GitHub объявил о решении отказаться от поддержки парольной аутентификации при выполнении операций с Git. Прямое подключение к Git будет возможно только при использовании SSH-ключей или токенов (персональные токены GitHub или OAuth). Аналогичное ограничение также будет применяться для REST API. Новые правила аутентификации для API будут применены 13 ноября, а ужесточение доступа к Git запланировано на середину следующего года. Исключение будет предоставлено только учётным записям, использующим двухфакторную аутентификацию, которые смогут подключаться к Git по паролю и дополнительному коду подтверждения...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=53464
Ого, додумались.
Ну так ключи SSH анб собрало мозильским сканером, так что уже можно.
Я могу тебе или АНБ дать свой ключ. И что ты мне сделаешь?
с паролем на ключ, давай. сджелаю.
Речь всё же, вероятно, про публичный ключ :)
Видишь заголовок и подсознательно меняешь слово GitHub на M$.
>> подсознательно меняешь слово GitHub на M$И вдруг сознательно ощущаешь, что разработки не ведешь и до гита тебе, как козе до баяна?
Если пароль украли, то что мешает хакеру пойти сгенерировать себе ключ?
>>Из достоинств аутентификации по токенам называется ... поддержка отзыва скомпрометированных токенов без смены учётных данныхНу то есть если юзер узнает о взломе и отзовёт токен, то чтобы хакер мог опять зайти под тем же паролем и опять сгенерировать себе новый. Действительно удобно.
Может отсутствие у хакера токена для двухфакторки?
Так для пользователей двухфакторки ничего не поменяется как раз. Нововведение для остальных.
> Если пароль украли, то что мешает хакеру пойти сгенерировать себе ключ?смысл в обратном: если паролем не пользоваться, то его и не украдут.
> отказаться от поддержки парольной аутентификации при выполнении операций с GitА она там была? Я и не знал.
Когда я захожу на гитхаб то он просит подтвердить кодом из емейла. Приходится заходить на Gmail заодно палить свои поисковые запросы, он тоже желает привезать к нему уже номер телефона. Искать письмо от гитхаба и водить проклятый код. Как раз год назад это началось.
А ты не пользуйся gmail. Серьёзно, это даже не самый лучший из бесплатных почтовиков, не говоря о том, что есть приличные платные (fastmail) или самодельные.
Самодельный почтовик не гребущий тонны спама и не попадающий сам регулярно в спам... ммм... где б ещё себе работы на ровном месте найти забесплатно
чего это забесплатно? А пацанам, за хостинг, а процент отцу нации за защиту от враждебного интернета?Но присоединяюсь к совету про аутглюк, ну или, там, mail applet. Уже все едино.
P.S. в конце-концов, гитшлак это ведь социальная сеть, а не хранилище реп на халяву
Логично что она хочет о тебе все знать.
у меня такой, просто не пали мыло на говносервисах или генерируй ящики однодневки
Из всех предложенных вариантов ты прицепился к самодельному почтовику и критикуешь его.К слову, вполне работает без спама и проблем, настроено один раз пару лет назад и работает. Но, повторюсь, это не единственный, а лишь один из вариантов.
Давай сделаю тебе аккаунт на своём сервере. 3 руб/мес или 17 руб/год.
Чота не видим твоего SLA - сколько штраф с тебя за блокировку гитхапа или необходимость выуживать его спам из ящика "спам", сколько с тебя же за то что ящик "спам" а то и вовсе inbox переполнился и нужное и полезное "кликните по этой ссылке для подтверждения авторизации" песьмо гитхапа не дошло вовсе?А то вон глупые ребята на работе - ironport покупать собрались. Чота ни разу не по три ржубля.
И ведь прикованных к нему админов с отпусками по графику - никто не отменял.Но, кстати, давай свой акаунт - мне как раз надо немного поработать, ребята просили небольшую рассылочку сделать. Там правда лет этак на десяточку на крытую можно отправиться, но тебе ж за семнадцать рублев не жалко?
Штрафов никаких нет. А на десяточку отправишься ты.
Дружкам посоветуй купить Traffic Inspector.
