Разработчики репозитория Python-пакетов PyPI опубликовали план перехода на обязательную двухфакторную аутентификацию для пакетов, входящих в категорию критически важных. Важность определяется по числу загрузок и изменение будет применено к учётным записям сопровождающих и владельцев проектов, связанных с 1% пакетов, лидирующих по числу загрузок за 6 месяцев. С учётом, что в настоящее время репоизторий PyPI включает более 350 тысяч пакетов, двухфакторная аутентификация будет применена примерно для 3500 пакетов. Для проверки попадание учётной записи в список подотовлена...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=57481
> которые некоторые разработчики сравнили с инцидентом в результате удаления пакета left-pad в NPMвот уж чёрный день был для макак, помнят до сих пор
Спорное решение PyPi. Это опасный прецедент, касающийся перекладывания ответственности за открытый код с пользователя этого кода на разработчика.
Сегодня разработчик вынужден покупать и использовать токен т.к. он (разработчик) априори считается ненадёжным, а завтра его начнут за баги вызывать в суд.
> перекладывания ответственностиОтветственность переложили, права забрали. Всё честно.
>начнут за баги вызывать в суди microsoft тоже?
> разработчик вынужден покупать и использовать токенТокен генерируется в любом свободном менеджере паролей. Например, KeePassXC. И дальше работает как второй пароль, который известен только пользователю и сервису. Но не известен почтовому провайдеру и мобильному оператору. И если злонамеренный сотрудник последнего захочет воспользоваться учеткой клиента/абонента на стороннем сервисе (всеми учетками на популярных сервисах, всех пользователей, автоматизированно и массово), и попытается инициировать сброс пароля, то столкнется с необходимостью как-то получить этот второй фактор.
Лучше, чем ничего. Хотя ещё лучше было бы для аутентификации пользователей на сервисах вместо идиотской почты-пароля из каменного века использовать ассиметричное шифрование. Без почты, без пароля, просто пара ключей. Но это вотчина веб-макак, тут всё так - через опу.
> сброс пароляСделали огромную дыру и латают (другой дырой).
Ну ты-то пароли никогда не забывал. Только на бумажечках писал и на монитор клеил.
Нет. Отправлял по электронной почте России открытым текстом, как требовал безопасТный сервис. С смс подтверждением, чтобы все знали, когда я сбросил пароль.
> Ну ты-то пароли никогда не забывал. Только на бумажечках писал и на
> монитор клеил.А что, разве хакер сможет его так спереть? Его даже в вебкам не видно :)
Да где вы вычитали-то, что обязательно использовать аппаратный токен? Просто 2FA требуют и всё.
Из текста новости создалось впечатление, что аппаратные токена обязательны для критически-важных пакетов.
Сходил в истоячник и нашёл в FAQ такой пункт:> What should maintainers in non-eligible regions do?
> ...
> Alternatively, you should enable 2FA via a TOTP application instead. See How does two factor authentication with an authentication application (TOTP) work? How do I set it up on PyPI?Так что да - обычные TOTP черер приложения всё же можно использовать. Тогда вообще не особо понятен смысл новости.
Смысл новости в том, что автор пакета неправильно понял, чего и зачем от него хотят, ему стало впадлу потратить 5 минут на настройку 2FA, и он пошёл против системы. Зато не поленился удалять пакет, восстанавливать, писать в поддержку, вызывать админов, и устраивать всей экосистеме зависимостей веселье на 12 часов. В итоге все равно настроил 2FA.
Автор пакета всё понял правильно. Привыкайте, халява заканчивается.
> Так что да - обычные TOTP черер приложения всё же можно использовать.А я не хочу какие-то дополнительные левые приложения использовать. И тем более передавать третьим приложениям или сервисам контроль над аутентификацией.
Где вы в новости вычитали про обязательное использование токена? Про обязательность написано в общем виде, а про токены упоминается "использование по умолчанию" и далее поясняется "В качестве альтернативы также предусмотрена возможность применения вместо токена аутентификации на базе одноразовых паролей".
Очевидно, в момент написания первых комментов из этого треда текст новости был ещё другой, и из него следовало, что можно только аппаратные токены.
