| 1.1, FSA (ok), 20:30, 23/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 [РКН]. Я только понял как удобно использовать TOTP... Это заговор. Всё то, что мне начинает нравится, скатывается... KDE, Gnome, Ubuntu, Jabber...
| | |
| |
| |
| 3.28, Аноним (28), 22:41, 23/09/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ровно в тот момент, когда оказалось что Whatsapp не будет включать федерацию.
| | |
| |
| 4.48, Аноним (48), 23:23, 23/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Ну это решение проприетарного Штоапа. При чём здесь Jabber вцелом? Виноват только тем, что Всосап тоже использовал XMPP ?
| | |
|
|
| 2.11, Аноним (11), 20:52, 23/09/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
За 5 лет использования аппаратного FIDO токена убедился, что это примерно в 10 тысяч раз удобнее чем ввод кодов с телефона.
| | |
|
| 1.2, Аноним (3), 20:33, 23/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– | |
Вот это их хлопнуло по голове. Интересно, они понимают что большинство контрибьюторов на три буквы их отправит с этими пожеланиями?
Нормальный TOTP в качестве MFA - это достаточно защищённо. Все вот эти вот мертворожденные высеры с FIDO - это для шизиков уровня бородача Столлмана, которые никуда никогда не поедут, и дико ограничат людей как в железе, так и в софте.
NPM, походу, решил себя закопать.
| | |
| |
| 2.13, morphe (?), 20:55, 23/09/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Все вот эти вот мертворожденные высеры с FIDO - это для шизиков уровня бородача Столлмана, которые никуда никогда не поедут, и дико ограничат людей как в железе, так и в софте.
Fido2 уже везде есть. Нет возможности использовать железный ключ - в браузерах есть passkeys.
TOTP намного менее удобно чем нажать на nitrokey стоящий в usb порту
| | |
| |
| |
| 4.22, morphe (?), 22:07, 23/09/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Не всё в жизни - это браузер. По крайней мере, у меня.
Браузеры используют системное хранилище ключей по идее
Не уверен как это работает в софте, у меня уже лет 8 железный ключ есть, знаю лишь что софтверные u2f давно везде существуют
| | |
| |
| 5.27, penetrator (?), 22:30, 23/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
а чем это отличается от рандомного пасворда в текстовом файле? иллюзией изоляции и защищенности?
| | |
| |
| |
| 7.36, Аноним (36), 22:52, 23/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
Лаптоп можно случайно полить кофе.. забыть в такси. причём вместе с сумкой где и резервный токен лежал..
еще раз, если чел озаботился САМ безопасностью то резервный токен у него будет лежать отдельно, но он и на поддельное письмо скорее всего не клюнет, и TOTP не подарит... а если клюнет, то скорее всего и токен будет пролюблен при первой же возможности.
| | |
| 7.38, penetrator (?), 22:54, 23/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Файл можно незаметно украсть. Лаптоп — нет.
если у тебя появился доступ к лаптопу и его файлам на уровне - что хочу то ворочу, то ты сможешь встроиться в пайплан и тебе никакой 2FA не поможет
ну как можно надеяться на магический токен, если систему уже скомпрометирована? ну это же сюр
| | |
| |
| 8.40, morphe (?), 23:00, 23/09/2025 [^] [^^] [^^^] [ответить] | +/– | FIDO2 требует физического подтверждения присутствия, удачи что-то серьёзное пров... текст свёрнут, показать | | |
| |
| 9.47, Аноним (47), 23:19, 23/09/2025 [^] [^^] [^^^] [ответить] | +/– | Можно робота сделать, который силиконовым муляжом пальца с фейковыми паппилярным... большой текст свёрнут, показать | | |
| |
| |
| |
| |
| 13.56, Аноним (56), 23:55, 23/09/2025 [^] [^^] [^^^] [ответить] | +/– | Что значит могли Делали Стандартизировали не для этого А чтобы всех на него... большой текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
|
|
| 3.44, Аноним (47), 23:08, 23/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
А в процессорах - SGX, SEV и TrustZone. А у кого нет - те бомжи пусть на свалку проследуют, где им и место: в современном обществе нет места нежелательным элементам, саботирующим хозяйский надзор и контроль за своей собственностью, своим поголовьем. Не нравится в стойле - мусорный полигон с бомжами вон там.
| | |
| |
| 4.46, morphe (?), 23:11, 23/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> А в процессорах - SGX, SEV и TrustZone.
Это к чему вообще? Что из этого есть в условном nitrokey/любой другой fido2 железке?
| | |
| |
| 5.49, Аноним (47), 23:24, 23/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Стандарт читайте. В самодельных токенах нет, а вот в фабричных токенах официальных партнёров альянса, включая Google Titan, Windows Hello, Google SafetyNet, и устройствах от Apple всё есть. И послать тебя за использование не своего устройства - эта штатная фича стандарта. В будущем будет в дополнение к reCAPTCHA/hCAPTCHA (которые нифига не капчи) - хочешь на сайт? Докажи, что у тебя какое надо устройство. Не доказал? Ну значит ты нежелателен, потому что законопослушному гражданину не зачем использовать что-то из того, что хозяева не одобрили.
| | |
| |
| 6.52, morphe (?), 23:39, 23/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
> хочешь на сайт? Докажи,
> что у тебя какое надо устройство. Не доказал? Ну значит ты
> нежелателен, потому что законопослушному гражданину не зачем использовать что-то из того,
> что хозяева не одобрили.
FIDO2 конечно такое позволяет... Однако при желании компании могут и без webauthn аттестацию проводить, банально на устройстве поднять вебсокет и из JS к нему цепляться, а там уже гонять что надо для аттестации. FIDO2 тут ничего нового не приносит, и есть причины почему так не делают.
| | |
| |
| 7.55, Аноним (55), 23:50, 23/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
>Однако при желании компании могут и без webauthn аттестацию проводить, банально на устройстве поднять вебсокет
Могут, но это нестандартизировано. А вот когда это стандартизировали - это уже не звоночек, а целый набат. Вы находитесь здесь.
| | |
|
|
|
|
|
|
| 1.4, Аноним (4), 20:37, 23/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Не проще ли просто не пользоваться ни nodejs, ни npm? Да и вообще джаваскриптом тож не пользоваться.
| | |
| |
| |
| 3.15, Аноним (15), 21:10, 23/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Он и не пользуется. И у него никаких проблем в жизни нет типа описанных в соседних новостях. Вот он и спрашивает, для чего этим пользуются другие.
| | |
|
|
| 1.5, пох. (?), 20:37, 23/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– | |
такое впечатление, что они спросили совета как жыть - у чатгопоты.
(последний пункт еще мог бы иметь какой-то смысл, но все остальное - какой-то полный bullshit составленный по мотивам модных трендов без малейшей попытки понять причину и механизм последних взломов)
| | |
| 1.7, Аноним (-), 20:40, 23/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
FIDO2 хорош тем, что ключ не будет выдан, если домен отличается. TOTP от такого типа атак не защищает.
| | |
| |
| 2.20, Аноним (36), 21:59, 23/09/2025 [^] [^^] [^^^] [ответить]
| +4 +/– | |
и тут ваш fido2 девайс внезапно сдох и...... (да, я понимаю что у Вас лично их 5 шт запасных настроено, но у среднего обывателя он был ровно один.)
а если там есть рекавери вариант входа, для получения нового секрета для нового токена (а он есть), то "мы просто свели задачу к предыдущей".
| | |
| |
| 3.24, morphe (?), 22:14, 23/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
> и тут ваш fido2 девайс внезапно сдох и...... (да, я понимаю что
> у Вас лично их 5 шт запасных настроено, но у
> среднего обывателя он был ровно один.)
Большинство сайтов требуют регистрировать минимум 2 ключа, и что android, что macos, что windows из коробки имеют системную реализацию на базе tpm. В Linux тоже можешь поставить. Либо просто купить 2 железных ключа, они стоят мало, а большинство имеют у себя на борту opengpg, через который ты сможешь и письма подписывать, и по ssh авторизоваться куда угодно, и вообще что угодно делать.
Ну и не говоря о том что железные ключи практически бессмертные.
| | |
| |
| 4.57, Аноним (56), 23:59, 23/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
>Ну и не говоря о том что железные ключи практически бессмертные.
Да что тут ключи, вы ведь и сами до 150 лет дожить небось надеялись, а там и бессмертия достичь...
| | |
|
| 3.26, morphe (?), 22:18, 23/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> а если там есть рекавери вариант входа, для получения нового секрета для нового токена (а он есть), то "мы просто свели задачу к предыдущей".
Ну и обычно с fido2 у тебя либо скачивается код восстановления, либо только через саппорт
Не думаю что кто-то это иначе реализует.
| | |
| |
| 4.32, Аноним (36), 22:46, 23/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Да да, 2 недели назад дядю как раз отправляли фейковым письмом не восстановление 2ФА кодов... ну отправят на восстановление FIDO2... и получат код сами.
| | |
| |
| 5.34, morphe (?), 22:50, 23/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> ну отправят на восстановление FIDO2... и получат код сами.
Потому что человек привыкает к подобным действиям и выполняет их машинально, не думая, и это проблема всех подобных схем основанных на людях.
Код восстановления же никто на постоянке не использует (= у человека больше времени на подумать не делает ли он чот не то), а FIDO2 от подобного MITM защищён (= машинально применять можно).
| | |
|
|
|
|
| |
| 2.10, Аноним (11), 20:50, 23/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Тем что все его ставят аддоном в браузер и хранят рядом с паролем.
| | |
| 2.12, morphe (?), 20:52, 23/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Злоумышленники создают фейк сайты где запрешивают оба фактора. От такого totp не спасает
| | |
| |
| |
| 4.18, Секрет Полишинеля (?), 21:43, 23/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Правильно настроенный парольный менеджер. Он пароль не отдаст фейковому сайту и не покажет коллеге за спиной. И никакой 2FA не нужен. Только тссс!
| | |
| |
| 5.19, Аноним (36), 21:55, 23/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Но это на стороне клиента делается, а не на стороне сервера.. если клиент очень хочет подарить свой доступ третьим лицам, он это сделает несмотря на препоны..
| | |
| |
| 6.21, Аноним (36), 22:05, 23/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
ну и
>Переход на гранулированные токены, время жизни которых ограничено 7 днями.
>Классические токены будут объявлены устаревшими и доступ с их помощью будет
> по умолчанию отключён.
тут все это автоматические автоматизации по выкату версий через гит пуш, билт, тест, коммут в npm, идут лесом.. раз в 7 дней перевыпускать руками токен можно первые пару месяцев, потом это задолбает даже самых упёртых.
ну и таки если ты постоянно чтото разрабатываешь, то токен актуальный ты таки положишь, и тогда в приведённой несколько дней назад схеме ничего не поменяется, червю глубоко нас рать на то, временный он спёр токен или постоянный, что бы запушить "одно небольшое дополнение к безусловно хорошему пакету".
| | |
| |
| 7.25, morphe (?), 22:16, 23/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
> тут все это автоматические автоматизации по выкату версий через гит пуш, билт,
> тест, коммут в npm, идут лесом.. раз в 7 дней перевыпускать
> руками токен можно первые пару месяцев, потом это задолбает даже самых
> упёртых.
Для CI предлагается OIDC (последний пункт), без постоянных токенов.
| | |
| |
| 8.30, Аноним (36), 22:43, 23/09/2025 [^] [^^] [^^^] [ответить] | +/– | И как оно поможет не получить секрет в момент штатной сборки и, напомню, тут же... текст свёрнут, показать | | |
| |
| 9.33, morphe (?), 22:47, 23/09/2025 [^] [^^] [^^^] [ответить] | +/– | Он за пределы CI не выходит Атаки на CI конечно существуют, спасибо кривизне гит... текст свёрнут, показать | | |
|
|
|
|
| 5.37, morphe (?), 22:53, 23/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Он пароль не отдаст фейковому сайту и не покажет коллеге за спиной.
Сайты изменяются, и парольные менеджеры перестают определять формы входа порой. А на некоторых сайтах автозаполнение просто не работает.
Поэтому у людей всё равно есть привычка механически копировать и вставлять данные, и в итоге они не защищены.
| | |
|
| 4.41, morphe (?), 23:02, 23/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> А что из предложенного спасёт ?
Fido2. Нормальная криптография вместо паролей, и проверка кто на самом деле ключ запрашивает идёт в железке, его нельзя так просто перехватить.
| | |
|
|
|
| 1.23, Bob (??), 22:11, 23/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
Пора бы уже "галочки" подтверждённых адресантов и адресатов делать.
ООО Mozilla и условный "анонимный" Вася, аппрувнутый через GNU.ORG
p.s.: о Васе знает только ООО GNU.ORG (сразу вайпает данные, после проверки на валидность). А Мозилла верит GNU и держателю Васеного "идентификатора".
| | |
| |
| 2.31, Аноним (28), 22:45, 23/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Опять дети WoT изобретают. Ты бы ещё key signing party предложил провести.
| | |
| 2.51, Аноним (51), 23:36, 23/09/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Не, время эту лапшу на уши вешать давно прошло. Сейчас время "ультраправых" политиков: нам не будут лапшу науши вешать про "вот он ГНУ, но ничего никуда никому не сольёт", вместо этого будут через колено ломать: заходить будете через госуслуги, а кто не хочет через госуслуги заходить - тот вообще никак заходить не будет.
| | |
|
| 1.35, Аноним (35), 22:51, 23/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Шиза крепчала. Не нужно. Не взлетит. Красная полоска тоже не нужна. Хватит. Достаточно.
| | |
|
