Разработчики репозитория Python-пакетов PyPI (Python Package Index) объявили о решении перевести все учётные записи пользователей, сопровождающих хотя бы один проект или входящих в курирующие пакеты организации, на обязательное применение двухфакторной аутентификации. Перевод планируют завершить до конца 2023 года. До намеченного срока будет проведено поэтапное ограничение доступной функциональности для разработчиков, не включивших двухфакторную аутентификацию. Кроме того, для отдельных категорий пользователей требование включения двухфакторной аутентификации будет применено заранее...Подробнее: https://www.opennet.me/opennews/art.shtml?num=59198
объясните пж нубику чонетак с PGP и почему пипа от него отказались
Неосилили, скорее всего.
Там действительно есть сложности для того, кто хочет просто фигачить код, а не разбираться, как подписывать коммиты и сверять подписи.
Двухфактора в данном случае - проще, но при этом действительно значительно снизит количество проблем.
Проще за счет выноса верификации пользователя на готовую инфраструктуру сотовых операторов, контракт с которыми - по уже лет 15 в т.н. "цивилизованном мире" лишь по аусвайсу с тучей справок?
> Проще за счет выноса верификации пользователя на готовую инфраструктуру сотовых операторов,Читайте новость внимательней - там всякие TOTP и токены, т.е. никаких сторонних операторов.
Написать в анонсе можно много чего - хоть с аутентификацией по выдавливанию юзерских гнойников на камеру - мне реально интересно как оно будет реализовано в проде и не скатится ли до банального "вот вам телефон с смсом, а для особых извращенцев - ТОТР, токены и F2A"
> Написать в анонсе можно много чего - хоть с аутентификацией по выдавливанию
> юзерских гнойников на камеру - мне реально интересно как оно будет
> реализовано в проде и не скатится ли до банального "вот вам
> телефон с смсом, а для особых извращенцев - ТОТР, токены и
> F2A"either with a security device (preferred) or an authentication app по ссылке из новости.
Думаю, это вполне себе однозначно - никаких смс.
Читай мой пост выше.
В анонсе можно написать что угодно - как это будет сделано в столь сжатые сроки отдельный вопрос.
Ну перенесут сроки и что от этого изменится?
> Читай мой пост выше.
> В анонсе можно написать что угодно - как это будет сделано в
> столь сжатые сроки отдельный вопрос.Там достаточно подключить библиотеку и за пару недель отладить работу.
Дольше интерфейс удобный делать.
На работе такое уже делали.
После того как выпили pgp нет им доверия, через год посмотрим, будет там авторизация по смс или нет
А до этого, конечно, доверия было хоть отбавляй. 29% никому неизвестных ключей и аж целых 0.3% верифицируемо подписанных _файлов_.
>> Проще за счет выноса верификации пользователя на готовую инфраструктуру сотовых операторов,
> Читайте новость внимательней - там всякие TOTP и токены, т.е. никаких сторонних
> операторов.Простоти великодушно, а каким образом всякие TOTP и токены вам без мейнстримовых почт, где просят телефон, дадут всю эту радость жизни получить? Или опять предлагается селфхост, перманентно пребывающий в вечном спамфильтре?!
>>> Проще за счет выноса верификации пользователя на готовую инфраструктуру сотовых операторов,
>> Читайте новость внимательней - там всякие TOTP и токены, т.е. никаких сторонних
>> операторов.
> Простоти великодушно, а каким образом всякие TOTP и токены вам без мейнстримовых
> почт, где просят телефон, дадут всю эту радость жизни получить? Или
> опять предлагается селфхост, перманентно пребывающий в вечном спамфильтре?!*Простите великодушно*
> Простоти великодушно, а каким образом всякие TOTP и токены вам без мейнстримовых
> почт, где просят телефон, дадут всю эту радость жизни получить? Или
> опять предлагается селфхост, перманентно пребывающий в вечном спамфильтре?!Для того pypi и protonmail подойдёт, если что.
А вообще, сам по себе TOTP не связан с почтой ВООБЩЕ. Это тупо набор параметров для алгоритма расчёта чисел. То, что сайты рисуют там почту в qr-коде - к собственно TOTP отношения не имеет.
>> Простоти великодушно, а каким образом всякие TOTP и токены вам без мейнстримовых
>> почт, где просят телефон, дадут всю эту радость жизни получить? Или
>> опять предлагается селфхост, перманентно пребывающий в вечном спамфильтре?!
> Для того pypi и protonmail подойдёт, если что.
> А вообще, сам по себе TOTP не связан с почтой ВООБЩЕ. Это
> тупо набор параметров для алгоритма расчёта чисел. То, что сайты рисуют
> там почту в qr-коде - к собственно TOTP отношения не имеет.Да, только вот беда, protonmail заблочен в РФ и для его подтверждения надо вторая почта не от протонов.
В итоге мы должны пропалить какой-нибудь иной почте телефон - раз, чтобы оплатить VPN для обхода блокировки протона спалить реквизиты ещё и банковской карты - два.На счёт TOTP - так-то оно так, но речь за Authy, Google Authenticator требуют почту для регистрации.
В итоге придут к смс аутентификациям, дело времени.
Про почту - сойдёт любая, могущая _принять_ письмо от сервиса. Отправлять не обязательно.
Если не нравится использование почты вообще - идите к владельцам pypi и предлагайте альтернативы.> На счёт TOTP - так-то оно так, но речь за Authy, Google
> Authenticator требуют почту для регистрации.
> В итоге придут к смс аутентификациям, дело времени.На них свет оконцем сошелся чтоль? Дистрибутивных oathtool и keepassxc недостаточно? Того, что в f-droid тоже недостаточно, обязательно надо в google play лезть?
Вобщем, изучите вопрос, чтоль. Кроме проприетарщины есть ещё и опенсорс.
Что касается смс - TOTP бесплатно, а интеграция с провайдерами стоит денег.
> Authy, Google Authenticator требуют почту для регистрацииoathtool не требует
> Неосилили, скорее всего.
> Там действительно есть сложности для того, кто хочет просто фигачить код, а
> не разбираться, как подписывать коммиты и сверять подписи.
> Двухфактора в данном случае - проще, но при этом действительно значительно снизит
> количество проблем.Да, васяны с цифровыми подписями, которых не загнать в централизацию аутентификации это плохо, а васяны с централизованными попрошайками личных данных это хорошо, всё правильно делают, так победят!
Слишком децентрализованный для нынешнего поколения
PGP делали люди для людей. Есть УЦ, есть пользователи, есть их ключи, есть пулы общедоступных серверов, на которых можно поискать неизвестный ключ, получив или "Да, есть - Задов Хрен Моржович - Доверен и проверен ТрастУЦ". Настраиваешь - работает.Потом в_айти пошел поток мути, для которых это СЫЛОЖНА! И что? И всё.
Ты все перепутал, в PGP Web Of Trust. Есть серверы ключей, но они ничего не удостоверяют, просто обменник.
WOT с определённой долей достоверности таки удостоверяет: https://www.linux.org.ru/forum/security/16839105?cid=16840324
Забавно конечно, но это незапланированная функциональность, по сути дата-майнинг.
Участники WOT устанавливают доверие напрямую и ключами обмениваться могут произвольно, не используя серверы ключей. WOT не требует создания инфраструктуры.
Используя инфраструктуру с УЦ вы всегда устанавливаете доверие опосредованно. В этом принципиальное отличие.
Принципиальная ненадежность.
Речь не о УЦ, а о серверах ключей OpenPGP, они помогают обмениваться ключами и подписями. В роли УЦ в WOT выступает рядовой пользователь, который подписывает ключ однокурсника, сотрудника и загружает эти подписи на сервера ключей.
> Ты все перепутал, в PGP Web Of Trust. Есть серверы ключей, но
> они ничего не удостоверяют, просто обменник.А что токены удостоверяют? Как любой рандомный пассажир мог нагенерить себе ключей и наваливать всякого в общую репу, так и с токенами такой же рандомный пассажир сможет сделать? В чём в этом аспекте принципиальная разница-то? Тут кроме не очень хорошо прикрытой жажды централизовывать, ничего более не видно.
Это промежуточный этап, потому что токены зумеры также не осилят, как и по-человечески работать с цифровыми подписями. И то, это если действительно такой был истинный поинт отказа от PGP, а не банальное желание вольные жопы держать в менее вольном загоне.Вангую - всё скатится в помойные аутентификации по смс, скриньте этот пост!
скатится или нет это будем смотреть
а вот то что PGP это корявые костыли это видно уже давно
люди не будут пользоваться тем что не удобноне хотите сделать удобно значит вас будет 1,5 процент
В PGP каждый пользователь, чтобы начать пользоваться PGP, должен стать Удостоверяющим Центром (УЦ) и подписать PGPID публичных ключей нескольких других пользователей PGP.Перед подписью PGPID необходимо по буквам сверить Ф.И.О. и фото с паспортом, верифицировать контроль над E-mail.
Расскажи как этот пункт сделать удобным. УЦ предполагает требования аккуратности и удобным его не сделаешь.
Чтобы начать пользоваться PGP надо сгенерить себе ключ. Долверять ли этому ключу - на усмотрение того кто получает его публичную часть. Получать ее можно хоть голубиной почтой.К каким либо именам и фамилиям это никак не относится, их проверка или сопоставление ключу уже организационные мероприятия и это мало чем отличается от вон того.
А еще удобство и безопасность живут по разную сторону улицы. Вон то больше похоже на перехват контроля над толпой у этой самой толпы. Чего глупые хайпанашки с удобством и заслуживают. Сейчас им корпы организуют очень удобную короткую цепь со строгим ошейником.
> Как любой рандомный пассажир мог нагенерить себе ключей и наваливать всякого в общую репу, так и с токенами такой же рандомный пассажир сможет сделать?Как ты навалишь в репу TOTP пароль, который действителен 30 секунд?
Токены генерятся фактически с ключа, но есть некоторая разница в сценарии его использования. Этот ключ живет заведомо отдельно от компьютера, на котором производятся удостоверяемые операции.Да, все скатится не просто к смскам, но и к фото с паспортом в руках для наиболее важных с точки зрения црушных кибербезов пакетов.
>PGP делали люди для людейНу и почему он людям не нужен тогда?
Людям PGP - нужен. Государствам с жидомасонами, львогазелями - нет. После Сноудена они страх как боятся PGP и его распределённого свойства WOT.Похерили пару связующих ключей путём переполнения подписей:
https://www.opennet.me/openforum/vsluhforumID3/117882.html#4
https://www.opennet.me/openforum/vsluhforumID3/117786.html#61Чтобы PGP заработал надо кропотливый, многолетний труд множества пользователей OpenPGP во восём мире: https://www.opennet.me/openforum/vsluhforumID3/130586.html#21
Ахаха, люди для людей? Серьезно?? Скорее отбитые зад...ты для таких же отбитых зад...тов.Вот есть ключ Васи, который лежит в каком-то занюханом хранилище, который "верифицировал" Биба и Боба, которые бухали с Васей на каком-то гнутом мероприятии, которых "верифицировали" Пупа и Лупа, которые вообще хз кто, которых ... и т.д.
И Вася говорит - вот мой ключ, мне можно верить!
Можно, с определённой достоверностью: https://www.opennet.me/openforum/vsluhforumID3/130586.html#41Аккуратно выставлять уровни доверия к ключам:
Если это ключ однокурсника, сотрудника, которых паспортные данные Ф.И.О. фото ты 100% знаешь и их E-mail 100% верифицирован - высокий уровень.
"Бухали на PGP-парти", но первый раз вижу, паспорта не показывали, E-mail не верифицировали, но с их рук получил распечатаный PGP ID c Fingerprint-том ключа - самый низкий уровень доверия.
Но вот только никто не знает как именно была проведена проверка.
Все основано на доверии к конкретному проверяющему, которого по факту нет.
Надо выставлять уровень доверия при подписи чужого ключа.Результатом WOT есть несколько цепочек доверия от твоего ключа к интересующему тебя ключу. Если таких цепочек ~5, то уровень достоверности можно считать приемлемым. Меньше 3 цепочек, наверно, сегодня уже не достаточно.
Графический пример 4 цепочек доверия между ключём "Linus Torvalds 79BE3E4300411886" и ключом "Steven Miao 9A2698CDCF8E49C7"
https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/plain...Чем короче путь цепочки (меньше посредников), тем выше доверие.
Ещё 2 графических примера цепочек доверия между ключами:https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/plain...
https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/plain...В OpenPGP технология WOT работает не быстро. Нужны годы. Студент подпишет ключи однокурсников, закончит ВУЗ пойдёт на работу, подпишет ключи сотрудников, может сменит работу и подпишет ключи сотрудников на другой работе. Через 5-10 лет получится очень хороший Web Of Trust (WOT).
> ... Нужны годы. ... Через 5-10 лет получится очень хороший Web Of Trust (WOT).Отчаиватся не надо. Многие дистрибутивы *NIX и проекты разработки свободного ПО поддерживают, достаточно хорошо верифицированные публичные ключи:
ALTLinux https://git.altlinux.org/gears/a/alt-gpgkeys.git?p=alt-gpgke...
ArchLinux https://archlinux.org/master-keys/
https://archlinux.org/people/trusted-users/
https://gitlab.archlinux.org/archlinux/archlinux-keyring/-/t...Linux kernel https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/tree/...
Gentoo https://www.gentoo.org/inside-gentoo/developers/
https://packages.gentoo.org/categories/sec-keysDebian https://salsa.debian.org/debian-keyring/keyring/-/tree/maste...
QTox https://github.com/qTox/qTox#gpg-fingerprints
Ищите публичные ключи на официальных сайтах проектов...
Еще раз. Вопрос не про "уровень доверия при подписи чужого ключа".
А про то насколько вообще можно доверять этому уровню.Есть какой-то чел, у него есть пара подписей от однокласников и все. Кого бы он не подписывал - его подпись будет ничтожна, даже если эти однокласники проставили ему "мамой клянусь это он!"
> Нужны годы.
И в этом тоже проблема. За годы можно пролюбить приватный ключ кучу раз.
1. Нужно ~5 цепочек к ключу. Одной цепочки от однокласника Васи маловато. Но если ключ Васи подписал весь 11А класс и у тебя >5 разных цепочек доверия к ключу Васи?!!2. Приватные ключи надо охранять, смотри п.1: https://www.opennet.me/openforum/vsluhforumID3/130586.html#21
3. После атаки на сервера ключей многие дистры стали распространять OpenPGP ключи через свои репозитории пакетов, например для Gentoo: https://packages.gentoo.org/categories/sec-keys
Смотри пакеты *keyring*, *pgp*, *keys* в репах своего любимого дистра.
> 1. Нужно ~5 цепочек к ключу. Одной цепочки от однокласника Васи маловато. Но если ключ Васи подписал весь 11А класс и у тебя >5 разных цепочек доверия к ключу Васи?!!То это ничего не значит, т.к. ты все равно не знаешь, можно ли верить этому 11А, и вообще, "кто все эти люди и существуют ли они на самом деле?" Верить можно только человеку, у которого лично видел его ключ в виде тату, набитой на его же заднице.
Значат!Вася знает Вову и подписал его ключ.
Вова знает Вадима и подписал ключ Вадима, загрузил его на сервера ключей.
Вася не знает Вадима, но скачал прошу подписанную его ключом.
Вася качал ключ Вадима с серверов ключей. И Вася верит подлинности скачанного ключа Вадима ибо на нем стоит подпись Вовы которого Вася знает лично.
Таким образом Вася может удостоверится в аутентичности и целостности потом скачаной от Вадима.
> Вася знает Вовупотому что мельком видел его на тусовке каких-то фриков
> Вова знает Вадима и подписал ключ Вадима, загрузил его на сервера ключей.
или на самом деле нихрена его не знает и подписал стопиццот ключей бухим и укуренным на такой же тусовке, мельком может даже глянув документы, но поскольку был бухой - можно было хоть проездной ему показать.
Вася болел ковидом и на ту тусовку не попал, поэтому не в курсах, а на той первой не наливали, она вообще веганская.Теперь -
> Вася верит подлинности скачанного ключа Вадима ибо на нем стоит подпись Вовы которого Вася знает лично.Вася полный лох. Не будь как Вася.
pgp - фееричное г-но именно потому что у него нет понятия "я готов принять этот ключ, здесь и сейчас, потому что у меня есть какие-то мутные но основания полагать, что он все же настоящий, но не в критичной для меня среде и не для подписывания им совсем уже мутных ключей"
Либо доверяешь всем васянам подряд, либо нет.
Правильно сделано - опять у ssh (потому что это Йлонен а не смузихипстерки и не долбанавты из универов) - ключ сам по себе ничего не подтверждает, если его нельзя перепроверить по другому каналу, но вот если второй раз и именно это место внезапно показывает другой - вот это повод бить тревогу.
И больше никак эту криптомусорку использовать просто нельзя.
PGP на для всех подходит. Необходимо быть трезвым и аккуратным при проверке Ф.И.О, фото, паспорта и верификации E-mail.Хоть личная встреча является единственно достоверным источником ключей, можно использовать и другие каналы: крыпточаты, телефонную связь, почту России, ...
Есть вариант использование ключей собранных дистрибутивами *NIX:
https://www.opennet.me/openforum/vsluhforumID3/130597.html#49В gnupg есть разные модели верификации ключей:
https://www.gnu.org/server/standards/translations/ru/gnupg/m...
--trust-model {pgp|classic|tofu|tofu+pgp|direct|always|auto}
Установить, какой модели доверия должен следовать GnuPG:pgp
Сеть доверия, скомбинированная с подписями доверия, как это делается в PGP 5.x и более поздних. Эта модель назначается для новых баз данных доверия по умолчанию.classic
Стандартная сеть доверия, появившаяся в PGP 2.tofu
TOFU значит «trust on first use (доверять по первому использованию)». В этой модели ключ, который встречается впервые, запоминается. Если впоследствии другой ключ встречается с идентификатором пользователя с тем же адресом электронной почты, оба ключа помечаются как подозрительные. В этом случае при последующем пользовании любым из этих ключей выводится предупреждение с описанием противоречия, возможной причины (либо пользователь создал новый ключ, не подписав старый ключ новым, а новый старым, либо ключ подделан, либо проводится атака «человек посередине»), и у пользователя запрашивается подтверждение достоверности соответствующего ключа.Поскольку потенциальный злоумышленник может контролировать адрес электронной почты и тем самым обойти алгоритм обнаружения противоречий, пользуясь адресом электронной почты, который выглядит сходно с доверенным адресом, то при проверке сообщений каждый раз выводится статистика количества сообщений, подписанных этим ключом. Таким образом, пользователь может легко различить атаки, в которых фальшивые ключи выдаются за ключи нормальных корреспондентов.
По сравнению с сетью доверия TOFU предлагает значительно более слабые гарантии безопасности. В частности, TOFU помогает только гарантировать непротиворечивость (то есть что адрес электронной почты связан с одним и тем же ключом). Серьезное преимущество TOFU состоит в том, что для правильного пользования требуется минимум трудозатрат. Чтобы правильно пользоваться сетью доверия, нужно активно подписывать ключи и помечать пользователей как доверенные источники ключей. Эти процедуры требуют много времени, и хрестоматийные свидетельства показывают, что даже осведомленные в вопросах безопасности пользователи редко находят время, чтобы выполнять все это скрупулезно, и вместо этого полагаются на возникающие экспромтом процедуры, подобные TOFU.
В модели TOFU правила связаны с привязкой ключей к адресам электронной почты (которые извлекаются из идентификаторов пользователей и нормализуются). Есть пять правил, которые можно установить вручную параметром --tofu-policy. Исходные правила можно установить параметром --tofu-default-policy.
Существуют правила TOFU: auto, good, unknown, bad и ask. По умолчанию применяется правило auto (если это не изменено параметром --tofu-default-policy), оно помечает привязку как ограниченно доверенную. Правила good, unknown и bad помечают привязку уровнями доверия «полное», «неизвестно» и «никогда» соответственно. Правило unknown полезно, чтобы применять TOFU только для проверки противоречий, но никогда не присваивать положительного доверия. По последнему правилу, ask, уровень доверия привязки запрашивается у пользователя. В пакетном режиме (или если контекст не допускает ввода) пользователь не запрашивается, а возвращается уровень доверия не определено.
tofu+pgp
В этой модели TOFU сочетается с сетью доверия. Уровень доверия вычисляется по каждой из моделей, а затем выбирается максимальный в следующем порядке: неизвестно < неопределенно < ограниченно < полностью < абсолютно < просрочен < никогда.Если установить --tofu-default-policy=unknown, эту модель можно применять для реализации сети доверия с алгоритмом обнаружения противоречий TOFU, но без назначения этим алгоритмом положительных значений доверия, против чего возражали бы некоторые осведомленные в вопросах безопасности пользователи.
direct
Действительность ключа устанавливается пользователем напрямую, а не вычисляется по сети доверия. Эта модель полностью основана на ключе и не различает идентификаторы пользователя. Обратите внимание, что переход на другую модель доверия значения доверия, присвоенные ключу, трансформируются в значения доверия владельцу, что указывает на то, что вы доверяете владельцу ключа подписывать другие ключи.always
Пропустить оценку достоверности ключей и полагать, что используемые ключи всегда достоверны. Обычно это используется, только когда есть какая-то внешняя схема оценки. Этот параметр подавляет также вывод метки «[не определено]» при проверке ключей, когда нет свидетельств, что идентификатор пользователя привязан к ключу. Обратите внимание, что эта модель доверия все же не допускает применения просроченных, отозванных или выключенных ключей.auto
Выбирать модель доверия по тому, что записано во внутренней базе данных доверия. Это делается по умолчанию, когда такая база данных уже существует.Можно использовать разные кейринги (хранилища ключей) с разными политиками безопасности для разной работы.
Но есть большое НО: использование PGP требует чтения, понимания документации и соблюдения аккуратности, а это не всем удобно.
> PGP на для всех подходит. Необходимо быть трезвым и аккуратным при проверке Ф.И.О, фото, паспорта и
> верификации E-mail.нет, надо просто подписать пачку ключей неглядя.
Рано или поздно твою подпись подпишет дурачок в авторитете, и все что ты понаподписывал - станет внезапно-почтидоверенным.
Я уж не говорю о том что лично я на ую вертел предъявлять тебе паспорт.
> Можно использовать разные кейринги (хранилища ключей) с разными политиками безопасности для разной работы.
нельзя. Потому что это не работа а др-во, несовместимое ни с какой серьезной работой.
А чтобы это работало - надо всю систему менять, первым делом вышвырнув из нее идиотский механизм подписей подписей подписей, и приделав вместо него репутационный.
Но этого сделать никто уже не сможет потому что во-первых старперы не дадут, во-вторых не умеют кодить - обос..сь банально поправить баг в серверах своих ключей - ни одного васяна не нашлось владеющего языком на котором они двести лет назад были тяп-ляп наг0вняканы васяном позапрошлого поколения.
Это все что нужно знать о мертворожденном pgp и тусовке др-ров на него.
>> PGP на для всех подходит. Необходимо быть трезвым и аккуратным при проверке Ф.И.О, фото, паспорта и верификации E-mail.
> нет, надо просто подписать пачку ключей неглядя.
> Рано или поздно твою подпись подпишет дурачок в авторитете, и все что ты понаподписывал - станет внезапно-почтидоверенным.Чем больше цепочек доверия и чем они короче тем выше доверие к ключу.
PGP довольно устойчив к действию злоумышленников. Это проверено временем и множеством БОЛЬШИХ атак.
> Я уж не говорю о том что лично я на ую вертел предъявлять тебе паспорт.
PGP работает в полной мере только при 100% идентификации Ф.И.О и верификации E-mail. Сверка фото и Ф.И.О с паспортом и PGPID даёт хороший результат.
Если ты только конечный пользователь и тебе от PGP надо только верификацию ПО написанного другими, то собирать подписи на своём ключе необязательно и следовательно, в предъявлении своего паспорта необходимости нет. Но как УЦ ты всё равно должен проверять фото и Ф.И.О. с паспорта и верифицировать E-mail тех чьи публичные ключи ты подписываешь.
А вот разработчик, подписывающий своё ПО PGP таки обязан собирать подписи на своём ключе и соответственно проходить верификацию предъявляя паспорт.
>> Можно использовать разные кейринги (хранилища ключей) с разными политиками безопасности для разной работы.
> нельзя. Потому что это не работа а др-во, несовместимое ни с какой серьезной работой.Так все и делают. Разные пользователи, разные ключи, разные кейринги.
Для исследования PGP WoT всем советую завести отдельного пользователя и кейринг или хотя бы сбекапить свой хомяк, чтобы после экспериментов восстановить.
Любой, с неким уровнем достоверности, может завести нового пользователя, создать свой новый тестовый ключ PGP, скачать пачку "доверительных" ключей https://www.opennet.me/openforum/vsluhforumID3/130597.html#49 сделать это с разных мест через разных провов с использованием разных VPN. Скачать ключи интересующих людей с серверов ключей PGP, с сайтов проектов. Сверить полученный с разных мест ключи интересующих людей. И подписать, тестовым ключом, выбранные ключи. После этого, с определённым уровнем достоверности, у всех заработает WoT.
> А чтобы это работало - надо всю систему менять, первым делом вышвырнув из нее идиотский механизм подписей подписей подписей, и приделав вместо него репутационный.
Нет. Более надёжного чем криптографическая подпись ничего нет. Уровень доверия (репутацию) к подписываемому ключу в PGP можно выставить.
> Но этого сделать никто уже не сможет потому что во-первых старперы не дадут,
Не дадут, ибо не в серверном ПО ошибка!
> во-вторых не умеют кодить - обос..сь банально поправить баг в серверах своих ключей - ни одного васяна не нашлось владеющего языком на котором они двести лет назад были тяп-ляп наг0вняканы васяном позапрошлого поколения.
Не дадут править серверный код ибо в нём НЕТ ошибки. https://www.opennet.me/openforum/vsluhforumID3/117786.html#61
> Это все что нужно знать о мертворожденном pgp и тусовке др-ров на него.
Есть проблема в установленных, в PGP ПО лимитах, на обработку количества собранных на одном ключе подписей: https://www.opennet.me/openforum/vsluhforumID3/117882.html#4 лимит выставлен разумный, человек не сможет за свою жизнь собрать больше подписей. Вот на переполнение этих лимитов на серверах ключей и проводятся атаки спецслужб разных стран.
Эдвард Сновден с помощью PGP и WoT прошел защиту АНБ. Многие государства, включая РФ https://www.linux.org.ru/forum/security/15283293?cid=15285785 негативно относятся к PGP. Подобные атаки на PGP реализуются злонамеренно. И несмотря на жесткое противодействие и вредительство, PGP сегодня работает дальше, но требует аккуратности в использовании.
Всё что надо знать о PGP так это необходимость в его использовании, хотя бы для верификации загружаемого ISO образа вашего дистрибутива!
А что делать Геннадию, который всех этих людей никогда не видел и не увидит?
> А что делать Геннадию, который всех этих людей никогда не видел и не увидит?Гена хорошо знает Гришу и они обменялись публичными ключами.
Гриша встретился с Вадимом на https://www.opennet.me/opennews/art.shtml?num=59202 они аккуратно проверили Ф.И.О. фото в паспорте, верифицировали E-mail друг-друга и обменялись публичными ключами.
Гена может, с неким уровнем достоверности, доверять ключу Вадима ибо на нём стоит подпись Гриши и также верифицировать ПО написанное Вадимом.
Если все участники обменивались ключами и подписывали ключи друг-друга то Гена, с некоторым уровнем достоверности, даже может доверять ключу Васи и наоборот Вася, с некоторым уровнем достоверности, верит ключу Гены по цепочке доверия:
Гена <-> Гриша <-> Вадим <-> Вова <-> Вася
Таким образом Гена может переписываться по E-mail с Васей и быть, с некоторым уровнем достоверности, уверенным что нет MitM и их приватную переписку посторонние не читают.
Примеры цепочек доверия:
https://www.opennet.me/openforum/vsluhforumID3/130597.html#42
https://www.opennet.me/openforum/vsluhforumID3/130597.html#43
> Кого бы он не подписывал - его подпись будет ничтожнаЭто всего одна из многих цепочек доверия. Есть и другие цепочки доверия. Общий уровень доверия к ключу состоит из сумы доверий к каждой цепочки.
Некоторые большие сообщества проводят свои PGP-парти для подписи ключей: https://tracker.debian.org/pkg/signing-party
и собрали немалое сообщество подписаных ключей:
https://salsa.debian.org/debian-keyring/keyring/-/tree/maste...
https://docs.freebsd.org/pgpkeys/pgpkeys.txt
> PGP делали люди для людей. Есть УЦ, есть пользователи, есть их ключи, есть пулы общедоступных серверов, на которых можно поискать неизвестный ключЧитаем https://blog.yossarian.net/2023/05/21/PGP-signatures-on-PyPI...:
> A large number of PGP signatures on PyPI can’t be correlated to any well-known PGP key and, of the signatures that can be correlated, many are generated from weak keys or malformed certificates. The results suggest widespread misuse of GPG and other PGP implementations by Python packagers, with said misuse being encouraged by the PGP ecosystem’s poor defaults, opaque and user-hostile interfaces, and outright dangerous recommendations.
PGP во всей красе, люди для людей, ага... Местные эксперты не в курсе, что "PGP is an insecure and outdated ecosystem that hasn’t reflected cryptographic best practices in decades". Им ведь некогда повышать свою компетенцию - они заняты визгом о подлых заговорах проклятых корпораций.
> объясните пж нубику чонетак с PGP и почему пипа от него отказалисьВот целая статья:
https://blog.yossarian.net/2023/05/21/PGP-signatures-on-PyPI...
> объясните пж нубику чонетак с PGP и почему пипа от него отказалисьПотому что Authy, Google Authenticator требуют как минимум твой телефон, им хочется побольше вытянуть инфы из пользователей, где, что, когда, откуда, почему, зачем не как. За FreeOTP не в курсе, но неверняка и с ним не всё так просто и какая-то засада есть.
TOTP можно использовать хоть на ПК, и через него никакая инфа пользователя не вытягивается.> За FreeOTP не в курсе, но неверняка и с ним не всё так просто и какая-то засада есть.
Ага, когда везде мерещатся коварные заговоры, здравый рассудок отдыхает.
https://www.opennet.me/openforum/vsluhforumID3/130586.html?n...
переставлять кровати проще чем чинить протекающую крышу
> переставлять кровати проще чем чинить протекающую крышутам крыша была как у поросенка ниф-нифа, ее давно сдуло легким сквознячком.
Только вот протекающая крыша у нас - это PGP. Его уже лет двадцать никто в здравом рассудке не использует ради крипты.
Т.е. если разработчик изначально сопровождает свой вредоносный пакет к нему никаких санкций применяться не будет? Ясно, понятно.
За ним Пативэн приедет.
Ага и Дед Мороз на Новый Год подарки не подарит.
> Т.е. если разработчик изначально сопровождает свой вредоносный пакет к нему никаких санкций применяться не будет?Где ты в новости увидел текст, из которого это следует?
Где ты увидел что они что-то будут делать?
> Где ты увидел что они что-то будут делать?Не разводи клоунаду.
https://www.opennet.me/opennews/art.shtml?num=59168
> Репозиторий Python-пакетов PyPI (Python Package Index) временно прекратил регистрацию новых пользователей и проектов. В качестве причины указан всплеск активности злоумышленников, наладивших публикацию пакетов с вредоносным кодом. Отмечается, что с учётом нахождения в отпуске нескольких администраторов, на прошлой неделе объём зарегистрированных вредоносных проектов превысил возможности оставшейся команды
Если кого-то насильно заставлять делать двухфакторку, то он сведет ее к однофакторке, храня и пароль, и TOTP-код на одном и том же устройстве - компуктере с keepassxc. Говорю как тот самый, кого насильно переводили. Мне как-то лень поднимать жопу и тянуться за телефоном. Я думаю, я поступаю верно, потому что это путь наименьшего сопротивления. Если я хочу поднять жопу - я ее подниму тогда, когда это удобно мне, а не когда мне велит кто-то в интернете. Мне тут дела делать надо, а не поднимать жопу, тянуться за телефоном, искать в гугл-аутентикаторе какое-то число и вбивать его в поле ввода. Совершенно не до этого.
Отличная история. Типа годами разрабатывать и поддерживать либу на PyPi тебе не лень, а потянуться за телефоном, чтобы защитить эту либу от компроментации - уже лень?> Мне тут дела делать надо, а не поднимать жопу, тянуться за телефоном
Лайфхак: положи телефон рядом.
> Лайфхак: положи телефон рядом.А если он разряжен? А если в нем и так куча TOTP-кодов? А если TOTP-код будет валиден лишь 5 секунд, и ты точно знаешь, что не успеешь вбить? Сидеть и пялиться на экран 5 секунд и ждать следующих 30 секунд? Согласись, "Скопировать код" и Ctrl-V гораздо быстрее всего этого гемора.
Ну ёлки - так и пиши, что во время, гм, "работы" обе руки заняты, чо стесняться-то?
> А если он разряжен? А если в нем и так куча TOTP-кодов? А если TOTP-код будет валиден лишь 5 секунд, и ты точно знаешь, что не успеешь вбить? Сидеть и пялиться на экран 5 секунд и ждать следующих 30 секунд?Ты это серьезно? Шикарные аргументы, чтобы похерить безопасность. Чел, не разводи цирк: очевидно же, что у тебя на PyPi ровно ноль пакетов, и ответственности ты ни за что не несешь.
А зачем её защищать от компроментации ?? Оставить "sorry my account was hacked" - бесценно.
да, заниматься соврешенно ненужной хренью внезапно может быть лень. Ради очередного лефтпада так точно.И будет не бесполезный кипас со всеми паролями удобно сложенными кучкой, а вообще пароль в дырявом хранилище браузера и там же левый плагин неизвестных васянов очень удобно прямо в браузере подставляющий и totp.
Защитить от компрометации кем?
Вы не думали о том, что люди часто делаю либы для себя и выпускают их в паблик постольку поскольку, потому они от этого ничего не теряют.
Вполне понимаю реакцию таких людей на попытку диктовать им условия.
> выпускают их в паблик постольку поскольку, потому они от этого ничего не теряют.Вполне понимаю реакцию таких людей на попытку диктовать им условия.
"Постольку поскольку" - это опубликовать сорцы в виде тарбола или репы на Гитхабе, и на этом остановиться. А на PyPi публикуют, чтобы проектом люди пользовались и им было удобно его установить и обновить. Не нравиться условия - не лезь на PyPi и смотри, как твой проект загибается в гордом одиночистве.
Есть консольные генераторы totp которые можно использовать в юнитах системд или любых скриптах/ci так все делать и будут. И держать секретный ключ для генерации тотп в репе плайнтекстом)))
Или питонные думают что все их пакеты загружают руками?
консольные или умеющие именно в скрипты? Покажь последний хоть один, друг очень просит!
> консольные или умеющие именно в скрипты? Покажь последний хоть один, друг очень
> просит!oathtool посмотрите
о, спасибо, знатная говорящая лягуха, отлично дополнит генератор в Браузере.
> Если кого-то насильно заставлять делать двухфакторку, то он сведет ее к однофакторке, храня и пароль, и TOTP-код на одном и том же устройстве - компуктере с keepassxc.Ну, вообще-то нет. Это все равно двуфакторка, потому что если кто-то узнает твой пароль, то не сможет использовать его без TOTP (который и является вторым фактором).
То, что ты хранишь и то, и другое на одном компе - значения не имеет. Если конечно у тебя не свиснули и взломали этот комп. Но это уже не та проблема, которую решает двуфакторка.
> Ну, вообще-то нет. Это все равно двуфакторка, потому что если кто-то узнает
> твой парольвот откуда он его узнает если у тебя не свистнули и не взломали комп?
> этот комп. Но это уже не та проблема, которую решает двуфакторка.
она вообще никакую проблему не решает. Высосанный из пальца фуфел.
Проблему отчасти могли бы решить полноценные одноразовые пароли, но их в современном мирке не принято. К тому же они никак не помогут в скриптах.
> вот откуда он его узнает если у тебя не свистнули и не взломали комп?Блжд, ну в новости же написано "в результате утечки учётных данных, использования того же пароля на скомпрометированном сайте, взломов локальной системы разработчика или применения методов социального инжиниринга". Вот конкретный пример:
https://www.opennet.me/opennews/art.shtml?num=57242
> она вообще никакую проблему не решает. Высосанный из пальца фуфел.
Да что ты? А в интернет-банкинг ты как логинишся? По одному лишь паролю? В банках десятилетиями назад принудительно ввели двуфакторку. Ибо работают там серьезные дяди, которым даром не нужно, чтобы миллионы домохозяек с паролями 12345 в одночасье ломанулись к ним с воплями о том, что у них свиснули деньги.
> Проблему отчасти могли бы решить полноценные одноразовые пароли, но их в современном мирке не принято.
Чел, второй фактор в двуфакторке - это и сесть одноразовый пароль на определенном устройстве. Только не по дырявому SMS, а по протоколу TOTP.
> Блжд, ну в новости же написаноП-дежь и чушь собачья там написана, ну и что с этого.
Особенно про методы социального инжиниринга расскажи нам - если уж ты такой дятлище, что умудрился выболтать свой заветный пароль - что помешает тебе точно так же сообщить неведомым васянам и код otp (а то и сид вместе с таймером)? Старухи-пенсионерки с легкостью это проделывают. Ты явно не умнее.
> Да что ты? А в интернет-банкинг ты как логинишся? По одному лишь паролю?
да.
sms идиотия везде где можно - отключена к хренам. Включая пару банков из ненаших стран (один из них, кстати, не умеет в sms в принципе, и ненужную 3ds не поддерживает тоже). В том числе потому что не везде есть роуминг.
Где нельзя... есть в РФ один прекрасный (нет) банчок - "Потанькофф", не слышал?
Отключить эту глупость в нем с определенного момента стало невозможно в принципе - зато тебе предлагают... тадам, код из четырех цифр, правда, привязанный к конкретному экземпляру браузера, но сп-ть токен ничего не мешает - он прям в адресной строке. Подсмотреть через плечо, разумеется, тоже гораздо проще чем нормальный пароль. Вот такая забота идиотов об идиотах. Сириозные дяди сидят, с сириозным видом щеки надувают, о безопастносте твоей радеют - жаль что мозгов Б-г им не дал.А вот нормальный кодогенератор - физическую коробку с кнопками, которую бесполезно красть потому что это только кнопки, батарейка и дисплей, генерит на самом деле чип во вставленной в него банковской карте, естественно, после ввода пина, три попытки и досвидос - умел один-единственный банк в РФ. Но быстро разучился даже для премиальных клиентов. Слишком сложно для .. нет, не клиентов, те валом валили - для банковских сирьиозных щей оказалось поддерживать.
Еще, вроде, умеет საქართველოს ბანკი но это неточно (не исключено что там плохой вариант и коробка с кнопками содержит чип внутри, опять с дурацким totp или еще какой глупостью без пинов и challenge/responce - потому что по умолчанию предлагается приложению на телефон вместо нее)
> Чел, второй фактор в двуфакторке - это и сесть одноразовый пароль на определенном устройстве.
это не одноразовый пароль - для начала totp не одноразовый by design. Это привязка тебя к устройству, знающему и умеющему рассказать много лишнего. Бесполезная, потому что можно создать его клон.
Действительно надежный одноразовый пароль - это вот то что я там выше описал.
>А вот нормальный кодогенератор - физическую коробку с кнопками, которую бесполезно красть потому что это только кнопки, батарейка и дисплей, генерит на самом деле чип во вставленной в него банковской карте, естественно, после ввода пина, три попытки и досвидос - умел один-единственный банк в РФ.Оно?
https://www.avangard.ru/rus/private/cards/card_with_display/
Не, у этих оно было только для премиум-клиентов (не знаю как сейчас, я давно от них ушел, когда даже оплата моего интернета внезапно стала без grace period - это ж надо ТАК е..нуться!)На мой взгляд оно п-ц неудобное - нахрена было делать это внутри самой карты, совершенно непонятно. Правильно ли сделано - тоже не знаю, может там опять идиотский otp? "Для начала работы с картой с дисплеем необходимо создать код активации, защищающий клиента от несанкционированных операций в случае утраты карты." намекает что таки да.
Нормальные кодогенераторы (причем - для всех) были у ВТБ24 (когда оно еще было 24). Размером тоже с кредитку, но, поскольку кредитка в них просто вставлялась, у разработчиков не было задачи упихаться в неупихyeмые габариты и у тебя не было необходимости таскать в кармане хрупкую хреновину толщиной с обычную карту (а иначе застрянет в банкомате). И, разумеется, challenge-responce а не голый otp. (для чего опять же неплохо бы иметь хотя бы полу-нормальную клавиатуру, а с этого недоразумения, полагаю, максимум пин можно кое-как набрать)
Отдельно забавно было что этих респонсов можно было себе нагенерить заранее и выписать на бумажку - если ты заранее знал что и когда тебе надо делать в будущем, что позволяло в некоторых случаях оставить генератор и карту дома.
Генераторы, разумеется, были не самодельные, и кто-то даже находил того китайца, но, увы, информация сгинула.
(ага,угадай почему мне было интересно)
Пользуйся хардварным токеном. Даже нажимать ничего не нужно, потрогал и лады.
а если я не хочу ради подписывания своего лефтпада платить безумные деньги за косоруко спаянную фигню?
Не можешь позволить пару копеек на токен потратить — двигай ручками и генери софтверно. Выше написали чем. Такая жизнь, можешь быть либо ленивым, либо нищим. Впрочем, у тебя и лефтпада никакого нет, ты кодить не умеешь даже на питоне.
Могу позволить себе просто не ублажать пиписек. Не умеют в верификацию пакетов, зато умеют надувать щеки? Ну так хрен им а не пакеты.История лефтпада ничему никого не научила? Ну что ж, будут повторять.
Если без шитхаба действительно сложно обойтись разработчику не хеловротов, хотя вполне можно обойтись без выкладывания туда реального рабочего репо, то эта помойка - совершенно не нужна самому разработчику, только потребителям.
> только потребителямМолодец, догадался. Именно потребителям она и нужна. Без потребителей 100% кода это бесполезные байты. Потребитель в конечном итоге и оплачивает весь этот банкет, напрямую или опосредованно.
Среди айтишников принято с пренебрежением относиться к пользователям, но это и неудивительно: инфантилизм — бич айти. И именно это мы можем наблюдать в комментариях. Все эти горделивые «мне лень тянуться», «хрен им, а не пакеты» и так далее. Никто не заставляет писать, публиковать и пользоваться, скорее даже наоборот, дают понять напрямую: если вы неспособны принять простые правила, ни вы, ни ваш код просто не нужны здесь. Создайте себе свой PyPi и делайте там что угодно. Потребитель сделает свой выбор.
PS Мну уже годы как "усилил" таким образом безопасность, привязав github на арендованный в onlinesim номер.
Тенденцию надо продолжать.
а если арендодатель кинет или вообще исчезнет - что делать ? есть ли план Б ?
PS
Некоторые спрашивают какой план Б ??
Локальные репозитории в любом случае останутся, ну форкнемся. Это по-любому лучше "попал пацан под санкции"
Почему бы тогда сразу не разрабатываться локально, зачем что-то выкладывать?
1) Так исторически сложилось
2) Там не один github
все правильно сделал. Правда следующая итерация - выпилить нахрен репо и положить readme.md форсед-пушем - со ссылкой на свой репо. Это оставит возможность играться в лайки-лайки, тем кто без нее не может прислать багрепорт, но избавит от игры по чужим правилам тебя.
А ссылку то на что давать? Хостер однажды забыл прислать мне письмо, я и не заплатил.
> А ссылку то на что давать? Хостер однажды забыл прислать мне письмо,
> я и не заплатил.ну не будь лохом, пользуй хостера который просто списывает с карты.
Где взять карту - ну Сова ж стратег а не тактик...
Карта у меня водилась в то время, и даже имелось полтора банкомата на всю деревню, а вот с хостерами возможны нюансы. Да и что делать с картой, которую по случайному стечению обстоятельств заарбузят, Сова тоже не подскажет. Особенно если владелец совершенно случайно оказывается в больнице. Так что в такой ситуации безопаснее быть лохом, HelloWorld! которого никому не интересен, и к кому не придут домой нелохи, накаченные достижениями медицины и способные сломать головой пару табуретов.
А ты как локалхостов.ру поступай: хости у себя под кроватью. А сгорит вместе с домом — невелика потеря, следующий локалхостов нашлёпает за выходные, интернет и не заметит.
> А сгорит вместе с домом — невелика потеряв целом да, тебе это уже точно будет неважно.
(говорю как краевед, успешно прое...вший проект который поддерживал десяток лет, причем не свой. Плакать не о чем - мы страну и свою жизнь прое..ли, глупо уже переживать о проектах.)
Не мы, а вы. Я для себя и детей этот вопрос позитивно решил больше десяти лет тому назад.
> Не мы, а вы. Я для себя и детей этот вопрос позитивно
> решил больше десяти лет тому назад.тот проект без страны был, увы, бесполезен. Он именно местная история - теперь проклятая и забытая.
Так себе позитивное решение.
> А сгорит вместе с домом — невелика потеряКак сказал один пот: если где-то что-то зажигают, значит это кому-то нужно.
В общем, довольно сомнительная схема - какой-то дядя качает библиотеки и экономит на охране, а что бы поиметь того дядю, приходят ко мне домой.
> Мну уже годы как "усилил" таким образом безопасность, привязав github на арендованный в onlinesim номер.Ну так ты действительно усилил, потому что левый васян, получивший твой пароль, не сможет войти в твой аккаунт. Что не так?
Шли бы они нахер со своим PyPI. Моя разработка всё актуальнее и актуальнее.
... но никому не нужна?
раз мои проблемы решает - значит нужна.
Все антиюниксовые проекты так или иначе следуют в фарватере корпораций и наследуют их решения. Скажут смс-кой подтвержать пакеты - будете подтверждать смс-кой. Никуда не денетесь. Потом и паспорт покажете на фоне лица, как это было с криптобиржами. Произойдет это, когда в ЦРУ решат, что риски кибербезопасности достаточно высоки, чтобы допускать к коду резидентов из плохих стран, вроде Китая и России.
Судя по минусующим жироватого, таки там сейчас фаза ОТРИЦАНИЕ.
А почему вы не финансируете митинги и партии во всех странах за свободу от рабства.
> вроде Китая и России.Вот где реальная киберсвобода, да?
Зачем там двухфактор? Почему просто пароля недостаточно?
Или тут опять повесточка по выдавливанию неугодных?
Новость не читай, комментарий пиши?> обезопасить проекты от внесения вредоносных изменений в результате утечки учётных данных, использования того же пароля на скомпрометированном сайте, взломов локальной системы разработчика или применения методов социального инжиниринга
От взлома жопы разработчика паяльником, пальцев - дверью, благосостояния - щедрыми пожертвованиями с условиями, а головы - отсутствием совести пусть сначала защитят.
> Зачем там двухфактор? Почему просто пароля недостаточно?Очевидно, чтобы злоумышленники не получили доступ к пакетам, если узнали пароль. В этом как бы весь смысл двуфакторной авторизации.
чтобы тебя вычислять по видеокамерам и заставлять тебя бояться организовывать митинг против полиции и властей.
Друзья, а вам не кажется, что слишком кучно пошло с навязыванием двухфакторок везде и всюду? Предлагаю задуматься кому это нужно и для чего.
Я предлагаю тебе наконец-то почитать, как работает стандарт TOTP, и не пороть чушь о заговорах.
согласен! можешь задумываться уже прям сейчас
> Друзья, а вам не кажется, что слишком кучно пошло с навязыванием двухфакторок
> везде и всюду? Предлагаю задуматься кому это нужно и для чего.тут некто Хэнлон пробегал. Бритвой машет. Будь очень осторожен.
Про замедление айфонов эплом ты теперь тоже кидался ненужной "конспирологией", да?
Двухвакторку навязывают злонамеренные корпорации чтобы ограблять и обманывать анонов. Тут даже и думать не надо, все на поверхности лежит
> Предлагаю задуматься кому это нужно и для чего.Например, сопровождающим пакетов Pypi, чтобы не обделаться на весь мир.
Типа, если потребовать от хипстера с жидким мозгом 2FA, он перестанет быть хипстером с жидким мозгом?
Пипишники облажавшись с проверкой публикуемых пакетов из-за собственной неспособности переварить поток присылаемого навоза, подумали, и решили нагнуть всех с 2фа. Л - значит "логика".
Ловко ты их раскусил!А если серьезно, то, если бы ты хоть когда-нибудь работал над реальными проектами, то знал, что делать аудит даже десятка серьезных зависимостей для проекта - эта неподьемная работа, позволить которую могут только большие корпорации, у которых есть и время, и деньги на аудиторов.
> облажавшись с проверкой ...
> решили нагнуть всех с 2фа. Л - значит "логика".Чел, логика хромает тут у тебя. Если бы ты после публикации ждал пару-тройку месяцев, пока очередь проверки дойдет до твоего пакета - сам бы взвыл. Но у местных экспертов ведь нет пакетов на PyPi, и экспертизы их хватает только на визжание о подлых заговорах корпораций.
Может быть и взвыл бы. Но при этом, с другой стороны, понимал бы, что из пипи можно брать без опасения притащить к себе каку. А если бы правка пакета, ожидающего проверку, сохраняла бы слот в очереди (а не сбрасывала бы его заново в конец, как иногда бывает), то такое ожидание было бы не так уж тяжело и перенести. Тем более, что политика "признаки тайпсквоттинга в названии - сразу нах" сильно уменьшила бы число подаваемых пакетов со зловредами.
Раньше комитили мусор все подряд, теперь будут комитить мусор все подряд,но с 2х-факторкой. А Питон как был горбухой, так и остался ей.
теперь вы все стали рабами и вам переписали права человека пока вы все были в страхе от свободы
Предлагаю им сделать подтверждение личности при регистрации по фотосету дикпиков, и при компрометации записи - вываливать всё в открытый доступ. Тогда пароль будут прятать лучше чем заначку от тёщи.
Они как раз начнут соревноваться в генерации дипфэйков дикпиков. Впрочем для штуки называемой пипи это вроде бы даже топично.
Даю лайфхак, опробованный на гитхабе - просто выкладывайте QR код от TOTP в паблик и всё. Нет второго фактора, нет возможности его потерять.
