The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"В NPM включена обязательная двухфакторная аутентификация для 500 самых популярных пакетов"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В NPM включена обязательная двухфакторная аутентификация для 500 самых популярных пакетов"  +/
Сообщение от opennews (??), 01-Июн-22, 07:37 
В репозитории NPM включено применение обязательной двухфакторной аутентификации для учётных записей сопровождающих 500 самых популярных NPM-пакетов. В качестве критерия популярности использовано число зависимых пакетов. Сопровождающие попавших в список  пакетов смогут выполнить связанные с внесением изменений операции с репозиторием только после включения двухфакторной аутентификации, требующей подтверждения входа при помощи одноразовых паролей (TOTP), генерируемых такими приложениями, как Authy, Google Authenticator и FreeOTP, или аппаратных ключей и биометрических сканеров, поддерживающих протокол WebAuth...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=57283

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 01-Июн-22, 07:37   +1 +/
как же хорошо что я не пишу на JS
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #31

2. Сообщение от Аноним (2), 01-Июн-22, 07:50   +/
KeepassXC умеет ТОТР.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5

4. Сообщение от Косой (?), 01-Июн-22, 07:57   +/
Хочу как было!
Ответить | Правка | Наверх | Cообщить модератору

5. Сообщение от Аноним (6), 01-Июн-22, 08:20   +1 +/
с keepassxc будет не двух-, а однофакторная аутентификация. Фактор один: нужен доступ к разблокированному менеджеру паролей, в котором и пароль, и TOTP.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #38

6. Сообщение от Аноним (6), 01-Июн-22, 08:21   +9 +/
мне тоже хорошо, что ты не пишешь на JS -- меньше конкурентов, выше зарплаты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #8, #19

7. Сообщение от Аноним (7), 01-Июн-22, 08:47   –1 +/
За пароль 123456 разраба надо банить на всех площадках и шеймить во всех сетях.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21

8. Сообщение от Жироватт (ok), 01-Июн-22, 08:47   –3 +/
Вместо одной чайной ложечки риса/час - одна столовая в час, но с обязательством юзать только определённый фреймворк? До-о-о, хороший буст.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #9

9. Сообщение от Аноним (6), 01-Июн-22, 08:50   +1 +/
> с обязательством юзать только определённый фреймворк?

А, я понял. То есть одно и то же приложение должно писаться со всем подряд: реакт, ангуляр, вью, а один фанат даже захочет GTK с веб-бэкендом? До-о-о, тогда приложение будет высокоскоростным.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #11

11. Сообщение от Жироватт (ok), 01-Июн-22, 08:58   +/
Лолд, веб-макакер действительно не понимает, что приложение в принципе не должно быть завязано на фреймворк.
Хотя о чем это я, да, в js же можно работать только так, обмазавшись кучей фреймворков или страдать на одном. И обязательной нодой и кучей пакетиков-лефтпадиков.

Рис-то хоть не потравленный мышами выдают вам?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #12

12. Сообщение от Аноним (6), 01-Июн-22, 09:05   +1 +/
> не должно быть завязано на фреймворк

"Не обязано" - да, не обязано.
"Не должно" - кто скозал, что не должно? Ты скозал? А ничего, что подавляющее большинство десктопного софта завязано на фреймворках? GLib/GTK, Qt... хотя о чем это я, если говорю с человеком, чей максимум - это 10 PRINT "Hello world" / 20 GOTO 10

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #15

14. Сообщение от 1 (??), 01-Июн-22, 09:11   +/
А leftpad входит в их число ?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16

15. Сообщение от Жироватт (ok), 01-Июн-22, 09:21   +/
...хе. Сразу видно "тыжпрограммистика", который не в курсе, как пишется реальный софт.
С другой стороны - что с js'ера взять, у них там ляп-ляп и в продакшн. Главное лефтпад подключить не забыть. И версию зафиксировать во всех 23572 пакетах пустого проекта.

Щас тебе тайну расскажу, страшную, только не обделайся: вынос функционала в не зависящие ни от чего динамически линкуемые библиотеки - это норма для программистов здорового человека. Это позволяет писать софт такой, как, к примеру, трансмишн: есть у него морда на gtk, есть у него морда на qt, есть у него морда веб, есть у него консольных морд целый мешок. И еще работает, понимаешь, после перекомпиляции демоном, на том же роутере, на насе и на сервере. Вишь до чего программисты заморские дошли? Писать софт, который без фреймворков и работает даже на кофеварке. Ух! Не то что у вас, у программистов курильщика.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #18

16. Сообщение от Бывалый смузихлёб (?), 01-Июн-22, 09:26   +/
Тема с ним вообще к другому нюансу относится )
А именно - к наличию или отсутствию возможности у разработчика пакета взять его и удалить

Вплоть до упомянутого, такая возможность была

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #52

18. Сообщение от Аноним (6), 01-Июн-22, 09:31   +1 +/
> трансмишн: есть у него морда на gtk, есть у него морда на qt, есть у него морда веб

Так, "трансмишн" - я загнул большой палец правой руки. Хватит ли у тебя еще примеров "реального софта", который поддерживает больше, чем один тулкит, чтобы я загнул хотя бы половину пальцев руки?

> который не в курсе, как пишется реальный софт

Реальный софт подчиняется законам реальности и ограничен реальным бюджетом, в котором обычно не оказывается ресурсов для поддержки больше, чем одного тулкита. Странно, что об этом ты, будучи знатоком "реального софта", не знаешь. С другой стороны ты умудрился перепутать тулкит с фреймворком: если разный UI трансмишна для десктопа (gtk/qt), веба и cli еще имеет смысл, то зачем одному и тому же приложению быть написанным "независимо от фреймворка", ты так и не объяснил. Видимо привык, что твои хелловорлды не набирают больше 10 LoC, так что там фреймворк действительно не нужен.

> Главное лефтпад подключить не забыть

А вот и подъехал эксперд, который не в курсе про String.prototype.padStart.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

19. Сообщение от анон (?), 01-Июн-22, 09:36   +/
Жаль, что на качество кода и производительности это не влияет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

20. Сообщение от Аноним (20), 01-Июн-22, 09:37   –1 +/
Против намеренного вредительства это как поможет?
Должен кто-то за пакетами досматривать. Самостоятельно это делать каждому - слишком дорого в масштабах всей экосистемы.
Инструменты аудита зависимостей и обнаружения аномалий нужны.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #74

21. Сообщение от Аноним (21), 01-Июн-22, 09:41   +1 +/
lm8iCan$RVGoQPp+ck3lv;"RgWB0&dgeK6

За такие то же нужно банить, т.к. очень часто такие пароли записаны на бумажку, которая прикреплена к монику или с нижней стороны клавиатуры, лежит в портмоне и т.д.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #23, #26, #32, #33, #49, #61

22. Сообщение от Аноним (22), 01-Июн-22, 10:01   +2 +/
этому королю обезьян такие методы не помогут
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29

23. Сообщение от Аноним (7), 01-Июн-22, 10:11   +/
пусть хоть на лбу бумажка эта будет, главное чтобы не сбрутили как всегда пароль и встроили в пакет малварь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #24

24. Сообщение от Аноним (21), 01-Июн-22, 10:21   +/
Что мешает эту бумажку сфотать проходящему коллеге, уборщице или тому, кто решил тебя подсидеть?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #27, #28, #54

25. Сообщение от Аноним (30), 01-Июн-22, 10:22   +2 +/
TOTP - это "принудительная смена пароля через определенный промежуток времени" в новом обличии. Теперь пароль меняют с центра, а не пользователь.

Форсированная "безопасность"!

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34

26. Сообщение от Аноним (26), 01-Июн-22, 10:31   +/
> записаны на бумажку

в текстовичке "новый файл" на рабочем столе

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

27. Сообщение от Аноним (7), 01-Июн-22, 10:44   +/
каждую неделю про очередной взлом был именно этот сценарий. Уборщицы эти коварные.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #30

28. Сообщение от YetAnotherOnanym (ok), 01-Июн-22, 11:01   +1 +/
Пусть фоткает. Потому что рядом с монитором, с того краю, где прилеплена бумажка, стоит банка из-под зелёного горошка с карандашами и ручками. Так вот, пароль - это слово "ufhjisu" и цифры под штрих-кодом на этой банке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #36, #59

29. Сообщение от YetAnotherOnanym (ok), 01-Июн-22, 11:07   +2 +/
Сунь-Укун и Хануман неодобрительно смотрят на тебя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

30. Сообщение от Аноним (30), 01-Июн-22, 11:12   +/
> сценарий

Кем пишется сценарий, заинтересованным лицом? "Официальная реальность"?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

31. Сообщение от Аноним (31), 01-Июн-22, 11:37   +/
Если пользуешься GitHub - то всё для тебя плохо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

32. Сообщение от Sw00p aka Jerom (?), 01-Июн-22, 11:55   +/
>записаны на бумажку

главное не приписать туда "Пароль от...", а так самый безопасный способ хранения.

пс: не храните деньге в сберкассе :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

33. Сообщение от a_kusb (ok), 01-Июн-22, 12:52   +/
Вот хороший пароль, легко запомнить:
Vsnhf[fkbcmgthdsqhfpfnsdpzkfj,jchfkfcmrfrytghbznyj,skjvytnt,znhf[fnmfnsdujdyt
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #42

34. Сообщение от a_kusb (ok), 01-Июн-22, 12:56   +/
Кончается тем, то это всё невозможно запомнить...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #51

35. Сообщение от a_kusb (ok), 01-Июн-22, 13:02   +/
А пароли русских слов из жаргонов или исковерканные (записанные орфоэпически правильно) в английской раскладке это надёжно?
Ёласька-зилёная - ~kfcmrfpbk`yfz
Кринжестыд - Rhby;tcnsl
Жабаскрипт-девелопер :f,fcrhbgn-ltdtkjgth
Запилитьвпродакшон - pfgbkbnmdghjlfrijy
МелкасофтВыньМаздай - VtkrfcjanDsymVfplfq
ЯТялаффки - ZNzkfaarb
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #39, #40, #41, #44, #46, #69

36. Сообщение от Жироватт (ok), 01-Июн-22, 13:05   +2 +/
"ufhjisu" - гарошыг
Хе
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

37. Сообщение от InuYasha (??), 01-Июн-22, 13:11   +3 +/
Выберите вашу реакцию:

> Смешно
> Грустно
> Противно <-

Ответить | Правка | Наверх | Cообщить модератору

38. Сообщение от пох. (?), 01-Июн-22, 13:13   +/
> нужен доступ к разблокированному менеджеру паролей, в котором и все пароли от всего, и TOTP
> ко всему

(поправил, не благодари)

Но поскольку шитхабовские безопастники этого не понимают - не вижу поводов не пользоваться keepassxc - клиенты получат ровно ту "безопастность" которой заслуживают, зачем бороться с неодолимой глупостью?

Тридцать лет назад умные люди придумали otp чтобы не светить свои пароли и не набирать их в недоверенной среде вообще.  Современные макаки свели их идею к х-ю, попутно поломав все до чего дотянулись.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

39. Сообщение от InuYasha (??), 01-Июн-22, 13:26   +/
rhby;thtkkf
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

40. Сообщение от Sw00p aka Jerom (?), 01-Июн-22, 14:18   +/
cvepb[k`, :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

41. Сообщение от Аноним (41), 01-Июн-22, 14:31   +/
Нет. Ибо при желании на таких вот любителей изысков всегда можно сгенерировать словарь, со всеми их изысками, ашипкоми, перестановками, и его размер все равно будет меньше гигабайта, что несоизмеримо с комбинаторной сложностью настоящего случайного пароля.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #73

42. Сообщение от Аноним (-), 01-Июн-22, 15:09   +/
Cjhjrnsczxibujhzyd;jgeceyekb,fyfy
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #76

44. Сообщение от Аноним (44), 01-Июн-22, 16:02   +1 +/
Даю подсказку, гораздо более безопаснее пароли на кириллице.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

46. Сообщение от Аноним (46), 01-Июн-22, 17:01   +/
Только смесь иероглифов, смайлкиков и узелкового письма :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

49. Сообщение от Аноним (49), 01-Июн-22, 17:21   –1 +/
> очень часто такие пароли записаны на бумажку

Очень часто — это у тебя на твоём личном мониторе? Ну так перестань бумажки на монитор клеить.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

50. Сообщение от Аноним (-), 01-Июн-22, 17:35   +/
Светлое будущее по майкрософтовски. Не зря же майкрософт скупил это уг. Скоро такое подвалит и прочим хрустикам, зря они чтоли директора в фаундейшн толкали?!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #55, #56

51. Сообщение от Аноним (-), 01-Июн-22, 17:36   +/
Кончается тем что корпораст отжимает у тебя пакет и спасибо что бесплатно попахал на них, а теперь - проваливай, твои права превратились в тыкву.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

52. Сообщение от Онаним (?), 01-Июн-22, 18:13   +/
А значит встраиваемые в пакеты ахтунги у захотевших на выход будут более злобно-изощрёнными.
Возможно с отложенным срабатыванием :D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

54. Сообщение от Аноним (54), 01-Июн-22, 21:40   +/
В кошельке?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

55. Сообщение от Без аргументов (?), 01-Июн-22, 23:26   +/
Офигеть, я тока щаз узнал, что этим владеет некрософт. Это сразу +=9000 к хейту всей этой содомии, состоящей из миллионов пакетов вида isArray, isNumber (это для вебпака, т.ч. есть у всех обезьян)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #65

56. Сообщение от Без аргументов (?), 01-Июн-22, 23:29   +/
Теперь стало понятно, почему оно взлетает и вклинивается везде, как всякие меньшинства и прочие C#. Они видимо посчитали, что кол-во углекислого газа разработчика при умственной нагрузке выделяется меньше при использовании этого шлака даже с учетом затрат на электричество и другие следствия плохой производительности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

57. Сообщение от Без аргументов (?), 01-Июн-22, 23:42   +/
И почему вообще 500, если для самого минимального фреймворка, webpack, scss, ts нужно несколько десятков тысяч пакетов?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #58, #66

58. Сообщение от Kuromi (ok), 02-Июн-22, 01:00   +/
Потому что это пстепенное развертывание. Начали со 100 топовых пакетов, теперь уже 500 топовых. Далее будет 1000 и так далее.
Посмотрели как оно - никто не ушел, никто не поперхнулся, ибо развернуть 2FA даже на ВСЕ пакеты разом - технически не проблема, тут главное неохоту разрабов преодолеть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

59. Сообщение от i (??), 02-Июн-22, 07:43   +/
Будет забавно если банку заменят на специальную корзиночку пока ты в отпуске.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #63

60. Сообщение от КО (?), 02-Июн-22, 08:25   +1 +/
Лишь бы номер телефона не требовался.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #62, #64

61. Сообщение от Аноним (61), 02-Июн-22, 08:59   +/
>то же

Учебный год закончился, и на OpenNet - пополнение из необучаемых.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

62. Сообщение от a_kusb (ok), 02-Июн-22, 09:04   +1 +/
Авторизация через Госуслуги.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

63. Сообщение от YetAnotherOnanym (ok), 02-Июн-22, 09:15   +/
У меня дома в кладовке ещё штук пять таких же, неначатых ))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

64. Сообщение от Аноним (-), 02-Июн-22, 09:18   +/
Номер телефона можно потерять по (не)желанию пользователя. А вот уникальный секретный ключ, по которому генерируются временные пароли, хранится вне зависимости от желания пользователя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

65. Сообщение от Аноним (65), 02-Июн-22, 11:31   +/
А когда ты узнаешь что они купили гитхаб тебя как хомячка разорвет в клочья.  
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #68

66. Сообщение от Аноним (65), 02-Июн-22, 11:32   +/
Да потому что майкам на самом деле пофиг это же показуха для хом.  
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

67. Сообщение от Аноним (67), 02-Июн-22, 12:15   +/
> В ходе проверки надёжности используемых паролей удалось получить доступ к 12% аккаунтов в NPM (13% пакетов) из-за использования предсказуемых и тривиальных паролей, таких как "123456".

А зачем такие пароли принимаются? Давно уже все нормальные сервисы не дают задать пароль слабже некого порога. Или для нпм и это - откровение?

Ответить | Правка | Наверх | Cообщить модератору

68. Сообщение от Без аргументов (?), 02-Июн-22, 15:32   +/
Это то я знаю. И про автора гитЛаба тоже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

69. Сообщение от Аноним (69), 02-Июн-22, 17:35   +/
> это надёжно?

Теперь нет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #72

72. Сообщение от a_kusb (ok), 02-Июн-22, 17:38   +/
>> это надёжно?
> Теперь нет.

Ха. И кто меня знает?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

73. Сообщение от a_kusb (ok), 02-Июн-22, 17:41   +/
> Нет. Ибо при желании на таких вот любителей изысков всегда можно сгенерировать
> словарь, со всеми их изысками, ашипкоми, перестановками, и его размер все
> равно будет меньше гигабайта, что несоизмеримо с комбинаторной сложностью настоящего случайного
> пароля.

Уже думал пока писал. Поднять словарь жаргона, частые слова в гугле которые не в словаре, комбинации, ошибки, можно и нейронку припахать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #75

74. Сообщение от Онаним (?), 02-Июн-22, 19:41   +/
hands.sys поверх определённого уровня доверия, иначе никак
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

75. Сообщение от Аноним (41), 02-Июн-22, 21:03   +/
Причём тут Гугл? Самый полный известный словарь русского языка (Даль) - 200 тыс слов. Сомневаюсь, что жаргон и свежие заимствования добавят ещё более 100 тыс. Те 300 тыс - с запасом, Пусть среднее слово - 8 букв, итого 24 мб. Без сжатия, без дробления на префиксы/суффиксы, без оптимизации поиска.

Теперь немножко оптимизируем словарь, например, по возрастанию длины слова, и начинаем перебор, варьируя ашипки по слогам. Даже если на каждое слово будет 100 вариантов (а надо ещё умудриться сделать столько вариантов одного слова, а потом ещё и запомнить один из них) - будет всего 30 млн вариантов на 2 гига.

Для сравнения, случайный 8-значный пароль из 32-символьного алфавита (КИРИЛЛИЦ) даёт 32^8 ~ 10^12 вариантов, 64-символьного ~ 2.8*10^14.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

76. Сообщение от Аноним (76), 05-Июн-22, 08:52   +/
Ecy64ix.r-9;sm^ZlHB@1R[EF<Z2:dB,crxo=]vW@XF^dDQl%%a3q;o.qQv;t`T7

круто когда клиенты присылают такой пароль от винды для ввода в ipkvm

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру