Определено время прекращения поддержки подключения к Git-объектам в GitHub с использованием парольной аутентификации. Начиная с 13 августа 2021 года прямое выполнение операций с Git, требующих аутентификации, будет возможно только при использовании SSH-ключей или токенов (персональные токены GitHub или OAuth). Исключение будет предоставлено учётным записям, использующим двухфакторную аутентификацию, которые подключаются к Git по паролю и дополнительному ключу...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=54264
Хватит. Решать. За. Пользователей.
А почему бы и нет, если пользователи застряли где-то в 1970-ых? Парольная аутентификация? Серьезно? Вон из профессии!
вот и вали, если у тебя мозгов нет понять, что такое энтропиябыло бы достаточно по умолчанию для таких как ты отключить пароль, а тем кому это нужно - разрешить добавить в настройках
> энтропияКогда два часа назад выучил новое умное слово,
но, применив его впервые, сделал это невпопад.
Ну наверное, при входе через ключ возможные варианты ключевой последовательности для входа шире. Энтропия...
Такие "кукареку" от забивающих болт на безопасность говорят лишь о том, что всё делается правильно. На досуге, в целях повышения iq, почитай о токенах (а вписываются они в любой сценарий где может понадобиться пароль)
Токены для неспособных запомнить пароли вида: tYm8fe;lkFr.g
> Токены для неспособных запомнить пароли вида: tYm8fe;lkFr.gя раньше тоже заморачивался специальными символами
а потом сел посчитал и подумал, что особо смысла нет
лучше увеличить длину паролянапример со спецсимволами ~6.5 бит на символ, без спецсимволов ~6
tYm8fe;lkFr.g (13 символов) = 84.5 бит энтропии
UCoM6TDmsiVXXW (14 символов) = 84 бита энтропии
всего на 1 символ больше, но намного проще запоминается (и легче копируется дабл-кликом)
PS. Подход мелкософта рассчитан исключительно на дегенератов и домохоязеек.
Да ключи тоже имеют место, но там где это действительно важно, a не принудиловка аля-эпл.
Дело не в энтропии, хотя в ваших кулхацкерных кругах может и заморачиваются по этому поводу. Криптостойкость твоего 100 символьного стихотворения не сравнится с банальным ssh-ключем на минималках. Я не говорю, про перехват паролей на клиенте, кейлогера, внешнее налюдение.
Если не осилил ключи, выше человек правильно все написал.
Что касается "оставьте выбор пользователям" - то это опенсорс, форкай и развивай свое видение. А оно неверное.
Как будто эти "кейлогеры" не смогут ~/ssh/id_rsa спереть напрямую. Даже вводить ничего не надо
Github это не опенсорс.
какую-то фуету я сейчас прочитал,
что в данном контексте значит криптостойкость?
что подразумевается под 100 символьным стихотворением?
что значит "ключ на минималках"?
повылазят мамкины хакеры и пиз аболят, пост настолько бессмысленен по содержанию, что там даже комментировать нечегоно главное подача, хайп это швятое
Вот ты и расписался в своей некомпетенции.
> Вот ты и расписался в своей некомпетенции.пустослов
я может чего не понимаю, но к ssh-ключу же все равно можно пароль поставить и будет спрашивать точно также. или не туда поплыл?
ага потом будут рекомендовать использовать разные ключи к разным сервисам, как это было с одним паролем на все сервисы. Пароль на ключ нужен и так же важен в случае утечки, и так же важна его сложность. Так что, от паролей мы не избавились раз уж дело доходит до избавления от паролей.пс: капча подтверждает 51117 :)
>или не туда поплыл?Не туда.
Пароль на ключах SSH - это пароль защищающий сам ключ, он с машины никуда не уходит и служит для того, что в случае если угнали ключ, то его еще надо дешифровать чтоб использовать
А сам этот ключ знаете как устанавливается и заменяется? При помощи куки в браузере, которую можно получить из логина/пароля или непосредственно из файлов браузера.
Ничего профессионального на гитхабе итак хранить не стоит, а для домашнего задания или хобби подойдет и пароль. Но вы то уже решили за пользователя, что он занимается профессиональной деятельностью...
Прекрасно там куча контор хранит свои коммерческие репы. В этом плане гитхаб совершенно беспроблемен. Вот для свободного софта, да ещё того, где можно на цензуру налетить - тут да, сомнительное место
> Прекрасно там куча контор хранит свои коммерческие репыЖесть... о коммерческой тайне после этого можно забыть
Ой, да ладно... Тут в новости про ядро 5.10 Рассказывали про работу с конфиденциальными данными а облаках - прямо всё так зашифровано, что никому и никогда, ага.
Коммерческая тайна чаще всего это миф. Если конкурент украдет ваш код, он его все равно не сможет применить так чтобы не спалили. Никто и не пытается.
Да тут спшлоная деревня... Виндозятники, с репами на диске D: от John the Riperю
> Ничего профессионального на гитхабе итак хранить не стоит, а для домашнего задания или хоббитем более
А почему бы не дать ВЫБОР, столп демократии мать его.
Потому, што это массовый хостинг. Васи Пупкины с паролями 123 - будут создавать потенциальную проблему всем. И гарантированную головную боль хостеру. Оно ему надо, забесплатно?
> Потому, што это массовый хостинг. Васи Пупкины с паролями 123 -
> будут создавать потенциальную проблему всем. И гарантированную головную боль хостеру.
> Оно ему надо, забесплатно?если он хочет оставаться массовым, должен быть хотя бы сценарий opt-out, а они обязывают без вариантов
> сценарий opt-outВ смысле, можешь свалить со всеми своими данными? Такой сценарий есть.
В 1970-х это вообще без шифрования. Привед, telnet.
Не без того. Ну окей, в девяностых. И главное - ЗАЧЕМ? Ключи же банально удобнее
> Не без того. Ну окей, в девяностых. И главное - ЗАЧЕМ? Ключи
> же банально удобнеене всегда это удобнее, далеко не всегда
>Ключи же банально удобнеекак и сохраненный пароль в текстовом документе на рабочем столе под именем password.txt
К ключу пароль прицепить ни малейших проблем. При этом ключей можно наделать кучу и с лёгкостью ими управлять. А обычный пароль - один на весь аккаунт. Опять же - ключи с паролями довольно аакуратно хранит SSH agent или GPG agent.А главное - если мы о git и хоть как-то активной работе - парооль вводить задолбаешься и всё равно сохранишь его где-то - в скриптах, настройках IDE или ещё где.
> А главноеа главное, мы не отказались от использования паролей (и прилагаемым к ним правил), как некоторые воспринимают при переходе на использование ключей.
Потому что это кому-то точно сломало налаженный флоу и нужно что менять, т.е. нужно тратить времяденьги на ровном месте, вымогательство по сути
Выбор без выбора.
Имхо, правильнее поставить галочку "пароль или ключ", т.к. если только ключ, то теперь собираясь куда-либо, кроме телефона, бумажника, ключей от квартиры нужно с собой таскать еще и ключи от гитхаба, если работать не только из дома, например, курсы какие-нибудь, где работаешь на чужом оборудовании.
У меня на гите нет мега важного, поэтому мне хватает пароля. Важную репу - да, можно защитить ключом, либо такую, где заливка идет автоматом.
Я - за выбор.
Ну вы ещё скажите, что хватит блокировать пользователей из Ирана, как и хватит блокировать софт, позволяющий нарушать копирайты (youtube-dl)!
а так же сирии и крыма.
За благополучие оккупированных территорий ответственность несет оккупант, а не гитхаб.
Ну и кем по Вашему оккупирован Иран? или Сирия? а Куба? то же и Крым - "оккупирован" своим населением
Судеты тоже были "оккупированы" "местным" населением, если что
Наказывать заложников - это скрепа.
Вот и не решай!
> Хватит. Решать. За. Пользователей.Как говорил Форд, если пользователям дать выбор, то они скажут «не хочу ваши автомобили, хочу лошадку 🐴».
Так что разработчикам виднее. Надо проталкивать.
А в чём проблема с лошадками? От них хотя-бы нет выхлопных газов (с тяжелыми металлами, свинцом например) и сейчас бы человечество бы содрогалась от того что скоро запасы нефти того... И этим вашим машинам тоже..
> От них хотя-бы нет выхлопных газовМетан (не матан!) - парниковый газ.
Отака малята.
> И этим вашим машинам тоже.
Сколько там нацики без Румынии (и нефтей) воевали? Как-бы почти год.
КНДР вообще годами живет в блокаде. Машинки на газогенераторах катаются - и ничо. Вон какие ракеты запилили.
КНДР нефть гонит Китай, если вы не знали.И вообще через него много чего идёт. И без нефтей нацикам было таки тяжко и неудобно, газогенераторы - та ещё дрянь.
> КНДР нефть гонит Китай, если вы не знали.Это щас гонит. А в 90-е совсем было тухло.
> И без нефтей нацикам было таки тяжко и неудобно
Ну, почти год устояли. Тяжко было, в основном, флоту. Но он уже с 43-го года
был большей частью мишенью для глубинных бомб и пожирателем ресурсов.> газогенераторы - та ещё дрянь.
Да, но это уже для самых бедных (хотя в ту же WWII - даже английские англичане
не брезговали, так-то). Есть масса вариантов с синтетическим горючим и/или
с биотопливом.
Я не совсем понял - без нефти сразу жо, как немцам, или наоборот прекрасно, как кндр? Вы уж определитесь сначала, а потом комментируйте, хорошо?
> Я не совсем понял - без нефти сразу жо, как немцам, или наоборот прекрасно, как кндр?Прекрасно как и тем, и другим. Жить, в общем - можно.
Против КНДР все-таки не вели открытые военные действия, так что сравнивать напрямую нельзя.
> Вы уж определитесь сначала, а потом комментируйте, хорошо?
Т.е. печати на гербовой-то бумаге пока не нада?
>От них хотя-бы нет выхлопных газовЗато есть выхлопные твердые тела
> А в чём проблема с лошадками?В конце XIX века пустыри вокруг Нью-Йорка были завалены навозными кучами, высота которых составляла от 12 до 18 метров. Проблема лошадиного навоза достигла огромных масштабов.
Но были проблемы похуже, чем экскременты. Если лошадь, работающая на износ, умирала посреди улицы, то её гниющая туша так и оставалась лежать, создавая трудности на дорогах и дополнительную антисанитарию.
>В конце XIX века пустыри вокруг Нью-Йорка были завалены навозными кучами, высота которых...Их можно превращать в биотопливо, биогаз или в удобрение.
>Если лошадь, работающая на износ, умирала посреди улицы, то её гниющая туша так и оставалась лежать
Или подобрать и пожарить шашлык.
Да, вот слабо верится что мясо просто так бросали. Больше похоже на сказки чтоб зумеров пугать.
мой друг Бильбо хочет пони 129412
>не хочу ваши автомобили, хочу лошадку
>iPony129412Как иронично.
Думаю, что Ябблы тоже рассуждают аналогично Форду.>Надо проталкивать.
И поглубже, поглубже.
>Как говорил Форд, если пользователям дать выбор
>пользователям дать выборНе надо врать, Форд говорил не так.
Так я говорил.
вот что за идиoтская манера вставлять точки между словами
Что.За.Идиотская.Манера.Начинать.Предложение.С.Маленькой.Буквы.И.Без.Точки.В.Конце.Тчк.
Держи. У меня ещё есть.
У швaбодчиков подгорает, а значит гитхаб все делает правильно.
Чемодан, вокзал, Пхеньян. У "швaбодчиков" от него ещё больше подгорает, а значит Кимы и их товарищи все делает правильно, по мнению Анонима (30). А остальные - менее правильно, от них подгорает меньше. Значит КНДР для Анонима (30) - идеальное место жительства.
Но кукарекает аноним, почему-то, не оттуда, не из кндр.
А то бы после кукарека невпопад сразу оказался в ощипе.
Не нравится что за тебя решают - поднимаешь локальный GitLab и арбайтен.
> Не нравится что за тебя решают - поднимаешь локальный GitLab и арбайтен.так все и делают, и не только по причине паролей
но есть нюансы, например нужно форкануть публичный репозиторий
вот если бы все мейтенеры использовали Gitlab было бы проще, там больше прислушиваются к сообществу
> Хватит. Решать. За. Пользователей.Короче схема двух морковок 🥕
Одну спереди, другую сзади
https://искусствожить.su/images/communion/motive_and_stimulus_770.jpg
Не, двойной пенетрацией вы тут не отделаетесь. Пенетрация будет много более кратная.
> Не, двойной пенетрацией вы тут не отделаетесь. Пенетрация будет много более кратная.Это у пони просто фантазии такие.
Ирония в том, что как раз нормальные, выросшие в (хотя бы подобии) колонии кролики -- бесстрашные и "отмороженные" бойцы, с сильным боевым духом.
Реакция у ушастых не хуже чем у мангуста, есть хорошо поставленный удар передними, ломающий кости удар задними, острые и крепкие когти, зубы способны перекусить прутья в мизинец толщиной и вырывать клочья из шкуры "с мясом", а ударам "в прыжке с разворота" позовидует и сам Чак.
https://www.youtube.com/watch?v=bLDf9gPbyi0
https://pikabu.ru/story/yepicheskaya_bitva_mezhdu_dikim_krol...Драться между собой "ушастые пушистики" начинают в 3-4 месячном возрасте.
Матерые самки, выясняя кто главнее в иерархии, могут рвать друг друга, с перерывами на "перевести дух", 15-20 минут.
А драки "в сезон" за место Матриарха и Консорта, без вмешательства могут закончиться увечьями или смертью одной из сторон (самец может "кастрировать" претендента, самка вспороть конкурентке брюшину).Две "милые и пушистые" 5 месячные самочки не "декоративно-кастрированной" породы, вполне могут придушить крысу-разведчика, покусившуюся на корм.
Разъяренная ушастая, замотивированная защитой крольчат, способна (причем буквально) размазать пасюка или неплохо подрать и прогнать матерого кошака (это как если бы человек вышел в шкуре и с ножом против небольшого тигра).
https://www.youtube.com/watch?v=Yi1t6ypMnn4В общем, сравнить "пользователей" с кроликами -- сильно польстить первым. Ушастые, вопреки стереотипам (и пониным фантазиям), не замрут покорно и дрожа от страха, а будут шипеть, рычать и до последнего яростно кидаться на любого, даже в десяток раз превосходящего размерами, "пенетратора".
> просто фантазии такие.Это не сейчас и не я придумал.
>> просто фантазии такие.
> Это не сейчас и не я придумал.Все так говорят! :)
> Хватит. Решать. За. Пользователей.Пусть. Пользователей. Поднимают. Свой. Хостинг и решают там за кого хотят. Хоть за себя.
А Гитхабу судебные иски за то, что не уберегли чьих-то данных, — на дилдо не накакались.
когда уже все поймут, что GitHub - это путь в никуда
GitHub вообще не путь. это только один из этапов эволюции.
ShitHub
С девизом: ShutUp and take shit orally.
Не совсем понимаю, как защитит учётную запись гитхаба, если вредоносный пакет (нпм, плагин для браузера и так далее) просто скопирует ssh ключ и будет ей как одеофакторным вариантом ходить и портить репозиторий? Или он не сможет узнать приватные репозитории (список) а испортит только опенсоурсные проекты?
> Не совсем понимаю, как защитит учётную запись гитхаба, если вредоносный пакет (нпм,
> плагин для браузера и так далее) просто скопирует sshтссс, чтож ты палишь контору-то?!
Тем что хранить закрытый ключ в незашифрованом виде это тупо.
openssl и все клиенты для работы с ssh / ключами пароли поддерживают.
Ничего что доступ к учетке делается через веб-интерфейс в браузере, где как миниум куки в открытом виде хранятся, а частенько и пароли у пользователя сохранены в браузеры (с иллюзорной защитой).
А то что вы предлагаете напоминает российские военные части - помпезный вход с бетоноблоками, колючая проволока, вход с турникетами во весь рост, ворота и пара неспящих контрактников на страже, на другой стороне периметра тишь да гладь, никакой охраны, никаких заграждений, кроме стен с дырами в человеческий рост.
Что мешает браузеру хранить куки в защищённом хранилище? На macOS и Windows, например, Chrome хранит куки и login data в зашифрованном виде, а ключ шифрования защищает сама ОС (обычно шифруя его тем паролем, который используется для логина в систему и ещё идентификаторами железа и инсталляции ОС).
> Windows, например, Chrome хранит куки и login data в зашифрованном видеА тут смотря от чего защищаемся.
Если у тебя схватят диск (незашифрованный) и убегут - это поможет.
Если ты запустил бинарник с пользовательскими привилегиями и доступом в сеть, то он без проблем расшифрует и передаст пароли.
>Что мешает браузеру хранить куки в защищённом хранилищеВ SGX-анклаве?
А какой смысл копировать открытый ключ? Или в гитхабе закрытый хранится в открытом виде в профиле пользователя?
пароли не люблю, у меня весь монитор обклеен бумажками с паролями.Хотя если везде поставить один пароль - можно только одну бумажку приклеить
ssh ключи удобно хранить на гитхабе. Более того, даже не надо париться о том, где какой ключ нужен. Просто оставляешь один - и по нему ходишь везде
KeePass слабо использовать?
KeePassXC. Остальное ненужно.
А он для вендоида есть? Ах нету... Ну значит как минимум еще KeePassDX нужен...
Да, использовать пароль иногда удобно, в каких-то нестандартных автоматизациях. Обычные СI: travis, circle, jenkins, teamcity etc. В этом уже не нуждаются.ilyafedin прав в том, что порой ребята нарываются на проблемы и не всегда новшества желаемы сообществом. Как пример, https://m.habr.com/ru/news/t/473850/
Но и с анонимом нельзя не согласиться. Я был немного вступоре, когда мне, девопсу, разработчик задавал вопросы "что такое ссш?" и "что такое переменные окружения?" - и в тот момент в конторе они были не джуны.
Из своего опыта, могу сказать, что доступ по паролю используют потому что "удобнее", а на практике они просто не умеют оперировать ключами. Илья верно подметил по поводу энтропии, если пароль длинный и разнообразный, то нормально всё, вот только на практике пароль будет вида fallout99 или John@123. Такие люди сложных паролей не ставят :) я не знаю (пойду почитаю) чем может быть плох сам по себе механизм входа по паролю, но то что на практике он оказывается менее надёжным в силу вышеописанного - точно.
Когда тебе анальный зонд будут вставлять ты тоже начнешь искать в этом плюсы?
Всегда знал, что вход по ключам - это анальный зонд.
Да ладно, кем надо быть, чтобы к гиту с паролем ходить? Неудобно же кроме всего прочего.
Линукс вообще не удобный ставь сразу Виндоуз. омг.
> НеудобноВ смысле? Существо запомнило пароль в гугло-браузер (или что там в трендах) - и вперед.
Мы всё ещё о git? к нему не браузером ходят. Речь же не о доступе к мордочке - там как были пароли так и будут - а о собственно доступе к репам.
> Мы всё ещё о git? к нему не браузером ходят.Ох, какой-же ты наивный...
> Речь же не о доступе к мордочке - там как были пароли так и будут
Открутят и там пароли, я гарантирую это. Ну, т.е. оставят что-то типа двухфакторной
аутентификации. Т.е. как тут выражаются обеспокоенные граждане: по-паспорту.
Анонимы как всегда,
Как то встретил админа яро сопротивлявшегося использовать клю
у парня было более 100 сервантов, пасс был сохранен в mremote -иными словами, виндузло.Неосиляторы ключей должны страдать, согласен с гитхабом, вообще нет ни одной ситуации когда он нужен,
В крайнем случае генерите себе api токен ( на гитхабе наверное можно по нему ходить как в гилабе - но я не уверен ) - но мне такие случаи на практике не попадались.
> Я был немного вступоре, когда мне, девопсу, разработчик задавал вопросы "что такое ссш?" и "что такое переменные окружения?"Девопсы, которых мы заслужили. Зато, небось, докер можете поднять всего одной командой (вида `curl https://the vasyandockerimages/image.php |sudo bash`).
Вы перепутали. Девопс в этой истории как раз понимает про ssh. А разработчик - нет.В этом беда девопсов, блеск и нищета - чтобы нормально работать с программистами, им нужен порой переводчик, потому что зачастую программист, =которого мы заслужили= к 2021-му году, ничем не отличается от обычного пользователя и надеяться на его сознательность и схожесть с сисадминами или теми же девопсами, большая ошибка.
Программист может сказать админу (девопсу) - =сделай мне тестовый сервер=. При этом у админа (девопса) может пронестись в голове в ответ на этот запрос целая галактика из разнообразных почтовых серверов и проблематики их развертывания, например. Тогда как программист имел в виду как раз некий docker-контейнер с nodejs, да и то, может быть не уверен, что именно его. Встречный вопрос - =какой сервер, блин?= - может вызвать фрустрацию (и я не шучу, доводилось встречать и таких разработчиков).
Строго говоря, программист и не должен знать про ssh. Он знает, чем фабрика отличается от абстрактной фабрики, девопс знает, что такое ssh. Это называется специализация.Программисты в больших компаниях больше погружены в предметную область, чем в админские штучки, и там есть нормальные админы, которые не требуют от программистов знать, что такое ssh.
А если речь о маленькой компании, то тут уже нужны специалисты широкого профиля, и нужно либо девопса выкидывать (потому что условный программист сможет выполнять его обязанности), либо программиста (потому что зачем он такой нужен, если в довесок к нему нужен ещё специалист).
Согласен.Но слабо представляю по-настоящему вменяемого программиста, не способного сгенерировать себе ssh-ключ и забить верный url репозитория в свой IDE. А ведь такие встречаются сплошь и рядом и даже разбираться не хотят.
Верно также и то, что когда мы имеем узкопрофильного программиста, то тем более нужен кто-то, кто скажет девопсу на девопсовом языке то, что нужно. А программист, да, пусть себе с фабриками своими сидит. Это было бы идеально, наверняка, где-то это есть.
В маленьких компаниях девопса не выкинешь, потому что, как и говорил, программист уже давно пользователь. Это не плохо, просто надо не забывать. А программиста не заменишь админом - подходы разные. Патч на патч после патча - это не метод порядочного админа. Тогда как программисту часто ничего не остается, как лепить горбатого в дедлайне. И тут я никого не обвиняю, просто - таково положение дел, по крайней мере там, где я это замечал.
Иной вопрос - зачем вообще девопсы в маленьких компаниях (: но это другая история.
Вангую, что теперь все эти люди, которые ставят пароли из шести единичек, будут просто использовать ключи без пароля. А что, еще удобнее! На тот факт, что любой левый скрипт теперь сможет эти ключи стырить и передать кому надо, всем наплевать.
> GitHub опубликовал план отключения доступа к Git
M$, руки прочь от GitHub.Они потом и аутентификацию по SSH выпилят. Оставят только FIDO 2 с аттестацией. Всё "ради безопасности". Безопасности бизнес-интересов Microsoft по насаживанию пользователей на кукан, разумеется.
Вернее в ssh тоже есть метод через fido2, вот только его и оставят.
Поясню.>Начиная с 13 августа 2021 года прямое выполнение операций с Git, требующих аутентификации, будет возможно только при использовании SSH-ключей или токенов (персональные токены GitHub или OAuth).
Зная пароль можно войти в GH и добавить ключ, "на**** Microsoft". А значит эта мера временная, варка лягушки.
Майки всеми силами пытаются обанкротить Гитхаб чтобы им никто не пользовался и закрыть.
Вот он чём я в каждом углу кричал: закручивание гаек началось!!!
Побереги голос. Тут некоторые лет по двадцать кричат про закручивание гаек, так что либо ты понимаешь реальность точнее, либо готовься кричать доооолго.
А токены и ключи без пароля в файлик, где раньше точно также лежал пароль. Годнооотааа...Пусть папа с мамой фитнесом занимаются на своём дворе и к другим не лезут.
Кто мешает зашифровать ключ? Но здесь появляется второй фактор авторизации - нужен и ключ и пароль к нему. А старики, не умеющие в эволюцию, будут страдать, пользоваться elinks, и ворчать что раньше было луДше.
А что мешает пользователю самому решать как организовывать доступ? Ну конечно большому брату лучше знать, а ты сиди и не вякай. Скоро на гитхаб доступ по паспорту сделают и тоже найдется радостная толпа говорящая как же это здорово. Большой брат любит нас!
Выпиши себе токен - запомни, и ПОЛЬЗУЙСЯ
На***я мне FIDO 2 токен?
> На***я мне FIDO 2 токен?А на* тебе фидо ?
То что он живёт в обществе и его rовном перемажутся все вокруг.
Жил бы он один на Марсе — наcрать было бы чем он там и где авторизовывается.
Но когда его rовнокод с его rовносервера начинает рассылать спам на Земле — это уже никуда не годится.
пароль лежал в голове а ключ на рабочем столе
Что сейчас новое модно в замен Гитхаба?
Все то же - гитлаб.
cgit, gitea
https://notabug.org/
>Что сейчас новое модно в замен Гитхаба?порнхаб!
Так нет жеж больше порнхаба. Он самовыпилился, удалив все видео с персонажами старше 80 лет.
(не то, чтоб, конечно, ему оставляли выбор)
Ключи — это хорошо. Иногда.
1. Разработчик положит ключ в свой homedir. Потому что по-другому не учат (скорее наоборот, убеждают что "несекурно").
2. Шифровать паролем он этот ключ не будет. Потому что неудобно, да и никто же не проверяет.
* Возможно, где-нибудь опубликует. Не, ну а чо https://savebreach.com/solarwinds-credentials-exposure-led-t.../
(по ссылке правда был просто пароль, зато какой!).3. PROFIT. Никакой мороки с кейлоггерами. Вломил браузер/почту/мессенджер/wtf_else и просто тихонько выгребаешь "~/.ssh" (linux, macos). И selinux/apparmor тут не поможет, потому что если и есть — то настроен "из коробки".
* На винде наверное тоже достаточно предсказуемо.
> Шифровать паролем он этот ключ не будет.а если и будет - это будет пароль 123 (причем, поскольку подбирать его мы будем оффлайн - то никаких проблем разогнать подбиралку до сверхсветовых скоростей у нас не будет - это тебе не пароль от учетки, которая просто заблокируется после пятой-десятой попытки подряд)
> Возможно, где-нибудь опубликует.
естественно - git push, и привет. Ой, там был ключ? Ну я ж уже удалил, закомитил и снова запушил! Никто ж не заметил?
В общем-то авторы этой чудо-идеи - ровно такие же разработчики. Только им повезло работать в microsoft.
Проблемы индейцев шерифа не волнуют. Если человек не смог в такую простую вещь как ключи, то боюсь ему не стоит заниматься кодингом. Я бы лично не хотел, чтобы он писал, к примеру, банковское приложение, которым я пользуюсь.
Как видишь, волнуют. Потому что шериф точно такой же т-пой индус, как, кстати, и ты.Парольную авторизацию запретили, "позаботились". Повторяю для таких же т-пых: пароль не получится так просто подбирать - зобанют по ip и заставят угадывать гидранты. Пароль от ssh-ключа ломается _локально_, всей доступной мощностью. Ключи теряются, крадутся, нечаяно комитятся в тот же гитхап - гораздо проще и незаметнее для владельца, чем пароли.
То есть сделали хуже и ненадежнее чем было, зато обеспечив дополнительный геморрой. Поняши радуются, ведь вместо мозга у них - навоз.
когда потеряешь ключ, товарищ лейтенант введёт с твоего номера телефона пин-код 1488 и получит новый ключ
Ну прекрасно. Я иногда в дороге люблю с мобильника в своем коде покопаться, мелкие баги подчистить. И что, все теперь, давай развертывай на ведроиде ссш, ключики туда-сюда?Что за идиотское решение? Зачем??
