После новой волны фишинг-атак на сопровождающих, инцидентов с компрометацией популярных пакетов и появления червей, поражающих зависимости, в репозитории NPM решено реализовать дополнительные меры защиты:...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63930
[РКН]. Я только понял как удобно использовать TOTP... Это заговор. Всё то, что мне начинает нравится, скатывается... KDE, Gnome, Ubuntu, Jabber...
Джаббер-то где и чем скатился, пардон?
Ровно в тот момент, когда оказалось что Whatsapp не будет включать федерацию.
Ну это решение проприетарного Штоапа. При чём здесь Jabber вцелом? Виноват только тем, что Всосап тоже использовал XMPP ?
А больше публичных сетей такого размера и не существует. Вацап — единственный пример, когда джаббер взлетел.
https://xmpp.org/uses/instant-messaging/#projects-using-xmpp...
https://xmpp.org/uses/gaming/#online-games-using-xmpp
https://xmpp.org/uses/social/#projects-using-xmpp-social
https://xmpp.org/uses/webrtc/#projects-using-webrtc-with-xmpp
https://xmpp.org/uses/internet-of-things/#realized-example-p...Ещё, почему-то, не увидел там Одноклассники - в скором, единственную соцсеть доступную в РФ.
По первой же ссылке, тройка лидеров с проприетарными версиями и расширениямт, без федерации. Всё ещё жду чудо-истории про федеративный джаббер с сотнями миллионов клиентов
Как протокол ответственнен за решение коммерческого сервиса, который его заюзал, предварительно изменив до неузнаваемости? Риторический вопрос, конечно же, омномниму с опеннета виднее.
А что, есть какие-то другие истоии про головокружительный успех джаббера? Про то, как ты и ещё 3,5 анонима полняли себе jabbed на впс за доллар не интересны.
За 5 лет использования аппаратного FIDO токена убедился, что это примерно в 10 тысяч раз удобнее чем ввод кодов с телефона.
Небось для тебя и биометрией платить удобно, да?
У меня нет оплаты билметрией. Но оцениваю это как вторжение туда куда не нужно.Как это связано с аппаратными токенами? Токен можно собрать, хоть на Ардуино с аппаратным USB. Можно купить секьюрный от юби или гугл титан. Можно чуть менее секьюрный, но опенсурсный и прошиваемый от SoloKeys/Nitrokey.
Я делал для базы паролей KepassXC со вторым фактором с помощью обычной флешки, не заморачиваясь с YubiKey
> Я делал для базы паролей KepassXC со вторым фактором с помощью обычной
> флешки, не заморачиваясь с YubiKeyА можете поделтиться вашим примером, каким образом вы это реализовывали и если это где-то есть в отрытом виде, то поделитесь пожалуйста ссылочкой?!
Вся твоя биометрия давно и везде есть. Почему ты в интернете?
Я вот оглядываюсь по сторонам, и понимаю что в случае если я этот аппаратный токен потеряю - у меня будет невероятная головная боль.2FAS Auth какой нить хотя бы бэкапится в google drive, а тут как?
> Я вот оглядываюсь по сторонам, и понимаю что в случае если я этот аппаратный токен потеряю - у меня будет невероятная головная боль.Очень правильно понимаете !
> 2FAS Auth какой нить хотя бы бэкапится в google drive, а тут как?
Как правило, все кто предосталяют возможность юзать аппаратные ключи, всегда перед его добавлением в акаунт, выдают бэкап код(ы) - как раз для таких случаев
Ну аппаратный токен - это всё таки отдельная железка, что уже избавляет от программных уязвимостей.
> Всё то, что мне начинает нравится, скатывается... KDE, Gnome, Ubuntu, Jabber...Начали за здравие... Ничто не вечно.
Вот это их хлопнуло по голове. Интересно, они понимают что большинство контрибьюторов на три буквы их отправит с этими пожеланиями?Нормальный TOTP в качестве MFA - это достаточно защищённо. Все вот эти вот мертворожденные высеры с FIDO - это для шизиков уровня бородача Столлмана, которые никуда никогда не поедут, и дико ограничат людей как в железе, так и в софте.
NPM, походу, решил себя закопать.
> Все вот эти вот мертворожденные высеры с FIDO - это для шизиков уровня бородача Столлмана, которые никуда никогда не поедут, и дико ограничат людей как в железе, так и в софте.Fido2 уже везде есть. Нет возможности использовать железный ключ - в браузерах есть passkeys.
TOTP намного менее удобно чем нажать на nitrokey стоящий в usb порту
Не всё в жизни - это браузер. По крайней мере, у меня.
> Не всё в жизни - это браузер. По крайней мере, у меня.Браузеры используют системное хранилище ключей по идее
Не уверен как это работает в софте, у меня уже лет 8 железный ключ есть, знаю лишь что софтверные u2f давно везде существуют
а чем это отличается от рандомного пасворда в текстовом файле? иллюзией изоляции и защищенности?
Файл можно незаметно украсть. Лаптоп — нет.
Лаптоп можно случайно полить кофе.. забыть в такси. причём вместе с сумкой где и резервный токен лежал..еще раз, если чел озаботился САМ безопасностью то резервный токен у него будет лежать отдельно, но он и на поддельное письмо скорее всего не клюнет, и TOTP не подарит... а если клюнет, то скорее всего и токен будет пролюблен при первой же возможности.
> Лаптоп можно случайно полить кофе.. забыть в такси. причём вместе с сумкой
> где и резервный токен лежал..И вот тут ты поговоришь с AI на тему восстановления твоего аккаунта. В смысле, удачи! :)
> еще раз, если чел озаботился САМ безопасностью то резервный токен у него
> будет лежать отдельно, но он и на поддельное письмо скорее всего
> не клюнет, и TOTP не подарит... а если клюнет, то скорее
> всего и токен будет пролюблен при первой же возможности.Дилемма: как решить человеческую проблему "разработчик - долбоящер" техническими методами?
Spoiler: эта проблема не имеет решения. Но очень хочется - долбоящеры ж дешевле!
> Файл можно незаметно украсть. Лаптоп — нет.если у тебя появился доступ к лаптопу и его файлам на уровне - что хочу то ворочу, то ты сможешь встроиться в пайплан и тебе никакой 2FA не поможет
ну как можно надеяться на магический токен, если систему уже скомпрометирована? ну это же сюр
> ну как можно надеяться на магический токен, если систему уже скомпрометирована? ну это же сюрFIDO2 требует физического подтверждения присутствия, удачи что-то серьёзное провести автоматически и незаметно.
Можно робота сделать, который силиконовым муляжом пальца с фейковыми паппилярными узорами будет жать на токен с биометрией. Но эту проблему решат. Там в FIDO2 встроен механизм аттестации. Грубо говоря аттестацию можно свести к следующей максиме - "с несвоим (не произведённым своим альянсом, и тут не FIDO2 имеется в виду, а альянс производителя железа и хозяина платформы) железом и софтом дела не имеем". Поэтому отрубить вход не через Windows Hello - как нефиг делать, в стандарте эта возможность изначально заложена. Будешь как пользователь яблоустройств - не можешь целостное устройство нужной модели предъявить - значит вон на мусорный полигон пошёл, M$ не обязан благотворительностью заниматься, тебе хостинг бесплатно предоставляя, вот устройство купи, биометрию предъяви, тем самым сервис оплати - вот тогда добро пожаловать.
> Поэтому отрубить вход не
> через Windows Hello - как нефиг делать, в стандарте эта возможность
> изначально заложена.Если речь про аттестацию - то да, в стандарте действительно заложено, однако оно предназначено не для этого, и для такого юзкейса не поддерживается.
Это действительно существует чтобы заменить кастомные драйвера что сейчас используются для карточек для входа на госпорталы на fido2, и это действительно может быть использовано для вендорлока, но это всё же имеет пользу.
Кроме того, аттестация подтверждает лишь модель устройства, а не конкретное устройство, из-за чего это нельзя использовать в качестве web integrity/private access token/прочего drm.Сайты могут разрешить вход только через windows hello, но если вдруг windows hello получит возможность нарушать приватность (например будет передавать серийный номер устройства или чот ещё) - то аттестация для него будет отозвана глобально самими fido2, чего microsoft не захотят, ведь это нарушит работу намного большего числа сайтов.
https://fidoalliance.org/fido-technotes-the-truth-about-atte.../
>однако оно предназначено не для этогоНет абсолютно любая аттестация именно для этого и предназначена: приказать скоту какой надо девайс купить, а скоту придётся либо подчиниться, либо к бомжам на мусорный полигон проваливать.
>Сайты могут разрешить вход только через windows hello
Вот видите, вы же фактически полностью со мной согласны. Не вижу ни малейшего несогласия.
>но это всё же имеет пользу
Для Micro$oftа пользу, и для его союзников и коллаборационистов. Не для меня. Для меня и любых адекватных людей это - сплошной вред.
> Нет абсолютно любая аттестация именно для этого и предназначена: приказать скоту какой надо девайс купить, а скоту придётся либо подчиниться, либо к бомжам на мусорный полигон проваливать.Для этого не нужно ничего в FIDO2 добавлять, владельцы платформ при желании давно уже могли сделать лазейки для аттестации устройств от сайтов, это так нагло не делают потому что это противоречит антиминопольным законодательствам и GDPR. С FIDO2 смогут сделать, однако сдерживающая сила остаётся той же самой.
> Для Micro$oftа пользу, и для его союзников и коллаборационистов. Не для меня.
> Для меня и любых адекватных людей это - сплошной вред.Т.е лучше ставить непонятный кривой софт от госконтор чтобы можно было входить на госпорталы по CCID? ID карточки распространены по всей Европе, есть много где в Азии, и ещё во многих странах.
>Для этого не нужно ничего в FIDO2 добавлять, владельцы платформ при желании давно уже могли сделать лазейки для аттестации устройств от сайтовЧто значит "могли"? Делали. Стандартизировали не для этого. А чтобы всех на него завязать. Без стандартизаци это не взлетит. А вот со стандартизацией - это ещё поработать надо, чтобы взлетело, скот приучить, что носить ошейник надо, а создателей сайтов - что скот без ошейника надо гнать ради их (владельцев сайтов) нескольких сребренников. Пока у скота ошейников массово нет - сайты не внедрят. А чтобы у скота ошейники были - надо через свои рычаги их наличия требовать. Вот они реализуют этот план.
>Т.е лучше ставить непонятный кривой софт от госконтор чтобы можно было входить на госпорталы по CCID? ID карточки распространены по всей Европе, есть много где в Азии, и ещё во многих странах.
Вы этот софт всё равно ставить будете. Когда вам скажут would you kindly - вы ведь не откажете.
> Пока у скота ошейников массово нет - сайты не внедрят"Ошейники" в лице windows hello, play integrity api, и чего-то там у apple существуют уже много лет
Применять их пытались через web integrity api, который намного лучше для таких задач подходит (зачем по твоему вообще web integrity api делали, когда webauthn по твоему полностью для тех же задач подходит?)Это так не работает
> Вы этот софт всё равно ставить будете. Когда вам скажут would you kindly - вы ведь не откажете.
Раньше альтернативы не было, а сейчас есть, и её поддержку постепенно внедряют.
>зачем по твоему вообще web integrity api делали, когда webauthn по твоему полностью для тех же задач подходитЯ не говорил, что полностью подходит. WEI похоронили потому, что Apple - важный игрок4, и у неё есть свой аналог. С названием, от которого у скота паника не начинается.
> Я не говорил, что полностью подходит. WEI похоронили потому, что Apple -
> важный игрок4, и у неё есть свой аналог. С названием, от
> которого у скота паника не начинается.У эпла Private Access Tokens, при чём тут FIDO2?
Так это ты притянул WEI. Общего у трёх технологий только то, что во всех них есть аттестация, причём в PAT она необязательно аппаратная, это уже детали как вендор реализует, общее одно - это все технологии для того, чтобы скоту навязывать конкретных вендоров и их говно.
>> ну как можно надеяться на магический токен, если систему уже скомпрометирована? ну это же сюр
> FIDO2 требует физического подтверждения присутствия, удачи что-то серьёзное провести
> автоматически и незаметно.а кто мне мешает от твоего имени действовать после того как ты аутенфицировался? перехватив сетевой трафик например? вот возьму и покажу тебе в банковском приложении, что платеж от Васи Баранова пополнил твой баланс на 1 млн долларов, и ты можешь "закрывать" сделку )))
а кто мне мешает показать тебе фейковый экран чего-нибудь с логином и заставить тебя нажать эту кнопку для входа?
в общем "ну как можно надеяться на магический токен, если систему уже скомпрометирована?"
Украсть файл намного проще чем активно атаку проводитьФайл можно украсть полностью автоматически, а чтобы чот в банковском приложении показать - надо знать какой у юзера банк, какой браузер, и после этого слепить расширение которое будет направление перевода переделывать
Опять же, разные классы атак, ты говоришь про таргетированную атаку, а не про автоматические скрипты которых 99%
> Украсть файл намного прощеОтвечу твоими словами: надо знать какой дом у юзера, какая папка хранит файл, и после этого залезть в дом, выкрасть планшет, взломать логин, найти файл, прочитать пароль. Или ты думаешь, планшет с паролями открыто в инете сидит?
Ну, если ты рандомный файл с паролем в TPM держишь и автоматически подставляешь его по факту соответствия URL'у - то не то, чтобы "ничем" - но все равно отличается.
U2F и прочие passkeys криптографию с открытым ключом и защитой от replay атак используют, чего с der parol вводимый хрен пойми куда - добиться затруднительно.
> Интересно, они понимают что большинство контрибьюторов на три буквы их отправит с этими пожеланиями?Минусы будут? Если разработчик не может разобраться как токенами пользоваться, он и как разработчик может не особо-то и нужен. А ну как pow от xor не отличит или ещё какую-нибудь такую дичь выкинет?
>Вот это их хлопнуло по голове. Интересно, они понимают что большинство контрибьюторов на три буквы их отправит с этими пожеланиями?В целом согласен, просто им следовало сделать условие что каждый публикуемый файл должен иметь цифровую подпись которая находится либо внутри него, либо если формат не позволяет то во внешнем файле и без этого файл к публикации не принимается.
Ну а пароли хоть 12345678 делайте.
> В целом согласен, просто им следовало сделать условие что каждый публикуемый файл
> должен иметь цифровую подпись которая находится либо внутри него, либо если
> формат не позволяет то во внешнем файле и без этого файл
> к публикации не принимается.Просто потребовать подписывать пакет *уже* *известным* ключом дева для заливки новой версии? Блин, это слишком просто и логично для адептов ноджыэса, и слишком надежно.
И как тогда уважаемымые партнеры будут распродажи хардварных ключей фигачить? А если почитать описалово U2F - довольно мутноватый протокол с мутноватыми решениями. И атаки известны. В том числе и на столь продвигаемый тут гугл титан.
Ээээ... с чего бы? У большинства из них нормальная реализация webauthn\passkeys будет "из коробки" и совершенно забесплатно с хранением ключей в недрах TPM, у кого-то еще и аппаратный ключик в хозяйстве найдется.
А 2,5-4% нуээээ... Те, у кого не hello, world - думаю, тоже справятся, а "комментаторов opennet" и не жалко.
> Ээээ... с чего бы? У большинства из них нормальная реализация webauthn\passkeys будет
> "из коробки" и совершенно забесплатно с хранением ключей в недрах TPM,...а потом, когда сдохнет мамка, или на ноут прольют кофе, или что там за фигня - наступит внезапный УХТЫБЛИН. Достаточно интересный, судя по описанию - ибо recovery на этот случай штатно средствами этой штуки не регламентирован, и каждый будет др@#$ть вприсядку как умеет. Или прсото никак. Скажут - вы более не девелопер вашего пакета. Клюйте. Оспорить можно в спортлото. И пойдете - клевать.
Ээээ... Ну я несколько более лудшего мнения о среднем разработчике и предполагаю, что он способен прочитать чёрные и такие разные! буквы и таки распечатает или сохранит recovery codes В password manager's, после чего НЕштатная ситуация решится вполне себе штатными средствами...
Но судя по бегающему тут ъ-энтерпрайз-форчун500 анониму, продолбавшему сохраненный в браузере пароль и ниасилившему гитхабовскую капчу - возможны, конечно, варианты. Opensource какиры - они таки, суровыя.
> распечатает или сохранит recovery codes В password manager's, после чего НЕштатная
> ситуация решится вполне себе штатными средствами......в виде атакующего с фэйк сайтом, показывающим - login failed, recover? Введите код recovery! Спасибо! Успех! Мы вас - лоханули! Goto 1 :D
КМК этот майкрософтовский кластерфак будет работать примерно так. Глядя на все это их 2FA на гитхабе. Т.е. делает мозг оно всем - кроме собственно атакующим. Которые атаку проводят не так как это задумали всякие, типа вас.
> Но судя по бегающему тут ъ-энтерпрайз-форчун500 анониму, продолбавшему
> сохраненный в браузере пароль и ниасилившему гитхабовскую капчу - возможны,
> конечно, варианты. Opensource какиры - они таки, суровыя.Ну дык, жр@ать гамно с лопаты просто потому что это делаете вы - не в моих правилах. Так себе это и запишите. И майкрософт - если описывать мое отношение к ним вкратце: они меня за...ли! И лучшее что с ними может случиться - я их развижу. Навсегда.
>> распечатает или сохранит recovery codes В password manager's, после чего НЕштатная
>> ситуация решится вполне себе штатными средствами...
> ...в виде атакующего с фэйк сайтом, показывающим - login failed, recover? Введите
> код recovery! Спасибо! Успех! Мы вас - лоханули! Goto 1 :DНе, ну я понимаю, что у Ъ из fortune 500 принято, если сервер вдруг "почему-то" перестал пускать по ключу - вводить пароль, пароль, еще раз пароль - пароль от root'а и вот на всякий случай еще Qwerty123@ от почты - но не все ж НАСТОЛЬКО серьезные пацаны?
Большинство предполагает, что что-то нездоровое в таком поведении есть - опять же, пока бумажка ищешь - время подумать появляется.>> Но судя по бегающему тут ъ-энтерпрайз-форчун500 анониму, продолбавшему
>> сохраненный в браузере пароль и ниасилившему гитхабовскую капчу - возможны,
>> конечно, варианты. Opensource какиры - они таки, суровыя.
> Ну дык, жр@ать гамно с лопаты просто потому что это делаете вы
> - не в моих правилах. Так себе это и запишите. И
> майкрософт - если описывать мое отношение к ним вкратце: они меня
> за...ли! И лучшее что с ними может случиться - я их
> развижу. Навсегда.Ну, т.е. продолбал пароль - аноним, а виноват - microsoft? У меня так ребенок в свое время - бежит, по сторонам не смотрит - бах! Упала. Кто виноват? Ка-ааа-амень! К концу садика примерно прошло, ага.
>Вот это их хлопнуло по голове.Дайте им мозгов уже. И настучите по голове, чтоб извилины появились, наконец...
> NPM, походу, решил себя закопать.Это ж майкрософт, сэр. Угробили виндофон, угробили скайп - и ноджыэс угробят ничуть не хуже. Потому что могут.
Не проще ли просто не пользоваться ни nodejs, ни npm? Да и вообще джаваскриптом тож не пользоваться.
не пользуйся, кто тебе не дает?
Он и не пользуется. И у него никаких проблем в жизни нет типа описанных в соседних новостях. Вот он и спрашивает, для чего этим пользуются другие.
> Он и не пользуется.угу, в лесу ж живет. И из сайтов только опеннет. Через lynx (и то плюсик без шкриптов не нажмется)
> И у него никаких проблем в жизни нетеще б эти пещерные жители еще и не пользовались достижениями цивилизации через других людей (от записи к врачу до покупки бухла) - просто лежали б себе в лесу в колоде, ждали смерти - то и вреда б от них не было почти никакого.
> типа описанных в соседних новостях. Вот он и спрашивает, для чего
> этим пользуются другие.для чего вообще компьютером пользоваться? Для выдалбливания себе помиральной колоды он совершенно не подходит.
> для чего вообще компьютером пользоваться? Для выдалбливания себе помиральной колоды он
> совершенно не подходит.А ты что с NodJS и софтом на нем вообще делаешь? Хотя я знаю что - про таких говорят что мол, везде грязь найдет. Хотя ты даже и покруче грязи найдешь. И еще расскажешь как в это запрыгнуть правильно, с разбега, чтоб во все стороны и с брызгами. И когда все наконец в крапинку и воняет - во, это тебе по вкусу.
Но можешь уже закупать себе токен и прокачивать скилл целования ботинок майкрософта. Правда а у тебя есть хоть 1 комит в их пакеты? Или ты чисто из рабской солидарности ботинки лобызать хозяину лезешь, чтоб тем не так обидно было?
Я бы тоже не пользовался, но все приложения на электроне, сейчас.
чего это вдруг - фсе?Вот у меня уже второе реально нужное наклевывается на голой ноде.
(у первого мордой настоящий браузер на машине юзера, а не этовашеелехтрон, а тут вообще консольное)И да, curl sudo su в качестве инструкции по установке. Как жы ещо!
> Вот у меня уже второе реально нужное наклевывается на голой ноде.Вот это очень интересно услышать названия этих годных от самого пох-а
https://docs.anthropic.com/en/docs/claude-code/quickstart- например
> https://docs.anthropic.com/en/docs/claude-code/quickstart
> - например+1
Я б еще Joplin добавил, МешЦентрал, Кодиум...
такое впечатление, что они спросили совета как жыть - у чатгопоты.(последний пункт еще мог бы иметь какой-то смысл, но все остальное - какой-то полный bullshit составленный по мотивам модных трендов без малейшей попытки понять причину и механизм последних взломов)
> Ну и не говоря о том что железные ключи практически бессмертные.Вероятно они так и сделали. Напоминаю! Мы про npm. Это яваскриптеры, Карл! Так что это - "highly likely"!
FIDO2 хорош тем, что ключ не будет выдан, если домен отличается. TOTP от такого типа атак не защищает.
и тут ваш fido2 девайс внезапно сдох и...... (да, я понимаю что у Вас лично их 5 шт запасных настроено, но у среднего обывателя он был ровно один.)а если там есть рекавери вариант входа, для получения нового секрета для нового токена (а он есть), то "мы просто свели задачу к предыдущей".
> и тут ваш fido2 девайс внезапно сдох и...... (да, я понимаю что
> у Вас лично их 5 шт запасных настроено, но у
> среднего обывателя он был ровно один.)Большинство сайтов требуют регистрировать минимум 2 ключа, и что android, что macos, что windows из коробки имеют системную реализацию на базе tpm. В Linux тоже можешь поставить. Либо просто купить 2 железных ключа, они стоят мало, а большинство имеют у себя на борту opengpg, через который ты сможешь и письма подписывать, и по ssh авторизоваться куда угодно, и вообще что угодно делать.
Ну и не говоря о том что железные ключи практически бессмертные.
>Ну и не говоря о том что железные ключи практически бессмертные.Да что тут ключи, вы ведь и сами до 150 лет дожить небось надеялись, а там и бессмертия достичь...
> Ну и не говоря о том что железные ключи практически бессмертные.А о том что делать если они все же сдохли или про@#$лись мы подумаем - потом. Хотя для начала - про@#$тся девелоперы. Ибо задолбаются канкан танцевать за право поработать бесплатно на корпорацию майкрософт. Это и так то - не бог весть какая привилегия.
SSH/GPG используешь? Железные токены имеет смысл брать как минимум ради него, просто потому что это удобно и безопасноНикто не заставлял до этого людей использовать железки, много разработчиков к ним успели привыкнуть задолго до того как npm решил их потребовать.
> просто потому что это удобно и безопаснодык ничего с точки зрения безопасТности то и не изменилось, достаточно подменить known_hosts и вы сто лет знать не будете куда подключаетесь.
> дык ничего с точки зрения безопасТности то и не изменилось, достаточно подменить
> known_hosts и вы сто лет знать не будете куда подключаетесь.1) Если мне кто-то может подменить known_hosts, он, очевидно может подменить мне и мои сорцы, и мой ввод с клавиатуры. И в целом - остальные в этом случае должны просто прекратить весь прием новых версий от меня вообще, до выяснения. Иначе - получат какой-то треш.
2) А в чем прикол то - дать мне поменеджить хацкерский хост? Может, просто дали бы мне бесплатный ssh? Я и без таких сложностей там порулю, каких-нибудь прикольных сервисов для себя настрою, конечно не особо доверямых - но как-то полезных мне.
> он, очевидно может подменить мне и мои сорцы, и мой ввод с клавиатуры.для перехвата ввода с клавиатуры необходимо исполнять код в системе, а это палевнее, чем подменить айпишник сервера к которому подключаетесь.
> А в чем прикол то - дать мне поменеджить хацкерский хост?
Человек по середине - не "поменеджить хацкерский хост", он проксирует на реальный хост.
пс: Используете вы железный ключ или нет, юзаете только пароли или нет - не меняет кардинально ничего в архитектуре безопасности ссх. Хост к которому вы подключаетесь необходимо верифицировать, а для этого в ссх ничего не сделали, кроме сохранения при первом подключении в обычный файлик фингерпринта от удаленного сервера, никакой при этом верификации и заверения (подписыванием к стати тем самым железным ключом) этого файла нет, я уже промолчу про заверения даже бинарных файлов ссх при каждом запуске (этого нет в системе даже), а так бы железным ключом все эти проверки можно было сделать.
> для перехвата ввода с клавиатуры необходимо исполнять код в системе, а это
> палевнее, чем подменить айпишник сервера к которому подключаетесь.А для подмены айпишника - код запускать не нужно? Да и к чему такие сложности, если цель червяк - пропатчить сорец эффективнее того изврата. Я его потом сам залью куда надо, если буду долбоящером и прохлопаю подарок.
Более того. Это мог быть и хостнейм. И конект - вколочен не в known_hosts, оно не в курсе что айпищник или хост надо другой ыидите ли юзать. А атакующий врядли в курсе что и где, автоматическая атака почти наверняка сольется, да и мануально атакующий будет долго на ноль делить. Так что скорее всего ssh или ничего не сделает или взвоет что fingerprint хоста неизвестный, если легитимная запись испорчена. Первое нормальный конект. Второе немедленно тиггернет расследование, и я малость умею в форенсик.
>> А в чем прикол то - дать мне поменеджить хацкерский хост?
> Человек по середине - не "поменеджить хацкерский хост", он проксирует на реальный хост.Ну для начала вот именно посередине влезть даже в случае хомы то - довольно канительно. А в именно моем случае - не, это не сработает. На самом деле - ЭТОТ сценарий обломится по примерно дюжине причин. Насколько мне нужны 3rd party "благодетели" для защиты меня от чего либо - вы наверное догадались уже.
> пс: Используете вы железный ключ или нет, юзаете только пароли или нет
> - не меняет кардинально ничего в архитектуре безопасности ссх. Хост к
> которому вы подключаетесь необходимо верифицировать, а для этого в ссх ничего
> не сделали, кроме сохранения при первом подключении в обычный файлик фингерпринта
> от удаленного сервера,Это уже довольно неплохо. Ибо если вы думаете что сможете убедить меня сконектиться ssh к левому айпи _и_ пройти проверку фингеопринта, я думаю что вероятность этого - в районе плинтуса.
> никакой при этом верификации и заверения (подписыванием к
> стати тем самым железным ключом) этого файла нет,И хрен с ними с вашими железными ключами. И протоколами долбанутыми на вебе заодно. Ибо если кто мне патчит такой файлик - он для начала сорц мог запатчить два раза. Потом это само вообще будет залито - если я прошляплю подарок. Правда, у меня есть привычка проверять что, кому и почему я заливаю и вот тут - скорее всего будет запалено. Да и есть такая штука - ревью. Я активно пинаю ALL чтобы они не верили моему коду на слово и ЧИТАЛИ что я налил. Потому что - доверяй, но проверяй.
> я уже промолчу про заверения даже бинарных файлов ссх при каждом запуске (этого нет
> в системе даже),Видите ли, до того как читать лекцию надо убедиться где профессор, а где студент. Иначе некузяво получится. Ну так вот, для "эксперта" сообщаю:
1) Я сам немного "хакаю" свой ssh превентивно. По своим причинам. Как side effect это скорее всего обломает немало атак, ибо поляна уже занята, вот прямо мной. Это будет работать не так как атакующий себе представлял.
2) Кстати, FYI, все это - не меняет код файла ssh - ни на бит. Так что с одной строны у меня есть гранд оверрайд и я могу сам вклиниваться в поведение программ как сочту нужным. С другой - подписи на бинарь не заметят - вообще совсем ничего.Ну что, эксперт, прочитали мне лекцию по безопасности?
> а так бы железным ключом все эти проверки можно было сделать.
Вера в серебряную пулю - это прекрасно конечно. Но я лучше буду верить - в умение атаковать - и тогда я буду знать как защищать свои системы. Никто не ломится в прочную стальную дверь любезно поставленную вами "спецом для плохих парней". Намного проще пнуть пару раз вот эту стену сбоку, с осыпаюшимися кирпичами - и просто зайти в образовавшуюся дыру. Вы даже это не понимаете - но зачем-то лезете меня чему-то учить.
> А для подмены айпишника - код запускать не нужно?Нет, если злоумышленник контролит сетевой шлюз, крайняк какой-нить арп спуфинг.
> Более того. Это мог быть и хостнейм.
Там главное заменить публичный ключ и фингерпринт. Чтобы при повторном подключении не ругался на ключ от MiTM-а.
> Первое нормальный конект. Второе немедленно тиггернет расследование, и я малость умею в форенсик.
MiTM ssh proxy прозрачно и быстро сработает, вы даже не заметите разницу. Тут главное контролировать сетевой шлюз, то есть "в разрез".
> Ну для начала вот именно посередине влезть даже в случае хомы то
> - довольно канительно.Пффф, врезаться в ваш домашний кабель проблема? Я просто описываю схему не для домашнего диванного мамкиного-хакира, а реальный полевой юзкейс. Подмена known_hosts не вызывает внимания, можно на MiTM прокси искать последовательность байт равная оригинальному хостовому публичному ключу и ее подменять на лету, чтобы сокрыть присутствие когда юзер решит сравнить "cat /etc/ssh/ssh_host_rsa_key.pub". (хотя зачем, пароль от сервака уже перехватили, можно и там подменить хостовые ключи и отключить MiTM прокси, чтобы на лейтенси не влиять и пассивно дешифровывать ссх траффик между сервером и клиентом)
> Это уже довольно неплохо. Ибо если вы думаете что сможете убедить меня
> сконектиться ssh к левому айпи _и_ пройти проверку фингеопринта, я думаю
> что вероятность этого - в районе плинтуса.Зачем к левому? Мне только нужно один раз заменить у вас known_hosts и сделать MiTM ssh proxy реального сервера (в разрез), при первом подключении я получу пароль от реального сервера, подключусь к нему и заменю (украду) там серверные ключи, чтобы потом пассивно расшифровывать весь ссх трафик (ну и сам сервак уже под контролем будет).
> И хрен с ними с вашими железными ключами. И протоколами долбанутыми на
> вебе заодно. Ибо если кто мне патчит такой файлик - он
> для начала сорц мог запатчить два раза.Через любую багу позволяющую перезапись произвольного файла в системе пользователя можно реализовать это (привет всяким архиваторам :)) Главная цель же беспалевно получить доступ к вашим сервера. Один раз подменил, один раз перехватил пароль от сервера и вуаля, нет никаких следов. И какой бы механизм аутентификации и авторизации вы бы не использовали бы это вас не спасет, само приложение ссх по дизайну инсекюрно. Оно всю ответственность по верификации сервера переложило на плечи пользователя и при этом дав вредный механизм верификации (known_hosts) создающий ложную уверенность о безопасности.
> Потому что - доверяй, но проверяй.Таки да, а на деле - спихнули все на пользователя.
> Видите ли, до того как читать лекцию надо убедиться где профессор, а
> где студент. Иначе некузяво получится.С чего вы взяли, что я собрался тут лекцию читать? Я же сказал "я уже промолчу про ...", если вам интересно - могу рассказать, если нет, да ради Бога, ни вас на место студента ни себя на место профессора я тут не ставил, короче разговор не по существу.
> 1) Я сам немного "хакаю" свой ssh превентивно. По своим причинам. Как
> side effect это скорее всего обломает немало атак, ибо поляна уже
> занята, вот прямо мной. Это будет работать не так как атакующий
> себе представлял.Это предложение мне напоминает кривой перевод с какого-то китайского, я не понял что значит "Как side effect это скорее всего обломает немало атак, ибо поляна уже занята, вот прямо мной"?
> 2) Кстати, FYI, все это - не меняет код файла ssh -
> ни на бит. Так что с одной строны у меня есть
> гранд оверрайд и я могу сам вклиниваться в поведение программ как
> сочту нужным. С другой - подписи на бинарь не заметят -
> вообще совсем ничего.Любой "кривой архиватор" переписал вам бинарь ссх клиента, как вы заметите подмену не делав никаких при этом проверок сверок хеш сумм и т.д.? Сама система должна при запуске проверять подпись бинаря (а бинарь то должен быть подписан вашим железным ключем, а не каким-то майкрософтом).
> Ну что, эксперт, прочитали мне лекцию по безопасности?
А чего мне вам читать, если до вас не доходит, что все, что вас окружает в этой войтишной сфере инсекурно по дизайну.
> Вера в серебряную пулю - это прекрасно конечно. Но я лучше буду
> верить - в умение атаковать - и тогда я буду знать
> как защищать свои системы.Вера - понятие не математическое! Безопасность - процесс! Моделирование атак - часть этого процесса!
> Вы даже это не понимаете - но зачем-то лезете меня чему-то учить.
И чему я вас научил? Это что за детский разговор? Мне написать какого Х ты на мой комент ответил? Ты бл* кто такой? Так что ли с вами общаться? Ок, "удачи".
> Нет, если злоумышленник контролит сетевой шлюз, крайняк какой-нить арп спуфинг.Вы не находите что сочетание сценариев когда некто
1) Захватывает сетевой шлюз
2) Может менять в системе файлы
...довольно сложный, редкий и потому - довольно маловероятный сценарий атаки? Не говоря о том что если атакующий это смог, он и еще дофига чего может. И в целом это означает что у меня более 9000 проблем. Никакой токен меня от ЭТОГО не спасет, это BS полный.> Там главное заменить публичный ключ и фингерпринт. Чтобы при повторном подключении не
> ругался на ключ от MiTM-а.Spoiler: но на _мне_ это работать не будет. По полдюжине разных причин. Например: тут нет default gateway. Интересно, как его под контроль взять? Я не для себя, друг интересуется.
> MiTM ssh proxy прозрачно и быстро сработает, вы даже не заметите разницу.
> Тут главное контролировать сетевой шлюз, то есть "в разрез".Это требует совпадения сразу 2 условий. Оба из которых не особо просты в реализации. Тем более для автоматического червяка. А если мы про хак девов, логичнее сорц пропатчить, и хрен с ним с гейтвеем, а? Зачем такие сложности?
> Пффф, врезаться в ваш домашний кабель проблема?
Не даст ожидаемого эффекта в моем случае.
> Я просто описываю схему не для домашнего диванного мамкиного-хакира,
> а реальный полевой юзкейс. Подмена known_hosts не вызывает внимания,Как я сказал - атака с неудобными допущениями, достаточно канительная в реализации из-за нужды подогнать 2 фактора. Явно не про червяка который на автомате фигачит. А если мы про более кастомные атаки, почему я не могу примерять как оно было бы - прям на мне?
> присутствие когда юзер решит сравнить "cat /etc/ssh/ssh_host_rsa_key.pub".
...но этот хитрый план обломается если посмотреть фингерпринт. Или если ключ не RSA. Т.е. опять же довольно хрупко все.
Но в моем случае до этого не дойдет. Обломается и 1) и 2). И зачем мне ваши токены?
> (хотя зачем, пароль от сервака уже перехватили, можно и там подменить хостовые ключи
> и отключить MiTM прокси,А если я по ключу авторизовался - что вы перехватите? Этот обмен и не был секретным. На то оно и публичная криптография.
> Зачем к левому? Мне только нужно один раз заменить у вас known_hosts
> и сделать MiTM ssh proxy реального сервера (в разрез),И еще рояль в кустах. Совершенно случайно. Правда и первая и вторая часть балета здорово добломается в моем случае. Думаете, замена _тут_ known_hosts на что-то где-то повлияет? :)
> трафик (ну и сам сервак уже под контролем будет).
...поэтому я немного более аккуратен с серверами которыми я управляю. И делаю это немного более ответственно, дабы все это у таких господ не катило :).
> Через любую багу позволяющую перезапись произвольного файла в системе пользователя можно
> реализовать это (привет всяким архиваторам :))Если вы долбанете допустим этот браузер - вы заметите что система подозрительно пустая. Если вы даже пробьете контейнер, окей, но это лишь browser vm. Перезапись в котором known_hosts бесполезна чуть менее чем полностью. Я не рулю отсюда ничем. Даже если забыть про отсутствие дефолтного гейта который надо как-то взять под контроль.
> Главная цель же беспалевно получить доступ к вашим сервера.
Я в курсе, равно как в курсе что интернет не есть дружественная среда. Поэтому предпринял ряд технических и организационных мероприятий чтобы вон то не вызвало ничего кроме лулзов. Power comes with responsibility.
> Один раз подменил, один раз перехватил пароль
> от сервера и вуаля, нет никаких следов.В моем случае этот сценарий просто не будет работать по куче причин. А для кряка рандомного хомы, тем более червяком - слишком сложно.
> верификации сервера переложило на плечи пользователя и при этом дав вредный
> механизм верификации (known_hosts) создающий ложную уверенность о безопасности.Вообще-то несекурно - давать доступы долбоклюям, которых легко ломануть. Если некто в информационной безопасности профан - это выйдет боком. И никакие серебряные пули от этого не спасают. Атакующие бьют в самое слабое звено. Каковым профан в информационной безопасности и является. Хоть с какими тулсами.
И если этот долбоклюй извините просто зальет проекту сорцы с абы чем - что организовать проще чем какую-то канитель с шлюзами - ну и чем все ваши тантры с токенами от столь простой атаки помогут? И далее если ревьж в процессе, извините, г-но (как у сабжа) - ну оно и пойдет по трубам.
>> Потому что - доверяй, но проверяй.
> Таки да, а на деле - спихнули все на пользователя.Если пользователь в информационной безопасности профан - это в любом случае подстава для проекта. Не существует серебряных пуль делающих из профана и раздолбая - секурного и ответственного кадра. И если на системе можно любой файл переписать багом - окей, а вот сорец ему и пропатчить. Ваши потуги НИКАК не адресуют этот простой аспект.
> Это предложение мне напоминает кривой перевод с какого-то китайского, я не понял
> что значит "Как side effect это скорее всего обломает немало атак,
> ибо поляна уже занята, вот прямо мной"?Чтобы это понимать надо быть практикующим атакующим. А вы не это. Технологии столкнутся и скорее всего возникнет много незапланированных взаимодействий, все перестанет работать совсем - это будет очень заметно.
> Любой "кривой архиватор" переписал вам бинарь ссх клиента,
Вы наверное юзер винды. Дело в том, что я не пускаю архиваторы под рутом. Поэтому у архиватора не хватит прав. Он получит permission denied. И все.
> как вы заметите подмену не делав никаких при этом проверок сверок хеш сумм и т.д.?
Для начала - это не прокатит. А если бы и прокатило - то не дало ожидаемого эффекта. Первая часть балета применима к любому линуксоиду, вторая - мой личный подарок атакующим.
Т.е. ваш сценарий в общем случае не работает с линуксоилами и требует вот прям совсем отборног идиота который под рутом это все попробует, явно подкинув права архиверу. Если кто НАСТОЛЬКО туп, раздавать ему права на серверах - чревато. И админы проектов обычно в курсе этого. Нормальные админы - весьма параноидальны на тему раздачи прав.
> Сама система должна при запуске проверять подпись бинаря (а бинарь то
> должен быть подписан вашим железным ключем, а не каким-то майкрософтом).Как я уже сказал: я могу изменить поведение бинаря (включая то что он прочтет из тех или иных файлов, и к каким хостам он пойдет) не делая с самим бинарем ... вообще совсем ничего!
Проверка подписи не заметит никаких проблем. И вы не "защитили" меня даже от "атаки" которую я сам на себе рутинно практикую по каким-то своим причинам. Пффффф. Про то что настоящие атакующие могут и покруче чем это мне даже и упоминать не удобно как-то.
>> Ну что, эксперт, прочитали мне лекцию по безопасности?
> А чего мне вам читать, если до вас не доходит, что все,
> что вас окружает в этой войтишной сфере инсекурно по дизайну.Я как раз это давно понял. И именно поэтому - подготовился к таким раскладам. Поэтому ваши страшилки ничего кроме улыбки у меня не вызывают - ведь ни одна из них на мне не сработает.
> Вера - понятие не математическое! Безопасность - процесс! Моделирование атак - часть
> этого процесса!И чтобы моделировать атаки - надо уметь думать как атакующий. Поэтому я смоделировал угрозы намного реалистичнее и прагматичнее. И ни 1 из описаных вами сценариев со мной не сработает.
> Так что ли с вами общаться? Ок, "удачи".
Ну как бы вы начали мне рассказывать про то как все эти ключи меня якобы-спасут. Я насыпал примеров тривиальных сценариев когда толку от сабжевого ключа будет - ноль. При том это сценарии которыми я бы вам и укатал перым делом как атакующий, если бы задался такой целью.
TLDR чтобы рассуждать о защите надо понимать как атаковать. Тогда станет понятно как защищаться. Но вы явно не атакующий. Это видно. Вместо этого вы верите в серебряные пули - не понимая как проводятся атаки. И почему все то - не есть особое препятствие. Но я уже привык что вокруг Microsoft специфичная экосистемка образовалась.
> ...довольно сложный, редкий и потому - довольно маловероятный сценарий атаки?Любой провайдер или васян из соседней квартире и уязвимость в очередном архиваторе :)
> Например: тут нет default gateway. Интересно, как его под контроль взять?Включаем дурака? Знаем что такое MiTM?
> Это требует совпадения сразу 2 условий. Оба из которых не особо просты
> в реализации.Которые реалистичны на все 100% - 1) сидеть в разрезе для MiTM-a 2) Очередная бага в архиваторе, в соседней новости про это можно прочесть.
> Не даст ожидаемого эффекта в моем случае.
Какой ваш случай? На линиях спецсвязи сидите? Ну спросите у товарищей СиАйЭй как они Венонский балет исполняли. А сценарий со стакснетом вообще из фентезийного фильма "Die Hard". Ясно понятно.
> Явно не про червяка который на автомате фигачит.
Речь про червя не была, новость хоть и про червя, я делал акцент на ПО самого SSH почитайте комент, и привел ситуацию, когда ваши железные ключи ничем особым не влияют на безопасность всей системы SSH. ПО создано якобы для безопасного взаимодействия с сервером, а архитектура допускает такие недопустимые слабости.
> А если мы про более кастомные атаки, почему я не могу примерять как оно было бы - прям на мне?
Какие кастомные атаки?
> ...но этот хитрый план обломается если посмотреть фингерпринт. Или если ключ не
> RSA. Т.е. опять же довольно хрупко все.Хрупко для кого? Я получаю доступ к серверу и дальше делаю что хочу, вы помимо мониторинга безопасТности собственной рабочей станции должны еще и беспокоится за безопасТность самого сервера. Сломав один конец этой палки, сломается и другой.
> Но в моем случае до этого не дойдет. Обломается и 1) и
> 2). И зачем мне ваши токены?В каком вашем случае? Вы используете квантовые линии связи? Или у вас архиватор не такой же как из соседней новости? Может у вас на рабочей станции кашперовскийОС и вообще вы не пользуетесь ссх? :)
> А если я по ключу авторизовался - что вы перехватите? Этот обмен
> и не был секретным. На то оно и публичная криптография.У палки два конца, мне не ваш ключ железный надо перехватывать, я от вашего имени авторизуюсь на самом сервере, отсюда имею доступ к ключам самого сервера, а они то лежат в папке /etc/ssh. А дальше пассивная расшифровка трафика, что тут не ясно? Походу вам точно надо прочесть что есть MiTM.
> И еще рояль в кустах. Совершенно случайно.
То есть мне рояль в кустах достать маловероятно, так, скажите, с какой вероятностью вы используете квантовый канал связи?
> ...поэтому я немного более аккуратен с серверами которыми я управляю. И делаю
> это немного более ответственно, дабы все это у таких господ не
> катило :).Аккуратен это как? Ежедневная штатная проверка линий передачи информации на факт врезания, и использование самописного архиватора? :)
> Я не рулю отсюда ничем.
Ясно, разговор ни о чем. С бомжом обсуждаю взлом его квартиры.
> чтобы вон то не вызвало ничего кроме лулзов.
Лулзы может вызвать только ваша наивность. Также думали и всякие ИБэшники в Нетензе.
> В моем случае этот сценарий просто не будет работать по куче причин.
Могу кучу таких же причин привести, по которым вы не интересны ни одному "хакиру", не говоря уже про спецов.
> Вообще-то несекурно - давать доступы долбоклюям
Так и надо записать в руководстве пользователя по SSH.
> И если этот долбоклюй извините просто зальет проекту сорцы с абы чем
> - что организовать проще чем какую-то канитель с шлюзами - ну
> и чем все ваши тантры с токенами от столь простой атаки
> помогут? И далее если ревьж в процессе, извините, г-но (как у
> сабжа) - ну оно и пойдет по трубам.Так речь же просто про возможность замены known_hosts в хомяке, и всякие сорцы и прочие вектора постэксплуатации я не рассматриваю, ибо речь идет конкретно о архитектуры безопасТности только самого ПО SSH. И я не говорю, что я имея возможность заменить known_hosts в хомяке имею возможность заменить все, я описал необходимые и достаточные условия для проведения описанного мною сценария атаки. Цель атаки - прослушать канал связи и заполучить чувствительную информацию и т.д.
> Не существует серебряных пуль делающих из профана и раздолбая
> - секурного и ответственного кадра.Девляпсер не обязан быть профи в ИБ, ему достаточно следовать инструкциям по ИБ, а их должен предоставить и контролировать их соблюдения как раз таки тот самый не профан ИБэшник.
> Чтобы это понимать надо быть практикующим атакующим. А вы не это.
Любая теоретическая атака на практике реализуема!!! Даже перебор 128 битов :P
> Вы наверное юзер винды. Дело в том, что я не пускаю архиваторы
> под рутом. Поэтому у архиватора не хватит прав. Он получит permission
> denied. И все.А архиватором не только вы пользуетесь. Я забыл просто, что у вас кашперовскиОС стоит.
> Для начала - это не прокатит.
Короче, не вижу смысла отвечать.
> вот прям совсем отборног идиота
О да, я никогда случайно от рута ничего не удалял и не ложил систему, я отборный админ. Ясно понятно. Похвально, что сказать.
> не делая с самим бинарем ... вообще совсем ничего!
Планета в опасТносте, вам не кажется?
> Проверка подписи не заметит никаких проблем. И вы не "защитили" меня даже
> от "атаки" которую я сам на себе рутинно практикую по каким-то
> своим причинам.Мне придумать 1500 причин по которой вы этого не добьетесь? Мы уже местами поменялись? Мне повторить мой тезис? Все что вы используете - инсекурьно по дизайну!!!
> Поэтому ваши страшилки ничего кроме улыбки у меня не вызывают - ведь ни одна из них на мне не сработает.
Кто ты, Воин? - Бестрашный, епта. :) смешно слышать от ИБэшника (если только) и параноидального админа за улыбки - "такого быть не может, ни одна из них на мне не сработает".
> И чтобы моделировать атаки - надо уметь думать как атакующий. Поэтому я
> смоделировал угрозы намного реалистичнее и прагматичнее. И ни 1 из описаных
> вами сценариев со мной не сработает.С кем с вами? с конем в вакууме? У меня табун такой же, а атаку с использованием сверхразума, чтения мыслей и т.д. я оставлю для будущего поколения :)))))
> Ну как бы вы начали мне рассказывать про то как все эти
> ключи меня якобы-спасут.Где такое я говорил? Цитату в студию. Железный ключ как механизм подпись (проверки), которой нет в вашей лунаходной системе. Где конкретно речь за спасение если безопасТность - процесс?
> Я насыпал примеров тривиальных сценариев когда толку от сабжевого ключа будет - ноль.
Так речь же не о ключе шла? А конкретно о том, что в вашем ПО SSH достаточно заменить один файл и ваш сервер будет взломан, а авторизуетесь вы к нему по паролю или ключу в данном контексте не важно.
> При том это сценарии которыми я бы вам и укатал перым делом как атакующий, если бы задался такой целью.
Давайте в студию ваш сценарий.
> Но вы явно не атакующий.
В студию, атаку на канал связи SSH. Вот прям конкретный, практический.
> Вместо этого вы верите в серебряные пули - не понимая как проводятся атаки.
Где пример серебряной пули? Читайте внимательно, а не додумывайте за собеседника, чревато шизой на старость.
> Но я уже привык что вокруг Microsoft специфичная экосистемка образовалась.Ты привык к собственному вакууму. Могу даже поспорить, что ты реального SSH MiTM-а не видел, но это из другой оперы.
>> присутствие когда юзер решит сравнить "cat /etc/ssh/ssh_host_rsa_key.pub".
> ...но этот хитрый план обломается если посмотреть фингерпринт. Или если ключ не RSA. Т.е. опять же довольно хрупко все.Что вы имели ввиду под "Или если ключ не RSA"? "Не rsa" ключи фингерпринтов не имеют?
> SSH/GPG используешь?Ото ж. И конечно они не требуют от меня никаких токенов. Требовали бы - врядли бы использовал. Вот прям так. Ибо развлекаться с тыканием что попало в usb - элементарно неудобно. И если б только это.
> Железные токены имеет смысл брать как минимум ради него, просто
> потому что это удобно и безопасно...и еще бизнесок уважаемым партнерам делает. Но мне не нужен тул который я не могу забэкапать. Ибо если токен пролюбится, сломается или что еще - я налечу на доступ. Даже если это можно сбэкапать, судя по u2f это отдельный головняк. И просто "забэкапать state системы вот сюда" - не, блин, это надо еще отдельные entity плотно мониторить. Иначе оно - отвалится. И это целый новый слой рисков, факапов и неудобств. К тому же конкретно u2f полностью долбанут на вебе, судя по описанию.
> Никто не заставлял до этого людей использовать железки, много разработчиков к ним
> успели привыкнуть задолго до того как npm решил их потребовать.Флаг у руки этому контингенту и барабан на шею. Я предпочту не иметь ничего общего с этими господами. Особенно когда надо то было - всего навсего затребовать подпись дева на пакете, уже известным ранее ключем, а не весь этот ацкий brain damage и канкан во имя луны. Если дева настолько крякнули что и пакет подписывают - ну ему и код пропатчат, и там надо - стопать прием изменений от этого кадра уже. А не заниматься всем вон тем brain damage да еще с покусом вебом.
> Но мне не нужен тул который я не могу забэкапать.Кто сказал что нельзя? Внутри обычный opengpgcard интерфейс, можешь ключ генерировать сразу внутри, а можешь сгенерировать снаружи и вовнутрь загрузить (keytocard команда), локальную копию куда-то забекапить и удалить, чтобы использовалась железная.
FIDO2 сложнее, это зависит от реализации, на nitrokey ключ возможно вгрузить через PIV интерфейс например.
> Кто сказал что нельзя? Внутри обычный opengpgcard интерфейс, можешь ключ
> генерировать сразу внутри, а можешь сгенерировать снаружи и вовнутрь
> загрузить (keytocard команда), локальную копию куда-то забекапить и удалить,
> чтобы использовалась железная.Тем не менее, это рушит юзабилити, сделано довольно странно, несколько атак и проч описаны прям в википедии - особенно английской - риски и факапы остаются.
А главное: если сервис допускает рекавери профаканого токена - не понятно что помешает атакующему развести на это юзера. А если не допускает - тогда при первом же отклонении от идеала ("usb разъем отломался" или что там) - юзеру будет мучительно больно.
Но что самое веселое - это все никак не проверяет контент, его аутентичность и проч. Т.е. оно вообще решает - какую-то совершенно не релевантную сабжу задачу.
> FIDO2 сложнее, это зависит от реализации, на nitrokey ключ возможно вгрузить через
> PIV интерфейс например.И вот на вид - много гимора с небольшими или отсутствующими бенефитами. Да еще на вебе долбануто. Так что для себя я предпочту это все не трогать даже трехметровой палкой.
А по логике вещей - на самом деле все что надо было тем чудакам - потребовать девов подписывать все заливаемые пакеты - своими уже заранее известными ключами. Вот это и атаковать неудобно, и защищает - именно контент, проверяя что он именно от обещанной тушки исходит, а не кого-то еще, и та тушка проштамповала подпись взяв ответственность за содержимое на себя. При продолбе ключ просто отзывается и более оно залить ничего не сможет уже. А если потребовать чтобы за сэра вписалось несколько участников проекта подписав его ключ ДО того как он сможет пакеты релизить - атаковать это станет неудобно, сложно, канительно и станет возможен traceback на тему того кто апрувнул атакующего или долбоящера.
>А о том что делать если они все же сдохли или про@#$лись мы подумаем - потомЗачем - потом? Вот приходишь в офис с выданным Хозяевами ID, предъявляешь его, платишь пошлину, фотографируешься, сдаёшь отпечатки, чтобы всяким не членам Хозяйской ОПГ было неповадно, ведь если ты самозванец и к чужому аккаунту так доступ получить хотел без одобрения Хозяев, то будешь турма сидеть, компания пишет на почту, привязанную к аккаунту, ты либо не отвечаешь, либо отвечаешь "да, это я", и тебе всего через месяц берут и дают доступ к "твоему" аккаунту.
> А о том что делать если они все же сдохли или про@#$лись мы подумаем - потом.Ох, ну ВЫ конкретно - да, потом. Или нет - вообще думать не будете.
А для всех остальных - вот шо в инструхции на эти самые ключи, шо в форме регистрации на сайте шо делать - написано.
А вот в linux'е с этим, кстати, проблемочки. system-wide решения, работающего с TPM не завезли (Но есть костыль!) - пользуйтесь ну... вот... keepassxc!
Что за ключи? И где их взять, так чтобы не ждать неделю-три-месяца для регистрации? И чтобы без бекдора - иначе зачем он?
> Что за ключи? И где их взятьКупи NitroKey/Yubikey/OnlyKey/какой-то там от гугла/РуТокен/тысячи их
> И чтобы без бекдора - иначе зачем он?
Не скажу про рутокен, но все остальные прошли аудиты, а nitrokey/onlykey ещё и опенсорс/openhardware за исключением SE050 (Собственно чип, который и хранит ключи и исполняет с их помощью часть криптографических операций), который однако тоже аудитили и уже достаточно все изучили.
> а если там есть рекавери вариант входа, для получения нового секрета для нового токена (а он есть), то "мы просто свели задачу к предыдущей".Ну и обычно с fido2 у тебя либо скачивается код восстановления, либо только через саппорт
Не думаю что кто-то это иначе реализует.
Да да, 2 недели назад дядю как раз отправляли фейковым письмом не восстановление 2ФА кодов... ну отправят на восстановление FIDO2... и получат код сами.
> ну отправят на восстановление FIDO2... и получат код сами.Потому что человек привыкает к подобным действиям и выполняет их машинально, не думая, и это проблема всех подобных схем основанных на людях.
Код восстановления же никто на постоянке не использует (= у человека больше времени на подумать не делает ли он чот не то), а FIDO2 от подобного MITM защищён (= машинально применять можно).
Как ты думаешь - сработало бы оно при использовании 2FA\Fido\webauthn\passkeys?
> FIDO2 хорош тем, что ключ не будет выдан, если домен отличается.Да ну !!! И сплит ДНС не поможет?
Прикинь?! Вот это чудо-технологии! Волшебство прямо какое-то.
> Прикинь?! Вот это чудо-технологии! Волшебство прямо какое-то.И в правду волшебсво...
И как оно отличает что www != www ?
А TOTP чем-то им не угодил?
Тем что все его ставят аддоном в браузер и хранят рядом с паролем.
Злоумышленники создают фейк сайты где запрешивают оба фактора. От такого totp не спасает
А что из предложенного спасёт ?
Правильно настроенный парольный менеджер. Он пароль не отдаст фейковому сайту и не покажет коллеге за спиной. И никакой 2FA не нужен. Только тссс!
Но это на стороне клиента делается, а не на стороне сервера.. если клиент очень хочет подарить свой доступ третьим лицам, он это сделает несмотря на препоны..
ну и
>Переход на гранулированные токены, время жизни которых ограничено 7 днями.
>Классические токены будут объявлены устаревшими и доступ с их помощью будет
> по умолчанию отключён.тут все это автоматические автоматизации по выкату версий через гит пуш, билт, тест, коммут в npm, идут лесом.. раз в 7 дней перевыпускать руками токен можно первые пару месяцев, потом это задолбает даже самых упёртых.
ну и таки если ты постоянно чтото разрабатываешь, то токен актуальный ты таки положишь, и тогда в приведённой несколько дней назад схеме ничего не поменяется, червю глубоко нас рать на то, временный он спёр токен или постоянный, что бы запушить "одно небольшое дополнение к безусловно хорошему пакету".
> тут все это автоматические автоматизации по выкату версий через гит пуш, билт,
> тест, коммут в npm, идут лесом.. раз в 7 дней перевыпускать
> руками токен можно первые пару месяцев, потом это задолбает даже самых
> упёртых.Для CI предлагается OIDC (последний пункт), без постоянных токенов.
И как оно поможет не получить секрет в момент штатной сборки (и, напомню, тут же его и применить для своих не шибко чистых целей, будь он хоть 5 минутной жизни)?тут как бы или мы держим токен в секрете, и тогда не очень важно, 10 минутный он или годовой.. или мы его пролюбливаем на сторону и он сражу зе и пременятся "по назначению".
Это смахивает на проверку на рамках с выворачиванием карманов на входе на концерты и в театры.. 20 лет выворачивали чтобы злые дяди не прошли... задолбали своими проверками и задержками начала концертов и спектаклей всех и зрителей и артистов. но как только дяди захотели войти, то случилось так, что как раз от них то рамки не помогают ни разу.
> И как оно поможет не получить секрет в момент штатной сборки (и,
> напомню, тут же его и применить для своих не шибко
> чистых целей, будь он хоть 5 минутной жизни)?Он за пределы CI не выходит
Атаки на CI конечно существуют, спасибо кривизне гитхаб экшонов, но всё же более редкие чем атака лично на разработчиков.
> задолбали своими проверками и задержками начала концертов и спектаклей всех и зрителей и артистов
Объективно fido2 ключ удобнее и безопаснее чем TOTP, при правильной реализации его невозможно украсть (через софт, физически конечно можно, но это не тот сценарий атаки)/обмануть через MITM/ещё как-то
Так буча и пошла именно с такой атаки. изнутри, при СИ скачивался заражённый модуль, тырил ключ (который при правильной организации процесса не должен был быть доступе для сборки, но был) и по нему коммитил свои грязные дела в репу.тут мы меняем токен системы А на токен системы Б и всё. больше ничего не меняется. если мы могли угнать старый, то и сможем еще раз и новый. мы это токен даже никуда не отправляем, а коммитим прямо отсюда же. меняйте хоть 2 разА на дню. трояну не мешает.
> тут мы меняем токен системы А на токен системы Б и всё.
> больше ничего не меняется. если мы могли угнать старый, то
> и сможем еще раз и новый. мы это токен даже никуда
> не отправляем, а коммитим прямо отсюда же. меняйте хоть 2 разА
> на дню. трояну не мешает.Раньше был постоянный токен которым пользователь сам руками распоряжался и мог по тупости его потерять, буквально из буфера обмена вставить не на том сайте/сохранить прямо в репу/чот ещё. С OIDC ты будешь авторизовать условный гитхаб на публикацию пакетов от твоего имени, и ответственным за получение одноразовых токенов будет уже гитхаб.
Более того, все будут знать что это за токен, и откуда он пришёл, в случае утечки будет сразу понятно кто обосрался, в отличии от токенов, управление которыми доверяют прямо юзеру.
> сайте/сохранить прямо в репу/чот ещё. С OIDC ты будешь авторизовать условный
> гитхаб на публикацию пакетов от твоего имени, и ответственным за получение
> одноразовых токенов будет уже гитхаб.И в результате гитхаб получает - тотал контроль над девом. Ну круто, да. Майкрософт и тотал контроль. Что же тут может пойти не так? А, вот, скайп например не даст соврать что. Чочо, всего 16 миллионов за раз на мороз выкинули? А на гитхабе больше? :)
Ты думаешь миллиарды просто так отсыпают?
> Он пароль не отдаст фейковому сайту и не покажет коллеге за спиной.Сайты изменяются, и парольные менеджеры перестают определять формы входа порой. А на некоторых сайтах автозаполнение просто не работает.
Поэтому у людей всё равно есть привычка механически копировать и вставлять данные, и в итоге они не защищены.
Мой менеджер паролей (битварден) даже если не смог угадать форму, показывает только креды от сайта, на котором я нахожусь.
Если мне надо куда-то зайти,а менеджер не показывает логины и их надо искать - это небольшой такой колокол, что происходит какая-то стрёмная хрень.
> А что из предложенного спасёт ?Fido2. Нормальная криптография вместо паролей, и проверка кто на самом деле ключ запрашивает идёт в железке, его нельзя так просто перехватить.
Эээ... да примерно все. Нет, если вы сумеете еще и комплиментарный закрытому ключу на U2F открытый в свой фишинг-сайт запихнуть - то таки да, проблемочки.
Тем, что нет TEE-аттестации и биометрии.
Пора бы уже "галочки" подтверждённых адресантов и адресатов делать.ООО Mozilla и условный "анонимный" Вася, аппрувнутый через GNU.ORG
p.s.: о Васе знает только ООО GNU.ORG (сразу вайпает данные, после проверки на валидность). А Мозилла верит GNU и держателю Васеного "идентификатора".
Опять дети WoT изобретают. Ты бы ещё key signing party предложил провести.
Не, время эту лапшу на уши вешать давно прошло. Сейчас время "ультраправых" политиков: нам не будут лапшу науши вешать про "вот он ГНУ, но ничего никуда никому не сольёт", вместо этого будут через колено ломать: заходить будете через госуслуги, а кто не хочет через госуслуги заходить - тот вообще никак заходить не будет.
> через госуслуги заходить - тот вообще никак заходить не будет.Ага, в зимбабве или как там его - уже попробовали. И тут вдруг хипстеры как полезли на улицы из всех щелей. И таки вон те - несколько напряглись с такой фигни. Ж@па то - не казенная, за нее стремновато.
tor-project уже давно не тот - донатов с печенькам этим хипстерам не всегда хватает уже, особенно после разгона Рыжим конторы по раздаче розовых единорогов.
> tor-project уже давно не тот - донатов с печенькам этим хипстерам не
> всегда хватает уже, особенно после разгона Рыжим конторы по раздаче розовых
> единорогов.Да при чем тут тор прожект? В зимбабве или как его там, непале - просто вырубили социалочки. Ну хипстеры и спалили им парламент. Был непал - стал подпал. Заметьте, подпал то вышел - с уже выключенными социалочками.
И тут из зала подсказывают - в 1917 вообще никаких социалок не было. А 314ли задолбавшим приспешникам царизма - навешали только в путь.
Это тот самый Непал, где до этого активно резвились штатовские НКО, готовя его как горячую точку для Китая и Индии, если они решат хоть чуть-чуть замириться, да?
Причём полыхнуло - ой как удобно-то! - после того саммита ШОС, где штаты послали уже прямым текстом, ага. Сов падение, не иначе.> И тут из зала подсказывают - в 1917 вообще никаких социалок не было.
Помню-помню.
Тут уже из зала принесли папочку с разделами "опломбированный вагон", "кайзерские деньги в английских банках на нужды РСДРП в Швейцарии" и другим документальным рассекреченным чтивом.
>Использование одноразовых паролей (TOTP) для двухфакторной аутентификации будет объявлено устаревшимКогда Micro$oft навязывал "2FA" на GitHubе, я предупреждал - это всё ради навязывания биометрического FIDO2 с аттестацией, включая TEE-аттестацию Windows Hello. Dсякие клоуны на опеннете троллили "но ведь TOTP не имеет никакой аттестации". Вот вам ваш TOTP. Что ваш хозяин прикажет - тем вас юзать и будут.
> в репозитории NPM решено реализовать дополнительные меры защиты:Предлагаю более эффективный вариант - запретить прием пакетов. К чему все эти голимые полумеры и издевательства над хипстерами? Это пожалуй единственный вариант как сделать безопасно при хипстерах в роли разработчиков, который и правда будет работать на практике.
И правильно, давно пора. Все эти токены, все это для соевых хипстеров. Нормальная защита начинается с двухфакторки по смс, а заканчивается на ограничении входа с определенного статического айпи.
У нормальных разработчиков есть выделенка со статикой, а уж вторую симку купить, вставив её в "бабушкофон" который всегда будет лежать на одном месте и никуда не выноситься, это раз плюнуть.
>Нормальная защита начинается с двухфакторки по смсА что не сразу с первого отдела, оформления допуска и пары автоматчиков на проходной?
>вставив её в "бабушкофон"С китайской прошивкой который все когда и переотправит сам с этой же симки по смс, лол.
>есть выделенка со статикойНекоторые хостеры всё ещё разрешают спуфить исходящий ip, ну и если ты уже часть ботнета вайтлист это иллюзия.
> Некоторые хостеры всё ещё разрешают спуфить исходящий ip, ну и если ты
> уже часть ботнета вайтлист это иллюзия.Но это работает только с udp - ибо только в 1 сторону. А ответные то пакеты на левый айпи ты не получишь. И вот что ты будешь делать кроме флуда пакетами?
Ага, ага.
Второй фактор, для которого любой Васян из салона сотовой связи может склонить симку (Мамой клянус, потерял! Выпиши новую, камандыр!) - ааатличная идея, надежная, как швейцарские часы!
Почему не используют стандартную защиту от подделок комаров как в: ядре Linux, Gentoo, Arch, ... ?!!
Я правильно понимаю, что у местных экспертов поднялся вой из-за перехода на стандарт безопасности, которому больше 10 лет и он даынм давно везде реализован и применяется, но по мнению местных экспертов это сырая смузитехнология?
Нет, неправильно.
А что не так?
> Использование одноразовых паролей (TOTP) для двухфакторной аутентификации будет объявлено устаревшим. Пользователи будут переведены на протокол FIDO U2F.т.е. протокол FIDO U2F подразумевает использование (исключительно) аппаратных ключей. Получается так по идее.
Не просто аппаратных, а думают на будущее: конкретных вендоров.
А зачем это все надо? По ключам как в ssh нельязя сделать аутентификацию? Чего они там ловить будут? попросят в email закрытый ключ им отправить?
> А зачем это все надо?Чтобы ты купил железку конкретного поддерживаемого вендора с конкретной начинкой внутри, а не сам генерил закрытый ключ, никому не известный.
/thread
Вряд ли это что-то поменяет. Проблема npm в культуре тамошних разработчиков, точнее ее отсутствии.
"А вот у нас тут, не то, что у них там! У нас такое не сработает!"