Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"NPM для усиления защиты уходит от использования TOTP 2FA и классических токенов"	+/–
Сообщение от opennews (ok), 23-Сен-25, 20:30
После новой волны фишинг-атак на сопровождающих, инцидентов с компрометацией популярных пакетов и появления червей, поражающих зависимости,  в репозитории NPM решено реализовать дополнительные меры защиты:... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63930
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от FSA (ok), 23-Сен-25, 20:30	+6 +/–
[РКН]. Я только понял как удобно использовать TOTP... Это заговор. Всё то, что мне начинает нравится, скатывается... KDE, Gnome, Ubuntu, Jabber...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #11, #115

2. Сообщение от Аноним (3), 23-Сен-25, 20:33    Скрыто ботом-модератором	+5 +/–
Вот это их хлопнуло по голове. Интересно, они понимают что большинство контрибьюторов на три буквы их отправит с этими пожеланиями? Нормальный TOTP в качестве MFA - это достаточно защищённо. Все вот эти вот мертворожденные высеры с FIDO - это для шизиков уровня бородача Столлмана, которые никуда никогда не поедут, и дико ограничат людей как в железе, так и в софте. NPM, походу, решил себя закопать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #61, #95, #97, #98, #106

3. Сообщение от Аноним (3), 23-Сен-25, 20:33	+8 +/–
Джаббер-то где и чем скатился, пардон?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #28

4. Сообщение от Аноним (4), 23-Сен-25, 20:37	+7 +/–
Не проще ли просто не пользоваться ни nodejs, ни npm? Да и вообще джаваскриптом тож не пользоваться.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6

5. Сообщение от пох. (?), 23-Сен-25, 20:37	+6 +/–
такое впечатление, что они спросили совета как жыть - у чатгопоты. (последний пункт еще мог бы иметь какой-то смысл, но все остальное - какой-то полный bullshit составленный по мотивам модных трендов без малейшей попытки понять причину и механизм последних взломов)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #67

6. Сообщение от пох. (?), 23-Сен-25, 20:37	–1 +/–
не пользуйся, кто тебе не дает?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #15, #73

7. Сообщение от Аноним (-), 23-Сен-25, 20:40	+2 +/–
FIDO2 хорош тем, что ключ не будет выдан, если домен отличается. TOTP от такого типа атак не защищает.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20, #134

8. Сообщение от Аноним (8), 23-Сен-25, 20:42	+5 +/–
А TOTP чем-то им не угодил?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #12, #45

10. Сообщение от Аноним (11), 23-Сен-25, 20:50	+/–
Тем что все его ставят аддоном в браузер и хранят рядом с паролем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

11. Сообщение от Аноним (11), 23-Сен-25, 20:52	+7 +/–
За 5 лет использования аппаратного FIDO токена убедился, что это примерно в 10 тысяч раз удобнее чем ввод кодов с телефона.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #85, #108, #116

12. Сообщение от morphe (?), 23-Сен-25, 20:52	+1 +/–
Злоумышленники создают фейк сайты где запрешивают оба фактора. От такого totp не спасает
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #16

13. Сообщение от morphe (?), 23-Сен-25, 20:55	+/–
> Все вот эти вот мертворожденные высеры с FIDO - это для шизиков уровня бородача Столлмана, которые никуда никогда не поедут, и дико ограничат людей как в железе, так и в софте. Fido2 уже везде есть. Нет возможности использовать железный ключ - в браузерах есть passkeys. TOTP намного менее удобно чем нажать на nitrokey стоящий в usb порту
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #14

14. Сообщение от Аноним (3), 23-Сен-25, 20:57	+1 +/–
Не всё в жизни - это браузер. По крайней мере, у меня.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #22

15. Сообщение от Аноним (15), 23-Сен-25, 21:10	+4 +/–
Он и не пользуется. И у него никаких проблем в жизни нет типа описанных в соседних новостях. Вот он и спрашивает, для чего этим пользуются другие.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #81

16. Сообщение от Аноним (36), 23-Сен-25, 21:31	+/–
А что из предложенного спасёт ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #18, #41, #104

18. Сообщение от Секрет Полишинеля (?), 23-Сен-25, 21:43	+1 +/–
Правильно настроенный парольный менеджер. Он пароль не отдаст фейковому сайту и не покажет коллеге за спиной. И никакой 2FA не нужен. Только тссс!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #19, #37

19. Сообщение от Аноним (36), 23-Сен-25, 21:55	+1 +/–
Но это на стороне клиента делается, а не на стороне сервера.. если клиент очень хочет подарить свой доступ третьим лицам, он это сделает несмотря на препоны..
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #21

20. Сообщение от Аноним (36), 23-Сен-25, 21:59	+4 +/–
и тут ваш fido2 девайс внезапно сдох и...... (да, я понимаю что у Вас лично их 5 шт  запасных настроено, но у среднего обывателя он был ровно один.) а если там есть рекавери вариант входа, для получения нового секрета для нового токена (а он есть), то "мы просто свели задачу к предыдущей".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #24, #26

21. Сообщение от Аноним (36), 23-Сен-25, 22:05	+/–
ну и >Переход на гранулированные токены, время жизни которых ограничено 7 днями. >Классические токены будут объявлены устаревшими и доступ с их помощью будет > по умолчанию отключён. тут все это автоматические автоматизации по выкату версий через гит пуш, билт, тест, коммут в npm, идут лесом.. раз в 7 дней перевыпускать руками токен можно первые пару месяцев, потом это задолбает даже самых упёртых. ну и таки если ты постоянно чтото разрабатываешь, то токен актуальный ты таки положишь, и тогда в приведённой несколько дней назад схеме ничего не поменяется, червю глубоко нас рать на то, временный он спёр токен или постоянный, что бы запушить "одно небольшое дополнение к безусловно хорошему пакету".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #25

22. Сообщение от morphe (?), 23-Сен-25, 22:07	–1 +/–
> Не всё в жизни - это браузер. По крайней мере, у меня. Браузеры используют системное хранилище ключей по идее Не уверен как это работает в софте, у меня уже лет 8 железный ключ есть, знаю лишь что софтверные u2f давно везде существуют
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #27

23. Сообщение от Bob (??), 23-Сен-25, 22:11	+/–
Пора бы уже "галочки" подтверждённых адресантов и адресатов делать. ООО Mozilla и условный "анонимный" Вася, аппрувнутый через GNU.ORG p.s.: о Васе знает только ООО GNU.ORG (сразу вайпает данные, после проверки на валидность). А Мозилла верит GNU и держателю Васеного "идентификатора".
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31, #51

24. Сообщение от morphe (?), 23-Сен-25, 22:14	+/–
> и тут ваш fido2 девайс внезапно сдох и...... (да, я понимаю что > у Вас лично их 5 шт  запасных настроено, но у > среднего обывателя он был ровно один.) Большинство сайтов требуют регистрировать минимум 2 ключа, и что android, что macos, что windows из коробки имеют системную реализацию на базе tpm. В Linux тоже можешь поставить. Либо просто купить 2 железных ключа, они стоят мало, а большинство имеют у себя на борту opengpg, через который ты сможешь и письма подписывать, и по ssh авторизоваться куда угодно, и вообще что угодно делать. Ну и не говоря о том что железные ключи практически бессмертные.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #57, #66, #99, #155

25. Сообщение от morphe (?), 23-Сен-25, 22:16	+/–
> тут все это автоматические автоматизации по выкату версий через гит пуш, билт, > тест, коммут в npm, идут лесом.. раз в 7 дней перевыпускать > руками токен можно первые пару месяцев, потом это задолбает даже самых > упёртых. Для CI предлагается OIDC (последний пункт), без постоянных токенов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #30

26. Сообщение от morphe (?), 23-Сен-25, 22:18	+/–
> а если там есть рекавери вариант входа, для получения нового секрета для нового токена (а он есть), то "мы просто свели задачу к предыдущей". Ну и обычно с fido2 у тебя либо скачивается код восстановления, либо только через саппорт Не думаю что кто-то это иначе реализует.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #32

27. Сообщение от penetrator (?), 23-Сен-25, 22:30	+1 +/–
а чем это отличается от рандомного пасворда в текстовом файле? иллюзией изоляции и защищенности?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #29, #96

28. Сообщение от Аноним (28), 23-Сен-25, 22:41	–6 +/–
Ровно в тот момент, когда оказалось что Whatsapp не будет включать федерацию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #48, #79

29. Сообщение от Аноним (28), 23-Сен-25, 22:43	+/–
Файл можно незаметно украсть. Лаптоп — нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #36, #38

30. Сообщение от Аноним (36), 23-Сен-25, 22:43	+/–
И как оно поможет не получить секрет в момент штатной сборки (и, напомню, тут же его и  применить для своих не шибко чистых целей, будь он хоть 5 минутной жизни)? тут как бы или мы держим токен в секрете, и тогда не очень важно, 10 минутный он или годовой.. или мы его пролюбливаем на сторону и он сражу зе и пременятся "по назначению". Это смахивает на проверку на рамках с выворачиванием карманов на входе на концерты и в театры.. 20 лет выворачивали чтобы злые дяди не прошли... задолбали своими проверками и задержками начала концертов и спектаклей всех и зрителей и артистов. но как только дяди захотели войти, то случилось так, что как раз от них то рамки не помогают ни разу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #33

31. Сообщение от Аноним (28), 23-Сен-25, 22:45	+1 +/–
Опять дети WoT изобретают. Ты бы ещё key signing party предложил провести.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

32. Сообщение от Аноним (36), 23-Сен-25, 22:46	+2 +/–
Да да, 2 недели назад дядю как раз отправляли фейковым письмом не восстановление 2ФА кодов... ну отправят на восстановление FIDO2... и получат код сами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #34, #103

33. Сообщение от morphe (?), 23-Сен-25, 22:47	+/–
> И как оно поможет не получить секрет в момент штатной сборки (и, > напомню, тут же его и  применить для своих не шибко > чистых целей, будь он хоть 5 минутной жизни)? Он за пределы CI не выходит Атаки на CI конечно существуют, спасибо кривизне гитхаб экшонов, но всё же более редкие чем атака лично на разработчиков. > задолбали своими проверками и задержками начала концертов и спектаклей всех и зрителей и артистов Объективно fido2 ключ удобнее и безопаснее чем TOTP, при правильной реализации его невозможно украсть (через софт, физически конечно можно, но это не тот сценарий атаки)/обмануть через MITM/ещё как-то
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #39

34. Сообщение от morphe (?), 23-Сен-25, 22:50	+/–
> ну отправят на восстановление FIDO2... и получат код сами. Потому что человек привыкает к подобным действиям и выполняет их машинально, не думая, и это проблема всех подобных схем основанных на людях. Код восстановления же никто на постоянке не использует (= у человека больше времени на подумать не делает ли он чот не то), а FIDO2 от подобного MITM защищён (= машинально применять можно).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

36. Сообщение от Аноним (36), 23-Сен-25, 22:52	+4 +/–
Лаптоп можно случайно полить кофе.. забыть в такси. причём вместе с сумкой где и резервный токен лежал.. еще раз, если чел озаботился САМ безопасностью то резервный токен у него будет лежать отдельно, но он и на поддельное письмо скорее всего не клюнет, и TOTP не подарит... а если клюнет, то скорее всего и токен будет пролюблен при первой же возможности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #107

37. Сообщение от morphe (?), 23-Сен-25, 22:53	+1 +/–
> Он пароль не отдаст фейковому сайту и не покажет коллеге за спиной. Сайты изменяются, и парольные менеджеры перестают определять формы входа порой. А на некоторых сайтах автозаполнение просто не работает. Поэтому у людей всё равно есть привычка механически копировать и вставлять данные, и в итоге они не защищены.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #62

38. Сообщение от penetrator (?), 23-Сен-25, 22:54	+1 +/–
> Файл можно незаметно украсть. Лаптоп — нет. если у тебя появился доступ к лаптопу и его файлам на уровне - что хочу то ворочу, то ты сможешь встроиться в пайплан и тебе никакой 2FA не поможет ну как можно надеяться на магический токен, если систему уже скомпрометирована? ну это же сюр
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #40

39. Сообщение от Аноним (36), 23-Сен-25, 22:57	+/–
Так буча и пошла именно с такой атаки. изнутри, при СИ скачивался заражённый модуль, тырил ключ (который при правильной организации процесса не должен был быть доступе для сборки, но был) и по нему коммитил свои грязные дела в репу. тут мы меняем токен системы А на токен системы Б и всё. больше ничего не меняется. если мы  могли угнать старый, то и сможем еще раз и новый. мы это токен даже никуда не отправляем, а коммитим прямо отсюда же. меняйте хоть 2 разА на дню. трояну не мешает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #43

40. Сообщение от morphe (?), 23-Сен-25, 23:00	+1 +/–
> ну как можно надеяться на магический токен, если систему уже скомпрометирована? ну это же сюр FIDO2 требует физического подтверждения присутствия, удачи что-то серьёзное провести автоматически и незаметно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #47, #63

41. Сообщение от morphe (?), 23-Сен-25, 23:02	+1 +/–
> А что из предложенного спасёт ? Fido2. Нормальная криптография вместо паролей, и проверка кто на самом деле ключ запрашивает идёт в железке, его нельзя так просто перехватить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

42. Сообщение от Аноним (47), 23-Сен-25, 23:05	+5 +/–
>Использование одноразовых паролей (TOTP) для двухфакторной аутентификации будет объявлено устаревшим Когда Micro$oft навязывал "2FA" на GitHubе, я предупреждал - это всё ради навязывания биометрического FIDO2 с аттестацией, включая TEE-аттестацию Windows Hello. Dсякие клоуны на опеннете троллили "но ведь TOTP не имеет никакой аттестации". Вот вам ваш TOTP. Что ваш хозяин прикажет - тем вас юзать и будут.
Ответить | Правка | Наверх | Cообщить модератору

43. Сообщение от morphe (?), 23-Сен-25, 23:05	+/–
> тут мы меняем токен системы А на токен системы Б и всё. > больше ничего не меняется. если мы  могли угнать старый, то > и сможем еще раз и новый. мы это токен даже никуда > не отправляем, а коммитим прямо отсюда же. меняйте хоть 2 разА > на дню. трояну не мешает. Раньше был постоянный токен которым пользователь сам руками распоряжался и мог по тупости его потерять, буквально из буфера обмена вставить не на том сайте/сохранить прямо в репу/чот ещё. С OIDC ты будешь авторизовать условный гитхаб на публикацию пакетов от твоего имени, и ответственным за получение одноразовых токенов будет уже гитхаб. Более того, все будут знать что это за токен, и откуда он пришёл, в случае утечки будет сразу понятно кто обосрался, в отличии от токенов, управление которыми доверяют прямо юзеру.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #141

45. Сообщение от Аноним (47), 23-Сен-25, 23:10	+/–
Тем, что нет TEE-аттестации и биометрии.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

47. Сообщение от Аноним (47), 23-Сен-25, 23:19	+/–
Можно робота сделать, который силиконовым муляжом пальца с фейковыми паппилярными узорами будет жать на токен с биометрией. Но эту проблему решат. Там в FIDO2 встроен механизм аттестации. Грубо говоря аттестацию можно свести к следующей максиме - "с несвоим (не произведённым своим альянсом, и тут не FIDO2 имеется в виду, а альянс производителя железа и хозяина платформы) железом и софтом дела не имеем". Поэтому отрубить вход не через Windows Hello - как нефиг делать, в стандарте эта возможность изначально заложена. Будешь как пользователь яблоустройств - не можешь целостное устройство нужной модели предъявить - значит вон на мусорный полигон пошёл, M$ не обязан благотворительностью заниматься, тебе хостинг бесплатно предоставляя, вот устройство купи, биометрию предъяви, тем самым сервис оплати - вот тогда добро пожаловать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #50

48. Сообщение от Аноним (48), 23-Сен-25, 23:23	+10 +/–
Ну это решение проприетарного Штоапа. При чём здесь Jabber вцелом? Виноват только тем, что Всосап тоже использовал XMPP ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #124

50. Сообщение от morphe (?), 23-Сен-25, 23:32	+/–
> Поэтому отрубить вход не > через Windows Hello - как нефиг делать, в стандарте эта возможность > изначально заложена. Если речь про аттестацию - то да, в стандарте действительно заложено, однако оно предназначено не для этого, и для такого юзкейса не поддерживается. Это действительно существует чтобы заменить кастомные драйвера что сейчас используются для карточек для входа на госпорталы на fido2, и это действительно может быть использовано для вендорлока, но это всё же имеет пользу. Кроме того, аттестация подтверждает лишь модель устройства, а не конкретное устройство, из-за чего это нельзя использовать в качестве web integrity/private access token/прочего drm. Сайты могут разрешить вход только через windows hello, но если вдруг windows hello получит возможность нарушать приватность (например будет передавать серийный номер устройства или чот ещё) - то аттестация для него будет отозвана глобально самими fido2, чего microsoft не захотят, ведь это нарушит работу намного большего числа сайтов. https://fidoalliance.org/fido-technotes-the-truth-about-atte.../
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #53

51. Сообщение от Аноним (51), 23-Сен-25, 23:36	–1 +/–
Не, время эту лапшу на уши вешать давно прошло. Сейчас время "ультраправых" политиков: нам не будут лапшу науши вешать про "вот он ГНУ, но ничего никуда никому не сольёт", вместо этого будут через колено ломать: заходить будете через госуслуги, а кто не хочет через госуслуги заходить - тот вообще никак заходить не будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #65

53. Сообщение от Аноним (53), 23-Сен-25, 23:42	+1 +/–
>однако оно предназначено не для этого Нет абсолютно любая аттестация именно для этого и предназначена: приказать скоту какой надо девайс купить, а скоту придётся либо подчиниться, либо к бомжам на мусорный полигон проваливать. >Сайты могут разрешить вход только через windows hello Вот видите, вы же фактически полностью со мной согласны. Не вижу ни малейшего несогласия. >но это всё же имеет пользу Для Micro$oftа пользу, и для его союзников и коллаборационистов. Не для меня. Для меня и любых адекватных людей это - сплошной вред.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #54

54. Сообщение от morphe (?), 23-Сен-25, 23:49	+/–
> Нет абсолютно любая аттестация именно для этого и предназначена: приказать скоту какой надо девайс купить, а скоту придётся либо подчиниться, либо к бомжам на мусорный полигон проваливать. Для этого не нужно ничего в FIDO2 добавлять, владельцы платформ при желании давно уже могли сделать лазейки для аттестации устройств от сайтов, это так нагло не делают потому что это противоречит антиминопольным законодательствам и GDPR. С FIDO2 смогут сделать, однако сдерживающая сила остаётся той же самой. > Для Micro$oftа пользу, и для его союзников и коллаборационистов. Не для меня. > Для меня и любых адекватных людей это - сплошной вред. Т.е лучше ставить непонятный кривой софт от госконтор чтобы можно было входить на госпорталы по CCID? ID карточки распространены по всей Европе, есть много где в Азии, и ещё во многих странах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #56

56. Сообщение от Аноним (56), 23-Сен-25, 23:55	+1 +/–
>Для этого не нужно ничего в FIDO2 добавлять, владельцы платформ при желании давно уже могли сделать лазейки для аттестации устройств от сайтов Что значит "могли"? Делали. Стандартизировали не для этого. А чтобы всех на него завязать. Без стандартизаци это не взлетит. А вот со стандартизацией - это ещё поработать надо, чтобы взлетело, скот приучить, что носить ошейник надо, а создателей сайтов - что скот без ошейника надо гнать ради их (владельцев сайтов) нескольких сребренников. Пока у скота ошейников массово нет - сайты не внедрят. А чтобы у скота ошейники были - надо через свои рычаги их наличия требовать. Вот они  реализуют этот план. >Т.е лучше ставить непонятный кривой софт от госконтор чтобы можно было входить на госпорталы по CCID? ID карточки распространены по всей Европе, есть много где в Азии, и ещё во многих странах. Вы этот софт всё равно ставить будете. Когда вам скажут would you kindly - вы ведь не откажете.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #58

57. Сообщение от Аноним (56), 23-Сен-25, 23:59	+/–
>Ну и не говоря о том что железные ключи практически бессмертные. Да что тут ключи, вы ведь и сами до 150 лет дожить небось надеялись, а там и бессмертия достичь...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

58. Сообщение от morphe (?), 24-Сен-25, 00:03	+/–
> Пока у скота ошейников массово нет - сайты не внедрят "Ошейники" в лице windows hello, play integrity api, и чего-то там у apple существуют уже много лет Применять их пытались через web integrity api, который намного лучше для таких задач подходит (зачем по твоему вообще web integrity api делали, когда webauthn по твоему полностью для тех же задач подходит?) Это так не работает > Вы этот софт всё равно ставить будете. Когда вам скажут would you kindly - вы ведь не откажете. Раньше альтернативы не было, а сейчас есть, и её поддержку постепенно внедряют.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #59

59. Сообщение от Аноним (59), 24-Сен-25, 00:12	+/–
>зачем по твоему вообще web integrity api делали, когда webauthn по твоему полностью для тех же задач подходит Я не говорил, что полностью подходит. WEI похоронили потому, что Apple - важный игрок4, и у неё есть свой аналог. С названием, от которого у скота паника не начинается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #60

60. Сообщение от morphe (?), 24-Сен-25, 00:43	+/–
> Я не говорил, что полностью подходит. WEI похоронили потому, что Apple - > важный игрок4, и у неё есть свой аналог. С названием, от > которого у скота паника не начинается. У эпла Private Access Tokens, при чём тут FIDO2?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #82

61. Сообщение от Аноним (28), 24-Сен-25, 01:11	–2 +/–
> Интересно, они понимают что большинство контрибьюторов на три буквы их отправит с этими пожеланиями? Минусы будут? Если разработчик не может разобраться как токенами пользоваться, он и как разработчик может не особо-то и нужен. А ну как pow от xor не отличит или ещё какую-нибудь такую дичь выкинет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

62. Сообщение от Ангним (?), 24-Сен-25, 02:10	+/–
Мой менеджер паролей (битварден) даже если не смог угадать форму, показывает только креды от сайта, на котором я нахожусь. Если мне надо куда-то зайти,а менеджер не показывает логины и их надо искать -  это небольшой такой колокол, что происходит какая-то стрёмная хрень.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

63. Сообщение от penetrator (?), 24-Сен-25, 03:14	+/–
>> ну как можно надеяться на магический токен, если систему уже скомпрометирована? ну это же сюр > FIDO2 требует физического подтверждения присутствия, удачи что-то серьёзное провести > автоматически и незаметно. а кто мне мешает от твоего имени действовать после того как ты аутенфицировался? перехватив сетевой трафик например? вот возьму и покажу тебе в банковском приложении, что платеж от Васи Баранова пополнил твой баланс на 1 млн долларов, и ты можешь "закрывать" сделку ))) а кто мне мешает показать тебе фейковый экран чего-нибудь с логином и заставить тебя нажать эту кнопку для входа? в общем "ну как можно надеяться на магический токен, если систему уже скомпрометирована?"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #69

64. Сообщение от Аноним (65), 24-Сен-25, 03:39	+/–
> в репозитории NPM решено реализовать дополнительные меры защиты: Предлагаю более эффективный вариант - запретить прием пакетов. К чему все эти голимые полумеры и издевательства над хипстерами? Это пожалуй единственный вариант как сделать безопасно при хипстерах в роли разработчиков, который и правда будет работать на практике.
Ответить | Правка | Наверх | Cообщить модератору

65. Сообщение от Аноним (65), 24-Сен-25, 03:41	–2 +/–
> через госуслуги заходить - тот вообще никак заходить не будет. Ага, в зимбабве или как там его - уже попробовали. И тут вдруг хипстеры как полезли на улицы из всех щелей. И таки вон те - несколько напряглись с такой фигни. Ж@па то - не казенная, за нее стремновато.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #76

66. Сообщение от Аноним (-), 24-Сен-25, 03:45	+/–
> Ну и не говоря о том что железные ключи практически бессмертные. А о том что делать если они все же сдохли или про@#$лись мы подумаем - потом. Хотя для начала - про@#$тся девелоперы. Ибо задолбаются канкан танцевать за право поработать бесплатно на корпорацию майкрософт. Это и так то - не бог весть какая привилегия.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #70, #86, #100

67. Сообщение от Аноним (-), 24-Сен-25, 03:47	+1 +/–
> Ну и не говоря о том что железные ключи практически бессмертные. Вероятно они так и сделали. Напоминаю! Мы про npm. Это яваскриптеры, Карл! Так что это - "highly likely"!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

69. Сообщение от morphe (?), 24-Сен-25, 03:59	+/–
Украсть файл намного проще чем активно атаку проводить Файл можно украсть полностью автоматически, а чтобы чот в банковском приложении показать - надо знать какой у юзера банк, какой браузер, и после этого слепить расширение которое будет направление перевода переделывать Опять же, разные классы атак, ты говоришь про таргетированную атаку, а не про автоматические скрипты которых 99%
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #92

70. Сообщение от morphe (?), 24-Сен-25, 04:02	+/–
SSH/GPG используешь? Железные токены имеет смысл брать как минимум ради него, просто потому что это удобно и безопасно Никто не заставлял до этого людей использовать железки, много разработчиков к ним успели привыкнуть задолго до того как npm решил их потребовать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #88, #111

71. Сообщение от Аноним (71), 24-Сен-25, 04:29	–3 +/–
И правильно, давно пора. Все эти токены, все это для соевых хипстеров. Нормальная защита начинается с двухфакторки по смс, а заканчивается на ограничении входа с определенного статического айпи. У нормальных разработчиков есть выделенка со статикой, а уж вторую симку купить, вставив её в "бабушкофон" который всегда будет лежать на одном месте и никуда не выноситься, это раз плюнуть.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #84, #89, #105

73. Сообщение от Аноним (73), 24-Сен-25, 07:37	–1 +/–
Я бы тоже не пользовался, но все приложения на электроне, сейчас.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #80

76. Сообщение от Жироватт (ok), 24-Сен-25, 08:25	+/–
tor-project уже давно не тот - донатов с печенькам этим хипстерам не всегда хватает уже, особенно после разгона Рыжим конторы по раздаче розовых единорогов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #117

77. Сообщение от Аноним (-), 24-Сен-25, 08:29    Скрыто ботом-модератором	+/–
Почему не используют стандартную защиту от подделок комаров как в: ядре Linux, Gentoo, Arch, ... ?!!
Ответить | Правка | Наверх | Cообщить модератору

79. Сообщение от Аноним (3), 24-Сен-25, 09:51	+3 +/–
Как протокол ответственнен за решение коммерческого сервиса, который его заюзал, предварительно изменив до неузнаваемости? Риторический вопрос, конечно же, омномниму с опеннета виднее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #125

80. Сообщение от пох. (?), 24-Сен-25, 09:54	+/–
чего это вдруг - фсе? Вот у меня уже второе реально нужное наклевывается на голой ноде. (у первого мордой настоящий браузер на машине юзера, а не этовашеелехтрон, а тут вообще консольное) И да, curl sudo su в качестве инструкции по установке. Как жы ещо!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #133

81. Сообщение от пох. (?), 24-Сен-25, 10:00	+2 +/–
> Он и не пользуется. угу, в лесу ж живет. И из сайтов только опеннет. Через lynx (и то плюсик без шкриптов не нажмется) > И у него никаких проблем в жизни нет еще б эти пещерные жители еще и не пользовались достижениями цивилизации через других людей (от записи к врачу до покупки бухла) - просто лежали б себе в лесу в колоде, ждали смерти - то и вреда б от них не было почти никакого. > типа описанных в соседних новостях. Вот он и спрашивает, для чего > этим пользуются другие. для чего вообще компьютером пользоваться? Для выдалбливания себе помиральной колоды он совершенно не подходит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #136

82. Сообщение от Аноним (82), 24-Сен-25, 10:32	+/–
Так это ты притянул WEI. Общего у трёх технологий только то, что во всех них есть аттестация, причём в PAT она необязательно аппаратная, это уже детали как вендор реализует, общее одно - это все технологии для того, чтобы скоту навязывать конкретных вендоров и их говно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

84. Сообщение от Аноним (82), 24-Сен-25, 10:38	+/–
>Нормальная защита начинается с двухфакторки по смс А что не сразу с первого отдела, оформления допуска и пары автоматчиков на проходной?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

85. Сообщение от Аноним (85), 24-Сен-25, 11:19	+8 +/–
Небось для тебя и биометрией платить удобно, да?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #87, #102

86. Сообщение от Аноним (85), 24-Сен-25, 11:27	+/–
>А о том что делать если они все же сдохли или про@#$лись мы подумаем - потом Зачем - потом? Вот приходишь в офис с выданным Хозяевами ID, предъявляешь его, платишь пошлину, фотографируешься, сдаёшь отпечатки, чтобы всяким не членам Хозяйской ОПГ было неповадно, ведь если ты самозванец и к чужому аккаунту так доступ получить хотел без одобрения Хозяев, то будешь турма сидеть, компания пишет на почту, привязанную к аккаунту, ты либо не отвечаешь, либо отвечаешь "да, это я", и тебе всего через месяц берут и дают доступ к "твоему" аккаунту.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

87. Сообщение от Аноним (87), 24-Сен-25, 11:42	+1 +/–
У меня нет оплаты билметрией. Но оцениваю это как вторжение туда куда не нужно. Как это связано с аппаратными токенами? Токен можно собрать, хоть на Ардуино с аппаратным USB. Можно купить секьюрный от юби или гугл титан. Можно чуть менее секьюрный, но опенсурсный и прошиваемый от SoloKeys/Nitrokey.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85 Ответы: #90

88. Сообщение от Аноним (88), 24-Сен-25, 11:51	+/–
> просто потому что это удобно и безопасно дык ничего с точки зрения безопасТности то и не изменилось, достаточно подменить known_hosts и вы сто лет знать не будете куда подключаетесь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #112

