The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

PyPI переходит на обязательную двухфакторную аутентификацию

26.05.2023 08:44

Разработчики репозитория Python-пакетов PyPI (Python Package Index) объявили о решении перевести все учётные записи пользователей, сопровождающих хотя бы один проект или входящих в курирующие пакеты организации, на обязательное применение двухфакторной аутентификации. Перевод планируют завершить до конца 2023 года. До намеченного срока будет проведено поэтапное ограничение доступной функциональности для разработчиков, не включивших двухфакторную аутентификацию. Кроме того, для отдельных категорий пользователей требование включения двухфакторной аутентификации будет применено заранее.

Применение двухфакторной аутентификации позволит усилить защиту процесса разработки и обезопасить проекты от внесения вредоносных изменений в результате утечки учётных данных, использования того же пароля на скомпрометированном сайте, взломов локальной системы разработчика или применения методов социального инжиниринга. Получение злоумышленниками доступа в результате захвата учётных записей является одной из наиболее опасных угроз, так как в случае успешной атаки может быть осуществлена подстановка вредоносных изменений в другие продукты и библиотеки, использующие скомпрометированный пакет в качестве зависимости.

В качестве предпочтительного способа двухфакторной аутентификации заявлена схема на базе совместимых со спецификацией FIDO U2F аппаратных токенов и протокола WebAuthn, которая позволяет добиться более высокого уровня безопасности по сравнению с генерацией одноразовых паролей. Кроме токенов также можно использовать приложения для аутентификации на базе одноразовых паролей, поддерживающих протокол TOTP, например, Authy, Google Authenticator и FreeOTP. При загрузке пакетов разработчикам дополнительно рекомендовано перейти на использование метода аутентификации 'Trusted Publishers' на базе стандарта OpenID Connect (OIDC) или применять API-токены.

  1. Главная ссылка к новости (https://blog.pypi.org/posts/20...)
  2. OpenNews: PyPI пересмотрит политику в отношении персональных данных и прекратит поддержку PGP-подписей
  3. OpenNews: PyPI из-за вредоносной активности приостановил регистрацию новых пользователей и проектов
  4. OpenNews: В PyPI реализована возможность публикации пакетов без привязки к паролям и токенам API
  5. OpenNews: Внедрение двухфакторной аутентификации в PyPI привело к инциденту с удалением популярного пакета
  6. OpenNews: В каталоге PyPI выявлены вредоносные библиотеки, использующие CDN PyPI для скрытия канала связи
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/59198-pypi
Ключевые слова: pypi, 2fa
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (131) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, ДМИТРИЙ НАГИЕВ (?), 08:49, 26/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    объясните пж нубику чонетак с PGP и почему пипа от него отказались
     
     
  • 2.6, Stanislavvv (?), 08:55, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Неосилили, скорее всего.
    Там действительно есть сложности для того, кто хочет просто фигачить код, а не разбираться, как подписывать коммиты и сверять подписи.
    Двухфактора в данном случае - проще, но при этом действительно значительно снизит количество проблем.
     
     
  • 3.8, Жироватт (ok), 08:58, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • –15 +/
    Проще за счет выноса верификации пользователя на готовую инфраструктуру сотовых операторов, контракт с которыми - по уже лет 15 в т.н. "цивилизованном мире" лишь по аусвайсу с тучей справок?
     
     
  • 4.9, Stanislavvv (?), 09:00, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Проще за счет выноса верификации пользователя на готовую инфраструктуру сотовых операторов,

    Читайте новость внимательней - там всякие TOTP и токены, т.е. никаких сторонних операторов.

     
     
  • 5.12, Жироватт (ok), 09:06, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • –12 +/
    Написать в анонсе можно много чего - хоть с аутентификацией по выдавливанию юзерских гнойников на камеру - мне реально интересно как оно будет реализовано в проде и не скатится ли до банального "вот вам телефон с смсом, а для особых извращенцев - ТОТР, токены и F2A"
     
     
  • 6.14, Stanislavvv (?), 09:10, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Написать в анонсе можно много чего - хоть с аутентификацией по выдавливанию
    > юзерских гнойников на камеру - мне реально интересно как оно будет
    > реализовано в проде и не скатится ли до банального "вот вам
    > телефон с смсом, а для особых извращенцев - ТОТР, токены и
    > F2A"

    either with a security device (preferred) or an authentication app по ссылке из новости.
    Думаю, это вполне себе однозначно - никаких смс.

