The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"GitHub вводит верификацию устройств, при неактивной двухфакт..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от opennews (??), 02-Июл-19, 13:33 
Сервис GitHub сообщил (https://github.blog/changelog/2019-07-01-verified-devices/) об изменении организации входа пользователей, у которых в настройках не включена двухфакторная аутентификация (https://help.github.com/en/articles/about-two-factor-authent...). Для таких пользователей вводится дополнительная верификация, в соответствии с которой система запоминает устройства, с которых осуществляется вход и допускает работу только с них.


Если устройство ранее не было верифицировано, на email пользователя отправляется код подтверждения входа, который нужно ввести при аутентификации. Если вход производится с уже ранее верифицированного устройства достаточно заполнить свои учётные данные.


URL: https://github.blog/changelog/2019-07-01-verified-devices/
Новость: https://www.opennet.ru/opennews/art.shtml?num=51008

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +19 +/
Сообщение от Аноним (1), 02-Июл-19, 13:33 
что-то я не пойму, их точно microsoft купила?

Потому что все больше похоже что их купил гугль. (или это уже одно и то же?)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  –4 +/
Сообщение от Ключевский (?), 02-Июл-19, 13:42 
При чем тут Google или Microsoft? В качестве второго фактора используется TOTP, стандарт описанный в RFC. Ты можешь взять FreeOTP от RedHat или написать свое приложение для этих целей. Коды генерируются в оффлайне(у любого из приложений) и никто их кроме тебя не получает. Аналогично работает второй фактор хоть у Гугла, хоть у NameCheap, хоть у черта лысого.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

24. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  –2 +/
Сообщение от пох. (?), 02-Июл-19, 14:30 
For GitHub, the second form of authentication is a code that's generated by an application on your mobile device or sent as a text message (SMS).

так что кончай врать

у гугла, говоришь, аналогично? Ну, собственно, да - телефон он зачем-то хочет.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

41. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +6 +/
Сообщение от KonstantinB (ok), 02-Июл-19, 15:09 
Там самый обычный TOTP.

Телефон на самом деле не нужен. Распознаешь QR-код чем хочешь, берешь http://www.nongnu.org/oath-toolkit/ и делаешь так:

oathtool --totp -b YOUR_SECRET_FROM_QR

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

46. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от AnonPlus (?), 02-Июл-19, 15:18 
Но AndOTP удобнее всего (под андроид).
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

72. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +1 +/
Сообщение от Kuromi (ok), 02-Июл-19, 17:26 
Есть еще под андроид FreeOTP (или его форк FreeOTP+), эти вообще опенсорц.
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

117. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от Аноним (117), 03-Июл-19, 02:37 
AndOTP тоже открытый
Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

54. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  –5 +/
Сообщение от пох. (?), 02-Июл-19, 15:57 
> Там самый обычный TOTP.

там его предлагают лишь как опцию - а 90% этой "двухфакторной" - по факту окажется sms.
В частности и потому что для этого не нужно распознавать какие-то дурацкие коды.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

59. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +3 +/
Сообщение от Аноним (59), 02-Июл-19, 16:21 
QR не дурацкие, а намного более фундаментальная и перспективная вещь, чем кажется.

В первую очередь потому, что это статический визуальный макроскопический источник инфы, а не какие-то невидимые NFC. Но да это оффтоп. SMS конечно не нужны

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

104. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  –2 +/
Сообщение от пох. (?), 02-Июл-19, 22:27 
> QR не дурацкие, а намного более фундаментальная и перспективная вещь, чем кажется.

ага - весь их смысл в том, что ты их не можешь прочитать, а вот твой карманный зонд - может.

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

105. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от имя (?), 02-Июл-19, 22:38 
> ага - весь их смысл в том, что ты их не можешь
> прочитать, а вот твой карманный зонд - может.

Это уже прогресс по сравнению с длинной base64-бнопней, которую что человек, что зонд читают одинаково плохо.

Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

136. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от пох. (?), 03-Июл-19, 20:16 
>> ага - весь их смысл в том, что ты их не можешь
>> прочитать, а вот твой карманный зонд - может.
> Это уже прогресс по сравнению с длинной base64-бнопней, которую что человек, что
> зонд читают одинаково плохо.

ну был же вариант, использовавшийся в one-true-otp - s/key (к счастью, до него улучшайки еще не добрались, но чую, недолго уже он проработает даже там где остался).
Но нет, выбран такой, чтоб без мабилы вообще никак.


Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору

143. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от aim (ok), 04-Июл-19, 18:32 
просто mobile device это common thing. по хорошему если ты отвественный парень ты заводишь совсем ОТДЕЛЬНЫЙ девайс для того чтобы такие пароли генерировать.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

67. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от Kuromi (ok), 02-Июл-19, 17:12 
На ГитХабе есть, кстати, поддержка U2F (залочена под Хром, правда). Обещают что выкатят WebAuthn, но когда...
В общем, кто не хочет возиться с кодами - варианты есть.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

85. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +2 +/
Сообщение от Keklolaemail (?), 02-Июл-19, 18:36 
Лиса тоже u2f умеет
Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

107. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от Kuromi (ok), 02-Июл-19, 23:20 
> Лиса тоже u2f умеет

Лиса - умеет, но многие сайты, в тоv числе и Гитхаб  просто не дает такой опции если у тебя не Хром. Сейчас Лиса вообще по умолчанию включила U2F поддержку назад, хотя расширять её они не собираются.

Вот что выдает в Лисе

"This browser doesn’t support the FIDO U2F standard yet. We recommend updating to the latest Google Chrome to start using security key devices."

Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

33. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от Аноним (33), 02-Июл-19, 14:41 
Майкрософт, майкрософт. Они "телеметрию", в том числе на своих сайтах (вы не сможете прочитать KB-страницы без JS, а скачать Студию - и подавно) и в своей рекламе на чужих сайтах (через AdSense, пруфы недавно проскакивали не помню где, вроде на Хабре) больше Гугла любят.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +18 +/
Сообщение от Аноним (2), 02-Июл-19, 13:39 
Двухфакторная недостаточно безопасна. Предлагаю 99-факторную авторизацию: пароль + SMS + TOTP + емейл + бумажное письмо + сигнальная ракета + включение телевизора в определенное время на определенном канале + посыл радиосигнала по определенной одноразовой частоте + физическая явка по определенным GPS-координатам + ...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +5 +/
Сообщение от Sluggard (ok), 02-Июл-19, 13:43 
...4 фотографии, дактилоскопия, сканирование сетчатки, анализ ДНК.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

16. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +7 +/
Сообщение от Аноним (16), 02-Июл-19, 14:04 
Глубокий внутренний отпечаток прямой кишки, очень надёжный с точки зрения безопасности метод, никто не сможет сфотографировать и попробовать обмануть систему аутентификации, даже 3D-модель не сделают, без вашего ведома, для идентификации предусмотрен специальный ректальный-зонд-сканер-манипулятор (благо на мысль 11ая серия 5го сезона популярного, одно время, в молодёжной среде, анимационного сериала South Park), новое поколение, конкуренты пусть плетутся позади, со своими FaceID!
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

40. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +1 +/
Сообщение от Grooshaemail (?), 02-Июл-19, 15:09 
для идентификации предусмотрен специальный
> ректальный-зонд-сканер-манипулятор (благо на мысль 11ая серия 5го сезона популярного,
> одно время, в молодёжной среде, анимационного сериала South Park), новое поколение,
> конкуренты пусть плетутся позади, со своими FaceID!

Так и в самой первой серии такое было. Cartman gets an anal probe.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

146. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от Qwerty (??), 05-Авг-19, 13:18 
>но время, в молодёжной среде, анимационного сериала South Park

Вы так и не вышли из этой среды, очевидно. Ничего, сентябрь близко.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

68. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  –1 +/
Сообщение от Kuromi (ok), 02-Июл-19, 17:13 
Это называется WebAuthn с авторизацией по биометрии. Как бы стандарт уже.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

79. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +2 +/
Сообщение от Аноним (79), 02-Июл-19, 18:01 
WebAuthn - не о биометрии. По биометрии идёт аутентификация юзера устройству. А WebAuthn вообще эту тему не затрагивает кроме как "должна быть хоть просто кнопкой".
Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

108. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +1 +/
Сообщение от Kuromi (ok), 02-Июл-19, 23:27 
> WebAuthn - не о биометрии. По биометрии идёт аутентификация юзера устройству. А
> WebAuthn вообще эту тему не затрагивает кроме как "должна быть хоть
> просто кнопкой".

Эээ, и да и нет. WebAuthn как раз таки прописывает в том числе авторизацию аутентификатора, в этом его отлчичие от U2F. Это в U2F достаточно кнопки, а WA в целом предпологает что, например, USB кому попало кнопку нажимать не даст. Тоже самое в например в реализации на базе TPM модулей - ключ хранится в TPM, но авторизация на доступ к нему в том числе по биометрии.

Напрямую, конечно, Webauthn биометрию НЕ описывает и не будет никакого "логин на сайт по отпечатку пальца", но то КАК был активирован аутентификатор - кнопкой, пином или биометрией сайтам передается.

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

123. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от Аноним (79), 03-Июл-19, 11:25 
Спасибо за пояснение. Это полная жопа.
Ответить | Правка | ^ к родителю #108 | Наверх | Cообщить модератору

3. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  –1 +/
Сообщение от Х (?), 02-Июл-19, 13:41 
А как устройство отличать?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +2 +/
Сообщение от Sluggard (ok), 02-Июл-19, 13:44 
https://ru.wikipedia.org/wiki/Цифровой_отпечаток_устройства
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

43. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +1 +/
Сообщение от Аноним (43), 02-Июл-19, 15:12 
кукой
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

86. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от Аноним (86), 02-Июл-19, 18:53 
>А как устройство отличать?

А это они у дурова спросят, его телега же мало того, что просит спалить номер телефона, так ещё и к устройству привязывается, "секурность" во все поля, защита тащ. майора от глупых попыток хомячка быть самым секурным и приватным, пусть хомячок думает, что его поползновения никому не известны, возможно некрософты вдохновились, решили подхватить тренд по "суперсекурности"?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +8 +/
Сообщение от Аноним (5), 02-Июл-19, 13:42 
Просто замечательно, кто избегал двухфакторной верификации по разным причинам, тому навязали ещё одну вариацию заднепроходного метода аутентификации
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +1 +/
Сообщение от Ключевский (?), 02-Июл-19, 13:44 
А что за причины кроме желания быть взломанным при утечке пароля могут быть для отказа от 2FA с использованием TOTP?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

15. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +2 +/
Сообщение от Ordu (ok), 02-Июл-19, 13:55 
Недоверие github'у. Ему не нужен мой номер телефона. По-хорошему, ему и почта не нужна моя. И адрес проживания. И данные паспорта. Это не его дело.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

18. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +6 +/
Сообщение от Ключевский (?), 02-Июл-19, 14:09 
А он и не просит твой номер телефона. И паспорт не просит. И адрес проживания.
Чудеса!
Ты не хочешь ему их давать и он их не просит

https://tools.ietf.org/html/rfc6238
Читай
https://freeotp.github.io/
Проверяй исходники и используй

TOTP работает оффлайн, у меня вот специально стоит на мобиле на которой никогда не было инета и все прекрасно пашет.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

48. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  –11 +/
Сообщение от Ordu (ok), 02-Июл-19, 15:22 
> А он и не просит твой номер телефона. И паспорт не просит.
> И адрес проживания.
> Чудеса!
> Ты не хочешь ему их давать и он их не просит
> https://tools.ietf.org/html/rfc6238
> Читай
> https://freeotp.github.io/
> Проверяй исходники и используй
> TOTP работает оффлайн, у меня вот специально стоит на мобиле на которой
> никогда не было инета и все прекрасно пашет.

Ах, вот оно как. Но мне лень читать и вникать, есть где-нибудь краткое и понятное объяснение идеи? Если нет, то читать и вникать бессмысленно, потому что всё равно никто не будет это использовать серьёзно, потому что все как и я не будут читать rfc, и как и я не будут доверять этому TOTP, а значит всячески уклоняться от его использования. Технари не понимают этой социальной динамики, и пока они не поймут все их хорошие идеи так и продолжат гнить в виде rfc.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

71. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +2 +/
Сообщение от Mail (?), 02-Июл-19, 17:22 
>> Но мне лень читать и вникать...

poor schoolboy!

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

75. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  –3 +/
Сообщение от Ordu (ok), 02-Июл-19, 17:34 
>>> Но мне лень читать и вникать...
> poor schoolboy!

Да-да, я очень страдаю. Но тебе ведь тоже лень: ты ведь не может описать в двух словах идею, потому что тоже не читал. Так что я не только страдаю, но ещё и тебе сочувствую. Камрад по несчастью.

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

87. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  –1 +/
Сообщение от Капитан Очевидность (?), 02-Июл-19, 18:58 
Я читал. Идея нетривиальна, поэтому в «двух словах» её не описать — нужно RFC пересказывать. А чем читать плохой пересказ RFC, лучше оригинал прочитать, там всего 7 страниц полезной информации.
Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

90. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  –3 +/
Сообщение от Ordu (ok), 02-Июл-19, 19:15 
> Я читал. Идея нетривиальна, поэтому в «двух словах» её не описать — нужно
> RFC пересказывать. А чем читать плохой пересказ RFC, лучше оригинал прочитать,
> там всего 7 страниц полезной информации.

Совершенно бесполезно. Нетривиальную идею на семь страниц никто кроме нердов читать не будет, а значит никто кроме нердов в неё не поверит, а значит идея никому не нужна.

Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

91. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +2 +/
Сообщение от Аноним (91), 02-Июл-19, 19:59 
Выключай компьютер.
Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

98. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  –2 +/
Сообщение от Ordu (ok), 02-Июл-19, 20:20 
> Выключай компьютер.

Тебе надо, ты и выключай.

Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

101. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от Аноним (91), 02-Июл-19, 21:27 
Так это ты выступаешь против нетривиальных идей и считаешь что они никому не нужны, вычислительное устройство это не тривиальная идея, вот и выключай, не мучайся.
Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

106. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  –1 +/
Сообщение от Ordu (ok), 02-Июл-19, 23:13 
> Так это ты выступаешь против нетривиальных идей и считаешь что они никому
> не нужны, вычислительное устройство это не тривиальная идея, вот и выключай,
> не мучайся.

Так это ты используешь такой приём как обобщение совершенно не понимая границ его применимости. Вот и выключай теперь компьютер сам.

Ответить | Правка | ^ к родителю #101 | Наверх | Cообщить модератору

111. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от Аноним (111), 03-Июл-19, 00:08 
> Нетривиальную идею на семь страниц никто кроме нердов читать не будет, а значит никто кроме нердов в неё не поверит, а значит идея никому не нужна.

И где тут границы? Так что выключай ты.

Ответить | Правка | ^ к родителю #106 | Наверх | Cообщить модератору

114. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от Ordu (ok), 03-Июл-19, 01:37 
> И где тут границы?

Ты должен их увидеть сам. Я могу предложить тебе алгоритм действий.

1. Прочитай все комменты к этой новости. Увидь действие того, о чём я говорю. Костяб пытается всем доказать, что TOTP такая крутая штука, но чёт у него не выходит никак. Посмотри на это, пойми о чём я говорю.

2. Пофантазируй, примени этот общий принцип ко всяким разным случаям. Ты увидишь, что иногда он работает, а иногда нет. Если ты переберёшь достаточное количество случаев, то ты увидишь границу между "здесь работает" и "тут не работает".

3. ...

4. PROFIT

Ответить | Правка | ^ к родителю #111 | Наверх | Cообщить модератору

140. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от Урри (?), 04-Июл-19, 12:17 
Если вы не можете объяснить ребенку в двух словах суть явления - значит вы сами его не понимаете.

Старинная научная мудрость.

Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

19. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  –2 +/
Сообщение от Ключевский (?), 02-Июл-19, 14:10 
> Недоверие github'у. Ему не нужен мой номер телефона. По-хорошему, ему и почта
> не нужна моя. И адрес проживания. И данные паспорта. Это не
> его дело.

И, да, так как они — коммерческая организация, то для биллинга им твой адрес и твои данные нужны. Но пока ты пользуешься бесплатной частью с тебе никто ничего не просит и даже не намекает(а на платную у тебя все равно денег нет)

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

47. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +3 +/
Сообщение от Ordu (ok), 02-Июл-19, 15:19 
> Но пока ты пользуешься бесплатной
> частью с тебе никто ничего не просит и даже не намекает(а
> на платную у тебя все равно денег нет)

Если мне понадобиться платная, то я точно не буду пользоваться github. Если для меня является рациональным платить за хостинг сорцов, то ещё более рационально хостить их самостоятельно.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

64. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от пох. (?), 02-Июл-19, 17:03 
"хостинг сорцов" и сосальная сеточка для нового поколения разработчиков, не умеющих ни в мэйллисты ни в irc - это сильно разные вещи.

Хостить второе самостоятельно (защищая от спама, досов и обеспечивая надежность доступа) - работа, для программиста несколько не основная, и вряд ли твоей квалификации хватит на собственный гитшлак.

А кое-как поставить gogs (или даже gitlab/ce, хотя там уже интересней) ты, конечно, сможешь.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

69. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  –1 +/
Сообщение от Ordu (ok), 02-Июл-19, 17:13 
Ой, иди рекламируй свою квалификацию где-нибудь в другом месте. Тебя я точно нанимать на эту работу не буду. Нахрен ты кому сдался такой.
Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

23. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +4 +/
Сообщение от Аноним (23), 02-Июл-19, 14:30 
какие же гении в этом треде.
Объясняю популярно.
Отсканировать QR-код и потом получать одноразовые пароли можно где угодно, от яндекс.ключа до бесплатной и опенсорсной FreeOTP.
Если вообще не хочешь использовать смартфон для этой цели - выбери пароль вместо QR-кода и введи его например в keepassxc.

Если не хочешь хранить пароли даже в своем компе, заведи себе юбикей и используй U2F

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

27. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +1 +/
Сообщение от товарищ майор (?), 02-Июл-19, 14:34 
> заведи себе юбикей

я вот тебе заведу неразрешенное министерством любви средство шифрования!

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

29. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +2 +/
Сообщение от Andrey Mitrofanov_N0 (??), 02-Июл-19, 14:38 
>>юбикей
>средство шифрования!

Выдыхай, майор, выдыхай.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

38. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +5 +/
Сообщение от Crazy Alex (ok), 02-Июл-19, 14:52 
...а потом эту ерунда каждый раз вводи, угу. Не нужно оно мне, "взломают" - да вперёд, ничего ценного там нет.

В общем,Ю ровно те же причины, которые побуждают пользоваться bugmenot и mailinator и ставить пароли 123456.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

51. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от имя (?), 02-Июл-19, 15:45 
> ...а потом эту ерунда каждый раз вводи, угу. Не нужно оно мне, "взломают" - да вперёд, ничего ценного там нет.

Это ты думаешь, что там ничего ценного нет, и что код ты можешь перезалить куда хочешь, а тем временем какой-то индус уже давно качает его по зависимости прямо из мастера и не подозревает, что репозитории можно угонять ради подстановки в него майнеров и логеров.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

53. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от Crazy Alex (ok), 02-Июл-19, 15:52 
99% аккаунтов - это одноразовые клоны, с которыми вообще ничего не происходит. Хоть подставляй в них майнеров, хоть нет
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

58. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +1 +/
Сообщение от имя (?), 02-Июл-19, 16:08 
> 99% аккаунтов - это одноразовые клоны, с которыми вообще ничего не происходит.
> Хоть подставляй в них майнеров, хоть нет

Зато оставшийся процент, если в него попасть пусть даже случайным образом, по пищевой цепочке может взорвать экосистему будь здоров. Вон, left-pad тоже никому не нужным выглядел, а как бомбануло!

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

65. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +1 +/
Сообщение от Аноним (65), 02-Июл-19, 17:04 
Мне лучше знать, есть там что ценное или нет. Пошли наxер со своей "принудительной заботой".
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

78. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от имя (?), 02-Июл-19, 18:01 
> Мне лучше знать, есть там что ценное или нет. Пошли наxер со
> своей "принудительной заботой".

Да-да, тёть Клава тоже так говорила, пока ей фоточки из отпуска не пошифровали.

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

92. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +1 +/
Сообщение от Аноним (91), 02-Июл-19, 20:03 
Как минимум там есть вычислительные ресурсы github которыми ты бесплатно пользуешься и которые их владельцы хотели бы защитить от неправомочного использования.
Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

145. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от Аноним (145), 05-Июл-19, 06:31 
>же давно качает его по зависимости прямо из мастера

Должны страдать

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

73. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от Kuromi (ok), 02-Июл-19, 17:30 
Чисто для проформы дополню, что есть некоторые сервисы, которые используют кастомизированные генераторы и требуют специальный софтин. Там стандартные реализации вроде FreeOTP могут не заработать.
Тот же HumbleBundle если не ошибаюсь использовал  Authy или что-то в этом роде, но вернулся на Google Authenticator (стандартный TOTP). У NameCheap была сходная история.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

22. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +6 +/
Сообщение от пох. (?), 02-Июл-19, 14:28 
> А что за причины кроме желания быть взломанным при утечке пароля могут быть для отказа от 2FA
> с использованием TOTP?

причина банальна - нежелание связываться с оверинжиниренной ненужной хней, затрудняющей рутинную операцию - логин в аж целый гитхап.

а если у них утекают пароли - то извините, ребята, но по-моему эта проблема должна решаться совсем с другого конца.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

93. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +1 +/
Сообщение от Аноним (91), 02-Июл-19, 20:05 
С какого? Пароли утекают у пользователей, как её решить кроме 2FA?
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

115. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от хотел спросить (?), 03-Июл-19, 02:25 
Если пароли утекают у разработчиков софта (а остальные меня мало на гитхабе интересуют), то таким разработчикам нефиг делать на гитхабе. И вообще они вовсе и не разработчики и поделки их не нужны.
Но как говорится в случае если уж кому-то прям хочется то они могут использовать 2FA.
А вот навязывать вское ненужно абсолютно всем - точно не айс. Я сам о себе могу позаботиться.

Короче лед тронулся... Я думаю все-таки мс добрался и до гитхаба со своей заботой.

Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

141. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от Урри (?), 04-Июл-19, 12:21 
Разработчик софта (например, кулинарной книги) не обязан быть специалистом по секурности.
Ответить | Правка | ^ к родителю #115 | Наверх | Cообщить модератору

144. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от хотел спросить (?), 05-Июл-19, 03:01 
> Разработчик софта (например, кулинарной книги) не обязан быть специалистом по секурности.

если он разработчик, то как минимум базовые понятия имеются, а еще аналитические способности (хотя бы минимальные)

в противном случае пусть лучше занимается контентом кулинарной книги, а не логикой и алгоритмами (пусть даже и примитивными), которые лучше доверить соответсвующему специалисту самого заурядного уровня

Ответить | Правка | ^ к родителю #141 | Наверх | Cообщить модератору

32. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +2 +/
Сообщение от Аноним (32), 02-Июл-19, 14:41 
Необходимость покупать телефон и помнить, что с него нужно иногда звонить, чтобы не отобрали номер.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

94. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +1 +/
Сообщение от Аноним (91), 02-Июл-19, 20:06 
Для TOTP телефон не нужен.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

112. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от Аноним (112), 03-Июл-19, 00:21 
Смотри следующий комментарий про почту :)
Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору

35. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +1 +/
Сообщение от Аноним (32), 02-Июл-19, 14:43 
А почту на mail.ru не ломал только ленивый.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

37. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +1 +/
Сообщение от Crazy Alex (ok), 02-Июл-19, 14:49 
Например - нежелание морочить голову. А аккаунт создан для мелких удобств и что там утечёт - вообще плевать, новый заведу, если в течение минуты на емейл пароль новый не придёт.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

42. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +2 +/
Сообщение от Аноним (42), 02-Июл-19, 15:11 
> А что за причины кроме желания быть взломанным при утечке пароля могут быть для отказа от 2FA с использованием TOTP?

Потеря доступа к аккаунту при потере второго фактора аутентификации.

Примеры:
* Украли/сломалось устройство, на котором второй фактор.
* Аккаунтом пользуюсь редко, забыл, какой у меня второй фактор, или случайно снес аутентикатор, или забыл пароль на аутентикатор, или OTP присылаются пачкой кодов и эти коды устарели.
* Перестал работать провайдер второго фактора, например обанкротился, или просто забил, или временно глючит когда очень надо, или поменял формат кодов. Особенно весело в сочетании с предыдущим пунктом.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

55. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  –5 +/
Сообщение от пох. (?), 02-Июл-19, 16:00 
> Потеря доступа к аккаунту при потере второго фактора аутентификации.

там обещают что его тебе восстановят, как только ты введешь секретный-пресекретный код (который, ну конечно же, не могут спереть точно так же как и пароль - но зато его вполне можно потерять вместе с диском/флэшкой - и остаться без доступа к акаунту в принципе)

и так у этих - все.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

70. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от Kuromi (ok), 02-Июл-19, 17:22 
* Украли/сломалось устройство, на котором второй фактор.

Резервные копии (генераторы это позволяют), резервный токен доступа (можно привязать несколько токенов обычно)

* Аккаунтом пользуюсь редко, забыл, какой у меня второй фактор, или случайно снес аутентикатор, или забыл пароль на аутентикатор, или OTP присылаются пачкой кодов и эти коды устарели.

Если пользуешься аутентификатормов  одном месте, скорее всего пользуешься и в другом, так чло случайно не снесешь, а если снес - резервная копия на другом устройстве

* Перестал работать провайдер второго фактора, например обанкротился, или просто забил, или временно глючит когда очень надо, или поменял формат кодов. Особенно весело в сочетании с предыдущим пунктом.

Это как вы себе представляете? В случае с обычным  TOTP нет никаких "провайдеров", да и коды все по стандарту. Те компании которые начинают городить велосипеды и требуют чтобы ты пользовал конкретное приложение - ССЗБ. В случае с U2F\WebAuthn опять же провайдера нет, есть сайт, устройство и вы.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

113. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от Аноним (112), 03-Июл-19, 00:28 
Вот у меня сегодня (точнее, уже вчера) случилось. Месяц назад полетел домашний компьютер, где хранились данные для логина на бесплатную почту. Почтой этой сейчас практически не пользуюсь — там только спам, но активно пользовался, когда регистрировался на Гитхабе 5 лет назад. Поэтому чинить не торопился — хватало рабочего компа и планшета. Сегодня полез по работе отправить пачку багрепортов через Гитхаб — получил отлуп. Пароль к бесплатной почте не помню, а Гитхаб со всех устройств меня разлогинил. Первый час ночи, а я всё ещё колдую над битым диском, пытаясь извлечь пароль.
Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

14. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  –3 +/
Сообщение от Большой Брат (?), 02-Июл-19, 13:51 
Будем верифицировать прямо по их железкам, раз не хотят они светить свой номер телефона, а то иш умники нашлись, данными делиться не хотят, пополнять свой профиль в досье у Большого Брата, такого допустить никак нельзя, мы должны заставить их думать о своей безопасности и всячески напирать на это, а то ведь, так не ровён час они могут подумать, что все эти методы, не более чем повод для сбора данных...
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

20. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +4 +/
Сообщение от Ключевский (?), 02-Июл-19, 14:11 
> Будем верифицировать прямо по их железкам, раз не хотят они светить свой
> номер телефона, а то иш умники нашлись, данными делиться не хотят,
> пополнять свой профиль в досье у Большого Брата, такого допустить никак
> нельзя, мы должны заставить их думать о своей безопасности и всячески
> напирать на это, а то ведь, так не ровён час они
> могут подумать, что все эти методы, не более чем повод для
> сбора данных...

Еще один. Для 2FA НЕ ТРЕБУЕТСЯ НОМЕР ТЕЛЕФОНА. Ты и твой телефон им не интересны.
https://tools.ietf.org/html/rfc6238
https://freeotp.github.io/

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

26. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  –3 +/
Сообщение от пох. (?), 02-Июл-19, 14:33 
а гитхап так не думает.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

44. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от KonstantinB (ok), 02-Июл-19, 15:14 
На гитхабе инструкция для идиотов. Никто не мешает не быть идиотом.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

56. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +2 +/
Сообщение от пох. (?), 02-Июл-19, 16:03 
не быть идиотом - это не использовать дурацкие наслоения аутентификации, когда и пароль защищает ее вполне надежно. Ну, при минимальных телодвижениях с той стороны, хоть как-то затрудняющих его прямой подбор или просто угон.

но это немодно, нестильно и немолодежно

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

74. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от KonstantinB (ok), 02-Июл-19, 17:31 
Да нифига он не надежно защищает. Никакой внимательности не хватит каждый раз проверять сертификат. Про истории с выдачей сертификатов кому попало и про перенаправление трафика куда попало более специфичными BGP-анонсами напомнить или не надо?
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

102. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  –2 +/
Сообщение от пох. (?), 02-Июл-19, 22:17 
лучше просто подскажи, где я могу недорого без sms купить сертификат аль....ой, извините, давайте лучше ВТБ.
С bgp я как-нибудь разберусь сам, и хрен они меня потом найдут.

(и кому нахрен вcpaлся при этом какой-то вшивый гитшлак?)

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

120. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от ызусефещк (?), 03-Июл-19, 09:04 
Перенаправил домен, используй летенкрипт
Ответить | Правка | ^ к родителю #102 | Наверх | Cообщить модератору

77. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от KonstantinB (ok), 02-Июл-19, 17:36 
Помимо того, утечка может быть и не с моей стороны вообще. Ты удивишься, сколько еще идиотов хранят банально md5(pass) или sha1(pass) в своих базах.

Мне вот регулярно валится вдохновленный Black Mirror спам вида "чувак, твой пароль XYZ123, а я его знаю, потому что затроянил твой комп и у меня есть видео, как ты наяриваешь на прон, высылай 100500 биткоинов или его всем разошлю". По тому, какие там пароли, прекрасно понятно, откуда оно взялось. :)

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

84. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +1 +/
Сообщение от Аноним (84), 02-Июл-19, 18:28 
Т.е. проблема на стороне кода, но решают её за счёт пользователей. Что-то здесь не так.
Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

103. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  –1 +/
Сообщение от пох. (?), 02-Июл-19, 22:22 
о том и речь.

в консерватории надо бы поправить, для начала-то.
(впрочем, не исключен случай что мой прекрасный пароль 123456 украдут где-то в другом месте, но, совершенно случайно, он и к акаунту на гитхапе подойдет. Другое дело, что там же ж масса всего ценного и нужного, ага, ага.)

Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

130. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от KonstantinB (ok), 03-Июл-19, 15:19 
Ну вот у меня много ценного и нужного, правда, не мне лично, заказчик использует гитхаб. Ну его дело.

Сам-то я туда только опенсорс выкладываю, для собственных проектов у меня gogs на своем дедике :)

Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

132. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от пох. (?), 03-Июл-19, 19:56 
> Ну вот у меня много ценного и нужного, правда, не мне лично,
> заказчик использует гитхаб. Ну его дело.

ну так скажи ему, чтоб мой пароль больше не трогал, и свой, отдельный выдумал и на листочке записал.

> Сам-то я туда только опенсорс выкладываю, для собственных проектов у меня gogs
> на своем дедике :)

для собственных проектов у меня hg server, но, увы, это ни разу не социяльная сеточка, ценные комментики там пихать некуда.
Учитывая, что они ни разу не open, не больно-то и хотелось, конечно.

а написать "афтыр лох, выпей йаду" в issue можно и с тем паролем, что у меня.

Ответить | Правка | ^ к родителю #130 | Наверх | Cообщить модератору

129. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от KonstantinB (ok), 03-Июл-19, 15:16 
С гитхаба, справедливости ради, не утекало.

Вот дропбокс обделался по полной.

Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

63. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  –2 +/
Сообщение от Оче Видец (?), 02-Июл-19, 16:46 
Конечно не требуется, теперь им хочется НОМЕР ПЛАНШЕТА
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

17. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +2 +/
Сообщение от Ivan_83 (ok), 02-Июл-19, 14:07 
Такие меры как будто гитхуб акк это что то ценное, как счёт в банке.

Будут затягивать гайки - есть гитлаб и всегда можно расшарить в инет gitea со своего хостенга.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от пох. (?), 02-Июл-19, 14:26 
ну вообще-то поломав какой-нибудь интересный акаунт - можно получить доступ не к одному чужому счету в банке.

другое дело, что надежнее оно от этого ни разу не станет, а вот ты не сможешь попасть в свой акаунт, оказавшись где-то далеко от своей почты, потому что большой брат снова позаботился о твоей безопастносте.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

88. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от Капитан Очевидность (?), 02-Июл-19, 19:04 
>ты не сможешь попасть в свой акаунт, оказавшись где-то далеко от своей почты

Я пытаюсь себе представить эту ситуацию и не могу. Можешь набросать реалистичный сценарий?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

89. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  –1 +/
Сообщение от Аноним (32), 02-Июл-19, 19:07 
Доступ к исходникам нужен сегодня, почтовый сервис в бане по маске IP, а на надёжный прокси или VPN деньги будут только через месяц.
Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

95. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  –1 +/
Сообщение от пох. (?), 02-Июл-19, 20:10 
> Доступ к исходникам нужен сегодня, почтовый сервис в бане по маске IP,

мы с вами просто забыли, что типовой опеннетчик под словом "почта" понимает исключительно гугль и гугль.
Который, кстати, тоже может прислать вам sms "обнаружив подключение с неизвестного устройства" - на телефон, у которого нет роуминга в этой стране, или который вообще из дома не выносится, именно потому что там всякие sms и банковские учетки, и лучше временно не иметь к ним доступа, чем восстанавливать потом.

> а на надёжный прокси или VPN деньги будут только через месяц.

или банально в китае он зобанен.
У меня еще более банальный вариант: в почте много всего разного, поэтому она вообще недоступна ниоткуда, кроме доверенных хостов. А вот в акаунтах на гитхапе у меня кроме issues в чужие проекты - ничего нет, мои собственные поделки как-нибудь обойдутся без их ценной помощи.

В результате заслать issue не получилось, ну что же - шва...халявный софт проживет без патчей.
Зато безопасТно!

Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

100. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от имя (?), 02-Июл-19, 21:16 
> типовой опеннетчик под словом "почта" понимает
> исключительно гугль и гугль.
> Который, кстати, тоже может прислать вам sms

так-то гуглоаккаунт тоже можно обмазать totp вместо sms, но это ж читать уметь надо, однако.

Ответить | Правка | ^ к родителю #95 | Наверх | Cообщить модератору

109. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от Аноним (109), 02-Июл-19, 23:33 
Хм… Гм… А куда они, собственно, засунули TOTP? Раньше было, а сейчас предлагают на выбор только 2FA по телефону (SMS или звонок), электронному ключу и снова телефону (push-уведомление).
Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

116. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от хотел спросить (?), 03-Июл-19, 02:33 
где-то неделю назад это говно у них сломалось

починили только на следующий день после отписки в саппорт

Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

36. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  –1 +/
Сообщение от Аноним (33), 02-Июл-19, 14:47 
У гитлаба рекапча с аггрессивным фингерпринтингом. Также они сами делают фингерпринтинг, в своём купленном гиттере. Хорошо хоть что опенсорс, а могли бы и обфусцировать.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

25. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  –2 +/
Сообщение от ixrws (??), 02-Июл-19, 14:30 
Непонятно, почему они все мелочатся до сих пор. Почему сразу не ввести обязательный вход только по паспорту, паспорт делать в виде карточки со встроенным сканером отпечатка пальца для активации паспорта. Просто при любой аутентификации прикладываешь такой паспорт, на паспорт палец, ну ещё можно добавить обязательное произношение - клянусь царя и бога хранить.

Всё равно же к этому ведут, зачем тормозить? Нужно решительнее внедрять старые добрый лагерь во все поля.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +1 +/
Сообщение от Ключевский (?), 02-Июл-19, 14:42 
> Всё равно же к этому ведут, зачем тормозить? Нужно решительнее внедрять старые
> добрый лагерь во все поля.

В каком месте 2FA TOTP к этому ведет? Покажи, а мы поржем.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

49. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +1 +/
Сообщение от Аноним (49), 02-Июл-19, 15:29 
Куда катится этот мир...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

50. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  –1 +/
Сообщение от Michael Shigorinemail (ok), 02-Июл-19, 15:35 
not affected (c) :]
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

62. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от пох. (?), 02-Июл-19, 16:43 
> not affected (c) :]

возвращать патчи в апстримы вы, я смотрю, уже не собираетесь?

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

81. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  –1 +/
Сообщение от Аноним (81), 02-Июл-19, 18:03 
В апстрим linux патчи возвращают через рассылку же.
Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

96. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  –1 +/
Сообщение от пох. (?), 02-Июл-19, 20:16 
> В апстрим linux патчи возвращают через рассылку же.

это ж только ведро. А так - https://github.com/systemd/systemd/issues добро пожаловать! ;-)
Кстати, зелененькие бэджи со всякими code quality A+ для печально известной поделки (как и coverity issue - пацанам - можно!) говорят об их истиной цене ;-)


Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

121. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от Аноним (81), 03-Июл-19, 10:01 
>> В апстрим linux патчи возвращают через рассылку же.
> это ж только ведро.

Достаточно для опровержения обобщения.

> А так - https://github.com/systemd/systemd/issues добро пожаловать!

Так в недавней новости про СтатерКит не было systemd.

> ;-)
> Кстати, зелененькие бэджи со всякими code quality A+ для печально известной поделки
> (как и coverity issue - пацанам - можно!) говорят об их
> истиной цене ;-)

Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

80. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  –1 +/
Сообщение от Аноним (81), 02-Июл-19, 18:02 
Альт случаем не планирует (или я не нашёл?) предоставлять подобный сервис? У Росы есть якобы "замена" github, как они говорят, защищённая от шаловливых ручек -- при этом они сами удалили мои репозиторий с перепугу. (Если что -- интерес праздный.)
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

52. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  –1 +/
Сообщение от user90 (?), 02-Июл-19, 15:47 
Хорошо хоть без СМС)) Впрочем, юзверье все схавает, вот я бы долго блевал от.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

57. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  –4 +/
Сообщение от пох. (?), 02-Июл-19, 16:04 
как то есть без? Это их основной и любимый (гуглем) "2FA".
Остальные опциональны.
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

60. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  –1 +/
Сообщение от user90 (?), 02-Июл-19, 16:27 
Вы не могли бы раскрыть тему немного подробнее?
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

61. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от пох. (?), 02-Июл-19, 16:42 
в смысле? ВСЕ крупные проекты (и начиная с гугля) при попытке включить двухфакторку - предложат (или сразу вышлют) тебе sms.  

альтернативы доступны по пятнадцатой ссылке мелким шрифтом двенадцатого уровня вложенности - нет, не со зла, разумеется, а просто потому что феерически неудобны нормальным людям.

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

82. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от Аноним (82), 02-Июл-19, 18:11 
А пойти и посмотреть, прежде чем трындеть, не пробовал?
https://postimg.cc/WtmP0N3s
Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

118. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +1 +/
Сообщение от хотел спросить (?), 03-Июл-19, 02:39 
а приложение которое ты ставишь и которое звенит на сервер намного лучше чем номер трубы?
ты читаешь приваси полиси всяких звонилок которые используешь?
да там адское кол-во дичи, вплоть до того что смски уходят на их сервера

хуже только приваси полиси какого-нибудь инстаграма, которым нормальные люди не пользуются

Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

128. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от Ключевский (?), 03-Июл-19, 14:37 
> а приложение которое ты ставишь и которое звенит на сервер намного лучше
> чем номер трубы?

На какой сервер? У меня приложение для TOTP собрано мной самим из исходников и установлено на мобилу которая НИКОГДА не подключалась к интернету, ей просто нечем и некуда, в ней нет сим-карт, а паролей к WiFi ей никто не давал.

Ответить | Правка | ^ к родителю #118 | Наверх | Cообщить модератору

134. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от пох. (?), 03-Июл-19, 20:06 
> На какой сервер? У меня приложение для TOTP собрано мной самим из
> исходников и установлено на мобилу которая НИКОГДА не подключалась к интернету,
> ей просто нечем и некуда, в ней нет сим-карт, а паролей
> к WiFi ей никто не давал.

прекрасно, просто прекрасно.
Вы прослушали номер "больной палаты #6 борется с всемирным заговором рептилоидов".

Исходники-то хоть открывал? (кстати, отдельный вопрос - о привычках гуглефонов стучаться во все открытые wifi без спросу, для вашего большего удобства)

понимаешь, все остальные за пределами палаты - ТАК уж точно не собираются с ним бороться - им свое время немного жалко, да и создавать себе геморрой в виде бесполезной лопаты, которую необходимо за собой таскать да еще и оберегать от враждебных интернетов, чтобы она не слила о тебе все что насобирала за десять лет - дурачков крайне мало.

и все это ради счастья написать issue или засабмитить патчик, ага.

Ответить | Правка | ^ к родителю #128 | Наверх | Cообщить модератору

139. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от хотел спросить (?), 04-Июл-19, 01:05 
>> а приложение которое ты ставишь и которое звенит на сервер намного лучше
>> чем номер трубы?
> На какой сервер? У меня приложение для TOTP собрано мной самим из
> исходников и установлено на мобилу которая НИКОГДА не подключалась к интернету,
> ей просто нечем и некуда, в ней нет сим-карт, а паролей
> к WiFi ей никто не давал.

Давай сначала рассмотрим сценарий для непараноиков:

We recommend using cloud-based TOTP apps such as:

    1Password
    Authy
    LastPass Authenticator

Дейтствительно.. клауд бейзед и не звенит.
Процент параноиков будет мал, основная масса выберет 1 из этих пунктов или смс.

Ну допустим ты параноик, давай разбираться твоим кейсом. Юзеру необходимо:
1) проверить код
2) сбилдить всё самому
3) подготовить изолированное устройство
4) таскать его везде с собой (второй телефон)
5) сохранить рекавери коды в надежном хранилище

Как по мне так проще:
1) сгенерировать случайный пароль с энтропией 100+ бит (это 20+ символов a-z, A-Z, 0-9)
каждый дополнительный символ добавит ~5 бит энтропии
2) сделать тоже самое как и в пункте 5

и так выходит пункт с надежным хранилищем никто не отменял,
случайный ключ в 100 бит ты не трахнешь даже в оффлайне
а вот гемороя меньше на порядок, но гитхаб нам это прям навязывает, и я прям чувствую руку мелкософта... сразу вспомнились Team Services где они хотел 2FA SMS

Ответить | Правка | ^ к родителю #128 | Наверх | Cообщить модератору

133. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от Аноним (82), 03-Июл-19, 20:02 
> а приложение которое ты ставишь и которое звенит на сервер намного лучше чем номер трубы?

[Приложение][1], которое я ставлю, не звенит ни на какой сервер. Не веришь — посмотри [исходники][2].

[1]: https://f-droid.org/ru/packages/org.fedorahosted.freeotp/
[2]: https://github.com/freeotp/freeotp-android

Ответить | Правка | ^ к родителю #118 | Наверх | Cообщить модератору

138. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от пох. (?), 03-Июл-19, 22:10 
>> а приложение которое ты ставишь и которое звенит на сервер намного лучше чем номер трубы?
> [Приложение][1], которое я ставлю, не звенит ни на какой сервер. Не веришь
> — посмотри [исходники][2].

а квалификации-то хватит?

> [2]: https://github.com/freeotp/freeotp-android

а что это вы скромно молчите про [0]прекрасный totp гугля, который ррраз - и из открытого перел...исходника - сделался закрытым ?

Ответить | Правка | ^ к родителю #133 | Наверх | Cообщить модератору

142. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от Аноним (82), 04-Июл-19, 17:52 
> а квалификации-то хватит?

Если не хватит, пусть закажет кому-нибудь аудит.

> а что это вы скромно молчите про [0]прекрасный totp гугля, который ррраз - и из открытого перел...исходника - сделался закрытым ?

Потому что это приложение я не ставлю, очевидно же.

Ответить | Правка | ^ к родителю #138 | Наверх | Cообщить модератору

127. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  –2 +/
Сообщение от Ключевский (?), 03-Июл-19, 14:35 
> в смысле? ВСЕ крупные проекты (и начиная с гугля) при попытке включить
> двухфакторку - предложат (или сразу вышлют) тебе sms.

Ты врешь. Зачем ты это делаешь непонятно. GitHub никаких смс не высылает и номер не просит, он спокойно предлагает использовать TOTP БЕЗ номеров телефонов. Ты — лжец.

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

66. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от Аноним (59), 02-Июл-19, 17:08 
О, да тут диванные эксперты собрались! Что, прививки - зло, а воду в банках у телека заряжать норм?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

76. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  –3 +/
Сообщение от Аноним (76), 02-Июл-19, 17:35 
Почему для "двойной идентификации" нельзя использовать просто второй пароль?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

83. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +2 +/
Сообщение от Аноним (82), 02-Июл-19, 18:12 
Потому что они у тебя будут записаны на одном стикере.
Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

97. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +1 +/
Сообщение от пох. (?), 02-Июл-19, 20:17 
> Потому что они у тебя будут записаны на одном стикере.

но с разных же ж сторон!

Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

99. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от Аноним (79), 02-Июл-19, 20:39 
Потому что приказы начальства не обсуждаются. А в ГитХабе теперь Майкрософт начальство.
Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

119. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +1 +/
Сообщение от пох. (?), 03-Июл-19, 07:10 
чо-та по поведению - не складывается (microsoft просто попросила бы вводить live-login - кстати, вы не поверите, никакой 2fa она своим разработчикам не навязывает - хочешь, рожу в камеру суй, а хочешь - не суй)

Я после всех недавних новостей про m$ уже начинаю нервничать - их точно-точно не покупает гугль вместе с гитшлаком?

Ответить | Правка | ^ к родителю #99 | Наверх | Cообщить модератору

124. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от Аноним (79), 03-Июл-19, 11:30 
А ГХ и не навязывает 2FA. Они просто фингерпринтят и всё.
Ответить | Правка | ^ к родителю #119 | Наверх | Cообщить модератору

135. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +/
Сообщение от пох. (?), 03-Июл-19, 20:08 
> А ГХ и не навязывает 2FA. Они просто фингерпринтят и всё.

ну здрасьте - "верификация устройств" это не "просто", это "хрен тебе а не логин с этого неведомого устройства - иди-ка второй фактор ищи где хочешь". В минимальном варианте, пока, надо думать, придется добираться до своего email - и горе тем, кто использовал одноразовый. Хазяина желает знать твой реальный мэйл!

Ответить | Правка | ^ к родителю #124 | Наверх | Cообщить модератору

110. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +1 +/
Сообщение от Аноним (110), 02-Июл-19, 23:55 
Не сказал бы что я был особо высокого мнения о комментаторах, но почитав этот ужас волосы дыбом встают.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

131. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  +1 +/
Сообщение от Аноним (82), 03-Июл-19, 19:55 
> почитав этот ужас волосы дыбом встают

Не разрешайте своим волосам читать такие ужасы, особенно на ночь.

Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

122. "GitHub вводит верификацию устройств, при неактивной двухфакт..."  –1 +/
Сообщение от Аноним (122), 03-Июл-19, 10:04 
Микрософт _возможность_ зонда, пока пока!! ))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру