forum.opennet.ru

"Внедрение двухфакторной аутентификации в PyPI привело к инциденту с удалением популярного пакета"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Есть идеи по улучшению форума и сайта ? Пишите.

. "Внедрение двухфакторной аутентификации в PyPI привело к инци..."	+/–
Сообщение от Аноним (71), 10-Июл-22, 19:22
> разработчик вынужден покупать и использовать токен Токен генерируется в любом свободном менеджере паролей. Например, KeePassXC. И дальше работает как второй пароль, который известен только пользователю и сервису. Но не известен почтовому провайдеру и мобильному оператору. И если злонамеренный сотрудник последнего захочет воспользоваться учеткой клиента/абонента на стороннем сервисе (всеми учетками на популярных сервисах, всех пользователей, автоматизированно и массово), и попытается инициировать сброс пароля, то столкнется с необходимостью как-то получить этот второй фактор. Лучше, чем ничего. Хотя ещё лучше было бы для аутентификации пользователей на сервисах вместо идиотской почты-пароля из каменного века использовать ассиметричное шифрование. Без почты, без пароля, просто пара ключей. Но это вотчина веб-макак, тут всё так - через опу.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Внедрение двухфакторной аутентификации в PyPI привело к инциденту с удалением популярного пакета, opennews, 10-Июл-22, 09:13 [смотреть все]

вот уж чёрный день был для макак, помнят до сих пор, Аноним, 10-Июл-22, 09:13 (1)
Спорное решение PyPi Это опасный прецедент, касающийся перекладывания ответстве, Аноним, 10-Июл-22, 09:34 (2) //
- Ответственность переложили, права забрали Всё честно , Аноним, 10-Июл-22, 10:41 (14)
- и microsoft тоже , anonymous, 10-Июл-22, 16:31 (60)
- Токен генерируется в любом свободном менеджере паролей Например, KeePassXC И д , Аноним, 10-Июл-22, 19:22 (71) //
  - Сделали огромную дыру и латают другой дырой , Аноним, 10-Июл-22, 19:55 (73) //
    - Ну ты-то пароли никогда не забывал Только на бумажечках писал и на монитор клеи, Аноним, 11-Июл-22, 01:00 (88)
      - Нет Отправлял по электронной почте России открытым текстом, как требовал безопа, Аноним, 11-Июл-22, 10:23 (101)
      - А что, разве хакер сможет его так спереть Его даже в вебкам не видно , Аноним, 13-Июл-22, 03:36 (138)
Да где вы вычитали-то, что обязательно использовать аппаратный токен Просто 2FA, Аноним, 10-Июл-22, 09:42 (3) //
- Из текста новости создалось впечатление, что аппаратные токена обязательны для к, Аноним, 10-Июл-22, 09:48 (5) //
  - Смысл новости в том, что автор пакета неправильно понял, чего и зачем от него хо, Аноним, 10-Июл-22, 09:53 (7) //
    - Автор пакета всё понял правильно Привыкайте, халява заканчивается , n00by, 10-Июл-22, 12:51 (34)
  - А я не хочу какие-то дополнительные левые приложения использовать И тем более п, BrainFucker, 10-Июл-22, 10:24 (11)
- Где вы в новости вычитали про обязательное использование токена Про обязательн, Аноним, 10-Июл-22, 09:55 (8) //
  - Очевидно, в момент написания первых комментов из этого треда текст новости был е, Аноним, 10-Июл-22, 10:55 (16) //
    - В отредактированном варианте появилось лишь примечание с разжевыванием в скобка, Аноним, 10-Июл-22, 11:27 (27)
начнут с внедрения токенов разработчиков ради безопасности потом введут токены , Аноним, 10-Июл-22, 09:43 (4) //
- Не накручивайте, никто не требует никаких аппаратных токенов, это лишь один из с, Аноним, 10-Июл-22, 09:49 (6) //
  - Внедрить бакдур Вы чип в токене сами проверяли , ыы, 10-Июл-22, 10:18 (9) //
    - https www opennet ru opennews art shtml num 51829, Аноним, 10-Июл-22, 15:31 (53)
      - Только сам гугл не заслуживает доверия, Аноним, 11-Июл-22, 10:29 (102)
  - Про Секурбут тоже говорили, что для защиты, а теперь по умолчанию сторонние ОС н, Аноним, 10-Июл-22, 10:39 (13) //
    - А хомяку пофигу, главное жрать макдак, и смотреть порно по этой железке, все Ем, microsoft, 10-Июл-22, 20:38 (78)
  - Ну это пока , Admino, 11-Июл-22, 10:21 (100)
- Несколько лет назад я читал что длинна надёжных паролей превысила значение котор, torvn77, 10-Июл-22, 11:03 (19) //
  - Значит, украдут и многосекурный пароль ключ , Аноним, 10-Июл-22, 11:13 (22)
  - кто заставляет тебя запоминать каждый пароль локальный менеджер паролей со случа, penetrator, 10-Июл-22, 21:00 (79)
  - Вирусню разогнать не пробовал , Аноним, 11-Июл-22, 01:02 (89) //
    - Ты хочешь сказать что мой линукс поражён вирусами , torvn77, 11-Июл-22, 20:35 (120)
      - Не обязательно линукс Может, девушка, бабушка, кот , Аноним, 13-Июл-22, 14:44 (144)
  - Мне кажется вы не в курсе, что такое экспонента Экспонента - это когда для того, anonymous, 13-Июл-22, 00:23 (137) //
    - Смотри, твою идею украли passwordcard org D, Аноним, 13-Июл-22, 08:39 (141)
    - Большинство людей будут тспытывать проблемы даже с восьмисимвольным паролем А , torvn77, 13-Июл-22, 12:07 (142)
- А потом внедрять токен пониже спины, Аноним, 10-Июл-22, 14:42 (46)
- ну в РФ вообще доступ в интернеты по паспорту и ничего, живут как-то люди , Михрютка, 10-Июл-22, 15:24 (51) //
  - А в каких странах не по паспорту , Аноним, 10-Июл-22, 17:27 (65) //
    - в великобритании, говорят купил препейд сим и в путь в чехии то ж самое на ук, Михрютка, 10-Июл-22, 18:39 (68)
      - Хотелось бы услышать истории узбека, как они покупают симки не только в РФ , Аноним, 10-Июл-22, 20:02 (74)
        
        история простаяузбек прилетает в борисполь W W Wпоправочка, через азербиджян тур, Михрютка, 10-Июл-22, 20:16 (76)
        
        Я ничего не понял узбеки-туристы покупают симки без паспорта вне зависимости от, Аноним, 10-Июл-22, 20:29 (77)
        Борисполь уцелел , Аноним, 10-Июл-22, 21:12 (81)
        лол узбек обиделся, что его попросили предъявить документ, и настучал mc mc - за, Михрютка, 12-Июл-22, 21:34 (135)
      - Муж ездил в Лондон 3 года назад, но сим карту для интернета зарегистрировать не , Аноним, 11-Июл-22, 19:26 (115)
        
        в великобритании, _говорят_ купил препейд сим и в путь я видимо, неясно выраз, Михрютка, 11-Июл-22, 19:49 (116)
БезопасТность Удвоенная , Аноним, 10-Июл-22, 10:24 (10)
А Гуголь, конечно же, совершенно случайно проходил мимо со своими титанами и п, Геймер, 10-Июл-22, 10:25 (12)
Как легко и просто взять на карандаш всех ключевых разработчиков библиотек для п, YetAnotherOnanym, 10-Июл-22, 10:52 (15) //
- Чтобы потом сопровождающих не искать, как с иксами D, Попандопала, 10-Июл-22, 11:01 (17) //
  - С иксами - это как Как искать с собаками - знаю, а с иксами - это что-то новень, YetAnotherOnanym, 10-Июл-22, 11:45 (28)
  - Так себе шутка в наше неспокойное время Теперь, что бы внедрить зловредный код,, n00by, 10-Июл-22, 13:46 (41) //
    - При этом зловредный код будет подписан всеми десятью валидными траст-слоями от р, Dzen Python, 10-Июл-22, 14:36 (45)
      - СПО идеалогия это просто маркетинг На самом деле никто не смотрит исходники про, Аноним, 10-Июл-22, 14:47 (47)
        
        Вообще-то я в исходники смотрю периодически Правда, конечно, не д рьмища на пит, Аноним, 11-Июл-22, 06:23 (92)
        СПО идеология подразумевает, что тех кто пишет документацию в разы меньше тех кт, Аноним, 11-Июл-22, 16:58 (109)
        
        пользователь - хакер, может свободно менять программу Все остальное - это, можно, Аноним, 11-Июл-22, 21:05 (122)
      - Ну да, виноват окажется разработчик При этом в лучшем случае его привлекут к от, n00by, 11-Июл-22, 07:12 (96)
    - Раздача двух токенов про запас ясно говорит об уровне уникальности Монополиза, Аноним, 10-Июл-22, 18:39 (67)
      - Токены не уникальные, ключ загружаешь на них сам , Аноним, 10-Июл-22, 23:52 (85)
        
        Какой смысл таких токенов Тогда зачем нужны токены, если ключ есть и без них Чт, Аноним, 11-Июл-22, 09:57 (99)
        
        а какой смысл уникальных токенов, в которых ключ не меняется и зашит с завода ни, Аноним, 11-Июл-22, 14:55 (107)
        
        В том, что удовлетворяют фактору владеть уникальной вещью Для таких случаев к, Аноним, 11-Июл-22, 18:50 (114)
        
        не заводи второй токен Токены не уникальные, а вот положить в разные токены уни, Аноним, 11-Июл-22, 20:27 (118)
        
        Ясно, эксперт , который не знает для чего нужен не псевдо рандом, Аноним, 11-Июл-22, 20:52 (121)
Опенсорс - это свобода, ИмяХ, 10-Июл-22, 11:02 (18) //
- Свобода А вот централизованная инфраструктура пакетов - чистое зло , Аноним, 10-Июл-22, 11:11 (21)
Ишь ты, хотел он для удовольствия код писать Должен обслуживать корпорации, нае, Аноним, 10-Июл-22, 11:10 (20)
Все кто не доволен могут сделать и предложить плугин для двойной аутентификации , torvn77, 10-Июл-22, 11:17 (23) //
- Полагаю, все кто не доволен отказом автора сопровождать пакет, могут записать на, n00by, 10-Июл-22, 12:58 (35)
- А канкан на камеру им там танцевать не надо для доказательства что не верблюд , Аноним, 11-Июл-22, 06:24 (93)
То есть в перспективе к написанию бесплатного опенсорца будут допускаться только, Аноним, 10-Июл-22, 11:49 (29) //
- Ну так и есть Опенсорс должен приносить выгоду белым людям, увеличивая отрыв от, Аноним, 10-Июл-22, 15:40 (55) //
  - Как житель страны первого мира, одобряю такой план Особенно мне про мясо для бо, Аноним, 12-Июл-22, 17:10 (133) //
    - Ты уже перечислил И будешь перечислять, пока коленом под зад не дадут за то что, Аноним, 12-Июл-22, 22:58 (136)
      - А я не русский, спасибо родителям , Аноним, 13-Июл-22, 18:49 (145)
Ребята, ну это прямо-таки комедия Настроение с утра подняли по самое некуда , freehck, 10-Июл-22, 12:01 (31) //
- Увлекательность этих событий соответствует увлекательности событий по внедрению , Аноним, 10-Июл-22, 12:07 (32)
The next station is crates io, Без аргументов, 10-Июл-22, 12:48 (33) //
- Смузипроблемы не волнуют настоящих программистов на ANSI C , Аноним, 10-Июл-22, 14:49 (49)
- Там хуже уже не будет - логин возможен только через гитхаб , НяшМяш, 10-Июл-22, 17:17 (63)
Фактически теперь и адреса разработчиков после высылки ключей узнают деанонимиз, Аноним, 10-Июл-22, 13:26 (37) //
- сколько там пожизненных светит мелкософту , Sw00p aka Jerom, 10-Июл-22, 13:31 (39) //
  - Видимо много, иначе, если дадаут электрическиё стул, то они и в аду своей страте, Аноним, 10-Июл-22, 14:05 (43) //
    - Не надо оскорблять ад Там грешников жарят за дело и по чесноку Все черти милли, Брат Анон, 11-Июл-22, 08:07 (97)
- Параноики такие параноики Адреса разработчиков кому надо вычислили по IP А аппа, Аноним, 10-Июл-22, 19:36 (72) //
  - Прикинь, чувак, я сам себе почтовый провайдер Так было можно, ага , myhand, 11-Июл-22, 06:18 (91) //
    - Это следующий этап Скоро ключи DKIM будут только от гугла и только на их токена, 1, 11-Июл-22, 09:43 (98)
      - Отставить панические настроения Основная проблема в том, что почтой ныне не мо, myhand, 13-Июл-22, 06:18 (140)
    - Что, еще нужно свой почтовый сервер поднимать, чтобы leftpad сопровождать , Аноним, 11-Июл-22, 11:42 (104)
      - - это что, чтоб потрахаться, еще и член должен стоять - ну, твой член может и не, Михрютка, 11-Июл-22, 20:22 (117)
        
        Неправильная у тебя ана та самая логия С потенцией как раз проблем нету, так как, Аноним, 11-Июл-22, 21:24 (123)
      - Оно конечно Может еще без папы с мамой ботинки зашнуровывать , myhand, 13-Июл-22, 14:38 (143)
завтра еще будут судить за внедрение бекдора в свой код , Sw00p aka Jerom, 10-Июл-22, 13:27 (38)
В оригинале написано Интересная мысль, mikhailnov, 10-Июл-22, 13:33 (40)
Золотые слова Жаль, что 99 обычного пользовательского мусора это в принципе не , Dzen Python, 10-Июл-22, 14:34 (44) //
- Любишь кататься - люби и саночки возить Ишь ты развлекаться он захотел , Аноним, 10-Июл-22, 14:48 (48) //
  - Любишь кататься - люби и катайся Армянское радио , Аноним, 10-Июл-22, 15:41 (56)
- А как же большая сила больша ответственность А ну да это другое , Аноним, 10-Июл-22, 16:11 (58) //
  - Попробуй более сильного хотя бы отвечать, хрен с ним с соответствием , Аноним, 10-Июл-22, 20:08 (75) //
    - попробуй отвечать , Аноним, 14-Июл-22, 15:22 (147)
лiл на HN комментаторы негодуютLOLпри этом кто-то ехидно заметил, что в эту пипу, Михрютка, 10-Июл-22, 15:20 (50) //
- С какой целью ты постишь ссылки на экстремистские сайты , Аноним, 10-Июл-22, 15:39 (54) //
  - С какой целью ты называешь нормальные сайт экстремистскими , Аноним, 10-Июл-22, 16:17 (59) //
    - товарищ майор, будете читать тред - этих двух анонимов разъясните в первую очере, Михрютка, 10-Июл-22, 18:57 (69)
      - Тем не менее - разлагаться во враждебном твитере нынче попахивает госизменой Та, тов.майор, 11-Июл-22, 17:01 (110)
        
        лол я бы с удовольствием так поразлагался, как тот нигра по ссылке жалко здоров, Михрютка, 11-Июл-22, 17:45 (111)
        
        А сожрать ту жыжу ему здоровье позволяет Хорошо хоть родина эта так просто не , тов.майор, 11-Июл-22, 18:05 (112)
- Функции JavaScript недоступны В вашем браузере отключены функции JavaScript Вкл, другое Имя, 14-Июл-22, 23:26 (151)
Сейчас сочиняю плагин для git, для шифровки комментариев, readme etc, чтобы при, AKTEON, 10-Июл-22, 15:27 (52) //
- Просто на своем сервере bare репозиторий сделать не судьба Зачем продолжать жрат, Аноним, 10-Июл-22, 15:45 (57) //
  - Мсье немножечко садист ,хе-хе, AKTEON, 10-Июл-22, 16:40 (61) //
    - В двенадцать это нормально , Аноним, 12-Июл-22, 17:15 (134)
- https github com AGWA git-crypt же, ничего сочинять не надо, Nikon_NLG, 11-Июл-22, 12:34 (105)
Вот платформа плохая, а страдать должны разработчики Странно, что всего один ре, Аноним, 10-Июл-22, 17:29 (66)
Ага, светлое корпоративное будущее с чипами в жо ой, простите, это в следующе, Аноним, 10-Июл-22, 21:17 (82)
Автор молодец Нельзя вот так Py-дорам сдаваться VIVA LA RESISTANCE , InuYasha, 10-Июл-22, 22:09 (83)
К сожалению, токены могут быть отправлены только в Австрию, Бельгию, Канаду, Фр, Kuromi, 11-Июл-22, 00:35 (87) //
- Дело в том, что есть запрет на экспорт секретных технологий Так что, можно пр, Аноним, 11-Июл-22, 10:51 (103) //
  - А вы в курсе что в РФ официально продаются WebAuthn токены от того же Feitian , Kuromi, 12-Июл-22, 00:25 (127) //
    - Нет, Аноним, 14-Июл-22, 15:22 (148)
- да, в нецивилизованные страны криптотехнологии отправлять несколько не принято , пох., 11-Июл-22, 18:20 (113) //
  - Почитайте список сертифицированных ФСБ железок С удивлением обнаружите там WebA, Kuromi, 12-Июл-22, 00:27 (128)
- Это действительно странно, что там есть цивилизованные Австрия и Германия, но не, Аноним, 12-Июл-22, 09:31 (132)
После фразы не пожелал переходить на двухфакторную аутентификацию и для искл, Олексий, 11-Июл-22, 13:54 (106) //
- Ребят, все кто минусуют, вы тоже можете собираться Если человек не думает про, Олексий, 12-Июл-22, 00:20 (126) //
  - Он то как раз и думает, в отличие от некоторых местных экспертов по buzzwords П, n00by, 12-Июл-22, 08:30 (131)
- Ставь двухфакторную аутентификацию на свои трусы, иначе вон из професии , Аноним, 15-Июл-22, 16:06 (154) //
  - Захочет барышня сделать Олексию приятно - а ну куда полезла, парольчик давай, о, Аноним, 15-Июл-22, 16:14 (155)
Гмм,а есть ли опенсорсные аппаратные ключи Вроде бы в линейке STM32F есть крипт, АнонимусШифропанк, 11-Июл-22, 15:18 (108) //
- Крипто можно и в софте сделать А в чем прикол слепо доверять какому-то блоку в , Аноним, 11-Июл-22, 20:30 (119) //
  - у них невскрываемость лучше типа полез с паяльником - оно внутри себя всё стерл, Аноним, 12-Июл-22, 02:20 (129) //
    - В смысле, можно это самое в STM без крипто блока, хоть и медленнее, конечно , Аноним, 13-Июл-22, 03:39 (139)
- GNUK, Аноним, 12-Июл-22, 08:28 (130)
Инфантилизм 8212 самая большая нетехническая проблема в IT Особенно сильно о, Аноним, 13-Июл-22, 18:55 (146) //
- Я смотрю ты руководитель, Аноним, 14-Июл-22, 15:23 (149) //
  - Было дело, да Но лет двенадцать как завязал с этим В конце концов, если бы я х, Аноним, 14-Июл-22, 17:23 (150) //
    - И хорошо, не твоё это Ибо люди - не роботы, Аноним, 15-Июл-22, 16:04 (153)
компания Google выступила спонсором Какая неожиданность , КО, 15-Июл-22, 07:54 (152)
8212 Ты пацак, ты пацак и он пацак А я чатланин и они чатлане Так что ты ца, Легивон, 17-Июл-22, 11:23 (156)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру