URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 126652
[ Назад ]
Исходное сообщение
"В NPM включена обязательная двухфакторная аутентификация для 100 самых популярных пакетов "
Отправлено opennews , 03-Фев-22 15:00 
GitHub объявил о включении в репозитории NPM обязательной двухфакторной аутентификации для 100 NPM-пакетов, имеющих наибольшее число зависимостей.  Сопровождающие данных пакетов отныне  смогут выполнить требующие аутентификации операции с репозиторием только после включения двухфакторной аутентификации, требующей подтверждения входа при помощи одноразовых паролей (TOTP), генерируемых такими приложениями, как Authy, Google Authenticator и FreeOTP. В ближайшее время помимо TOTP планируют добавить возможность использования аппаратных ключей и биометрических сканеров, поддерживающих протокол WebAuth...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=56629

Содержание
Сообщения в этом обсуждении
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 03-Фев-22 15:00 
Теперь авторам не получится поднять деньжат и списать на взлом? Я думаю, они не в восторге.
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено пох. , 03-Фев-22 15:41 
Почему не получится? Или ты имеешь в виду - не успеют, потому что это сделает троянец на их телефоне без их ведома, чего ради весь этот бред и затевался?

Ну так просто будут два майнера вместо одного.

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 03-Фев-22 20:31 
>троянец на их телефоне

FreeOTP? Ты что шиз?

>пох

А в прочем да

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Анон_из_Восточной_Европы , 04-Фев-22 12:43 
Всегда можно списать на взбесившийся принтер. Кто мешает добавить в код зависимости от "третьих лиц" с нужным кодом.
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноньимъ , 03-Фев-22 15:03 
А что с тем кадром которого на гитхабе заблокировали?
Или там питон был?
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 03-Фев-22 15:11 
лол который протестовал и радел за самоубийство другого разраба? там какой-то фронтендщик был
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 03-Фев-22 15:22 
>и радел за самоубийство другого разраба

Это ты так неуважительно об Аароне пишешь?

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Анонимоусш , 04-Фев-22 01:32 
Бэкэндщиком повеяло…
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Михрютка , 04-Фев-22 01:46 
с Мараком штоль? а ничего. репостит в твитыре кислотные клипчики и пишет какую-то ерунду про "seize the means of production".

его colors все еще в топ-100 списке. вот только с доступом на npm и гитхаб у него еше некоторое будут проблемы и помимо 2А, кмк.

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 03-Фев-22 15:07 
Ну и зачем это нужно?

>В ходе проверки надёжности используемых паролей удалось получить доступ к 12% аккаунтов в NPM (13% пакетов) из-за использования предсказуемых и тривиальных паролей, таких как "123456"

Если владельцы аккаунтов не считают нужным что-то защищать - зачем их заставлять?
Просто связались бы с ними и предупредили бы что выбранный пароль слишком простой. Что дальше делать - не гитхабу решать!

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 03-Фев-22 15:15 
Если пакет начал использоваться как зависимость в других пакетах, безопасность перестаёт
быть только проблемой автора.  

Но можно было не принуждать, а пойти другим путём - для репозиториев без 2FA и с ненадёжными паролями выставлять специальную метку и распространять её вверх по цепочке зависимостей, что бы все кто использует данные пакеты видели имеющийся риск и понимали, что в любой момент им может прилететь бэкдор.

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 03-Фев-22 15:27 
>Но можно было не принуждать

Ты это говоришь про Майкрософт? Который в своей истории много раз кого-нибудь да принуждал.

>а пойти другим путём

А когда-нибудь в своей истории Майкрософт шёл другим путём?

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноньимъ , 03-Фев-22 15:39 
>Если пакет начал использоваться как зависимость в других пакетах, безопасность перестаёт быть только проблемой автора.  

Она становится проблемой использователя разработчика других пакетов.

Причём тут МММ непонятно вообще.

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено пох. , 03-Фев-22 15:43 
> Она становится проблемой использователя разработчика других пакетов.

которому конечно мешает зафиксировать именно проверенную версию что? А, руки. Растущие понятно оттуда же, где у него и голова.

Поэтому на самом деле он ее и не проверял. И каким местом тут поможет шестифакторная аутентификация, если щупалец у него восемь?

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено псевдонимус , 04-Фев-22 02:52 
Это не руки. И даже не хвост. Это голова, работающая по принципу "и так сойдёт, не себе же!"
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Kuromi , 03-Фев-22 17:01 
Слишком сложно + надо уметь это обрабатывать на стороне клиента. Обязать топовые репозитории поставить наконец OTP намного проще.
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Онаним , 03-Фев-22 19:13 
Именно. Ебзопасность становится проблемой ещё и этот пакет с пакетами использующих.
Остальным всё равно фиолетово.
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено ананим.orig , 03-Фев-22 17:19 
>Ну и зачем это нужно?

Им нужен контроль.
Безопасность только повод.
>В ближайшее время помимо TOTP планируют добавить возможность использования аппаратных ключей и биометрических сканеров

...

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Ananimasss , 03-Фев-22 15:50 
лефтпад в опасносте
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 03-Фев-22 16:12 
Жду следующей новости: из-за введения обязательной двухфакторной аутентификации были взломаны 100500 самых популярных пакетов.
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 03-Фев-22 16:46 
Для безопасности надо читать код библиотек, которыми пользуешься, и пинить версии. Прочитал новую версию - запинил. Просто представьте насколько бы вырос уровень безопасности при отключении автообновлений. И не надо этих легенд про фиксы уязвимостей - одни уязвимости устраняются, другие добавляются. В крайнем случае вручную прочитать патч с фиксом уязвимости и наложить на запиненную прочитанную версию зависимости, если сам с фиксом согласен
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Урри , 03-Фев-22 17:01 
> Для безопасности надо читать код библиотек, которыми пользуешься

Разработчик хелловорлда, как я вижу?

Интересно, сколько человеколет у меня уйдет, если я буду читать код всех библиотек, которые решил поиспользовать... Я думаю... где-то 120.

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 03-Фев-22 18:52 
сколько npm пакетов нужно вебмакакам для гарантированного вывода хелловорд?
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 03-Фев-22 19:21 
Дело не в макаках, чтобы грамотно и по всем правилам написать привет мир тебе потребуются тысячи зависимостей и это ты только 1 строку вывел. Конечно, ты можешь забить на тесты и всё остальное, но такому коду грош цена,
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Ананоним , 03-Фев-22 20:14 
Это твоему коду с тыщами мутных зависимостей грош цена. А код в 10 строк, выводящий нужную строку, самый лучший.
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Урри , 04-Фев-22 01:06 
> Это твоему коду с тыщами мутных зависимостей грош цена. А код в
> 10 строк, выводящий нужную строку, самый лучший.

Исходники браузера, который будет выводить эту строку, уже проверил?

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено liliputiputiputi , 04-Фев-22 06:55 
Используй только то что проверено на безопасность другими, не обновляйся до нестабильных версий. Не используй новые не понятные кресты.
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 04-Фев-22 07:19 
Установил реакт получил 20000 тысяч зависимостей. Читай все

В веб ужасная ситуация с зависимостями.

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено www2 , 08-Фев-22 07:31 
>Установил реакт получил 20000 тысяч зависимостей. Читай все

Если интересна безопасность, то лучше вообще не устанавливать то, что не можешь прочитать. Правда, так можно с одними только механическими часами остаться. У них нет багов, только особенности.

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено www2 , 08-Фев-22 07:28 
>Просто представьте насколько бы вырос уровень безопасности при отключении автообновлений.

djb'шно :)

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Wilem82 , 03-Фев-22 22:24 
Отлично, теперь потеря/поломка телефона приведёт к безвозвратной утере аккаунта.
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 04-Фев-22 02:27 
Дитятко, ты что, никогда не менял симку к банковскому акку?! А ведь там посерьёзней привязка.
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено liliputiputiputi , 04-Фев-22 06:49 
А через пол года твой банковский номер передадут другому пользователю. Или сделают копию твоего счёта.
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Ананимст , 04-Фев-22 03:27 
Кипас и плагин для тотп, и ьекапишь куда хочешь. У меня так куча корморативной мути завязано на тотп, проблему решил таким образом. +Не надо каждый раз сраный телефон доставать.
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено InuYasha , 03-Фев-22 23:30 
Принудительная биометрия пришла откуда её почти не ждали.
"Вы такие дебилы, что не можете запомнить свой пароль, держите привязку к почте, телефону, имени, фамилии, а ещё сдайте быдлометрию и вот ещё текст клятвы в вечной верности"
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Kuromi , 04-Фев-22 00:19 
Биометрия чисто опциональна. Можно использовать 1) программный TOTP 2) аппаратный WebAuthn токен без какой либо биометрии\с пинпадом\встроенной биометрией (той что никуда дальше токена не идет

Использовать встроенный в виндовс TPM и разблокировкой через биометрию - это чисто по желанию, т.к. в стандарте WebAuthn есть требование не привязываться к конкретному типу аутентификаторов. Ну а если кто-то таки привязывается, то ССЗБ.

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 04-Фев-22 01:21 
Тут вся отрасль развивается через опции. Сначала они просто есть, потом по умолчанию и, наконец, это навсегда и для всех.
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено swabrostionnayaformapravleniya , 04-Фев-22 06:37 
Как будто бы opennet свободный.
Вот:

ОШИБКА ПУБЛИКАЦИИ (сработала защита от попыток осуществления нештатных операций с форумом) - СВЯЖИТЕСЬ С АДМИНИСТРАТОРОМ
Наиболее вероятной причиной является использование прокси сервера с настройками направленными на излишнюю анонимность.

Решение для пользователей прокси-сервера squid: убрать из конфига squid "anonymize_headers" настройки. (Убрать "anonymize_headers deny Referer" или добавить "anonymize_headers allow Referer").

Решение для пользователей браузера Opera: в настройках "Privacy" проверить состояние галки "Enable Referer login". Если не работет Opera 6.11 для Linux, обновите ее до 6.12, в 6.11 ошибка.

Решение для Lynx: убедитесь в присутствии настройки "REFERER_WITH_QUERY:SEND" в /etc/lynx.cfg.

Пользователи локальных программ фаерволов под Windows (например, NIS - Norton Internet Security), могут иметь проблемы с настройками по умолчанию.

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 04-Фев-22 13:52 
Это другое!
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено InuYasha , 05-Фев-22 10:28 
м-да.png.... "излишняя анонимность"... (
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено www2 , 08-Фев-22 07:34 
Настолько анонимен, что не хочешь говорить даже с какой страницы пришёл?
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 04-Фев-22 01:35 
Выпускаем пакеты только в отделении при предъявлении паспорта и шкурки банана.

Ваш npm

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено swabrostionnayaformapravleniya , 04-Фев-22 06:46 
Занимаемся политикой только приходя на голосование. Овощи должны быть овощами. А вы попробуйте подписать петицию за разрешение овощных игр.
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено псевдонимус , 04-Фев-22 02:43 
Не поможет.
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 04-Фев-22 05:44 
А "владелец" пакета разве не сможет залогиниться и отключить этот OTP, будет не отключаемый?
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 04-Фев-22 14:37 
> не отключаемый?

Скоро будешь каждый раз мазок сдавать, как еще один "фактор".

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено sdafaytesyaswabrostionspolizey , 04-Фев-22 07:00 
Нужно запретить не безопасных программистов.
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено anonymous , 04-Фев-22 12:58 
А какое отношение гитхаб имеет к npm?
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 04-Фев-22 13:01 
> TOTP

Это точно еще один "фактор"?

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 04-Фев-22 17:19 
> GitHub объявил о включении в репозитории

Фигня это всё.

1. Необходимо все комиты и особенно релизы подписывать OpenPGP ключом.

2. Найти спонсоров для раздачи открытых аппаратных хранилищ ключей OpanPGP для разработчиков свободных програм.

3. Поощрять проведение PGP часа на всех ИТ мероприятиях для обмена публичными ключами.

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 04-Фев-22 17:30 
> 2. Найти спонсоров для раздачи открытых аппаратных хранилищ ключей OpanPGP для разработчиков свободных програм.

https://www.nitrokey.com/news/2018/nitrokey-partners-linux-f...

https://www.nitrokey.com/news/2019/nitrokey-partners-gentoo-...

https://www.nitrokey.com/news/2021/nitrokey-equips-arch-linu...

А тем временем вышел Nitrokey 3: https://www.nitrokey.com/news/2021/new-nitrokey-3-nfc-usb-c-...

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 05-Фев-22 13:58 
как в анекдоте: "...Я им уже и унитаз приносил - всё равно не продают!".
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Всем Анонимам Аноним , 06-Фев-22 21:49 
Так у них на почте такой же пароль. Нужно просто в почту залогиниться вместо NPM.