После новой волны фишинг-атак на сопровождающих, инцидентов с компрометацией популярных пакетов и появления червей, поражающих зависимости, в репозитории NPM решено реализовать дополнительные меры защиты:...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63930
[РКН]. Я только понял как удобно использовать TOTP... Это заговор. Всё то, что мне начинает нравится, скатывается... KDE, Gnome, Ubuntu, Jabber...
Джаббер-то где и чем скатился, пардон?
Ровно в тот момент, когда оказалось что Whatsapp не будет включать федерацию.
Ну это решение проприетарного Штоапа. При чём здесь Jabber вцелом? Виноват только тем, что Всосап тоже использовал XMPP ?
За 5 лет использования аппаратного FIDO токена убедился, что это примерно в 10 тысяч раз удобнее чем ввод кодов с телефона.
Вот это их хлопнуло по голове. Интересно, они понимают что большинство контрибьюторов на три буквы их отправит с этими пожеланиями?Нормальный TOTP в качестве MFA - это достаточно защищённо. Все вот эти вот мертворожденные высеры с FIDO - это для шизиков уровня бородача Столлмана, которые никуда никогда не поедут, и дико ограничат людей как в железе, так и в софте.
NPM, походу, решил себя закопать.
> Все вот эти вот мертворожденные высеры с FIDO - это для шизиков уровня бородача Столлмана, которые никуда никогда не поедут, и дико ограничат людей как в железе, так и в софте.Fido2 уже везде есть. Нет возможности использовать железный ключ - в браузерах есть passkeys.
TOTP намного менее удобно чем нажать на nitrokey стоящий в usb порту
Не всё в жизни - это браузер. По крайней мере, у меня.
> Не всё в жизни - это браузер. По крайней мере, у меня.Браузеры используют системное хранилище ключей по идее
Не уверен как это работает в софте, у меня уже лет 8 железный ключ есть, знаю лишь что софтверные u2f давно везде существуют
а чем это отличается от рандомного пасворда в текстовом файле? иллюзией изоляции и защищенности?
Файл можно незаметно украсть. Лаптоп — нет.
Лаптоп можно случайно полить кофе.. забыть в такси. причём вместе с сумкой где и резервный токен лежал..еще раз, если чел озаботился САМ безопасностью то резервный токен у него будет лежать отдельно, но он и на поддельное письмо скорее всего не клюнет, и TOTP не подарит... а если клюнет, то скорее всего и токен будет пролюблен при первой же возможности.
> Файл можно незаметно украсть. Лаптоп — нет.если у тебя появился доступ к лаптопу и его файлам на уровне - что хочу то ворочу, то ты сможешь встроиться в пайплан и тебе никакой 2FA не поможет
ну как можно надеяться на магический токен, если систему уже скомпрометирована? ну это же сюр
> ну как можно надеяться на магический токен, если систему уже скомпрометирована? ну это же сюрFIDO2 требует физического подтверждения присутствия, удачи что-то серьёзное провести автоматически и незаметно.
Можно робота сделать, который силиконовым муляжом пальца с фейковыми паппилярными узорами будет жать на токен с биометрией. Но эту проблему решат. Там в FIDO2 встроен механизм аттестации. Грубо говоря аттестацию можно свести к следующей максиме - "с несвоим (не произведённым своим альянсом, и тут не FIDO2 имеется в виду, а альянс производителя железа и хозяина платформы) железом и софтом дела не имеем". Поэтому отрубить вход не через Windows Hello - как нефиг делать, в стандарте эта возможность изначально заложена. Будешь как пользователь яблоустройств - не можешь целостное устройство нужной модели предъявить - значит вон на мусорный полигон пошёл, M$ не обязан благотворительностью заниматься, тебе хостинг бесплатно предоставляя, вот устройство купи, биометрию предъяви, тем самым сервис оплати - вот тогда добро пожаловать.
> Поэтому отрубить вход не
> через Windows Hello - как нефиг делать, в стандарте эта возможность
> изначально заложена.Если речь про аттестацию - то да, в стандарте действительно заложено, однако оно предназначено не для этого, и для такого юзкейса не поддерживается.
Это действительно существует чтобы заменить кастомные драйвера что сейчас используются для карточек для входа на госпорталы на fido2, и это действительно может быть использовано для вендорлока, но это всё же имеет пользу.
Кроме того, аттестация подтверждает лишь модель устройства, а не конкретное устройство, из-за чего это нельзя использовать в качестве web integrity/private access token/прочего drm.Сайты могут разрешить вход только через windows hello, но если вдруг windows hello получит возможность нарушать приватность (например будет передавать серийный номер устройства или чот ещё) - то аттестация для него будет отозвана глобально самими fido2, чего microsoft не захотят, ведь это нарушит работу намного большего числа сайтов.
https://fidoalliance.org/fido-technotes-the-truth-about-atte.../
>однако оно предназначено не для этогоНет абсолютно любая аттестация именно для этого и предназначена: приказать скоту какой надо девайс купить, а скоту придётся либо подчиниться, либо к бомжам на мусорный полигон проваливать.
>Сайты могут разрешить вход только через windows hello
Вот видите, вы же фактически полностью со мной согласны. Не вижу ни малейшего несогласия.
>но это всё же имеет пользу
Для Micro$oftа пользу, и для его союзников и коллаборационистов. Не для меня. Для меня и любых адекватных людей это - сплошной вред.
> Нет абсолютно любая аттестация именно для этого и предназначена: приказать скоту какой надо девайс купить, а скоту придётся либо подчиниться, либо к бомжам на мусорный полигон проваливать.Для этого не нужно ничего в FIDO2 добавлять, владельцы платформ при желании давно уже могли сделать лазейки для аттестации устройств от сайтов, это так нагло не делают потому что это противоречит антиминопольным законодательствам и GDPR. С FIDO2 смогут сделать, однако сдерживающая сила остаётся той же самой.
> Для Micro$oftа пользу, и для его союзников и коллаборационистов. Не для меня.
> Для меня и любых адекватных людей это - сплошной вред.Т.е лучше ставить непонятный кривой софт от госконтор чтобы можно было входить на госпорталы по CCID? ID карточки распространены по всей Европе, есть много где в Азии, и ещё во многих странах.
>Для этого не нужно ничего в FIDO2 добавлять, владельцы платформ при желании давно уже могли сделать лазейки для аттестации устройств от сайтовЧто значит "могли"? Делали. Стандартизировали не для этого. А чтобы всех на него завязать. Без стандартизаци это не взлетит. А вот со стандартизацией - это ещё поработать надо, чтобы взлетело, скот приучить, что носить ошейник надо, а создателей сайтов - что скот без ошейника надо гнать ради их (владельцев сайтов) нескольких сребренников. Пока у скота ошейников массово нет - сайты не внедрят. А чтобы у скота ошейники были - надо через свои рычаги их наличия требовать. Вот они реализуют этот план.
>Т.е лучше ставить непонятный кривой софт от госконтор чтобы можно было входить на госпорталы по CCID? ID карточки распространены по всей Европе, есть много где в Азии, и ещё во многих странах.
Вы этот софт всё равно ставить будете. Когда вам скажут would you kindly - вы ведь не откажете.
> Пока у скота ошейников массово нет - сайты не внедрят"Ошейники" в лице windows hello, play integrity api, и чего-то там у apple существуют уже много лет
Применять их пытались через web integrity api, который намного лучше для таких задач подходит (зачем по твоему вообще web integrity api делали, когда webauthn по твоему полностью для тех же задач подходит?)Это так не работает
> Вы этот софт всё равно ставить будете. Когда вам скажут would you kindly - вы ведь не откажете.
Раньше альтернативы не было, а сейчас есть, и её поддержку постепенно внедряют.
>зачем по твоему вообще web integrity api делали, когда webauthn по твоему полностью для тех же задач подходитЯ не говорил, что полностью подходит. WEI похоронили потому, что Apple - важный игрок4, и у неё есть свой аналог. С названием, от которого у скота паника не начинается.
> Я не говорил, что полностью подходит. WEI похоронили потому, что Apple -
> важный игрок4, и у неё есть свой аналог. С названием, от
> которого у скота паника не начинается.У эпла Private Access Tokens, при чём тут FIDO2?
А в процессорах - SGX, SEV и TrustZone. А у кого нет - те бомжи пусть на свалку проследуют, где им и место: в современном обществе нет места нежелательным элементам, саботирующим хозяйский надзор и контроль за своей собственностью, своим поголовьем. Не нравится в стойле - мусорный полигон с бомжами вон там.
> А в процессорах - SGX, SEV и TrustZone.Это к чему вообще? Что из этого есть в условном nitrokey/любой другой fido2 железке?
Стандарт читайте. В самодельных токенах нет, а вот в фабричных токенах официальных партнёров альянса, включая Google Titan, Windows Hello, Google SafetyNet, и устройствах от Apple всё есть. И послать тебя за использование не своего устройства - эта штатная фича стандарта. В будущем будет в дополнение к reCAPTCHA/hCAPTCHA (которые нифига не капчи) - хочешь на сайт? Докажи, что у тебя какое надо устройство. Не доказал? Ну значит ты нежелателен, потому что законопослушному гражданину не зачем использовать что-то из того, что хозяева не одобрили.
> хочешь на сайт? Докажи,
> что у тебя какое надо устройство. Не доказал? Ну значит ты
> нежелателен, потому что законопослушному гражданину не зачем использовать что-то из того,
> что хозяева не одобрили.FIDO2 конечно такое позволяет... Однако при желании компании могут и без webauthn аттестацию проводить, банально на устройстве поднять вебсокет и из JS к нему цепляться, а там уже гонять что надо для аттестации. FIDO2 тут ничего нового не приносит, и есть причины почему так не делают.
>Однако при желании компании могут и без webauthn аттестацию проводить, банально на устройстве поднять вебсокетМогут, но это нестандартизировано. А вот когда это стандартизировали - это уже не звоночек, а целый набат. Вы находитесь здесь.
> Интересно, они понимают что большинство контрибьюторов на три буквы их отправит с этими пожеланиями?Минусы будут? Если разработчик не может разобраться как токенами пользоваться, он и как разработчик может не особо-то и нужен. А ну как pow от xor не отличит или ещё какую-нибудь такую дичь выкинет?
Не проще ли просто не пользоваться ни nodejs, ни npm? Да и вообще джаваскриптом тож не пользоваться.
не пользуйся, кто тебе не дает?
Он и не пользуется. И у него никаких проблем в жизни нет типа описанных в соседних новостях. Вот он и спрашивает, для чего этим пользуются другие.
такое впечатление, что они спросили совета как жыть - у чатгопоты.(последний пункт еще мог бы иметь какой-то смысл, но все остальное - какой-то полный bullshit составленный по мотивам модных трендов без малейшей попытки понять причину и механизм последних взломов)
FIDO2 хорош тем, что ключ не будет выдан, если домен отличается. TOTP от такого типа атак не защищает.
и тут ваш fido2 девайс внезапно сдох и...... (да, я понимаю что у Вас лично их 5 шт запасных настроено, но у среднего обывателя он был ровно один.)а если там есть рекавери вариант входа, для получения нового секрета для нового токена (а он есть), то "мы просто свели задачу к предыдущей".
> и тут ваш fido2 девайс внезапно сдох и...... (да, я понимаю что
> у Вас лично их 5 шт запасных настроено, но у
> среднего обывателя он был ровно один.)Большинство сайтов требуют регистрировать минимум 2 ключа, и что android, что macos, что windows из коробки имеют системную реализацию на базе tpm. В Linux тоже можешь поставить. Либо просто купить 2 железных ключа, они стоят мало, а большинство имеют у себя на борту opengpg, через который ты сможешь и письма подписывать, и по ssh авторизоваться куда угодно, и вообще что угодно делать.
Ну и не говоря о том что железные ключи практически бессмертные.
>Ну и не говоря о том что железные ключи практически бессмертные.Да что тут ключи, вы ведь и сами до 150 лет дожить небось надеялись, а там и бессмертия достичь...
> а если там есть рекавери вариант входа, для получения нового секрета для нового токена (а он есть), то "мы просто свели задачу к предыдущей".Ну и обычно с fido2 у тебя либо скачивается код восстановления, либо только через саппорт
Не думаю что кто-то это иначе реализует.
Да да, 2 недели назад дядю как раз отправляли фейковым письмом не восстановление 2ФА кодов... ну отправят на восстановление FIDO2... и получат код сами.
> ну отправят на восстановление FIDO2... и получат код сами.Потому что человек привыкает к подобным действиям и выполняет их машинально, не думая, и это проблема всех подобных схем основанных на людях.
Код восстановления же никто на постоянке не использует (= у человека больше времени на подумать не делает ли он чот не то), а FIDO2 от подобного MITM защищён (= машинально применять можно).
А TOTP чем-то им не угодил?
Тем что все его ставят аддоном в браузер и хранят рядом с паролем.
Злоумышленники создают фейк сайты где запрешивают оба фактора. От такого totp не спасает
А что из предложенного спасёт ?
Правильно настроенный парольный менеджер. Он пароль не отдаст фейковому сайту и не покажет коллеге за спиной. И никакой 2FA не нужен. Только тссс!
Но это на стороне клиента делается, а не на стороне сервера.. если клиент очень хочет подарить свой доступ третьим лицам, он это сделает несмотря на препоны..
ну и
>Переход на гранулированные токены, время жизни которых ограничено 7 днями.
>Классические токены будут объявлены устаревшими и доступ с их помощью будет
> по умолчанию отключён.тут все это автоматические автоматизации по выкату версий через гит пуш, билт, тест, коммут в npm, идут лесом.. раз в 7 дней перевыпускать руками токен можно первые пару месяцев, потом это задолбает даже самых упёртых.
ну и таки если ты постоянно чтото разрабатываешь, то токен актуальный ты таки положишь, и тогда в приведённой несколько дней назад схеме ничего не поменяется, червю глубоко нас рать на то, временный он спёр токен или постоянный, что бы запушить "одно небольшое дополнение к безусловно хорошему пакету".
> тут все это автоматические автоматизации по выкату версий через гит пуш, билт,
> тест, коммут в npm, идут лесом.. раз в 7 дней перевыпускать
> руками токен можно первые пару месяцев, потом это задолбает даже самых
> упёртых.Для CI предлагается OIDC (последний пункт), без постоянных токенов.
И как оно поможет не получить секрет в момент штатной сборки (и, напомню, тут же его и применить для своих не шибко чистых целей, будь он хоть 5 минутной жизни)?тут как бы или мы держим токен в секрете, и тогда не очень важно, 10 минутный он или годовой.. или мы его пролюбливаем на сторону и он сражу зе и пременятся "по назначению".
Это смахивает на проверку на рамках с выворачиванием карманов на входе на концерты и в театры.. 20 лет выворачивали чтобы злые дяди не прошли... задолбали своими проверками и задержками начала концертов и спектаклей всех и зрителей и артистов. но как только дяди захотели войти, то случилось так, что как раз от них то рамки не помогают ни разу.
> И как оно поможет не получить секрет в момент штатной сборки (и,
> напомню, тут же его и применить для своих не шибко
> чистых целей, будь он хоть 5 минутной жизни)?Он за пределы CI не выходит
Атаки на CI конечно существуют, спасибо кривизне гитхаб экшонов, но всё же более редкие чем атака лично на разработчиков.
> задолбали своими проверками и задержками начала концертов и спектаклей всех и зрителей и артистов
Объективно fido2 ключ удобнее и безопаснее чем TOTP, при правильной реализации его невозможно украсть (через софт, физически конечно можно, но это не тот сценарий атаки)/обмануть через MITM/ещё как-то
Так буча и пошла именно с такой атаки. изнутри, при СИ скачивался заражённый модуль, тырил ключ (который при правильной организации процесса не должен был быть доступе для сборки, но был) и по нему коммитил свои грязные дела в репу.тут мы меняем токен системы А на токен системы Б и всё. больше ничего не меняется. если мы могли угнать старый, то и сможем еще раз и новый. мы это токен даже никуда не отправляем, а коммитим прямо отсюда же. меняйте хоть 2 разА на дню. трояну не мешает.
> тут мы меняем токен системы А на токен системы Б и всё.
> больше ничего не меняется. если мы могли угнать старый, то
> и сможем еще раз и новый. мы это токен даже никуда
> не отправляем, а коммитим прямо отсюда же. меняйте хоть 2 разА
> на дню. трояну не мешает.Раньше был постоянный токен которым пользователь сам руками распоряжался и мог по тупости его потерять, буквально из буфера обмена вставить не на том сайте/сохранить прямо в репу/чот ещё. С OIDC ты будешь авторизовать условный гитхаб на публикацию пакетов от твоего имени, и ответственным за получение одноразовых токенов будет уже гитхаб.
Более того, все будут знать что это за токен, и откуда он пришёл, в случае утечки будет сразу понятно кто обосрался, в отличии от токенов, управление которыми доверяют прямо юзеру.
> Он пароль не отдаст фейковому сайту и не покажет коллеге за спиной.Сайты изменяются, и парольные менеджеры перестают определять формы входа порой. А на некоторых сайтах автозаполнение просто не работает.
Поэтому у людей всё равно есть привычка механически копировать и вставлять данные, и в итоге они не защищены.
Мой менеджер паролей (битварден) даже если не смог угадать форму, показывает только креды от сайта, на котором я нахожусь.
Если мне надо куда-то зайти,а менеджер не показывает логины и их надо искать - это небольшой такой колокол, что происходит какая-то стрёмная хрень.
> А что из предложенного спасёт ?Fido2. Нормальная криптография вместо паролей, и проверка кто на самом деле ключ запрашивает идёт в железке, его нельзя так просто перехватить.
Тем, что нет TEE-аттестации и биометрии.
Пора бы уже "галочки" подтверждённых адресантов и адресатов делать.ООО Mozilla и условный "анонимный" Вася, аппрувнутый через GNU.ORG
p.s.: о Васе знает только ООО GNU.ORG (сразу вайпает данные, после проверки на валидность). А Мозилла верит GNU и держателю Васеного "идентификатора".
Опять дети WoT изобретают. Ты бы ещё key signing party предложил провести.
Не, время эту лапшу на уши вешать давно прошло. Сейчас время "ультраправых" политиков: нам не будут лапшу науши вешать про "вот он ГНУ, но ничего никуда никому не сольёт", вместо этого будут через колено ломать: заходить будете через госуслуги, а кто не хочет через госуслуги заходить - тот вообще никак заходить не будет.
Шиза крепчала. Не нужно. Не взлетит. Красная полоска тоже не нужна. Хватит. Достаточно.
>Использование одноразовых паролей (TOTP) для двухфакторной аутентификации будет объявлено устаревшимКогда Micro$oft навязывал "2FA" на GitHubе, я предупреждал - это всё ради навязывания биометрического FIDO2 с аттестацией, включая TEE-аттестацию Windows Hello. Dсякие клоуны на опеннете троллили "но ведь TOTP не имеет никакой аттестации". Вот вам ваш TOTP. Что ваш хозяин прикажет - тем вас юзать и будут.