Затем, что начальство приказало начальству Microsoft. Приказы начальства не обсуждаются, а выполняются.
У меня даже из сраного f-droid есть forkhub который авторизуется токеном, и есть termux с нормальным гитом который авторизуется ключем. Нахрена нужны пароли?
> в своем коде покопатьсяхахаха, наивный раб!
Это не твой код, это теперь МОЙ код. Не хошь сесехе на ведроиде (который и отожмут вместе со всеми сесюрными-пресесюрными ключами) - ну значит, копайся с десктопа, как все.
Твой код - это код на твоем собственном сервере. А на дядиных серверах - дядин код. Который ты этому дяде радостно и подарил в обмен на легкую жизнь и халявный сторадж.
Ладно б еще только в обмен на чяяяятик, это-то еще можно было бы понять и простить.
старший брат говорит все старые телефоны используют террористы и их нужно запретить
Хомячки пищат от счастья когда Майкрософт покупает гитхаб, или IBM покупает Red Hat. Пищат что Майкрософт друг опенсорса, а IBM спас Red Hat от банкротства. А потом один закрывает CentOS, вторая выпиливает по чуть-чуть Github. И тут до хомячков начинает доходить, но уже поздно. Скоро из Github сделают магазин исходников по типу Google Play и хомки останутся у разбитого корыта.
Подтверждаю, кстати. Если движок вебкит - гитхабом стало невозможно пользоваться, при включенном жс ссылки тупо не работают, только открывать в новом окне, при отключенном - тупо грузит проц. Причем это единственный пример полурабочего сайта для вебкита. Майкрософт знает толк, даже тормозные гуглопомойки работают без нареканий
> вторая выпиливает по чуть-чуть Github.Кто и где?
> Скоро из Github сделают магазин исходников по типу Google Play
Ждут тут фанатики уже три года, ждут, ждут... Что им ещё остаётся.
И что я теперь должен срочно бежать генерировать непойми-ключи или мой аккаунт превратится в тыкву? Ну зашибись.А им в голову не пришло что 95% пользователей будут свои суперсисюрные токены - незапоминаемые 100 символов кракозябр - в блокноте в plain-text сохранять? Даже пароли типа 123456789 безопасней - их пользователи хотябы в голове держат и их хоть сколько-то долго нужно подбирать перебором, что легко палится.
Если удалить с гитхуба аккаунты этих 95% неосиляторов вместе с их говнокодом — всем станет только лучше.
> всем станет только лучшеОсобенно этим 95%. Вот такие клоуны-элитисты и решают за всех - кому какие где возможности нужны, а
кому - нет. А потом мы все удивляемся - отчего да почему ИТ катится псу под хвост.
ИТ катится коту под хвост как раз из за этих 95%, которые копипастом склеили на жопаскрипте какашку, но за то я у мамки программист. А что код делает даже сами не знают. Да, мир станет лучше без них. И для них самих будет лучше. Пусть идут на работу соответсвующую уровню интеллекта.Есть куча мест где они смогут помочь человечеству. Сельское хозяйство там, уборщики, курьеры, животноводство.
> Пусть идут на работу соответсвующую уровню интеллекта.Так все к этому и идет, когда хрени на жопоскрипте будет столько, что будущее покаление будет в шоке от того объема знаний который необходимо знать, чтобы нажопоскриптить, грубо говоря порог вхождения выростит на столько, что нах никому не нужно будет этим заниматься, и пойдут работать по "своему уровню". Просто надо пережить это и не реагировать на избыточность.
>выполнение операций с Git, требующих аутентификации, будет возможно только при использовании SSH-ключей или токеновМикрософтовский зонд углубится, так как эти ключи позволят более точно отслеживать юзеров гитхаба. Плюс стырить их легче, чем пароль.
все правильно же делают, там пади 65% паролей вида SmoothieOneLove python2019 ${project_name}123 и тп
Когда тебе пенсию отменят ты тоже будешь говорить что она все равно не нужна мало кто её может получить? Ой, погоди, так это уже произошло.
генераторы таких паролей потом тебе вместо публичного ключа приватный присылают. им уже не помочь
Присылали и не раз, после того как я требовал
ключ и отсылал в гугл - как его сделать.
сам юмор в том, что на повторные запросы через
пару недель (на другой сервер, допустим) опять же
копипаст id_rsa (еще бывает от путти присылают)Так что хотя бы минимальное понимание public/private
ключей будет полезно как раз для этих 65%
Ничего правильного. Ключи ssh я согласен, хоро их просто иметь. Но ssh ключ ты к браузеру nj,jq любимому не прикрутиш.Гавнотокены предлагаешь тащить? Двухвакторную хрень с смс? Счаз я телефо буду раздавать на лево и на право. Как и e-mail.
Идиоты они и есть идиоты.
Не идиоты, а ничего личного, просто бизнес. Надо затравить нежелательную категорию пользователей - вот и делают так.
Опубликуйте план отключения github
Его и не подключали.
Неосиляторы набигают снова.
Сначала они неосилили HTTPS и на каждом углу пытались доказать как им нечего скрывать и как их принуждают.
Теперь они неосилили ключи и заводят ту же шарманку с теми же ложными доводами.
А всё потому что им самим так стыдно за свою безграмотность, что они ложью пытаются выдать её за праведный пут.Но не выйдет.
Техническая безграмотность никуда не денется.
И как бы громко неосиляторы ни орали, они так и останутся безграмотными идиотами.
Они могут заминусовать все неугодные им комментарии, но мозгов в головах у них от этого не прибавится.И они это осознают.
И очко у них от этого стреляет ещё сильнее.
И поможет тут только массовая эвтаназия, наверное.
>И как бы громко неосиляторы ни орали, они так и останутся безграмотными идиотами.вы уже отказались от пароля на ссх ключе?
для тех же неосиляторов оставлю ссылочкуhttps://docs.github.com/en/free-pro-team@latest/github/...
и в пункте 4 - черным по белому, At the prompt, type a secure passphrase, не благодарите.
все к чему прикоснулось M$XX со временем превращается в ко к@ш ку
все, кроме vscode.
Судя по всему и он тоже уже начинает обрастать таким функционалом, что скоро станет большим куском монстроидального гамна...
А что за токены это реальные железяки вроде USB токенов или просто какие-то файлики на диске?Пользовался раньше для входа на WebMoney каким-то токеном и очень радовался этому процессу, а сейчас по USB кто-то заходит на сайт через личный сертификат или уже не модно стало?
Это файлики на диске, которые майкрософт в любой момент может скачать у любого пользователя виндоуз и расшифровать пароль от ключа если он есть. Потому что большинство пользователей гитхаба виндузятники. А пароль записанный на бумажке Майкрософт никак выудить не сможет.
> Это файлики на диске, которые майкрософт в любой момент может скачать у любого пользователя
> виндоузкак будто мы и пароль, который он вводит в НАШЕМ браузере, не увидим, при желании?
Другое дело вот как раз НЕ windows, а ваши прекрасные-прекрасные линyпсы (трахающие наш azure своими попытками подобрать пароли к ssh - на треть пропускной способности его каналов - это к вопросу о вашей квалификации и вашем понимании безопасности) - там, действительно, пароль который находится только в голове, спереть сложнее, даже получив какой-то там доступ к акаунту пользователя, особенно если тот еще и не имеет привычки к sudo без пароля. А .ssh - вот он. А если даже закрыт паролем - надо просто попроситься в найденный agent socket (точно найдется у такого) - он радостно подпишет все что мы попросим, мягко, не нарушая сна гордо крякающего лап4@того. Ну а потом добавить пяток своих ключиков - их ведь никто и никогда не сможет отличить.
Это либо USB устройство FIDO 2 с датчиком отпечатка пальца (подключается к десктопам и к телефонам с USB хостом через переходник, но вскоре после такого использования у тебя сломается разъём), либо софтовая реализация на базе TEE у производителей-партнёров альянса.В любом случае реализация несвободная (аттестация по типу ТЕЕ с пробивкой через сайт Альянса) и отслеживающая (серийник токена, по стандарту - 1 серийник на 10000 устройств, на самом деле это очень мало, а далее распределяем устройства с готовыми серийниками так, чтобы не было корреляции с географией и получаем наибольшую информацию о пользователе вместе с geoip), это заложено в стандарт изначально. Цель такова, чтобы можно было в суде доказать, что конкретный пользователь подписал договор - условия использования сайта - путём касания пальцем сенсора. Именно отсюда идут корни аттестации и требования биометрии в стандарте.
А ещё можно ГСЧ подкрутить или иной бэкдор добавить.
На самом деле это однофакторная аутентификация - второй фактор необязателен, сломалось устройство - иди получай доступ к аккаунту через суд с идентификацию личности и перелётом в США.
Токены, которые сейчас имеются в виду, это просто строки символов, генерируемые в настройках, но надо понимать, что безопаснее пароля от аккаунта + почты они не будут. Ещё надо понимать, что говнософт настойчиво продвигает "2FA" через FIDO2, и что вот весь этот дурдом на самом деле не дурдом, а преследует конкретную цель - заставить каждого пользователя интернета входить на большинство сайтов через токены FIDO2.
И это всё на фоне намерения M$ убедить производителей встроить в компы свой закрытый чип-бэкдор, а пользователей - покупать компы с ним, и программы с DRM через него.