The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Внедрение двухфакторной аутентификации в PyPI привело к инциденту с удалением популярного пакета

10.07.2022 08:29

Разработчики репозитория Python-пакетов PyPI опубликовали план перехода на обязательную двухфакторную аутентификацию для пакетов, входящих в категорию критически важных. Важность определяется по числу загрузок и изменение будет применено к учётным записям сопровождающих и владельцев проектов, связанных с 1% пакетов, лидирующих по числу загрузок за 6 месяцев. С учётом того, что в настоящее время репозиторий PyPI включает более 350 тысяч пакетов, двухфакторная аутентификация будет применена примерно для 3500 пакетов. Для проверки попадания учётной записи в список подготовлена специальная страница. Точная дата включения обязательной двухфакторной аутентификации пока не определена, предполагается, что это произойдёт в ближайшие месяцы.

В отличие от перехода на двухфакторную аутентификацию проектов RubyGems, NPM и GitHub, в PyPI будет изначально внедрена схема, подразумевающая желательное использование аппаратного токена с ключами доступа. В качестве причины рекомендованного использования токенов и протокола WebAuthn упоминается более высокая безопасность по сравнению с генерацией одноразовых паролей (возможность использования TOTP вместо токенов будет доступна в форме опции).

Токены можно будет получить бесплатно - компания Google выступила спонсором инициативы и выделила для проекта 4000 ключей Titan. Каждый сопровождающий может подать заявку на бесплатное получение двух токенов с интерфейсом USB-C или USB-A. Второй токен отправляется в качестве резервного на случай поломки или потери основного, чтобы минимизировать риск потери доступа к репозиторию и избавить разработчиков от необходимости прохождения через сложную процедуру восстановления доступа.

К сожалению, токены могут быть отправлены только в Австрию, Бельгию, Канаду, Францию, Германию, Италию, Японию, Испанию, Швейцарию, Великобританию и США. Сопровождающие из других стран могут самостоятельно приобрести совместимые со спецификацией FIDO U2F токены, например, подходят токены Yubikey и Thetis. В качестве альтернативы также предусмотрена возможность применения вместо токена приложений для аутентификации на базе одноразовых паролей, поддерживающих протокол TOTP, например, Authy, Google Authenticator и FreeOTP.

Инициатива не обошлась без инцидента. Автор пакета Atomicwrites, насчитывающего 6 млн загрузок в месяц и 38 млн за 6 месяцев, не пожелал переходить на двухфакторную аутентификацию и для исключения своего пакета из списка критически важных попытался сбросить счётчик загрузок. Для сброса он вначале удалил пакет, а потом загрузил новую версию. Ожидалось, что подобная манипуляция лишь сбросит счётчик, но к удивлению разработчика из репозитория были удалены и все старые версии, что привело к проблемам у зависимых от библиотеки проектов, которые некоторые разработчики сравнили с инцидентом в результате удаления пакета left-pad в NPM.

Проблема усугубилась тем, что после удаления автор atomicwrites не смог загрузить старые версии, восстановить которые удалось лишь на следующий день после вмешательства администраторов PyPI. После произошедшего автор пакета принял решение прекратить разработку atomicwrites и перевести пакет в разряд устаревших. В качестве причины упоминается то, что он развивает проект как хобби в свободное время и появление дополнительных требований, усложняющих работу, не стоят времени, затрачиваемого на бесплатное сопровождение пакета с такой популярностью. Автор atomicwrites утверждает, что он бы предпочёл просто писать код для развлечения, а заботы о дополнительной защите от захвата злоумышленниками можно взвалить на себя когда за это платят.

Библиотека atomicwrites содержит около 200 строк кода и предлагает функции для атомарной записи файлов. В качестве замены можно использовать штатные вызовы os.replace и os.rename (операция сводится к записи в файл с временным именем и переименованию в целевой файл после готовности).

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: RubyGems переходит на обязательную двухфакторную аутентификацию для популярных пакетов
  3. OpenNews: В NPM включена обязательная двухфакторная аутентификация для 500 самых популярных пакетов
  4. OpenNews: GitHub перейдёт на использование обязательной двухфакторной аутентификации
  5. OpenNews: В каталоге PyPI выявлены вредоносные библиотеки, использующие CDN PyPI для скрытия канала связи
  6. OpenNews: Перехвачен контроль над Python-пакетом ctx и PHP-библиотекой phpass (дополнено)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/57481-pypi
Ключевые слова: pypi, auth
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (139) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 09:13, 10/07/2022 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +11 +/
     
  • 1.2, Аноним (2), 09:34, 10/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +21 +/
    Спорное решение PyPi. Это опасный прецедент, касающийся перекладывания ответственности за открытый код с пользователя этого кода на разработчика.
    Сегодня разработчик вынужден покупать и использовать токен т.к. он (разработчик) априори считается ненадёжным, а завтра его начнут за баги вызывать в суд.
     
     
  • 2.14, Аноним (14), 10:41, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > перекладывания ответственности

    Ответственность переложили, права забрали. Всё честно.

     
  • 2.60, anonymous (??), 16:31, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >начнут за баги вызывать в суд

    и microsoft тоже?

     
  • 2.71, Аноним (71), 19:22, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Токен генерируется в любом свободном менеджере паролей Например, KeePassXC И д... большой текст свёрнут, показать
     
     
  • 3.73, Аноним (14), 19:55, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > сброс пароля

    Сделали огромную дыру и латают (другой дырой).

     
     
  • 4.88, Аноним (88), 01:00, 11/07/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну ты-то пароли никогда не забывал. Только на бумажечках писал и на монитор клеил.
     
     
  • 5.101, Аноним (14), 10:23, 11/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Нет. Отправлял по электронной почте России открытым текстом, как требовал безопасТный сервис. С смс подтверждением, чтобы все знали, когда я сбросил пароль.
     
  • 5.138, Аноним (-), 03:36, 13/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ну ты-то пароли никогда не забывал. Только на бумажечках писал и на
    > монитор клеил.

    А что, разве хакер сможет его так спереть? Его даже в вебкам не видно :)

     

  • 1.3, Аноним (3), 09:42, 10/07/2022 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –2 +/
     

     ....ответы скрыты (7)

  • 1.4, Аноним (-), 09:43, 10/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    начнут с внедрения токенов разработчиков ради безопасности. потом введут токены на доступ ради безопасности. а потом отзыв токенов за мыслепреступления, политики отмены или толкования свободы слова.
     
     
  • 2.6, Аноним (3), 09:49, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Не накручивайте, никто не требует никаких аппаратных токенов, это лишь один из способов
     
     
  • 3.9, ыы (?), 10:18, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ..Внедрить бакдур...
    Вы чип в токене сами проверяли?
     
     
  • 4.53, Аноним (53), 15:31, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    https://www.opennet.dev/opennews/art.shtml?num=51829
     
     
  • 5.102, Аноним (102), 10:29, 11/07/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Только сам гугл не заслуживает доверия
     
  • 3.13, Аноним (13), 10:39, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Про Секурбут тоже говорили, что для защиты, а теперь по умолчанию сторонние ОС нельзя загружать. Пока ещё не у всех и можно отключить, но когда будет, будет поздно паниковать.
     
     
  • 4.78, microsoft (?), 20:38, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А хомяку пофигу, главное жрать макдак, и смотреть порно по этой железке, все. Ему не до ваших секурбут.
     
  • 3.100, Admino (ok), 10:21, 11/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну это пока.
     
  • 2.19, torvn77 (ok), 11:03, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Несколько лет назад я читал что длинна надёжных паролей превысила значение которое большинству людей безппроблем запомнить и ввести с клавиатуры.

    Более того, вот я к примеру отключил у себя Стиме вход через временный пароль из их приложения, оставив только получение кодов на почту, так мой ящик завален письмами с попытками входа под  моим аккаунтом, что означает что мой  малосекюрный пароль с моего компа таки украли.
    Одним словом проблема с паролями есть и я бы хотел чтобы Стим сделал у себя аутентификацию через аппаратный токен.

     
     
  • 3.22, Аноним (14), 11:13, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > мой  малосекюрный пароль с моего компа таки украли

    Значит, украдут и многосекурный пароль/ключ.

     
  • 3.79, penetrator (?), 21:00, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    кто заставляет тебя запоминать каждый пароль?

    локальный менеджер паролей со случайным мастер паролем в 16-24 символом решает

    1 случайный пароль можно запомнить без проблем

     
  • 3.89, Аноним (88), 01:02, 11/07/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >мой ящик завален письмами с попытками входа под  моим аккаунтом, что означает что мой  малосекюрный пароль с моего компа таки украли

    Вирусню разогнать не пробовал?

     
     
  • 4.120, torvn77 (ok), 20:35, 11/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ты хочешь сказать что мой линукс поражён вирусами?
     
     
  • 5.144, Аноним (144), 14:44, 13/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не обязательно линукс. Может, девушка, бабушка, кот...
     
  • 3.137, anonymous (??), 00:23, 13/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Несколько лет назад я читал что длинна надёжных паролей превысила значение которое большинству людей безппроблем запомнить и ввести с клавиатуры.

    Мне кажется вы не в курсе, что такое экспонента. Экспонента - это когда для того чтобы повысить защиту в несколько раз, надо добавить всего лишь несколькои символов в пароль, а не умножать.

    P.S. Как-то заморочался с паролем, распечатал случайные символы на A4. Подобрал в уме картинку, ведёшь в уме пальцем по линии, собираешь пароль. 73 символа таким образом набрал. Первые три дня использовал бумажку. А потом руки сами набирают, участия мозга не требуется. Что-то мне кажется, что компьютеры не смогут пароль такой длины перебрать, пока на квантовые вычисления не перейдут.

     
     
  • 4.141, Аноним (141), 08:39, 13/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Как-то заморочался с паролем, распечатал случайные символы на A4

    Смотри, твою идею украли: passwordcard.org :D

     
  • 4.142, torvn77 (ok), 12:07, 13/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > 73 символа

    Большинство людей будут тспытывать проблемы даже с восьмисимвольным паролем.  
    А с паролем более 14 символов это большинство составит основную массу народа.

     
  • 2.46, Аноним (46), 14:42, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А потом внедрять токен пониже спины
     
  • 2.51, Михрютка (ok), 15:24, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • –4 +/
    ну в РФ вообще доступ в интернеты по паспорту. и ничего, живут как-то люди.
     
     
  • 3.65, Аноним (46), 17:27, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > ну в РФ вообще доступ в интернеты по паспорту. и ничего, живут
    > как-то люди.

    А в каких странах не по паспорту?

     
     
  • 4.68, Михрютка (ok), 18:39, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> ну в РФ вообще доступ в интернеты по паспорту. и ничего, живут
    >> как-то люди.
    > А в каких странах не по паспорту?

    в великобритании, говорят. купил препейд сим и в путь. в чехии то ж самое. на украине. это я так, что сам знаю, кто-нить еще может подкинут примеров.

     
     
  • 5.74, Аноним (14), 20:02, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Хотелось бы услышать истории узбека, как они покупают симки не только в РФ.
     
     
  • 6.76, Михрютка (ok), 20:16, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Хотелось бы услышать истории узбека, как они покупают симки не только в
    > РФ.

    история простая

    узбек прилетает в борисполь^W^W^Wпоправочка, через азербиджян турцыю и румынию приезжает в чоп. покупает в киоске симку без паспорта, закидывает на нее в том же киоске бабла наличкой. все, можешь пользоваться без регистрации и смс.

    узбек где-то чего-то недопонимает, ему нужно где-то что-то доразъяснить?


     
     
  • 7.77, Аноним (14), 20:29, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я ничего не понял: узбеки-туристы покупают симки без паспорта вне зависимости от страны?
     
  • 7.81, Аноним (81), 21:12, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Борисполь уцелел?
     
  • 7.135, Михрютка (ok), 21:34, 12/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > узбек где-то чего-то недопонимает, ему нужно где-то что-то доразъяснить?

    лол узбек обиделся, что его попросили предъявить документ, и настучал mc.

    mc - за многонационалочку, не смог отказать.


     
  • 5.115, Аноним (115), 19:26, 11/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Муж ездил в Лондон 3 года назад, но сим карту для интернета зарегистрировать не мог так как регистрация занимала очень много времени.
    Странно что вы смогли купить в великобритании симкарту.
     
     
  • 6.116, Михрютка (ok), 19:49, 11/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    в великобритании, _говорят_ купил препейд сим и в путь я видимо, неясно выра... большой текст свёрнут, показать
     

  • 1.10, Аноним (14), 10:24, 10/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Каждый сопровождающий может подать заявку на бесплатное получение двух токенов

    БезопасТность. Удвоенная.

     
  • 1.12, Геймер (?), 10:25, 10/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    А Гуголь, конечно же, совершенно случайно проходил мимо со своими "титанами" и по доброте душевной расщедрился аж на 4 тыщи токен-флешек по принципу "первые две дозы бесплатно".
     
  • 1.15, YetAnotherOnanym (ok), 10:52, 10/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > компания Google выступила спонсором инициативы и выделила для проекта 4000 ключей Titan

    Как легко и просто взять на карандаш всех ключевых разработчиков библиотек для питона.

     
     
  • 2.17, Попандопала (?), 11:01, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Чтобы потом сопровождающих не искать, как с иксами? D
     
     
  • 3.28, YetAnotherOnanym (ok), 11:45, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    С иксами - это как? Как искать с собаками - знаю, а с иксами - это что-то новенькое.
     
