В соответсвтии с ранее намеченным планом GitHub прекратит поддержку подключения к Git-объектам с использованием парольной аутентификации. Изменение будет применено сегодня в 19 часов (MSK), после чего прямое выполнение операций с Git, требующих аутентификации, станет возможным только при использовании SSH-ключей или токенов (персональные токены GitHub или OAuth). Исключение предоставлено только учётным записям, использующим двухфакторную аутентификацию, которые подключаются к Git по паролю и дополнительному ключу...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=55632
надеюсь что они в курсе что такое path of least resistance.
?
разумеется, в курсе. Никаких тебе паролей, которые могут и чаще всего и оказываются только в голове владельца, а при подборе быстро заблокируется доступ.
Вот тебе ключик к shitsh, ты даже не заметишь, когда он стал достоянием масс.
И даже если у него был пароль - подбирать его можно локально, во всю мощь сетей nsa (ну или зомбонета - кому достался)
> Given that 93 PetaFLOPS (supercomputer) is nearly 1 million times 100 GigaFLOPS (desktop PC), let’s we assume that this supercomputer can crack AES encryption 1 million times faster than a high-end PC. Therefore, on average to crack AES-256, it would take 27,337,893,038,406,611,194,430,009,974,922,940,323,611,067,429,756,962,487 years.Ну да, nsa ведь куда сложнее просто спросить твой пароль у гитхаба, благо он не принадлежит спонсируемой правительство американской корпорации 🤡
д-лы, б-ть...У гитхаба нет твоего пароля. А у NSA нет возможности заставить "спонсируемую правительством" (опять бредни впопеннетчиков, рулоны без счета - кто еще кого спонсирует-то) американскую корпорацию делать что-то незаконное. Все приходится самим, тырить, подбирать, искать уязвимости. А тут такой подарочек.
Про пароль-да. И пароль конечно же не нужен если можно прямо ваши данные посмотреть. А остальное не так.
Товарищу майору^^W^WАгенту Смиту тоже хочется делать свою работу с удоствами. Незаконное он конечно не сможет заставить их сделать, зато может незаконное сделать законным. Погуглите Five Eyes, например.
Года 4 назад в США приняли закон по которому американские компании обязаны предоставлять данные по запросу кого-следует даже если это данные иностранных граждан за границей. Присыпается это сверху gag order-ами, разумеется (тоже прописано в законе насколько я понимаю). Github пытался хотя-бы опубликовать просто сколько таких запросов было за год - даже это им не разрешили.
В Австралии приняли зкон, по которому кто-следует может напрямую потребовать от какого-нибудь сотрудника поставить back-door и запретить ему сообщать это даже своему менеджеру. Не уверен что это работает на практике - тем не менее это теперь законно.
чтоб посмотреть большинство реп на шитхабе, пароль не нужен. Но и nsa они нафиг не нужны.
А вот если не посмотреть, то все становится интереснее.> по которому американские компании обязаны предоставлять данные по запросу кого-следует даже если
> это данные иностранных граждан за границей.Потому что _чужих_ граждан от _своих_ спецслужб только дураки защищать будут.
Со своими все сложнее. Использовать инфу прослушки помощника Трампа удалось только потому, что тот болтал языком не с кем-то, а с россиянином. Который опять же не гражданин и его слушать можно.
> чтоб посмотреть большинство реп на шитхабе, пароль не нужен. Но и nsa
> они нафиг не нужны.
> А вот если не посмотреть, то все становится интереснее.Было сказано, что заставить GitHub делать незаконные вещи не получится. Я показал что и законных вещей достаточно чтобы порыться в ваших данных.
Ваш пароль на самом деле никого не *бёт, а вот узнать кто Вы, откуда, что и когда делали на сайте, и кто ваши друзья/знакомые - это может быть. И приватный код может быть интересен, если это компания о которой хочется узнать побольше, скажем так. Может там уязвимости/ключи/данные можно нарыть.>> по которому американские компании обязаны предоставлять данные по запросу кого-следует даже если
>> это данные иностранных граждан за границей.
> Потому что _чужих_ граждан от _своих_ спецслужб только дураки защищать будут.
> Со своими все сложнее. Использовать инфу прослушки помощника Трампа удалось только потому,
> что тот болтал языком не с кем-то, а с россиянином. Который
> опять же не гражданин и его слушать можно."Только дурак не будет воровать если захочется" из той же серии. Но люди обычно не воруют не потому что дураки а потому что это упрощает жизнь в чём то другом. Например не получать п*зды если обнаружится и иметь хорошие отношения с соседями. Понятно что если есть возможность то спецслужбы захотят получить эти данные, с другой стороны есть общепринятые договорённости которые при этом нарушаются.
Сказочки мамкиных анархистов.
> Сказочки мамкиных анархистов.Это о чём?
насколько я понял выдержки из их законов, то не только в Австралии, уполномоченные госслужащие могут потребовать так сделать любого гражданина Австралии, находящегося где угодно, т.е. формально, если ты работаешь в гугле и тебя заставляют встроить бекдор, то по закону Австралии ты молодец, а по закону США турма ))
> т.е. формально, если ты работаешь в гугле и
> тебя заставляют встроить бекдор, то по закону Австралии ты молодец, а
> по закону США турма ))И милорды тихонько ржут над аборигенами в сторонке.
> Все приходится самим, тырить, подбирать, искать уязвимости... коррумпировать персонал, чтобы создавали уязвимости под заказ.
Я может что-то не понимю, но вряд ли нужно столько много лет чтобы подобрать мой 6-символьный пароль к SSH ключу.
я ж говорю - они д-лы.
Пусть он даже двадцатисимвольный будет - он же будет простой? Его ж по сто раз вводить придется.
Ну и это у кого вообще будет, а не все ключи без паролей вовсе в автоматической системе.А то и вовсе один ключ от всего. Простые рецепты вон уже советчики насоветовали, для альтернативно-одаренных разработчиков, которые и этого сами не могут.
"с правами rw", блжад...
Согласен!Безопасное хранение приватного ключа и безопасная работа с приватными ключами намного сложнее и обойдется намного дороже чем просто пароль. Разрабы СПО не будут тратить на нее деньги.
Хотя в случае двухфакторной пароль отдельно + ключ запароленый другим паролем - безопасность системы чуть-чуть повысится.
> Разрабы СПО не будут тратить на нее деньги.Мозги, Ева, мозги! Которых "разрабы" (что спо что коммерческого софта в закрытой репке на шитхапе) тратить не будут, потому что Б-г им их и не дал. Все достались Адаму (а то он тут нам все зассыт).
Поэтому ключи без паролей закомитят прямо в то же репо. Так удобно, и не потеряются!
> Хотя в случае двухфакторной пароль отдельно + ключ запароленый другим паролем - безопасность
> системы чуть-чуть повысится.да, ты на третий день самовыпилишься, от такой херни, и безопастность повысетцо - никто уже никогда туда не зайдет.
Снова таблеточки свои забыл выпить?
> Поэтому ключи без паролей закомитят прямо в то же репо. Так удобно, и не потеряются!Ну или пароли без ключей. Только это опаснее, потому что с ключом можно поиметь только репозитории, а с паролями - аккаунты целиком.
> Безопасное хранение приватного ключа и безопасная работа с приватными ключами намного сложнее и обойдется намного дороже чем просто пароль. Разрабы СПО не будут тратить на нее деньги.Это еще почему и какие деньги им надо будет потратить?
Начни с подсчета своих затрат:1. Иследуй свой дистр GNU/Linux
cat /etc/*release*
cat /proc/sys/kernel/yama/ptrace_scope2. Ознакомься хотя бы поверхностно с ситуацией по защите приватных ключей в памяти GNU/Linux https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin...
3. Купить аппаратную защиту приватных ключей: https://www.nitrokey.com и сейф для их хранения.
Для защиты приватных ключей надо будет потратить и время и деньги.
Угадайте, сколько процентов разработчиков положат ключ рядом с исходниками и закоммитят его в репу :)
Какой из: публичный или приватный?
И сколько? Я думаю, немного. А ключ в какую репу заливать надо, если у меня их несколько? А если у меня вообще нет своих реп, а другие люди мне доступ к своим дали? Ключ - метод аутентификации не для репозитория, а для аккаунта.
Много процентов. Для обучения работы с ключами тоже некое время надо.Есть YARA правила которые ищут приватные ключи (на диске, в трафике) пусть M$ сделает хоть одно доброе дело: регулярно сканит репы, трафик на гатхабе и при обнаружении приватных ключей шлет их владельцам предупреждение и инструкцию по работе с ключами.
Какое время - такие нравы!
??
Мода на "безопасность" тренд нынешного времени.
Безопасность - это хорошо, правильный тренд
Поговаривают что нужно на каждого надеть кляп и поводок... конечно ради безопасносте, вы уже записались?
И вакцинировать!
И бетризовать
Безопасность не равно "Безопасность"
только это не безопасность"позволит защитить пользователей от компрометации их репозиториев в случае утечки пользовательских баз или взлома сторонних сервисов, на которых пользователи использовали одни и тех же пароли с GitHub"
таким долбаебам не нужно пользоваться гитхабом, и писать код в принципе
так что это очередной гoвнокреатив от майкрософта
а собственную капчу на nuget.org до сих пор не починили, пришлось live аккаунт через хотмейл создавать
сегодня словил косяк с подменой nupkg из приватного репозитория, а они все proposal на неймспейсы обсуждают, и думают как бы сделать так чтобы Monodevelop не было под виндой
--
и кстати токены это такая же шляпа что и пароль, только создается не тобой, поэтому перешел безболезненно, что так рандомный набор символов, что так
> токены это такая же шляпа что и пароль, только создается не тобойСогласен. Нечего пользователям использовать контролируемые ими пароли, а то понапридумают "предсказуемых" паролей. Надо, чтобы пароли были "непредсказуемые" пользователем.
Так ведь обычный git clone по HTTPS не убрали
А git push?
А вот git push уже по HTTPS и не сработает
... без токена
Да и git clone по HTTPS не сработает без токена, если репозиторий приватный
Короче каждому по 5G-симкарте в шоколадный глаз
Напишите простенькую инструкцию по шагам, как перейти на новую систему пожалуйста: сколько не читал инструкцию на гитхабе - так и не въехал чего делать то. ;)
1) генеришь SSH-ключ
2) заходишь в настройки гитхаба, находишь там SSH keys, заливаешь туда публичный ключ (содержимое файла, который лежит в ~/.ssh/id_*.pub). Главное не залить приватный ключ вместо публичного :)
3) клонируешь репозиторий не по https, а по ssh, типа
git clone git@github.com:<user>/<repo>
Или можно существующий изменить, чтобы он работал по ssh, а не по https:
git remote set-url origin git@github.com:<user>/<repo>
> 1) генеришь SSH-ключещё надо выполнить:
ssh -T git@github.com
> ещё надо прописать
> ssh -T git@github.comЭто уже можно сделать после шага 2), просто чтобы убедиться, что аутентификация по SSH работает.
Напишите простенькую инструкцию по шагам, как поставить Виндоус: сколько не читал инструкции - так и не въехал чего делать то. ;)
Используй PuTTY для генерации ключа и Pageant как связку ключей SSH, Git для винды вроде из коробки pageant понимает.
Только вот вчера проделывал эту процедуру под виндой
https://docs.github.com/en/github/authenticating-to-github/c...ssh-keygen есть стандартно в git bash
И что мне делать, когда приавтный ключ внезапно продолбится неизвестно куда (диск сломался, вирус шифровальщик, обама в подъезде все испортил, ....) ?
ох уж эти зумеры ...
на бумажку перепиши.
Сгенеришь новый ключ, зальёшь его на гитхаб, как с предыдущим ключом
Какой putty блин в 10 уже давно есть openssh встроенный
Вроде же в putty мышой/тачпадом удобнее возюкать всякие копи-пасты. Или нет?
Линукс-вей всегда тернист и слишком глуп.
Дока на гитхабе:1. https://docs.github.com/en/github/authenticating-to-github/c...
2. https://docs.github.com/en/github/authenticating-to-github/c...
(эти ссылки разные, парсер не показывает)--
А если коротко, то1. Выполнить ssh-keygen -t ed25519 -C "я@мылоюком" -f github
2. Скопировать содержимое ~/.ssh/github.pub на страничку https://github.com/settings/ssh/new
3. В ~/.ssh/config (если нету - создать) добавить следущее:#---------------------
# github.com
Host github.com
PreferredAuthentications publickey
IdentityFile ~/.ssh/github
#---------------------Все. С гитом работать теперь через ssh (как git@github.com:юзер/репо.git), а не https (как https://github.com/юзер/репо).
> 3. В ~/.ssh/config (если нету - создать) добавить следущее:
> #---------------------
> # github.com
> Host github.com
> PreferredAuthentications publickey
> IdentityFile ~/.ssh/github
> #---------------------А это зачем? На случай, если для гитхаба отдельный ssh-ключ, а не id_rsa или id_ecdsa?
не на случай, а так и есть - там параметр -f в команде.это универсальное решение, для всех и вся, и чтобы не путаться потом.
У семи нянек дитя без глаза
Ага, недавно возился с этим переходом. Вроде заставил работать, но это было не самое приятное приключение. Документация фрагментарная, каждая страница покрывает какой-то маленький кусок и как всё это слепить на кучу -- х.з.
Если понадобится провести эту манипуляцию ещё раз, то придётся разбираться заново. Как с регулярными выражениями.
> Как с регулярными выражениямидля меня re сродни езде на велосипеде — но люди разные
>сродни езде на велосипедеЭта фраза дискриминирует тех кто не умеет кататся на велосипедах...
а если я чёрный?
А если я долларовый миллионер?! Ну, я чувствую себя таким!
Тогда солнце ещё высоко
А вводить пароль каждый раз - более приятное приключение что ли?И нормальная там документация, мне вот легко всё настроить было. Да и SSH-ключ - это ж де-факто стандарт доступа к Git. На работе ты как к конторскому гиту подключаешься, без SSH ключа что ли? Через git daemon без аутентификации? А просто на другие хосты по SSH тоже без ключа ходишь, каждый раз пароль вбиваешь?
Ты ж тут старожил, 10 лет как уже зарегистрирован. До сих пор SSH-ключами пользоваться не научился? Ну хоть гитхаб заставил научиться, и то хорошо.
Пароль можно было прописать в конфиг и забыть. Точно так же, как сейчас этот ключ. Пароль не нужно было вводить каждый пуш.>на другие хосты по SSH тоже без ключа ходишь
Я программист, а не админ. Я по ssh пару раз в неделю коннекчусь. Так что ввожу пароль и совершенно не страдаю по этому поводу.
> Я программист, а не админ.окей. в таком случае запрограммируйте приложение, которое будут болтаться на локалхосте и обманывать шитхаб. я даже предвижу ненулевой спрос на такую штуку.
> А вводить пароль каждый раз - более приятное приключение что ли?Безопасность - это всегда гемор.
> А просто на другие хосты по SSH тоже без ключа ходишь, каждый раз пароль вбиваешь?
Я, например, хожу с ключом, но и пароль от ключа каждый раз вбиваю, да.
А вот раньше для ssh использовал только пароли, но облачные провайдеры подтолкнули к использованию ключей.
И вот не факт, как выше уже указали, что ключи безопаснее паролей, даже если ключи запаролены.
> А вводить пароль каждый раз - более приятное приключение что ли?пароль может быть читаемым
Дока на гитхабе:1. https://docs.github.com/en/github/authenticating-to-github/c...
2. https://docs.github.com/en/github/authenticating-to-github/c...
(эти ссылки разные, парсер не показывает)--
А если коротко, то1. Выполнить ssh-keygen -t ed25519 -C "я@мыло.ком" -f github
2. Скопировать содержимое ~/.ssh/github.pub на страничку https://github.com/settings/ssh/new
3. В ~/.ssh/config (если нету - создать) добавить следущее:#---------------------
# github.com
Host github.com
PreferredAuthentications publickey
IdentityFile ~/.ssh/github
#---------------------Все. С гитом работать теперь через ssh (как git@github.com:юзер/репо.git), а не https (как https://github.com/юзер/репо).
Разве не нужно ещё и ssh-agent потыкать чтобы авторизация заработала?
Не нужно. Работает. Проверено.
Давно пора выкинуть. Удар 🥊 по луддитам.
скоро и ssh-ключи тоже устареет и оставят только православные токены.
Патриарх Кирилл одобрил?
Лично убийца-рецедивист, мошенник, вор и просто хороший б-жинька Яхве Саваоф
Не устареет. Для того и заставили всех на них переходить, чтобы было удобнее их воровать.
пох., тебе ж даже сам ssh кричит выставлять rw----- на приватных ключах, да и диск шифрануть (ну или хотя бы раздел с этим всем секретным говном) давно пора. Каким образом ты представляешь себе утечку ключа с компа? Ещё скажи что пароль на бумажке хранишь и вот прям точно-точно никто у тебя его не украдёт (или ещё лучше, пароль такой, что запоминать его не особо сложно, как и перебирать).
и спрашивается, нахрена мне надо с этим мучиться и что-то там выставлять и шифровать, если есть православные пароли?
>Каким образом ты представляешь себе утечку ключа с компа?Через дыру в браузере, почте или в git. Для них то все эти ключи внутри зашифрованных файловых систем видны открытым текстом, если их не шифровать отдельно от ФС.
> Каким образом ты представляешь себе утечку ключа с компа?remote shell + повышение привилегий для local root (или LOCAL SYSTEM).
плакали ваши 0600 (что за чушь "rw-----" ?), да и пароли тоже через кейлоггер.
> Удар 🥊 по луддитам.По фейсу, а если что-то не так с поведением, то антифродом блочить навсегда.
скоро совет безопасности ООН будут собирать каждый раз, когда кто-то на гитхаб входит, и решать, пускать или нетпо мне, так это усложнение жизни обычным пользователям, что кто-то хотел покоммитить сам себе потихонечку. теперь не будет. вива ля fossil!
зато горе-хакерам какое облегчение!
Еще и один ключик от всего.
Нет такой чужой вещи, которая развивалась бы нормально после попадания в лапы му@ософта.
Хороший повод свалить на битбукет
хороший повод не вести разработку в дядиных сервисах.
Очередной.Используй как средство общения, раз уж его невозможно избежать. С readonly доступом и только экспортом из реального рабочего репо.
Сразу видно инцидент с репозиторией PHP ничему не научил
битбакет - не панацея, там нет Mercurial.
> битбакет - не панацея, там нет Mercurial.так его нигде теперь нет - пихон2 все.
А пейсбук свой не отдает (точнее, выложил какой-то несобираемый by design мусор)
Хороший повод свалить на собственное хранилище. Теперь гитхаб, гитлаб и битбакет соревнуются тормознутостью интерфейсов, а не фичами.
они не хранилище, когда ж до альтернативно-одаренных это дойдет?
Дойдет, если обоснуешь, почему гитхаб и прочее - не хранилище
Это средства обмена исходниками, багтреккер и социальная сеть. Хранить можно на болванках.
Ты путаешь с бэкапами. У меня есть репо и N машин. Я пишу код, делаю коммит, сажусь за другую машину, делаю пул и продолжаю работать. Багтрекер, социальная сеть и делиться кодом мне нафиг не сдалось. Сам таскай с собой мешок с болванками.
> Ты путаешь с бэкапами. У меня есть репо и N машин.Это Вы мыслите в базисе сложения по модулю два и получаете или-или.
> Я пишу код, делаю коммит, сажусь за другую машину, делаю пул и
> продолжаю работать.Это и есть обмен. =) Частный случай.
> Багтрекер ... мне нафиг не сдалось
Вам и программировать не нужно. Это просто не Ваше.
Так по твоей логике болванки - такое же средство обмена кодом, частный случай, нещитово.
> Так по твоей логике болванки - такое же средство обмена кодом, частный
> случай, нещитово.Ну если к ним приделать ноги, тогда да. =)
Скоро оставят вход только через Майкрософтский аккаунт.
Не зря, после покупки Гитхаба Майкрософтом, люди массово бежали на Гитлаб!
Хомячков надо доить они это любят
> Не зря, после покупки Гитхаба Майкрософтом, люди массово бежали на Гитлаб!где чистой парольной авторизации и не было никогда? Молодцы, обогнали проклятую корпорацию, зла, срезав угол.
Неправда же, что не было никогда. До сих пор есть. Не понимаю, зачем так лажаться и врать про то, что легко проверить.
Потом введут коммиты на гитхаб только по паспорту. А то иж чего удумали бесплатный софт в интернет выкладывают не дают Майкам миллиарды долларов зарабатывать.
> Потом введут коммиты на гитхаб только по паспорту.Потом введут доступ только по токенам, генерируемыми единственно верными системами, неподконтрольными пользователю. Например, ОАuth, госуслуги...
Я только одного не понимаю - кто и зачем туда ходит НЕ по ключу. У меня это всегда с любыми гитами было первым делом - настроить нормальный вход по ключу и забыть обо всех проблемах. Гит же дёргается постоянно, задолбаешься пароль каждый раз вводить.Или вы пушите раз в три дня?
Пароль не обязательно вводить каждый раз. Его можно было вписать в какой-то конфиг и всё работало без проблем.
Все нормальные GUI для работы с гитом умеют сохранять пароль. А вот с ключом каждый раз проблема, либо его куда-то бекапить либо каждый рез при смене системы перегенерировать.
А ты не бэкапишь ~?
Что-то ты делаешь не такПочему у меня в бэкапах есть ключи которые я генерил еще 15 лет назад и которые давно не использую(rsa-2048, убрал их отовсюду, но в бэкапах хранятся), а ты вдруг думаешь, что кто-то может потерять ключ? Чувак, блин! Ключ это один из основных твоих инструментов, если ты работаешь с серверами и гитом.
Это вендузятник, сразу можно было понять, у них вечно проблемы с очевидными вещами.
>Или вы пушите раз в три дня?Я пушу пару раз в месяц в свободное время, зачем мне этот цирк с ключами?
А можно вопрос — зачем?
Зачем кто-то ходил по паролю?
Вот тоже не понимаюВсегда по ключу на любой гит хожу(гитхаб, гитлаб, свой инстанс гитеа). Зачем вообще кто-то ходил по паролю не понимаю.
А какая проблема кому-то ходить по паролю, а тебе по ключу?
Т.е. я всегда и везде должен таскать с собой этот ключ, даже если пользуюсь хабом раз в полугодие?
> ужесточение требований к аутентификации позволит защитить пользователей от компрометации их репозиториев в случае утечки пользовательских баз или взлома сторонних сервисов, на которых пользователи использовали одни и тех же пароли с GitHub.Какое из этих слов тебе не понятно?
Ты вот совсем недалёкий? Слов можно целый том нагородить, только как у путина получится: сказал много, но ниачом.1. Взломы были, есть и будут. Если базу можно "утечь", значит можно взломать всё. Собственно, даже эта ср@ная база не нужна, достаточно доступа к самому репозиторию.
2. РЕЗКО повышается порог вхождения, ОСОБЕННО для людей, далёких от админских штучек. Для меня, погромизда, вообще НИКОГДА не стояла задача возни с какими-то ключами. Пароли - да, хэширую, но не более. Хуже того - сижу под вендой и мне эти sshёпрстloginsuperuser вообще не упали!
3. Зачем вообще что-то трогать?! Жили прекрасно с паролями, коммитили и тут на тебе - "все предыдущие годы вы жили неправильно! Не по-микрософтовски!".
4. Как обеспечивать сохранность приватного пароля? Ну вот обычный юзерский комп, который ВНЕЗАПНО могут переустановить, может диск полететь, украсть могут, да что угодно! И что делать?? Бежать к Гейтсу "мамой клянусь, это я DarkLordOfTheInternet"? Или ещё паспорт прикажешь светить?Кто не понимает проблемы "токенов", тот пока не дорос до участия в обсуждении ИТ - сидите и слушайте, что умные люди говорят.
> 1. Взломы были, есть и будут. Если базу можно "утечь", значит можно взломать всё. Собственно, даже эта ср@ная база не нужна, достаточно доступа к самому репозиторию.Нет. При парольной аутентификации, взломщик получит хеш твоего пароля из базы. Дальше он может локально подбирать пароль под хеш. При аутентификации ключом, он получит публичный ключ. Успехов ему теперь подобрать приватный.
> 2. РЕЗКО повышается порог вхождения, ОСОБЕННО для людей, далёких от админских штучек. Для меня, погромизда, вообще НИКОГДА не стояла задача возни с какими-то ключами. Пароли - да, хэширую, но не более. Хуже того - сижу под вендой и мне эти sshёпрстloginsuperuser вообще не упали!
Мы говорим о git? Порог для входа повышается? =)
Порог для входа на github -- это способность справится с веб-интерфейсом. Использование командной строки git -- это следующий левел.
> 3. Зачем вообще что-то трогать?! Жили прекрасно с паролями, коммитили и тут на тебе
Задай этот вопрос гуглу. Там есть довольно много обоснований тому, почему парольная аутентификация сосёт. Некоторые из них я здесь изложил.
> 4. Как обеспечивать сохранность приватного пароля?
Это несомненно недостаток. Бесспорно. Но в этом отношении ситуация не лучше для паролей. Хранить надёжные пароли в голове невозможно. Это можно только при использовании одного пароля на многих сервисах. А это ещё менее безопасно, нежели хранение паролей в файлике на диске.
> Кто не понимает проблемы "токенов", тот пока не дорос до участия в обсуждении ИТ - сидите и слушайте, что умные люди говорят.
Грязный демагогический приём, вида аппеляция к авторитету. Он может работать только тогда, когда авторитет есть. И даже когда есть, оно не всегда работает, только против тех, кто ещё более туп, чем ты.
> Хранить надёжные пароли в голове невозможно. Это можно только при использовании одного пароля на многих сервисах. А это ещё менее безопасно, нежели хранение паролей в файлике на диске.Это элементарно, Ватсон:
Надо один единственный раз запомнить сложную фразу типа Ja8%7MamkYnxakep777 на всю жизнь и все случаи, и просто каждый раз прописывать ему соль в виде веб-адреса после, скажем, седьмого символа. Или до.
Все, ваш пароль забрутфорсить невозможно, сколько хеши с разных ресурсов не сливай.
> прописывать ему сольЗОЖ запрещает солить!
>> Хранить надёжные пароли в голове невозможно. Это можно только при использовании одного пароля на многих сервисах. А это ещё менее безопасно, нежели хранение паролей в файлике на диске.
> Это элементарно, Ватсон:
> Надо один единственный раз запомнить сложную фразу типа Ja8%7MamkYnxakep777 на всю жизнь
> и все случаи, и просто каждый раз прописывать ему соль в
> виде веб-адреса после, скажем, седьмого символа. Или до.
> Все, ваш пароль забрутфорсить невозможно, сколько хеши с разных ресурсов не сливай.Это секурити сру обскурити. Это мнемоническое правило, которое брутфорсеры паролей могут учесть. Ты только что рассказал это правило всем, и, поэтому, возможно, они уже учли. Ты можешь придумать другое, но... сколько таких правил могут придумать люди? 100? 1000? Какие-то из этих правил содержат произвольный параметр, типа "соли" которая может быть уникальная для каждого человека? Насколько это увеличивает пространство перебора? В 1000 раз? То есть, теперь угон одного твоего пароля позволяет перебрав миллион комбинаций угадать твой пароль для другого сервиса, так? Миллион комбинаций для современного cpu -- это пустое место, для видеокарты тем более. Ах, ты используешь одно и то же значение параметра для каждого сайта? То есть узнав этот параметр один раз, мы теперь знаем твои пароли для всех?
Может ты думаешь, что невозможно создать список всех таких правил? Возможно -- достаточно чтобы достаточное количество паролей попало бы в руки достаточно мотивированного человека, чтобы он сидел и анализируя пароли, искал бы схожие чем-то, и придумывал правила перебора, которые эти схожести учтут. При этом, я не удивлюсь, если _уже_ существуют инструменты задействующие AI, под то, чтобы такой анализ базы паролей с категоризацией и генерацией правил под каждую категорию производить автоматически. Если таких инструментов ещё нет, то это временно.
Все эти гениальные идеи, как обмануть законы криптографии -- это костыли. И под каждый костыль, если подумать хорошенько можно придумать антикостыль. На то они и костыли. Есть гораздо менее костыльное решение -- менеджер паролей. Ты аутентифицируешь себя менеджеру паролей каким-то образом -- может быть паролем, который невозможно подобрать, единственным паролем, который ты помнишь, -- менеджер паролей затем отвечает на твои вопросы о том, какой у тебя пароль к тому или иному сервису. И вот тут ты можешь использовать сколь угодно сложные пароли. Или ты можешь использовать ключи -- тебе уже без разницы, ключи или пароли.
> Все эти гениальные идеи, как обмануть законы криптографии -- это костыли. И под каждый костыль, если подумать хорошенько можно придумать антикостыль. На то они и костыли. Есть гораздо менее костыльное решение -- менеджер паролей.Какая феноменальная глупость. Вместо того, чтобы злоумышленники десятки лет пытались вычислить по хешам существующие только в голове различные пароли под каждый сервис, им достаточно просто украсть один-единственный файл, где эти пароли лежат в прямом текстовом (хоть и зашифрованным одним-единственным паролем) файл.
Вы, Ordu, чем вообще думали, когда это все писали?
> Мы говорим о git? Порог для входа повышается? =)да. внезапно гитхабом пользуются не толькор проф программисты
>> Мы говорим о git? Порог для входа повышается? =)
> да. внезапно гитхабом пользуются не толькор проф программистыДело не в программировании, git считается крайне сложным для освоения.
> Хуже того -
> сижу под вендой и мне эти sshёпрстloginsuperuser вообще не упали!Вот это номер. Микрософт выгоняет разработчиков со своей "99% десктопа".
Так на веб-морде всё равно пароль остаётся, какой смысл?
Чтобы сопоставить базы (утекших) паролей и (утекших) приватных ключей.
Затем, что большинство юзверей шитхаба - смузихлебы и джаваскриптеры с растаманами. А они, как известно, в "безопастность" ни в зуб ногой, ибо за них "все делает" компилятор с интерпретатором.Ну и вот, поток жалоб "ааааа, мой пароль хакеры на малолетки.секс стырили, теперь на шитхабе все поудаляли" настолько гитхаб задолбал, что они надумали решить проблему тотальным отрубанием рук и ног. Всем.
Ибо ресурсов на отделить зерна от плевел у них не хватает.
Теперь вместо того, чтобы использовать мозг, придется раздавать приватный ключ на все устройства, откуда хочется получить доступ к единственному публичному ключу. "Инверсия зависимости".
Опиши как ты раньше "использовал мозг" - вбивал пароль из пяти символов, что-то более страшное? Не томи!
Я раньше использовал мозг, а не раздавал приватные ключи направо и налево
> Я раньше использовал мозгКак, анон? Я начинаю подозревать, что ты им об стенку бился..
> им об стенку билсяПо себе судишь?
По себе судишь.
> придется раздавать приватный ключ на все устройстваНеобязательно - можно настроить agent forwarding и твой локальный ключ будет доступен во всех удалённых сессиях
> твой локальный ключ будет доступен во всех удалённых сессияхВ каких удаленных сессиях? На ноутбук ходить с рабочей станции?
для такого использования не подойдет. Это скорее для случая "зайти на сервер, и с него git pull сделать"
Какая глупость.А иметь для каждого устройства свою пару ключей и все публичные добавить не?
> все публичные добавить не?Добавлять как, используя пароль, который как был, так и остался?
Можно. Только как-то это слишком сложно
Мелкософт слабо понимает, что такое "общий сервис для хомячков" - какая-то индусячья и@иотина решила поиграть в секурность и деанонимизацию. А хомячкам как обычно - страдать. Неужели кто-то ожидал другого от Микрософт?!! :)))
> Неужели кто-то ожидал другого от Микрософт?!! :)))Не бывает добрых корпораций, как и их плодов.
PS:
15 Берегитесь лжепророков, которые приходят к вам в овечьей одежде, а внутри суть волки хищные.
16 По плодам их узнаете их. Собирают ли с терновника виноград или с репейника смоквы?
17 Так всякое дерево доброе приносит и плоды добрые, а худое дерево приносит и плоды худые.
18 Не может дерево доброе приносить плоды худые, ни дерево худое приносить плоды добрые.
19 Всякое дерево, не приносящее плода доброго, срубают и бросают в огонь.
20 Итак, по плодам их узнаете их.(сказано 2 тыс. лет назад)
Еще один всё понял. Но мы и тебя хомячка подоим и ты ничего не сделаешь. Потому что мы корпорация, а хомячки это стадо.
Ну так индийцы особо и не скрывают наличие кастовой системы :)
Зачем ты собрался делать эту глупость?
Приватный ключ должен хранится на единственной машинеНа каждой генерится свой ключ и добавляется в гитхаб/гитлаб/гитеа. В чем проблема?
В том, что следующим шагом будет "больше пяти ключей бесплатно нельзя", наверное.Хотя у гитхаба пока политика была наоборот, в сторону расширения бесплатных возможностей (например, приватные репы сделали без премиума), но это же МС - бойтесь данайцев дары приносящих.
> В том, что следующим шагом будет "больше пяти ключей бесплатно нельзя"Опять придумываем сами страшилки и пугаемся?
Как добавляется? Только не говори, что на веб странице с использованием пароля.Зачем дополнительные ключи, если без пароля ничего не сделаешь?
Веб-интерфейс использует пароль+TOTP(и не нужно визжать про кровавый гугл который у тебя его украдет, есть реализации TOTP для десктопа и даже гугловая прога для TOTP работает без сети)git бай дизайн работает через ssh, то что гитхаб приделывал к нему работу через https это было их дело и они его сейчас делают более безопасным убирая пароль
> они его сейчас делают более безопасным убирая парольПароль не убрали. Он также хранится у гитхаба. Чтобы работал веб интерфейс.
Если везде использовался один протокол - только пароли, то дыра была бы только в одном месте. Теперь дыра может быть в двух обязательных местах - пароли и ключи (а также токены хрен знает от кого). Увеличили периметр.
> Приватный ключ должен хранится на единственной машинеЭто делается не так, а через цепочку доверия (X.509 и тп) Пользователь один раз добавляет корневой сертификат на сервер. И у себя создает сертификаты, подписанные корневым. Тогда да, пароль не нужен.
Git клиенты так не умеют, да и излишнее усложнение. Ну и где X.509, там и X.500 Distinguished Name style имена, X.509 v3 extensions, CRL, OCSP, ограничения сертификатов по времени, необходимость использования полновесной криптобиблиотеки, ибо X.509 это просто дофигища кода; невозможность использования SSH.
> Git клиенты так не умеютЭто проблемы тех, кто заявляет про "безопасность".
Насколько помню гитхаб несколько раз меняла рекомендацию про использование паролей (https или ssh). Может, потому что аксиома эскобара?
> Пользователь один раз добавляет корневой сертификат на сервер. И у себя создает сертификаты, подписанные корневым.Это для пользователя полная жопа и гемор на ровном месте.
> Теперь вместо того, чтобы использовать мозг, придется раздавать приватный ключ на все устройства, откуда хочется получить доступ к единственному публичному ключу. "Инверсия зависимости".Необязательно иметь один публичный ключ. Можно использовать разные ключи на разных устройствах.
А мозг лучше использовать для более полезных задач, чем запоминание пароля.
Чтобы иметь разные ключи, надо иметь "один ключ". В случае с гитхабом это - пароль. Который был, есть и будет есть.Какой смысл запрета паролей, если пароль есть?
Например, privilege separation. При аутентикации по ключу или токену пароль не надо вводить каждый раз, и хранить пароль тоже нигде не надо. Значит гораздо труднее увести весь аккаунт.
SSH не передает пароль в открытом виде, и не хранит все время. Гитхаб хранит твой пароль (хеш). От чего защищает эта инициатива? Эта инициатива максимум однозначно привязывает гит-репу с уникальным ключем, по которому можно однозначно определить пользователя - деанонимизировать.
> SSH не передает пароль в открытом виде, и не хранит все времяВот видишь как хорошо. Значит надо пользоваться SSH с ключами, а не HTTPS с паролями? Ты походу привёл аргумент против своей же позиции.
Про хранение паролей, на этой странице комментариев кто-то уже признался, что хранит пароль в конфиге. И он не один такой.
А деанонимизация происходит при любой аутентификации, что по ключу, что по паролю. В этом смысл аутентификации. Был неизвестно кто - стал юзер vasya.
> Вот видишь как хорошо.Раз хорошо, зачем запрещать?
> Про хранение паролей
Гитхаб уже хранит и использует пароли, но пользователю запрещает. Массово пароли утекают из публичных сервисов (вроде гитхаба). Пусть с себя начнут.
> Был неизвестно кто - стал юзер vasya.
Это идентификация - присвоение имени (идентификатора) объекту.
Аутентификация - это про вероятность знания уникальной информации, вещи.
Погоди, у нас какой-то странный диалог получается. Ты выдвигаешь утверждение, я его опровергаю, а ты, вместо того, чтоб признать свою ошибку - меняешь тему и выдвигаешь новое утверждение.Давай откатимся на начало. Вот ты утверждал, что "придется раздавать приватный ключ на все устройства, откуда хочется получить доступ к единственному публичному ключу". Признаёшь, что был неправ?
> Погоди, у нас какой-то странный диалог получается. Ты выдвигаешь утверждение, я его
> опровергаю, а ты, вместо того, чтоб признать свою ошибку - меняешь тему и выдвигаешь новое утверждение.А что не так? Это Спа^W опеннет! Еще и все очень цивильно происходит - обычно на опеннете после "тыканья носом в ошибку" следует спрыг с темы и переход на личности и прочая демагогия разной степени креативности (от "Дай угадаю - ты на самом деле виндузятник! Поэтому все что ты написал - не считается!" и до "На самом деле я просто набросил, а у школоты батхерт! )))))))").
"Зажрались вы, батенька!" (с)
> Ты выдвигаешь утверждение, я его опровергаюПароль хранить надо.
Приватный ключ - это тоже пароль - хранить надо.
Что ты опровергал?
Теперь для доступа на гитхаб надо ОБЯЗАТЕЛЬНО хранить 2 секретных ключа: пароль и приватный ключ
Опровергал то, что "придется раздавать приватный ключ на все устройства, откуда хочется получить доступ к единственному публичному ключу". Это твоя цитата, специально в кавычки взял. Ведь не придётся же? Можно генерить разные ключи на разных устройствах, необязательно иметь единственный публичный ключ. Согласен с этим?
> Можно генерить разные ключи на разных устройствах, необязательно иметь единственный публичный ключ.И придется использовать пароль, чтобы зарегистрировать другие публичные ключ. И где запрет паролей?
При работе через ssh твой ключ является и твоим «логином», потому что ты обращаешься к git@github, а там уже по ключу проверяется есть ли доступ к заданной тобой репе.И, да, конечно никакой пароль тогда не передается
Гитхаб - это нет подконтрольный тебе git-сервер. Это соцчеть (с паролями от тупых пользователей, токенами от шибко умных третьих сервисов). Безопасность на высоком уровне!
> GitHub запрещает парольную аутентификацию при доступе к GitА что нельзя было сделать как-то иначе?
К примеру, 3 раза ввёл пароль неправильно, блокировка на 3 часа с уведомлением на почту владельца, при этом ужесточив требования к сложности устанавливаемому паролю.
Для чего? Чтобы пользователям было удобно? Нам это не надо. Пользователи просто наша кормовая база и это они нам должны.
Это чтобы все популярные разработчики из бана (точнее блокировки в целях безопасности) не вылезали?
> Это чтобы все популярные разработчики из бана (точнее блокировки в целях безопасности)
> не вылезали?Ну для таких настраиваемое время блокировки от 10 минут, хотя сомневаюсь что так трудно ввести правильный пароль.
Все эти пароли, логины, QR-Коды и тому подобное чужды моему анонимному сердцу. Если нет возможности без регистрации отправить коммент или создавать контент, значит сайт не стоит времени.
Давно пора через Мордакнигу входить. Совсем олды обезумели с паролями.)
> Совсем олды обезумели с паролямиА мне сразу вспомнилась сцена из первого сезона "Видоизменённый углерод", когда Ковач оплатил услуги врачей смачным плевком в биосканер.
Мордокнига сосёт, есть не у всех и её популярность падает.
Фиолетово. Все адекватные люди давно сидят на собстенном хостинге.
Все НЕадекватные.
Какой смысл тратить время и деньги на администрирование и поддержку, если можно использовать бесплатное с тем же результатом?
Смысл в том, чтобы не зависеть от очередной корпорации добра.
>адекватные😂
> Все адекватные люди давно сидят на собстенном хостинге.Как мне хорошо, что я неадекватный. Мне не надо тянуть хостинг собственного github'а.
gitea легко хостится даже на всяком хламе.
Правда с большими репами и PR там не очень быстро всё работает.И никто не мешает зеркалировать автоматом на кажды пуш куда угодно.
В общем то и публично доступных gitea/gogs хватает.
> gitea легко хостится даже на всяком хламе.А если я отвлекусь от своих проектов, потому что реальный мир заел, не до того, то что? Я буду вынужден тем не менее каждые две недели ходить туда обновлять софт? То есть мне не до того, но ходить обновлять я буду, так? Или лучше выключить этот хлам на полгодика, до тех пор, пока у меня вновь появится свободное время?
А если я не отвлекусь, мне всё равно надо будет каждые две недели париться с обновлением софта? Просматривать логи ежедневно -- не влез ли кто, через какую-нибудь дыру, может 0day какой, а может я в конфигурации чёта накосячил.
Мне неинтересно админство. Скучное занятие, по-моему, до крайней степени. Если очень надо, я могу позаниматься, но это если очень надо. Я держу иногда сайты на впсках разных под какую-нибудь мелкозадачу, но с радостью выдыхаю, когда задача выполнена, и сайт, наконец, можно аннулировать.
> В общем то и публично доступных gitea/gogs хватает.
Что ты имеешь в виду под публично доступными gitea/gogs? Это какие-то анонимные владельцы поделок, косящих под github? Они у тебя вызывают больше доверия, чем github? Если так, то почему?
А если ты отвлечешься, то оно будет продолжать работать
Хости свой инстанс у себя в локалке или на VPS, но доступным только по VPN
И никакие 0day тебе не страшныУ меня мой личный инстанс gitea работает на домашней RPi4+ исполняющей так же и роль десктопа, когда мне нужно из других мест с ноута, то доступен через VPN, наружу не светит. Ну и узнай про всякие автообновления, что ли.
> А если ты отвлечешься, то оно будет продолжать работать
> Хости свой инстанс у себя в локалке или на VPS, но доступным
> только по VPNПри таком подходе мне надо возиться с прокидыванием ключей доступа к vpn всем заинтересованным. И не только мне, всем остальным тоже надо возиться с vpn и этими ключами. Это уже накладные расходы, которые выплёскиваются через край и размазываются по всем остальным. Это накладные расходы, которые требуют от меня организационных талантов. Брр...
> У меня мой личный инстанс gitea работает на домашней RPi4+ исполняющей так
> же и роль десктопа, когда мне нужно из других мест с
> ноута, то доступен через VPN, наружу не светит.Я не вижу смысла в личном инстансе gitea. Совершенно не вижу. Для личных целей хватит sshd. Кроме того, можно даже не связываться с выставленным наружу с домашнего компа sshd, можно реп таскать с собой на ноуте.
> Ну и узнай про всякие автообновления, что ли.
Не хочу. Автообновления -- это когда вообще в любой момент всё может перестать работать.
> Я не вижу смысла в личном инстансе giteaНужно исходить из того, что публичный сервис может прекратить существование и при этом внезапно
У меня все мои проекты живут и дома на gitea, и на github'е. Между ними синхронизация.
В случае если кто-то перегрызет трансатлантические кабели и собъет спутники у меня есть моя гитеа и доступ к ней всем кому он необходим по эту сторону океана. А так я работаю с домашним сервером, остальные с гитхабом
>> Я не вижу смысла в личном инстансе gitea
> Нужно исходить из того, что публичный сервис может прекратить существование и при
> этом внезапно
> У меня все мои проекты живут и дома на gitea, и на
> github'е. Между ними синхронизация.Я знаю об этом, и оцениваю риски. И считаю, что для тех проектов, которые есть у меня, это не критично. В том смысле, что овчинка выделки не стоит. По теории игры: вероятность потерять всё, помноженная на стоимость этой потери меньше, чем вероятность не потерять, помноженная на стоимость поддержания gitea.
Я говорю ж, я неадекват, даже когда я мыслю качественно, у меня в голове пляшут количественные математические формулы, указующие мне, что и с чем надо сравнивать.
> В случае если кто-то перегрызет трансатлантические кабели и собъет спутники у меня
> есть моя гитеа и доступ к ней всем кому он необходим
> по эту сторону океана.Эмм... Мне интересно, чтобы к моим проектам доступ был бы именно по ту сторону окияна. По эту сторону желающих мало. Что не удивительно, потому что основная масса, интересующихся разработкой just for fun находится именно там.
Я вот не пойму. Народ орёт про ключи. Так ключ публичный будет в гитхабе, а приватный у тебя на компьютере в укромном местечке с правильными правами. И кто там что перебирать собирается?
Пароль легче угнать чем ключ, а тем более подобрать. Если не можете обеспечить безопасность приватного ключа (мозгов много не надо) , то это ваши проблемы.
>... приватный у тебя на компьютере в укромном местечке с правильными правами.
>...
> Если не можете обеспечить безопасность приватного ключа (мозгов много не надо) , то это ваши проблемы.Так ведь и ты не можешь, хотя и думаешь иначе.
Ты просто "неуловимый Джо", поэтому до твоего "укромного местечка с правильными правами" никому пока нет дела.
"Правильные права" - это вообще защита от добрых людей. Типа, как копеечный китайский замок на почтовом ящике.> Пароль легче угнать чем ключ
А вот это не факт.
Чувак, давай я тебе дам свой приватный ключ, а ты попробуешь что-то с ним сделать
Ничего у тебя не выйдет, ведь он с паролем(пароль вводится мной один раз и далее работает ssh-agent)
> ...приватный ключ...
> ...с паролемЛомается брутфорсом этот пароль. У меня таких вычислительных ресурсов нет, но у "кого надо" они есть.
> ... пароль вводится мной один раз и далее работает ssh-agent
, который хранит ключи в памяти незашифрованными.
Это ещё одно место, через которое можно достать твой приватный ключ.
Здесь и вот эти Мелтдауны со Спектрами могли бы пригодиться.> Чувак, давай я тебе дам свой приватный ключ, а ты попробуешь что-то с ним сделать
Ты просто такой же "неуловимый Джо", как и анон, которому я отвечал выше.
Сам я, как здесь уже писал, тоже использую запароленные ключи, но пароль от ключа ввожу каждый раз, тем самым исключая ssh-agent из цепочки, т.е. уменьшая поверхность возможной атаки.
И при всём при этом я не считаю такую схему малоуязвимой, успокаивая себя тем, что я тоже "неуловимый Джо".
> Здесь и вот эти Мелтдауны со Спектрами могли бы пригодиться.Проще через дырявый драйвер с блобами для wifi, bluetooth взломают, которые светят постоянно в неизвестное пространство.
> приватный ключ
> с паролемПароль спрошу у админа гитхаба, возьму с утекших баз с паролями, просто взломаю.
Все ваши личные данные гитхаб уже продал и выложил на ледник.
Это делается чтобы полиция при доступе к компьютеру получила сразу все ключи и добавила вирусы миллионам пользователей?