В отредактированном варианте появилось лишь примечание с разжевыванием в скобках. Про то что можно использовать и TOTP в ниже по тексту было изначально, просто люди невнимательно читают или до конца недочитывают.
начнут с внедрения токенов разработчиков ради безопасности. потом введут токены на доступ ради безопасности. а потом отзыв токенов за мыслепреступления, политики отмены или толкования свободы слова.
Не накручивайте, никто не требует никаких аппаратных токенов, это лишь один из способов
..Внедрить бакдур...
Вы чип в токене сами проверяли?
https://www.opennet.dev/opennews/art.shtml?num=51829
Только сам гугл не заслуживает доверия
Про Секурбут тоже говорили, что для защиты, а теперь по умолчанию сторонние ОС нельзя загружать. Пока ещё не у всех и можно отключить, но когда будет, будет поздно паниковать.
А хомяку пофигу, главное жрать макдак, и смотреть порно по этой железке, все. Ему не до ваших секурбут.
Ну это пока.
Несколько лет назад я читал что длинна надёжных паролей превысила значение которое большинству людей безппроблем запомнить и ввести с клавиатуры.Более того, вот я к примеру отключил у себя Стиме вход через временный пароль из их приложения, оставив только получение кодов на почту, так мой ящик завален письмами с попытками входа под моим аккаунтом, что означает что мой малосекюрный пароль с моего компа таки украли.
Одним словом проблема с паролями есть и я бы хотел чтобы Стим сделал у себя аутентификацию через аппаратный токен.
> мой малосекюрный пароль с моего компа таки укралиЗначит, украдут и многосекурный пароль/ключ.
кто заставляет тебя запоминать каждый пароль?локальный менеджер паролей со случайным мастер паролем в 16-24 символом решает
1 случайный пароль можно запомнить без проблем
>мой ящик завален письмами с попытками входа под моим аккаунтом, что означает что мой малосекюрный пароль с моего компа таки укралиВирусню разогнать не пробовал?
Ты хочешь сказать что мой линукс поражён вирусами?
Не обязательно линукс. Может, девушка, бабушка, кот...
> Несколько лет назад я читал что длинна надёжных паролей превысила значение которое большинству людей безппроблем запомнить и ввести с клавиатуры.Мне кажется вы не в курсе, что такое экспонента. Экспонента - это когда для того чтобы повысить защиту в несколько раз, надо добавить всего лишь несколькои символов в пароль, а не умножать.
P.S. Как-то заморочался с паролем, распечатал случайные символы на A4. Подобрал в уме картинку, ведёшь в уме пальцем по линии, собираешь пароль. 73 символа таким образом набрал. Первые три дня использовал бумажку. А потом руки сами набирают, участия мозга не требуется. Что-то мне кажется, что компьютеры не смогут пароль такой длины перебрать, пока на квантовые вычисления не перейдут.
>Как-то заморочался с паролем, распечатал случайные символы на A4Смотри, твою идею украли: passwordcard.org :D
> 73 символаБольшинство людей будут тспытывать проблемы даже с восьмисимвольным паролем.
А с паролем более 14 символов это большинство составит основную массу народа.
А потом внедрять токен пониже спины
ну в РФ вообще доступ в интернеты по паспорту. и ничего, живут как-то люди.
> ну в РФ вообще доступ в интернеты по паспорту. и ничего, живут
> как-то люди.А в каких странах не по паспорту?
>> ну в РФ вообще доступ в интернеты по паспорту. и ничего, живут
>> как-то люди.
> А в каких странах не по паспорту?в великобритании, говорят. купил препейд сим и в путь. в чехии то ж самое. на украине. это я так, что сам знаю, кто-нить еще может подкинут примеров.
Хотелось бы услышать истории узбека, как они покупают симки не только в РФ.
> Хотелось бы услышать истории узбека, как они покупают симки не только в
> РФ.история простая
узбек прилетает в борисполь^W^W^Wпоправочка, через азербиджян турцыю и румынию приезжает в чоп. покупает в киоске симку без паспорта, закидывает на нее в том же киоске бабла наличкой. все, можешь пользоваться без регистрации и смс.
узбек где-то чего-то недопонимает, ему нужно где-то что-то доразъяснить?
Я ничего не понял: узбеки-туристы покупают симки без паспорта вне зависимости от страны?
Борисполь уцелел?
> узбек где-то чего-то недопонимает, ему нужно где-то что-то доразъяснить?лол узбек обиделся, что его попросили предъявить документ, и настучал mc.
mc - за многонационалочку, не смог отказать.
Муж ездил в Лондон 3 года назад, но сим карту для интернета зарегистрировать не мог так как регистрация занимала очень много времени.
Странно что вы смогли купить в великобритании симкарту.
> Муж ездил в Лондон 3 года назад, но сим карту для интернета
> зарегистрировать не мог так как регистрация занимала очень много времени.
> Странно что вы смогли купить в великобритании симкарту."в великобритании, _говорят_. купил препейд сим и в путь."
я видимо, неясно выразился. я лично покупал в Чехии. в Великобритании - это только по рассказам знакомых.
про британию также было рассказано, что активация симки с требованием ID - это всегда инициатива конкретного оператора, не требование закона. способ активировать симку по закону у такого оператора тоже непременно есть, но найти его - это такой же квест, как попасть на живого оператора в голосовых меню киевстара.
на крайняк, что я буду ссылаться на собственный опыт? возьмите любой более/менее свежий отчет GSM ассоциации о доступности мобильной связи в мире, там есть раздел "требование ID при активации sim карты" с разбивкой по странам. Раздел странный, т.к. там Украина почему-то входит в число стран, требующих ID при активации, но это хоть какой-то официальный документ от знакомой с вопросом организации.
вот, к примеру
https://www.gsma.com/mobilefordevelopment/wp-content/uploads...
> Каждый сопровождающий может подать заявку на бесплатное получение двух токеновБезопасТность. Удвоенная.
А Гуголь, конечно же, совершенно случайно проходил мимо со своими "титанами" и по доброте душевной расщедрился аж на 4 тыщи токен-флешек по принципу "первые две дозы бесплатно".
> компания Google выступила спонсором инициативы и выделила для проекта 4000 ключей TitanКак легко и просто взять на карандаш всех ключевых разработчиков библиотек для питона.
Чтобы потом сопровождающих не искать, как с иксами? D
С иксами - это как? Как искать с собаками - знаю, а с иксами - это что-то новенькое.
Так себе шутка в наше неспокойное время. Теперь, что бы внедрить зловредный код, придётся прийти домой к разработчику.
При этом зловредный код будет подписан всеми десятью валидными траст-слоями от разраба и найти его смогут лишь случайно, года тысячапервый глаз по приколу залезет в код узнать, а что это за слабенький постоянный траффик у него идет.
СПО идеалогия это просто маркетинг. На самом деле никто не смотрит исходники программ. Даже относительно простых и понятных программ на языке питон
Вообще-то я в исходники смотрю периодически. Правда, конечно, не д@рьмища на питоне, я таким не пользуюсь просто - и поводов смотреть нет.А если б гений знал что есть инструменты типа git позволяющие инкрементально отличия между версиями обозревать...
> СПО идеалогия это просто маркетинг. На самом деле никто не смотрит исходники программ. Даже относительно простых и понятных программ на языке питонСПО идеология подразумевает, что тех кто пишет документацию в разы меньше тех кто программирует (это скучнее). Отсюда и необходимость лазить в исходники. Иначе никак :(
> СПО идеология подразумевает, что...пользователь - хакер, может свободно менять программу.
Все остальное - это, можно так сказать, следствие этого принципа.
Ну да, виноват окажется разработчик. При этом в лучшем случае его привлекут к ответственности. В лучшем - потому что он при этом останется жив и здоров. Интересная цена за free* time?*) “free” as in “free speech,” not as in “free beer”
Раздача двух токенов "про запас" ясно говорит об уровне уникальности. Монополизация внедрения зловредного кода.
Токены не уникальные, ключ загружаешь на них сам.
> Токены не уникальныеКакой смысл таких токенов?
> ключ загружаешь на них сам
Тогда зачем нужны токены, если ключ есть и без них? Чтобы было больше копий, которые можно скомпрометировать.
БезопасТность. Утроенная.
> Какой смысл таких токенов?а какой смысл уникальных токенов, в которых ключ не меняется и зашит с завода?
> Тогда зачем нужны токены, если ключ есть и без них?никто не заставляет хранить исходный ключ. А из токена его обычно достать гораздо сложнее
> а какой смысл уникальных токенов?В том, что удовлетворяют фактору "владеть (уникальной) вещью"
> в которых ключ не меняется и зашит с завода?
Для таких случаев как раз придумали аппаратный генератор непсевдослучайных чисел.
> никто не заставляет хранить исходный ключ.
Также никто не заставляет удалять исходный ключ.
> А из токена его обычно достать гораздо сложнее
"Обычно сложнее" - оценочное суждение. Красавчик!
> В том, что удовлетворяют фактору "владеть (уникальной) вещью"не заводи второй токен. Токены не уникальные, а вот положить в разные токены уникальные ключи тебя никто не ограничивает
> Для таких случаев как раз придумали аппаратный генератор непсевдослучайных чисел.
не в тему. Как с его помощью шифровать/подписывать и т.д.?
> "Обычно сложнее" - оценочное суждение. Красавчик!
"Обычно" и "гораздо" разные вещи, красавчик.
Думаю и для тебя вытащить что-то из того же tpm будет гораздо сложнее, чем раздобыть файлик с паролями.
>> Для таких случаев как раз придумали аппаратный генератор непсевдослучайных чисел.
> не в тему. Как с его помощью шифровать/подписывать и т.д.?Ясно, "эксперт", который не знает для чего нужен не псевдо рандом
Опенсорс - это свобода
Свобода. А вот централизованная инфраструктура пакетов - чистое зло.
Ишь ты, хотел он для удовольствия код писать. Должен обслуживать корпорации, наемные макаки которых уже используют твой код. Да, бесплатно.
Сказали зонд установить - будь добр.
Все кто не доволен могут сделать и предложить плугин для двойной аутентификации на сайте через демонстрацию в вебкамеру распечатанного на принтере QR кода.
Ну а если не хотите то не жалуйтесь на то, что корпорации делают эту аутентификацию сами по своим стандартам.
> Все кто не доволен могут сделать и предложить плугин для двойной аутентификации
> на сайте через демонстрацию в вебкамеру распечатанного на принтере QR кода.Полагаю, все кто не доволен отказом автора сопровождать пакет, могут записать на вебкамеру три приседания со словами "ку" и прислать автору ссылку. Может он передумает?
А канкан на камеру им там танцевать не надо для доказательства что не верблюд?
То есть в перспективе к написанию бесплатного опенсорца будут допускаться только жители небольшого числа белых стран, которые прошли необходимые проверки гугла (по критериям лгбт) и получившие аппаратные токены. Они сами не видят бредовость своих реплилоидных планов?)
Ну так и есть. Опенсорс должен приносить выгоду белым людям, увеличивая отрыв от всех остальных стран, а не сокращая его. Не забывайте, что началось все с BSD и MIT, то есть с библиотечного фонда американских институтов. Это уже потом хиппи придумали GPL и какое-то там Free as Freedom software, которое последние лет 20 в глубоком кризисе.
Сейчас любой китаец или индус, или даже ужас-ужас русский, может получить доступ к передовой мысли, обучиться, построить свой продукт и даже распространить его среди белых людей. Это непорядок. В идеале он не должен иметь возможности создавать и продавать свои продукты. Для этого нужно отобрать доступ к инфраструктуре разработки и развертывания, прежде всего к гитхабу и репозиториям пакетов разного рода, которые о чудо - очень сильно централизованы. В конечном итоге должна получиться ситуация, когда ради доступа к условному гитхабу меняют гражданство и страну, потому что локальный гитхаб по тем или иным причинам не содержит современного и актуального кода, или не содержит ключевых технологий (даже тут на опеннете говноеды ноют про отсутствие у аналогов гитхаба бесплатного деплоя - прекрасный пример Extend Embrace Extinguish).Цель как и прежде собирать у себя лучшие кадры, оставляя второму миру роль вечно догоняющих, а третьему миру и вовсе роль рабочей силы для вредной работы и дешевого мяса для борделей. Ничего кстати нового, колониализм невер ченжес.
Как житель страны первого мира, одобряю такой план. Особенно мне про мясо для борделей понравилось. Куда перечислить деньги, чтобы уже прямо сейчас начали внедрение?
Ты уже перечислил. И будешь перечислять, пока коленом под зад не дадут за то что слишком русский.Проблема с этим подходом в том, что он хорошо работает лишь до тех пор, пока истинные цели не на виду. Так что не получится ничего. Централизация ослабеет - как это было с экосистемой андроид, например.
А я не русский, спасибо родителям.
> Инициатива не обошлась без инцидента. Автор пакета Atomicwrites, насчитывающего 6 млн загрузок в месяц и 38 млн за 6 месяцев, не пожелал переходить на двухфакторную аутентификацию и для исключения своего пакета из списка критически важных попытался сбросить счётчик загрузок. Для сброса он вначале удалил пакет, а потом загрузил новую версию. Ожидалось, что подобная манипуляция лишь сбросит счётчик, но к удивлению разработчика из репозитория были удалены и все старые версии, что привело к проблемам у зависимых от библиотеки проектов, которые некоторые разработчики сравнили с инцидентом в результате удаления пакета left-pad в NPM.Ребята, ну это прямо-таки комедия! Настроение с утра подняли по самое некуда! =)
Да, мужик, борись с системой! Хочу больше таких новостей по утрам! ))))
Увлекательность этих событий соответствует увлекательности событий по внедрению "критической безопасности".
The next station is crates.io
Смузипроблемы не волнуют настоящих программистов на ANSI C
Там хуже уже не будет - логин возможен только через гитхаб.
Фактически теперь и адреса разработчиков после высылки ключей узнают (деанонимизация) и от изменений в репозиторий из-за второго фактора уже не отвертишься. Попахивает возросшей юридической ответственностью разработчиков...
>Попахивает возросшей юридической ответственностью разработчиков...сколько там пожизненных светит мелкософту?
Видимо много, иначе, если дадаут электрическиё стул, то они и в аду своей стратегией EEE все разрушат
Не надо оскорблять ад. Там грешников жарят за дело и по чесноку. Все черти миллиарды лет честно работают и токены им для работы не нужны.
Параноики такие параноики.
Адреса разработчиков кому надо вычислили по IP. А аппаратный ключ заказывать не обязательно. Там обычный TOTP принимается в качестве второго фактора.
Зато почтовому провайдеру (тому же Гуглу) вы, конечно, безоговорочно доверяете, хотя он и ваши письма читает, и где вы регистрировались знает, и может получить доступ почти к любой сторонней учетке, инициировав сброс пароля без вашего ведома.
> Зато почтовому провайдеру (тому же Гуглу) вы, конечно, безоговорочно доверяетеПрикинь, чувак, я сам себе почтовый провайдер. Так было можно, ага.
Это следующий этап. Скоро ключи DKIM будут только от гугла и только на их токенах.
Отставить панические настроения. Основная проблема в том, что почтой ныне не модно-молодежно пользоваться. Всем бы чатики-***ки всякие.
Что, еще нужно свой почтовый сервер поднимать, чтобы leftpad сопровождать?
> Что, еще нужно свой почтовый сервер поднимать, чтобы leftpad сопровождать?- это что, чтоб потрахаться, еще и член должен стоять?
- ну, твой член может и не стоять.
Неправильная у тебя ана та самая логия.С потенцией как раз проблем нету, так как сопровождающий уже доказал, что может.
Правильный риторический диалог звучит так:
- это что, чтоб потрахаться, еще и презерватив надо надевать, ой, сайт знакомств поднимать?
- ну, ты можешь не надевать.
> Что, еще нужно свой почтовый сервер поднимать, чтобы leftpad сопровождать?Оно конечно. Может еще без папы с мамой ботинки зашнуровывать?
завтра еще будут судить за внедрение бекдора в свой код :)
В оригинале написано:
> I thought that was an annoying and entitled move in order to guarantee SOC2 compliance for a handful of companies (at the expense of my free time)Интересная мысль
> Автор atomicwrites утверждает, что он бы предпочёл просто писать код для развлечения, а заботы о дополнительной защите от захвата злоумышленниками можно взвалить на себя когда за это платят.Золотые слова.
Жаль, что 99% обычного пользовательского мусора это в принципе не поймут
Любишь кататься - люби и саночки возить. Ишь ты развлекаться он захотел.
Любишь кататься - люби и катайся. (Армянское радио)
А как же большая сила больша ответственность? А ну да это другое...
> А как же большая сила больша ответственность?Попробуй более сильного хотя бы отвечать, хрен с ним с соответствием.
попробуй отвечать!!!
лiл на HN комментаторы негодуют> This is a bizarrely emotional response to me.
LOL
> There’s a moral obligation to mitigate harm caused by your project.
при этом кто-то ехидно заметил, что в эту пипу может загрузить код кто угодно, т.к. личность автора при загрузке ничем не удостоверяется.
> I had a package which I didn't publish on PyPI, just my web site as a "if you break it, you get to keep the pieces" sort of thing. I didn't even have a PyPI account.
> Someone else added it to PyPI without telling me. And people started using it from PyPI.
> I started getting messages about it, like PyPI developers asking maintainers to upgrade package metadata to include if it supported Python 3. That's when I realized it was on PyPI in the first place.
> One user even emailed me a question and said I had an obligation to support it, since I put it on PyPI.ну и чисто позавидовать на выходных чужой печени - в твитер-треде про этот инциндент кто-то запостил прекрасное видео с подписью "node_modules when you start a new project."
https://twitter.com/dmofengineering/status/1545927256781885440
С какой целью ты постишь ссылки на экстремистские сайты?
С какой целью ты называешь нормальные сайт экстремистскими?
товарищ майор, будете читать тред - этих двух анонимов разъясните в первую очередь.они здесь явно постят не с целью разлагаться и дегродировать, как все нормальные комментаторы.
а с НЕЯСНЫМИ, возможно даже ВРАЖДЕБНЫМИ ЦЕЛЯМИ.
Тем не менее - разлагаться во враждебном твитере нынче попахивает госизменой. Так что не забывайте записывать, кто вам такие ссылки присылает и кому еще вы их перенаправляли.
> Тем не менее - разлагаться во враждебном твитере нынче попахивает госизменой. Так
> что не забывайте записывать, кто вам такие ссылки присылает и кому
> еще вы их перенаправляли.лол я бы с удовольствием так поразлагался, как тот нигра по ссылке. жалко здоровье не позволяет родину продать.
А сожрать ту жыжу ему здоровье позволяет?! Хорошо хоть родина эта так просто не продается, товар специфичный, покупателей немного и все у меня на коротких поводках. Только еще какие неудачники злоумыслят продать - а уже в СИЗО показания дают.
Функции JavaScript недоступны.В вашем браузере отключены функции JavaScript. Включите их или начните использовать поддерживаемый браузер, чтобы продолжить пользоваться сайтом twitter.com. Список поддерживаемых браузеров приведен в Справочном центре.
Сейчас сочиняю плагин для git, для шифровки комментариев, readme etc, чтобы при коммитах оно расшифровыввалось, а с тем, что на серверах - господа корпоративные пользователи сами разбирались .бггг
Просто на своем сервере bare репозиторий сделать не судьба?
Зачем продолжать жрать говно, посыпая его ароматизаторами?
Мсье немножечко садист ,хе-хе
В двенадцать это нормально.
https://github.com/AGWA/git-crypt же, ничего сочинять не надо
Вот платформа плохая, а страдать должны разработчики? Странно, что всего один решил плюнуть на загрузки в пипу.
Ага, светлое корпоративное будущее с чипами в жо... ой, простите, это в следующей версии, проверено на няшах питоняшах. Следуюшие на очереди, очевидно, хрустики.
Автор молодец. Нельзя вот так Py-дорам сдаваться.
VIVA LA RESISTANCE!
"К сожалению, токены могут быть отправлены только в Австрию, Бельгию, Канаду, Францию, Германию, Италию, Японию, Испанию, Швейцарию, Великобританию и США."
Собственно вот вам и списочек "правящей мировой тусовки", стран которые самые самые. Списочек кстати именно такой какой и можно было ожидать. А что до остальных - ну они могут радоваться что в их страну условный Amazon хотя бы шлет токены.
Дело в том, что есть запрет на экспорт "секретных технологий". Так что, можно предположить уровень секретности, который раздают на халяву
> Дело в том, что есть запрет на экспорт "секретных технологий". Так что,
> можно предположить уровень секретности, который раздают на халявуА вы в курсе что в РФ официально продаются WebAuthn токены от того же Feitian?
Нет
> Списочек кстати именно такой какой и можно было ожидать.да, в нецивилизованные страны криптотехнологии отправлять несколько не принято. Много там кстати разработчиков из Венесуэлы?
> А что до остальных - ну они могут радоваться что в их страну условный Amazon хотя бы шлет токены.
или перестать быть отсталыми дикарями и таки запилить свой. Нет, это не про страну-недоразумение которая даже гвоздь сделать не может (а если делала то получались с двумя шляпками), конечно.
Кстати несертфицированное фсб криптосредство товарищмайор у тебя отберет, даже если амазон и отправит.Чехи вот справились (кто-то тут пару лет назад активно их криптокошель рекламировал, функция авторизации там была среди прочих бонусов).
> Кстати несертфицированное фсб криптосредство товарищмайор у тебя отберет, даже если амазон
> и отправит.Почитайте список сертифицированных ФСБ железок. С удивлением обнаружите там WebAuthn токены от того же Yubico
Это действительно странно, что там есть цивилизованные Австрия и Германия, но нет оккупированной Беларуси.
После фразы "...не пожелал переходить на двухфакторную аутентификацию и для исключения своего пакета из списка критически важных попытался..." стало всё понятно. Какой код такой "разработчик" может написать? Вон из профессии!
Ребят, все кто минусуют, вы тоже можете собираться :) Если человек не думает про security first, то реально, идите булочки продавайте. Из-за таких как вы у нас новости и пестрят "ой, опять уязвимость". :micdrop:
Он то как раз и думает, в отличие от некоторых местных экспертов по buzzwords. Подумайте, мистер Неуловимый Джо, почему безопасность в компаниях обеспечивают отдельные специалисты и за отдельную плату. И зачем кто-то решил сэкономить на вот этом вот всём.
Ставь двухфакторную аутентификацию на свои трусы, иначе вон из професии.
Захочет барышня сделать Олексию приятно - "а ну куда полезла, парольчик давай, ок, а теперь тащи телефон - второй фактор..."Помогите Олексию угадать количество барышень, которые не убегут от этого "эксперта по безопасности"
Гмм,а есть ли опенсорсные аппаратные ключи? Вроде бы в линейке STM32F есть криптоблок. 🤔
> Гмм,а есть ли опенсорсные аппаратные ключи? Вроде бы в линейке STM32F есть
> криптоблок. 🤔Крипто можно и в софте сделать. А в чем прикол слепо доверять какому-то блоку в чипе?
у них невскрываемость лучше. типа полез с паяльником - оно внутри себя всё стерло
> у них невскрываемость лучше. типа полез с паяльником - оно внутри себя
> всё стерлоВ смысле, можно это самое в STM без крипто блока, хоть и медленнее, конечно.
GNUK
Инфантилизм — самая большая нетехническая проблема в IT. Особенно сильно ощущается, когда начинаешь руководить людьми.
Я смотрю ты руководитель
Было дело, да. Но лет двенадцать как завязал с этим. В конце концов, если бы я хотел воспитывать чужих детей, я бы в детский сад открыл.
> Но лет двенадцать как завязал с этим.И хорошо, не твоё это. Ибо люди - не роботы
"компания Google выступила спонсором"
Какая неожиданность.
>К сожалению, токены могут быть отправлены только в Австрию, Бельгию, Канаду, Францию, Германию, Италию, Японию, Испанию, Швейцарию, Великобританию и США.— Ты пацак, ты пацак и он пацак. А я чатланин и они чатлане! Так что ты цак надень и в пепелаце сиди. Ясно?..
— Посмотри на меня в визатор, родной. Какая точка отвечает? Зеленая? Теперь на него посмотри. Тоже зеленая. И у тебя зеленая. На Уэфа посмотри, какая точка? Оранжевая? Это потому, что он чатланин, понимаешь?.. Плюк - чатланская планета, поэтому мы, пацаки, должны цаки носить.
— Дааа! И перед нами, чатланами, должны делать вот так! (трижды хлопает пальцами по щекам, после чего полуприседает, разводя руки в стороны и немного назад).
— Владимир Николаевич, это оголтелый расизм.