Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"NPM для усиления защиты уходит от использования TOTP 2FA и классических токенов"	+/–
Сообщение от opennews (ok), 23-Сен-25, 20:30
После новой волны фишинг-атак на сопровождающих, инцидентов с компрометацией популярных пакетов и появления червей, поражающих зависимости,  в репозитории NPM решено реализовать дополнительные меры защиты:... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63930
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от FSA (ok), 23-Сен-25, 20:30	+2 +/–
[РКН]. Я только понял как удобно использовать TOTP... Это заговор. Всё то, что мне начинает нравится, скатывается... KDE, Gnome, Ubuntu, Jabber...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #11

2. Сообщение от Аноним (3), 23-Сен-25, 20:33	+4 +/–
Вот это их хлопнуло по голове. Интересно, они понимают что большинство контрибьюторов на три буквы их отправит с этими пожеланиями? Нормальный TOTP в качестве MFA - это достаточно защищённо. Все вот эти вот мертворожденные высеры с FIDO - это для шизиков уровня бородача Столлмана, которые никуда никогда не поедут, и дико ограничат людей как в железе, так и в софте. NPM, походу, решил себя закопать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #61

3. Сообщение от Аноним (3), 23-Сен-25, 20:33	+3 +/–
Джаббер-то где и чем скатился, пардон?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #28

4. Сообщение от Аноним (4), 23-Сен-25, 20:37	+3 +/–
Не проще ли просто не пользоваться ни nodejs, ни npm? Да и вообще джаваскриптом тож не пользоваться.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6

5. Сообщение от пох. (?), 23-Сен-25, 20:37	+5 +/–
такое впечатление, что они спросили совета как жыть - у чатгопоты. (последний пункт еще мог бы иметь какой-то смысл, но все остальное - какой-то полный bullshit составленный по мотивам модных трендов без малейшей попытки понять причину и механизм последних взломов)
Ответить | Правка | Наверх | Cообщить модератору

6. Сообщение от пох. (?), 23-Сен-25, 20:37	–1 +/–
не пользуйся, кто тебе не дает?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #15

7. Сообщение от Аноним (-), 23-Сен-25, 20:40	+1 +/–
FIDO2 хорош тем, что ключ не будет выдан, если домен отличается. TOTP от такого типа атак не защищает.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20

8. Сообщение от Аноним (8), 23-Сен-25, 20:42	+5 +/–
А TOTP чем-то им не угодил?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #12, #45

10. Сообщение от Аноним (11), 23-Сен-25, 20:50	+/–
Тем что все его ставят аддоном в браузер и хранят рядом с паролем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

11. Сообщение от Аноним (11), 23-Сен-25, 20:52	+2 +/–
За 5 лет использования аппаратного FIDO токена убедился, что это примерно в 10 тысяч раз удобнее чем ввод кодов с телефона.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

12. Сообщение от morphe (?), 23-Сен-25, 20:52	+1 +/–
Злоумышленники создают фейк сайты где запрешивают оба фактора. От такого totp не спасает
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #16

13. Сообщение от morphe (?), 23-Сен-25, 20:55	–1 +/–
> Все вот эти вот мертворожденные высеры с FIDO - это для шизиков уровня бородача Столлмана, которые никуда никогда не поедут, и дико ограничат людей как в железе, так и в софте. Fido2 уже везде есть. Нет возможности использовать железный ключ - в браузерах есть passkeys. TOTP намного менее удобно чем нажать на nitrokey стоящий в usb порту
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #14, #44

14. Сообщение от Аноним (3), 23-Сен-25, 20:57	+/–
Не всё в жизни - это браузер. По крайней мере, у меня.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #22

15. Сообщение от Аноним (15), 23-Сен-25, 21:10	+1 +/–
Он и не пользуется. И у него никаких проблем в жизни нет типа описанных в соседних новостях. Вот он и спрашивает, для чего этим пользуются другие.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

16. Сообщение от Аноним (36), 23-Сен-25, 21:31	+/–
А что из предложенного спасёт ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #18, #41

18. Сообщение от Секрет Полишинеля (?), 23-Сен-25, 21:43	+1 +/–
Правильно настроенный парольный менеджер. Он пароль не отдаст фейковому сайту и не покажет коллеге за спиной. И никакой 2FA не нужен. Только тссс!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #19, #37