89. Сообщение от Аноним (87), 24-Сен-25, 11:53	+/–
>вставив её в "бабушкофон" С китайской прошивкой который все когда и переотправит сам с этой же симки по смс, лол. >есть выделенка со статикой Некоторые хостеры всё ещё разрешают спуфить исходящий ip, ну и если ты уже часть ботнета вайтлист это иллюзия.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #118

90. Сообщение от Аноним (90), 24-Сен-25, 12:22	+/–
Я делал для базы паролей KepassXC со вторым фактором с помощью обычной флешки, не заморачиваясь с YubiKey
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87 Ответы: #94

92. Сообщение от Аноним (92), 24-Сен-25, 13:22	+1 +/–
> Украсть файл намного проще Отвечу твоими словами: надо знать какой дом у юзера, какая папка хранит файл, и после этого залезть в дом, выкрасть планшет, взломать логин, найти файл, прочитать пароль. Или ты думаешь, планшет с паролями открыто в инете сидит?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

93. Сообщение от Аноним (93), 24-Сен-25, 13:27	–1 +/–
Я правильно понимаю, что у местных экспертов поднялся вой из-за перехода на стандарт безопасности, которому больше 10 лет и он даынм давно везде реализован и применяется, но по мнению местных экспертов это сырая смузитехнология?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #101

94. Сообщение от Аноним (94), 24-Сен-25, 13:44	+1 +/–
> Я делал для базы паролей KepassXC со вторым фактором с помощью обычной > флешки, не заморачиваясь с YubiKey А можете поделтиться вашим примером, каким образом вы это реализовывали и если это где-то есть в отрытом виде, то поделитесь пожалуйста ссылочкой?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90

95. Сообщение от torvn77 (ok), 24-Сен-25, 14:08	+/–
>Вот это их хлопнуло по голове. Интересно, они понимают что большинство контрибьюторов на три буквы их отправит с этими пожеланиями? В целом согласен, просто им следовало сделать условие что каждый публикуемый файл должен иметь цифровую подпись которая находится либо внутри него, либо если формат не позволяет то во внешнем файле и без этого файл к публикации не принимается. Ну а пароли хоть 12345678 делайте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #109

96. Сообщение от User (??), 24-Сен-25, 14:11	+/–
Ну, если ты рандомный файл с паролем в TPM держишь и автоматически подставляешь его по факту соответствия URL'у - то не то, чтобы "ничем" - но все равно отличается. U2F и прочие passkeys криптографию с открытым ключом и защитой от replay атак используют, чего с der parol вводимый хрен пойми куда - добиться затруднительно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

97. Сообщение от User (??), 24-Сен-25, 14:24	+/–
Ээээ... с чего бы? У большинства из них нормальная реализация webauthn\passkeys будет "из коробки" и совершенно забесплатно с хранением ключей в недрах TPM, у кого-то еще и аппаратный ключик в хозяйстве найдется. А 2,5-4% нуээээ... Те, у кого не hello, world - думаю, тоже справятся, а "комментаторов opennet" и не жалко.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #110

98. Сообщение от Аноним (98), 24-Сен-25, 14:26	+/–
>Вот это их хлопнуло по голове. Дайте им мозгов уже. И настучите по голове, чтоб извилины появились, наконец...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

99. Сообщение от User (??), 24-Сен-25, 14:27	+/–
А вот в linux'е с этим, кстати, проблемочки. system-wide решения, работающего с TPM не завезли (Но есть костыль!) - пользуйтесь ну... вот... keepassxc!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

100. Сообщение от User (??), 24-Сен-25, 14:28	+/–
> А о том что делать если они все же сдохли или про@#$лись мы подумаем - потом. Ох, ну ВЫ конкретно - да, потом. Или нет - вообще думать не будете. А для всех остальных - вот шо в инструхции на эти самые ключи, шо в форме регистрации на сайте шо делать - написано.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

101. Сообщение от Аноним (101), 24-Сен-25, 14:30	+/–
Нет, неправильно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93 Ответы: #152

102. Сообщение от Димая (?), 24-Сен-25, 14:37    Скрыто ботом-модератором	+/–
Вся твоя биометрия давно и везде есть. Почему ты в интернете?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85

103. Сообщение от User (??), 24-Сен-25, 15:03	+/–
Как ты думаешь - сработало бы оно при использовании 2FA\Fido\webauthn\passkeys?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

104. Сообщение от User (??), 24-Сен-25, 15:05	+/–
Эээ... да примерно все. Нет, если вы сумеете еще и комплиментарный закрытому ключу на U2F открытый в свой фишинг-сайт запихнуть - то таки да, проблемочки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

105. Сообщение от User (??), 24-Сен-25, 15:08	+/–
Ага, ага. Второй фактор, для которого любой Васян из салона сотовой связи может склонить симку (Мамой клянус, потерял! Выпиши новую, камандыр!) - ааатличная идея, надежная, как швейцарские часы!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

106. Сообщение от Аноним (-), 24-Сен-25, 15:26	+/–
> NPM, походу, решил себя закопать. Это ж майкрософт, сэр. Угробили виндофон, угробили скайп - и ноджыэс угробят ничуть не хуже. Потому что могут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

107. Сообщение от Аноним (-), 24-Сен-25, 17:04	+/–
> Лаптоп можно случайно полить кофе.. забыть в такси. причём вместе с сумкой > где и резервный токен лежал.. И вот тут ты поговоришь с AI на тему восстановления твоего аккаунта. В смысле, удачи! :) > еще раз, если чел озаботился САМ безопасностью то резервный токен у него > будет лежать отдельно, но он и на поддельное письмо скорее всего > не клюнет, и TOTP не подарит... а если клюнет, то скорее > всего и токен будет пролюблен при первой же возможности. Дилемма: как решить человеческую проблему "разработчик - долбоящер" техническими методами? Spoiler: эта проблема не имеет решения. Но очень хочется - долбоящеры ж дешевле!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

108. Сообщение от Анонус (?), 24-Сен-25, 17:06	+4 +/–
Я вот оглядываюсь по сторонам, и понимаю что в случае если я этот аппаратный токен потеряю - у меня будет невероятная головная боль. 2FAS Auth какой нить хотя бы бэкапится в google drive, а тут как?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #132

109. Сообщение от Аноним (-), 24-Сен-25, 17:12	+/–
> В целом согласен, просто им следовало сделать условие что каждый публикуемый файл > должен иметь цифровую подпись которая находится либо внутри него, либо если > формат не позволяет то во внешнем файле и без этого файл > к публикации не принимается. Просто потребовать подписывать пакет *уже* *известным* ключом дева для заливки новой версии? Блин, это слишком просто и логично для адептов ноджыэса, и слишком надежно. И как тогда уважаемымые партнеры будут распродажи хардварных ключей фигачить? А если почитать описалово U2F - довольно мутноватый протокол с мутноватыми решениями. И атаки известны. В том числе и на столь продвигаемый тут гугл титан.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95

110. Сообщение от Аноним (-), 24-Сен-25, 17:14	+/–
> Ээээ... с чего бы? У большинства из них нормальная реализация webauthn\passkeys будет > "из коробки" и совершенно забесплатно с хранением ключей в недрах TPM, ...а потом, когда сдохнет мамка, или на ноут прольют кофе, или что там за фигня - наступит внезапный УХТЫБЛИН. Достаточно интересный, судя по описанию - ибо recovery на этот случай штатно средствами этой штуки не регламентирован, и каждый будет др@#$ть вприсядку как умеет. Или прсото никак. Скажут - вы более не девелопер вашего пакета. Клюйте. Оспорить можно в спортлото. И пойдете - клевать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97 Ответы: #119

111. Сообщение от Аноним (-), 24-Сен-25, 17:23	+/–
> SSH/GPG используешь? Ото ж. И конечно они не требуют от меня никаких токенов. Требовали бы - врядли бы использовал. Вот прям так. Ибо развлекаться с тыканием что попало в usb - элементарно неудобно. И если б только это. > Железные токены имеет смысл брать как минимум ради него, просто > потому что это удобно и безопасно ...и еще бизнесок уважаемым партнерам делает. Но мне не нужен тул который я не могу забэкапать. Ибо если токен пролюбится, сломается или что еще - я налечу на доступ. Даже если это можно сбэкапать, судя по u2f это отдельный головняк. И просто "забэкапать state системы вот сюда" - не, блин, это надо еще отдельные entity плотно мониторить. Иначе оно - отвалится. И это целый новый слой рисков, факапов и неудобств. К тому же конкретно u2f полностью долбанут на вебе, судя по описанию. > Никто не заставлял до этого людей использовать железки, много разработчиков к ним > успели привыкнуть задолго до того как npm решил их потребовать. Флаг у руки этому контингенту и барабан на шею. Я предпочту не иметь ничего общего с этими господами. Особенно когда надо то было - всего навсего затребовать подпись дева на пакете, уже известным ранее ключем, а не весь этот ацкий brain damage и канкан во имя луны. Если дева настолько крякнули что и пакет подписывают - ну ему и код пропатчат, и там надо - стопать прием изменений от этого кадра уже. А не заниматься всем вон тем brain damage да еще с покусом вебом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #122

112. Сообщение от Аноним (-), 24-Сен-25, 17:26	+/–
> дык ничего с точки зрения безопасТности то и не изменилось, достаточно подменить > known_hosts и вы сто лет знать не будете куда подключаетесь. 1) Если мне кто-то может подменить known_hosts, он, очевидно может подменить мне и мои сорцы, и мой ввод с клавиатуры. И в целом - остальные в этом случае должны просто прекратить весь прием новых версий от меня вообще, до выяснения. Иначе - получат какой-то треш. 2) А в чем прикол то - дать мне поменеджить хацкерский хост? Может, просто дали бы мне бесплатный ssh? Я и без таких сложностей там порулю, каких-нибудь прикольных сервисов для себя настрою, конечно не особо доверямых - но как-то полезных мне.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88 Ответы: #121

113. Сообщение от AnonNym (?), 24-Сен-25, 17:29	+/–
> Использование одноразовых паролей (TOTP) для двухфакторной аутентификации будет объявлено устаревшим. Пользователи будут переведены на протокол FIDO U2F. т.е. протокол FIDO U2F подразумевает использование (исключительно) аппаратных ключей. Получается так по идее.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #123

115. Сообщение от Соль земли2 (?), 24-Сен-25, 17:35	+/–
> Всё то, что мне начинает нравится, скатывается... KDE, Gnome, Ubuntu, Jabber... Начали за здравие... Ничто не вечно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

116. Сообщение от Соль земли2 (?), 24-Сен-25, 17:39	+/–
Ну аппаратный токен - это всё таки отдельная железка, что уже избавляет от программных уязвимостей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

117. Сообщение от Аноним (-), 24-Сен-25, 17:39	+/–
> tor-project уже давно не тот - донатов с печенькам этим хипстерам не > всегда хватает уже, особенно после разгона Рыжим конторы по раздаче розовых > единорогов. Да при чем тут тор прожект? В зимбабве или как его там, непале - просто вырубили социалочки. Ну хипстеры и спалили им парламент. Был непал - стал подпал. Заметьте, подпал то вышел - с уже выключенными социалочками. И тут из зала подсказывают - в 1917 вообще никаких социалок не было. А 314ли задолбавшим приспешникам царизма - навешали только в путь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76 Ответы: #143

118. Сообщение от Аноним (-), 24-Сен-25, 17:45	+/–
> Некоторые хостеры всё ещё разрешают спуфить исходящий ip, ну и если ты > уже часть ботнета вайтлист это иллюзия. Но это работает только с udp - ибо только в 1 сторону. А ответные то пакеты на левый айпи ты не получишь. И вот что ты будешь делать кроме флуда пакетами?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89

119. Сообщение от User (??), 24-Сен-25, 17:49	+/–
Ээээ... Ну я несколько более лудшего мнения о среднем разработчике и предполагаю, что он способен прочитать чёрные и такие разные! буквы и таки распечатает или сохранит recovery codes В password manager's, после чего НЕштатная ситуация решится вполне себе штатными средствами... Но судя по бегающему тут ъ-энтерпрайз-форчун500 анониму, продолбавшему сохраненный в браузере пароль и ниасилившему гитхабовскую капчу - возможны, конечно, варианты. Opensource какиры - они таки, суровыя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110 Ответы: #126

121. Сообщение от Аноним (88), 24-Сен-25, 18:27	+/–
> он, очевидно может подменить мне и мои сорцы, и мой ввод с клавиатуры. для перехвата ввода с клавиатуры необходимо исполнять код в системе, а это палевнее, чем подменить айпишник сервера к которому подключаетесь. > А в чем прикол то - дать мне поменеджить хацкерский хост? Человек по середине - не "поменеджить хацкерский хост", он проксирует на реальный хост. пс: Используете вы железный ключ или нет, юзаете только пароли или нет - не меняет кардинально ничего в архитектуре безопасности ссх. Хост к которому вы подключаетесь необходимо верифицировать, а для этого в ссх ничего не сделали, кроме сохранения при первом подключении в обычный файлик фингерпринта от удаленного сервера, никакой при этом верификации и заверения (подписыванием к стати тем самым железным ключом) этого файла нет, я уже промолчу про заверения даже бинарных файлов ссх при каждом запуске (этого нет в системе даже), а так бы железным ключом все эти проверки можно было сделать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #112 Ответы: #127

122. Сообщение от morphe (?), 24-Сен-25, 18:56	+/–
> Но мне не нужен тул который я не могу забэкапать. Кто сказал что нельзя? Внутри обычный opengpgcard интерфейс, можешь ключ генерировать сразу внутри, а можешь сгенерировать снаружи и вовнутрь загрузить (keytocard команда), локальную копию куда-то забекапить и удалить, чтобы использовалась железная. FIDO2 сложнее, это зависит от реализации, на nitrokey ключ возможно вгрузить через PIV интерфейс например.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111 Ответы: #129

123. Сообщение от Аноним (92), 24-Сен-25, 19:06	+1 +/–
Не просто аппаратных, а думают на будущее: конкретных вендоров.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113

124. Сообщение от Аноним (28), 24-Сен-25, 19:18	+/–
А больше публичных сетей такого размера и не существует. Вацап — единственный пример, когда джаббер взлетел.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #130

125. Сообщение от Аноним (28), 24-Сен-25, 19:19	–1 +/–
А что, есть какие-то другие истоии про головокружительный успех джаббера? Про то, как ты и ещё 3,5 анонима полняли себе jabbed на впс за доллар не интересны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

126. Сообщение от Аноним (-), 24-Сен-25, 19:45	+/–
> распечатает или сохранит recovery codes В password manager's, после чего НЕштатная > ситуация решится вполне себе штатными средствами... ...в виде атакующего с фэйк сайтом, показывающим - login failed, recover? Введите код recovery! Спасибо! Успех! Мы вас - лоханули! Goto 1 :D КМК этот майкрософтовский кластерфак будет работать примерно так. Глядя на все это их 2FA на гитхабе. Т.е. делает мозг оно всем - кроме собственно атакующим. Которые атаку проводят не так как это задумали всякие, типа вас. > Но судя по бегающему тут ъ-энтерпрайз-форчун500 анониму, продолбавшему > сохраненный в браузере пароль и ниасилившему гитхабовскую капчу - возможны, > конечно, варианты. Opensource какиры - они таки, суровыя. Ну дык, жр@ать гамно с лопаты просто потому что это делаете вы - не в моих правилах. Так себе это и запишите. И майкрософт - если описывать мое отношение к ним вкратце: они меня за...ли! И лучшее что с ними может случиться - я их развижу. Навсегда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #119 Ответы: #142

127. Сообщение от Аноним (127), 24-Сен-25, 20:43	+/–
> для перехвата ввода с клавиатуры необходимо исполнять код в системе, а это > палевнее, чем подменить айпишник сервера к которому подключаетесь. А для подмены айпишника - код запускать не нужно? Да и к чему такие сложности, если цель червяк - пропатчить сорец эффективнее того изврата. Я его потом сам залью куда надо, если буду долбоящером и прохлопаю подарок. Более того. Это мог быть и хостнейм. И конект - вколочен не в known_hosts, оно не в курсе что айпищник или хост надо другой ыидите ли юзать. А атакующий врядли в курсе что и где, автоматическая атака почти наверняка сольется, да и мануально атакующий будет долго на ноль делить. Так что скорее всего ssh или ничего не сделает или взвоет что fingerprint хоста неизвестный, если легитимная запись испорчена. Первое нормальный конект. Второе немедленно тиггернет расследование, и я малость умею в форенсик. >> А в чем прикол то - дать мне поменеджить хацкерский хост? > Человек по середине - не "поменеджить хацкерский хост", он проксирует на реальный хост. Ну для начала вот именно посередине влезть даже в случае хомы то - довольно канительно. А в именно моем случае - не, это не сработает. На самом деле - ЭТОТ сценарий обломится по примерно дюжине причин. Насколько мне нужны 3rd party "благодетели" для защиты меня от чего либо - вы наверное догадались уже. > пс: Используете вы железный ключ или нет, юзаете только пароли или нет > - не меняет кардинально ничего в архитектуре безопасности ссх. Хост к > которому вы подключаетесь необходимо верифицировать, а для этого в ссх ничего > не сделали, кроме сохранения при первом подключении в обычный файлик фингерпринта > от удаленного сервера, Это уже довольно неплохо. Ибо если вы думаете что сможете убедить меня сконектиться ssh к левому айпи _и_ пройти проверку фингеопринта, я думаю что вероятность этого - в районе плинтуса. > никакой при этом верификации и заверения (подписыванием к > стати тем самым железным ключом) этого файла нет, И хрен с ними с вашими железными ключами. И протоколами долбанутыми на вебе заодно. Ибо если кто мне патчит такой файлик - он для начала сорц мог запатчить два раза. Потом это само вообще будет залито - если я прошляплю подарок. Правда, у меня есть привычка проверять что, кому и почему я заливаю и вот тут - скорее всего будет запалено. Да и есть такая штука - ревью. Я активно пинаю ALL чтобы они не верили моему коду на слово и ЧИТАЛИ что я налил. Потому что - доверяй, но проверяй. > я уже промолчу про заверения даже бинарных файлов ссх при каждом запуске (этого нет > в системе даже), Видите ли, до того как читать лекцию надо убедиться где профессор, а где студент. Иначе некузяво получится. Ну так вот, для "эксперта" сообщаю: 1) Я сам немного "хакаю" свой ssh превентивно. По своим причинам. Как side effect это скорее всего обломает немало атак, ибо поляна уже занята, вот прямо мной. Это будет работать не так как атакующий себе представлял. 2) Кстати, FYI, все это - не меняет код файла ssh - ни на бит. Так что с одной строны у меня есть гранд оверрайд и я могу сам вклиниваться в поведение программ как сочту нужным. С другой - подписи на бинарь не заметят - вообще совсем ничего. Ну что, эксперт, прочитали мне лекцию по безопасности? > а так бы железным ключом все эти проверки можно было сделать. Вера в серебряную пулю - это прекрасно конечно. Но я лучше буду верить - в умение атаковать - и тогда я буду знать как защищать свои системы. Никто не ломится в прочную стальную дверь любезно поставленную вами "спецом для плохих парней". Намного проще пнуть пару раз вот эту стену сбоку, с осыпаюшимися кирпичами - и просто зайти в образовавшуюся дыру. Вы даже это не понимаете - но зачем-то лезете меня чему-то учить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #121 Ответы: #135

128. Сообщение от Аноним (128), 24-Сен-25, 20:51	+/–
А зачем это все надо? По ключам как в ssh нельязя сделать аутентификацию? Чего они там ловить будут? попросят в email закрытый ключ им отправить?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #149

129. Сообщение от Аноним (-), 24-Сен-25, 21:01	+1 +/–
> Кто сказал что нельзя? Внутри обычный opengpgcard интерфейс, можешь ключ > генерировать сразу внутри, а можешь сгенерировать снаружи и вовнутрь > загрузить (keytocard команда), локальную копию куда-то забекапить и удалить, > чтобы использовалась железная. Тем не менее, это рушит юзабилити, сделано довольно странно, несколько атак и проч описаны прям в википедии - особенно английской - риски и факапы остаются. А главное: если сервис допускает рекавери профаканого токена - не понятно что помешает атакующему развести на это юзера. А если не допускает - тогда при первом же отклонении от идеала ("usb разъем отломался" или что там) - юзеру будет мучительно больно. Но что самое веселое - это все никак не проверяет контент, его аутентичность и проч. Т.е. оно вообще решает - какую-то совершенно не релевантную сабжу задачу. > FIDO2 сложнее, это зависит от реализации, на nitrokey ключ возможно вгрузить через > PIV интерфейс например. И вот на вид - много гимора с небольшими или отсутствующими бенефитами. Да еще на вебе долбануто. Так что для себя я предпочту это все не трогать даже трехметровой палкой. А по логике вещей - на самом деле все что надо было тем чудакам - потребовать девов подписывать все заливаемые пакеты - своими уже заранее известными ключами. Вот это и атаковать неудобно, и защищает - именно контент, проверяя что он именно от обещанной тушки исходит, а не кого-то еще, и та тушка проштамповала подпись взяв ответственность за содержимое на себя. При продолбе ключ просто отзывается и более оно залить ничего не сможет уже. А если потребовать чтобы за сэра вписалось несколько участников проекта подписав его ключ ДО того как он сможет пакеты релизить - атаковать это станет неудобно, сложно, канительно и станет возможен traceback на тему того кто апрувнул атакующего или долбоящера.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #122

130. Сообщение от Аноним (130), 24-Сен-25, 21:47	+/–
https://xmpp.org/uses/instant-messaging/#projects-using-xmpp... https://xmpp.org/uses/gaming/#online-games-using-xmpp https://xmpp.org/uses/social/#projects-using-xmpp-social https://xmpp.org/uses/webrtc/#projects-using-webrtc-with-xmpp https://xmpp.org/uses/internet-of-things/#realized-example-p... Ещё, почему-то, не увидел там Одноклассники - в скором, единственную соцсеть доступную в РФ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #124 Ответы: #137

132. Сообщение от OpenEcho (?), 24-Сен-25, 23:32	+1 +/–
> Я вот оглядываюсь по сторонам, и понимаю что в случае если я этот аппаратный токен потеряю - у меня будет невероятная головная боль. Очень правильно понимаете ! > 2FAS Auth какой нить хотя бы бэкапится в google drive, а тут как? Как правило, все кто предосталяют возможность юзать аппаратные ключи, всегда перед его добавлением в акаунт, выдают бэкап код(ы) - как раз для таких случаев
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108

133. Сообщение от OpenEcho (?), 24-Сен-25, 23:42	+/–
> Вот у меня уже второе реально нужное наклевывается на голой ноде. Вот это очень интересно услышать названия этих годных от самого пох-а
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80 Ответы: #145

134. Сообщение от OpenEcho (?), 24-Сен-25, 23:47	+/–
> FIDO2 хорош тем, что ключ не будет выдан, если домен отличается. Да ну !!! И сплит ДНС не поможет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #138

135. Сообщение от Аноним (88), 24-Сен-25, 23:57	+/–
> А для подмены айпишника - код запускать не нужно? Нет, если злоумышленник контролит сетевой шлюз, крайняк какой-нить арп спуфинг. > Более того. Это мог быть и хостнейм. Там главное заменить публичный ключ и фингерпринт. Чтобы при повторном подключении не ругался на ключ от MiTM-а. > Первое нормальный конект. Второе немедленно тиггернет расследование, и я малость умею в форенсик. MiTM ssh proxy прозрачно и быстро сработает, вы даже не заметите разницу. Тут главное контролировать сетевой шлюз, то есть "в разрез". > Ну для начала вот именно посередине влезть даже в случае хомы то > - довольно канительно. Пффф, врезаться в ваш домашний кабель проблема? Я просто описываю схему не для домашнего диванного мамкиного-хакира, а реальный полевой юзкейс. Подмена known_hosts не вызывает внимания, можно на MiTM прокси искать последовательность байт равная оригинальному хостовому публичному ключу и ее подменять на лету, чтобы сокрыть присутствие когда юзер решит сравнить "cat /etc/ssh/ssh_host_rsa_key.pub". (хотя зачем, пароль от сервака уже перехватили, можно и там подменить хостовые ключи и отключить MiTM прокси, чтобы на лейтенси не влиять и пассивно дешифровывать ссх траффик между сервером и клиентом) > Это уже довольно неплохо. Ибо если вы думаете что сможете убедить меня > сконектиться ssh к левому айпи _и_ пройти проверку фингеопринта, я думаю > что вероятность этого - в районе плинтуса. Зачем к левому? Мне только нужно один раз заменить у вас known_hosts и сделать MiTM ssh proxy реального сервера (в разрез), при первом подключении я получу пароль от реального сервера, подключусь к нему и заменю (украду) там серверные ключи, чтобы потом пассивно расшифровывать весь ссх трафик (ну и сам сервак уже под контролем будет). > И хрен с ними с вашими железными ключами. И протоколами долбанутыми на > вебе заодно. Ибо если кто мне патчит такой файлик - он > для начала сорц мог запатчить два раза. Через любую багу позволяющую перезапись произвольного файла в системе пользователя можно реализовать это (привет всяким архиваторам :)) Главная цель же беспалевно получить доступ к вашим сервера. Один раз подменил, один раз перехватил пароль от сервера и вуаля, нет никаких следов. И какой бы механизм аутентификации и авторизации вы бы не использовали бы это вас не спасет, само приложение ссх по дизайну инсекюрно. Оно всю ответственность по верификации сервера переложило на плечи пользователя и при этом дав вредный механизм верификации (known_hosts) создающий ложную уверенность о безопасности. > Потому что - доверяй, но проверяй. Таки да, а на деле - спихнули все на пользователя. > Видите ли, до того как читать лекцию надо убедиться где профессор, а > где студент. Иначе некузяво получится. С чего вы взяли, что я собрался тут лекцию читать? Я же сказал "я уже промолчу про ...", если вам интересно - могу рассказать, если нет, да ради Бога, ни вас на место студента ни себя на место профессора я тут не ставил, короче разговор не по существу. > 1) Я сам немного "хакаю" свой ssh превентивно. По своим причинам. Как > side effect это скорее всего обломает немало атак, ибо поляна уже > занята, вот прямо мной. Это будет работать не так как атакующий > себе представлял. Это предложение мне напоминает кривой перевод с какого-то китайского, я не понял что значит "Как side effect это скорее всего обломает немало атак, ибо поляна уже занята, вот прямо мной"? > 2) Кстати, FYI, все это - не меняет код файла ssh - > ни на бит. Так что с одной строны у меня есть > гранд оверрайд и я могу сам вклиниваться в поведение программ как > сочту нужным. С другой - подписи на бинарь не заметят - > вообще совсем ничего. Любой "кривой архиватор" переписал вам бинарь ссх клиента, как вы заметите подмену не делав никаких при этом проверок сверок хеш сумм и т.д.? Сама система должна при запуске проверять подпись бинаря (а бинарь то должен быть подписан вашим железным ключем, а не каким-то майкрософтом). > Ну что, эксперт, прочитали мне лекцию по безопасности? А чего мне вам читать, если до вас не доходит, что все, что вас окружает в этой войтишной сфере инсекурно по дизайну. > Вера в серебряную пулю - это прекрасно конечно. Но я лучше буду > верить - в умение атаковать - и тогда я буду знать > как защищать свои системы. Вера - понятие не математическое! Безопасность - процесс! Моделирование атак - часть этого процесса! > Вы даже это не понимаете - но зачем-то лезете меня чему-то учить. И чему я вас научил? Это что за детский разговор? Мне написать какого Х ты на мой комент ответил? Ты бл* кто такой? Так что ли с вами общаться? Ок, "удачи".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #127 Ответы: #140

136. Сообщение от Аноним (-), 25-Сен-25, 01:18	–1 +/–
> для чего вообще компьютером пользоваться? Для выдалбливания себе помиральной колоды он > совершенно не подходит. А ты что с NodJS и софтом на нем вообще делаешь? Хотя я знаю что - про таких говорят что мол, везде грязь найдет. Хотя ты даже и покруче грязи найдешь. И еще расскажешь как в это запрыгнуть правильно, с разбега, чтоб во все стороны и с брызгами. И когда все наконец в крапинку и воняет - во, это тебе по вкусу. Но можешь уже закупать себе токен и прокачивать скилл целования ботинок майкрософта. Правда а у тебя есть хоть 1 комит в их пакеты? Или ты чисто из рабской солидарности ботинки лобызать хозяину лезешь, чтоб тем не так обидно было?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81

137. Сообщение от Аноним (28), 25-Сен-25, 02:21	+/–
По первой же ссылке, тройка лидеров с проприетарными версиями и расширениямт, без федерации. Всё ещё жду чудо-истории про федеративный джаббер с сотнями миллионов клиентов
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #130

138. Сообщение от Аноним (28), 25-Сен-25, 02:24	+/–
Прикинь?! Вот это чудо-технологии! Волшебство прямо какое-то.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #134 Ответы: #144

139. Сообщение от Кошкажена (?), 25-Сен-25, 02:58	+1 +/–
Вряд ли это что-то поменяет. Проблема npm в культуре тамошних разработчиков, точнее ее отсутствии.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #156

140. Сообщение от Аноним (-), 25-Сен-25, 03:58	+/–
> Нет, если злоумышленник контролит сетевой шлюз, крайняк какой-нить арп спуфинг. Вы не находите что сочетание сценариев когда некто 1) Захватывает сетевой шлюз 2) Может менять в системе файлы ...довольно сложный, редкий и потому - довольно маловероятный сценарий атаки? Не говоря о том что если атакующий это смог, он и еще дофига чего может. И в целом это означает что у меня более 9000 проблем. Никакой токен меня от ЭТОГО не спасет, это BS полный. > Там главное заменить публичный ключ и фингерпринт. Чтобы при повторном подключении не > ругался на ключ от MiTM-а. Spoiler: но на _мне_ это работать не будет. По полдюжине разных причин. Например: тут нет default gateway. Интересно, как его под контроль взять? Я не для себя, друг интересуется. > MiTM ssh proxy прозрачно и быстро сработает, вы даже не заметите разницу. > Тут главное контролировать сетевой шлюз, то есть "в разрез". Это требует совпадения сразу 2 условий. Оба из которых не особо просты в реализации. Тем более для автоматического червяка. А если мы про хак девов, логичнее сорц пропатчить, и хрен с ним с гейтвеем, а? Зачем такие сложности? > Пффф, врезаться в ваш домашний кабель проблема? Не даст ожидаемого эффекта в моем случае. > Я просто описываю схему не для домашнего диванного мамкиного-хакира, > а реальный полевой юзкейс. Подмена known_hosts не вызывает внимания, Как я сказал - атака с неудобными допущениями, достаточно канительная в реализации из-за нужды подогнать 2 фактора. Явно не про червяка который на автомате фигачит. А если мы про более кастомные атаки, почему я не могу примерять как оно было бы - прям на мне? > присутствие когда юзер решит сравнить "cat /etc/ssh/ssh_host_rsa_key.pub". ...но этот хитрый план обломается если посмотреть фингерпринт. Или если ключ не RSA. Т.е. опять же довольно хрупко все. Но в моем случае до этого не дойдет. Обломается и 1) и 2). И зачем мне ваши токены? > (хотя зачем, пароль от сервака уже перехватили, можно и там подменить хостовые ключи > и отключить MiTM прокси, А если я по ключу авторизовался - что вы перехватите? Этот обмен и не был секретным. На то оно и публичная криптография. > Зачем к левому? Мне только нужно один раз заменить у вас known_hosts > и сделать MiTM ssh proxy реального сервера (в разрез), И еще рояль в кустах. Совершенно случайно. Правда и первая и вторая часть балета здорово добломается в моем случае. Думаете, замена _тут_ known_hosts на что-то где-то повлияет? :) > трафик (ну и сам сервак уже под контролем будет). ...поэтому я немного более аккуратен с серверами которыми я управляю. И делаю это немного более ответственно, дабы все это у таких господ не катило :). > Через любую багу позволяющую перезапись произвольного файла в системе пользователя можно > реализовать это (привет всяким архиваторам :)) Если вы долбанете допустим этот браузер - вы заметите что система подозрительно пустая. Если вы даже пробьете контейнер, окей, но это лишь browser vm. Перезапись в котором known_hosts бесполезна чуть менее чем полностью. Я не рулю отсюда ничем. Даже если забыть про отсутствие дефолтного гейта который надо как-то взять под контроль. > Главная цель же беспалевно получить доступ к вашим сервера. Я в курсе, равно как в курсе что интернет не есть дружественная среда. Поэтому предпринял ряд технических и организационных мероприятий чтобы вон то не вызвало ничего кроме лулзов. Power comes with responsibility. > Один раз подменил, один раз перехватил пароль > от сервера и вуаля, нет никаких следов. В моем случае этот сценарий просто не будет работать по куче причин. А для кряка рандомного хомы, тем более червяком - слишком сложно. > верификации сервера переложило на плечи пользователя и при этом дав вредный > механизм верификации (known_hosts) создающий ложную уверенность о безопасности. Вообще-то несекурно - давать доступы долбоклюям, которых легко ломануть. Если некто в информационной безопасности профан - это выйдет боком. И никакие серебряные пули от этого не спасают. Атакующие бьют в самое слабое звено. Каковым профан в информационной безопасности и является. Хоть с какими тулсами. И если этот долбоклюй извините просто зальет проекту сорцы с абы чем - что организовать проще чем какую-то канитель с шлюзами - ну и чем все ваши тантры с токенами от столь простой атаки помогут? И далее если ревьж в процессе, извините, г-но (как у сабжа) - ну оно и пойдет по трубам. >> Потому что - доверяй, но проверяй. > Таки да, а на деле - спихнули все на пользователя. Если пользователь в информационной безопасности профан - это в любом случае подстава для проекта. Не существует серебряных пуль делающих из профана и раздолбая - секурного и ответственного кадра. И если на системе можно любой файл переписать багом - окей, а вот сорец ему и пропатчить. Ваши потуги НИКАК не адресуют этот простой аспект. > Это предложение мне напоминает кривой перевод с какого-то китайского, я не понял > что значит "Как side effect это скорее всего обломает немало атак, > ибо поляна уже занята, вот прямо мной"? Чтобы это понимать надо быть практикующим атакующим. А вы не это. Технологии столкнутся и скорее всего возникнет много незапланированных взаимодействий, все перестанет работать совсем - это будет очень заметно. > Любой "кривой архиватор" переписал вам бинарь ссх клиента, Вы наверное юзер винды. Дело в том, что я не пускаю архиваторы под рутом. Поэтому у архиватора не хватит прав. Он получит permission denied. И все. > как вы заметите подмену не делав никаких при этом проверок сверок хеш сумм и т.д.? Для начала - это не прокатит. А если бы и прокатило - то не дало ожидаемого эффекта. Первая часть балета применима к любому линуксоиду, вторая - мой личный подарок атакующим. Т.е. ваш сценарий в общем случае не работает с линуксоилами и требует вот прям совсем отборног идиота который под рутом это все попробует, явно подкинув права архиверу. Если кто НАСТОЛЬКО туп, раздавать ему права на серверах - чревато. И админы проектов обычно в курсе этого. Нормальные админы - весьма параноидальны на тему раздачи прав. > Сама система должна при запуске проверять подпись бинаря (а бинарь то > должен быть подписан вашим железным ключем, а не каким-то майкрософтом). Как я уже сказал: я могу изменить поведение бинаря (включая то что он прочтет из тех или иных файлов, и к каким хостам он пойдет) не делая с самим бинарем ... вообще совсем ничего! Проверка подписи не заметит никаких проблем. И вы не "защитили" меня даже от "атаки" которую я сам на себе рутинно практикую по каким-то своим причинам. Пффффф. Про то что настоящие атакующие могут и покруче чем это мне даже и упоминать не удобно как-то. >> Ну что, эксперт, прочитали мне лекцию по безопасности? > А чего мне вам читать, если до вас не доходит, что все, > что вас окружает в этой войтишной сфере инсекурно по дизайну. Я как раз это давно понял. И именно поэтому - подготовился к таким раскладам. Поэтому ваши страшилки ничего кроме улыбки у меня не вызывают - ведь ни одна из них на мне не сработает. > Вера - понятие не математическое! Безопасность - процесс! Моделирование атак - часть > этого процесса! И чтобы моделировать атаки - надо уметь думать как атакующий. Поэтому я смоделировал угрозы намного реалистичнее и прагматичнее. И ни 1 из описаных вами сценариев со мной не сработает. > Так что ли с вами общаться? Ок, "удачи". Ну как бы вы начали мне рассказывать про то как все эти ключи меня якобы-спасут. Я насыпал примеров тривиальных сценариев когда толку от сабжевого ключа будет - ноль. При том это сценарии которыми я бы вам и укатал перым делом как атакующий, если бы задался такой целью. TLDR чтобы рассуждать о защите надо понимать как атаковать. Тогда станет понятно как защищаться. Но вы явно не атакующий. Это видно. Вместо этого вы верите в серебряные пули - не понимая как проводятся атаки. И почему все то - не есть особое препятствие. Но я уже привык что вокруг Microsoft специфичная экосистемка образовалась.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #135 Ответы: #147, #153

141. Сообщение от Аноним (-), 25-Сен-25, 04:02	+/–
> сайте/сохранить прямо в репу/чот ещё. С OIDC ты будешь авторизовать условный > гитхаб на публикацию пакетов от твоего имени, и ответственным за получение > одноразовых токенов будет уже гитхаб. И в результате гитхаб получает - тотал контроль над девом. Ну круто, да. Майкрософт и тотал контроль. Что же тут может пойти не так? А, вот, скайп например не даст соврать что. Чочо, всего 16 миллионов за раз на мороз выкинули? А на гитхабе больше? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #154

142. Сообщение от User (??), 25-Сен-25, 07:22	+/–
>> распечатает или сохранит recovery codes В password manager's, после чего НЕштатная >> ситуация решится вполне себе штатными средствами... > ...в виде атакующего с фэйк сайтом, показывающим - login failed, recover? Введите > код recovery! Спасибо! Успех! Мы вас - лоханули! Goto 1 :D Не, ну я понимаю, что у Ъ из fortune 500 принято, если сервер вдруг "почему-то" перестал пускать по ключу - вводить пароль, пароль, еще раз пароль - пароль от root'а и вот на всякий случай еще Qwerty123@ от почты - но не все ж НАСТОЛЬКО серьезные пацаны? Большинство предполагает, что что-то нездоровое в таком поведении есть - опять же, пока бумажка ищешь - время подумать появляется. >> Но судя по бегающему тут ъ-энтерпрайз-форчун500 анониму, продолбавшему >> сохраненный в браузере пароль и ниасилившему гитхабовскую капчу - возможны, >> конечно, варианты. Opensource какиры - они таки, суровыя. > Ну дык, жр@ать гамно с лопаты просто потому что это делаете вы > - не в моих правилах. Так себе это и запишите. И > майкрософт - если описывать мое отношение к ним вкратце: они меня > за...ли! И лучшее что с ними может случиться - я их > развижу. Навсегда. Ну, т.е. продолбал пароль - аноним, а виноват - microsoft? У меня так ребенок в свое время - бежит, по сторонам не смотрит - бах! Упала. Кто виноват? Ка-ааа-амень! К концу садика примерно прошло, ага.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #126

143. Сообщение от Жироватт (ok), 25-Сен-25, 08:35	–1 +/–
Это тот самый Непал, где до этого активно резвились штатовские НКО, готовя его как горячую точку для Китая и Индии, если они решат хоть чуть-чуть замириться, да? Причём полыхнуло - ой как удобно-то! - после того саммита ШОС, где штаты послали уже прямым текстом, ага. Сов падение, не иначе. > И тут из зала подсказывают - в 1917 вообще никаких социалок не было. Помню-помню. Тут уже из зала принесли папочку с разделами "опломбированный вагон", "кайзерские деньги в английских банках на нужды РСДРП в Швейцарии" и другим документальным рассекреченным чтивом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117

