URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 127669
[ Назад ]
Исходное сообщение
"В NPM включена обязательная двухфакторная аутентификация для 500 самых популярных пакетов"
Отправлено opennews , 01-Июн-22 07:37 
В репозитории NPM включено применение обязательной двухфакторной аутентификации для учётных записей сопровождающих 500 самых популярных NPM-пакетов. В качестве критерия популярности использовано число зависимых пакетов. Сопровождающие попавших в список  пакетов смогут выполнить связанные с внесением изменений операции с репозиторием только после включения двухфакторной аутентификации, требующей подтверждения входа при помощи одноразовых паролей (TOTP), генерируемых такими приложениями, как Authy, Google Authenticator и FreeOTP, или аппаратных ключей и биометрических сканеров, поддерживающих протокол WebAuth...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=57283

Содержание
Сообщения в этом обсуждении
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 01-Июн-22 07:37 
как же хорошо что я не пишу на JS
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 01-Июн-22 08:21 
мне тоже хорошо, что ты не пишешь на JS -- меньше конкурентов, выше зарплаты.
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Жироватт , 01-Июн-22 08:47 
Вместо одной чайной ложечки риса/час - одна столовая в час, но с обязательством юзать только определённый фреймворк? До-о-о, хороший буст.
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 01-Июн-22 08:50 
> с обязательством юзать только определённый фреймворк?

А, я понял. То есть одно и то же приложение должно писаться со всем подряд: реакт, ангуляр, вью, а один фанат даже захочет GTK с веб-бэкендом? До-о-о, тогда приложение будет высокоскоростным.

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Жироватт , 01-Июн-22 08:58 
Лолд, веб-макакер действительно не понимает, что приложение в принципе не должно быть завязано на фреймворк.
Хотя о чем это я, да, в js же можно работать только так, обмазавшись кучей фреймворков или страдать на одном. И обязательной нодой и кучей пакетиков-лефтпадиков.

Рис-то хоть не потравленный мышами выдают вам?

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 01-Июн-22 09:05 
> не должно быть завязано на фреймворк

"Не обязано" - да, не обязано.
"Не должно" - кто скозал, что не должно? Ты скозал? А ничего, что подавляющее большинство десктопного софта завязано на фреймворках? GLib/GTK, Qt... хотя о чем это я, если говорю с человеком, чей максимум - это 10 PRINT "Hello world" / 20 GOTO 10

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Жироватт , 01-Июн-22 09:21 
...хе. Сразу видно "тыжпрограммистика", который не в курсе, как пишется реальный софт.
С другой стороны - что с js'ера взять, у них там ляп-ляп и в продакшн. Главное лефтпад подключить не забыть. И версию зафиксировать во всех 23572 пакетах пустого проекта.

Щас тебе тайну расскажу, страшную, только не обделайся: вынос функционала в не зависящие ни от чего динамически линкуемые библиотеки - это норма для программистов здорового человека. Это позволяет писать софт такой, как, к примеру, трансмишн: есть у него морда на gtk, есть у него морда на qt, есть у него морда веб, есть у него консольных морд целый мешок. И еще работает, понимаешь, после перекомпиляции демоном, на том же роутере, на насе и на сервере. Вишь до чего программисты заморские дошли? Писать софт, который без фреймворков и работает даже на кофеварке. Ух! Не то что у вас, у программистов курильщика.

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 01-Июн-22 09:31 
> трансмишн: есть у него морда на gtk, есть у него морда на qt, есть у него морда веб

Так, "трансмишн" - я загнул большой палец правой руки. Хватит ли у тебя еще примеров "реального софта", который поддерживает больше, чем один тулкит, чтобы я загнул хотя бы половину пальцев руки?

> который не в курсе, как пишется реальный софт

Реальный софт подчиняется законам реальности и ограничен реальным бюджетом, в котором обычно не оказывается ресурсов для поддержки больше, чем одного тулкита. Странно, что об этом ты, будучи знатоком "реального софта", не знаешь. С другой стороны ты умудрился перепутать тулкит с фреймворком: если разный UI трансмишна для десктопа (gtk/qt), веба и cli еще имеет смысл, то зачем одному и тому же приложению быть написанным "независимо от фреймворка", ты так и не объяснил. Видимо привык, что твои хелловорлды не набирают больше 10 LoC, так что там фреймворк действительно не нужен.

> Главное лефтпад подключить не забыть

А вот и подъехал эксперд, который не в курсе про String.prototype.padStart.

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено анон , 01-Июн-22 09:36 
Жаль, что на качество кода и производительности это не влияет.
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 01-Июн-22 11:37 
Если пользуешься GitHub - то всё для тебя плохо.
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 01-Июн-22 07:50 
KeepassXC умеет ТОТР.
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 01-Июн-22 08:20 
с keepassxc будет не двух-, а однофакторная аутентификация. Фактор один: нужен доступ к разблокированному менеджеру паролей, в котором и пароль, и TOTP.
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено пох. , 01-Июн-22 13:13 
> нужен доступ к разблокированному менеджеру паролей, в котором и все пароли от всего, и TOTP
> ко всему

(поправил, не благодари)

Но поскольку шитхабовские безопастники этого не понимают - не вижу поводов не пользоваться keepassxc - клиенты получат ровно ту "безопастность" которой заслуживают, зачем бороться с неодолимой глупостью?

Тридцать лет назад умные люди придумали otp чтобы не светить свои пароли и не набирать их в недоверенной среде вообще.  Современные макаки свели их идею к х-ю, попутно поломав все до чего дотянулись.

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Косой , 01-Июн-22 07:57 
Хочу как было!
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 01-Июн-22 08:47 
За пароль 123456 разраба надо банить на всех площадках и шеймить во всех сетях.
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 01-Июн-22 09:41 
lm8iCan$RVGoQPp+ck3lv;"RgWB0&dgeK6

За такие то же нужно банить, т.к. очень часто такие пароли записаны на бумажку, которая прикреплена к монику или с нижней стороны клавиатуры, лежит в портмоне и т.д.

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 01-Июн-22 10:11 
пусть хоть на лбу бумажка эта будет, главное чтобы не сбрутили как всегда пароль и встроили в пакет малварь.
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 01-Июн-22 10:21 
Что мешает эту бумажку сфотать проходящему коллеге, уборщице или тому, кто решил тебя подсидеть?
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 01-Июн-22 10:44 
каждую неделю про очередной взлом был именно этот сценарий. Уборщицы эти коварные.
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 01-Июн-22 11:12 
> сценарий

Кем пишется сценарий, заинтересованным лицом? "Официальная реальность"?

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено YetAnotherOnanym , 01-Июн-22 11:01 
Пусть фоткает. Потому что рядом с монитором, с того краю, где прилеплена бумажка, стоит банка из-под зелёного горошка с карандашами и ручками. Так вот, пароль - это слово "ufhjisu" и цифры под штрих-кодом на этой банке.
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Жироватт , 01-Июн-22 13:05 
"ufhjisu" - гарошыг
Хе
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено i , 02-Июн-22 07:43 
Будет забавно если банку заменят на специальную корзиночку пока ты в отпуске.
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено YetAnotherOnanym , 02-Июн-22 09:15 
У меня дома в кладовке ещё штук пять таких же, неначатых ))
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 01-Июн-22 21:40 
В кошельке?
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 01-Июн-22 10:31 
> записаны на бумажку

в текстовичке "новый файл" на рабочем столе

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Sw00p aka Jerom , 01-Июн-22 11:55 
>записаны на бумажку

главное не приписать туда "Пароль от...", а так самый безопасный способ хранения.

пс: не храните деньге в сберкассе :)

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено a_kusb , 01-Июн-22 12:52 
Вот хороший пароль, легко запомнить:
Vsnhf[fkbcmgthdsqhfpfnsdpzkfj,jchfkfcmrfrytghbznyj,skjvytnt,znhf[fnmfnsdujdyt
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 01-Июн-22 15:09 
Cjhjrnsczxibujhzyd;jgeceyekb,fyfy
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 05-Июн-22 08:52 
Ecy64ix.r-9;sm^ZlHB@1R[EF<Z2:dB,crxo=]vW@XF^dDQl%%a3q;o.qQv;t`T7

круто когда клиенты присылают такой пароль от винды для ввода в ipkvm

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 01-Июн-22 17:21 
> очень часто такие пароли записаны на бумажку

Очень часто — это у тебя на твоём личном мониторе? Ну так перестань бумажки на монитор клеить.

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 02-Июн-22 08:59 
>то же

Учебный год закончился, и на OpenNet - пополнение из необучаемых.

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено 1 , 01-Июн-22 09:11 
А leftpad входит в их число ?
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Бывалый смузихлёб , 01-Июн-22 09:26 
Тема с ним вообще к другому нюансу относится )
А именно - к наличию или отсутствию возможности у разработчика пакета взять его и удалить

Вплоть до упомянутого, такая возможность была

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Онаним , 01-Июн-22 18:13 
А значит встраиваемые в пакеты ахтунги у захотевших на выход будут более злобно-изощрёнными.
Возможно с отложенным срабатыванием :D
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 01-Июн-22 09:37 
Против намеренного вредительства это как поможет?
Должен кто-то за пакетами досматривать. Самостоятельно это делать каждому - слишком дорого в масштабах всей экосистемы.
Инструменты аудита зависимостей и обнаружения аномалий нужны.
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Онаним , 02-Июн-22 19:41 
hands.sys поверх определённого уровня доверия, иначе никак
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 01-Июн-22 10:01 
этому королю обезьян такие методы не помогут
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено YetAnotherOnanym , 01-Июн-22 11:07 
Сунь-Укун и Хануман неодобрительно смотрят на тебя.
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 01-Июн-22 10:22 
TOTP - это "принудительная смена пароля через определенный промежуток времени" в новом обличии. Теперь пароль меняют с центра, а не пользователь.

Форсированная "безопасность"!

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено a_kusb , 01-Июн-22 12:56 
Кончается тем, то это всё невозможно запомнить...
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 01-Июн-22 17:36 
Кончается тем что корпораст отжимает у тебя пакет и спасибо что бесплатно попахал на них, а теперь - проваливай, твои права превратились в тыкву.
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено a_kusb , 01-Июн-22 13:02 
А пароли русских слов из жаргонов или исковерканные (записанные орфоэпически правильно) в английской раскладке это надёжно?
Ёласька-зилёная - ~kfcmrfpbk`yfz
Кринжестыд - Rhby;tcnsl
Жабаскрипт-девелопер :f,fcrhbgn-ltdtkjgth
Запилитьвпродакшон - pfgbkbnmdghjlfrijy
МелкасофтВыньМаздай - VtkrfcjanDsymVfplfq
ЯТялаффки - ZNzkfaarb
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено InuYasha , 01-Июн-22 13:26 
rhby;thtkkf
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Sw00p aka Jerom , 01-Июн-22 14:18 
cvepb[k`, :)
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 01-Июн-22 14:31 
Нет. Ибо при желании на таких вот любителей изысков всегда можно сгенерировать словарь, со всеми их изысками, ашипкоми, перестановками, и его размер все равно будет меньше гигабайта, что несоизмеримо с комбинаторной сложностью настоящего случайного пароля.
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено a_kusb , 02-Июн-22 17:41 
> Нет. Ибо при желании на таких вот любителей изысков всегда можно сгенерировать
> словарь, со всеми их изысками, ашипкоми, перестановками, и его размер все
> равно будет меньше гигабайта, что несоизмеримо с комбинаторной сложностью настоящего случайного
> пароля.

Уже думал пока писал. Поднять словарь жаргона, частые слова в гугле которые не в словаре, комбинации, ошибки, можно и нейронку припахать.

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 02-Июн-22 21:03 
Причём тут Гугл? Самый полный известный словарь русского языка (Даль) - 200 тыс слов. Сомневаюсь, что жаргон и свежие заимствования добавят ещё более 100 тыс. Те 300 тыс - с запасом, Пусть среднее слово - 8 букв, итого 24 мб. Без сжатия, без дробления на префиксы/суффиксы, без оптимизации поиска.

Теперь немножко оптимизируем словарь, например, по возрастанию длины слова, и начинаем перебор, варьируя ашипки по слогам. Даже если на каждое слово будет 100 вариантов (а надо ещё умудриться сделать столько вариантов одного слова, а потом ещё и запомнить один из них) - будет всего 30 млн вариантов на 2 гига.

Для сравнения, случайный 8-значный пароль из 32-символьного алфавита (КИРИЛЛИЦ) даёт 32^8 ~ 10^12 вариантов, 64-символьного ~ 2.8*10^14.

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 01-Июн-22 16:02 
Даю подсказку, гораздо более безопаснее пароли на кириллице.
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 01-Июн-22 17:01 
Только смесь иероглифов, смайлкиков и узелкового письма :)
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 02-Июн-22 17:35 
> это надёжно?

Теперь нет.

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено a_kusb , 02-Июн-22 17:38 
>> это надёжно?
> Теперь нет.

Ха. И кто меня знает?

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено InuYasha , 01-Июн-22 13:11 
Выберите вашу реакцию:

> Смешно
> Грустно
> Противно <-

"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 01-Июн-22 17:35 
Светлое будущее по майкрософтовски. Не зря же майкрософт скупил это уг. Скоро такое подвалит и прочим хрустикам, зря они чтоли директора в фаундейшн толкали?!
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Без аргументов , 01-Июн-22 23:26 
Офигеть, я тока щаз узнал, что этим владеет некрософт. Это сразу +=9000 к хейту всей этой содомии, состоящей из миллионов пакетов вида isArray, isNumber (это для вебпака, т.ч. есть у всех обезьян)
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 02-Июн-22 11:31 
А когда ты узнаешь что они купили гитхаб тебя как хомячка разорвет в клочья.  
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Без аргументов , 02-Июн-22 15:32 
Это то я знаю. И про автора гитЛаба тоже.
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Без аргументов , 01-Июн-22 23:29 
Теперь стало понятно, почему оно взлетает и вклинивается везде, как всякие меньшинства и прочие C#. Они видимо посчитали, что кол-во углекислого газа разработчика при умственной нагрузке выделяется меньше при использовании этого шлака даже с учетом затрат на электричество и другие следствия плохой производительности.
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Без аргументов , 01-Июн-22 23:42 
И почему вообще 500, если для самого минимального фреймворка, webpack, scss, ts нужно несколько десятков тысяч пакетов?
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Kuromi , 02-Июн-22 01:00 
Потому что это пстепенное развертывание. Начали со 100 топовых пакетов, теперь уже 500 топовых. Далее будет 1000 и так далее.
Посмотрели как оно - никто не ушел, никто не поперхнулся, ибо развернуть 2FA даже на ВСЕ пакеты разом - технически не проблема, тут главное неохоту разрабов преодолеть.
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 02-Июн-22 11:32 
Да потому что майкам на самом деле пофиг это же показуха для хом.  
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено КО , 02-Июн-22 08:25 
Лишь бы номер телефона не требовался.
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено a_kusb , 02-Июн-22 09:04 
Авторизация через Госуслуги.
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 02-Июн-22 09:18 
Номер телефона можно потерять по (не)желанию пользователя. А вот уникальный секретный ключ, по которому генерируются временные пароли, хранится вне зависимости от желания пользователя.
"В NPM включена обязательная двухфакторная аутентификация для..."
Отправлено Аноним , 02-Июн-22 12:15 
> В ходе проверки надёжности используемых паролей удалось получить доступ к 12% аккаунтов в NPM (13% пакетов) из-за использования предсказуемых и тривиальных паролей, таких как "123456".

А зачем такие пароли принимаются? Давно уже все нормальные сервисы не дают задать пароль слабже некого порога. Или для нпм и это - откровение?