  • 3.41, n00by (ok), 13:46, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Так себе шутка в наше неспокойное время. Теперь, что бы внедрить зловредный код, придётся прийти домой к разработчику.
     
     
  • 4.45, Dzen Python (ok), 14:36, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    При этом зловредный код будет подписан всеми десятью валидными траст-слоями от разраба и найти его смогут лишь случайно, года тысячапервый глаз по приколу залезет в код узнать, а что это за слабенький постоянный траффик у него идет.
     
     
  • 5.47, Аноним (46), 14:47, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • –7 +/
    СПО идеалогия это просто маркетинг. На самом деле никто не смотрит исходники программ. Даже относительно простых и понятных программ на языке питон
     
     
  • 6.92, Аноним (-), 06:23, 11/07/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вообще-то я в исходники смотрю периодически. Правда, конечно, не д@рьмища на питоне, я таким не пользуюсь просто - и поводов смотреть нет.

    А если б гений знал что есть инструменты типа git позволяющие инкрементально отличия между версиями обозревать...

     
  • 6.109, Аноним (109), 16:58, 11/07/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > СПО идеалогия это просто маркетинг. На самом деле никто не смотрит исходники программ. Даже относительно простых и понятных программ на языке питон

    СПО идеология подразумевает, что тех кто пишет документацию в разы меньше тех кто программирует (это скучнее). Отсюда и необходимость лазить в исходники. Иначе никак :(

     
     
  • 7.122, Аноним (14), 21:05, 11/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > СПО идеология подразумевает, что...

    пользователь - хакер, может свободно менять программу.

    Все остальное - это, можно так сказать, следствие этого принципа.

     
  • 5.96, n00by (ok), 07:12, 11/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да, виноват окажется разработчик. При этом в лучшем случае его привлекут к ответственности. В лучшем - потому что он при этом останется жив и здоров. Интересная цена за free* time?

    *) “free” as in “free speech,” not as in “free beer”

     
  • 4.67, Аноним (14), 18:39, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Раздача двух токенов "про запас" ясно говорит об уровне уникальности. Монополизация внедрения зловредного кода.
     
     
  • 5.85, Аноним (85), 23:52, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Токены не уникальные, ключ загружаешь на них сам.
     
     
  • 6.99, Аноним (14), 09:57, 11/07/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Токены не уникальные

    Какой смысл таких токенов?

    > ключ загружаешь на них сам

    Тогда зачем нужны токены, если ключ есть и без них? Чтобы было больше копий, которые можно скомпрометировать.

    БезопасТность. Утроенная.

     
     
  • 7.107, Аноним (107), 14:55, 11/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Какой смысл таких токенов?

    а какой смысл уникальных токенов, в которых ключ не меняется и зашит с завода?
    > Тогда зачем нужны токены, если ключ есть и без них?

    никто не заставляет хранить исходный ключ. А из токена его обычно достать гораздо сложнее

     
     
  • 8.114, Аноним (14), 18:50, 11/07/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В том, что удовлетворяют фактору владеть уникальной вещью Для таких случаев ... текст свёрнут, показать
     
     
  • 9.118, Аноним (118), 20:27, 11/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    не заводи второй токен Токены не уникальные, а вот положить в разные токены уни... текст свёрнут, показать
     
     
  • 10.121, Аноним (14), 20:52, 11/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ясно, эксперт , который не знает для чего нужен не псевдо рандом... текст свёрнут, показать
     

  • 1.18, ИмяХ (?), 11:02, 10/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Опенсорс - это свобода
     
     
  • 2.21, Аноним (21), 11:11, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Свобода. А вот централизованная инфраструктура пакетов - чистое зло.
     

  • 1.20, Аноним (21), 11:10, 10/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Ишь ты, хотел он для удовольствия код писать. Должен обслуживать корпорации, наемные макаки которых уже используют твой код. Да, бесплатно.
    Сказали зонд установить - будь добр.
     
  • 1.23, torvn77 (ok), 11:17, 10/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Все кто не доволен могут сделать и предложить плугин для двойной аутентификации на сайте через демонстрацию в вебкамеру распечатанного на принтере QR кода.  
    Ну а если не хотите то не жалуйтесь на то, что корпорации делают эту аутентификацию сами по своим стандартам.
     
     
  • 2.35, n00by (ok), 12:58, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Все кто не доволен могут сделать и предложить плугин для двойной аутентификации
    > на сайте через демонстрацию в вебкамеру распечатанного на принтере QR кода.

    Полагаю, все кто не доволен отказом автора сопровождать пакет, могут записать на вебкамеру три приседания со словами "ку" и прислать автору ссылку. Может он передумает?