> Штрафов никаких нет.Ну то есть деньги ты возьмешь, но за сервис не ответишь. Мы примерно так и думали. Поэтому единственный твой шанс на семнадцать рублев - мое честное предложение.
Просто эти прокси, разумеется, в блэклистах, а ты - еще нет.
> Дружкам посоветуй купить Traffic Inspector.
да они типа в теме, умеют отличить поделки от нормальных решений.
Я УЖЕ ПИСАЛ: С mail.ru тоже самое
> Я УЖЕ ПИСАЛ: С mail.ru тоже самоедык оно ж бесплатное.
А так - кому и мэйлрушечка почтовый сервер.
>Чота не видим твоего SLAПокажи SLA у какого-нибудь гмэйла и, заодно, расскажи, как будешь с них штрафы брать.
> Покажи SLA у какого-нибудь гмэйлаУ гмэйла оно 6ЕШПЛАТНОЕ! (у платного, для корпов, кстати, вполне себе есть sla) Ну и у гмэйла есть - гмэйл. В смысле, у носорога очень хреновое зрение и никуда негодная спамоловка, но это вовсе не его проблемы - если гитхап угодит в спамфильтры - ОН а не гмэйл будет вертеться ужом, чтобы мгновенно исправить ситуацию, и еще и извинится перед пострадавшими гмэйлоюзерами.
В общем, соглашайтесь на аутлук, это меньшее из зол.
Все равно половина опеннетовских обитателей не сумела разглядеть кнопку "skip", когда ставила свою десяточку, и live логин у вас уже есть.
> А то вон глупые ребята на работе - ironport покупать собрались. Чота ни разу не по три ржубля.Это же какое весь остальной софт этом классе Г что иронпорт берут.
> Это же какое весь остальной софт этом классе Гфееричнейшее. То есть хер бы с зубодробительными междумордиями, хер бы с гнилым ssl3 в них, но оно ж свою основную работу - спам ловить,а неспам не ловить - и ту делает на от...сь, заставляя каждый раз в этом уродливом междумордии искать что ей там приснилось по поводу очередного контрагента и вручную добавлять его в белые списки (до срабатывания у него round-robin, после чего следующее письмо придет с незасвеченного адреса хз кого, и опять застрянет - ведь использовать по назначению свои PI не умеют даже очень крупные компании. Или не хотят.)
Ну а ты думал, по 17 рублей с каждой старушки - тут даже на опохмел после "десяти часов работы один раз в жизни" не заработаешь.А этот при всей своей внешней уродливости - хотя бы работает. Как я понимаю - по сей день ориентируясь в основном на relay reputation, а не на косвенные признаки (что для корпов работает, и, кстати, абсолютно недоступно васянам-самоучкам без моторов).
Интересно, оплатят или как обычно...
Стоп, стоп почему ссл3? Они же недавно добавляли tls1.3 если мне память не изменяет в новые прошивки.
А так, опечалил ты меня. Мне то казалось эти уроды криво всё делают, а где-то там есть правильные железки для такой работы. А оно вишь как всё плохо.
> Стоп, стоп почему ссл3?ты же про альтернативный софт спрашивал - ну он вот такой бывает, альтернативный.
Но при этом если почта с мэйлсервера с проэкспайрившимся сертификатом (поскольку этого нигде и никто не видит и никто за таким не следит - абсолютно общая ситуация) выкинем в помойку без внятного сообщения в сессию (сессия рвется с ошибкой, потому что ну никак же ж нельзя нисисюрна ответить туда о причинах), сами себе устроим DOS-атаку.Не буду называть конкретные имена, да и смысла нет - "тыщи их", и "все одинаковые".
> Они же недавно добавляли tls1.3 если мне память не изменяет в новые прошивки.
а циска - конечно добавляет, они же одни из тех кто этот чудо-стандарт и прилагающиеся к нему другие чудеса (спонсор летсшиткрипты, если кто забыл) и впихивают. Надеюсь, хоть принимать почту со startls 1.0 не разучатся еще хотя бы с год (а там уже те системы умрут... может быть).
> А так, опечалил ты меня. Мне то казалось эти уроды криво всё
> делают, а где-то там есть правильные железки для такой работы. Анету, эта лучшая (собственно, циска ее купила десять лет тому, в готовом виде, и почти ничего там не исправляла, потому что a) не может b) и не хочет. Оно работает, как бы ужасно не выглядело, и не требует руления шутрвалом на глаз в рилтайме для коррекции сбрендивших алгоритмов.)
Только особо подчеркну - для ентер-прайса работает. Потому что relay reputation штука такая. Для одного одна репутация, а для другого совсем другая.
А мелким подвальчикам не подойдет.
> ты же про альтернативный софт спрашивал - ну он вот такой бывает, альтернативный.Ах это в альтернативном. Нда, тогда всё очень плохо.
> а циска - конечно добавляет, они же одни из тех кто этот чудо-стандарт и прилагающиеся к нему другие чудеса (спонсор летсшиткрипты, если кто забыл) и впихивают. Надеюсь, хоть принимать почту со startls 1.0 не разучатся еще хотя бы с год (а там уже те системы умрут... может быть).
Не знаю, не знаю. До сих пор помню их презенташки и обсуждения несколько летней давности. Мол перед нами новый вызовы - тлс1.3, квик и т.д. Что делать и как колоть трафик мы не знаем. И между строк читается сомнение: а надо ли нам всё это разбирать или пусть итак ходит.
> нету, эта лучшая (собственно, циска ее купила десять лет тому, в готовом виде, и почти ничего там не исправляла, потому что a) не может b) и не хочет. Оно работает, как бы ужасно не выглядело, и не требует руления шутрвалом на глаз в рилтайме для коррекции сбрендивших алгоритмов.)
Это я в курсе. Они(даже не цискари а компания разработчик) оторвали даже то что можно было оставить. Цискари только усугубляют эту ситуацию. Из-за такого положения в таке фееричные баги водятся с ещё более фееричными воркараундами. В стиле - вот так бабушка и ходите.
Десять часов в год потратить можно, а больше там и не надо. Ну да, настроить DKIM и подобное нпдо. Дальше - никаких проблем
С отправкой-то проблем нет.А вот с получением проблема, нормальных свободных антиспам фильтров нет. И беда даже не столько в том, что половина спама через фильтры пробивается, а в ложных срабатываниях, когда через месяц узнаешь, что важное письмо улетело в спам.
Сливать свои данные гуглу, конечно, не хочется, но вред от ложных срабатываний больше.
> Сливать свои данные гуглу, конечно, не хочется, но вред от ложных срабатываний
> больше.у гугля тоже с ложными срабатываниями все норм - половина человеческой почты - той что вот напрочь лишена "корпоративного дизайна рассылок" (фак, это реально цитирую тех кто его впаривает) - уезжает в спам.
Ну а чего - корпоративного дизайна нет, картинок либо нет либо в аттаче, ссылки какие-то часто есть, источник гуглю не знаком либо совершенно, либо число писем с него неразличимо мало, потому что это человек, а не письмометательная помойка. Ну точно ж, спаммер, вообще на то что ИИ гугля считает почтой не похоже!Да и спам прекрасно доставляется - а чего, корпоративный дизайн, линки на какой-нибудь sendsay, и вон, смотрите, смотрите, подписанно dkim, чего спамеру-то не подписать, он мэйллисты не держит какие-то, он от своего честного имени рассылает.
Но с рассылками от гитхапа проблем не будет, уверяю тебя. Понадобится - на коленях приползут умолять гугля, чтоб _эти_ письма в спам не попадали. И они знают секретный адрес, на который надо писать не роботу безмозглому, а живым гугломенеджерам высокого помета.
Натренировал фильтр в Thunderbird и всё ок.
С GitHub вполне логично использовать почту на Outlook теперь. Телефон, кстати, не требует.
С mail.ru тоже самое
> Серьёзно, это даже не самый лучший из бесплатных почтовиковА что не так с gmail? И какие альтернативы? Только не говори япочта и мейл.ру
> Приходится заходить на Gmailtelnet'ом по POP3, что ли? Экий ты отсталый. Открой для себя почтовые клиенты и IMAP4.
TOTP вторым фактором и токен в keepassxc. И никакой разницы - что два фактора, что один.
что даже не спулишь ничого из гитхаба без ключа? это ж отвалиться куча менеджеров пакетов, например го или в емаксе/виме и тд.
Это когда для пулла публичных репозиториев парольная аутентификация (и вообще какая-либо аутентификация) нужна была?
go get интегрирован с git же, и аутентификация по ключу для затягивания требуется только для приватных реп
лишний повод не пользоваться гитхабоммс хочет стать вторым эпплом - все решать за пользователя
так было с вин 10 так будет с гитхабом
>мс хочет стать вторым эпплом - все решать за пользователяПринудительно - ну, да. Но в данном случае адекватные товарищи и так не пользуются паролем для операций с гитом. А остальных не жалко.
>>мс хочет стать вторым эпплом - все решать за пользователя
> Принудительно - ну, да. Но в данном случае адекватные товарищи и так
> не пользуются паролем для операций с гитом. А остальных не жалко.я пользуюсь паролем (рандом с энтропией > 120 бит)
вполне надежное решение..
ну не хочу я пачку ключей хранить, мне паролей хватает
> я пользуюсь паролем (рандом с энтропией > 120 бит)мальчик, однако, с феноменальной памятью
> вполне надежное решение..гитхап так не считает
> ну не хочу я пачку ключей хранить, мне паролей хватаети спрашивать тебя не будет - главное тут - чего ОН хочет! ;-)
а неуежищных способов, как я понимаю, нет и не предвидится.
> мальчик, однако, с феноменальной памятьюбред пароли по 20-25 символом вполне реально запомнить
я помню 3-4 штуки таких (используются в качестве мастер паролей)
полностью рандомные... выучил
>> вполне надежное решение..
> гитхап так не считаетгитхап может идти накуй
>> ну не хочу я пачку ключей хранить, мне паролей хватает
> и спрашивать тебя не будет - главное тут - чего ОН хочет!
> ;-)думаю ответ тот же..
а есть еще и Gitlab
похоронили скайп похороним и гитхаб
> бред пароли по 20-25 символом вполне реально запомнитьпока он один и ты его набираешь каждый день.
> я помню 3-4 штуки таких (используются в качестве мастер паролей)
а теперь попробуй вспомнить не набиравшийся с прошлого года.
А мастер-пароль еще и плох тем, что ты еще и повсюду таскаешь с собой ВСЕ пароли удобно (не для тебя) уложенные в файлик, периодически расшифровываемый.
Хз, какой вариант - хуже.
> похоронили скайп похороним и гитхаб
да, мне уже дважды внятно намекали что "у нас собеседование только в zoom и никак иначе" (ну это где "поставьте-поставьте наш клиент чтобы в _браузере_ активировалась кнопка "присоединиться без клиента").
Хоронители скайпа, блин.гитхаб "похоронить" ты можешь только точно так же - жрякая с лопаты что другие подадут, и не сильно привередничая. Потому что никакая более-менее серьезная разработка без социальных сеточек сегодня, к сожалению, невозможна.
А вот и результат поглощения M$.Анонимные HTTPS-fetchи тоже запретят? Вся эта принудительная безопасность обернётся принуждением к использованию WebAuthn с TEE и биометрией, и объявлением недолюдьми всех тех, у кого нет устройств от доверенного Альянсом (отсылка к h/λ намеренна) производителя.
Вполне нормальная реакция на засилие долбодятлов, у которых репы взламывают через два дня на третий. Потому что пароль "qwerty" или лежит в этой же самой репе в файлике password.txt. А когда им анонимусы пушат всякую малварь, виноват внезапно Микрософт, потому что "безопасность не обеспечил и вообще ваш гитхаб только для хелловордов и годится."
Не надо истерить.Это не закручивание гаек, а лишь эффективный способ донести до неофитов как правильнее авторизовываться при работе с репозиторием.
До сих пор куча альтернативно-одаренных админов думают, что если у них есть учётка с паролем, то именно так и нужно авторизовываться по ssh. Тут ровно то же самое.
> Не надо истерить.вот и не истери.
> Это не закручивание гаек, а лишь эффективный способ донести до неофитов как
> правильнее авторизовываться при работе с репозиторием.правильнее по мнению гитхаповских истеричек, ага.
> До сих пор куча альтернативно-одаренных админов думают, что если у них есть
> учётка с паролем, то именно так и нужно авторизовываться по ssh.ну я вот так думаю. Что пока эти пароли помещаются в голове - ими вполне можно авторизовываться.
Потому что незаметно украсть находящийся в голове пароль - значительно сложнее, чем валяющийся на диске (не говоря уже про проброшенный через пять ssh-хостов не приходя в сознание) ключ, куча альтернативно одаренных даже не догадается его закрыть паролем. А если даже и догадается - слабенький пароль на ключе можно подбирать в оффлайне бесконечно долго без всякого палева, в отличие от посредственного (совсем слабенький не даст поставить вменяемая система) онлайн, слишком упорные попытки подбора которого вполне можно заметить и остановить.
При этом ни autoexpire, ни хоть какого менеджмента для этих ключей нет и некуда присобачить. А сертификаты - сложно и геморройно и для сервера, и для пользователей.Но нет, белки-истерички продолжают совать свои ключи во все отверстия.
ну вот наконец Microsoft взялась за постепенное реформирования github, пароли сегодня нынче не те
а что еще можно ожидать от микрософта?
Согласен. Не ожидал, но они молодцы - сделали. Хотя и позже, чем Google со своими репами в GCP.С другой стороны, если человек сам токены не пользовал и у него репу с потрохами увели - это лишь плюс. Естественная фильтрация понабежавших новоявленных "дивелоперов" с двухнедельными курсами за плечами.
> Исключение будет предоставлено только учётным записям, использующим двухфакторную аутентификацию, которые смогут подключаться к Git по паролю и дополнительному коду подтверждения.С каких это пор при `git push` можно стало двухфакторку юзать? Или теперь в web-интерфейс можно будет по SSH-ключу заходить?
> С каких это пор при `git push` можно стало двухфакторку юзать? Или
> теперь в web-интерфейс можно будет по SSH-ключу заходить?какой тебе еще гитпюсш? Современный "разработчик" редактирует свой комит прямо в междумордии гитхапа. Какой еще ключ, линку из sms скопипастишь и войдешь.
Скоро можно будет зайти только по скану лица через скайп
Какой дятел писал заголовок?
А что смущает? С заголовком всё в порядке
Нет гитхаба нет проблем. Свой гит поднять дело 5-ти минут. Нафига мучаться не понятно.
> Нет гитхаба нет проблем. Свой гит поднять дело 5-ти минут.может ты и свой софт писать сам собираешься? А зачем, кстати, тебе вообще свой гит? Часто тебя интересует на самом деле, что ты делал год назад и зачем?
> Нафига мучаться не понятно.
вот именно. linux-x.y.z.tar.xz наше всьо.
> Нет гитхаба нет проблем. Свой гит поднять дело 5-ти минут. Нафига мучаться
> не понятно.Для своих проектов однозначно да!
Но не для публичных.
А что тебя не устраивает в своем гите для публичных проектов?
> А что тебя не устраивает в своем гите для публичных проектов?1 Я не собираюсь кому попало давать доступ, даже на чтение, своего git, на запись тем более.
2 И даже если я дам публичный доступ, как об этом проекте узнают пользователи и будующие соразработчики?
3 И мне ещё багтрекер у себя тоже поднимать?
Давно пора!
Из Крыма пускает, даёт форкать и создавать проекты.
А ожидал от них худшее.
И SF перестал блочить... Ещё если Сбербанк с Теле2 в Крым прийдут, то жизнь вообще прекрасной будет! :-)
Наивный вьюнош.
Э, ну стоп, это же неудобно, что нельзя будет если что пушнуть по паролю