Администраторы репозитория Python-пакетов PyPI (Python Package Index) сообщили об инциденте, в результате которого злоумышленник смог захватить контроль над проектами arrapi, tmdbapis, nagerapi и pmmutils, насчитывающими около 4.5 тысяч загрузок в месяц. Все проекты сопровождались одним автором (meisnate12, Nathan Taggart) и были захвачены в результате компрометации его учётной записи. Злоумышленник, получивший контроль над проектами, был оперативно заблокирован и не успел внести изменения и выпустить модифицированные выпуски...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=60235
Постепенное внедрение цифровых подписей.
А как же без них? Только надо понимать что есть Криптосистема с открытыми ключами, а есть PKI.
PGP
> PGPУ ПЖП нет стороннинх центров подтверждающих достоверность личности. (Только плыз, не начинайте опять про тех 1/2 веботраста)
Интернет только по паспорту.
Welcome to russia!Ты не можешь заключить договор на подключение к интернету без паспорта вот уже лет так 15(раньше можно было, просто заявка на адрес, никаких документов, тебе притаскивали кабель и говорили "платить туда")
Покажи мне страну, где иначе. Может, перееду.
В Индонезии покупаешь симку и раздаешь с мобильного.
Симка не по паспорту?
Лол симки в Москве в переходах без всяких паспортов раздают. Всё работает.
После звонка выбрасываем симку вместе с телефоном, в котором нет отпечатков, и разумеется в месте где нет камер видеонаблюдения. Голос тоже должен быть видоизменён.
Ок. А пополнять как будешь? Оффлайн? У каждого автомата камера стоит.
> Ок. А пополнять как будешь? Оффлайн? У каждого автомата камера стоит.У этих, котрые вместо киви теперь - нет никаких камер. Ну да, 12% комиссии за онанимность.
Т-рищ. Майор, так симки меченые же?
> Т-рищ. Майор, так симки меченые же?не бери у того узбека что прямо под камерой их раздает, возьми у следующего. С 20 метров там только размазня будет.
Разумеется она меченная в плане того что все (комунада) видят что ты ее у того узбека взял, но привязать к твоей персоне ее сложнее.
> В Индонезии покупаешь симкуСказки про покупку симки в Индонезии здесь не надо рассказывать. В Индонезии иностранцам продажа симок вообще запрещена, кроме, может быть, Бали.
Я живу в Кипре и здесь можно легально купить симку в магазине без всяких документов
формально и в РФ можно купить без каких-либо документов, даже с доставкой
Потом, правда, подразумевается онлайн-регистрация, но тем не менее
Можно просто получить симку зарегистрированную на джамшута.
Почти где угодно так можно
Только вот, если будут делаться вещи весьма нехорошие - то быстро хоть из под земли достанут вне зависимости от того, на кого была регистрацияВдобавок, по подобным симкам часто проверки организуют с требованием актуализации информации под угрозой блокировки через некоторое время
Особенно тупо с палёными симками то, что, бывает ей или конец пришёл или перевыпустить надо( бывает и такое ) - а без того типа с документами фиг чего сделаешь
Вдобавок, он и сам может явиться в салон связи - и вернуть себе номер, заодно отжав все аккаунты, к нему привязанные
Зачем старому дворнику из Узбекистана аккаунты. Время активации надо мониторить. Локнут могут, но хорошо сделанные карты например мегафон не локают уже несколько лет.
> ПроверкиПоследние китайские предупреждения. Хрен сотовые операторы будут банить того, кто им денег платит.
Не льсти себе, твои пять баксов никому не интересны!
Если гос структуры наедут на оператора, то оператор потеряет раз так в 100 тысяч больше, поэтому тебя залочат не глядя.
На структуру олигарха наедут?
> На структуру олигарха наедут?да. нелояльные олегархи у нас долго не живут.
То были не олигархи, а просто подставные лица.
Ага, самого угребищного опера с модемной скоростью) У главных оперов года с 2021 только по паспорту.
А какая тебе скорость нужна для того чтобы залогиниться на PyPI ?
У меня Primetel, ты про него? Если да, то не заметил что медленно. Ну и правда я мобильным инетом пользуюсь только для мессенджеров на телефоне и чтоб иногда веб посёрфить.
Что, прям внутри?? В пещере что-ли?
Ну симки не по паспорту в большинстве развитых стран, просто покупаешь и пользуешься
У меня британский номер уже лет 5 купленный тупо на ebay конверт с симкой запечатанный от ThreeUK, никаких документов, ничего не требовал и не требуетС проводным тоже во многих странах максимум могут попросить бумаги с разрешением от владельца квартиры, но это будет именно проверка на месте, что вообще можно завести провод, без всяких записей данных кто заключил договор
Внезапно, правда?
Почему-то жители так называемой россии искренне верят, что во всем мире самолеты из травы
Нет, в развитых странах все совсем иначе
В развитых государствах 100% населения сдали биометрию, поэтому проверки по паспорту не особо нужны - автоматика всё узнает без участия пользователя.
И смена IMEI - уголовка, в отличие от одного большого по площади контроллируемой территории неправового государства, где эти законы и не нужны, потому что когда реально надо конкретное лицо привлечь - то и по беспределу при полном отсутствии юридических оснований работает.
Так уверенно пишешь, как будто реально знаешь об этих странах, не через пропаганду.
Я исследование проводил (ещё в 2014), когда валить собирался. Сам понимаешь, мероприятие ответственное, требует долгосрочного планирования. А не "раз - и в гермашке", как было модно в марте 22 среди представителей определённых профессий. После проведения исследования я понял - валить я никуда не собираюсь, мне и в РФ лучше, чем где либо ещё.
Ну, вывод, конечно, индивидуальный. Но в целом - да, если попан не горит, то рвать куда-то, меняя шило на мыло - такое себе удовольствие.
>симки не по паспорту в большинстве развитых странЭто просто брехня) Тебе где-то могут продать без документов, но при покупке пакетов попросят ID. Ну либо у негров в подворотне, но так и в РФ можно.
>британский номерНужен паспорт, у тебя видимо левак просто перепроданный.
>С проводным тоже во многих странах максимум могут попросить бумаги с разрешением от владельцаИ в этих бумагах будут перс. данные владельца, всё верно)
>Внезапно, правда?Нет, не внезапно. Связь ты сейчас почти в любой точке мира купишь либо по ID, либо левак, либо чушпанских операторов с 1 звонком в месяц и скоростью US Robotics.
>Нет, в развитых странах все совсем иначеЕсли ты такой знаток Британии - вот тебе квест. Сделать банковскую карту и совершить по ней покупку с доставкой (желательно не в Лондоне). Тебя ждёт бездна приключений)) В РФ это делается за полдня + тебе ещё отсосут за то, что ты такой крутой клиент.
>Нужен паспорт, у тебя видимо левак просто перепроданный.Неправда. В Британии всё ещё можно купить симку без айди.
Везде по разному. Тем более, что и в РФ уже давно можно официально симки онлайн покупать( хоть потом и потребуется онлайн-регистрация )В бриташке некоторые конторы допускают оплату только безналом( оплатил с карты/счёта - вот и выяснили кто такой )
Во франции - документов вроде бы не спрашивают, но обычно нужен банковский счёт во франции( для заведения которого личность "совершенно случайно" и обшманывают )
Ну а при покупке симки в офисе - документы спросят очень запростоВ гермашке - тоже саму симку можно купить без документов. Но без регистрации по телефону или через сайт ей особо не воспользуешься
Любые, сколь-нибудь развитые страны - в первую очередь очень мощно контролируют инфопотоки, включая мобильную связь и интернет. Это, разве что в зимбабве можно просто официально купить симку и просто ей пользоваться вообще без каких-либо вопросов от кого-либо
Так что, жиденький наборс, свинюха. Как там контрнаступ, кстати ?
> разве что в зимбабве можно просто официально купить симку и просто ей пользоваться вообще без каких-либо вопросов от кого-либоЧто-то я не вижу очереди на ПМЖ в зимбабве. Даже странно - страна свободы!
> кстати ?
Идет по плану, мы ж не животные, чтобы мясом терриконы забрасывать.
Вот недавно за уралом тунельчик немного приболел, ну так будет не единственный)
Может на новый год мост какой-нибудь заболеет.
>> разве что в зимбабве можно просто официально купить симку и просто ей пользоваться вообще без каких-либо вопросов от кого-либо
>Что-то я не вижу очереди на ПМЖ в зимбабве. Даже странно - страна свободы!Отсутствие логики налицо. Не всем, как тебе, только одного этого достаточно, чтобы переезжать в другую страну. И вообще, причем тут свобода? Может у них просто нет таких мощных возможностей для контроля инфопотоков, как у эльфов? И в техническом плане, но, главное, в плане достаточного количества подготовленных компетентных кадров? Там наверное, как и везде по миру, если появляется качественный специалист, тот тут же с большой долей вероятности уезжает за длинным долларом к эльфам, подальше от мух цеце.
> Идет по плану, мы ж не животные, чтобы мясом терриконы забрасывать.
> Вот недавно за уралом тунельчик немного приболел, ну так будет не единственный)б-ть, ср-ные пи-сы, вы что - ТОЖЕ по той же карте семнадцатого века воюете?!
Она поддельная, там даже Украины нет!Расскажите ж кто-нибудь этим идиотам что БАМ - это НЕ В КИТАЙ, блжад, дорога! От....сь от него, полоумные! Он никакого стратегического значения не имеет, максимум вертолеты по нему возят, но их три штуки в год выпускают и те вряд ли на платформе повезут, вещь ценная и хрупкая. Он вообще нахрен не нужен бы был если бы потомки его строителей не остались заперты по бывшим лагерям от Якутска до Северобайкальска.
Вы наxepa же взорвали дорогу по которой возят помимо горючки (и та для МЕСТНЫХ целей) только ржавые запчасти к снятым с производства десять лет назад японским тачкам и сами эти ржавые тачилы?! Это точно великая перемога.
То что вы хотели - это Транссиб, Б-ТЬ!
> Может на новый год мост какой-нибудь заболеет.
Б-ть с вашей охрененной картой это будет крымский в Москве.
Что даст повод окончательно закрыть вам военную помощь поскольку кто теперь будет в сортах террористов разбираться-то.
Зачем Зимбабве, если есть РФ?
> Зачем Зимбабве, если есть РФ?Ну там климат получше вроде. Но я советую замбию (та же речка но с другой стороны). Тоже г-но и мухи, но все же не настолько похоже на совок.
Ну хз, я бы наверное будь один - даже бы и попробовал...
Во Франции у меня паспорт копировали, когда я симку покупал. Без документов симка не будет работать месяц или что-то типа того, ЕМНИП.
>У меня британский номер уже лет 5Йалрайт!
> Ну симки не по паспорту в большинстве развитых стран, просто покупаешь и пользуешьсяВ Европе примерно всей конкретно по паспорту и прописке. При этом доминируют пакеты по контракту.
В Штатах не в курсе, но из того что слышал примерно тоже если не хуже.
Что у ват там ещё из развитых стран, Украина? В Украине уже ввели в строй систему, но пока привязка симки к паспорту добровольная. Я так понимаю конкретно ЕС это требует.
Согласен с вами. Например, в Сербии в любом киоске можно купить симку без паспорта. Два года пользуюсь такой, нет никаких проблем. Пополнять можно наличкой в тех же киосках.
В Чехии prepaid-симки спокойно продаются в магазинах и ларьках без паспорта.
Активировать не надо, просто вставил и сразу работает.
А что происходит, когда твои prepaid 5 евро кончаются?))
ты покупаешь карточку, елозишь по ней монеткой и поплняешь номер
еще есть варианты через терминалы (куда пихается наличка)
А, теоретик, удачи) Я просто знаю, что это так не работает.
Ты не поверишь - это работает. В UK точно.
И в FI и в UK можно банковской картой ещё, мы же об удобстве, а не об анонимности.
так тук как раз вся ветка про анонимность, а не об удобстве. Так что мимо
Договор конечно без паспорта ты не заключишь.
А так - гостевые симки без всякого паспорта как минимум в FI и UK.
Не гостевые, а предоплатные.
Ну я их по привычке обзываю гостевыми, потому что местные реально все на длинных контрактах сидят.
Контракт удобно, особенно если скидки дают на новые телефоны. И люди по инерции продолжают брать телефон с контрактом, хотя по-моему уже скидок реально нет. Не думаю, что кто-то реально пробовал сравнить цены. Реально конкуренция хорошая в предоплатных делах
С такими темпами развития "ИИ" скоро все там будут.
Запросто могло быть срежиссированным представлением, или вообще выдуманная утка. "Определили пароль", ага, верится с трудом. Надо же устранять анонимность, сейчас этим все занимаются.
двухфакторка и анонимность никак не связаны друг с другом. Вероятно ты перепутал двухфакторку с "введите номер телефона". Если так, то ничего страшного, я в детстве тоже думал, что все китайцы каратисты.
> я в детстве тоже думал, что все китайцы каратисты.Ну хорошо хоть не что все китайцы японцы :-D
Японцы отпачковались китайцев в древности.
От чукц ещё скажи, как в анекдоте.
Отпачковались или отпочковались?
Пачка китайцев стала японцами, что непонятно?)
>Японцы отпачковались китайцев в древности.Корэва
Нет. Внезапно. Они приплыли из каких-то далей точное местоположение которых установить не получается, предположительно ближний восток. После чего вырезали коренных японцев и устроили островную империю.Китайцы там никаким боком.
> Китайцы там никаким боком.А зачем они у них тогда иероглифы сп-ли?
>А зачем они у них тогда иероглифы сп-ли?А сп-ли они потому, что хотели быть пожожими на китайцев. В историческое время Китай культурно доминировал в Корее и Японии. Они также сп-ли у китайцев двуручный меч - назвав его "цуруги", потом у корейцев сп-ли какой-то однолезвийный клинок назвав его "катана".
Изначально японских островах жили предки Айну (люди Дзёмон). Где-то 2000-2300 лет назад из южной части Корейского полуострова постепенно на остров Кюсю стали переселятся рисоводы (культура Яёй). Потом в течение столетий эти рисоводы планомерно и организовано начали прогонять предков Айну.Биологически корейцы и японцы родственны. Среди современных японцев также есть потомки японизировавшихся Айну, но каково процентное соотношение среди японцев потомков ассимилированный айну и древних переселенцев с юга Корейского полуострова. непонятно.
Предки Айну не обрабатывали землю.
Да тут в каждом такой новости начинается вой "не отдам свой номер телефона". Просто люди измученные банками не представляют что бывает двухфакторка без смс, тот же TOTP.
> Если так, то ничего страшного, я в детстве тоже думал, что все китайцы каратисты.Э. В смысле в детстве?..
И как же использование TOTP устраняет анонимность?
TOTP описан в RFC и ты можешь написать свое приложение хоть на баше, хоть на сишке, хоть на брейнфаке и использовать его
В чем устранение анонимности при использовании TOTP? Ну же! Расскажи нам!
Раньше подобное рассказывали про одноразовый пароль, отсылаемый в элящик
Потом правда оказалось, что крупнейшие конторы давно требуют привязки номера телефона для регистрации ящика( с Гуглом особенно забавно было. Стоило только зарегать ящик, как он был заблокирован за подозрительную активность и требовал номера телефона )В итоге - и с этой штукой что-то да всплывёт. Не с одной стороны, так с другой( обмазываться кучей смежной ерунды чтобы вообще не потерять аккаунт по случаю потери/поломки смартфона с приложением )
> И как же использование TOTP устраняет анонимность?Теоретики, теоретики...
>> И как же использование TOTP устраняет анонимность?
> Теоретики, теоретики...Ну прекрати ты врать
QR там просто содержит символьную последовательность и ты можешь использовать любой TOTP
Хватит врать, надоедает, честноЯ использую локальный Vaultwarden доступный только из домашней сети и через VPN, не имеющий коннекта к интернету
Никто тебя ни к чему не привязываетЯ не понимаю зачем тут постоянно врут про это
Вот зачем ты это делаешь?
Что бы что?
> И как же использование TOTP устраняет анонимность?Никак, потому что никакого TOTP нет.
А есть qr-код который тебе предлагают отсканить приложением с телефона от Authy, Cisco Duo, Google Authenticator, Microsoft Authenticator и так далее. И все так и делают, никто не вникет в детали технологии, особенно питонисты. Вот так всех и сажают на принудительный телефон. Мало того, не только на телефон, ты еще оказываешься заложником этого сервиса, т.к. он буквально ворует у тебя код и хранит у себя под замком, ты его от них не вытащищь, а qr-код с экрана сразу же пропадает. Всё, асталависта, ты идентифицирован по телефону и привязынными к нему всеми своими аккаунтами, и не можешь с этого крючка даже соскочить.
Ну прекрати ты врать
QR там просто содержит символьную последовательность и ты можешь использовать любой TOTP
Хватит врать, надоедает, честноЯ использую локальный Vaultwarden доступный только из домашней сети и через VPN, не имеющий коннекта к интернету
Никто тебя ни к чему не привязываетЯ не понимаю зачем тут постоянно врут про это
Вот зачем ты это делаешь?
Что бы что?
> PyPI намерен перевести все учётные записи .. на обязательное применение двухфакторной аутентификацииТеперь примерно ясно кто спродюссировал детективную мелодраму.
> Теперь примерно ясно кто спродюссировал детективную мелодраму.угу..
вы выиграли в гослото, зарегистрировались чёртегде и обязаны зайти на тайниюэрэл по логину и паролю, указанным ниже..
искренне Ваш, КО
Угу, а вот раньше было... огого!
Раньше люди честные были, друг-друга не обманывали.
Обходились одним password: password!
Бывает идешь по имеджборде, видишь анон пароль уронил, ты его поднял и отдал ему.PS Для особо деревянных, двухфакторка - может быть в виде пароль + секретные одноразовые резервные коды (которые можно распечатать на бумажке и хранить где угодно, хоть в бачке унитаза)
> PS Для особо деревянных, двухфакторка - может быть в виде пароль + секретные одноразовые
> резервные коды_может_. Ключевое слово - что "может".
А на практике будет гуглешпион или, вот, sms-очка.Причем пользоваться этим "может" для какого-то вшивого лефтпада чудовищно неудобно, и единственное ему место в реальной жизни - это переводы с банковского счета на сумму большую твоей зарплаты (потому что если подтверждать этими кодами каждое пополнение мобилки на сто рублей - очень захочется убить всех людей)
Еще один очень неприятный момент - что если у тебя найдут этот ср-ный листочек (собственно, искать его геморно, вдруг ты не в бачке а в самой выгребной яме его сохранил, фуфуфу, поэтому вот - sms и гуглошпион, хрен отмажешься) - то уже хрен ты докажешь что это не ты.
А пароль, пока тебя не застукали за его набором - нигде не хранится (ну, у нормальных людей а не любителей обмазываться key-pass) и хрен чего ты докажешь, я вообще в другом городе.
> А на практике будет гуглешпион или, вот, sms-очка.Не тупи, просто открой ссылку в новости и почитай что там разрешено.
Слово FreeOTP тебе что-то говорит?
Не выдавай свои больные фантазии за реальность.> Причем пользоваться этим "может" для какого-то вшивого лефтпада чудовищно неудобно
Эсли это вшивый лефтпад - то нафига там параноя и супер защита? Или при деаноне будет стыдно, что ты такое написал?
Если это серьезный проект, а не трехстрочник написанный бомжом между дежурствами у мусорки - то пользуйся хардварным токеном, не сахарный, не растаешь.> если у тебя найдут этот ср-ный листочек (собственно, искать его геморно, вдруг ты не в бачке а в самой выгребной яме его сохранил, фуфуфу, поэтому вот - sms и гуглошпион, хрен отмажешься) - то уже хрен ты докажешь что это не ты.
Интересно, а как они определят к чему эти коды?
Нужно иметь мозги как у хлебушка, чтобы писать "эти коды для моего ПИхаба, логин такой-то".> хрен ты докажешь что это не ты
У тебя какие-то странные требования -_-ʼ
Тут скорее хотелось бы доказать что это я)) Чтобы вернуть доступ к проекту.
А если это какой-то код, за который могут атата сделать - нафига его выкладывать в общий доступ?
> Слово FreeOTP тебе что-то говорит?Какой-то очередной кусок известной субстанции от неизвестных васянов. Нахрен не нужен.
>> Причем пользоваться этим "может" для какого-то вшивого лефтпада чудовищно неудобно
> Эсли это вшивый лефтпад - то нафига там параноя и супер защита?твою дивизию... ТАК ЭТО И БЫЛ вшивый лефтпад! Аж четыре лефтпада.
Причем в отличие от настоящего лефтпада (поверх которого держался весь карточный домик нодоподелок) этот вообще был никому не нужен ну просто ни нафиг. Кроме обиженки-автора который сам же и прогадил свой пароль (и да, вот такому хорошо бы доступ отрубить навсегда и его поделки поудалять тоже - просто вот за феноменальную т-пизну и запуск писем счастья через sudo su - ну что такой вот может понакодить полезного людям?)> Интересно, а как они определят к чему эти коды?
после примерно пятого листочка - у тебя они будут подписаны, даже если ты мальчик с феноменальной памятью. А их будет скоро даже не пятнадцать а по штуке на нужный и важный (нахрен не) ресурс.
Но скорее всего сказки про листочки так и останутся сказками, и будет у тебя обычный гуглошпион, с вполне себе подписанными учетками - надо ж их как-то различать.> Тут скорее хотелось бы доказать что это я)) Чтобы вернуть доступ к проекту.
почтовый адрес, не не слышали (НЕТ, не для 2fa, а для восстановления доступов. И можно не первому попавшемуся васяну, а вопросы позадавать). А, хотя да, он же у вас в гугле и пароль от него первым и сперли.
хаха, сегодня у тебя почтовый адрес есть, а завтра его нет
назови надежного поставщика услуг почты?
или расскажи как сделать свой васяносервер, чтобы с него письма не падали в спам у крупных почтовиков?
> хаха, сегодня у тебя почтовый адрес есть, а завтра его нети ровно в этот же день ВНЕЗАПНО ты прогадил свой пароль от пипирки?
ну ты гребаный неудачник, соверши роскомнадзор, сделай человечество лучше.> или расскажи как сделать свой васяносервер, чтобы с него письма не падали в спам у крупных
> почтовиков?да зачем, для этой вот цели - тебе достаточно *принимать* спам от крупных почтовиков. не переживай, с этим у них как раз все в порядке, доставят в лучшем виде, главное не удали заодно подтверждение отключения твоего акаунта от всех бывше-твоих проектов (поди отличи его от другого мусора).
> Какой-то очередной кусок известной субстанции от неизвестных васянов. Нахрен не нужен.Ну не пользуйся гитхабом, хости свое. Один хрен ты ничего полезного не пишешь.
Я один жду, когда уже на опеннет будем заходить через госуслуги? А то анонимы и всё такое.
Зачем ждать? Специально для тебя открыта регистрация.
Прям паспорт можно ввести? Если нет, то даже не открою...
И даже синие галочки есть, только анонимам их не видно.
паспортные данные сразу вставляй в свой комментарий
Пора уже на опеннете ввести поддержку трипкодов. Ведь текстовый чан уже как по форме, так и по уровню цинизма.
Если на госуслугах есть - то можно регаццо/входить по ЕСИАСистема сама запросит все интересующие её данные о тебе( включая паспорт ) и аккуратно вставит в нужны поля поля
>Система сама запросит все интересующие её данные о тебе( включая паспорт ) и аккуратно вставитТочно аккуратно?
На Госуслугах сколько угодно можешь вводить.
>был инициирован процесс удаления учётной записи "meisnate12".Но зачем?! На этом и спалился.
Не "спалился", а так и было задумано...
Зачем? Ведь мог бы просто ему 2fa включить. И хрен бы тот что сделал.
Смысла особого нет в захвате. Ну, занял поляну, и что через пару недель...Единицы может и пострадали. Остальные из большой толпы перебили ссылки и разошлись.
>До конца этого года репозиторий PyPI намерен перевести все учётные записи пользователей, сопровождающих хотя бы один проект или входящих в курирующие организации, на обязательное применение двухфакторной аутентификацииGitHub уже перевёл. Перешли на Codeberg в результате. В котором замена для PyPi к каждому аккаунту пользователя и организации прилагается. Заэнфорсят на PyPI - пойдут ффтопку вслед за GitHubом.
> двухфакторной аутентификациинет смысла
>В качестве предпочтительных методов двухфакторной аутентификации рекомендуется использовать протокол WebAuthn сFIDO2 TEE Attestation и навязанной биометрией.
Похоже на провокацию для навязывания двухfuckторной авторизации.
Телефоны это и мнитмая надежность, жо тех пор пока он к злоумышленнику на время не попадет, и вообще сим в любой неподходящий момент могут заблокировать. Ну а биометрия - это лесом.
Одноразовые коды? Ну так оно не поддерживается почти ничем. Кто вводить будет?
В итоге, с предлагаемой двухfuckторкой плохо, и без неё не достаточно безопасно.
KeePassXC, KeePass,pass умеют OTP
и пароль тоже туда же складываешь, рядышком? Молодец, хвалю! (и все вместе закрыто паролем 123, да и тот всегда введен, потому что работатьжынада а не без конца вводить пароль от всего)Потом у л-шка п-дют файлик с базкой паролей, у которого нулевая защита от попыток подбора (он просто файлик, как он будет защищаться) и ломать который можно хоть на миллионе хостов параллельно - если вместе с файликом не перехватили и нажатия кнопок.
Но просто надежные пароли (при этом выученные один раз и НИКОГДА, блжд, не меняемые, потому что это уже провал) - низзя-низзя, это небезопастно!
Кажется у тебя обидка на OTP)> Но просто надежные пароли (при этом выученные один раз и НИКОГДА, блжд, не меняемые
Ага, 10 лет один и тот же пароль для всего от почты и банка, до торрента и веселой фермы.
А потом оказывается что где-то что-то утекло и все летит в известном направлении.
Кто где говорил про "один и тот же пароль"?
дятлы с key-pass. У которых и на самом деле десять лет один и тот же пароль.
Причем от всех паролей сразу и от псевдо-2fa заодно. Так держать!
>> Но просто надежные пароли (при этом выученные один раз и НИКОГДА, блжд, не меняемые
> Ага, 10 лет один и тот же пароль для всего от почты
> и банка, до торрента и веселой фермы.
> А потом оказывается что где-то что-то утекло и все летит в известном
> направлении.давайте посмотрим на сегодняшнюю ситуацию.. ранее пользовал свой (криптостойкий, надеюсь, гхм) пароль для сервисов гугла.. потом, чтобы продолжать использовать тот же mutt, например, пришлось согласиться на двухфакторку и (!sic.!) взять сгенерённый гуглом 16-ти значный "Application Password", уступающий ранее использовавшемуся по комбинаторике символов, длине и т.п. и т.д.. в итоге получил деградацию пароля.. и теперь аккаунт прибит гвоздями к симке.. т.е. на практике двухфакторка от гугла только теоретически несёт какие-то преимущества при утере и восстановлении прав на аккаунт.. а на практике существовавшие ранее "контрольные вопросы" (произвольные, составленные самими пользователями вместе с ответами на них) вместе с резервными/контрольными ящиками, кмк, были более чем достаточным средством контроля (аккаунта) при должном использовании.. (любителей password, 123456 и т.п. эт, ессно, не касается)..
> давайте посмотрим на сегодняшнюю ситуацию.. ранее пользовал свой (криптостойкий, надеюсь,ага, такая же херня. Вместо надежных паролей хранимых только в голове - нате вам незапоминаемые (и следовательно ты вынужден их записывать) и неудобонабираемые (таскать через клипборд если они нужны чаще раза в году). И еще пожалуйста слейте нам номерок телефона.
Это не совсем херня. Проблема в том, что meisnate12 и подобные им люди ругулярно компрометируют свои учётные записи.
проблема решается созданием проблем для окружающих, как обычно в blm мирке.Вместо того чтобы сделать проблемы этих людей - _их_ проблемами. Например забанить ему акаунт года на два. Внести в пипирку метки таких акаунтов и блокировать автосборки с их поделками пока вручную не подтвердишь. Вариантов масса но вместо этого видимость деятельности и гемор для всех подряд.
А этот продолбает свою псевдо-двухфакторку точно так же как и пароли, и даже еще быстрее - тут уже накидали кучу работающих рецептов (причем разумеется не ведая что творят, как обычно).
Вы ведь читаете внимательно лицензию? Там разве не написано "AS IS" или его аналоги?
> Ага, 10 лет один и тот же пароль для всего от почты
> и банка, до торрента и веселой фермы.
> А потом оказывается что где-то что-то утекло и все летит в известном
> направлении.Вот это провал. Зачем одинаковый везде? Речь про на каждом ресурсе свой, но не меняется.
> Но просто надежные пароли (при этом выученные один раз и НИКОГДА, блжд,
> не меняемые, потому что это уже провал) - низзя-низзя, это небезопастно!Прям про наболевшее, мужик... Это говно и провоцирует небезопасность как раз. Вместо того, что бы выучить один пароль к банкклиенту, приходится его тупо записывать, т.к. каждый полгода эти придури требуют его менять так что бы он ещё не повторял предыдущие 3 и не являлся их подстрокой.
ну с банкклиентом я еще могу понять. В смысле - пароли этих клиентов у банка скорее всего крадут раз в неделю, не признаваться же ж ему теперь в этом.> так что бы он ещё не повторял предыдущие 3 и не являлся их подстрокой
поэтому они хранят все три предыдущих - плейнтекстом. Так и победим!
> поэтому они хранят все три предыдущих - плейнтекстом. Так и победим!
Какие телефоны?
Речь идет о TOTP
А это мало того, что полностью стандартизированная вещь, так еще и работающая полностью оффлайн
Ты можешь написать свою реализацию, можешь взять готовые
Никаких телефонов нет
Как нет их и у Гугла, например, как нет их почти ни у кого
Но местные шизики все строчат про "это все заговоры и от нас хотят наши телефоны с диском"
>Речь идет о TOTPРечь идёт о навязывании FIDO2 в интересах вендоров TEE и биометрии. TOTP поддерживается только для создания видимости альтернативы. Его использование сделано намеренно более неудобным, чем FIDO2 (FIDO2 обычно поддерживается в режиме однофакторки, тебе не нажо вводить пароль, достаточно вставить устройство нужного производителя и приложить пальчик), и его в будущем уберут так же легко, как убрали пароли, под предлогом того, что нет TEE-подтверждения того, что ключи - в надёжных руках.
> Ты можешь написать свою реализацию, можешь взять готовые"а теперь сфоткайте мобилочкой наш удобный и приятный qr код!"
И да, напомни-ка мне, чего это такой добренький и честнейший гугель закрыл исходники своего генератора, ведь все так просто, надежно, стандартизировано?
Ну так не пользуйся гуглом.
Это не единственны TOTP который существует.
Ты ж линухом на десктопе пользуешься, хотя он кривой, косой и неудобный, зато свободка!Неудобно? Ну так бороться с злыми корпами всегда неудобно.
(Вон каксакалы опенсорса даже самолетами не литеают, там паспорт приходиться показывать)
> "а теперь сфоткайте мобилочкой наш удобный и приятный qr код!"В котором просто числовая и буквенная последовательность
Упс
И который можно не фоткать, а нажать "Покажите мне текстом", скопировать и вставить
У меня все коды 2FA живут в моем локальном VaultWarden, прикинь
И никто у меня тут не требует к нему телефонов
> И который можно не фоткать, а нажать "Покажите мне текстом",если есть что нажимать. Я вот сто лет уже не видел такого. Просто бессмысленный идиотский квадрат с точками без альтернатив.
> У меня все коды 2FA живут в моем локальном VaultWarden, прикинь
неплохо свел их секьюрить к нулю, все правильно сделал. Но не кажется ли тебе что это все же излишний геморрой требующий неудобных приседаний.
> Просто бессмысленный идиотский квадрат с точками без альтернатив.Ну это просто вранье
Везде есть кнопка "нажмите если не можете отсканировать"> неплохо свел их секьюрить к нулю, все правильно сделал. Но не кажется
> ли тебе что это все же излишний геморрой требующий неудобных приседаний.Ну да, ты же у нас великий специалист и знаешь как именно защищен локальный ваултварден, как к нему возможно подключение и все остальное
А я просто так работаю в IT-безо уже 25 лет и ничего не понимаю, куда мне до ваньки с опеннета
>> Просто бессмысленный идиотский квадрат с точками без альтернатив.
> Ну это просто вранье
> Везде есть кнопка "нажмите если не можете отсканировать"васян из кукуева - лично ВЕЗДЕ проверял!
> А я просто так работаю в IT-безо уже 25 лет
но так ничему и не научился.
(в принципе, квалификация большинства выдающих себя за ит-без - обычно нулевая или около того)
FreeOTP на что?
>жо тех пор пока он к злоумышленнику на время не попадетИли пока кто-то не попросит оператора поделиться SMS.
>>жо тех пор пока он к злоумышленнику на время не попадет
> Или пока кто-то не попросит оператора поделиться SMS.в целом ради помойки пихономодулей никто и не попросит.
Срочно всех перевести на IAM с проприетарным 2FA. Питоняши такое только одобрят.
И питошка наконец загнётся.
С чего это питонисты проприетарщину одобрят? Я бы ещё понял, если это какие-нибудь дотнетчики или свифтеры.
С того, что каждый второй питоняш пишет на вскоде, а каждый первый - на пучарме.
Еще прохождения процедуры KYC не хватает.
О, этот аноним знает!
(и по результату - "к сожалению, мы вынуждены отказать вам в открытии акаунта, по причинам связанным с безопастностью, поэтому мы никогда вам не скажем что именно нам не понравилось")
А у них есть обязанность предоставлять услугу кому попало?
Нет? ну так о чем разговор?
Что-то не нравится? сделай свой PyPI с преферансом и... боюсь тян в этой области не водятся.
>сделай свой PyPIШтатная возможность Codeberg.
Да в опенсорсе уже давно навязывают KYC-процедуры: DCO, и CLA. Причём Python Software Foundation - в числе злейших навязывателей.
CoC тоже навязывают, хотя он и не не KYC. Вообще, TLA - это POS.
CoC не является ни процедурой сбора персональных данных, ни юридически обязывающим. Ты можешь нарушить CoC, а потом создать новое имя, и опять нарушить CoC. Повторить сколько надо раз.
DCO впервые использовали Linux Foundation в 2004.
Внезапно, да?И не вижу ничего плохого в том, что проект хочет KYC.
Не все хотят чтобы в их код коммитили мутные анонимы. Особбено если потом окажется, что этот анон в чине майора закладки пишет.
Хочешь анонимности - сиди в даркнете, imgboard'ах или прочих местах где не задают лишних вопросов.
Но учти, в местах где не задают вопросов, не проверяют доки и сидят аноны - обычно намусоренно и плохо пахнет.
Например тут, где мы общаемся)
Пусть лучше говном воняет, чем supermax-тюрьмой попахивает.
Автор так все расписал подробно, будто тут ядро линукса хакнули. А речь всего-то про какой-то бейсик, на к-й все плевать. Не стоило и стараться придавать значимости этому событию
То есть ты хочешь чтобы люди не знали о грязных приёмчиках крякеров. Предупреждён значит вооружён.
На этот "бейсик" всё машинное обучение завязано.
2fa важна в PYPI ибо страдает не мейнтейнер пакета в итоге, а скачавший его. Хотя привязка телефона - зло. Надо было думать над другими способами улучшения безопасности.
pypi в своём блоге открытым текстом пишут - 2фа будет через totp, а эксперты с опеенет упорно бегают со своими номерами телефонов. Стандарт открытый, реализаций куча, можно свою написать, можно вообще на бумажке считать, если считаешь быстро и в 30 секунд уложишься. Но нет, в коментах каждый второй ноет про "нам пихают анальный зонд", "моё прайваси коко" и "никому не покажу свой номер телефона". Дебилы, ять.
TOTP денхат исключительно для того, чтобы полезные идиоты орали, что FIDO2 никто не навязывает.
как можно употреблять слово "навязывают", если есть алтернатива?
Когда предоставляют альтернативу, но дискриминируют против тех, кто её использует - это именно "навязывают". Как навязали скоту одну карточку с лошадями.
Скоро им и верёвки для штанов бесплатно выдавать начнут, чтоб на ходу не теряли как все остальное. Зато проект в публичном репозитории, звезды на гитхабах. А цифровую гигиену, оказывается, нужно насильно заставлять учить.
> Скоро им и верёвки для штанов бесплатно выдавать начнут,Так надо было с этого и начать! Сколько помойного софта можно было так избежать еще на этапе написания!
Вот, да, да, для штанов. Надевай на шею, не бойся! И к краю табуреточки чуть-чуть подвинься, еще, еще... оп!
Следующий!
> Сколько помойного софта можно было так избежать еще на этапе написания!У меня какое-то жёсткое дежа-вю сейчас случилось. Но память обнулилась и не могу вспомнить оратора из прошлого. Кто-нибудь напомнит?