     
  • 2.93, Аноним (-), 06:24, 11/07/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А канкан на камеру им там танцевать не надо для доказательства что не верблюд?
     

  • 1.29, Аноним (29), 11:49, 10/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    То есть в перспективе к написанию бесплатного опенсорца будут допускаться только жители небольшого числа белых стран, которые прошли необходимые проверки гугла (по критериям лгбт) и получившие аппаратные токены. Они сами не видят бредовость своих реплилоидных планов?)
     
     
  • 2.55, Аноним (55), 15:40, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну так и есть Опенсорс должен приносить выгоду белым людям, увеличивая отрыв от... большой текст свёрнут, показать
     
     
  • 3.133, Аноним (133), 17:10, 12/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Как житель страны первого мира, одобряю такой план. Особенно мне про мясо для борделей понравилось. Куда перечислить деньги, чтобы уже прямо сейчас начали внедрение?
     
     
  • 4.136, Аноним (55), 22:58, 12/07/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты уже перечислил. И будешь перечислять, пока коленом под зад не дадут за то что слишком русский.

    Проблема с этим подходом в том, что он хорошо работает лишь до тех пор, пока истинные цели не на виду. Так что не получится ничего. Централизация ослабеет - как это было с экосистемой андроид, например.

     
     
  • 5.145, Аноним (145), 18:49, 13/07/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А я не русский, спасибо родителям.
     

  • 1.31, freehck (ok), 12:01, 10/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > Инициатива не обошлась без инцидента. Автор пакета Atomicwrites, насчитывающего 6 млн загрузок в месяц и 38 млн за 6 месяцев, не пожелал переходить на двухфакторную аутентификацию и для исключения своего пакета из списка критически важных попытался сбросить счётчик загрузок. Для сброса он вначале удалил пакет, а потом загрузил новую версию. Ожидалось, что подобная манипуляция лишь сбросит счётчик, но к удивлению разработчика из репозитория были удалены и все старые версии, что привело к проблемам у зависимых от библиотеки проектов, которые некоторые разработчики сравнили с инцидентом в результате удаления пакета left-pad в NPM.

    Ребята, ну это прямо-таки комедия! Настроение с утра подняли по самое некуда! =)

    Да, мужик, борись с системой! Хочу больше таких новостей по утрам! ))))

     
     
  • 2.32, Аноним (14), 12:07, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Увлекательность этих событий соответствует увлекательности событий по внедрению "критической безопасности".
     

  • 1.33, Без аргументов (?), 12:48, 10/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    The next station is crates.io
     
     
  • 2.49, Аноним (46), 14:49, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Смузипроблемы не волнуют настоящих программистов на ANSI C
     
  • 2.63, НяшМяш (ok), 17:17, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Там хуже уже не будет - логин возможен только через гитхаб.
     

  • 1.37, Аноним (37), 13:26, 10/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Фактически теперь и адреса разработчиков после высылки ключей узнают (деанонимизация) и от изменений в репозиторий из-за второго фактора уже не отвертишься. Попахивает возросшей юридической ответственностью разработчиков...
     
     
  • 2.39, Sw00p aka Jerom (?), 13:31, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Попахивает возросшей юридической ответственностью разработчиков...

    сколько там пожизненных светит мелкософту?

     
     
  • 3.43, Аноним (37), 14:05, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Видимо много, иначе, если дадаут электрическиё стул, то они и в аду своей стратегией EEE все разрушат
     
     
  • 4.97, Брат Анон (ok), 08:07, 11/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не надо оскорблять ад. Там грешников жарят за дело и по чесноку. Все черти миллиарды лет честно работают и токены им для работы не нужны.
     
  • 2.72, Аноним (71), 19:36, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Параноики такие параноики.
    Адреса разработчиков кому надо вычислили по IP. А аппаратный ключ заказывать не обязательно. Там обычный TOTP принимается в качестве второго фактора.
    Зато почтовому провайдеру (тому же Гуглу) вы, конечно, безоговорочно доверяете, хотя он и ваши письма читает, и где вы регистрировались знает, и может получить доступ почти к любой сторонней учетке, инициировав сброс пароля без вашего ведома.
     
     
  • 3.91, myhand (ok), 06:18, 11/07/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Зато почтовому провайдеру (тому же Гуглу) вы, конечно, безоговорочно доверяете

    Прикинь, чувак, я сам себе почтовый провайдер.  Так было можно, ага.

     
     
  • 4.98, 1 (??), 09:43, 11/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это следующий этап. Скоро ключи DKIM будут только от гугла и только на их токенах.
     
     
  • 5.140, myhand (ok), 06:18, 13/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Отставить панические настроения.  Основная проблема в том, что почтой ныне не модно-молодежно пользоваться.  Всем бы чатики-***ки всякие.
     
  • 4.104, Аноним (14), 11:42, 11/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Что, еще нужно свой почтовый сервер поднимать, чтобы leftpad сопровождать?
     
     
  • 5.117, Михрютка (ok), 20:22, 11/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Что, еще нужно свой почтовый сервер поднимать, чтобы leftpad сопровождать?

    - это что, чтоб потрахаться, еще и член должен стоять?
    - ну, твой член может и не стоять.

     
     
  • 6.123, Аноним (14), 21:24, 11/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Неправильная у тебя ана та самая логия.

    С потенцией как раз проблем нету, так как сопровождающий уже доказал, что может.

    Правильный риторический диалог звучит так:

    - это что, чтоб потрахаться, еще и презерватив надо надевать, ой, сайт знакомств поднимать?
    - ну, ты можешь не надевать.

     
  • 5.143, myhand (ok), 14:38, 13/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Что, еще нужно свой почтовый сервер поднимать, чтобы leftpad сопровождать?

    Оно конечно.  Может еще без папы с мамой ботинки зашнуровывать?

     

  • 1.38, Sw00p aka Jerom (?), 13:27, 10/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    завтра еще будут судить за внедрение бекдора в свой код :)
     
  • 1.40, mikhailnov (ok), 13:33, 10/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В оригинале написано:
    >  I thought that was an annoying and entitled move in order to guarantee SOC2 compliance for a handful of companies (at the expense of my free time)

    Интересная мысль

     
  • 1.44, Dzen Python (ok), 14:34, 10/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    >  Автор atomicwrites утверждает, что он бы предпочёл просто писать код для развлечения, а заботы о дополнительной защите от захвата злоумышленниками можно взвалить на себя когда за это платят.

    Золотые слова.
    Жаль, что 99% обычного пользовательского мусора это в принципе не поймут

     
     
  • 2.48, Аноним (48), 14:48, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Любишь кататься - люби и саночки возить. Ишь ты развлекаться он захотел.
     
     
  • 3.56, Аноним (53), 15:41, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Любишь кататься - люби и катайся. (Армянское радио)
     
  • 2.58, Аноним (58), 16:11, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А как же большая сила больша ответственность? А ну да это другое...
     
     
  • 3.75, Аноним (14), 20:08, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > А как же большая сила больша ответственность?

    Попробуй более сильного хотя бы отвечать, хрен с ним с соответствием.

     
     
  • 4.147, Аноним (85), 15:22, 14/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    попробуй отвечать!!!
     

  • 1.50, Михрютка (ok), 15:20, 10/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    лiл на HN комментаторы негодуют

    > This is a bizarrely emotional response to me.

    LOL

    > There’s a moral obligation to mitigate harm caused by your project.

    при этом кто-то ехидно заметил, что в эту пипу может загрузить код кто угодно, т.к. личность автора при загрузке ничем не удостоверяется.

    > I had a package which I didn't publish on PyPI, just my web site as a "if you break it, you get to keep the pieces" sort of thing. I didn't even have a PyPI account.
    > Someone else added it to PyPI without telling me. And people started using it from PyPI.
    > I started getting messages about it, like PyPI developers asking maintainers to upgrade package metadata to include if it supported Python 3. That's when I realized it was on PyPI in the first place.
    > One user even emailed me a question and said I had an obligation to support it, since I put it on PyPI.

    ну и чисто позавидовать на выходных чужой печени - в твитер-треде про этот инциндент кто-то запостил прекрасное видео с подписью "node_modules when you start a new project."

    https://twitter.com/dmofengineering/status/1545927256781885440

     
     
  • 2.54, Аноним (54), 15:39, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    С какой целью ты постишь ссылки на экстремистские сайты?
     
     
  • 3.59, Аноним (59), 16:17, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    С какой целью ты называешь нормальные сайт экстремистскими?
     
     
  • 4.69, Михрютка (ok), 18:57, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    товарищ майор, будете читать тред - этих двух анонимов разъясните в первую очередь.

    они здесь явно постят не с целью разлагаться и дегродировать, как все нормальные комментаторы.

    а с НЕЯСНЫМИ, возможно даже ВРАЖДЕБНЫМИ ЦЕЛЯМИ.


     
     
  • 5.110, тов.майор (?), 17:01, 11/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Тем не менее - разлагаться во враждебном твитере нынче попахивает госизменой. Так что не забывайте записывать, кто вам такие ссылки присылает и кому еще вы их перенаправляли.
     
     
  • 6.111, Михрютка (ok), 17:45, 11/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Тем не менее - разлагаться во враждебном твитере нынче попахивает госизменой. Так
    > что не забывайте записывать, кто вам такие ссылки присылает и кому
    > еще вы их перенаправляли.

    лол я бы с удовольствием так поразлагался, как тот нигра по ссылке. жалко здоровье не позволяет родину продать.

     
     
  • 7.112, тов.майор (?), 18:05, 11/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А сожрать ту жыжу ему здоровье позволяет?! Хорошо хоть родина эта так просто не продается, товар специфичный, покупателей немного и все у меня на коротких поводках. Только еще какие неудачники злоумыслят продать - а уже в СИЗО показания дают.
     
  • 2.151, другое Имя (?), 23:26, 14/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Функции JavaScript недоступны.

    В вашем браузере отключены функции JavaScript. Включите их или начните использовать поддерживаемый браузер, чтобы продолжить пользоваться сайтом twitter.com. Список поддерживаемых браузеров приведен в Справочном центре.

     

  • 1.52, AKTEON (?), 15:27, 10/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Сейчас сочиняю плагин для git, для шифровки комментариев, readme  etc, чтобы при коммитах оно расшифровыввалось, а с тем, что на серверах - господа корпоративные пользователи сами разбирались .бггг
     
     
  • 2.57, Аноним (55), 15:45, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Просто на своем сервере bare репозиторий сделать не судьба?
    Зачем продолжать жрать говно, посыпая его ароматизаторами?
     
     
  • 3.61, AKTEON (?), 16:40, 10/07/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Мсье немножечко садист ,хе-хе
     
     
  • 4.134, Аноним (133), 17:15, 12/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В двенадцать это нормально.
     
  • 2.105, Nikon_NLG (?), 12:34, 11/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    https://github.com/AGWA/git-crypt же, ничего сочинять не надо
     

  • 1.66, Аноним (66), 17:29, 10/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Вот платформа плохая, а страдать должны разработчики? Странно, что всего один решил плюнуть на загрузки в пипу.
     
  • 1.82, Аноним (-), 21:17, 10/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Ага, светлое корпоративное будущее с чипами в жо... ой, простите, это в следующей версии, проверено на няшах питоняшах. Следуюшие на очереди, очевидно, хрустики.
     
  • 1.83, InuYasha (??), 22:09, 10/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Автор молодец. Нельзя вот так Py-дорам сдаваться.
    VIVA LA RESISTANCE!
     
  • 1.87, Kuromi (ok), 00:35, 11/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "К сожалению, токены могут быть отправлены только в Австрию, Бельгию, Канаду, Францию, Германию, Италию, Японию, Испанию, Швейцарию, Великобританию и США."
    Собственно вот вам и списочек "правящей мировой тусовки", стран которые самые самые. Списочек кстати именно такой какой и можно было ожидать. А что до остальных - ну они могут радоваться что в их страну условный Amazon хотя бы шлет токены.
     
     
  • 2.103, Аноним (14), 10:51, 11/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Дело в том, что есть запрет на экспорт "секретных технологий". Так что, можно предположить уровень секретности, который раздают на халяву
     
     
  • 3.127, Kuromi (ok), 00:25, 12/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Дело в том, что есть запрет на экспорт "секретных технологий". Так что,
    > можно предположить уровень секретности, который раздают на халяву

    А вы в курсе что в РФ официально продаются WebAuthn токены от того же Feitian?

     
     
  • 4.148, Аноним (85), 15:22, 14/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Нет
     
  • 2.113, пох. (?), 18:20, 11/07/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Списочек кстати именно такой какой и можно было ожидать.

    да, в нецивилизованные страны криптотехнологии отправлять несколько не принято. Много там кстати разработчиков из Венесуэлы?

    > А что до остальных - ну они могут радоваться что в их страну условный Amazon хотя бы шлет токены.

    или перестать быть отсталыми дикарями и таки запилить свой. Нет, это не про страну-недоразумение которая даже гвоздь сделать не может (а если делала то получались с двумя шляпками), конечно.
    Кстати несертфицированное фсб криптосредство товарищмайор у тебя отберет, даже если амазон и отправит.

    Чехи вот справились (кто-то тут пару лет назад активно их криптокошель рекламировал, функция авторизации там была среди прочих бонусов).

     
     
  • 3.128, Kuromi (ok), 00:27, 12/07/2022 [^] [^^] [^^^] [ответить]  
  • +/

    > Кстати несертфицированное фсб криптосредство товарищмайор у тебя отберет, даже если амазон
    > и отправит.

    Почитайте список сертифицированных ФСБ железок. С удивлением обнаружите там WebAuthn токены от того же Yubico

     
  • 2.132, Аноним (132), 09:31, 12/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это действительно странно, что там есть цивилизованные Австрия и Германия, но нет оккупированной Беларуси.
     

  • 1.106, Олексий (?), 13:54, 11/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    После фразы "...не пожелал переходить на двухфакторную аутентификацию и для исключения своего пакета из списка критически важных попытался..." стало всё понятно. Какой код такой "разработчик" может написать? Вон из профессии!
     
     
  • 2.126, Олексий (?), 00:20, 12/07/2022 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Ребят, все кто минусуют, вы тоже можете собираться :) Если человек не думает про security first, то реально, идите булочки продавайте. Из-за таких как вы у нас новости и пестрят "ой, опять уязвимость". :micdrop:
     
     
  • 3.131, n00by (ok), 08:30, 12/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Он то как раз и думает, в отличие от некоторых местных экспертов по buzzwords. Подумайте, мистер Неуловимый Джо, почему безопасность в компаниях обеспечивают отдельные специалисты и за отдельную плату. И зачем кто-то решил сэкономить на вот этом вот всём.
     
  • 2.154, Аноним (154), 16:06, 15/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ставь двухфакторную аутентификацию на свои трусы, иначе вон из професии.
     
     
  • 3.155, Аноним (154), 16:14, 15/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Захочет барышня сделать Олексию приятно - "а ну куда полезла, парольчик давай, ок, а теперь тащи телефон - второй фактор..."

    Помогите Олексию угадать количество барышень, которые не убегут от этого "эксперта по безопасности"

     

  • 1.108, АнонимусШифропанк (?), 15:18, 11/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Гмм,а есть ли опенсорсные аппаратные ключи? Вроде бы в линейке STM32F есть криптоблок. 🤔
     
     
  • 2.119, Аноним (-), 20:30, 11/07/2022 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Гмм,а есть ли опенсорсные аппаратные ключи? Вроде бы в линейке STM32F есть
    > криптоблок. 🤔

    Крипто можно и в софте сделать. А в чем прикол слепо доверять какому-то блоку в чипе?

     
     
  • 3.129, Аноним (129), 02:20, 12/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    у них невскрываемость лучше. типа полез с паяльником - оно внутри себя всё стерло
     
     
  • 4.139, Аноним (-), 03:39, 13/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > у них невскрываемость лучше. типа полез с паяльником - оно внутри себя
    > всё стерло

    В смысле, можно это самое в STM без крипто блока, хоть и медленнее, конечно.

     
  • 2.130, Аноним (130), 08:28, 12/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    GNUK
     

  • 1.146, Аноним (145), 18:55, 13/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Инфантилизм — самая большая нетехническая проблема в IT. Особенно сильно ощущается, когда начинаешь руководить людьми.
     
     
  • 2.149, Аноним (85), 15:23, 14/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Я смотрю ты руководитель
     
     
  • 3.150, Аноним (133), 17:23, 14/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Было дело, да. Но лет двенадцать как завязал с этим. В конце концов, если бы я хотел воспитывать чужих детей, я бы в детский сад открыл.
     
     
  • 4.153, Аноним (154), 16:04, 15/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Но лет двенадцать как завязал с этим.

    И хорошо, не твоё это. Ибо люди - не роботы

     

  • 1.152, КО (?), 07:54, 15/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "компания Google выступила спонсором"
    Какая неожиданность.
     
  • 1.156, Легивон (?), 11:23, 17/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >К сожалению, токены могут быть отправлены только в Австрию, Бельгию, Канаду, Францию, Германию, Италию, Японию, Испанию, Швейцарию, Великобританию и США.

    — Ты пацак, ты пацак и он пацак. А я чатланин и они чатлане! Так что ты цак надень и в пепелаце сиди. Ясно?..
    — Посмотри на меня в визатор, родной. Какая точка отвечает? Зеленая? Теперь на него посмотри. Тоже зеленая. И у тебя зеленая. На Уэфа посмотри, какая точка? Оранжевая? Это потому, что он чатланин, понимаешь?.. Плюк - чатланская планета, поэтому мы, пацаки, должны цаки носить.
    — Дааа! И перед нами, чатланами, должны делать вот так! (трижды хлопает пальцами по щекам, после чего полуприседает, разводя руки в стороны и немного назад).
    — Владимир Николаевич, это оголтелый расизм.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру