forum.opennet.ru - "Внедрение двухфакторной аутентификации в PyPI привело к инциденту с удалением популярного пакета" (139)

"Внедрение двухфакторной аутентификации в PyPI привело к инциденту с удалением популярного пакета"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Внедрение двухфакторной аутентификации в PyPI привело к инциденту с удалением популярного пакета"	+/–
Сообщение от opennews (??), 10-Июл-22, 09:13
Разработчики репозитория Python-пакетов PyPI опубликовали план перехода на обязательную двухфакторную аутентификацию для пакетов, входящих в категорию критически важных. Важность определяется по числу загрузок и изменение будет применено к учётным записям сопровождающих и владельцев проектов, связанных с 1% пакетов, лидирующих по числу загрузок за 6 месяцев. С учётом, что в настоящее время репоизторий PyPI включает более 350 тысяч пакетов, двухфакторная аутентификация будет применена примерно для 3500 пакетов. Для проверки попадание учётной записи в список подотовлена... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57481
Ответить \| Правка \| Cообщить модератору

Оглавление

Скрыто модератором, Аноним (1), 09:13 , 10-Июл-22, (1) +11
Спорное решение PyPi Это опасный прецедент, касающийся перекладывания ответстве, Аноним (2), 09:34 , 10-Июл-22, (2) +21

Ответственность переложили, права забрали Всё честно , Аноним (14), 10:41 , 10-Июл-22, (14) +6
и microsoft тоже , anonymous (??), 16:31 , 10-Июл-22, (60) +1
Токен генерируется в любом свободном менеджере паролей Например, KeePassXC И д, Аноним (71), 19:22 , 10-Июл-22, (71)

Сделали огромную дыру и латают другой дырой , Аноним (14), 19:55 , 10-Июл-22, (73)

Ну ты-то пароли никогда не забывал Только на бумажечках писал и на монитор клеи, Аноним (88), 01:00 , 11-Июл-22, (88) +2

Нет Отправлял по электронной почте России открытым текстом, как требовал безопа, Аноним (14), 10:23 , 11-Июл-22, (101)
А что, разве хакер сможет его так спереть Его даже в вебкам не видно , Аноним (-), 03:36 , 13-Июл-22, (138) +1

Скрыто модератором, Аноним (3), 09:42 , 10-Июл-22, (3) –2

Скрыто модератором, Аноним (2), 09:48 , 10-Июл-22, (5) +2

Скрыто модератором, Аноним (3), 09:53 , 10-Июл-22, (7)

Скрыто модератором, n00by (ok), 12:51 , 10-Июл-22, (34) +3

Скрыто модератором, BrainFucker (ok), 10:24 , 10-Июл-22, (11) +7

Скрыто модератором, Аноним (8), 09:55 , 10-Июл-22, (8)

Скрыто модератором, Аноним (16), 10:55 , 10-Июл-22, (16) –1

Скрыто модератором, Аноним (27), 11:27 , 10-Июл-22, (27)

начнут с внедрения токенов разработчиков ради безопасности потом введут токены , Аноним (-), 09:43 , 10-Июл-22, (4) +3

Не накручивайте, никто не требует никаких аппаратных токенов, это лишь один из с, Аноним (3), 09:49 , 10-Июл-22, (6) –5

Внедрить бакдур Вы чип в токене сами проверяли , ыы (?), 10:18 , 10-Июл-22, (9) +1

https www opennet ru opennews art shtml num 51829, Аноним (53), 15:31 , 10-Июл-22, (53) –1

Только сам гугл не заслуживает доверия, Аноним (102), 10:29 , 11-Июл-22, (102) –1

Про Секурбут тоже говорили, что для защиты, а теперь по умолчанию сторонние ОС н, Аноним (13), 10:39 , 10-Июл-22, (13) +8

А хомяку пофигу, главное жрать макдак, и смотреть порно по этой железке, все Ем, microsoft (?), 20:38 , 10-Июл-22, (78)

Ну это пока , Admino (ok), 10:21 , 11-Июл-22, (100)

Несколько лет назад я читал что длинна надёжных паролей превысила значение котор, torvn77 (ok), 11:03 , 10-Июл-22, (19) –4

Значит, украдут и многосекурный пароль ключ , Аноним (14), 11:13 , 10-Июл-22, (22) +6
кто заставляет тебя запоминать каждый пароль локальный менеджер паролей со случа, penetrator (?), 21:00 , 10-Июл-22, (79) +1
Вирусню разогнать не пробовал , Аноним (88), 01:02 , 11-Июл-22, (89) –1

Ты хочешь сказать что мой линукс поражён вирусами , torvn77 (ok), 20:35 , 11-Июл-22, (120)

Не обязательно линукс Может, девушка, бабушка, кот , Аноним (144), 14:44 , 13-Июл-22, (144)

Мне кажется вы не в курсе, что такое экспонента Экспонента - это когда для того, anonymous (??), 00:23 , 13-Июл-22, (137)

Смотри, твою идею украли passwordcard org D, Аноним (141), 08:39 , 13-Июл-22, (141)
Большинство людей будут тспытывать проблемы даже с восьмисимвольным паролем А , torvn77 (ok), 12:07 , 13-Июл-22, (142)

А потом внедрять токен пониже спины, Аноним (46), 14:42 , 10-Июл-22, (46)
ну в РФ вообще доступ в интернеты по паспорту и ничего, живут как-то люди , Михрютка (ok), 15:24 , 10-Июл-22, (51) –4

А в каких странах не по паспорту , Аноним (46), 17:27 , 10-Июл-22, (65) +1

в великобритании, говорят купил препейд сим и в путь в чехии то ж самое на ук, Михрютка (ok), 18:39 , 10-Июл-22, (68) +2

Хотелось бы услышать истории узбека, как они покупают симки не только в РФ , Аноним (14), 20:02 , 10-Июл-22, (74) +1

история простаяузбек прилетает в борисполь W W Wпоправочка, через азербиджян тур, Михрютка (ok), 20:16 , 10-Июл-22, (76) +2

Я ничего не понял узбеки-туристы покупают симки без паспорта вне зависимости от, Аноним (14), 20:29 , 10-Июл-22, (77) –1
Борисполь уцелел , Аноним (81), 21:12 , 10-Июл-22, (81) –2
лол узбек обиделся, что его попросили предъявить документ, и настучал mc mc - за, Михрютка (ok), 21:34 , 12-Июл-22, (135)

Муж ездил в Лондон 3 года назад, но сим карту для интернета зарегистрировать не , Аноним (115), 19:26 , 11-Июл-22, (115)

в великобритании, _говорят_ купил препейд сим и в путь я видимо, неясно выраз, Михрютка (ok), 19:49 , 11-Июл-22, (116)

БезопасТность Удвоенная , Аноним (14), 10:24 , 10-Июл-22, (10) +1
А Гуголь, конечно же, совершенно случайно проходил мимо со своими титанами и п, Геймер (?), 10:25 , 10-Июл-22, (12) +8
Как легко и просто взять на карандаш всех ключевых разработчиков библиотек для п, YetAnotherOnanym (ok), 10:52 , 10-Июл-22, (15) +3

Чтобы потом сопровождающих не искать, как с иксами D, Попандопала (?), 11:01 , 10-Июл-22, (17)

С иксами - это как Как искать с собаками - знаю, а с иксами - это что-то новень, YetAnotherOnanym (ok), 11:45 , 10-Июл-22, (28) –2
Так себе шутка в наше неспокойное время Теперь, что бы внедрить зловредный код,, n00by (ok), 13:46 , 10-Июл-22, (41)

При этом зловредный код будет подписан всеми десятью валидными траст-слоями от р, Dzen Python (ok), 14:36 , 10-Июл-22, (45) +1

СПО идеалогия это просто маркетинг На самом деле никто не смотрит исходники про, Аноним (46), 14:47 , 10-Июл-22, (47) –7

Вообще-то я в исходники смотрю периодически Правда, конечно, не д рьмища на пит, Аноним (-), 06:23 , 11-Июл-22, (92) –1
СПО идеология подразумевает, что тех кто пишет документацию в разы меньше тех кт, Аноним (109), 16:58 , 11-Июл-22, (109) –1

пользователь - хакер, может свободно менять программу Все остальное - это, можно, Аноним (14), 21:05 , 11-Июл-22, (122)

Ну да, виноват окажется разработчик При этом в лучшем случае его привлекут к от, n00by (ok), 07:12 , 11-Июл-22, (96)

Раздача двух токенов про запас ясно говорит об уровне уникальности Монополиза, Аноним (14), 18:39 , 10-Июл-22, (67) +1

Токены не уникальные, ключ загружаешь на них сам , Аноним (85), 23:52 , 10-Июл-22, (85) +1

Какой смысл таких токенов Тогда зачем нужны токены, если ключ есть и без них Чт, Аноним (14), 09:57 , 11-Июл-22, (99) +2

а какой смысл уникальных токенов, в которых ключ не меняется и зашит с завода ни, Аноним (107), 14:55 , 11-Июл-22, (107)

В том, что удовлетворяют фактору владеть уникальной вещью Для таких случаев к, Аноним (14), 18:50 , 11-Июл-22, (114) –1

не заводи второй токен Токены не уникальные, а вот положить в разные токены уни, Аноним (118), 20:27 , 11-Июл-22, (118)

Ясно, эксперт , который не знает для чего нужен не псевдо рандом, Аноним (14), 20:52 , 11-Июл-22, (121)

Опенсорс - это свобода, ИмяХ (?), 11:02 , 10-Июл-22, (18) –1

Свобода А вот централизованная инфраструктура пакетов - чистое зло , Аноним (21), 11:11 , 10-Июл-22, (21) +6

Ишь ты, хотел он для удовольствия код писать Должен обслуживать корпорации, нае, Аноним (21), 11:10 , 10-Июл-22, (20) +8
Все кто не доволен могут сделать и предложить плугин для двойной аутентификации , torvn77 (ok), 11:17 , 10-Июл-22, (23) –1

Полагаю, все кто не доволен отказом автора сопровождать пакет, могут записать на, n00by (ok), 12:58 , 10-Июл-22, (35) –1
А канкан на камеру им там танцевать не надо для доказательства что не верблюд , Аноним (-), 06:24 , 11-Июл-22, (93) +2

То есть в перспективе к написанию бесплатного опенсорца будут допускаться только, Аноним (29), 11:49 , 10-Июл-22, (29) +1

Ну так и есть Опенсорс должен приносить выгоду белым людям, увеличивая отрыв от, Аноним (55), 15:40 , 10-Июл-22, (55) +2

Как житель страны первого мира, одобряю такой план Особенно мне про мясо для бо, Аноним (133), 17:10 , 12-Июл-22, (133)

Ты уже перечислил И будешь перечислять, пока коленом под зад не дадут за то что, Аноним (55), 22:58 , 12-Июл-22, (136) –1

А я не русский, спасибо родителям , Аноним (145), 18:49 , 13-Июл-22, (145) –2

Ребята, ну это прямо-таки комедия Настроение с утра подняли по самое некуда , freehck (ok), 12:01 , 10-Июл-22, (31) +4

Увлекательность этих событий соответствует увлекательности событий по внедрению , Аноним (14), 12:07 , 10-Июл-22, (32)

The next station is crates io, Без аргументов (?), 12:48 , 10-Июл-22, (33) +4

Смузипроблемы не волнуют настоящих программистов на ANSI C , Аноним (46), 14:49 , 10-Июл-22, (49) +1
Там хуже уже не будет - логин возможен только через гитхаб , НяшМяш (ok), 17:17 , 10-Июл-22, (63) +1

Фактически теперь и адреса разработчиков после высылки ключей узнают деанонимиз, Аноним (37), 13:26 , 10-Июл-22, (37) +6

сколько там пожизненных светит мелкософту , Sw00p aka Jerom (?), 13:31 , 10-Июл-22, (39)

Видимо много, иначе, если дадаут электрическиё стул, то они и в аду своей страте, Аноним (37), 14:05 , 10-Июл-22, (43)

Не надо оскорблять ад Там грешников жарят за дело и по чесноку Все черти милли, Брат Анон (ok), 08:07 , 11-Июл-22, (97)

Параноики такие параноики Адреса разработчиков кому надо вычислили по IP А аппа, Аноним (71), 19:36 , 10-Июл-22, (72)

Прикинь, чувак, я сам себе почтовый провайдер Так было можно, ага , myhand (ok), 06:18 , 11-Июл-22, (91) +3

Это следующий этап Скоро ключи DKIM будут только от гугла и только на их токена, 1 (??), 09:43 , 11-Июл-22, (98)

Отставить панические настроения Основная проблема в том, что почтой ныне не мо, myhand (ok), 06:18 , 13-Июл-22, (140)

Что, еще нужно свой почтовый сервер поднимать, чтобы leftpad сопровождать , Аноним (14), 11:42 , 11-Июл-22, (104)

- это что, чтоб потрахаться, еще и член должен стоять - ну, твой член может и не, Михрютка (ok), 20:22 , 11-Июл-22, (117)

Неправильная у тебя ана та самая логия С потенцией как раз проблем нету, так как, Аноним (14), 21:24 , 11-Июл-22, (123)

Оно конечно Может еще без папы с мамой ботинки зашнуровывать , myhand (ok), 14:38 , 13-Июл-22, (143)

завтра еще будут судить за внедрение бекдора в свой код , Sw00p aka Jerom (?), 13:27 , 10-Июл-22, (38)
В оригинале написано Интересная мысль, mikhailnov (ok), 13:33 , 10-Июл-22, (40)
Золотые слова Жаль, что 99 обычного пользовательского мусора это в принципе не , Dzen Python (ok), 14:34 , 10-Июл-22, (44) +5

Любишь кататься - люби и саночки возить Ишь ты развлекаться он захотел , Аноним (48), 14:48 , 10-Июл-22, (48) –2

Любишь кататься - люби и катайся Армянское радио , Аноним (53), 15:41 , 10-Июл-22, (56) +4

А как же большая сила больша ответственность А ну да это другое , Аноним (58), 16:11 , 10-Июл-22, (58) –1

Попробуй более сильного хотя бы отвечать, хрен с ним с соответствием , Аноним (14), 20:08 , 10-Июл-22, (75)

попробуй отвечать , Аноним (85), 15:22 , 14-Июл-22, (147)

лiл на HN комментаторы негодуютLOLпри этом кто-то ехидно заметил, что в эту пипу, Михрютка (ok), 15:20 , 10-Июл-22, (50) –1

С какой целью ты постишь ссылки на экстремистские сайты , Аноним (54), 15:39 , 10-Июл-22, (54)

С какой целью ты называешь нормальные сайт экстремистскими , Аноним (59), 16:17 , 10-Июл-22, (59) –2

товарищ майор, будете читать тред - этих двух анонимов разъясните в первую очере, Михрютка (ok), 18:57 , 10-Июл-22, (69) +3

Тем не менее - разлагаться во враждебном твитере нынче попахивает госизменой Та, тов.майор (?), 17:01 , 11-Июл-22, (110)

лол я бы с удовольствием так поразлагался, как тот нигра по ссылке жалко здоров, Михрютка (ok), 17:45 , 11-Июл-22, (111)

А сожрать ту жыжу ему здоровье позволяет Хорошо хоть родина эта так просто не , тов.майор (?), 18:05 , 11-Июл-22, (112)

Функции JavaScript недоступны В вашем браузере отключены функции JavaScript Вкл, другое Имя (?), 23:26 , 14-Июл-22, (151)

Сейчас сочиняю плагин для git, для шифровки комментариев, readme etc, чтобы при, AKTEON (?), 15:27 , 10-Июл-22, (52) +1

Просто на своем сервере bare репозиторий сделать не судьба Зачем продолжать жрат, Аноним (55), 15:45 , 10-Июл-22, (57) +3

Мсье немножечко садист ,хе-хе, AKTEON (?), 16:40 , 10-Июл-22, (61) +2

В двенадцать это нормально , Аноним (133), 17:15 , 12-Июл-22, (134) +1

https github com AGWA git-crypt же, ничего сочинять не надо, Nikon_NLG (?), 12:34 , 11-Июл-22, (105)

Вот платформа плохая, а страдать должны разработчики Странно, что всего один ре, Аноним (66), 17:29 , 10-Июл-22, (66) +2
Ага, светлое корпоративное будущее с чипами в жо ой, простите, это в следующе, Аноним (-), 21:17 , 10-Июл-22, (82) +2
Автор молодец Нельзя вот так Py-дорам сдаваться VIVA LA RESISTANCE , InuYasha (??), 22:09 , 10-Июл-22, (83)
К сожалению, токены могут быть отправлены только в Австрию, Бельгию, Канаду, Фр, Kuromi (ok), 00:35 , 11-Июл-22, (87)

Дело в том, что есть запрет на экспорт секретных технологий Так что, можно пр, Аноним (14), 10:51 , 11-Июл-22, (103)

А вы в курсе что в РФ официально продаются WebAuthn токены от того же Feitian , Kuromi (ok), 00:25 , 12-Июл-22, (127)

Нет, Аноним (85), 15:22 , 14-Июл-22, (148)

да, в нецивилизованные страны криптотехнологии отправлять несколько не принято , пох. (?), 18:20 , 11-Июл-22, (113) –2

Почитайте список сертифицированных ФСБ железок С удивлением обнаружите там WebA, Kuromi (ok), 00:27 , 12-Июл-22, (128)

Это действительно странно, что там есть цивилизованные Австрия и Германия, но не, Аноним (132), 09:31 , 12-Июл-22, (132)

После фразы не пожелал переходить на двухфакторную аутентификацию и для искл, Олексий (?), 13:54 , 11-Июл-22, (106) –4

Ребят, все кто минусуют, вы тоже можете собираться Если человек не думает про, Олексий (?), 00:20 , 12-Июл-22, (126) –3

Он то как раз и думает, в отличие от некоторых местных экспертов по buzzwords П, n00by (ok), 08:30 , 12-Июл-22, (131)

Ставь двухфакторную аутентификацию на свои трусы, иначе вон из професии , Аноним (154), 16:06 , 15-Июл-22, (154)

Захочет барышня сделать Олексию приятно - а ну куда полезла, парольчик давай, о, Аноним (154), 16:14 , 15-Июл-22, (155)

Гмм,а есть ли опенсорсные аппаратные ключи Вроде бы в линейке STM32F есть крипт, АнонимусШифропанк (?), 15:18 , 11-Июл-22, (108)

Крипто можно и в софте сделать А в чем прикол слепо доверять какому-то блоку в , Аноним (-), 20:30 , 11-Июл-22, (119) –3

у них невскрываемость лучше типа полез с паяльником - оно внутри себя всё стерл, Аноним (129), 02:20 , 12-Июл-22, (129)

В смысле, можно это самое в STM без крипто блока, хоть и медленнее, конечно , Аноним (-), 03:39 , 13-Июл-22, (139)

GNUK, Аноним (130), 08:28 , 12-Июл-22, (130)

Инфантилизм 8212 самая большая нетехническая проблема в IT Особенно сильно о, Аноним (145), 18:55 , 13-Июл-22, (146) –1

Я смотрю ты руководитель, Аноним (85), 15:23 , 14-Июл-22, (149)

Было дело, да Но лет двенадцать как завязал с этим В конце концов, если бы я х, Аноним (133), 17:23 , 14-Июл-22, (150)

И хорошо, не твоё это Ибо люди - не роботы, Аноним (154), 16:04 , 15-Июл-22, (153)

компания Google выступила спонсором Какая неожиданность , КО (?), 07:54 , 15-Июл-22, (152)
8212 Ты пацак, ты пацак и он пацак А я чатланин и они чатлане Так что ты ца, Легивон (?), 11:23 , 17-Июл-22, (156)

Сообщения [Сортировка по времени | RSS]

1. Скрыто модератором +11 +/–

Сообщение от Аноним (1), 10-Июл-22, 09:13

> которые некоторые разработчики сравнили с инцидентом в результате удаления пакета left-pad в NPM
вот уж чёрный день был для макак, помнят до сих пор

Ответить | Правка | Наверх | Cообщить модератору

2. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +21 +/–

Сообщение от Аноним (2), 10-Июл-22, 09:34

Спорное решение PyPi. Это опасный прецедент, касающийся перекладывания ответственности за открытый код с пользователя этого кода на разработчика.
Сегодня разработчик вынужден покупать и использовать токен т.к. он (разработчик) априори считается ненадёжным, а завтра его начнут за баги вызывать в суд.

Ответить | Правка | Наверх | Cообщить модератору

14. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +6 +/–

Сообщение от Аноним (14), 10-Июл-22, 10:41

> перекладывания ответственности
Ответственность переложили, права забрали. Всё честно.

Ответить | Правка | Наверх | Cообщить модератору

60. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +1 +/–

Сообщение от anonymous (??), 10-Июл-22, 16:31

>начнут за баги вызывать в суд
и microsoft тоже?

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

71. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Аноним (71), 10-Июл-22, 19:22

> разработчик вынужден покупать и использовать токен
Токен генерируется в любом свободном менеджере паролей. Например, KeePassXC. И дальше работает как второй пароль, который известен только пользователю и сервису. Но не известен почтовому провайдеру и мобильному оператору. И если злонамеренный сотрудник последнего захочет воспользоваться учеткой клиента/абонента на стороннем сервисе (всеми учетками на популярных сервисах, всех пользователей, автоматизированно и массово), и попытается инициировать сброс пароля, то столкнется с необходимостью как-то получить этот второй фактор.
Лучше, чем ничего. Хотя ещё лучше было бы для аутентификации пользователей на сервисах вместо идиотской почты-пароля из каменного века использовать ассиметричное шифрование. Без почты, без пароля, просто пара ключей. Но это вотчина веб-макак, тут всё так - через опу.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

73. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Аноним (14), 10-Июл-22, 19:55

> сброс пароля
Сделали огромную дыру и латают (другой дырой).

Ответить | Правка | Наверх | Cообщить модератору

88. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +2 +/–

Сообщение от Аноним (88), 11-Июл-22, 01:00

Ну ты-то пароли никогда не забывал. Только на бумажечках писал и на монитор клеил.

Ответить | Правка | Наверх | Cообщить модератору

101. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Аноним (14), 11-Июл-22, 10:23

Нет. Отправлял по электронной почте России открытым текстом, как требовал безопасТный сервис. С смс подтверждением, чтобы все знали, когда я сбросил пароль.

Ответить | Правка | Наверх | Cообщить модератору

138. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +1 +/–

Сообщение от Аноним (-), 13-Июл-22, 03:36

> Ну ты-то пароли никогда не забывал. Только на бумажечках писал и на
> монитор клеил.
А что, разве хакер сможет его так спереть? Его даже в вебкам не видно :)

Ответить | Правка | К родителю #88 | Наверх | Cообщить модератору

3. Скрыто модератором –2 +/–

Сообщение от Аноним (3), 10-Июл-22, 09:42

Да где вы вычитали-то, что обязательно использовать аппаратный токен? Просто 2FA требуют и всё.

Ответить | Правка | Наверх | Cообщить модератору

5. Скрыто модератором +2 +/–

Сообщение от Аноним (2), 10-Июл-22, 09:48

Из текста новости создалось впечатление, что аппаратные токена обязательны для критически-важных пакетов.
Сходил в истоячник и нашёл в FAQ такой пункт:
> What should maintainers in non-eligible regions do?
> ...
> Alternatively, you should enable 2FA via a TOTP application instead. See How does two factor authentication with an authentication application (TOTP) work? How do I set it up on PyPI?
Так что да - обычные TOTP черер приложения всё же можно использовать. Тогда вообще не особо понятен смысл новости.

Ответить | Правка | Наверх | Cообщить модератору

7. Скрыто модератором +/–

Сообщение от Аноним (3), 10-Июл-22, 09:53

Смысл новости в том, что автор пакета неправильно понял, чего и зачем от него хотят, ему стало впадлу потратить 5 минут на настройку 2FA, и он пошёл против системы. Зато не поленился удалять пакет, восстанавливать, писать в поддержку, вызывать админов, и устраивать всей экосистеме зависимостей веселье на 12 часов. В итоге все равно настроил 2FA.

Ответить | Правка | Наверх | Cообщить модератору

34. Скрыто модератором +3 +/–

Сообщение от n00by (ok), 10-Июл-22, 12:51

Автор пакета всё понял правильно. Привыкайте, халява заканчивается.

Ответить | Правка | Наверх | Cообщить модератору

11. Скрыто модератором +7 +/–

Сообщение от BrainFucker (ok), 10-Июл-22, 10:24

> Так что да - обычные TOTP черер приложения всё же можно использовать.
А я не хочу какие-то дополнительные левые приложения использовать. И тем более передавать третьим приложениям или сервисам контроль над аутентификацией.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

8. Скрыто модератором +/–

Сообщение от Аноним (8), 10-Июл-22, 09:55

Где вы в новости вычитали про  обязательное использование токена? Про обязательность написано в общем виде, а про токены упоминается "использование по умолчанию" и далее поясняется "В качестве альтернативы также предусмотрена возможность применения вместо токена аутентификации на базе одноразовых паролей".

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

16. Скрыто модератором –1 +/–

Сообщение от Аноним (16), 10-Июл-22, 10:55

Очевидно, в момент написания первых комментов из этого треда текст новости был ещё другой, и из него следовало, что можно только аппаратные токены.

Ответить | Правка | Наверх | Cообщить модератору

27. Скрыто модератором +/–

Сообщение от Аноним (27), 10-Июл-22, 11:27

В отредактированном варианте появилось лишь примечание с  разжевыванием в скобках. Про то что можно использовать и TOTP в ниже по тексту  было изначально, просто люди невнимательно читают или до конца недочитывают.

Ответить | Правка | Наверх | Cообщить модератору

4. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +3 +/–

Сообщение от Аноним (-), 10-Июл-22, 09:43

начнут с внедрения токенов разработчиков ради безопасности. потом введут токены на доступ ради безопасности. а потом отзыв токенов за мыслепреступления, политики отмены или толкования свободы слова.

Ответить | Правка | Наверх | Cообщить модератору

6. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." –5 +/–

Сообщение от Аноним (3), 10-Июл-22, 09:49

Не накручивайте, никто не требует никаких аппаратных токенов, это лишь один из способов

Ответить | Правка | Наверх | Cообщить модератору

9. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +1 +/–

Сообщение от ыы (?), 10-Июл-22, 10:18

..Внедрить бакдур...
Вы чип в токене сами проверяли?

Ответить | Правка | Наверх | Cообщить модератору

53. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." –1 +/–

Сообщение от Аноним (53), 10-Июл-22, 15:31

https://www.opennet.ru/opennews/art.shtml?num=51829

Ответить | Правка | Наверх | Cообщить модератору

102. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." –1 +/–

Сообщение от Аноним (102), 11-Июл-22, 10:29

Только сам гугл не заслуживает доверия

Ответить | Правка | Наверх | Cообщить модератору

13. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +8 +/–

Сообщение от Аноним (13), 10-Июл-22, 10:39

Про Секурбут тоже говорили, что для защиты, а теперь по умолчанию сторонние ОС нельзя загружать. Пока ещё не у всех и можно отключить, но когда будет, будет поздно паниковать.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

78. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от microsoft (?), 10-Июл-22, 20:38

А хомяку пофигу, главное жрать макдак, и смотреть порно по этой железке, все. Ему не до ваших секурбут.

Ответить | Правка | Наверх | Cообщить модератору

100. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Admino (ok), 11-Июл-22, 10:21

Ну это пока.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

19. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." –4 +/–

Сообщение от torvn77 (ok), 10-Июл-22, 11:03

Несколько лет назад я читал что длинна надёжных паролей превысила значение которое большинству людей безппроблем запомнить и ввести с клавиатуры.
Более того, вот я к примеру отключил у себя Стиме вход через временный пароль из их приложения, оставив только получение кодов на почту, так мой ящик завален письмами с попытками входа под  моим аккаунтом, что означает что мой  малосекюрный пароль с моего компа таки украли.
Одним словом проблема с паролями есть и я бы хотел чтобы Стим сделал у себя аутентификацию через аппаратный токен.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

22. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +6 +/–

Сообщение от Аноним (14), 10-Июл-22, 11:13

> мой  малосекюрный пароль с моего компа таки украли
Значит, украдут и многосекурный пароль/ключ.

Ответить | Правка | Наверх | Cообщить модератору

79. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +1 +/–

Сообщение от penetrator (?), 10-Июл-22, 21:00

кто заставляет тебя запоминать каждый пароль?
локальный менеджер паролей со случайным мастер паролем в 16-24 символом решает
1 случайный пароль можно запомнить без проблем

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

89. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." –1 +/–

Сообщение от Аноним (88), 11-Июл-22, 01:02

>мой ящик завален письмами с попытками входа под  моим аккаунтом, что означает что мой  малосекюрный пароль с моего компа таки украли
Вирусню разогнать не пробовал?

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

120. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от torvn77 (ok), 11-Июл-22, 20:35

Ты хочешь сказать что мой линукс поражён вирусами?

Ответить | Правка | Наверх | Cообщить модератору

144. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Аноним (144), 13-Июл-22, 14:44

Не обязательно линукс. Может, девушка, бабушка, кот...

Ответить | Правка | Наверх | Cообщить модератору

137. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от anonymous (??), 13-Июл-22, 00:23

> Несколько лет назад я читал что длинна надёжных паролей превысила значение которое большинству людей безппроблем запомнить и ввести с клавиатуры.
Мне кажется вы не в курсе, что такое экспонента. Экспонента - это когда для того чтобы повысить защиту в несколько раз, надо добавить всего лишь несколькои символов в пароль, а не умножать.
P.S. Как-то заморочался с паролем, распечатал случайные символы на A4. Подобрал в уме картинку, ведёшь в уме пальцем по линии, собираешь пароль. 73 символа таким образом набрал. Первые три дня использовал бумажку. А потом руки сами набирают, участия мозга не требуется. Что-то мне кажется, что компьютеры не смогут пароль такой длины перебрать, пока на квантовые вычисления не перейдут.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

141. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Аноним (141), 13-Июл-22, 08:39

>Как-то заморочался с паролем, распечатал случайные символы на A4
Смотри, твою идею украли: passwordcard.org :D

Ответить | Правка | Наверх | Cообщить модератору

142. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от torvn77 (ok), 13-Июл-22, 12:07

> 73 символа
Большинство людей будут тспытывать проблемы даже с восьмисимвольным паролем.
А с паролем более 14 символов это большинство составит основную массу народа.

Ответить | Правка | К родителю #137 | Наверх | Cообщить модератору

46. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Аноним (46), 10-Июл-22, 14:42

А потом внедрять токен пониже спины

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

51. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." –4 +/–

Сообщение от Михрютка (ok), 10-Июл-22, 15:24

ну в РФ вообще доступ в интернеты по паспорту. и ничего, живут как-то люди.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

65. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +1 +/–

Сообщение от Аноним (46), 10-Июл-22, 17:27

> ну в РФ вообще доступ в интернеты по паспорту. и ничего, живут
> как-то люди.
А в каких странах не по паспорту?

Ответить | Правка | Наверх | Cообщить модератору

68. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +2 +/–

Сообщение от Михрютка (ok), 10-Июл-22, 18:39

>> ну в РФ вообще доступ в интернеты по паспорту. и ничего, живут
>> как-то люди.
> А в каких странах не по паспорту?
в великобритании, говорят. купил препейд сим и в путь. в чехии то ж самое. на украине. это я так, что сам знаю, кто-нить еще может подкинут примеров.

Ответить | Правка | Наверх | Cообщить модератору

74. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +1 +/–

Сообщение от Аноним (14), 10-Июл-22, 20:02

Хотелось бы услышать истории узбека, как они покупают симки не только в РФ.

Ответить | Правка | Наверх | Cообщить модератору

76. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +2 +/–

Сообщение от Михрютка (ok), 10-Июл-22, 20:16

> Хотелось бы услышать истории узбека, как они покупают симки не только в
> РФ.
история простая
узбек прилетает в борисполь^W^W^Wпоправочка, через азербиджян турцыю и румынию приезжает в чоп. покупает в киоске симку без паспорта, закидывает на нее в том же киоске бабла наличкой. все, можешь пользоваться без регистрации и смс.
узбек где-то чего-то недопонимает, ему нужно где-то что-то доразъяснить?

Ответить | Правка | Наверх | Cообщить модератору

77. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." –1 +/–

Сообщение от Аноним (14), 10-Июл-22, 20:29

Я ничего не понял: узбеки-туристы покупают симки без паспорта вне зависимости от страны?

Ответить | Правка | Наверх | Cообщить модератору

81. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." –2 +/–

Сообщение от Аноним (81), 10-Июл-22, 21:12

Борисполь уцелел?

Ответить | Правка | К родителю #76 | Наверх | Cообщить модератору

135. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Михрютка (ok), 12-Июл-22, 21:34

> узбек где-то чего-то недопонимает, ему нужно где-то что-то доразъяснить?
лол узбек обиделся, что его попросили предъявить документ, и настучал mc.
mc - за многонационалочку, не смог отказать.

Ответить | Правка | К родителю #76 | Наверх | Cообщить модератору

115. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Аноним (115), 11-Июл-22, 19:26

Муж ездил в Лондон 3 года назад, но сим карту для интернета зарегистрировать не мог так как регистрация занимала очень много времени.
Странно что вы смогли купить в великобритании симкарту.

Ответить | Правка | К родителю #68 | Наверх | Cообщить модератору

116. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Михрютка (ok), 11-Июл-22, 19:49

> Муж ездил в Лондон 3 года назад, но сим карту для интернета
> зарегистрировать не мог так как регистрация занимала очень много времени.
> Странно что вы смогли купить в великобритании симкарту.
"в великобритании, _говорят_. купил препейд сим и в путь."
я видимо, неясно выразился. я лично покупал в Чехии. в Великобритании - это только по рассказам знакомых.
про британию также было рассказано, что активация симки с требованием ID - это всегда инициатива конкретного оператора, не требование закона. способ активировать симку по закону у такого оператора тоже непременно есть, но найти его - это такой же квест, как попасть на живого оператора в голосовых меню киевстара.
на крайняк, что я буду ссылаться на собственный опыт? возьмите любой более/менее свежий отчет GSM ассоциации о доступности мобильной связи в мире, там есть раздел "требование ID при активации sim карты" с разбивкой по странам. Раздел странный, т.к. там Украина почему-то входит в число стран, требующих ID при активации, но это хоть какой-то официальный документ от знакомой с вопросом организации.
вот, к примеру
https://www.gsma.com/mobilefordevelopment/wp-content/uploads...

Ответить | Правка | Наверх | Cообщить модератору

10. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +1 +/–

Сообщение от Аноним (14), 10-Июл-22, 10:24

> Каждый сопровождающий может подать заявку на бесплатное получение двух токенов
БезопасТность. Удвоенная.

Ответить | Правка | Наверх | Cообщить модератору

12. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +8 +/–

Сообщение от Геймер (?), 10-Июл-22, 10:25

А Гуголь, конечно же, совершенно случайно проходил мимо со своими "титанами" и по доброте душевной расщедрился аж на 4 тыщи токен-флешек по принципу "первые две дозы бесплатно".

Ответить | Правка | Наверх | Cообщить модератору

15. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +3 +/–

Сообщение от YetAnotherOnanym (ok), 10-Июл-22, 10:52

> компания Google выступила спонсором инициативы и выделила для проекта 4000 ключей Titan
Как легко и просто взять на карандаш всех ключевых разработчиков библиотек для питона.

Ответить | Правка | Наверх | Cообщить модератору

17. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Попандопала (?), 10-Июл-22, 11:01

Чтобы потом сопровождающих не искать, как с иксами? D

Ответить | Правка | Наверх | Cообщить модератору

28. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." –2 +/–

Сообщение от YetAnotherOnanym (ok), 10-Июл-22, 11:45

С иксами - это как? Как искать с собаками - знаю, а с иксами - это что-то новенькое.

Ответить | Правка | Наверх | Cообщить модератору

41. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от n00by (ok), 10-Июл-22, 13:46

Так себе шутка в наше неспокойное время. Теперь, что бы внедрить зловредный код, придётся прийти домой к разработчику.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

45. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +1 +/–

Сообщение от Dzen Python (ok), 10-Июл-22, 14:36

При этом зловредный код будет подписан всеми десятью валидными траст-слоями от разраба и найти его смогут лишь случайно, года тысячапервый глаз по приколу залезет в код узнать, а что это за слабенький постоянный траффик у него идет.

Ответить | Правка | Наверх | Cообщить модератору

47. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." –7 +/–

Сообщение от Аноним (46), 10-Июл-22, 14:47

СПО идеалогия это просто маркетинг. На самом деле никто не смотрит исходники программ. Даже относительно простых и понятных программ на языке питон

Ответить | Правка | Наверх | Cообщить модератору

92. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." –1 +/–

Сообщение от Аноним (-), 11-Июл-22, 06:23

Вообще-то я в исходники смотрю периодически. Правда, конечно, не д@рьмища на питоне, я таким не пользуюсь просто - и поводов смотреть нет.
А если б гений знал что есть инструменты типа git позволяющие инкрементально отличия между версиями обозревать...

Ответить | Правка | Наверх | Cообщить модератору

109. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." –1 +/–

Сообщение от Аноним (109), 11-Июл-22, 16:58

> СПО идеалогия это просто маркетинг. На самом деле никто не смотрит исходники программ. Даже относительно простых и понятных программ на языке питон
СПО идеология подразумевает, что тех кто пишет документацию в разы меньше тех кто программирует (это скучнее). Отсюда и необходимость лазить в исходники. Иначе никак :(

Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

122. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Аноним (14), 11-Июл-22, 21:05

> СПО идеология подразумевает, что...
пользователь - хакер, может свободно менять программу.
Все остальное - это, можно так сказать, следствие этого принципа.

Ответить | Правка | Наверх | Cообщить модератору

96. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от n00by (ok), 11-Июл-22, 07:12

Ну да, виноват окажется разработчик. При этом в лучшем случае его привлекут к ответственности. В лучшем - потому что он при этом останется жив и здоров. Интересная цена за free* time?
*) “free” as in “free speech,” not as in “free beer”

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

67. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +1 +/–

Сообщение от Аноним (14), 10-Июл-22, 18:39

Раздача двух токенов "про запас" ясно говорит об уровне уникальности. Монополизация внедрения зловредного кода.

Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

85. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +1 +/–

Сообщение от Аноним (85), 10-Июл-22, 23:52

Токены не уникальные, ключ загружаешь на них сам.

Ответить | Правка | Наверх | Cообщить модератору

99. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +2 +/–

Сообщение от Аноним (14), 11-Июл-22, 09:57

> Токены не уникальные
Какой смысл таких токенов?
> ключ загружаешь на них сам
Тогда зачем нужны токены, если ключ есть и без них? Чтобы было больше копий, которые можно скомпрометировать.
БезопасТность. Утроенная.

Ответить | Правка | Наверх | Cообщить модератору

107. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Аноним (107), 11-Июл-22, 14:55

> Какой смысл таких токенов?
а какой смысл уникальных токенов, в которых ключ не меняется и зашит с завода?
> Тогда зачем нужны токены, если ключ есть и без них?
никто не заставляет хранить исходный ключ. А из токена его обычно достать гораздо сложнее

Ответить | Правка | Наверх | Cообщить модератору

114. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." –1 +/–

Сообщение от Аноним (14), 11-Июл-22, 18:50

> а какой смысл уникальных токенов?
В том, что удовлетворяют фактору "владеть (уникальной) вещью"
> в которых ключ не меняется и зашит с завода?
Для таких случаев как раз придумали аппаратный генератор непсевдослучайных чисел.
> никто не заставляет хранить исходный ключ.
Также никто не заставляет удалять исходный ключ.
> А из токена его обычно достать гораздо сложнее
"Обычно сложнее" - оценочное суждение. Красавчик!

Ответить | Правка | Наверх | Cообщить модератору

118. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Аноним (118), 11-Июл-22, 20:27

> В том, что удовлетворяют фактору "владеть (уникальной) вещью"
не заводи второй токен. Токены не уникальные, а вот положить в разные токены уникальные ключи тебя никто не ограничивает
> Для таких случаев как раз придумали аппаратный генератор непсевдослучайных чисел.
не в тему. Как с его помощью шифровать/подписывать и т.д.?
> "Обычно сложнее" - оценочное суждение. Красавчик!
"Обычно" и "гораздо" разные вещи, красавчик.
Думаю и для тебя вытащить что-то из того же tpm будет гораздо сложнее, чем раздобыть файлик с паролями.

Ответить | Правка | Наверх | Cообщить модератору

121. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Аноним (14), 11-Июл-22, 20:52

>> Для таких случаев как раз придумали аппаратный генератор непсевдослучайных чисел.
> не в тему. Как с его помощью шифровать/подписывать и т.д.?
Ясно, "эксперт", который не знает для чего нужен не псевдо рандом

Ответить | Правка | Наверх | Cообщить модератору

18. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." –1 +/–

Сообщение от ИмяХ (?), 10-Июл-22, 11:02

Опенсорс - это свобода

Ответить | Правка | Наверх | Cообщить модератору

21. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +6 +/–

Сообщение от Аноним (21), 10-Июл-22, 11:11

Свобода. А вот централизованная инфраструктура пакетов - чистое зло.

Ответить | Правка | Наверх | Cообщить модератору

20. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +8 +/–

Сообщение от Аноним (21), 10-Июл-22, 11:10

Ишь ты, хотел он для удовольствия код писать. Должен обслуживать корпорации, наемные макаки которых уже используют твой код. Да, бесплатно.
Сказали зонд установить - будь добр.

Ответить | Правка | Наверх | Cообщить модератору

23. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." –1 +/–

Сообщение от torvn77 (ok), 10-Июл-22, 11:17

Все кто не доволен могут сделать и предложить плугин для двойной аутентификации на сайте через демонстрацию в вебкамеру распечатанного на принтере QR кода.
Ну а если не хотите то не жалуйтесь на то, что корпорации делают эту аутентификацию сами по своим стандартам.

Ответить | Правка | Наверх | Cообщить модератору

35. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." –1 +/–

Сообщение от n00by (ok), 10-Июл-22, 12:58

> Все кто не доволен могут сделать и предложить плугин для двойной аутентификации
> на сайте через демонстрацию в вебкамеру распечатанного на принтере QR кода.
Полагаю, все кто не доволен отказом автора сопровождать пакет, могут записать на вебкамеру три приседания со словами "ку" и прислать автору ссылку. Может он передумает?

Ответить | Правка | Наверх | Cообщить модератору

93. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +2 +/–

Сообщение от Аноним (-), 11-Июл-22, 06:24

А канкан на камеру им там танцевать не надо для доказательства что не верблюд?

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

29. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +1 +/–

Сообщение от Аноним (29), 10-Июл-22, 11:49

То есть в перспективе к написанию бесплатного опенсорца будут допускаться только жители небольшого числа белых стран, которые прошли необходимые проверки гугла (по критериям лгбт) и получившие аппаратные токены. Они сами не видят бредовость своих реплилоидных планов?)

Ответить | Правка | Наверх | Cообщить модератору

55. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +2 +/–

Сообщение от Аноним (55), 10-Июл-22, 15:40

Ну так и есть. Опенсорс должен приносить выгоду белым людям, увеличивая отрыв от всех остальных стран, а не сокращая его. Не забывайте, что началось все с BSD и MIT, то есть с библиотечного фонда американских институтов. Это уже потом хиппи придумали GPL и какое-то там Free as Freedom software, которое последние лет 20 в глубоком кризисе.
Сейчас любой китаец или индус, или даже ужас-ужас русский, может получить доступ к передовой мысли, обучиться, построить свой продукт и даже распространить его среди белых людей. Это непорядок. В идеале он не должен иметь возможности создавать и продавать свои продукты. Для этого нужно отобрать доступ к инфраструктуре разработки и развертывания, прежде всего к гитхабу и репозиториям пакетов разного рода, которые о чудо - очень сильно централизованы. В конечном итоге должна получиться ситуация, когда ради доступа к условному гитхабу меняют гражданство и страну, потому что локальный гитхаб по тем или иным причинам не содержит современного и актуального кода, или не содержит ключевых технологий (даже тут на опеннете говноеды ноют про отсутствие у аналогов гитхаба бесплатного деплоя - прекрасный пример Extend Embrace Extinguish).
Цель как и прежде собирать у себя лучшие кадры, оставляя второму миру роль вечно догоняющих, а третьему миру и вовсе роль рабочей силы для вредной работы и дешевого мяса для борделей. Ничего кстати нового, колониализм невер ченжес.

Ответить | Правка | Наверх | Cообщить модератору

133. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Аноним (133), 12-Июл-22, 17:10

Как житель страны первого мира, одобряю такой план. Особенно мне про мясо для борделей понравилось. Куда перечислить деньги, чтобы уже прямо сейчас начали внедрение?

Ответить | Правка | Наверх | Cообщить модератору

136. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." –1 +/–

Сообщение от Аноним (55), 12-Июл-22, 22:58

Ты уже перечислил. И будешь перечислять, пока коленом под зад не дадут за то что слишком русский.
Проблема с этим подходом в том, что он хорошо работает лишь до тех пор, пока истинные цели не на виду. Так что не получится ничего. Централизация ослабеет - как это было с экосистемой андроид, например.

Ответить | Правка | Наверх | Cообщить модератору

145. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." –2 +/–

Сообщение от Аноним (145), 13-Июл-22, 18:49

А я не русский, спасибо родителям.

Ответить | Правка | Наверх | Cообщить модератору

31. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +4 +/–

Сообщение от freehck (ok), 10-Июл-22, 12:01

> Инициатива не обошлась без инцидента. Автор пакета Atomicwrites, насчитывающего 6 млн загрузок в месяц и 38 млн за 6 месяцев, не пожелал переходить на двухфакторную аутентификацию и для исключения своего пакета из списка критически важных попытался сбросить счётчик загрузок. Для сброса он вначале удалил пакет, а потом загрузил новую версию. Ожидалось, что подобная манипуляция лишь сбросит счётчик, но к удивлению разработчика из репозитория были удалены и все старые версии, что привело к проблемам у зависимых от библиотеки проектов, которые некоторые разработчики сравнили с инцидентом в результате удаления пакета left-pad в NPM.
Ребята, ну это прямо-таки комедия! Настроение с утра подняли по самое некуда! =)
Да, мужик, борись с системой! Хочу больше таких новостей по утрам! ))))

Ответить | Правка | Наверх | Cообщить модератору

32. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Аноним (14), 10-Июл-22, 12:07

Увлекательность этих событий соответствует увлекательности событий по внедрению "критической безопасности".

Ответить | Правка | Наверх | Cообщить модератору

33. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +4 +/–

Сообщение от Без аргументов (?), 10-Июл-22, 12:48

The next station is crates.io

Ответить | Правка | Наверх | Cообщить модератору

49. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +1 +/–

Сообщение от Аноним (46), 10-Июл-22, 14:49

Смузипроблемы не волнуют настоящих программистов на ANSI C

Ответить | Правка | Наверх | Cообщить модератору

63. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +1 +/–

Сообщение от НяшМяш (ok), 10-Июл-22, 17:17

Там хуже уже не будет - логин возможен только через гитхаб.

Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

37. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +6 +/–

Сообщение от Аноним (37), 10-Июл-22, 13:26

Фактически теперь и адреса разработчиков после высылки ключей узнают (деанонимизация) и от изменений в репозиторий из-за второго фактора уже не отвертишься. Попахивает возросшей юридической ответственностью разработчиков...

Ответить | Правка | Наверх | Cообщить модератору

39. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Sw00p aka Jerom (?), 10-Июл-22, 13:31

>Попахивает возросшей юридической ответственностью разработчиков...
сколько там пожизненных светит мелкософту?

Ответить | Правка | Наверх | Cообщить модератору

43. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Аноним (37), 10-Июл-22, 14:05

Видимо много, иначе, если дадаут электрическиё стул, то они и в аду своей стратегией EEE все разрушат

Ответить | Правка | Наверх | Cообщить модератору

97. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Брат Анон (ok), 11-Июл-22, 08:07

Не надо оскорблять ад. Там грешников жарят за дело и по чесноку. Все черти миллиарды лет честно работают и токены им для работы не нужны.

Ответить | Правка | Наверх | Cообщить модератору

72. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Аноним (71), 10-Июл-22, 19:36

Параноики такие параноики.
Адреса разработчиков кому надо вычислили по IP. А аппаратный ключ заказывать не обязательно. Там обычный TOTP принимается в качестве второго фактора.
Зато почтовому провайдеру (тому же Гуглу) вы, конечно, безоговорочно доверяете, хотя он и ваши письма читает, и где вы регистрировались знает, и может получить доступ почти к любой сторонней учетке, инициировав сброс пароля без вашего ведома.

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

91. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +3 +/–

Сообщение от myhand (ok), 11-Июл-22, 06:18

> Зато почтовому провайдеру (тому же Гуглу) вы, конечно, безоговорочно доверяете
Прикинь, чувак, я сам себе почтовый провайдер.  Так было можно, ага.

Ответить | Правка | Наверх | Cообщить модератору

98. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от 1 (??), 11-Июл-22, 09:43

Это следующий этап. Скоро ключи DKIM будут только от гугла и только на их токенах.

Ответить | Правка | Наверх | Cообщить модератору

140. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от myhand (ok), 13-Июл-22, 06:18

Отставить панические настроения.  Основная проблема в том, что почтой ныне не модно-молодежно пользоваться.  Всем бы чатики-***ки всякие.

Ответить | Правка | Наверх | Cообщить модератору

104. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Аноним (14), 11-Июл-22, 11:42

Что, еще нужно свой почтовый сервер поднимать, чтобы leftpad сопровождать?

Ответить | Правка | К родителю #91 | Наверх | Cообщить модератору

117. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Михрютка (ok), 11-Июл-22, 20:22

> Что, еще нужно свой почтовый сервер поднимать, чтобы leftpad сопровождать?
- это что, чтоб потрахаться, еще и член должен стоять?
- ну, твой член может и не стоять.

Ответить | Правка | Наверх | Cообщить модератору

123. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Аноним (14), 11-Июл-22, 21:24

Неправильная у тебя ана та самая логия.
С потенцией как раз проблем нету, так как сопровождающий уже доказал, что может.
Правильный риторический диалог звучит так:
- это что, чтоб потрахаться, еще и презерватив надо надевать, ой, сайт знакомств поднимать?
- ну, ты можешь не надевать.

Ответить | Правка | Наверх | Cообщить модератору

143. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от myhand (ok), 13-Июл-22, 14:38

> Что, еще нужно свой почтовый сервер поднимать, чтобы leftpad сопровождать?
Оно конечно.  Может еще без папы с мамой ботинки зашнуровывать?

Ответить | Правка | К родителю #104 | Наверх | Cообщить модератору

38. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Sw00p aka Jerom (?), 10-Июл-22, 13:27

завтра еще будут судить за внедрение бекдора в свой код :)

Ответить | Правка | Наверх | Cообщить модератору

40. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от mikhailnov (ok), 10-Июл-22, 13:33

В оригинале написано:
>  I thought that was an annoying and entitled move in order to guarantee SOC2 compliance for a handful of companies (at the expense of my free time)
Интересная мысль

Ответить | Правка | Наверх | Cообщить модератору

44. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +5 +/–

Сообщение от Dzen Python (ok), 10-Июл-22, 14:34

>  Автор atomicwrites утверждает, что он бы предпочёл просто писать код для развлечения, а заботы о дополнительной защите от захвата злоумышленниками можно взвалить на себя когда за это платят.
Золотые слова.
Жаль, что 99% обычного пользовательского мусора это в принципе не поймут

Ответить | Правка | Наверх | Cообщить модератору

48. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." –2 +/–

Сообщение от Аноним (48), 10-Июл-22, 14:48

Любишь кататься - люби и саночки возить. Ишь ты развлекаться он захотел.

Ответить | Правка | Наверх | Cообщить модератору

56. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +4 +/–

Сообщение от Аноним (53), 10-Июл-22, 15:41

Любишь кататься - люби и катайся. (Армянское радио)

Ответить | Правка | Наверх | Cообщить модератору

58. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." –1 +/–

Сообщение от Аноним (58), 10-Июл-22, 16:11

А как же большая сила больша ответственность? А ну да это другое...

Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

75. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Аноним (14), 10-Июл-22, 20:08

> А как же большая сила больша ответственность?
Попробуй более сильного хотя бы отвечать, хрен с ним с соответствием.

Ответить | Правка | Наверх | Cообщить модератору

147. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Аноним (85), 14-Июл-22, 15:22

попробуй отвечать!!!

Ответить | Правка | Наверх | Cообщить модератору

50. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." –1 +/–

Сообщение от Михрютка (ok), 10-Июл-22, 15:20

лiл на HN комментаторы негодуют
> This is a bizarrely emotional response to me.
LOL
> There’s a moral obligation to mitigate harm caused by your project.
при этом кто-то ехидно заметил, что в эту пипу может загрузить код кто угодно, т.к. личность автора при загрузке ничем не удостоверяется.
> I had a package which I didn't publish on PyPI, just my web site as a "if you break it, you get to keep the pieces" sort of thing. I didn't even have a PyPI account.
> Someone else added it to PyPI without telling me. And people started using it from PyPI.
> I started getting messages about it, like PyPI developers asking maintainers to upgrade package metadata to include if it supported Python 3. That's when I realized it was on PyPI in the first place.
> One user even emailed me a question and said I had an obligation to support it, since I put it on PyPI.
ну и чисто позавидовать на выходных чужой печени - в твитер-треде про этот инциндент кто-то запостил прекрасное видео с подписью "node_modules when you start a new project."
https://twitter.com/dmofengineering/status/1545927256781885440

Ответить | Правка | Наверх | Cообщить модератору

54. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Аноним (54), 10-Июл-22, 15:39

С какой целью ты постишь ссылки на экстремистские сайты?

Ответить | Правка | Наверх | Cообщить модератору

59. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." –2 +/–

Сообщение от Аноним (59), 10-Июл-22, 16:17

С какой целью ты называешь нормальные сайт экстремистскими?

Ответить | Правка | Наверх | Cообщить модератору

69. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +3 +/–

Сообщение от Михрютка (ok), 10-Июл-22, 18:57

товарищ майор, будете читать тред - этих двух анонимов разъясните в первую очередь.
они здесь явно постят не с целью разлагаться и дегродировать, как все нормальные комментаторы.
а с НЕЯСНЫМИ, возможно даже ВРАЖДЕБНЫМИ ЦЕЛЯМИ.

Ответить | Правка | Наверх | Cообщить модератору

110. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от тов.майор (?), 11-Июл-22, 17:01

Тем не менее - разлагаться во враждебном твитере нынче попахивает госизменой. Так что не забывайте записывать, кто вам такие ссылки присылает и кому еще вы их перенаправляли.

Ответить | Правка | Наверх | Cообщить модератору

111. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Михрютка (ok), 11-Июл-22, 17:45

> Тем не менее - разлагаться во враждебном твитере нынче попахивает госизменой. Так
> что не забывайте записывать, кто вам такие ссылки присылает и кому
> еще вы их перенаправляли.
лол я бы с удовольствием так поразлагался, как тот нигра по ссылке. жалко здоровье не позволяет родину продать.

Ответить | Правка | Наверх | Cообщить модератору

112. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от тов.майор (?), 11-Июл-22, 18:05

А сожрать ту жыжу ему здоровье позволяет?! Хорошо хоть родина эта так просто не продается, товар специфичный, покупателей немного и все у меня на коротких поводках. Только еще какие неудачники злоумыслят продать - а уже в СИЗО показания дают.

Ответить | Правка | Наверх | Cообщить модератору

151. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от другое Имя (?), 14-Июл-22, 23:26

Функции JavaScript недоступны.
В вашем браузере отключены функции JavaScript. Включите их или начните использовать поддерживаемый браузер, чтобы продолжить пользоваться сайтом twitter.com. Список поддерживаемых браузеров приведен в Справочном центре.

Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору

52. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +1 +/–

Сообщение от AKTEON (?), 10-Июл-22, 15:27

Сейчас сочиняю плагин для git, для шифровки комментариев, readme  etc, чтобы при коммитах оно расшифровыввалось, а с тем, что на серверах - господа корпоративные пользователи сами разбирались .бггг

Ответить | Правка | Наверх | Cообщить модератору

57. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +3 +/–

Сообщение от Аноним (55), 10-Июл-22, 15:45

Просто на своем сервере bare репозиторий сделать не судьба?
Зачем продолжать жрать говно, посыпая его ароматизаторами?

Ответить | Правка | Наверх | Cообщить модератору

61. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +2 +/–

Сообщение от AKTEON (?), 10-Июл-22, 16:40

Мсье немножечко садист ,хе-хе

Ответить | Правка | Наверх | Cообщить модератору

134. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +1 +/–

Сообщение от Аноним (133), 12-Июл-22, 17:15

В двенадцать это нормально.

Ответить | Правка | Наверх | Cообщить модератору

105. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Nikon_NLG (?), 11-Июл-22, 12:34

https://github.com/AGWA/git-crypt же, ничего сочинять не надо

Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

66. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +2 +/–

Сообщение от Аноним (66), 10-Июл-22, 17:29

Вот платформа плохая, а страдать должны разработчики? Странно, что всего один решил плюнуть на загрузки в пипу.

Ответить | Правка | Наверх | Cообщить модератору

82. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +2 +/–

Сообщение от Аноним (-), 10-Июл-22, 21:17

Ага, светлое корпоративное будущее с чипами в жо... ой, простите, это в следующей версии, проверено на няшах питоняшах. Следуюшие на очереди, очевидно, хрустики.

Ответить | Правка | Наверх | Cообщить модератору

83. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от InuYasha (??), 10-Июл-22, 22:09

Автор молодец. Нельзя вот так Py-дорам сдаваться.
VIVA LA RESISTANCE!

Ответить | Правка | Наверх | Cообщить модератору

87. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Kuromi (ok), 11-Июл-22, 00:35

"К сожалению, токены могут быть отправлены только в Австрию, Бельгию, Канаду, Францию, Германию, Италию, Японию, Испанию, Швейцарию, Великобританию и США."
Собственно вот вам и списочек "правящей мировой тусовки", стран которые самые самые. Списочек кстати именно такой какой и можно было ожидать. А что до остальных - ну они могут радоваться что в их страну условный Amazon хотя бы шлет токены.

Ответить | Правка | Наверх | Cообщить модератору

103. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Аноним (14), 11-Июл-22, 10:51

Дело в том, что есть запрет на экспорт "секретных технологий". Так что, можно предположить уровень секретности, который раздают на халяву

Ответить | Правка | Наверх | Cообщить модератору

127. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Kuromi (ok), 12-Июл-22, 00:25

> Дело в том, что есть запрет на экспорт "секретных технологий". Так что,
> можно предположить уровень секретности, который раздают на халяву
А вы в курсе что в РФ официально продаются WebAuthn токены от того же Feitian?

Ответить | Правка | Наверх | Cообщить модератору

148. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Аноним (85), 14-Июл-22, 15:22

Нет

Ответить | Правка | Наверх | Cообщить модератору

113. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." –2 +/–

Сообщение от пох. (?), 11-Июл-22, 18:20

> Списочек кстати именно такой какой и можно было ожидать.
да, в нецивилизованные страны криптотехнологии отправлять несколько не принято. Много там кстати разработчиков из Венесуэлы?
> А что до остальных - ну они могут радоваться что в их страну условный Amazon хотя бы шлет токены.
или перестать быть отсталыми дикарями и таки запилить свой. Нет, это не про страну-недоразумение которая даже гвоздь сделать не может (а если делала то получались с двумя шляпками), конечно.
Кстати несертфицированное фсб криптосредство товарищмайор у тебя отберет, даже если амазон и отправит.
Чехи вот справились (кто-то тут пару лет назад активно их криптокошель рекламировал, функция авторизации там была среди прочих бонусов).

Ответить | Правка | К родителю #87 | Наверх | Cообщить модератору

128. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Kuromi (ok), 12-Июл-22, 00:27

> Кстати несертфицированное фсб криптосредство товарищмайор у тебя отберет, даже если амазон
> и отправит.
Почитайте список сертифицированных ФСБ железок. С удивлением обнаружите там WebAuthn токены от того же Yubico

Ответить | Правка | Наверх | Cообщить модератору

132. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Аноним (132), 12-Июл-22, 09:31

Это действительно странно, что там есть цивилизованные Австрия и Германия, но нет оккупированной Беларуси.

Ответить | Правка | К родителю #87 | Наверх | Cообщить модератору

106. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." –4 +/–

Сообщение от Олексий (?), 11-Июл-22, 13:54

После фразы "...не пожелал переходить на двухфакторную аутентификацию и для исключения своего пакета из списка критически важных попытался..." стало всё понятно. Какой код такой "разработчик" может написать? Вон из профессии!

Ответить | Правка | Наверх | Cообщить модератору

126. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." –3 +/–

Сообщение от Олексий (?), 12-Июл-22, 00:20

Ребят, все кто минусуют, вы тоже можете собираться :) Если человек не думает про security first, то реально, идите булочки продавайте. Из-за таких как вы у нас новости и пестрят "ой, опять уязвимость". :micdrop:

Ответить | Правка | Наверх | Cообщить модератору

131. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от n00by (ok), 12-Июл-22, 08:30

Он то как раз и думает, в отличие от некоторых местных экспертов по buzzwords. Подумайте, мистер Неуловимый Джо, почему безопасность в компаниях обеспечивают отдельные специалисты и за отдельную плату. И зачем кто-то решил сэкономить на вот этом вот всём.

Ответить | Правка | Наверх | Cообщить модератору

154. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Аноним (154), 15-Июл-22, 16:06

Ставь двухфакторную аутентификацию на свои трусы, иначе вон из професии.

Ответить | Правка | К родителю #106 | Наверх | Cообщить модератору

155. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Аноним (154), 15-Июл-22, 16:14

Захочет барышня сделать Олексию приятно - "а ну куда полезла, парольчик давай, ок, а теперь тащи телефон - второй фактор..."
Помогите Олексию угадать количество барышень, которые не убегут от этого "эксперта по безопасности"

Ответить | Правка | Наверх | Cообщить модератору

108. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от АнонимусШифропанк (?), 11-Июл-22, 15:18

Гмм,а есть ли опенсорсные аппаратные ключи? Вроде бы в линейке STM32F есть криптоблок. 🤔

Ответить | Правка | Наверх | Cообщить модератору

119. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." –3 +/–

Сообщение от Аноним (-), 11-Июл-22, 20:30

> Гмм,а есть ли опенсорсные аппаратные ключи? Вроде бы в линейке STM32F есть
> криптоблок. 🤔
Крипто можно и в софте сделать. А в чем прикол слепо доверять какому-то блоку в чипе?

Ответить | Правка | Наверх | Cообщить модератору

129. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Аноним (129), 12-Июл-22, 02:20

у них невскрываемость лучше. типа полез с паяльником - оно внутри себя всё стерло

Ответить | Правка | Наверх | Cообщить модератору

139. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Аноним (-), 13-Июл-22, 03:39

> у них невскрываемость лучше. типа полез с паяльником - оно внутри себя
> всё стерло
В смысле, можно это самое в STM без крипто блока, хоть и медленнее, конечно.

Ответить | Правка | Наверх | Cообщить модератору

130. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Аноним (130), 12-Июл-22, 08:28

GNUK

Ответить | Правка | К родителю #108 | Наверх | Cообщить модератору

146. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." –1 +/–

Сообщение от Аноним (145), 13-Июл-22, 18:55

Инфантилизм — самая большая нетехническая проблема в IT. Особенно сильно ощущается, когда начинаешь руководить людьми.

Ответить | Правка | Наверх | Cообщить модератору

149. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Аноним (85), 14-Июл-22, 15:23

Я смотрю ты руководитель

Ответить | Правка | Наверх | Cообщить модератору

150. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Аноним (133), 14-Июл-22, 17:23

Было дело, да. Но лет двенадцать как завязал с этим. В конце концов, если бы я хотел воспитывать чужих детей, я бы в детский сад открыл.

Ответить | Правка | Наверх | Cообщить модератору

153. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Аноним (154), 15-Июл-22, 16:04

> Но лет двенадцать как завязал с этим.
И хорошо, не твоё это. Ибо люди - не роботы

Ответить | Правка | Наверх | Cообщить модератору

152. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от КО (?), 15-Июл-22, 07:54

"компания Google выступила спонсором"
Какая неожиданность.

Ответить | Правка | Наверх | Cообщить модератору

156. "Внедрение двухфакторной аутентификации в PyPI привело к инци..." +/–

Сообщение от Легивон (?), 17-Июл-22, 11:23

>К сожалению, токены могут быть отправлены только в Австрию, Бельгию, Канаду, Францию, Германию, Италию, Японию, Испанию, Швейцарию, Великобританию и США.
— Ты пацак, ты пацак и он пацак. А я чатланин и они чатлане! Так что ты цак надень и в пепелаце сиди. Ясно?..
— Посмотри на меня в визатор, родной. Какая точка отвечает? Зеленая? Теперь на него посмотри. Тоже зеленая. И у тебя зеленая. На Уэфа посмотри, какая точка? Оранжевая? Это потому, что он чатланин, понимаешь?.. Плюк - чатланская планета, поэтому мы, пацаки, должны цаки носить.
— Дааа! И перед нами, чатланами, должны делать вот так! (трижды хлопает пальцами по щекам, после чего полуприседает, разводя руки в стороны и немного назад).
— Владимир Николаевич, это оголтелый расизм.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Скрыто модератором	+11 +/–
Сообщение от Аноним (1), 10-Июл-22, 09:13
> которые некоторые разработчики сравнили с инцидентом в результате удаления пакета left-pad в NPM вот уж чёрный день был для макак, помнят до сих пор
Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Внедрение двухфакторной аутентификации в PyPI привело к инци..."	+21 +/–
Сообщение от Аноним (2), 10-Июл-22, 09:34
Спорное решение PyPi. Это опасный прецедент, касающийся перекладывания ответственности за открытый код с пользователя этого кода на разработчика. Сегодня разработчик вынужден покупать и использовать токен т.к. он (разработчик) априори считается ненадёжным, а завтра его начнут за баги вызывать в суд.
Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Внедрение двухфакторной аутентификации в PyPI привело к инци..."	+6 +/–
	Сообщение от Аноним (14), 10-Июл-22, 10:41
	> перекладывания ответственности Ответственность переложили, права забрали. Всё честно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	60. "Внедрение двухфакторной аутентификации в PyPI привело к инци..."	+1 +/–
	Сообщение от anonymous (??), 10-Июл-22, 16:31
	>начнут за баги вызывать в суд и microsoft тоже?
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	71. "Внедрение двухфакторной аутентификации в PyPI привело к инци..."	+/–
	Сообщение от Аноним (71), 10-Июл-22, 19:22
	> разработчик вынужден покупать и использовать токен Токен генерируется в любом свободном менеджере паролей. Например, KeePassXC. И дальше работает как второй пароль, который известен только пользователю и сервису. Но не известен почтовому провайдеру и мобильному оператору. И если злонамеренный сотрудник последнего захочет воспользоваться учеткой клиента/абонента на стороннем сервисе (всеми учетками на популярных сервисах, всех пользователей, автоматизированно и массово), и попытается инициировать сброс пароля, то столкнется с необходимостью как-то получить этот второй фактор. Лучше, чем ничего. Хотя ещё лучше было бы для аутентификации пользователей на сервисах вместо идиотской почты-пароля из каменного века использовать ассиметричное шифрование. Без почты, без пароля, просто пара ключей. Но это вотчина веб-макак, тут всё так - через опу.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	73. "Внедрение двухфакторной аутентификации в PyPI привело к инци..."	+/–
	Сообщение от Аноним (14), 10-Июл-22, 19:55
	> сброс пароля Сделали огромную дыру и латают (другой дырой).
	Ответить \| Правка \| Наверх \| Cообщить модератору


	88. "Внедрение двухфакторной аутентификации в PyPI привело к инци..."	+2 +/–
	Сообщение от Аноним (88), 11-Июл-22, 01:00
	Ну ты-то пароли никогда не забывал. Только на бумажечках писал и на монитор клеил.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	101. "Внедрение двухфакторной аутентификации в PyPI привело к инци..."	+/–
	Сообщение от Аноним (14), 11-Июл-22, 10:23
	Нет. Отправлял по электронной почте России открытым текстом, как требовал безопасТный сервис. С смс подтверждением, чтобы все знали, когда я сбросил пароль.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	138. "Внедрение двухфакторной аутентификации в PyPI привело к инци..."	+1 +/–
	Сообщение от Аноним (-), 13-Июл-22, 03:36
	> Ну ты-то пароли никогда не забывал. Только на бумажечках писал и на > монитор клеил. А что, разве хакер сможет его так спереть? Его даже в вебкам не видно :)
	Ответить \| Правка \| К родителю #88 \| Наверх \| Cообщить модератору

3. Скрыто модератором	–2 +/–
Сообщение от Аноним (3), 10-Июл-22, 09:42
Да где вы вычитали-то, что обязательно использовать аппаратный токен? Просто 2FA требуют и всё.
Ответить \| Правка \| Наверх \| Cообщить модератору


	5. Скрыто модератором	+2 +/–
	Сообщение от Аноним (2), 10-Июл-22, 09:48
	Из текста новости создалось впечатление, что аппаратные токена обязательны для критически-важных пакетов. Сходил в истоячник и нашёл в FAQ такой пункт: > What should maintainers in non-eligible regions do? > ... > Alternatively, you should enable 2FA via a TOTP application instead. See How does two factor authentication with an authentication application (TOTP) work? How do I set it up on PyPI? Так что да - обычные TOTP черер приложения всё же можно использовать. Тогда вообще не особо понятен смысл новости.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. Скрыто модератором	+/–
	Сообщение от Аноним (3), 10-Июл-22, 09:53
	Смысл новости в том, что автор пакета неправильно понял, чего и зачем от него хотят, ему стало впадлу потратить 5 минут на настройку 2FA, и он пошёл против системы. Зато не поленился удалять пакет, восстанавливать, писать в поддержку, вызывать админов, и устраивать всей экосистеме зависимостей веселье на 12 часов. В итоге все равно настроил 2FA.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. Скрыто модератором	+3 +/–
	Сообщение от n00by (ok), 10-Июл-22, 12:51
	Автор пакета всё понял правильно. Привыкайте, халява заканчивается.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. Скрыто модератором	+7 +/–
	Сообщение от BrainFucker (ok), 10-Июл-22, 10:24
	> Так что да - обычные TOTP черер приложения всё же можно использовать. А я не хочу какие-то дополнительные левые приложения использовать. И тем более передавать третьим приложениям или сервисам контроль над аутентификацией.
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору


	8. Скрыто модератором	+/–
	Сообщение от Аноним (8), 10-Июл-22, 09:55
	Где вы в новости вычитали про обязательное использование токена? Про обязательность написано в общем виде, а про токены упоминается "использование по умолчанию" и далее поясняется "В качестве альтернативы также предусмотрена возможность применения вместо токена аутентификации на базе одноразовых паролей".
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	16. Скрыто модератором	–1 +/–
	Сообщение от Аноним (16), 10-Июл-22, 10:55
	Очевидно, в момент написания первых комментов из этого треда текст новости был ещё другой, и из него следовало, что можно только аппаратные токены.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. Скрыто модератором	+/–
	Сообщение от Аноним (27), 10-Июл-22, 11:27
	В отредактированном варианте появилось лишь примечание с разжевыванием в скобках. Про то что можно использовать и TOTP в ниже по тексту было изначально, просто люди невнимательно читают или до конца недочитывают.
	Ответить \| Правка \| Наверх \| Cообщить модератору

4. "Внедрение двухфакторной аутентификации в PyPI привело к инци..."	+3 +/–
Сообщение от Аноним (-), 10-Июл-22, 09:43
начнут с внедрения токенов разработчиков ради безопасности. потом введут токены на доступ ради безопасности. а потом отзыв токенов за мыслепреступления, политики отмены или толкования свободы слова.
Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Внедрение двухфакторной аутентификации в PyPI привело к инци..."	–5 +/–
	Сообщение от Аноним (3), 10-Июл-22, 09:49
	Не накручивайте, никто не требует никаких аппаратных токенов, это лишь один из способов
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Внедрение двухфакторной аутентификации в PyPI привело к инци..."	+1 +/–
	Сообщение от ыы (?), 10-Июл-22, 10:18
	..Внедрить бакдур... Вы чип в токене сами проверяли?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	53. "Внедрение двухфакторной аутентификации в PyPI привело к инци..."	–1 +/–
	Сообщение от Аноним (53), 10-Июл-22, 15:31
	https://www.opennet.ru/opennews/art.shtml?num=51829
	Ответить \| Правка \| Наверх \| Cообщить модератору


	102. "Внедрение двухфакторной аутентификации в PyPI привело к инци..."	–1 +/–
	Сообщение от Аноним (102), 11-Июл-22, 10:29
	Только сам гугл не заслуживает доверия
	Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Внедрение двухфакторной аутентификации в PyPI привело к инци..."	+8 +/–
	Сообщение от Аноним (13), 10-Июл-22, 10:39
	Про Секурбут тоже говорили, что для защиты, а теперь по умолчанию сторонние ОС нельзя загружать. Пока ещё не у всех и можно отключить, но когда будет, будет поздно паниковать.
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	78. "Внедрение двухфакторной аутентификации в PyPI привело к инци..."	+/–
	Сообщение от microsoft (?), 10-Июл-22, 20:38
	А хомяку пофигу, главное жрать макдак, и смотреть порно по этой железке, все. Ему не до ваших секурбут.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	100. "Внедрение двухфакторной аутентификации в PyPI привело к инци..."	+/–
	Сообщение от Admino (ok), 11-Июл-22, 10:21
	Ну это пока.
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	19. "Внедрение двухфакторной аутентификации в PyPI привело к инци..."	–4 +/–
	Сообщение от torvn77 (ok), 10-Июл-22, 11:03
	Несколько лет назад я читал что длинна надёжных паролей превысила значение которое большинству людей безппроблем запомнить и ввести с клавиатуры. Более того, вот я к примеру отключил у себя Стиме вход через временный пароль из их приложения, оставив только получение кодов на почту, так мой ящик завален письмами с попытками входа под моим аккаунтом, что означает что мой малосекюрный пароль с моего компа таки украли. Одним словом проблема с паролями есть и я бы хотел чтобы Стим сделал у себя аутентификацию через аппаратный токен.
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	22. "Внедрение двухфакторной аутентификации в PyPI привело к инци..."	+6 +/–
	Сообщение от Аноним (14), 10-Июл-22, 11:13
	> мой малосекюрный пароль с моего компа таки украли Значит, украдут и многосекурный пароль/ключ.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	79. "Внедрение двухфакторной аутентификации в PyPI привело к инци..."	+1 +/–
	Сообщение от penetrator (?), 10-Июл-22, 21:00
	кто заставляет тебя запоминать каждый пароль? локальный менеджер паролей со случайным мастер паролем в 16-24 символом решает 1 случайный пароль можно запомнить без проблем
	Ответить \| Правка \| К родителю #19 \| Наверх \| Cообщить модератору


	89. "Внедрение двухфакторной аутентификации в PyPI привело к инци..."	–1 +/–
	Сообщение от Аноним (88), 11-Июл-22, 01:02
	>мой ящик завален письмами с попытками входа под моим аккаунтом, что означает что мой малосекюрный пароль с моего компа таки украли Вирусню разогнать не пробовал?
	Ответить \| Правка \| К родителю #19 \| Наверх \| Cообщить модератору


	120. "Внедрение двухфакторной аутентификации в PyPI привело к инци..."	+/–
	Сообщение от torvn77 (ok), 11-Июл-22, 20:35
	Ты хочешь сказать что мой линукс поражён вирусами?
	Ответить \| Правка \| Наверх \| Cообщить модератору