144. Сообщение от OpenEcho (?), 25-Сен-25, 10:24	+/–
> Прикинь?! Вот это чудо-технологии! Волшебство прямо какое-то. И в правду волшебсво... И как оно отличает что  www != www ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #138

145. Сообщение от пох. (?), 25-Сен-25, 11:11	+/–
https://docs.anthropic.com/en/docs/claude-code/quickstart - например
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #133 Ответы: #151

147. Сообщение от Аноним (147), 25-Сен-25, 13:04	+/–
> ...довольно сложный, редкий и потому - довольно маловероятный сценарий атаки? Любой провайдер или васян из соседней квартире и уязвимость в очередном архиваторе :) > Например: тут нет default gateway. Интересно, как его под контроль взять? Включаем дурака? Знаем что такое MiTM? > Это требует совпадения сразу 2 условий. Оба из которых не особо просты > в реализации. Которые реалистичны на все 100% - 1) сидеть в разрезе для MiTM-a 2) Очередная бага в архиваторе, в соседней новости про это можно прочесть. > Не даст ожидаемого эффекта в моем случае. Какой ваш случай? На линиях спецсвязи сидите? Ну спросите у товарищей СиАйЭй как они Венонский балет исполняли. А сценарий со стакснетом вообще из фентезийного фильма "Die Hard". Ясно понятно. > Явно не про червяка который на автомате фигачит. Речь про червя не была, новость хоть и про червя, я делал акцент на ПО самого SSH почитайте комент, и привел ситуацию, когда ваши железные ключи ничем особым не влияют на безопасность всей системы SSH. ПО создано якобы для безопасного взаимодействия с сервером, а архитектура допускает такие недопустимые слабости. > А если мы про более кастомные атаки, почему я не могу примерять как оно было бы - прям на мне? Какие кастомные атаки? > ...но этот хитрый план обломается если посмотреть фингерпринт. Или если ключ не > RSA. Т.е. опять же довольно хрупко все. Хрупко для кого? Я получаю доступ к серверу и дальше делаю что хочу, вы помимо мониторинга безопасТности собственной рабочей станции должны еще и беспокоится за безопасТность самого сервера. Сломав один конец этой палки, сломается и другой. > Но в моем случае до этого не дойдет. Обломается и 1) и > 2). И зачем мне ваши токены? В каком вашем случае? Вы используете квантовые линии связи? Или у вас архиватор не такой же как из соседней новости? Может у вас на рабочей станции кашперовскийОС и вообще вы не пользуетесь ссх? :) > А если я по ключу авторизовался - что вы перехватите? Этот обмен > и не был секретным. На то оно и публичная криптография. У палки два конца, мне не ваш ключ железный надо перехватывать, я от вашего имени авторизуюсь на самом сервере, отсюда имею доступ к ключам самого сервера, а они то лежат в папке /etc/ssh. А дальше пассивная расшифровка трафика, что тут не ясно? Походу вам точно надо прочесть что есть MiTM. > И еще рояль в кустах. Совершенно случайно. То есть мне рояль в кустах достать маловероятно, так, скажите, с какой вероятностью вы используете квантовый канал связи? > ...поэтому я немного более аккуратен с серверами которыми я управляю. И делаю > это немного более ответственно, дабы все это у таких господ не > катило :). Аккуратен это как? Ежедневная штатная проверка линий передачи информации на факт врезания, и использование самописного архиватора? :) > Я не рулю отсюда ничем. Ясно, разговор ни о чем. С бомжом обсуждаю взлом его квартиры. > чтобы вон то не вызвало ничего кроме лулзов. Лулзы может вызвать только ваша наивность. Также думали и всякие ИБэшники в Нетензе. > В моем случае этот сценарий просто не будет работать по куче причин. Могу кучу таких же причин привести, по которым вы не интересны ни одному "хакиру", не говоря уже про спецов. > Вообще-то несекурно - давать доступы долбоклюям Так и надо записать в руководстве пользователя по SSH. > И если этот долбоклюй извините просто зальет проекту сорцы с абы чем > - что организовать проще чем какую-то канитель с шлюзами - ну > и чем все ваши тантры с токенами от столь простой атаки > помогут? И далее если ревьж в процессе, извините, г-но (как у > сабжа) - ну оно и пойдет по трубам. Так речь же просто про возможность замены known_hosts в хомяке, и всякие сорцы и прочие вектора постэксплуатации я не рассматриваю, ибо речь идет конкретно о архитектуры безопасТности только самого ПО SSH. И я не говорю, что я имея возможность заменить known_hosts в хомяке имею возможность заменить все, я описал необходимые и достаточные условия для проведения описанного мною сценария атаки. Цель атаки - прослушать канал связи и заполучить чувствительную информацию и т.д. > Не существует серебряных пуль делающих из профана и раздолбая > - секурного и ответственного кадра. Девляпсер не обязан быть профи в ИБ, ему достаточно следовать инструкциям по ИБ, а их должен предоставить и контролировать их соблюдения как раз таки тот самый не профан ИБэшник. > Чтобы это понимать надо быть практикующим атакующим. А вы не это. Любая теоретическая атака на практике реализуема!!! Даже перебор 128 битов :P > Вы наверное юзер винды. Дело в том, что я не пускаю архиваторы > под рутом. Поэтому у архиватора не хватит прав. Он получит permission > denied. И все. А архиватором не только вы пользуетесь. Я забыл просто, что у вас кашперовскиОС стоит. > Для начала - это не прокатит. Короче, не вижу смысла отвечать. > вот прям совсем отборног идиота О да, я никогда случайно от рута ничего не удалял и не ложил систему, я отборный админ. Ясно понятно. Похвально, что сказать. > не делая с самим бинарем ... вообще совсем ничего! Планета в опасТносте, вам не кажется? > Проверка подписи не заметит никаких проблем. И вы не "защитили" меня даже > от "атаки" которую я сам на себе рутинно практикую по каким-то > своим причинам. Мне придумать 1500 причин по которой вы этого не добьетесь? Мы уже местами поменялись? Мне повторить мой тезис? Все что вы используете - инсекурьно по дизайну!!! > Поэтому ваши страшилки ничего кроме улыбки у меня не вызывают - ведь ни одна из них на мне не сработает. Кто ты, Воин? - Бестрашный, епта. :) смешно слышать от ИБэшника (если только) и параноидального админа за улыбки - "такого быть не может, ни одна из них на мне не сработает". > И чтобы моделировать атаки - надо уметь думать как атакующий. Поэтому я > смоделировал угрозы намного реалистичнее и прагматичнее. И ни 1 из описаных > вами сценариев со мной не сработает. С кем с вами? с конем в вакууме? У меня табун такой же, а атаку с использованием сверхразума, чтения мыслей и т.д. я оставлю для будущего поколения :))))) > Ну как бы вы начали мне рассказывать про то как все эти > ключи меня якобы-спасут. Где такое я говорил? Цитату в студию. Железный ключ как механизм подпись (проверки), которой нет в вашей лунаходной системе. Где конкретно речь за спасение если безопасТность - процесс? > Я насыпал примеров тривиальных сценариев когда толку от сабжевого ключа будет - ноль. Так речь же не о ключе шла? А конкретно о том, что в вашем ПО SSH достаточно заменить один файл и ваш сервер будет взломан, а авторизуетесь вы к нему по паролю или ключу в данном контексте не важно. > При том это сценарии которыми я бы вам и укатал перым делом как атакующий, если бы задался такой целью. Давайте в студию ваш сценарий. > Но вы явно не атакующий. В студию, атаку на канал связи SSH. Вот прям конкретный, практический. > Вместо этого вы верите в серебряные пули - не понимая как проводятся атаки. Где пример серебряной пули? Читайте внимательно, а не додумывайте за собеседника, чревато шизой на старость. > Но я уже привык что вокруг Microsoft специфичная экосистемка образовалась. Ты привык к собственному вакууму. Могу даже поспорить, что ты реального SSH MiTM-а не видел, но это из другой оперы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #140

149. Сообщение от Аноним (149), 25-Сен-25, 15:59	+/–
> А зачем это все надо? Чтобы ты купил железку конкретного поддерживаемого вендора с конкретной начинкой внутри, а не сам генерил закрытый ключ, никому не известный.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #128 Ответы: #150

150. Сообщение от Ями (?), 25-Сен-25, 18:08	+/–
/thread
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #149

151. Сообщение от OpenEcho (?), 25-Сен-25, 18:41	+/–
> https://docs.anthropic.com/en/docs/claude-code/quickstart > - например +1 Я б еще Joplin добавил, МешЦентрал, Кодиум...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #145

152. Сообщение от Аноним (152), 25-Сен-25, 19:57	+/–
А что не так?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101

153. Сообщение от Аноним (153), 26-Сен-25, 13:36	+/–
>> присутствие когда юзер решит сравнить "cat /etc/ssh/ssh_host_rsa_key.pub". > ...но этот хитрый план обломается если посмотреть фингерпринт. Или если ключ не RSA. Т.е. опять же довольно хрупко все. Что вы имели ввиду под "Или если ключ не RSA"? "Не rsa" ключи фингерпринтов не имеют?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #140

154. Сообщение от Аноним (154), 27-Сен-25, 11:33    Скрыто ботом-модератором	+/–
Ты думаешь миллиарды просто так отсыпают?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #141

155. Сообщение от Гость (??), 28-Сен-25, 15:30	+/–
Что за ключи? И где их взять, так чтобы не ждать неделю-три-месяца для регистрации? И чтобы без бекдора - иначе зачем он?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #157

156. Сообщение от Гость (??), 28-Сен-25, 15:34	+/–
"А вот у нас тут, не то, что у них там! У нас такое не сработает!"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #139

157. Сообщение от morphe (?), 28-Сен-25, 21:45	+/–
> Что за ключи? И где их взять Купи NitroKey/Yubikey/OnlyKey/какой-то там от гугла/РуТокен/тысячи их > И чтобы без бекдора - иначе зачем он? Не скажу про рутокен, но все остальные прошли аудиты, а nitrokey/onlykey ещё и опенсорс/openhardware за исключением SE050 (Собственно чип, который и хранит ключи и исполняет с их помощью часть криптографических операций), который однако тоже аудитили и уже достаточно все изучили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #155

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема