В связи с участившимися случаями захвата репозиториев крупных проектов и продвижения вредоносного кода через компрометацию учётных записей разработчиков, компания GitHub вводит повсеместную расширенную верификацию учётных записей. Отдельно для сопровождающих и администраторов 500 самых популярных NPM-пакетов в начале следующего года будет внедрена обязательная двухфакторная аутентификация...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=56304
Которую взломают...
> Которую взломают...Главное это цена взлома vs выгода от взлома.
Они очевидно поднимают цену взлома, чтобы угнав email
с помощью простейших средства типа социальной инженерии
нельзя было взломать github аккаунт.
Ну да, а выгодно гуглам и прочим клаудфларам. сколько гугол просит ? 200$ за доступ в почту кажеться. потому не держу ничего ценнее 199$ бггга, пусть разорятся
Будут потом слюну брать на анализ и верификацию... Ширину носа измерять...
Кидать полотенце, спрашивать кто ты по масти.
WebAuthn вряд ли сломают, там нужен железный ключ для доступа, особенно прикольно когда он внешний.
Попытка (разгрести это Г) — не пытка.
Лаврентий Павлович, залогиньтесь!
email - сама по себе дырень в безопасности (у всех же бесплатные ? самодельные перестали работать после запуска гмыла) уходите с модели имейл подтверждений при регистрации, рисуйте дикие капчи, с математикой и пушкиным
12% "программистов" не способны пароль сгенерить. Какие к чёрту капчи? Тут спасёт только стерилизация.
> email - сама по себе дырень в безопасности (у всех же бесплатные
> ? самодельные перестали работать после запуска гмыла) уходите с модели имейл
> подтверждений при регистрации, рисуйте дикие капчи, с математикой и пушкинымБыло расширение, чтобы Pow прикрутить, могли придумать чтобы сервер получателя спрашивал капчу у отправителя. Сразу немного не озаботились, но частично к лучшему.
<troll>Сделали бы давно уже через ЕСИА!</troll>
> у всех же бесплатные ? самодельные перестали работать после запуска гмылаНи х себе?! Здесь зарываешься от заказов на емэйл серваки, а оно вон оказывается, как - все и под гмаил
То серваки - кого надо серваки! :-)
А остальные в гмыле\ггг360 - хрен поспоришь :(
> А остальные в гмыле\ггг360 - хрен поспоришь :(Это о простом народе что-ли ? Ну так, Кот Базилио был прав, -жадность она до добра не доведет
> самодельные перестали работать после запуска гмылаМой персональный самодельный почтарь работает ещё с тех времён, когда гмыла в помине не было. Почта как тогда работала, так и сейчас продолжает работать. Что ещё расскажешь, ибэшник мамкин?
Я как там твой самодельный деревянный ? Не совсем в труху истёр? :)
Чтобы "почта работает"(С) ты обизян(С) настроить все полюшки которые гугел хочет. тчк.
А для супермегаЫнерпрайза "я сам и мой кот"(tm) - можешь хоть FIDO-net гонять, оно кстати тоже до сих работает - и вот это и вправду удивительно 8-)
ну, для _получения_ почты (на 99% ныне состоящей из спама через гугля и его клонов - яндекса и... а, кстати, давно уже не видно ни яхи, ни мэйлрушечки) пока еще нет, не обязан.Правда найти пресловутый пароль в миллионе предложений херни подорого будет непросто.
> оно кстати тоже до сих работает
что, до сих пор горячо обсуждают (всколькером - втроем? Впятером?) какую из трех последних эх первой "снести с бона" (которого давно нет), потому что модератора в ней никто не видел уже лет пять? Регулярно перевыбирают ненужноC голосованием из одной кандидатуры (Или наконец короновали одного на все посты сразу)? Что там еще у вас "работало" когда последний раз я запускал tin?
> Чтобы "почта работает"(С) ты обизян(С) настроить все полюшки которые гугел хочет. тчк.О каких плюшках речь? ДКИМ, СПФ или все в одном влаконе ака ДМАРК ?
Так оно не о гугле, оно противо-дебилов
Так а смысл? Там же все через один пакеты решeто(если верить новостям).
Смысл - захаррасить разработчиков до такой степени, чтобы они перешли на WebAuthn.
Им нужны твои номера телефонов для спама, цифровые отпечатки и все твои данные.
Шапочки из фольги снимать не собираюсь
Качественная шапочка из фольги должна иметь минимум 7 (семь)пар проводник-изолятор и полностью покрывать поверхность защищаемого объема для частот до 5G. В качестве изолятора достаточно хороша пищевая пленка.
> Качественная шапочка из фольги должна иметь минимум 7 (семь)пар проводник-изолятор и полностью
> покрывать поверхность защищаемого объема для частот до 5G. В качестве изолятора
> достаточно хороша пищевая пленка.Возможно достаточно изолировать очень низкие частоты "как наводки от проводного радио" и наоборот такие как в 5g?
Ладно заговор, но может ли 5g раздражать мозг и создавать "помехи"? Большинство частот наверное могут его только нагреть, так?
>но может ли 5g раздражать мозг и создавать "помехи"?Может. Неужели не знали, что всем сразу после рождения чип с антенной от Илона в мозг запихивают? Разделение труда, Билл обслуживает старперов, а Илон - молодняк!
А еще эти конспирологи всё путают, это не вышки распространяют вирус, а тайная власть, чтобы с вакциной вколоть чипов. А вышки - чтобы их запитать электричеством, поэтому такая частота и так много вышек.
А у молодых такое есть с рождения, так что они болеют несерьёзно.
А я вообще у себя отключил вайфай 2\5Ггц. Вместе с интернетом.
После этого начал мыслить ясно и четко.Привет Буратино пишу с калькулятора
Гарри Потер мне просто не отвечает
Мой мозг навсегда от причала отчалил
> А я вообще у себя отключил вайфай 2\5Ггц. Вместе с интернетом.
> После этого начал мыслить ясно и четко.
> Привет Буратино пишу с калькулятора
> Гарри Потер мне просто не отвечает
> Мой мозг навсегда от причала отчалилНо всё равно гармошка по утрам, я родился мирно в сортире бродяг, но в болоте была большая дверца, в моём нагрудном доме.
> Им нужны твои номера телефонов для спама, цифровые отпечатки и все твои данные.вроде как раз нет, и они собираются использовать email подтверждение. То есть я почти успел порадоваться как раз их разуму и адекватности, пока не дочитал что это временно и 100 первых в очереди за печатью зверя на лоб уже поставлены, а остальным 500 приготовить лбы.
почему то уверен что половина (если не больше) всех случаев с вредоносным кодом была инспирирована самими разработчиками библиотек, монетизация в опенсорсе жестокая и беспощадная )) а потом сказать что ак угнали, лепота )))
В целом, с учётом того, как npm-щики те ещё раздолбаи, у которых вечно учётки утекают, их принуждение к 2FA -- очень хороший шаг.
Да внедряйте вы что хотите. Что github что npn пора на свалку.
> в апреле 2022 года планируют добавить возможность использования аппаратных ключейНу наконец то, кто в мелкософте прочитал про аппаратные ключи... Глядишь, они еще и длину пароля может увеличат с 16 на что то более адекватное
Вообще-то в самом Гитхабе поддержка WebAuthn есть уже не первый год. Так-то они были одними из первых кто внедрил поддержку U2F (но коряво, только в Хроме), а после покупки Микросами - перешли на WebAuthn, даже в ФФ работает.
> Вообще-то в самом Гитхабе поддержка WebAuthn есть уже не первый год. Так-то
> они были одними из первых кто внедрил поддержку U2FСтранная поддержка, сперва дай им телефон, а вот только потом позволят юзать свою Ю2Ф безделушку
>> Вообще-то в самом Гитхабе поддержка WebAuthn есть уже не первый год. Так-то
>> они были одними из первых кто внедрил поддержку U2F
> Странная поддержка, сперва дай им телефон, а вот только потом позволят юзать
> свою Ю2Ф безделушкуОбычно это мотивируется тем что "Токен можно оптерять, аварийные коды вы 100% посеете, так что давайте номер телефона чтобы восстанавливать доступ было чем". К сожалению - распространенная тактика, но не к счастю не везде.
> Обычно это мотивируется тем что "Токен можно оптерять, аварийные коды вы 100%Я б сказал - "не мотивируется", а прикрываются, т.к. получить телефон - это очень нынче сладко, под любым предлогом
>> Обычно это мотивируется тем что "Токен можно оптерять, аварийные коды вы 100%
> Я б сказал - "не мотивируется", а прикрываются, т.к. получить телефон -
> это очень нынче сладко, под любым предлогомСамо собой. Но не все, НеймЧип скажем не требует давать номер телефона для подключени 2FA. Чтож до "сладко", ну вот мне сегодня пришло радостное письмо от одного книжного онлайн-магазина, что они скоро уберут авторизацию по логину\почте\паролю И соцсеткам полностью и оставят только телефон. "Вам даже пароль не потребуется!" - ага, потому что каждый раз вводи код из СМС, что делать если ты профукал симку или сотовая сеть тупит им дела нету.
Радость-то какая >_<
Если б только онлайне магазин, на яхе вон, поменял номер телефона лет 15 назад и не обновил вовремя, теперь, для "исключительно заботы о мне" доступ перекрыт навсегда, к экаунту который был с рождения самой яхи...
> Если б только онлайне магазин, на яхе вон, поменял номер телефона лет
> 15 назад и не обновил вовремя, теперь, для "исключительно заботы о
> мне" доступ перекрыт навсегда, к экаунту который был с рождения самой
> яхи...Так именно что. Если пропадет доступ к онлайн-магазу книг, где все равно никаких особых нужд в том чтобы имень полноценный аккаунт нет (унылая бонусная программа разве что?) - это одно. А когда тебе зарезают доступ к важным данным - другое.
16 символов - это 10^30 вариантов. Вполне достаточно.
> 16 символов - это 10^30 вариантов. Вполне достаточно.И много народу знаете, которые хотя бы: echo 0x`head -c 16 /dev/urandom | xxd -p` ?
А вот там где нет дебильного ограничения, так народ в охотку запоминает фразы, и секьюрно и легко.
Много фраз в 16 символов уложите ?
$ hsxkpasswd
$$05~paper~NORTHERN~mine~85$$
passwordgenerator: Vaster=Trivia:Postal+Avenge:Prize%149_Deb%Truces
> $ hsxkpasswd
> $$05~paper~NORTHERN~mine~85$$Вот если вы такой пароль попытаетесь на мелкософт экаунт, то останется:
$$05~paper~NORTH
Два словарных слова и совсем чуть чуть цифр и спец символов.Если слов меньше чем шесть, то это уже считается - не секьюрно, а энтропия от цифр и пунктуации вообще кака
"Командир сказал: "Хватит разврата", и закопал стюардессу"
(из анекдота)
> 500 самых популярных NPM-пакетов в начале следующего года будет внедрена обязательная двухфакторнаяТолерантно!
Сколько будет им штраф если биометрия всех людей будет опубликована в Интернете?
Вызовут их на ковёр в Конгресс, как Сахарного Мальчика. А потом они станут, как и он сам, искать русскую пропаганду и хакеров на своих сайтах.
Это - максимальное наказание... слив можно будет продолжить.
> в 13.37% случаев при регистрации новых учётных записей разработчики пытались повторно использовать скомпрометированные паролисовпадение? не думаю.