19. Сообщение от Аноним (36), 23-Сен-25, 21:55	+/–
Но это на стороне клиента делается, а не на стороне сервера.. если клиент очень хочет подарить свой доступ третьим лицам, он это сделает несмотря на препоны..
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #21

20. Сообщение от Аноним (36), 23-Сен-25, 21:59	+4 +/–
и тут ваш fido2 девайс внезапно сдох и...... (да, я понимаю что у Вас лично их 5 шт  запасных настроено, но у среднего обывателя он был ровно один.) а если там есть рекавери вариант входа, для получения нового секрета для нового токена (а он есть), то "мы просто свели задачу к предыдущей".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #24, #26

21. Сообщение от Аноним (36), 23-Сен-25, 22:05	+/–
ну и >Переход на гранулированные токены, время жизни которых ограничено 7 днями. >Классические токены будут объявлены устаревшими и доступ с их помощью будет > по умолчанию отключён. тут все это автоматические автоматизации по выкату версий через гит пуш, билт, тест, коммут в npm, идут лесом.. раз в 7 дней перевыпускать руками токен можно первые пару месяцев, потом это задолбает даже самых упёртых. ну и таки если ты постоянно чтото разрабатываешь, то токен актуальный ты таки положишь, и тогда в приведённой несколько дней назад схеме ничего не поменяется, червю глубоко нас рать на то, временный он спёр токен или постоянный, что бы запушить "одно небольшое дополнение к безусловно хорошему пакету".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #25

22. Сообщение от morphe (?), 23-Сен-25, 22:07	–1 +/–
> Не всё в жизни - это браузер. По крайней мере, у меня. Браузеры используют системное хранилище ключей по идее Не уверен как это работает в софте, у меня уже лет 8 железный ключ есть, знаю лишь что софтверные u2f давно везде существуют
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #27

23. Сообщение от Bob (??), 23-Сен-25, 22:11	+1 +/–
Пора бы уже "галочки" подтверждённых адресантов и адресатов делать. ООО Mozilla и условный "анонимный" Вася, аппрувнутый через GNU.ORG p.s.: о Васе знает только ООО GNU.ORG (сразу вайпает данные, после проверки на валидность). А Мозилла верит GNU и держателю Васеного "идентификатора".
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31, #51

24. Сообщение от morphe (?), 23-Сен-25, 22:14	+/–
> и тут ваш fido2 девайс внезапно сдох и...... (да, я понимаю что > у Вас лично их 5 шт  запасных настроено, но у > среднего обывателя он был ровно один.) Большинство сайтов требуют регистрировать минимум 2 ключа, и что android, что macos, что windows из коробки имеют системную реализацию на базе tpm. В Linux тоже можешь поставить. Либо просто купить 2 железных ключа, они стоят мало, а большинство имеют у себя на борту opengpg, через который ты сможешь и письма подписывать, и по ssh авторизоваться куда угодно, и вообще что угодно делать. Ну и не говоря о том что железные ключи практически бессмертные.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #57

25. Сообщение от morphe (?), 23-Сен-25, 22:16	+/–
> тут все это автоматические автоматизации по выкату версий через гит пуш, билт, > тест, коммут в npm, идут лесом.. раз в 7 дней перевыпускать > руками токен можно первые пару месяцев, потом это задолбает даже самых > упёртых. Для CI предлагается OIDC (последний пункт), без постоянных токенов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #30

26. Сообщение от morphe (?), 23-Сен-25, 22:18	+/–
> а если там есть рекавери вариант входа, для получения нового секрета для нового токена (а он есть), то "мы просто свели задачу к предыдущей". Ну и обычно с fido2 у тебя либо скачивается код восстановления, либо только через саппорт Не думаю что кто-то это иначе реализует.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #32

27. Сообщение от penetrator (?), 23-Сен-25, 22:30	+1 +/–
а чем это отличается от рандомного пасворда в текстовом файле? иллюзией изоляции и защищенности?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #29

28. Сообщение от Аноним (28), 23-Сен-25, 22:41	–2 +/–
Ровно в тот момент, когда оказалось что Whatsapp не будет включать федерацию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #48

29. Сообщение от Аноним (28), 23-Сен-25, 22:43	+/–
Файл можно незаметно украсть. Лаптоп — нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #36, #38

30. Сообщение от Аноним (36), 23-Сен-25, 22:43	+/–
И как оно поможет не получить секрет в момент штатной сборки (и, напомню, тут же его и  применить для своих не шибко чистых целей, будь он хоть 5 минутной жизни)? тут как бы или мы держим токен в секрете, и тогда не очень важно, 10 минутный он или годовой.. или мы его пролюбливаем на сторону и он сражу зе и пременятся "по назначению". Это смахивает на проверку на рамках с выворачиванием карманов на входе на концерты и в театры.. 20 лет выворачивали чтобы злые дяди не прошли... задолбали своими проверками и задержками начала концертов и спектаклей всех и зрителей и артистов. но как только дяди захотели войти, то случилось так, что как раз от них то рамки не помогают ни разу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #33

31. Сообщение от Аноним (28), 23-Сен-25, 22:45	+/–
Опять дети WoT изобретают. Ты бы ещё key signing party предложил провести.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

32. Сообщение от Аноним (36), 23-Сен-25, 22:46	+/–
Да да, 2 недели назад дядю как раз отправляли фейковым письмом не восстановление 2ФА кодов... ну отправят на восстановление FIDO2... и получат код сами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #34

33. Сообщение от morphe (?), 23-Сен-25, 22:47	+/–
> И как оно поможет не получить секрет в момент штатной сборки (и, > напомню, тут же его и  применить для своих не шибко > чистых целей, будь он хоть 5 минутной жизни)? Он за пределы CI не выходит Атаки на CI конечно существуют, спасибо кривизне гитхаб экшонов, но всё же более редкие чем атака лично на разработчиков. > задолбали своими проверками и задержками начала концертов и спектаклей всех и зрителей и артистов Объективно fido2 ключ удобнее и безопаснее чем TOTP, при правильной реализации его невозможно украсть (через софт, физически конечно можно, но это не тот сценарий атаки)/обмануть через MITM/ещё как-то
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #39

34. Сообщение от morphe (?), 23-Сен-25, 22:50	+/–
> ну отправят на восстановление FIDO2... и получат код сами. Потому что человек привыкает к подобным действиям и выполняет их машинально, не думая, и это проблема всех подобных схем основанных на людях. Код восстановления же никто на постоянке не использует (= у человека больше времени на подумать не делает ли он чот не то), а FIDO2 от подобного MITM защищён (= машинально применять можно).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

35. Сообщение от Аноним (35), 23-Сен-25, 22:51	+1 +/–
Шиза крепчала. Не нужно. Не взлетит. Красная полоска тоже не нужна. Хватит. Достаточно.
Ответить | Правка | Наверх | Cообщить модератору

36. Сообщение от Аноним (36), 23-Сен-25, 22:52	+/–
Лаптоп можно случайно полить кофе.. забыть в такси. причём вместе с сумкой где и резервный токен лежал.. еще раз, если чел озаботился САМ безопасностью то резервный токен у него будет лежать отдельно, но он и на поддельное письмо скорее всего не клюнет, и TOTP не подарит... а если клюнет, то скорее всего и токен будет пролюблен при первой же возможности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

37. Сообщение от morphe (?), 23-Сен-25, 22:53	+/–
> Он пароль не отдаст фейковому сайту и не покажет коллеге за спиной. Сайты изменяются, и парольные менеджеры перестают определять формы входа порой. А на некоторых сайтах автозаполнение просто не работает. Поэтому у людей всё равно есть привычка механически копировать и вставлять данные, и в итоге они не защищены.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #62

38. Сообщение от penetrator (?), 23-Сен-25, 22:54	+1 +/–
> Файл можно незаметно украсть. Лаптоп — нет. если у тебя появился доступ к лаптопу и его файлам на уровне - что хочу то ворочу, то ты сможешь встроиться в пайплан и тебе никакой 2FA не поможет ну как можно надеяться на магический токен, если систему уже скомпрометирована? ну это же сюр
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #40

39. Сообщение от Аноним (36), 23-Сен-25, 22:57	+/–
Так буча и пошла именно с такой атаки. изнутри, при СИ скачивался заражённый модуль, тырил ключ (который при правильной организации процесса не должен был быть доступе для сборки, но был) и по нему коммитил свои грязные дела в репу. тут мы меняем токен системы А на токен системы Б и всё. больше ничего не меняется. если мы  могли угнать старый, то и сможем еще раз и новый. мы это токен даже никуда не отправляем, а коммитим прямо отсюда же. меняйте хоть 2 разА на дню. трояну не мешает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #43

40. Сообщение от morphe (?), 23-Сен-25, 23:00	+/–
> ну как можно надеяться на магический токен, если систему уже скомпрометирована? ну это же сюр FIDO2 требует физического подтверждения присутствия, удачи что-то серьёзное провести автоматически и незаметно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #47

41. Сообщение от morphe (?), 23-Сен-25, 23:02	+/–
> А что из предложенного спасёт ? Fido2. Нормальная криптография вместо паролей, и проверка кто на самом деле ключ запрашивает идёт в железке, его нельзя так просто перехватить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

42. Сообщение от Аноним (47), 23-Сен-25, 23:05    Скрыто ботом-модератором	+2 +/–
>Использование одноразовых паролей (TOTP) для двухфакторной аутентификации будет объявлено устаревшим Когда Micro$oft навязывал "2FA" на GitHubе, я предупреждал - это всё ради навязывания биометрического FIDO2 с аттестацией, включая TEE-аттестацию Windows Hello. Dсякие клоуны на опеннете троллили "но ведь TOTP не имеет никакой аттестации". Вот вам ваш TOTP. Что ваш хозяин прикажет - тем вас юзать и будут.
Ответить | Правка | Наверх | Cообщить модератору

43. Сообщение от morphe (?), 23-Сен-25, 23:05	+/–
> тут мы меняем токен системы А на токен системы Б и всё. > больше ничего не меняется. если мы  могли угнать старый, то > и сможем еще раз и новый. мы это токен даже никуда > не отправляем, а коммитим прямо отсюда же. меняйте хоть 2 разА > на дню. трояну не мешает. Раньше был постоянный токен которым пользователь сам руками распоряжался и мог по тупости его потерять, буквально из буфера обмена вставить не на том сайте/сохранить прямо в репу/чот ещё. С OIDC ты будешь авторизовать условный гитхаб на публикацию пакетов от твоего имени, и ответственным за получение одноразовых токенов будет уже гитхаб. Более того, все будут знать что это за токен, и откуда он пришёл, в случае утечки будет сразу понятно кто обосрался, в отличии от токенов, управление которыми доверяют прямо юзеру.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

44. Сообщение от Аноним (47), 23-Сен-25, 23:08	+/–
А в процессорах - SGX, SEV и TrustZone. А у кого нет - те бомжи пусть на свалку проследуют, где им и место: в современном обществе нет места нежелательным элементам, саботирующим хозяйский надзор и контроль за своей собственностью, своим поголовьем. Не нравится в стойле - мусорный полигон с бомжами вон там.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #46

45. Сообщение от Аноним (47), 23-Сен-25, 23:10	+/–
Тем, что нет TEE-аттестации и биометрии.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

46. Сообщение от morphe (?), 23-Сен-25, 23:11	+/–
> А в процессорах - SGX, SEV и TrustZone. Это к чему вообще? Что из этого есть в условном nitrokey/любой другой fido2 железке?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #49

47. Сообщение от Аноним (47), 23-Сен-25, 23:19	+/–
Можно робота сделать, который силиконовым муляжом пальца с фейковыми паппилярными узорами будет жать на токен с биометрией. Но эту проблему решат. Там в FIDO2 встроен механизм аттестации. Грубо говоря аттестацию можно свести к следующей максиме - "с несвоим (не произведённым своим альянсом, и тут не FIDO2 имеется в виду, а альянс производителя железа и хозяина платформы) железом и софтом дела не имеем". Поэтому отрубить вход не через Windows Hello - как нефиг делать, в стандарте эта возможность изначально заложена. Будешь как пользователь яблоустройств - не можешь целостное устройство нужной модели предъявить - значит вон на мусорный полигон пошёл, M$ не обязан благотворительностью заниматься, тебе хостинг бесплатно предоставляя, вот устройство купи, биометрию предъяви, тем самым сервис оплати - вот тогда добро пожаловать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #50

48. Сообщение от Аноним (48), 23-Сен-25, 23:23	+/–
Ну это решение проприетарного Штоапа. При чём здесь Jabber вцелом? Виноват только тем, что Всосап тоже использовал XMPP ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

49. Сообщение от Аноним (47), 23-Сен-25, 23:24	+/–
Стандарт читайте. В самодельных токенах нет, а вот в фабричных токенах официальных партнёров альянса, включая Google Titan, Windows Hello, Google SafetyNet, и устройствах от Apple всё есть. И послать тебя за использование не своего устройства - эта штатная фича стандарта. В будущем будет в дополнение к reCAPTCHA/hCAPTCHA (которые нифига не капчи) - хочешь на сайт? Докажи, что у тебя какое надо устройство. Не доказал? Ну значит ты нежелателен, потому что законопослушному гражданину не зачем использовать что-то из того, что хозяева не одобрили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #52

50. Сообщение от morphe (?), 23-Сен-25, 23:32	+/–
> Поэтому отрубить вход не > через Windows Hello - как нефиг делать, в стандарте эта возможность > изначально заложена. Если речь про аттестацию - то да, в стандарте действительно заложено, однако оно предназначено не для этого, и для такого юзкейса не поддерживается. Это действительно существует чтобы заменить кастомные драйвера что сейчас используются для карточек для входа на госпорталы на fido2, и это действительно может быть использовано для вендорлока, но это всё же имеет пользу. Кроме того, аттестация подтверждает лишь модель устройства, а не конкретное устройство, из-за чего это нельзя использовать в качестве web integrity/private access token/прочего drm. Сайты могут разрешить вход только через windows hello, но если вдруг windows hello получит возможность нарушать приватность (например будет передавать серийный номер устройства или чот ещё) - то аттестация для него будет отозвана глобально самими fido2, чего microsoft не захотят, ведь это нарушит работу намного большего числа сайтов. https://fidoalliance.org/fido-technotes-the-truth-about-atte.../
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #53

51. Сообщение от Аноним (51), 23-Сен-25, 23:36	–1 +/–
Не, время эту лапшу на уши вешать давно прошло. Сейчас время "ультраправых" политиков: нам не будут лапшу науши вешать про "вот он ГНУ, но ничего никуда никому не сольёт", вместо этого будут через колено ломать: заходить будете через госуслуги, а кто не хочет через госуслуги заходить - тот вообще никак заходить не будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

52. Сообщение от morphe (?), 23-Сен-25, 23:39	+/–
> хочешь на сайт? Докажи, > что у тебя какое надо устройство. Не доказал? Ну значит ты > нежелателен, потому что законопослушному гражданину не зачем использовать что-то из того, > что хозяева не одобрили. FIDO2 конечно такое позволяет... Однако при желании компании могут и без webauthn аттестацию проводить, банально на устройстве поднять вебсокет и из JS к нему цепляться, а там уже гонять что надо для аттестации. FIDO2 тут ничего нового не приносит, и есть причины почему так не делают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #55

53. Сообщение от Аноним (53), 23-Сен-25, 23:42	+/–
>однако оно предназначено не для этого Нет абсолютно любая аттестация именно для этого и предназначена: приказать скоту какой надо девайс купить, а скоту придётся либо подчиниться, либо к бомжам на мусорный полигон проваливать. >Сайты могут разрешить вход только через windows hello Вот видите, вы же фактически полностью со мной согласны. Не вижу ни малейшего несогласия. >но это всё же имеет пользу Для Micro$oftа пользу, и для его союзников и коллаборационистов. Не для меня. Для меня и любых адекватных людей это - сплошной вред.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #54

54. Сообщение от morphe (?), 23-Сен-25, 23:49	+/–
> Нет абсолютно любая аттестация именно для этого и предназначена: приказать скоту какой надо девайс купить, а скоту придётся либо подчиниться, либо к бомжам на мусорный полигон проваливать. Для этого не нужно ничего в FIDO2 добавлять, владельцы платформ при желании давно уже могли сделать лазейки для аттестации устройств от сайтов, это так нагло не делают потому что это противоречит антиминопольным законодательствам и GDPR. С FIDO2 смогут сделать, однако сдерживающая сила остаётся той же самой. > Для Micro$oftа пользу, и для его союзников и коллаборационистов. Не для меня. > Для меня и любых адекватных людей это - сплошной вред. Т.е лучше ставить непонятный кривой софт от госконтор чтобы можно было входить на госпорталы по CCID? ID карточки распространены по всей Европе, есть много где в Азии, и ещё во многих странах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #56

55. Сообщение от Аноним (55), 23-Сен-25, 23:50	+/–
>Однако при желании компании могут и без webauthn аттестацию проводить, банально на устройстве поднять вебсокет Могут, но это нестандартизировано. А вот когда это стандартизировали - это уже не звоночек, а целый набат. Вы находитесь здесь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

56. Сообщение от Аноним (56), 23-Сен-25, 23:55	+/–
>Для этого не нужно ничего в FIDO2 добавлять, владельцы платформ при желании давно уже могли сделать лазейки для аттестации устройств от сайтов Что значит "могли"? Делали. Стандартизировали не для этого. А чтобы всех на него завязать. Без стандартизаци это не взлетит. А вот со стандартизацией - это ещё поработать надо, чтобы взлетело, скот приучить, что носить ошейник надо, а создателей сайтов - что скот без ошейника надо гнать ради их (владельцев сайтов) нескольких сребренников. Пока у скота ошейников массово нет - сайты не внедрят. А чтобы у скота ошейники были - надо через свои рычаги их наличия требовать. Вот они  реализуют этот план. >Т.е лучше ставить непонятный кривой софт от госконтор чтобы можно было входить на госпорталы по CCID? ID карточки распространены по всей Европе, есть много где в Азии, и ещё во многих странах. Вы этот софт всё равно ставить будете. Когда вам скажут would you kindly - вы ведь не откажете.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #58

57. Сообщение от Аноним (56), 23-Сен-25, 23:59	+/–
>Ну и не говоря о том что железные ключи практически бессмертные. Да что тут ключи, вы ведь и сами до 150 лет дожить небось надеялись, а там и бессмертия достичь...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

58. Сообщение от morphe (?), 24-Сен-25, 00:03	+/–
> Пока у скота ошейников массово нет - сайты не внедрят "Ошейники" в лице windows hello, play integrity api, и чего-то там у apple существуют уже много лет Применять их пытались через web integrity api, который намного лучше для таких задач подходит (зачем по твоему вообще web integrity api делали, когда webauthn по твоему полностью для тех же задач подходит?) Это так не работает > Вы этот софт всё равно ставить будете. Когда вам скажут would you kindly - вы ведь не откажете. Раньше альтернативы не было, а сейчас есть, и её поддержку постепенно внедряют.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #59

59. Сообщение от Аноним (59), 24-Сен-25, 00:12	+/–
>зачем по твоему вообще web integrity api делали, когда webauthn по твоему полностью для тех же задач подходит Я не говорил, что полностью подходит. WEI похоронили потому, что Apple - важный игрок4, и у неё есть свой аналог. С названием, от которого у скота паника не начинается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #60

60. Сообщение от morphe (?), 24-Сен-25, 00:43	+/–
> Я не говорил, что полностью подходит. WEI похоронили потому, что Apple - > важный игрок4, и у неё есть свой аналог. С названием, от > которого у скота паника не начинается. У эпла Private Access Tokens, при чём тут FIDO2?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

61. Сообщение от Аноним (28), 24-Сен-25, 01:11	+/–
> Интересно, они понимают что большинство контрибьюторов на три буквы их отправит с этими пожеланиями? Минусы будут? Если разработчик не может разобраться как токенами пользоваться, он и как разработчик может не особо-то и нужен. А ну как pow от xor не отличит или ещё какую-нибудь такую дичь выкинет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

62. Сообщение от Ангним (?), 24-Сен-25, 02:10	+/–
Мой менеджер паролей (битварден) даже если не смог угадать форму, показывает только креды от сайта, на котором я нахожусь. Если мне надо куда-то зайти,а менеджер не показывает логины и их надо искать -  это небольшой такой колокол, что происходит какая-то стрёмная хрень.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема