Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В ходе атаки GhostAction скомпрометировано 817 репозиториев на GitHub"	+/–
Сообщение от opennews (??), 06-Сен-25, 10:03
Исследователи из компании GitGuardian выявили массовую атаку на пользователей GitHub, в ходе которой был получен контроль над 327 учётными записями и осуществлена подстановка вредоносного обработчика Github Action в 817 репозиториев. Атака привела к утечке 3325 секретов, используемых в системах непрерывной интеграции и передаваемых через переменные окружения, включая токены доступа к PyPI, GitHub, NPM, DockerHub и различным облачным хранилищам... Подробнее: https://www.opennet.me/opennews/art.shtml?num=63831
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

4. Сообщение от Аноним (4), 06-Сен-25, 10:18	–10 +/–
> GitHub Actions даёт возможность разработчикам кода прикреплять обработчики для автоматизации различных операций в GitHub. Как новорится, ССЗБ. Нечего в проприетарном не селфхост облаке хранить критичные данные.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #22

6. Сообщение от Андрей (??), 06-Сен-25, 10:25	+1 +/–
Никогда такого не было и вот опять ?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8

7. Сообщение от Аноним (-), 06-Сен-25, 10:30	+15 +/–
Дядя Петя, ты дундук? (с) >  Вредоносный коммит добавлялся с учётных записей мэйнтейнеров проектов, которые, вероятно, до этого были взломаны или стали жертвой фишинга. Что мешает взломать твое не проприетарное селфхостед облако? Если ты им пользуешься сам, то может тебе хватит "Новая Папка (1)", "Новая Папка (2)" и тд? А если у тебя распределенная команда, то вероятность того что их взломают, не меньше гита.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #26, #31, #38

8. Сообщение от Аноним (-), 06-Сен-25, 10:33	+7 +/–
Ага. Если учетку мейнтенера сломают, то могут сделать плохие вещи. Кто бы мог подумать?!! ИЧСХ у "типа конкурентов" гитхаба есть такие же экшены docs.gitlab.com/user/project/quick_actions/ docs.gitea.com/usage/actions/comparison
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #32

9. Сообщение от Tron is Whistling (?), 06-Сен-25, 10:33	+3 +/–
Системы непрерывной интеграции троянов всё заинтегрировали нормально.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11

11. Сообщение от Аноним (-), 06-Сен-25, 10:38	+1 +/–
Ваши предложения? Передевать код на дискетках как диды? Кричать "вася не трогай файл N я туда сейчас буду изменения заливать!"? Не делать автотесты перед мерджом?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #12, #14, #17

12. Сообщение от 27730 (?), 06-Сен-25, 10:43	+/–
да лучше на дискетах, сто процентов безопасно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #16, #33

14. Сообщение от localhostadmin (ok), 06-Сен-25, 10:46	+/–
Зачем до каменного века скатываться? Может достаточно просто не доверять свою чувствительную инфу сомнительным людям?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #15

15. Сообщение от Аноним (-), 06-Сен-25, 10:51	+3 +/–
Сомнительные люди тут кто? Мейнтенеры, учетки которых взломали? Значит надо обходиться без мейнтенеров и писать все в одну персону. А чтобы твою учетку тоже не взломали, не доверять код интернету, и хранить его на подкроватном сервере.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #19

16. Сообщение от Аноним (16), 06-Сен-25, 11:29	+1 +/–
Особенно, если она размагнитится по пути.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #18, #30, #49

17. Сообщение от Tron is Whistling (?), 06-Сен-25, 11:34	+/–
Никаких предложений: говорю ж - нормально всё заинтегрировали, очень удобная штука.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

18. Сообщение от Да ну нах (?), 06-Сен-25, 11:42	+/–
Два чая этому господину!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

19. Сообщение от localhostadmin (ok), 06-Сен-25, 11:52	–2 +/–
>> Сомнительные люди тут кто? Ты хоть новость читал? Очевидно, что разрабы Github Actions Security
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #20, #28

20. Сообщение от Ангним (?), 06-Сен-25, 12:02	+/–
Разрабы GitHub actions security просто добавили отправку секретов на деревню дедушке. А вот сам этот экшен добавляли сломанные учётки мэинтейнеров.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

21. Сообщение от Аноним (21), 06-Сен-25, 12:10	+/–
Скажите, а мой репозиторий не скомпрометировали? Как проверить?
Ответить | Правка | Наверх | Cообщить модератору

22. Сообщение от Анон666 (?), 06-Сен-25, 12:21	+4 +/–
Угу, отрвился хлебом - пеки сам
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

26. Сообщение от Аноним (26), 06-Сен-25, 14:33	+/–
>"Новая Папка (1)", "Новая Папка (2)" и тд А что, на self hosted запрещается использовать git daemon?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

28. Сообщение от PROgrm_JARvis (ok), 06-Сен-25, 14:44	+1 +/–
> разрабы Github Actions Security Нет никакого Github Actions Security, там злоумышленники тупо стадию пайплайна так назвали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #29

29. Сообщение от Аноним (-), 06-Сен-25, 14:49	+11 +/–
Но зачем в это углубляться? Увидели название гитхаб, вспомнили что ими владеют майкрософт... Всё этого достаточно чтобы полторы извилины уже отключились, во рту начала собираться пена и с праведным гневом пошли писать глупые комментарии.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

30. Сообщение от Ананоним (?), 06-Сен-25, 15:09	+/–
Мои дискеты не размагнитились за 35 лет. Что у тебя там за путь или дискеты?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #35

31. Сообщение от КО (?), 06-Сен-25, 15:30	–1 +/–
Отсутствие неподконтрольного тебе обработчика
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

32. Сообщение от Аноним (32), 06-Сен-25, 15:52	–2 +/–
Gitlab это скорее клон github Нормальную конкуренцию может составить radicle.xyz
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #34, #48

33. Сообщение от Аноним (32), 06-Сен-25, 15:55	+1 +/–
Кстати был случай, у нас упал интернет и мы пушили на флешку (file:// протокол) и пулились оттуда :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #75

34. Сообщение от Аноним (-), 06-Сен-25, 15:58	–3 +/–
> Нормальную конкуренцию может составить radicle.xyz Это ты про п2п штуку для нетакусиков? Нормальные люди такой дичью не страдают. Ты бы еще даркнет предложил)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

35. Сообщение от Эксконтрибутор FreeBSD (?), 06-Сен-25, 16:13	+2 +/–
Сказочник, блин Даже для того, что бы донести из дома до универа писали минимум на две дискеты, потому что одна вполне может размагнитится даже за время пути из дома в универ. А у тебя якобы за 35 лет нифига Ну, то есть я тебе верю. У тебя нет ни одной дискеты и потому ни одна не размагнитилась
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #40, #93

36. Сообщение от Anonymus (?), 06-Сен-25, 16:43	+1 +/–
>Вредоносный коммит добавлялся с учётных записей мэйнтейнеров проектов, которые, вероятно, до этого были взломаны или стали жертвой фишинга. А что, двухфакторная авторизация не помогла?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #39

38. Сообщение от ffirefox (?), 06-Сен-25, 16:52	+/–
Если команда небольшая удобнее просто использовать Fossil вместо папок. GitHub всё больше в помойку превращается. Большинство реп никому не нужны кроме хозяина. А с приходом ИИ всё становится ещё печальней.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #92

39. Сообщение от Tron is Whistling (?), 06-Сен-25, 17:00	–1 +/–
В том виде, в котором она сейчас реализуется, двухфакторка - это лютый энной. Поэтому принужденные к этой фигне реально будут хранить оба фактора в одном менеджере паролей и вкопировать не глядя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #43, #46

40. Сообщение от Ананоним (?), 06-Сен-25, 17:07	+/–
Твоя сказка про твои дискеты и путь выглядит для меня как "купил колонки в магазине за 100500 денех, пока нёс до дома, магниты в динамиках размагнитились". :D Если то не понимаешь что такое "размагнитились" или от чего реальное размагничивание происходит, то ты ССЗБ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #41

41. Сообщение от Эксконтрибутор FreeBSD (?), 06-Сен-25, 17:13	+/–
Знаешь в чем твоя проблема? У тебя не было дискет, ты в те времена еще не родился, а теперь тут рассказываешь сказки об их надежности
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #42, #94

42. Сообщение от Ананоним (?), 06-Сен-25, 17:30	–2 +/–
> Знаешь в чем твоя проблема? > У тебя не было дискет, ты в те времена еще не родился, > а теперь тут рассказываешь сказки об их надежности Ты так уверен, что я подозреваю что у тебя стойкие галлюцинации.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

43. Сообщение от Аноним (43), 06-Сен-25, 17:36	+/–
> хранить оба фактора в одном менеджере паролей Чел, второй фактор - это отдельный девайс. > В том виде, в котором она сейчас реализуется По твоему заявлению выше очевидно, ты не понимаешь, как она реализуется.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #44, #47, #52, #62

44. Сообщение от Аноним (44), 06-Сен-25, 17:43	+/–
ты и не понимаешь. Тотп и все там
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

45. Сообщение от Аноним (45), 06-Сен-25, 17:49	+/–
> Анализ изменений в репозитории FastUUID показал, что 2 сентября мэйнтейнер проекта добавил коммит с новым обработчиком Github Action, в котором содержался код для отправки токена к репозиторию PyPI на внешний хост. Всё правильно сделал. Он же не бесплатно эту библиотеку разрабатывал. Лицензия явно позволяет ему так делать. Вы бесплатно дары данайцев берёте (что fastuuid, что проект fastllm, купленный задешево по цене разработки "бесплатной" либы-зависимости), а потом удивляетесь "а за що?!" Потому что жизнь такая. Не нравится - можете всю экосистему лично для себя делать. Сначала дейтацентр купите, потом LLM свою натренируйте на своих данных, а потом с помощью LLM персонально для себя перепишите всю софтовую экосистему, какая вам нужно, а иначе так и будете жить на либох, служащих не тебе, а чужому господину. Таких атак дальше будет только больше: LLM позволяют даже васяну дешево писать "бесплатный" высококачественный код, который уже окупается через бекдоры.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #50

46. Сообщение от Аноним (46), 06-Сен-25, 17:50	+/–
«Принужденные» всегда при любых условиях будут делать всё, что угодно, лишь бы саботировать принуждателя. Без исключений. Но даже в этом случае не вижу проблемы для конечного пользователя. Хороший менеджер паролей заполнит все поля сам, даже копировать не надо — считай, чуть лучше одинакового пароля на всех ресурсах. Для тех, кому 2fa не жмёт и кто понимает как им пользоваться не жертвуя удобством тоже всё хорошо. Недовольно бухтят только опеннетчики, что тоже хорошо — можно почитать комментарии и в очередной раз убедиться, что без работы на ближайшие 50 лет не останусь. Сплошная благодать. Омммммммм…
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #64

47. Сообщение от Аноним (47), 06-Сен-25, 17:53	+/–
Что пароль что второй фактор OTP храню в Keepass. На одном устройстве. В одном приложении. Удобно. Были бы дешёвые физические устройства для OTP пользовался бы ими
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #51, #54, #95

48. Сообщение от Анон666 (?), 06-Сен-25, 17:55	+/–
Что у вас с логикой? Конкуренцию продукту А может составить продукт Б, который лучше удовлетворяет запрос потребителя, либо имеет другие рыночные преимущества. То что вы говорите, это _разнообразие_, а не конкуренция. По вашей же логике получается, что конкуренцию БМВ и Ауди может составить паровой автомобиль.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

49. Сообщение от Аноним (49), 06-Сен-25, 18:10	+/–
Размагнитится - вряд ли. А вот сектора у трёхдюймовок бились только в путь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

50. Сообщение от Аноним (49), 06-Сен-25, 18:20	–1 +/–
Ст. 273 УК РФ
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #53, #59

51. Сообщение от Аноним (-), 06-Сен-25, 18:26	+1 +/–
> Что пароль что второй фактор OTP храню в Keepass. На одном устройстве. В одном приложении. Удобно. Но весьма уменьшает безопасность. > Были бы дешёвые физические устройства для OTP пользовался бы ими От 50 баксов до ... Неужели дорого?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

52. Сообщение от Аноним (49), 06-Сен-25, 18:28	+/–
> второй фактор - это отдельный девайс Это в HOTP требуется синхронизация счётчика (C) между клиентом и сервером. (https://www.rfc-editor.org/rfc/rfc4226#section-5) В TOTP для счётчика используется общеизвестное синхронизированное время. Достаточно хранить секрет (K), и одноразовый пароль можно вычислить независимо. (https://www.rfc-editor.org/rfc/rfc6238#section-4)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #55

53. Сообщение от Эксконтрибутор FreeBSD (?), 06-Сен-25, 18:29	–1 +/–
И какое отношение понятия папуасов имеют к серверам Github?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #58

54. Сообщение от Аноним (43), 06-Сен-25, 18:45	+/–
> Что пароль что второй фактор OTP храню [...] На одном устройстве. Все стараются увеличить безопасность, но наш брат непобедим! > Что пароль что второй фактор OTP храню в Keepass. На одном устройстве. У тебя уже есть мобильный смартфон.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #68, #76

55. Сообщение от Аноним (43), 06-Сен-25, 18:50	+/–
Круть! Но это все как-то противоречит тому факту, что в двуфакторке вторым фактором является отдельный девайс?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #56

56. Сообщение от Аноним (49), 06-Сен-25, 19:03	–1 +/–
В вебе, в двухфакторках используется TOTP. При регистрации/настройке передаётся секрет, из которого с помощью общеизвестного алгоритма и общеизвестного времени получают временный код. Например, в менеджере паролей, вроде KeePassXC. Девайс не нужен. Даже если девайс типа "требуется" (например, как в Steam), код можно получить без него. Там другой, но также известный алгоритм (в KPXC есть из коробки). Valve просто привязку телефона у вас так беззастенчиво выпрашивает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #57, #63

57. Сообщение от Аноним (49), 06-Сен-25, 19:07	+/–
https://github.com/keepassxreboot/keepassxc/pull/1206
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

58. Сообщение от Аноним (49), 06-Сен-25, 19:14	+/–
А ты сам-то с какого раёна будешь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

59. Сообщение от Аноним (59), 06-Сен-25, 19:20	+/–
Это неприменимо: принимая лицензию на программу (включая зависимые библиотеки) вы подтверждаете, что согласны на любой вред, который она нанесёт, и подтверждаете, что вы сами несёте за него ответственность. Иначе можно и разрабов coreutils за бинарь rm обвинить - она может стереть все данные на жёстком диске. Однако разрабы не виноваты, что пользователь не читает лицензи  документации, а лучшая документация к программе - это её исходный код. Разрабы fastbullshit делали библиотеку исключительно для себя, то что выложили на github - это чтобы вы поизучать могли, и не виноваты, что вы не читаете исходный код и тащите в свою программу какие попало зависисмости, а равно используете программы других разрабов, не читая их код и не аудируя зависимости, в общем дарёному коню в зубы не смотрите, а конь данайцев оказался.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #60, #61

60. Сообщение от Аноним (49), 06-Сен-25, 19:30	–1 +/–
> принимая лицензию на программу У УК приоритет выше. > бинарь rm Сам себя не запустит. И делает ровно то, о чём заявляет. > Разрабы fastbullshit Незаявленное поведение, причиненный вред, злой умысел. Для возбуждения только заявления не хватает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #69

61. Сообщение от Аноним (61), 06-Сен-25, 19:51	+/–
> "Разрабы" Разработчики обязаны соблюдать законы нашей Вилкой страны! Вы согласны в этом, или нет? Даже в том случаи, если просто выложил открытый код, разраб должен нести полную ответственность (в том числе и уголовную) за свой код! А если разработчик находится в другой стране, то он должен быть экстрадирован к нам для суда!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

62. Сообщение от Tron is Whistling (?), 06-Сен-25, 20:47	+/–
>> хранить оба фактора в одном менеджере паролей > Чел, второй фактор - это отдельный девайс. Бгг, ты просто пользователей не видел :D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

63. Сообщение от Аноним (43), 06-Сен-25, 20:50	+/–
> Девайс не нужен. Ты вообще не понял, о чем я тебе говорю. Ну валяй - делай из двуфакторки однофакторку, храня все в одной корзине (своем KeePassXC, например).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #66, #67

64. Сообщение от Tron is Whistling (?), 06-Сен-25, 20:55	+1 +/–
Я не зря написал - "в том виде, в котором оно сейчас строится". Вообще там, где надо, есть даже многофакторка - например три человека из группы в пять. При этом каждый со своим брелком с неизвлекаемым приватным ключом и пином к этому брелку, которого именно имеющий брелок - не знает. Но вот TOTP "в текущем виде", например так, как для пользователей разных гитшляп, особенно с переавторизацией каждый час - это тупой энной и провокация. Его будут сейвить в один KeePass рядом с паролем и копипастить. Или читать с брелка - и набивать в общий кейлоггер не глядя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #65, #74, #98

65. Сообщение от Tron is Whistling (?), 06-Сен-25, 20:56	+1 +/–
То есть не провокация, а профанация, простите.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

66. Сообщение от Tron is Whistling (?), 06-Сен-25, 20:57	+1 +/–
Да не помогут тебе даже две корзины, если на той стороне - фишинговый ресурс, на 100% копирующий оригинальный, который сразу же авторизуется дальше под креденшлами юзера, не ожидая смены одноразового презерватива.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #96

67. Сообщение от Аноним (49), 06-Сен-25, 21:27	–1 +/–
Ну валяй, подключай к Стиму телефон. Только и пароль/куки, и TOTP-секрет будут на одном девайсе. Угнал девайс (или одолжил на пять минут) равно угнал аккаунт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #73

68. Сообщение от Аноним (49), 06-Сен-25, 21:36	–2 +/–
> стараются увеличить безопасность Как TOTP увеличит безопасность? Если пароль утек с сервера, то утечет и секрет. Через ту же дыру. Если пароль утек у пользователя, то утечет и секрет. У того же балбеса. Был бы смысл, если бы секрет был ассиметричный. Но симметричный секрет не даёт ничего. Это просто благовидный повод привязать девайс, чтобы деанонимизировать пользователя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #72

69. Сообщение от Аноним (69), 06-Сен-25, 22:26	+/–
Что же тогда "* Bear" не сидят поголовно, не видим массовых судов над ними? >Сам себя не запустит. И делает ровно то, о чём заявляет. Та либа тоже сама себя не запустит, её ручками в проект притащили. И сам этот проект тоже ручками во все остальные места затащили, а не в результате drive-by взлома. >Незаявленное поведение, причиненный вред, злой умысел. Для возбуждения только заявления не хватает. любой DRM подпадает абсолютно под то же самое, так же как и системный промпт и файнтюнинг в ChatGPT, предписывающий модели врать, когда это необходимо для интересов компании и США, так же, как и системы шпионажа "телеметрии" в приложениях и ОС, так же, как откровенно вредоносные скрипты, активирующиеся автоматом до того, как у пользователя есть шанс прочитать лицензионное соглашения на них и явно с ним согласиться. Что же всех этих копирастов и пособников до сих пор не посадили?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #79

70. Сообщение от Аноним (69), 06-Сен-25, 22:29	–1 +/–
>связанной с пакетом FastUUID, предоставляющем Python-обвязку над Rust-библиотекой UUID Они там с ума посходили? UUID v4 - случайный, для его генерации библиотека, тем более на Rust, не нужна, а для никаких других UUIDов в принципе нет легитимного применения.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #103

72. Сообщение от Аноним (43), 06-Сен-25, 22:34	+/–
> Если пароль утек у пользователя, то утечет и секрет. Нет. Оба утекут только у тех, кто хранит их на одном устройстве. Что непонятного? > Но симметричный секрет не даёт ничего. Если человек упрям, как баран, то объяснять что-либо бесполезно. > Это просто благовидный повод привязать девайс, чтобы деанонимизировать пользователя. А, ну понятно: ты из той секты параноиков, у кого TOPT что-то там деанонимизирует.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #77

73. Сообщение от Аноним (43), 06-Сен-25, 22:37	+/–
>> Ну валяй - делай из двуфакторки однофакторку, храня все в одной корзине (своем KeePassXC, например). > Только и пароль/куки, и TOTP-секрет будут на одном девайсе. Ты адекватный вообще? Я тебе в третий раз повторяю: смысл 2FA в том, чтобы НЕ хранить оба фактора (пароль и TOPT) на одном девайсе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #78, #82

74. Сообщение от Аноним (46), 07-Сен-25, 05:48	–1 +/–
> переавторизацией каждый час Проблемы страны вечных NATов. Откровения про шамира и сколько паролей автоматически вводит keepass читать лень. Ещё раз: кому надо пользуется как надо, за остальных 1Password всё делает что так, что эдак. Не работает эта схема только у людей без интернета и мамкиных борцунов со слежкой инопланетянами, накрутивших uMatrix. Других причин пока обнаружено не было.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

75. Сообщение от 0xdeadbee (?), 07-Сен-25, 07:19	–1 +/–
это понятно, "голь на выдумки хитра и эту страну не победить". хехе. попробуйте посчитать убытки от торможения бизнес-процессов, и сопоставить их с расходми на 1) у провайдера взять /29 2) второй канал, второй провайдер, тоже /29. 100 Mbit/sec достаточно. даже 32 Mbit/sec достаточно. 3) настроить два фаерволла с SNAT, чтобы каждый был постоянно подключен к двум провайдерам, умел определять состояние каналов, балансировать исходящий траф и выводить дохлый канал из работы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #81, #83

76. Сообщение от нейм (?), 07-Сен-25, 07:49	+/–
> Все стараются увеличить безопасность, но наш брат непобедим! И сейчас ты конечно принесешь в описание такой вектор атаки, который унизительно легок в выполнении и стоимость его настолько низка на любых вариантах АПК, что именно наличие второго отдельного устройства (а точнее смартфона, раз ты на него так запал) требуется для всех пользователей. Под любыми вариантами АПК в том числе понимаются такие, где база кипаса с тотп лежит на шифрованном диске (бэкапы шифрованы тоже) Ну и да, расскажи как на безопасность влияют в мобильных тотп мейнстримных аппах: облачная синхронизация (гугол) и санкции на учетки по причине страны (мс аутх, который еще и к гитхабу ао конторе близок).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #86

77. Сообщение от Аноним (77), 07-Сен-25, 08:51	–1 +/–
> Нет. Оба утекут только у тех, кто хранит их на одном устройстве. Так все хранят. Только я - в зашифрованной базе KPXC, и браузер в песочнице. А ты на телефоне - с уникальными идентификаторами, привязанными к паспорту, с недобраузером в недоОСи. > ты из той секты параноиков, у кого TOPT что-то там деанонимизирует. Деанонимизирует программа-генератор кода, установленная на девайс. Ты в неё, как минимум, секрет сохраняешь, который связан с конкретным аккаунтом. А информация, полученная с устройства, уже позволяет связать аккаунт с реальным пользователем. Как минимум. А ещё можно пошерудить по соседним программам, файлам пользователя, контактам и т.п.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72 Ответы: #84

78. Сообщение от Аноним (77), 07-Сен-25, 09:03	–1 +/–
> Смысл 2FA Мало кто предлагает 2FA. Например, второй пароль, который явно более надежен, чем Truncate(HMAC-SHA-1(K,C)). Все предлагают TOTP. Со своим приложением. Или гугловским - известный коллектор данных и участник программы PRISM. Т.о. смысл TOTP - деанон через привязку устройств. Как, впрочем, и 99% приложений на телефон, которые суть - тонкий клиент к веб-серверу + инструменты слежки (сбора и передачи данных). > The HOTP algorithm is based on an increasing counter value and a static symmetric key known only to the token and the validation service. Будь там ассиметричный ключ, TOTP имел бы смысл. Но с симметричным, это просто ослабленный (для легкого ввода, ага) второй пароль.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #85, #97

79. Сообщение от Аноним (77), 07-Сен-25, 09:31	+/–
> Что же тогда "* Bear" не сидят поголовно, не видим массовых судов над ними? Потому что никто не призвал их к ответу? Потому что все малодушно и трусливо считают, что они зрители в кинотеатре, а не полноправные участники общественной жизни? См. "Общество спектакля" и прочую философию. > Та либа тоже сама себя не запустит, её ручками в проект притащили. Код отправки подстановлен после. > Что же всех этих копирастов и пособников до сих пор не посадили? См. ответ на первый вопрос. Плюс, "копирасты" зарабатывают деньги (идол) и делятся ими с "крышей" (налоги). Это называется "буржуазное государство" или "диктатура буржуазии". За ликбез не благодари, пользы от тебя всё равно никому не будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69 Ответы: #87

81. Сообщение от Аноним (81), 07-Сен-25, 11:05	+/–
> настроить два фаерволла щас он спросит у чатгпт, как настроить сдван :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #89

82. Сообщение от Аноним (81), 07-Сен-25, 11:11	+/–
идея второго фактора в интернете безполезна, куда безопаснее записанный на бумажке второй пароль.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

83. Сообщение от mickvav (?), 07-Сен-25, 14:27	+/–
Если бизнес-процесс - два студента, пилящих курсач - флешка и file:// протокол вполне себе норм решение, если сети _вообще_ нет. Да, потеряется час-два времени недоджунов за неделю работы. Не критично. Если есть хотя бы ethernet - то кабель между компами + статические айпишники + ssh протокол уже уделают флешку натаком проекте. Ваши /28 + второй канал + настройка всего этого осмысленны если это _бизнес_ проект с продолжительностью больше месяца И своей физической инфраструктурой. Если инфраструктура в облаке - то нафига вот-это-все, если при отрубании интернета в офисе каждый за пару минут раздает себе интернетик с телефончика? Ну разве что у вас офис на 1000 человек и интернетики с телефончиков перегружают сотового оператора и все лежит...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #88

84. Сообщение от Аноним (43), 07-Сен-25, 15:03	+/–
>> Нет. Оба утекут только у тех, кто хранит их на одном устройстве. > Так все хранят. Нет, только альтернативно одаренные, которые не понимают, у чем суть двуфакторки. Ну, вот типа местных комментаторов. > А ты на телефоне - с уникальными идентификаторами, привязанными к паспорту, с недобраузером в недоОСи. Естественно, на телефоне. Я-то понимаю, что суть двуфакторки - ВНЕЗАПНО! - в наличии второго фактора, и что привязанность телефона к паспотру здесь никакой роли не играет, ведь TOTP можно хоть на тостере генерировать. >> ты из той секты параноиков, у кого TOPT что-то там деанонимизирует. > Деанонимизирует программа-генератор кода, Ты в неё, как минимум, секрет сохраняешь, который связан с конкретным аккаунтом. Опять нет. Секрет сам по себе никак не связан с аккаунтом. Ты, конечно, можешь его подписать "Мой аккаунт на Гитхабе" - но на этом все. Но даже в этом случае взломавшие твой телефон люди даже не поймут, какой иммено аккаунт на Гитхабе является твоим. > А информация, полученная с устройства, уже позволяет связать аккаунт с реальным пользователем. Как минимум Если кто-то может получать информацию с твоего устройства, то говорить о "деанонимизации" как-то тупо, не находишь? Таким макаром и сохраненные закладки в браузере, история звонков и т.п. являются деанонимизаторами. В общем, что и требовалось доказать - вы несете типичные бредни параноиков. Воюй дальше, друг!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77 Ответы: #114

85. Сообщение от Аноним (43), 07-Сен-25, 15:14	+/–
> Мало кто предлагает 2FA > Все предлагают TOTP. Ты сам себе противоречишь. TOTP на втором девайсе - это и есть второй фактор. Чисто по определению. В общем, очередной персонаж, не понявший сути 2fa ринулся против него воевать. > Т.о. смысл TOTP - деанон через привязку устройств. Как, впрочем, и 99% приложений на телефон То есть, ты юзаешь Андроидный телефон от ПРИЗМовского Гугла, но деанонимизация происходит именно по TOTP?  Ясно, понятно... > Т.о. смысл TOTP - деанон через привязку устройств. Опять эти бредни параноиков. Ты уже регистрируешь аккаунт на сарсвисе, но вот если он просит 2fa - О БОЖЕ ДЕАНОН! > Но с симметричным, это просто ослабленный (для легкого ввода, ага) второй пароль. Да, второй пароль. На отдельном девайсе. Казалось бы, в голове должно было что-то щелкнуть (ну, в контексте названия "двуфакторность"), но нет...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78 Ответы: #108

86. Сообщение от Аноним (43), 07-Сен-25, 15:24	+/–
> И сейчас ты конечно принесешь в описание такой вектор атаки, который унизительно легок в выполнении и стоимость его настолько низка на любых вариантах АПК, что именно наличие второго отдельного устройства (а точнее смартфона, раз ты на него так запал) требуется для всех пользователей Конечно приведу: у тебя сперли один фактор (пароль/ломанули телефон), но второй остался у тебя. Аккаунт не взломан. Но я понимаю, это очень сложная мысль для опеннетного эксперта. > Под любыми вариантами АПК в том числе понимаются такие, где база кипаса с тотп лежит на шифрованном диске (бэкапы шифрованы тоже) А в этом сценарии достаточно спереть и взломать один фактор - девайс с кипасом. И получить все твои пароли, лол. Хотя я не понял, к чему ты это упомянул. Навесить шифрований дисков и паролей можно на любой девайс с TOTP - суть двуфакторности как бы не в этом, а именно в наличии второго фактора.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76 Ответы: #112

87. Сообщение от Аноним (87), 07-Сен-25, 17:53	+/–
>Потому что никто не призвал их к ответу? Потому что все малодушно и трусливо считают, что они зрители в кинотеатре, а не полноправные участники общественной жизни? См. "Общество спектакля" и прочую философию. Американская ОПГ своим врагам спуску не даёт, но даже оно всё равно не может призвать их к ответу ... А вы тут мне рассказываете, что бесправные рабы могут призвать к ответу того, кого на порядки более опасные и могучие призвать к ответу не могут. >Код отправки подстановлен после. И что? Используя либу вы заранее соглашаетесь со всем, что её владельцам может в готову прийти. В почти всех лицензиях написано, что AS IS и на свой страх и риск. >Плюс, "копирасты" зарабатывают деньги (идол) и делятся ими с "крышей" (налоги). Это называется "буржуазное государство" или "диктатура буржуазии". Нет, это называется "монополистический капитализм", который вообще нифига не капитализм. А про оседлых бандитов я и до тебя знал. И не надо мне втирать про то, что кто-то кому-то что-то должен. Тут у каждого только то, что он взял. Вот разраб той либы взял своё - вот и получил что заслужил. И не тебе его судить. Всяким двуличным бандитам с двойными стандартами он по-видимому интересен только с точки зрения того, имеет ли он понимание, когда приходится делиться. Раз он такое провернул, то есть вероятность, что очень даже имеет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79 Ответы: #107

88. Сообщение от 0xdeadbee (-), 07-Сен-25, 18:18	+/–
> Если бизнес-процесс - два студента, пилящих курсач ок. но все же дождемся ответа анона, который пушил через флэшку. > Ваши /28 + второй канал + настройка всего этого осмысленны если это /28 - оверкилл и оверпрайс. /29 достаточно для разумных применений. > _бизнес_ проект с продолжительностью больше месяца И своей физической инфраструктурой. > Если инфраструктура в облаке - то нафига вот-это-все, для фанатов облаков приготовлен отдельный филиал ИТшного ада. надеюсь, кое-кто (из МТС облаков например) уже там. кстати для фанатов циски и микротиков - тоже. > при отрубании > интернета в офисе каждый за пару минут раздает себе интернетик с > телефончика 1) спрашивается - почему они изначально не раздавали сами себе ? и перенастраивать ничего не надо. 2) с мобильными интернетами в некоторых местах этой страны сейчас проблемы. фанаты облаков отрываются от земли и витают в облаках, как обычно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83

89. Сообщение от 0xdeadbee (-), 07-Сен-25, 18:23	+/–
а правда что на каждый SDWAN накладывается обременение в виде vendor lock ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #90

90. Сообщение от Аноним (81), 08-Сен-25, 00:22	+/–
гемини отвечает так """ Да, обременение в виде vendor lock-in (зависимость от поставщика) — это распространённая проблема в сфере SD-WAN, хотя и не неизбежная. Что такое vendor lock-in в SD-WAN Vendor lock-in означает, что, выбрав решение SD-WAN от одного конкретного поставщика, вы сталкиваетесь с высокими издержками и техническими трудностями при попытке перейти на продукт другого производителя. Это происходит из-за нескольких ключевых факторов: Проприетарные технологии. Многие SD-WAN-решения используют закрытые протоколы и форматы, которые несовместимы с оборудованием и программным обеспечением других поставщиков. Например, контроллер одного вендора не сможет управлять устройствами (edge devices) другого. Сложность миграции. Переход на новое решение SD-WAN — это не просто замена одной коробки на другую. Это требует перенастройки всей сетевой архитектуры, политик безопасности и маршрутизации, что может быть очень трудоёмким и дорогим процессом. Специфические навыки. Для работы с каждым решением SD-WAN требуется обученный персонал, который знаком с конкретным интерфейсом и функционалом. Миграция может потребовать переобучения сотрудников или найма новых специалистов. Лицензионные соглашения. Контракты с поставщиками могут содержать условия, которые затрудняют или делают невыгодным разрыв отношений. Как избежать vendor lock-in Хотя vendor lock-in — это реальный риск, его можно минимизировать, следуя определённым стратегиям: Выбирайте решения на базе открытых стандартов. Некоторые поставщики предлагают решения, основанные на открытых протоколах, что делает их более совместимыми с продуктами других производителей. Используйте мульти-вендорный подход. Вместо того чтобы полагаться на одного поставщика, можно строить сеть, используя компоненты от разных производителей, что даёт большую гибкость и снижает зависимость. Оценивайте простоту миграции. На этапе выбора решения задавайте вопросы о том, как происходит миграция, есть ли у вендора открытые API для автоматизации и интеграции. Рассматривайте решения с "белой" коробкой (white box). Некоторые поставщики предлагают SD-WAN-софт, который можно установить на стандартное, общедоступное оборудование. Это позволяет избежать привязки к проприетарному "железу". """
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89 Ответы: #91

91. Сообщение от 0xdeadbee (-), 08-Сен-25, 07:41	+/–
спс за инфо. продолжайте доить нейросеть, не остнавливайтесь на пол-пути. > Выбирайте решения на базе открытых стандартов. Некоторые поставщики предлагают решения, > основанные на открытых протоколах, что делает их более совместимыми с продуктами > других производителей. что это за поставщики, названия их решений и открытых протоколов ? > Используйте мульти-вендорный подход. Вместо того чтобы полагаться на одного поставщика, > можно строить сеть, используя компоненты от разных производителей, что даёт большую > гибкость и снижает зависимость. какие гарнатии, что решения окжутся совместимыми ? как проводить тестирование и пилот-проекты, чтобы получить значимые результаты ? > Рассматривайте решения с "белой" коробкой (white box). Некоторые поставщики предлагают > SD-WAN-софт, который можно установить на стандартное, общедоступное оборудование. что это за поставщики, названия их решений и продуктов ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90

92. Сообщение от User (??), 08-Сен-25, 08:26	+/–
Не, ну это конечно тоже вариант - "нет ci\cd как концепции - нет проблем с ci\cd", тут не поспоришь. Конечно будет проблема найти второго такого в "команду" - но тут на помощь всегда может прийти кот.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

93. Сообщение от User (??), 08-Сен-25, 08:41	+/–
Ну, он скорее про то, что "не все проблемы, вызывающие невозможность прочитать данные с дискеты вызваны именно "размагничиванием" - да и с надежностью мммм... по разному - от хранения ключей банк-клиента на 4х дискетах и нормальной работой (2-3 операции в неделю) в течении трех лет (Могло бы и больше, наверное - но там уже банк процедуру поменял) и отправки бухгалтерской отчетности по почте - до чтения этих "двух дискет" на трех дисководах с (оправдавшейся!) надеждой, что хоть один из них прочитает. И, кстати - может он про 5,25" дискеты, с которыми и правда было лучше? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

94. Сообщение от 1 (??), 08-Сен-25, 09:13	+1 +/–
Вот ради тебя нашёл Verbatium на 1.44 (Извини 5" не осталось дискет у меня ... Валяется 8" но для неё нет дисковода). Всё она читается - какие-то данные для налоговой за 2003 год. Может из-за тог, что она в жестяной коробке лежала ? А по поводу "размагничивания" не надо её магнитом к холодильнику крепить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

95. Сообщение от User (??), 08-Сен-25, 09:16	+/–
Господи. У тебя на ноуте сканера отпечатка пальцев нет и камера изолентой заклеена? Ну, используй passkey с пин-кодом, что ли - все надежней этого вот позорища будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #110

96. Сообщение от User (??), 08-Сен-25, 09:20	+/–
Ну вот для этого тебе passkey придумали, да?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #100

97. Сообщение от User (??), 08-Сен-25, 09:23	+/–
2FA != TOTP, ёлки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

98. Сообщение от User (??), 08-Сен-25, 09:26	+/–
TOTP - _устаревшая_ технология, которую НЕ НАДО использовать при наличии "более других"(ТМ) возможностей. Индустрия, если что - идет в сторону passkeys. Тут вот тебе и аутентификация на ключах, и защита от фишинга из коробки, и удобство использования, и хранение этого вот добра в TPM конечного устройства с разблокировкой доступа "как выберешь" - но... Н-ноо, лошадка! У меня есть TOTP!!!111
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #99, #101, #102

99. Сообщение от Tron is Whistling (?), 08-Сен-25, 09:50	+/–
И я о том же.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98

100. Сообщение от Tron is Whistling (?), 08-Сен-25, 09:51	+/–
Именно, вот только оно слишком сложно для большинства девляпсов и около.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96 Ответы: #106

101. Сообщение от Tron is Whistling (?), 08-Сен-25, 09:54	+/–
Но с passkeys и вообще любым 2FA есть всё та же проблема, выше упомянутая: оно всё на одном девайсе :) Даже если вы брелок суёте в девайс - оно всё равно на одном девайсе. Т.е. реальная 2FA реализуется ВНЕЗАПНО не через браузер или аппликуху, которая авторизуется. Это ещё и вторая аппликуха на втором девайсе, которая ОТДЕЛЬНО получает запрос на авторизацию, который пользователь подтверждает. Такие дела.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98 Ответы: #105, #118

102. Сообщение от Tron is Whistling (?), 08-Сен-25, 09:57	+/–
И тут мы возвращаемся к исходной проблеме: фишинговый ресурс вполне себе такой запрос послать может, если попытается авторизоваться с первым фактором на исходном ресурсе. Шах и мат, и никаких реальных путей решения для публичных сервисов здесь не существует.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98 Ответы: #104

103. Сообщение от бочок (??), 08-Сен-25, 10:17	+/–
сортировка :(
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

104. Сообщение от User (??), 08-Сен-25, 10:27	+/–
> И тут мы возвращаемся к исходной проблеме: фишинговый ресурс вполне себе такой > запрос послать может, если попытается авторизоваться с первым фактором на исходном > ресурсе. Шах и мат, и никаких реальных путей решения для публичных > сервисов здесь не существует. Нет, не может. Конкретный passkey привязан с одной стороны к твоему ресурсу, а с другой - к конкретному потребителю. Не ты глазками выбираешь "а какой из пасскеев сунуть gitthub.com"? а система смотрит, есть ли у неё что-то ассоциированное с этим вот сайтом и если есть - ну, на тебе запрос на разблокировку TPM и вот это ффсе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102

105. Сообщение от User (??), 08-Сен-25, 10:36	+/–
> Но с passkeys и вообще любым 2FA есть всё та же проблема, > выше упомянутая: оно всё на одном девайсе :) Даже если вы > брелок суёте в девайс - оно всё равно на одном девайсе. > Т.е. реальная 2FA реализуется ВНЕЗАПНО не через браузер или аппликуху, которая авторизуется. > Это ещё и вторая аппликуха на втором девайсе, которая ОТДЕЛЬНО получает > запрос на авторизацию, который пользователь подтверждает. Такие дела. В общем "нет". Может быть проблема доверия конечной реализации TPM - насколько оно там у тебя "неизвлекаемое" на самом деле и проблема надежности аутентификации\авторизации на конечном устройстве в случае его кражи (TPM конечно хорошо - но passcode 1111 в соответствии с best practice(ТМ) или там разблокировка-по-фотографии) - но тут уже модель угроз немножко другая.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101 Ответы: #119

106. Сообщение от User (??), 08-Сен-25, 10:47	+/–
> Именно, вот только оно слишком сложно для большинства девляпсов и около. Ну, разве только в linux'е, т.к. реализация там будет традиционно "с(т)ранненькая", с безопасностью "as usual" - интеграции в ОС нет, штатных средств нет - вот тебе пачка костылей имитирующих реализацию - ну там вместо платформенного TPM'а будет у тебя - keepassxc со всеми вытекающими. Но будет, да - и проблему с фишингом решит. У всех остальных более, чем приличная реализация будет "из коробки" с zero setup.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100 Ответы: #109

107. Сообщение от Аноним (114), 08-Сен-25, 11:19	+/–
> Американская ОПГ своим врагам спуску не даёт, но даже оно всё равно > не может призвать их к ответу ... А вы тут мне > рассказываете, что бесправные рабы могут призвать к ответу того, кого на > порядки более опасные и могучие призвать к ответу не могут. "Рабы" - по эту сторону границы, а "ОПГ" - по ту. Но прецеденты призвания к ответу были, как у тех (1917 год), так у других ("Русские хакеры: Начало"). > Используя либу вы заранее соглашаетесь со всем, что её владельцам может в готову прийти. Исключая злонамеренные действия. > В почти всех лицензиях написано, что AS IS и на свой страх и риск. Есть более приоритетные нормативно-правовые документы. >>Плюс, "копирасты" зарабатывают деньги (идол) и делятся ими с "крышей" (налоги). Это называется "буржуазное государство" или "диктатура буржуазии". > Нет, это называется "монополистический капитализм", который вообще нифига не капитализм. Любите вы придумывать сорта капитализма, для оправдания неприглядной действительности. Только он везде такой и во все времена. Всё по классике. Отрицание. Гнев. Торг. > Вот разраб той либы взял своё - вот и получил что заслужил. Нет. Но ещё получит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87 Ответы: #117

108. Сообщение от Аноним (114), 08-Сен-25, 11:28	+/–
> TOTP на втором девайсе - это и есть второй фактор. ( TOTP < 2FA ) > То есть, ты юзаешь Андроидный телефон от ПРИЗМовского Гугла, но деанонимизация происходит именно по TOTP? Ты юзаешь. У меня KPXC, телефон мне не нужен. > Ты уже регистрируешь аккаунт на сарсвисе, но вот если он просит 2fa - О БОЖЕ ДЕАНОН! Если ты при регистрации каждому сервису сообщаешь свой телефон/паспорт, то это твои проблемы. > Да, второй пароль. Нет. *Ослабленный* (то есть *бесполезный*) второй пароль. P.S. Туго соображаешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85

109. Сообщение от Аноним (114), 08-Сен-25, 11:34	+/–
> в linux'е, т.к. реализация там будет традиционно "с(т)ранненькая", с безопасностью "as usual" Как пользователем настроено, так и будет. То есть у пряморуков - удобно и безопасно, у остальных - как решил админ/сопроводитель/кто-то ещё. > У всех остальных более, чем приличная реализация будет "из коробки" с zero setup. У всех остальных будет имитация безопасности, прикрытая фиговым листком. Как обычно. Достаточно на интеграцию TPM в Windows посмотреть, чтобы понять.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106 Ответы: #111

110. Сообщение от Аноним (114), 08-Сен-25, 11:39	+/–
> все надежней этого вот позорища будет. Очевидно, что TOTP в KPXC хранится не ради безопафосности (с этим обычный пароль справляется), а по необходимости - сервисы его навязывают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95 Ответы: #113

111. Сообщение от User (??), 08-Сен-25, 11:42	+/–
>> в linux'е, т.к. реализация там будет традиционно "с(т)ранненькая", с безопасностью "as usual" > Как пользователем настроено, так и будет. То есть у пряморуков - удобно > и безопасно, у остальных - как решил админ/сопроводитель/кто-то ещё. Ну вот мы видим, ага. "Пряморуки" наяривают на TOTP на том же устройстве - остальные вот вовсе топят за "да фигня это ффсе, ниработаит и проблем не решает!". Может пара "я у мамы хакИр" с чем-то как-то никем и никогда не валидированным по stackoverflow настроенным РЕШЕНИЕМ найдется. >> У всех остальных более, чем приличная реализация будет "из коробки" с zero setup. > У всех остальных будет имитация безопасности, прикрытая фиговым листком. Как обычно. Достаточно > на интеграцию TPM в Windows посмотреть, чтобы понять. Ну или так, да. Вот про "понатыквших в фишинговые ссылки" Ъ мы наблюдаем регулярно - а информации о том, что "из-за уязвимой реализации TPM утекло ..." - чот не очень как-то. Старик-с-бритвой как бы намекает нам...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #109 Ответы: #115

112. Сообщение от Аноним (114), 08-Сен-25, 11:44	+/–
> А в этом сценарии достаточно спереть и взломать один фактор - девайс с кипасом. Так можно и девайс с кодогенератором взломать. На нём, по-любому, рядом будет браузер и нужная веб-кука. Причем, базу keepassxc ты так просто не сломаешь, если она залочена. А вот на телефоне, всё всегда плейнтекстом валяется на флешке. > Навесить шифрований дисков и паролей можно на любой девайс Не на телефон. Там ты всегда "в гостях". Там только видимость шифрования.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

113. Сообщение от User (??), 08-Сен-25, 11:45	+/–
>> все надежней этого вот позорища будет. > Очевидно, что TOTP в KPXC хранится не ради безопафосности (с этим обычный > пароль справляется), а по необходимости - сервисы его навязывают. И телефон при регистрации отбирают, выдавая nokia 3110 и заставляя использовать СМС!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110

114. Сообщение от Аноним (114), 08-Сен-25, 11:52	+/–
> Я-то понимаю, что суть двуфакторки - ВНЕЗАПНО! - в наличии второго фактора Медаль тебе нужно выдать. "За понимание". > ведь TOTP можно хоть на тостере генерировать. А зачем вообще что-то генерировать? Используй второй пароль, хранимый отдельно. А. Тебе сервисы TOTP навязали, вместо второго пароля. Ясно-понятно. > Секрет сам по себе никак не связан с аккаунтом. Он хранится на сервере в той же базе данных, что и хэш пароля. > взломавшие твой телефон люди даже не поймут, какой иммено аккаунт на Гитхабе является твоим. Зато M$, владеющий Гитхабом, поймёт и сообщит куда следует (в программу национальной слежки), и куда не следует (маркетол-ам) - тоже. > Если кто-то может получать информацию с твоего устройства Каждое второй приложение на твоём, обязательном к наличию, телефоне. > Таким макаром и сохраненные закладки в браузере, история звонков и т.п. являются деанонимизаторами. Если браузер позволяет их получить любой вкладке без аутентификации. > Воюй дальше, друг! Само собой! Спускать шtanы и получать yдовольствие я определенно не намерен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84

115. Сообщение от Аноним (114), 08-Сен-25, 12:53	+/–
> "Пряморуки" наяривают на TOTP на том же устройстве Когда он обязательный, его так обходят. > ниработаит и проблем не решает!" Не работает. Не решает. Если пользователь ввёл пароль по фишинговой ссылке, то и код введёт. А вот правильно настроенный парольный менеджер пароль от сайта фейку не отдаст. > по stackoverflow настроенным РЕШЕНИЕМ найдется Это у корпоративных разработчиков так принято. Вот тех самых, которые TOTP внедряют везде и всюду. Хакеры обмениваются знаниями через Вики сообществ (например, Arch Wiki) или публикуя исследования в персональных блогах. > Вот про "понатыквших в фишинговые ссылки" Ъ мы наблюдаем регулярно И TOTP тут не спасёт. > а информации о том, что "из-за уязвимой реализации TPM утекло ..." - чот не очень как-то А зачем нужна такая огласка службам, регулярно получающим доступ к вашим устройствам при задержаниях?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111 Ответы: #116

116. Сообщение от User (??), 08-Сен-25, 13:08	+/–
>> "Пряморуки" наяривают на TOTP на том же устройстве > Когда он обязательный, его так обходят. А, так ты из тех, кто "на зло маме"? >> ниработаит и проблем не решает!" > Не работает. Не решает. Если пользователь ввёл пароль по фишинговой ссылке, то > и код введёт. А вот правильно настроенный парольный менеджер пароль от > сайта фейку не отдаст. Ух, и пароль поди - Qwerty123@ назло заставлятелям использовать СЛОЖНОЕ? >> по stackoverflow настроенным РЕШЕНИЕМ найдется > Это у корпоративных разработчиков так принято. Вот тех самых, которые TOTP внедряют > везде и всюду. > Хакеры обмениваются знаниями через Вики сообществ (например, Arch Wiki) или публикуя исследования > в персональных блогах. Не-не-не. У корпоративных как раз - централизованная политика управления. >> Вот про "понатыквших в фишинговые ссылки" Ъ мы наблюдаем регулярно > И TOTP тут не спасёт. Конечно. Пройдет еще лет *цать и индеец Быстрое Полено прочитает про более другие(ТМ) реализации 2FA... но это не точно. >> а информации о том, что "из-за уязвимой реализации TPM утекло ..." - чот не очень как-то > А зачем нужна такая огласка службам, регулярно получающим доступ к вашим устройствам > при задержаниях? Оу. Ты, надеюсь и аппаратную защиту от терморектального криптоанализа с левой резьбой установил с такой моделью угроз? Придут, панимаишь, четыре тарищмаёра во главе с МЕДАЛЕНОСНЫМ, достанут квантовый паяльник - а ты и ЗАЩИЩЕН! Уважаю, бро - уважаю!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #115

117. Сообщение от Аноним (118), 08-Сен-25, 21:10	+/–
>"Рабы" - по эту сторону границы, а "ОПГ" - по ту. Вы ошибаетесь. ОПГ и их рабы есть по обе стороны любых границ. >Исключая злонамеренные действия. Злонамеренные - нет такого понятия юридического. Есть вредоносные - те, которые против интересов оператора ЭВМ, и на которые у сделавшего нет с вами юридического документа, что вы их разрешаете. А лицензия на ПО и есть именно такой документ. >Есть более приоритетные нормативно-правовые документы. Ни один документ не имеет реальной силы. Документ - это отписка для случаев, когда по понятиям решать охоты нет. А когда решают по понятиям, то внезапно оказывается, что для членов ОПГ, когда их босс санкционировал, можно то, что обычному быдлу документы запрещают. >Любите вы придумывать сорта капитализма, для оправдания неприглядной действительности А мы и не придумываем. Есть только один сорт капитализма - со свободным рынком. Остальное называют капитализмом, но от капитализма там - одно название. >Нет. Но ещё получит. Что бы он не получил - он это заслуживает. Как и каждый, кто тут живёт, получает ровно то, что заслуживает. Скоту - скотское, цезарю - цезарево, а разрабу той либы - ровно то, что он заслуживает. Советую быть циничнее и нигилистичнее. Модель мира станет точнее, а без точной модели мира нет интеллекта, как недавнее исследование показало.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107

118. Сообщение от Аноним (118), 08-Сен-25, 21:12	+/–
Нет никакой проблемы. Предъявишь ID-карту, фотку, отпечатки пальцев, постановление суда и подтверждение оплаты - и аккаунт тебе вернут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101

119. Сообщение от Tron is Whistling (?), 08-Сен-25, 22:03	+/–
В итоге перехватывается сессионный параметр, а не собственно ключ из TPM... Без MITM будет сложновато, с MITM - ну, вообще без проблем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105 Ответы: #120

120. Сообщение от User (??), 09-Сен-25, 05:26	+/–
> В итоге перехватывается сессионный параметр, а не собственно ключ из TPM... > Без MITM будет сложновато, с MITM - ну, вообще без проблем. Ну да - и от визита госорганов с постановлением К поставщику услуг, а к тебе - с паяльником технология тоже не защищает. Плохая технология, негодная - не будем её использовать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #119 Ответы: #121, #122

121. Сообщение от Tron is Whistling (?), 09-Сен-25, 13:57	+/–
Да хосспаде, ваш этот, цензурнадзора, сертификат ставил на устройство? Вота тебе и митм.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120

122. Сообщение от Tron is Whistling (?), 09-Сен-25, 14:00	+/–
А если ещё на халявные вайфай точки свой серт кто-то развесит с идентичной тому информацией - половина цицд васянов поставят его не глядя, и владелец этих точек будет все эти вот ваши сессионные ключи собирать тоже не глядя, хоть с поцкейз, хоть с тотпой, хоть с пятью факторами. Сечём, куда я клоню? Не спасает эта двухфакторка от ухода сессионной информации, надо каждый запрос отдельно подписывать, причём без реплея, а это уже такой шляпный геморрой, что явно не для гитшляпов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120 Ответы: #123

123. Сообщение от User (??), 09-Сен-25, 14:57	+/–
> А если ещё на халявные вайфай точки свой серт кто-то развесит с > идентичной тому информацией - половина цицд васянов поставят его не глядя, > и владелец этих точек будет все эти вот ваши сессионные ключи > собирать тоже не глядя, хоть с поцкейз, хоть с тотпой, хоть > с пятью факторами. > Сечём, куда я клоню? Не спасает эта двухфакторка от ухода сессионной информации, > надо каждый запрос отдельно подписывать, причём без реплея, а это уже > такой шляпный геморрой, что явно не для гитшляпов. Ыыыы... passkey и 2FA - механизмы _аутентификации_ - про СЕССИИ они ничего не знают и знать не должны, да? И про то, сколько денег у тебя в кошельке - не должны. И от удара гаечным ключом по голове - они тебя не защищают. "И от next-next-next-поставить-да!" - тоже нет. Они обеспечивают - ну вот !внезапно! - аутентификацию. Хочешь, чтобы снег-башка-не-попадал - каску носи, ага? И под стрелой не ходи - даже в каске. А волшебную серебрянную пулю "мне-от-всего, пжалста" не изобрели, сорри.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #122 Ответы: #124

124. Сообщение от Tron is Whistling (?), 09-Сен-25, 20:20	+/–
> Ыыыы... passkey и 2FA - механизмы _аутентификации_ - про СЕССИИ они ничего не знают и знать не должны, да? Верно. Т.е. хоть 100 факторов сделай, хоть обложись пасскеями, а лучше не станет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #123 Ответы: #126

126. Сообщение от User (??), 10-Сен-25, 06:07	+/–
>> Ыыыы... passkey и 2FA - механизмы _аутентификации_ - про СЕССИИ они ничего не знают и знать не должны, да? > Верно. Т.е. хоть 100 факторов сделай, хоть обложись пасскеями, а лучше не > станет. И пароль 1111 - прочее же от лукавого.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #124

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема