Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В NPM включена обязательная двухфакторная аутентификация для 100 самых популярных пакетов "	+/–
Сообщение от opennews (??), 03-Фев-22, 15:00
GitHub объявил о включении в репозитории NPM обязательной двухфакторной аутентификации для 100 NPM-пакетов, имеющих наибольшее число зависимостей.  Сопровождающие данных пакетов отныне  смогут выполнить требующие аутентификации операции с репозиторием только после включения двухфакторной аутентификации, требующей подтверждения входа при помощи одноразовых паролей (TOTP), генерируемых такими приложениями, как Authy, Google Authenticator и FreeOTP. В ближайшее время помимо TOTP планируют добавить возможность использования аппаратных ключей и биометрических сканеров, поддерживающих протокол WebAuth... Подробнее: https://www.opennet.me/opennews/art.shtml?num=56629
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 03-Фев-22, 15:00	+6 +/–
Теперь авторам не получится поднять деньжат и списать на взлом? Я думаю, они не в восторге.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #42

2. Сообщение от Аноньимъ (ok), 03-Фев-22, 15:03	–1 +/–
А что с тем кадром которого на гитхабе заблокировали? Или там питон был?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #29

3. Сообщение от Аноним (3), 03-Фев-22, 15:07	–1 +/–
Ну и зачем это нужно? >В ходе проверки надёжности используемых паролей удалось получить доступ к 12% аккаунтов в NPM (13% пакетов) из-за использования предсказуемых и тривиальных паролей, таких как "123456" Если владельцы аккаунтов не считают нужным что-то защищать - зачем их заставлять? Просто связались бы с ними и предупредили бы что выбранный пароль слишком простой. Что дальше делать - не гитхабу решать!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #16

4. Сообщение от Аноним (4), 03-Фев-22, 15:11	–7 +/–
лол который протестовал и радел за самоубийство другого разраба? там какой-то фронтендщик был
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #6, #27

5. Сообщение от Аноним (5), 03-Фев-22, 15:15	+1 +/–
Если пакет начал использоваться как зависимость в других пакетах, безопасность перестаёт быть только проблемой автора.   Но можно было не принуждать, а пойти другим путём - для репозиториев без 2FA и с ненадёжными паролями выставлять специальную метку и распространять её вверх по цепочке зависимостей, что бы все кто использует данные пакеты видели имеющийся риск и понимали, что в любой момент им может прилететь бэкдор.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #7, #8, #15, #18

6. Сообщение от Аноним (6), 03-Фев-22, 15:22	+4 +/–
>и радел за самоубийство другого разраба Это ты так неуважительно об Аароне пишешь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

7. Сообщение от Аноним (6), 03-Фев-22, 15:27	+5 +/–
>Но можно было не принуждать Ты это говоришь про Майкрософт? Который в своей истории много раз кого-нибудь да принуждал. >а пойти другим путём А когда-нибудь в своей истории Майкрософт шёл другим путём?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

8. Сообщение от Аноньимъ (ok), 03-Фев-22, 15:39	–4 +/–
>Если пакет начал использоваться как зависимость в других пакетах, безопасность перестаёт быть только проблемой автора.   Она становится проблемой использователя разработчика других пакетов. Причём тут МММ непонятно вообще.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #10

9. Сообщение от пох. (?), 03-Фев-22, 15:41	+/–
Почему не получится? Или ты имеешь в виду - не успеют, потому что это сделает троянец на их телефоне без их ведома, чего ради весь этот бред и затевался? Ну так просто будут два майнера вместо одного.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #21

10. Сообщение от пох. (?), 03-Фев-22, 15:43	+1 +/–
> Она становится проблемой использователя разработчика других пакетов. которому конечно мешает зафиксировать именно проверенную версию что? А, руки. Растущие понятно оттуда же, где у него и голова. Поэтому на самом деле он ее и не проверял. И каким местом тут поможет шестифакторная аутентификация, если щупалец у него восемь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #32

11. Сообщение от Ananimasss (?), 03-Фев-22, 15:50	+4 +/–
лефтпад в опасносте
Ответить | Правка | Наверх | Cообщить модератору

12. Сообщение от Аноним (12), 03-Фев-22, 16:12	+5 +/–
Жду следующей новости: из-за введения обязательной двухфакторной аутентификации были взломаны 100500 самых популярных пакетов.
Ответить | Правка | Наверх | Cообщить модератору

13. Сообщение от Аноним (13), 03-Фев-22, 16:46	–2 +/–
Для безопасности надо читать код библиотек, которыми пользуешься, и пинить версии. Прочитал новую версию - запинил. Просто представьте насколько бы вырос уровень безопасности при отключении автообновлений. И не надо этих легенд про фиксы уязвимостей - одни уязвимости устраняются, другие добавляются. В крайнем случае вручную прочитать патч с фиксом уязвимости и наложить на запиненную прочитанную версию зависимости, если сам с фиксом согласен
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #41, #52

14. Сообщение от Урри (ok), 03-Фев-22, 17:01	+4 +/–
> Для безопасности надо читать код библиотек, которыми пользуешься Разработчик хелловорлда, как я вижу? Интересно, сколько человеколет у меня уйдет, если я буду читать код всех библиотек, которые решил поиспользовать... Я думаю... где-то 120.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #17, #39

15. Сообщение от Kuromi (ok), 03-Фев-22, 17:01	+/–
Слишком сложно + надо уметь это обрабатывать на стороне клиента. Обязать топовые репозитории поставить наконец OTP намного проще.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

16. Сообщение от ананим.orig (?), 03-Фев-22, 17:19	+3 +/–
>Ну и зачем это нужно? Им нужен контроль. Безопасность только повод. >В ближайшее время помимо TOTP планируют добавить возможность использования аппаратных ключей и биометрических сканеров ...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

17. Сообщение от Аноним (-), 03-Фев-22, 18:52	–1 +/–
сколько npm пакетов нужно вебмакакам для гарантированного вывода хелловорд?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #19

18. Сообщение от Онаним (?), 03-Фев-22, 19:13	+/–
Именно. Ебзопасность становится проблемой ещё и этот пакет с пакетами использующих. Остальным всё равно фиолетово.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

19. Сообщение от Аноним (1), 03-Фев-22, 19:21	+/–
Дело не в макаках, чтобы грамотно и по всем правилам написать привет мир тебе потребуются тысячи зависимостей и это ты только 1 строку вывел. Конечно, ты можешь забить на тесты и всё остальное, но такому коду грош цена,
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #20

20. Сообщение от Ананоним (?), 03-Фев-22, 20:14	+/–
Это твоему коду с тыщами мутных зависимостей грош цена. А код в 10 строк, выводящий нужную строку, самый лучший.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #25

21. Сообщение от Аноним (21), 03-Фев-22, 20:31	+2 +/–
>троянец на их телефоне FreeOTP? Ты что шиз? >пох А в прочем да
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

22. Сообщение от Wilem82 (ok), 03-Фев-22, 22:24	+5 +/–
Отлично, теперь потеря/поломка телефона приведёт к безвозвратной утере аккаунта.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #30, #33

23. Сообщение от InuYasha (??), 03-Фев-22, 23:30	+7 +/–
Принудительная биометрия пришла откуда её почти не ждали. "Вы такие дебилы, что не можете запомнить свой пароль, держите привязку к почте, телефону, имени, фамилии, а ещё сдайте быдлометрию и вот ещё текст клятвы в вечной верности"
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24, #35

24. Сообщение от Kuromi (ok), 04-Фев-22, 00:19	–4 +/–
Биометрия чисто опциональна. Можно использовать 1) программный TOTP 2) аппаратный WebAuthn токен без какой либо биометрии\с пинпадом\встроенной биометрией (той что никуда дальше токена не идет Использовать встроенный в виндовс TPM и разблокировкой через биометрию - это чисто по желанию, т.к. в стандарте WebAuthn есть требование не привязываться к конкретному типу аутентификаторов. Ну а если кто-то таки привязывается, то ССЗБ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #26

25. Сообщение от Урри (ok), 04-Фев-22, 01:06	+/–
> Это твоему коду с тыщами мутных зависимостей грош цена. А код в > 10 строк, выводящий нужную строку, самый лучший. Исходники браузера, который будет выводить эту строку, уже проверил?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

26. Сообщение от Аноним (26), 04-Фев-22, 01:21	+4 +/–
Тут вся отрасль развивается через опции. Сначала они просто есть, потом по умолчанию и, наконец, это навсегда и для всех.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

27. Сообщение от Анонимоусш (?), 04-Фев-22, 01:32	+1 +/–
Бэкэндщиком повеяло…
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

28. Сообщение от Аноним (28), 04-Фев-22, 01:35	+1 +/–
Выпускаем пакеты только в отделении при предъявлении паспорта и шкурки банана. Ваш npm
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #37

29. Сообщение от Михрютка (ok), 04-Фев-22, 01:46	+1 +/–
с Мараком штоль? а ничего. репостит в твитыре кислотные клипчики и пишет какую-то ерунду про "seize the means of production". его colors все еще в топ-100 списке. вот только с доступом на npm и гитхаб у него еше некоторое будут проблемы и помимо 2А, кмк.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

30. Сообщение от Аноним (30), 04-Фев-22, 02:27	+/–
Дитятко, ты что, никогда не менял симку к банковскому акку?! А ведь там посерьёзней привязка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #38

31. Сообщение от псевдонимус (?), 04-Фев-22, 02:43	+/–
Не поможет.
Ответить | Правка | Наверх | Cообщить модератору

32. Сообщение от псевдонимус (?), 04-Фев-22, 02:52	+1 +/–
Это не руки. И даже не хвост. Это голова, работающая по принципу "и так сойдёт, не себе же!"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

33. Сообщение от Ананимст (?), 04-Фев-22, 03:27	+2 +/–
Кипас и плагин для тотп, и ьекапишь куда хочешь. У меня так куча корморативной мути завязано на тотп, проблему решил таким образом. +Не надо каждый раз сраный телефон доставать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

34. Сообщение от Аноним (34), 04-Фев-22, 05:44	+2 +/–
А "владелец" пакета разве не сможет залогиниться и отключить этот OTP, будет не отключаемый?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #46

35. Сообщение от swabrostionnayaformapravleniya (?), 04-Фев-22, 06:37	–3 +/–
Как будто бы opennet свободный. Вот: ОШИБКА ПУБЛИКАЦИИ (сработала защита от попыток осуществления нештатных операций с форумом) - СВЯЖИТЕСЬ С АДМИНИСТРАТОРОМ Наиболее вероятной причиной является использование прокси сервера с настройками направленными на излишнюю анонимность. Решение для пользователей прокси-сервера squid: убрать из конфига squid "anonymize_headers" настройки. (Убрать "anonymize_headers deny Referer" или добавить "anonymize_headers allow Referer"). Решение для пользователей браузера Opera: в настройках "Privacy" проверить состояние галки "Enable Referer login". Если не работет Opera 6.11 для Linux, обновите ее до 6.12, в 6.11 ошибка. Решение для Lynx: убедитесь в присутствии настройки "REFERER_WITH_QUERY:SEND" в /etc/lynx.cfg. Пользователи локальных программ фаерволов под Windows (например, NIS - Norton Internet Security), могут иметь проблемы с настройками по умолчанию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #45, #49, #54

37. Сообщение от swabrostionnayaformapravleniya (?), 04-Фев-22, 06:46	+/–
Занимаемся политикой только приходя на голосование. Овощи должны быть овощами. А вы попробуйте подписать петицию за разрешение овощных игр.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

38. Сообщение от liliputiputiputi (?), 04-Фев-22, 06:49	+3 +/–
А через пол года твой банковский номер передадут другому пользователю. Или сделают копию твоего счёта.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

39. Сообщение от liliputiputiputi (?), 04-Фев-22, 06:55	+1 +/–
Используй только то что проверено на безопасность другими, не обновляйся до нестабильных версий. Не используй новые не понятные кресты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

40. Сообщение от sdafaytesyaswabrostionspolizey (?), 04-Фев-22, 07:00	+/–
Нужно запретить не безопасных программистов.
Ответить | Правка | Наверх | Cообщить модератору

41. Сообщение от Аноним (41), 04-Фев-22, 07:19	+2 +/–
Установил реакт получил 20000 тысяч зависимостей. Читай все В веб ужасная ситуация с зависимостями.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #53

42. Сообщение от Анон_из_Восточной_Европы (ok), 04-Фев-22, 12:43	+1 +/–
Всегда можно списать на взбесившийся принтер. Кто мешает добавить в код зависимости от "третьих лиц" с нужным кодом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

43. Сообщение от anonymous (??), 04-Фев-22, 12:58	+1 +/–
А какое отношение гитхаб имеет к npm?
Ответить | Правка | Наверх | Cообщить модератору

44. Сообщение от Аноним (46), 04-Фев-22, 13:01	+/–
> TOTP Это точно еще один "фактор"?
Ответить | Правка | Наверх | Cообщить модератору

45. Сообщение от Аноним (26), 04-Фев-22, 13:52	+/–
Это другое!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

46. Сообщение от Аноним (46), 04-Фев-22, 14:37	+2 +/–
> не отключаемый? Скоро будешь каждый раз мазок сдавать, как еще один "фактор".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

47. Сообщение от Аноним (47), 04-Фев-22, 17:19	+/–
> GitHub объявил о включении в репозитории Фигня это всё. 1. Необходимо все комиты и особенно релизы подписывать OpenPGP ключом. 2. Найти спонсоров для раздачи открытых аппаратных хранилищ ключей OpanPGP для разработчиков свободных програм. 3. Поощрять проведение PGP часа на всех ИТ мероприятиях для обмена публичными ключами.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #48

48. Сообщение от Аноним (47), 04-Фев-22, 17:30	+2 +/–
> 2. Найти спонсоров для раздачи открытых аппаратных хранилищ ключей OpanPGP для разработчиков свободных програм. https://www.nitrokey.com/news/2018/nitrokey-partners-linux-f... https://www.nitrokey.com/news/2019/nitrokey-partners-gentoo-... https://www.nitrokey.com/news/2021/nitrokey-equips-arch-linu... А тем временем вышел Nitrokey 3: https://www.nitrokey.com/news/2021/new-nitrokey-3-nfc-usb-c-...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

49. Сообщение от InuYasha (??), 05-Фев-22, 10:28	+/–
м-да.png.... "излишняя анонимность"... (
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

50. Сообщение от Аноним (30), 05-Фев-22, 13:58	+/–
как в анекдоте: "...Я им уже и унитаз приносил - всё равно не продают!".
Ответить | Правка | Наверх | Cообщить модератору

51. Сообщение от Всем Анонимам Аноним (?), 06-Фев-22, 21:49	+/–
Так у них на почте такой же пароль. Нужно просто в почту залогиниться вместо NPM.
Ответить | Правка | Наверх | Cообщить модератору

52. Сообщение от www2 (??), 08-Фев-22, 07:28	+/–
>Просто представьте насколько бы вырос уровень безопасности при отключении автообновлений. djb'шно :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

53. Сообщение от www2 (??), 08-Фев-22, 07:31	+/–
>Установил реакт получил 20000 тысяч зависимостей. Читай все Если интересна безопасность, то лучше вообще не устанавливать то, что не можешь прочитать. Правда, так можно с одними только механическими часами остаться. У них нет багов, только особенности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

54. Сообщение от www2 (??), 08-Фев-22, 07:34	+/–
Настолько анонимен, что не хочешь говорить даже с какой страницы пришёл?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема