> а теперь тут рассказываешь сказки об их надежностиТы так уверен, что я подозреваю что у тебя стойкие галлюцинации.
Вот ради тебя нашёл Verbatium на 1.44 (Извини 5" не осталось дискет у меня ... Валяется 8" но для неё нет дисковода). Всё она читается - какие-то данные для налоговой за 2003 год.
Может из-за тог, что она в жестяной коробке лежала ?А по поводу "размагничивания" не надо её магнитом к холодильнику крепить.
Ну, он скорее про то, что "не все проблемы, вызывающие невозможность прочитать данные с дискеты вызваны именно "размагничиванием" - да и с надежностью мммм... по разному - от хранения ключей банк-клиента на 4х дискетах и нормальной работой (2-3 операции в неделю) в течении трех лет (Могло бы и больше, наверное - но там уже банк процедуру поменял) и отправки бухгалтерской отчетности по почте - до чтения этих "двух дискет" на трех дисководах с (оправдавшейся!) надеждой, что хоть один из них прочитает.И, кстати - может он про 5,25" дискеты, с которыми и правда было лучше? :)
Размагнитится - вряд ли. А вот сектора у трёхдюймовок бились только в путь.
Кстати был случай, у нас упал интернет и мы пушили на флешку (file:// протокол) и пулились оттуда :)
это понятно, "голь на выдумки хитра и эту страну не победить". хехе.
попробуйте посчитать убытки от торможения бизнес-процессов,
и сопоставить их с расходми на1) у провайдера взять /29
2) второй канал, второй провайдер, тоже /29.
100 Mbit/sec достаточно. даже 32 Mbit/sec достаточно.3) настроить два фаерволла с SNAT, чтобы каждый был постоянно подключен
к двум провайдерам, умел определять состояние каналов, балансировать исходящий траф
и выводить дохлый канал из работы.
> настроить два фаерволлащас он спросит у чатгпт, как настроить сдван :)
а правда что на каждый SDWAN накладывается обременение в виде vendor lock ?
гемини отвечает так"""
Да, обременение в виде vendor lock-in (зависимость от поставщика) — это распространённая проблема в сфере SD-WAN, хотя и не неизбежная.Что такое vendor lock-in в SD-WAN
Vendor lock-in означает, что, выбрав решение SD-WAN от одного конкретного поставщика, вы сталкиваетесь с высокими издержками и техническими трудностями при попытке перейти на продукт другого производителя.Это происходит из-за нескольких ключевых факторов:
Проприетарные технологии. Многие SD-WAN-решения используют закрытые протоколы и форматы, которые несовместимы с оборудованием и программным обеспечением других поставщиков. Например, контроллер одного вендора не сможет управлять устройствами (edge devices) другого.
Сложность миграции. Переход на новое решение SD-WAN — это не просто замена одной коробки на другую. Это требует перенастройки всей сетевой архитектуры, политик безопасности и маршрутизации, что может быть очень трудоёмким и дорогим процессом.
Специфические навыки. Для работы с каждым решением SD-WAN требуется обученный персонал, который знаком с конкретным интерфейсом и функционалом. Миграция может потребовать переобучения сотрудников или найма новых специалистов.
Лицензионные соглашения. Контракты с поставщиками могут содержать условия, которые затрудняют или делают невыгодным разрыв отношений.
Как избежать vendor lock-in
Хотя vendor lock-in — это реальный риск, его можно минимизировать, следуя определённым стратегиям:Выбирайте решения на базе открытых стандартов. Некоторые поставщики предлагают решения, основанные на открытых протоколах, что делает их более совместимыми с продуктами других производителей.
Используйте мульти-вендорный подход. Вместо того чтобы полагаться на одного поставщика, можно строить сеть, используя компоненты от разных производителей, что даёт большую гибкость и снижает зависимость.
Оценивайте простоту миграции. На этапе выбора решения задавайте вопросы о том, как происходит миграция, есть ли у вендора открытые API для автоматизации и интеграции.
Рассматривайте решения с "белой" коробкой (white box). Некоторые поставщики предлагают SD-WAN-софт, который можно установить на стандартное, общедоступное оборудование. Это позволяет избежать привязки к проприетарному "железу".
"""
спс за инфо. продолжайте доить нейросеть, не остнавливайтесь на пол-пути.> Выбирайте решения на базе открытых стандартов. Некоторые поставщики предлагают решения,
> основанные на открытых протоколах, что делает их более совместимыми с продуктами
> других производителей.что это за поставщики, названия их решений и открытых протоколов ?
> Используйте мульти-вендорный подход. Вместо того чтобы полагаться на одного поставщика,
> можно строить сеть, используя компоненты от разных производителей, что даёт большую
> гибкость и снижает зависимость.какие гарнатии, что решения окжутся совместимыми ? как проводить тестирование и пилот-проекты, чтобы получить значимые результаты ?
> Рассматривайте решения с "белой" коробкой (white box). Некоторые поставщики предлагают
> SD-WAN-софт, который можно установить на стандартное, общедоступное оборудование.что это за поставщики, названия их решений и продуктов ?
Если бизнес-процесс - два студента, пилящих курсач - флешка и file:// протокол вполне себе норм решение, если сети _вообще_ нет. Да, потеряется час-два времени недоджунов за неделю работы. Не критично.Если есть хотя бы ethernet - то кабель между компами + статические айпишники + ssh протокол уже уделают флешку натаком проекте.
Ваши /28 + второй канал + настройка всего этого осмысленны если это _бизнес_ проект с продолжительностью больше месяца И своей физической инфраструктурой. Если инфраструктура в облаке - то нафига вот-это-все, если при отрубании интернета в офисе каждый за пару минут раздает себе интернетик с телефончика? Ну разве что у вас офис на 1000 человек и интернетики с телефончиков перегружают сотового оператора и все лежит...
> Если бизнес-процесс - два студента, пилящих курсачок. но все же дождемся ответа анона, который пушил через флэшку.
> Ваши /28 + второй канал + настройка всего этого осмысленны если это
/28 - оверкилл и оверпрайс. /29 достаточно для разумных применений.
> _бизнес_ проект с продолжительностью больше месяца И своей физической инфраструктурой.
> Если инфраструктура в облаке - то нафига вот-это-все,для фанатов облаков приготовлен отдельный филиал ИТшного ада.
надеюсь, кое-кто (из МТС облаков например) уже там.кстати для фанатов циски и микротиков - тоже.
> при отрубании
> интернета в офисе каждый за пару минут раздает себе интернетик с
> телефончика1) спрашивается - почему они изначально не раздавали сами себе ?
и перенастраивать ничего не надо.2) с мобильными интернетами в некоторых местах этой страны сейчас проблемы.
фанаты облаков отрываются от земли и витают в облаках, как обычно.
Зачем до каменного века скатываться? Может достаточно просто не доверять свою чувствительную инфу сомнительным людям?
Сомнительные люди тут кто?
Мейнтенеры, учетки которых взломали?
Значит надо обходиться без мейнтенеров и писать все в одну персону.
А чтобы твою учетку тоже не взломали, не доверять код интернету, и хранить его на подкроватном сервере.
>> Сомнительные люди тут кто?Ты хоть новость читал? Очевидно, что разрабы Github Actions Security
Разрабы GitHub actions security просто добавили отправку секретов на деревню дедушке. А вот сам этот экшен добавляли сломанные учётки мэинтейнеров.
> разрабы Github Actions SecurityНет никакого Github Actions Security, там злоумышленники тупо стадию пайплайна так назвали.
Но зачем в это углубляться?
Увидели название гитхаб, вспомнили что ими владеют майкрософт...
Всё этого достаточно чтобы полторы извилины уже отключились, во рту начала собираться пена и с праведным гневом пошли писать глупые комментарии.
Никаких предложений: говорю ж - нормально всё заинтегрировали, очень удобная штука.
Скажите, а мой репозиторий не скомпрометировали? Как проверить?
>Вредоносный коммит добавлялся с учётных записей мэйнтейнеров проектов, которые, вероятно, до этого были взломаны или стали жертвой фишинга.А что, двухфакторная авторизация не помогла?
В том виде, в котором она сейчас реализуется, двухфакторка - это лютый энной. Поэтому принужденные к этой фигне реально будут хранить оба фактора в одном менеджере паролей и вкопировать не глядя.
> хранить оба фактора в одном менеджере паролейЧел, второй фактор - это отдельный девайс.
> В том виде, в котором она сейчас реализуется
По твоему заявлению выше очевидно, ты не понимаешь, как она реализуется.
ты и не понимаешь. Тотп и все там
Что пароль что второй фактор OTP храню в Keepass. На одном устройстве. В одном приложении. Удобно. Были бы дешёвые физические устройства для OTP пользовался бы ими
> Что пароль что второй фактор OTP храню в Keepass. На одном устройстве. В одном приложении. Удобно.Но весьма уменьшает безопасность.
> Были бы дешёвые физические устройства для OTP пользовался бы ими
От 50 баксов до ...
Неужели дорого?
> Что пароль что второй фактор OTP храню [...] На одном устройстве.Все стараются увеличить безопасность, но наш брат непобедим!
> Что пароль что второй фактор OTP храню в Keepass. На одном устройстве.
У тебя уже есть мобильный смартфон.
> стараются увеличить безопасностьКак TOTP увеличит безопасность?
Если пароль утек с сервера, то утечет и секрет. Через ту же дыру.
Если пароль утек у пользователя, то утечет и секрет. У того же балбеса.
Был бы смысл, если бы секрет был ассиметричный. Но симметричный секрет не даёт ничего. Это просто благовидный повод привязать девайс, чтобы деанонимизировать пользователя.
> Если пароль утек у пользователя, то утечет и секрет.Нет. Оба утекут только у тех, кто хранит их на одном устройстве. Что непонятного?
> Но симметричный секрет не даёт ничего.
Если человек упрям, как баран, то объяснять что-либо бесполезно.
> Это просто благовидный повод привязать девайс, чтобы деанонимизировать пользователя.
А, ну понятно: ты из той секты параноиков, у кого TOPT что-то там деанонимизирует.
> Нет. Оба утекут только у тех, кто хранит их на одном устройстве.Так все хранят.
Только я - в зашифрованной базе KPXC, и браузер в песочнице. А ты на телефоне - с уникальными идентификаторами, привязанными к паспорту, с недобраузером в недоОСи.> ты из той секты параноиков, у кого TOPT что-то там деанонимизирует.
Деанонимизирует программа-генератор кода, установленная на девайс. Ты в неё, как минимум, секрет сохраняешь, который связан с конкретным аккаунтом. А информация, полученная с устройства, уже позволяет связать аккаунт с реальным пользователем. Как минимум. А ещё можно пошерудить по соседним программам, файлам пользователя, контактам и т.п.
>> Нет. Оба утекут только у тех, кто хранит их на одном устройстве.
> Так все хранят.Нет, только альтернативно одаренные, которые не понимают, у чем суть двуфакторки. Ну, вот типа местных комментаторов.
> А ты на телефоне - с уникальными идентификаторами, привязанными к паспорту, с недобраузером в недоОСи.
Естественно, на телефоне. Я-то понимаю, что суть двуфакторки - ВНЕЗАПНО! - в наличии второго фактора, и что привязанность телефона к паспотру здесь никакой роли не играет, ведь TOTP можно хоть на тостере генерировать.
>> ты из той секты параноиков, у кого TOPT что-то там деанонимизирует.
> Деанонимизирует программа-генератор кода, Ты в неё, как минимум, секрет сохраняешь, который связан с конкретным аккаунтом.Опять нет. Секрет сам по себе никак не связан с аккаунтом. Ты, конечно, можешь его подписать "Мой аккаунт на Гитхабе" - но на этом все. Но даже в этом случае взломавшие твой телефон люди даже не поймут, какой иммено аккаунт на Гитхабе является твоим.
> А информация, полученная с устройства, уже позволяет связать аккаунт с реальным пользователем. Как минимум
Если кто-то может получать информацию с твоего устройства, то говорить о "деанонимизации" как-то тупо, не находишь? Таким макаром и сохраненные закладки в браузере, история звонков и т.п. являются деанонимизаторами.
В общем, что и требовалось доказать - вы несете типичные бредни параноиков. Воюй дальше, друг!
> Я-то понимаю, что суть двуфакторки - ВНЕЗАПНО! - в наличии второго фактораМедаль тебе нужно выдать. "За понимание".
> ведь TOTP можно хоть на тостере генерировать.
А зачем вообще что-то генерировать? Используй второй пароль, хранимый отдельно. А. Тебе сервисы TOTP навязали, вместо второго пароля. Ясно-понятно.
> Секрет сам по себе никак не связан с аккаунтом.
Он хранится на сервере в той же базе данных, что и хэш пароля.
> взломавшие твой телефон люди даже не поймут, какой иммено аккаунт на Гитхабе является твоим.
Зато M$, владеющий Гитхабом, поймёт и сообщит куда следует (в программу национальной слежки), и куда не следует (маркетол-ам) - тоже.
> Если кто-то может получать информацию с твоего устройства
Каждое второй приложение на твоём, обязательном к наличию, телефоне.
> Таким макаром и сохраненные закладки в браузере, история звонков и т.п. являются деанонимизаторами.
Если браузер позволяет их получить любой вкладке без аутентификации.
> Воюй дальше, друг!
Само собой! Спускать шtanы и получать yдовольствие я определенно не намерен.
> Все стараются увеличить безопасность, но наш брат непобедим!И сейчас ты конечно принесешь в описание такой вектор атаки, который унизительно легок в выполнении и стоимость его настолько низка на любых вариантах АПК, что именно наличие второго отдельного устройства (а точнее смартфона, раз ты на него так запал) требуется для всех пользователей. Под любыми вариантами АПК в том числе понимаются такие, где база кипаса с тотп лежит на шифрованном диске (бэкапы шифрованы тоже)
Ну и да, расскажи как на безопасность влияют в мобильных тотп мейнстримных аппах: облачная синхронизация (гугол) и санкции на учетки по причине страны (мс аутх, который еще и к гитхабу ао конторе близок).
> И сейчас ты конечно принесешь в описание такой вектор атаки, который унизительно легок в выполнении и стоимость его настолько низка на любых вариантах АПК, что именно наличие второго отдельного устройства (а точнее смартфона, раз ты на него так запал) требуется для всех пользователейКонечно приведу: у тебя сперли один фактор (пароль/ломанули телефон), но второй остался у тебя. Аккаунт не взломан.
Но я понимаю, это очень сложная мысль для опеннетного эксперта.
> Под любыми вариантами АПК в том числе понимаются такие, где база кипаса с тотп лежит на шифрованном диске (бэкапы шифрованы тоже)
А в этом сценарии достаточно спереть и взломать один фактор - девайс с кипасом. И получить все твои пароли, лол. Хотя я не понял, к чему ты это упомянул. Навесить шифрований дисков и паролей можно на любой девайс с TOTP - суть двуфакторности как бы не в этом, а именно в наличии второго фактора.
> А в этом сценарии достаточно спереть и взломать один фактор - девайс с кипасом.Так можно и девайс с кодогенератором взломать. На нём, по-любому, рядом будет браузер и нужная веб-кука.
Причем, базу keepassxc ты так просто не сломаешь, если она залочена. А вот на телефоне, всё всегда плейнтекстом валяется на флешке.> Навесить шифрований дисков и паролей можно на любой девайс
Не на телефон. Там ты всегда "в гостях". Там только видимость шифрования.
Господи. У тебя на ноуте сканера отпечатка пальцев нет и камера изолентой заклеена? Ну, используй passkey с пин-кодом, что ли - все надежней этого вот позорища будет.
> все надежней этого вот позорища будет.Очевидно, что TOTP в KPXC хранится не ради безопафосности (с этим обычный пароль справляется), а по необходимости - сервисы его навязывают.
>> все надежней этого вот позорища будет.
> Очевидно, что TOTP в KPXC хранится не ради безопафосности (с этим обычный
> пароль справляется), а по необходимости - сервисы его навязывают.И телефон при регистрации отбирают, выдавая nokia 3110 и заставляя использовать СМС!
> второй фактор - это отдельный девайсЭто в HOTP требуется синхронизация счётчика (C) между клиентом и сервером. (https://www.rfc-editor.org/rfc/rfc4226#section-5)
В TOTP для счётчика используется общеизвестное синхронизированное время. Достаточно хранить секрет (K), и одноразовый пароль можно вычислить независимо. (https://www.rfc-editor.org/rfc/rfc6238#section-4)
Круть! Но это все как-то противоречит тому факту, что в двуфакторке вторым фактором является отдельный девайс?
В вебе, в двухфакторках используется TOTP. При регистрации/настройке передаётся секрет, из которого с помощью общеизвестного алгоритма и общеизвестного времени получают временный код. Например, в менеджере паролей, вроде KeePassXC. Девайс не нужен.
Даже если девайс типа "требуется" (например, как в Steam), код можно получить без него. Там другой, но также известный алгоритм (в KPXC есть из коробки). Valve просто привязку телефона у вас так беззастенчиво выпрашивает.
https://github.com/keepassxreboot/keepassxc/pull/1206
> Девайс не нужен.Ты вообще не понял, о чем я тебе говорю. Ну валяй - делай из двуфакторки однофакторку, храня все в одной корзине (своем KeePassXC, например).
Да не помогут тебе даже две корзины, если на той стороне - фишинговый ресурс, на 100% копирующий оригинальный, который сразу же авторизуется дальше под креденшлами юзера, не ожидая смены одноразового презерватива.
Ну вот для этого тебе passkey придумали, да?
Именно, вот только оно слишком сложно для большинства девляпсов и около.
> Именно, вот только оно слишком сложно для большинства девляпсов и около.Ну, разве только в linux'е, т.к. реализация там будет традиционно "с(т)ранненькая", с безопасностью "as usual" - интеграции в ОС нет, штатных средств нет - вот тебе пачка костылей имитирующих реализацию - ну там вместо платформенного TPM'а будет у тебя - keepassxc со всеми вытекающими. Но будет, да - и проблему с фишингом решит.
У всех остальных более, чем приличная реализация будет "из коробки" с zero setup.
> в linux'е, т.к. реализация там будет традиционно "с(т)ранненькая", с безопасностью "as usual"Как пользователем настроено, так и будет. То есть у пряморуков - удобно и безопасно, у остальных - как решил админ/сопроводитель/кто-то ещё.
> У всех остальных более, чем приличная реализация будет "из коробки" с zero setup.
У всех остальных будет имитация безопасности, прикрытая фиговым листком. Как обычно. Достаточно на интеграцию TPM в Windows посмотреть, чтобы понять.
>> в linux'е, т.к. реализация там будет традиционно "с(т)ранненькая", с безопасностью "as usual"
> Как пользователем настроено, так и будет. То есть у пряморуков - удобно
> и безопасно, у остальных - как решил админ/сопроводитель/кто-то ещё.Ну вот мы видим, ага. "Пряморуки" наяривают на TOTP на том же устройстве - остальные вот вовсе топят за "да фигня это ффсе, ниработаит и проблем не решает!". Может пара "я у мамы хакИр" с чем-то как-то никем и никогда не валидированным по stackoverflow настроенным РЕШЕНИЕМ найдется.
>> У всех остальных более, чем приличная реализация будет "из коробки" с zero setup.
> У всех остальных будет имитация безопасности, прикрытая фиговым листком. Как обычно. Достаточно
> на интеграцию TPM в Windows посмотреть, чтобы понять.Ну или так, да. Вот про "понатыквших в фишинговые ссылки" Ъ мы наблюдаем регулярно - а информации о том, что "из-за уязвимой реализации TPM утекло ..." - чот не очень как-то. Старик-с-бритвой как бы намекает нам...
> "Пряморуки" наяривают на TOTP на том же устройствеКогда он обязательный, его так обходят.
> ниработаит и проблем не решает!"
Не работает. Не решает. Если пользователь ввёл пароль по фишинговой ссылке, то и код введёт. А вот правильно настроенный парольный менеджер пароль от сайта фейку не отдаст.
> по stackoverflow настроенным РЕШЕНИЕМ найдется
Это у корпоративных разработчиков так принято. Вот тех самых, которые TOTP внедряют везде и всюду.
Хакеры обмениваются знаниями через Вики сообществ (например, Arch Wiki) или публикуя исследования в персональных блогах.> Вот про "понатыквших в фишинговые ссылки" Ъ мы наблюдаем регулярно
И TOTP тут не спасёт.
> а информации о том, что "из-за уязвимой реализации TPM утекло ..." - чот не очень как-то
А зачем нужна такая огласка службам, регулярно получающим доступ к вашим устройствам при задержаниях?
>> "Пряморуки" наяривают на TOTP на том же устройстве
> Когда он обязательный, его так обходят.А, так ты из тех, кто "на зло маме"?
>> ниработаит и проблем не решает!"
> Не работает. Не решает. Если пользователь ввёл пароль по фишинговой ссылке, то
> и код введёт. А вот правильно настроенный парольный менеджер пароль от
> сайта фейку не отдаст.Ух, и пароль поди - Qwerty123@ назло заставлятелям использовать СЛОЖНОЕ?
>> по stackoverflow настроенным РЕШЕНИЕМ найдется
> Это у корпоративных разработчиков так принято. Вот тех самых, которые TOTP внедряют
> везде и всюду.
> Хакеры обмениваются знаниями через Вики сообществ (например, Arch Wiki) или публикуя исследования
> в персональных блогах.Не-не-не. У корпоративных как раз - централизованная политика управления.
>> Вот про "понатыквших в фишинговые ссылки" Ъ мы наблюдаем регулярно
> И TOTP тут не спасёт.Конечно. Пройдет еще лет *цать и индеец Быстрое Полено прочитает про более другие(ТМ) реализации 2FA... но это не точно.
>> а информации о том, что "из-за уязвимой реализации TPM утекло ..." - чот не очень как-то
> А зачем нужна такая огласка службам, регулярно получающим доступ к вашим устройствам
> при задержаниях?Оу. Ты, надеюсь и аппаратную защиту от терморектального криптоанализа с левой резьбой установил с такой моделью угроз? Придут, панимаишь, четыре тарищмаёра во главе с МЕДАЛЕНОСНЫМ, достанут квантовый паяльник - а ты и ЗАЩИЩЕН!
Уважаю, бро - уважаю!
Ну валяй, подключай к Стиму телефон. Только и пароль/куки, и TOTP-секрет будут на одном девайсе. Угнал девайс (или одолжил на пять минут) равно угнал аккаунт.
>> Ну валяй - делай из двуфакторки однофакторку, храня все в одной корзине (своем KeePassXC, например).
> Только и пароль/куки, и TOTP-секрет будут на одном девайсе.Ты адекватный вообще? Я тебе в третий раз повторяю: смысл 2FA в том, чтобы НЕ хранить оба фактора (пароль и TOPT) на одном девайсе.
> Смысл 2FAМало кто предлагает 2FA. Например, второй пароль, который явно более надежен, чем Truncate(HMAC-SHA-1(K,C)).
Все предлагают TOTP. Со своим приложением. Или гугловским - известный коллектор данных и участник программы PRISM. Т.о. смысл TOTP - деанон через привязку устройств. Как, впрочем, и 99% приложений на телефон, которые суть - тонкий клиент к веб-серверу + инструменты слежки (сбора и передачи данных).> The HOTP algorithm is based on an increasing counter value and a static symmetric key known only to the token and the validation service.
Будь там ассиметричный ключ, TOTP имел бы смысл. Но с симметричным, это просто ослабленный (для легкого ввода, ага) второй пароль.
> Мало кто предлагает 2FA
> Все предлагают TOTP.Ты сам себе противоречишь. TOTP на втором девайсе - это и есть второй фактор. Чисто по определению.
В общем, очередной персонаж, не понявший сути 2fa ринулся против него воевать.
> Т.о. смысл TOTP - деанон через привязку устройств. Как, впрочем, и 99% приложений на телефон
То есть, ты юзаешь Андроидный телефон от ПРИЗМовского Гугла, но деанонимизация происходит именно по TOTP? Ясно, понятно...
> Т.о. смысл TOTP - деанон через привязку устройств.
Опять эти бредни параноиков. Ты уже регистрируешь аккаунт на сарсвисе, но вот если он просит 2fa - О БОЖЕ ДЕАНОН!
> Но с симметричным, это просто ослабленный (для легкого ввода, ага) второй пароль.
Да, второй пароль. На отдельном девайсе. Казалось бы, в голове должно было что-то щелкнуть (ну, в контексте названия "двуфакторность"), но нет...
> TOTP на втором девайсе - это и есть второй фактор.( TOTP < 2FA )
> То есть, ты юзаешь Андроидный телефон от ПРИЗМовского Гугла, но деанонимизация происходит именно по TOTP?
Ты юзаешь. У меня KPXC, телефон мне не нужен.
> Ты уже регистрируешь аккаунт на сарсвисе, но вот если он просит 2fa - О БОЖЕ ДЕАНОН!
Если ты при регистрации каждому сервису сообщаешь свой телефон/паспорт, то это твои проблемы.
> Да, второй пароль.
Нет. *Ослабленный* (то есть *бесполезный*) второй пароль.
P.S. Туго соображаешь.
2FA != TOTP, ёлки.
идея второго фактора в интернете безполезна, куда безопаснее записанный на бумажке второй пароль.
>> хранить оба фактора в одном менеджере паролей
> Чел, второй фактор - это отдельный девайс.Бгг, ты просто пользователей не видел :D
«Принужденные» всегда при любых условиях будут делать всё, что угодно, лишь бы саботировать принуждателя. Без исключений. Но даже в этом случае не вижу проблемы для конечного пользователя. Хороший менеджер паролей заполнит все поля сам, даже копировать не надо — считай, чуть лучше одинакового пароля на всех ресурсах. Для тех, кому 2fa не жмёт и кто понимает как им пользоваться не жертвуя удобством тоже всё хорошо. Недовольно бухтят только опеннетчики, что тоже хорошо — можно почитать комментарии и в очередной раз убедиться, что без работы на ближайшие 50 лет не останусь. Сплошная благодать. Омммммммм…
Я не зря написал - "в том виде, в котором оно сейчас строится".Вообще там, где надо, есть даже многофакторка - например три человека из группы в пять. При этом каждый со своим брелком с неизвлекаемым приватным ключом и пином к этому брелку, которого именно имеющий брелок - не знает.
Но вот TOTP "в текущем виде", например так, как для пользователей разных гитшляп, особенно с переавторизацией каждый час - это тупой энной и провокация. Его будут сейвить в один KeePass рядом с паролем и копипастить. Или читать с брелка - и набивать в общий кейлоггер не глядя.
То есть не провокация, а профанация, простите.
> переавторизацией каждый часПроблемы страны вечных NATов.
Откровения про шамира и сколько паролей автоматически вводит keepass читать лень. Ещё раз: кому надо пользуется как надо, за остальных 1Password всё делает что так, что эдак. Не работает эта схема только у людей без интернета и мамкиных борцунов со слежкой инопланетянами, накрутивших uMatrix. Других причин пока обнаружено не было.
TOTP - _устаревшая_ технология, которую НЕ НАДО использовать при наличии "более других"(ТМ) возможностей. Индустрия, если что - идет в сторону passkeys.
Тут вот тебе и аутентификация на ключах, и защита от фишинга из коробки, и удобство использования, и хранение этого вот добра в TPM конечного устройства с разблокировкой доступа "как выберешь" - но... Н-ноо, лошадка! У меня есть TOTP!!!111
И я о том же.
Но с passkeys и вообще любым 2FA есть всё та же проблема, выше упомянутая: оно всё на одном девайсе :) Даже если вы брелок суёте в девайс - оно всё равно на одном девайсе.Т.е. реальная 2FA реализуется ВНЕЗАПНО не через браузер или аппликуху, которая авторизуется. Это ещё и вторая аппликуха на втором девайсе, которая ОТДЕЛЬНО получает запрос на авторизацию, который пользователь подтверждает. Такие дела.
> Но с passkeys и вообще любым 2FA есть всё та же проблема,
> выше упомянутая: оно всё на одном девайсе :) Даже если вы
> брелок суёте в девайс - оно всё равно на одном девайсе.
> Т.е. реальная 2FA реализуется ВНЕЗАПНО не через браузер или аппликуху, которая авторизуется.
> Это ещё и вторая аппликуха на втором девайсе, которая ОТДЕЛЬНО получает
> запрос на авторизацию, который пользователь подтверждает. Такие дела.В общем "нет". Может быть проблема доверия конечной реализации TPM - насколько оно там у тебя "неизвлекаемое" на самом деле и проблема надежности аутентификации\авторизации на конечном устройстве в случае его кражи (TPM конечно хорошо - но passcode 1111 в соответствии с best practice(ТМ) или там разблокировка-по-фотографии) - но тут уже модель угроз немножко другая.
В итоге перехватывается сессионный параметр, а не собственно ключ из TPM...
Без MITM будет сложновато, с MITM - ну, вообще без проблем.
> В итоге перехватывается сессионный параметр, а не собственно ключ из TPM...
> Без MITM будет сложновато, с MITM - ну, вообще без проблем.Ну да - и от визита госорганов с постановлением К поставщику услуг, а к тебе - с паяльником технология тоже не защищает. Плохая технология, негодная - не будем её использовать.
Да хосспаде, ваш этот, цензурнадзора, сертификат ставил на устройство?
Вота тебе и митм.
А если ещё на халявные вайфай точки свой серт кто-то развесит с идентичной тому информацией - половина цицд васянов поставят его не глядя, и владелец этих точек будет все эти вот ваши сессионные ключи собирать тоже не глядя, хоть с поцкейз, хоть с тотпой, хоть с пятью факторами.Сечём, куда я клоню? Не спасает эта двухфакторка от ухода сессионной информации, надо каждый запрос отдельно подписывать, причём без реплея, а это уже такой шляпный геморрой, что явно не для гитшляпов.
> А если ещё на халявные вайфай точки свой серт кто-то развесит с
> идентичной тому информацией - половина цицд васянов поставят его не глядя,
> и владелец этих точек будет все эти вот ваши сессионные ключи
> собирать тоже не глядя, хоть с поцкейз, хоть с тотпой, хоть
> с пятью факторами.
> Сечём, куда я клоню? Не спасает эта двухфакторка от ухода сессионной информации,
> надо каждый запрос отдельно подписывать, причём без реплея, а это уже
> такой шляпный геморрой, что явно не для гитшляпов.Ыыыы... passkey и 2FA - механизмы _аутентификации_ - про СЕССИИ они ничего не знают и знать не должны, да? И про то, сколько денег у тебя в кошельке - не должны. И от удара гаечным ключом по голове - они тебя не защищают. "И от next-next-next-поставить-да!" - тоже нет. Они обеспечивают - ну вот !внезапно! - аутентификацию.
Хочешь, чтобы снег-башка-не-попадал - каску носи, ага? И под стрелой не ходи - даже в каске. А волшебную серебрянную пулю "мне-от-всего, пжалста" не изобрели, сорри.
> Ыыыы... passkey и 2FA - механизмы _аутентификации_ - про СЕССИИ они ничего не знают и знать не должны, да?Верно. Т.е. хоть 100 факторов сделай, хоть обложись пасскеями, а лучше не станет.
>> Ыыыы... passkey и 2FA - механизмы _аутентификации_ - про СЕССИИ они ничего не знают и знать не должны, да?
> Верно. Т.е. хоть 100 факторов сделай, хоть обложись пасскеями, а лучше не
> станет.И пароль 1111 - прочее же от лукавого.
Нет никакой проблемы. Предъявишь ID-карту, фотку, отпечатки пальцев, постановление суда и подтверждение оплаты - и аккаунт тебе вернут.
И тут мы возвращаемся к исходной проблеме: фишинговый ресурс вполне себе такой запрос послать может, если попытается авторизоваться с первым фактором на исходном ресурсе. Шах и мат, и никаких реальных путей решения для публичных сервисов здесь не существует.
> И тут мы возвращаемся к исходной проблеме: фишинговый ресурс вполне себе такой
> запрос послать может, если попытается авторизоваться с первым фактором на исходном
> ресурсе. Шах и мат, и никаких реальных путей решения для публичных
> сервисов здесь не существует.Нет, не может. Конкретный passkey привязан с одной стороны к твоему ресурсу, а с другой - к конкретному потребителю. Не ты глазками выбираешь "а какой из пасскеев сунуть gitthub.com"? а система смотрит, есть ли у неё что-то ассоциированное с этим вот сайтом и если есть - ну, на тебе запрос на разблокировку TPM и вот это ффсе.
> Анализ изменений в репозитории FastUUID показал, что 2 сентября мэйнтейнер проекта добавил коммит с новым обработчиком Github Action, в котором содержался код для отправки токена к репозиторию PyPI на внешний хост.Всё правильно сделал. Он же не бесплатно эту библиотеку разрабатывал. Лицензия явно позволяет ему так делать. Вы бесплатно дары данайцев берёте (что fastuuid, что проект fastllm, купленный задешево по цене разработки "бесплатной" либы-зависимости), а потом удивляетесь "а за що?!" Потому что жизнь такая. Не нравится - можете всю экосистему лично для себя делать. Сначала дейтацентр купите, потом LLM свою натренируйте на своих данных, а потом с помощью LLM персонально для себя перепишите всю софтовую экосистему, какая вам нужно, а иначе так и будете жить на либох, служащих не тебе, а чужому господину.
Таких атак дальше будет только больше: LLM позволяют даже васяну дешево писать "бесплатный" высококачественный код, который уже окупается через бекдоры.
Ст. 273 УК РФ
И какое отношение понятия папуасов имеют к серверам Github?
А ты сам-то с какого раёна будешь?
Это неприменимо: принимая лицензию на программу (включая зависимые библиотеки) вы подтверждаете, что согласны на любой вред, который она нанесёт, и подтверждаете, что вы сами несёте за него ответственность. Иначе можно и разрабов coreutils за бинарь rm обвинить - она может стереть все данные на жёстком диске. Однако разрабы не виноваты, что пользователь не читает лицензи документации, а лучшая документация к программе - это её исходный код. Разрабы fastbullshit делали библиотеку исключительно для себя, то что выложили на github - это чтобы вы поизучать могли, и не виноваты, что вы не читаете исходный код и тащите в свою программу какие попало зависисмости, а равно используете программы других разрабов, не читая их код и не аудируя зависимости, в общем дарёному коню в зубы не смотрите, а конь данайцев оказался.
> принимая лицензию на программуУ УК приоритет выше.
> бинарь rm
Сам себя не запустит. И делает ровно то, о чём заявляет.
> Разрабы fastbullshit
Незаявленное поведение, причиненный вред, злой умысел. Для возбуждения только заявления не хватает.
Что же тогда "* Bear" не сидят поголовно, не видим массовых судов над ними?>Сам себя не запустит. И делает ровно то, о чём заявляет.
Та либа тоже сама себя не запустит, её ручками в проект притащили. И сам этот проект тоже ручками во все остальные места затащили, а не в результате drive-by взлома.
>Незаявленное поведение, причиненный вред, злой умысел. Для возбуждения только заявления не хватает.
любой DRM подпадает абсолютно под то же самое, так же как и системный промпт и файнтюнинг в ChatGPT, предписывающий модели врать, когда это необходимо для интересов компании и США, так же, как и системы шпионажа "телеметрии" в приложениях и ОС, так же, как откровенно вредоносные скрипты, активирующиеся автоматом до того, как у пользователя есть шанс прочитать лицензионное соглашения на них и явно с ним согласиться. Что же всех этих копирастов и пособников до сих пор не посадили?
> Что же тогда "* Bear" не сидят поголовно, не видим массовых судов над ними?Потому что никто не призвал их к ответу? Потому что все малодушно и трусливо считают, что они зрители в кинотеатре, а не полноправные участники общественной жизни? См. "Общество спектакля" и прочую философию.
> Та либа тоже сама себя не запустит, её ручками в проект притащили.
Код отправки подстановлен после.
> Что же всех этих копирастов и пособников до сих пор не посадили?
См. ответ на первый вопрос. Плюс, "копирасты" зарабатывают деньги (идол) и делятся ими с "крышей" (налоги). Это называется "буржуазное государство" или "диктатура буржуазии". За ликбез не благодари, пользы от тебя всё равно никому не будет.
>Потому что никто не призвал их к ответу? Потому что все малодушно и трусливо считают, что они зрители в кинотеатре, а не полноправные участники общественной жизни? См. "Общество спектакля" и прочую философию.Американская ОПГ своим врагам спуску не даёт, но даже оно всё равно не может призвать их к ответу ... А вы тут мне рассказываете, что бесправные рабы могут призвать к ответу того, кого на порядки более опасные и могучие призвать к ответу не могут.
>Код отправки подстановлен после.
И что? Используя либу вы заранее соглашаетесь со всем, что её владельцам может в готову прийти. В почти всех лицензиях написано, что AS IS и на свой страх и риск.
>Плюс, "копирасты" зарабатывают деньги (идол) и делятся ими с "крышей" (налоги). Это называется "буржуазное государство" или "диктатура буржуазии".
Нет, это называется "монополистический капитализм", который вообще нифига не капитализм. А про оседлых бандитов я и до тебя знал. И не надо мне втирать про то, что кто-то кому-то что-то должен. Тут у каждого только то, что он взял. Вот разраб той либы взял своё - вот и получил что заслужил. И не тебе его судить. Всяким двуличным бандитам с двойными стандартами он по-видимому интересен только с точки зрения того, имеет ли он понимание, когда приходится делиться. Раз он такое провернул, то есть вероятность, что очень даже имеет.
> Американская ОПГ своим врагам спуску не даёт, но даже оно всё равно
> не может призвать их к ответу ... А вы тут мне
> рассказываете, что бесправные рабы могут призвать к ответу того, кого на
> порядки более опасные и могучие призвать к ответу не могут."Рабы" - по эту сторону границы, а "ОПГ" - по ту.
Но прецеденты призвания к ответу были, как у тех (1917 год), так у других ("Русские хакеры: Начало").> Используя либу вы заранее соглашаетесь со всем, что её владельцам может в готову прийти.
Исключая злонамеренные действия.
> В почти всех лицензиях написано, что AS IS и на свой страх и риск.
Есть более приоритетные нормативно-правовые документы.
>>Плюс, "копирасты" зарабатывают деньги (идол) и делятся ими с "крышей" (налоги). Это называется "буржуазное государство" или "диктатура буржуазии".
> Нет, это называется "монополистический капитализм", который вообще нифига не капитализм.Любите вы придумывать сорта капитализма, для оправдания неприглядной действительности. Только он везде такой и во все времена.
Всё по классике. Отрицание. Гнев. Торг.> Вот разраб той либы взял своё - вот и получил что заслужил.
Нет. Но ещё получит.
>"Рабы" - по эту сторону границы, а "ОПГ" - по ту.Вы ошибаетесь. ОПГ и их рабы есть по обе стороны любых границ.
>Исключая злонамеренные действия.
Злонамеренные - нет такого понятия юридического. Есть вредоносные - те, которые против интересов оператора ЭВМ, и на которые у сделавшего нет с вами юридического документа, что вы их разрешаете. А лицензия на ПО и есть именно такой документ.
>Есть более приоритетные нормативно-правовые документы.
Ни один документ не имеет реальной силы. Документ - это отписка для случаев, когда по понятиям решать охоты нет. А когда решают по понятиям, то внезапно оказывается, что для членов ОПГ, когда их босс санкционировал, можно то, что обычному быдлу документы запрещают.
>Любите вы придумывать сорта капитализма, для оправдания неприглядной действительности
А мы и не придумываем. Есть только один сорт капитализма - со свободным рынком. Остальное называют капитализмом, но от капитализма там - одно название.
>Нет. Но ещё получит.
Что бы он не получил - он это заслуживает. Как и каждый, кто тут живёт, получает ровно то, что заслуживает. Скоту - скотское, цезарю - цезарево, а разрабу той либы - ровно то, что он заслуживает.
Советую быть циничнее и нигилистичнее. Модель мира станет точнее, а без точной модели мира нет интеллекта, как недавнее исследование показало.
> "Разрабы"Разработчики обязаны соблюдать законы нашей Вилкой страны! Вы согласны в этом, или нет?
Даже в том случаи, если просто выложил открытый код, разраб должен нести полную ответственность (в том числе и уголовную) за свой код!
А если разработчик находится в другой стране, то он должен быть экстрадирован к нам для суда!
>связанной с пакетом FastUUID, предоставляющем Python-обвязку над Rust-библиотекой UUIDОни там с ума посходили? UUID v4 - случайный, для его генерации библиотека, тем более на Rust, не нужна, а для никаких других UUIDов в принципе нет легитимного применения.
сортировка :(