     
     
  • 7.16, Жироватт (ok), 09:18, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Читай мой пост выше.
    В анонсе можно написать что угодно - как это будет сделано в столь сжатые сроки отдельный вопрос.
     
     
  • 8.18, Аноним (18), 09:48, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну перенесут сроки и что от этого изменится ... текст свёрнут, показать
     
  • 8.22, Stanislavvv (?), 09:58, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Там достаточно подключить библиотеку и за пару недель отладить работу Дольше ин... текст свёрнут, показать
     
  • 8.76, анон (?), 16:44, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    После того как выпили pgp нет им доверия, через год посмотрим, будет там авториз... текст свёрнут, показать
     
     
  • 9.108, Аноним (108), 20:46, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А до этого, конечно, доверия было хоть отбавляй 29 никому неизвестных ключей и... текст свёрнут, показать
     
  • 5.62, Zakaza (?), 14:32, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> Проще за счет выноса верификации пользователя на готовую инфраструктуру сотовых операторов,
    > Читайте новость внимательней - там всякие TOTP и токены, т.е. никаких сторонних
    > операторов.

    Простоти великодушно, а каким образом всякие TOTP и токены вам без мейнстримовых почт, где просят телефон, дадут всю эту радость жизни получить? Или опять предлагается селфхост, перманентно пребывающий в вечном спамфильтре?!

     
     
  • 6.63, Zakaza (?), 14:33, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >>> Проще за счет выноса верификации пользователя на готовую инфраструктуру сотовых операторов,
    >> Читайте новость внимательней - там всякие TOTP и токены, т.е. никаких сторонних
    >> операторов.
    > Простоти великодушно, а каким образом всякие TOTP и токены вам без мейнстримовых
    > почт, где просят телефон, дадут всю эту радость жизни получить? Или
    > опять предлагается селфхост, перманентно пребывающий в вечном спамфильтре?!

    *Простите великодушно*

     
  • 6.69, Stanislavvv (?), 15:14, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Простоти великодушно, а каким образом всякие TOTP и токены вам без мейнстримовых
    > почт, где просят телефон, дадут всю эту радость жизни получить? Или
    > опять предлагается селфхост, перманентно пребывающий в вечном спамфильтре?!

    Для того pypi и protonmail подойдёт, если что.
    А вообще, сам по себе TOTP не связан с почтой ВООБЩЕ. Это тупо набор параметров для алгоритма расчёта чисел. То, что сайты рисуют там почту в qr-коде - к собственно TOTP отношения не имеет.

     
     
  • 7.107, Zakaza (?), 20:04, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да, только вот беда, protonmail заблочен в РФ и для его подтверждения надо втора... большой текст свёрнут, показать
     
     
  • 8.123, Stanislavvv (?), 08:26, 27/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Про почту - сойдёт любая, могущая _принять_ письмо от сервиса Отправлять не обя... текст свёрнут, показать
     
  • 8.131, Аноним (131), 18:07, 27/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    oathtool не требует... текст свёрнут, показать
     
  • 3.60, Аноним (60), 14:25, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Неосилили, скорее всего.
    > Там действительно есть сложности для того, кто хочет просто фигачить код, а
    > не разбираться, как подписывать коммиты и сверять подписи.
    > Двухфактора в данном случае - проще, но при этом действительно значительно снизит
    > количество проблем.

    Да, васяны с цифровыми подписями, которых не загнать в централизацию аутентификации это плохо, а васяны с централизованными попрошайками личных данных это хорошо, всё правильно делают, так победят!

     
  • 2.7, Аноним (7), 08:56, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Слишком децентрализованный для нынешнего поколения
     
  • 2.10, Жироватт (ok), 09:01, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    PGP делали люди для людей. Есть УЦ, есть пользователи, есть их ключи, есть пулы общедоступных серверов, на которых можно поискать неизвестный ключ, получив или "Да, есть - Задов Хрен Моржович - Доверен и проверен ТрастУЦ". Настраиваешь - работает.

    Потом в_айти пошел поток мути, для которых это СЫЛОЖНА! И что? И всё.

     
     
  • 3.20, Аноним (20), 09:55, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты все перепутал, в PGP Web Of Trust. Есть серверы ключей, но они ничего не удостоверяют, просто обменник.
     
     
  • 4.38, Аноним (38), 11:25, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    WOT с определённой долей достоверности таки удостоверяет: https://www.linux.org.ru/forum/security/16839105?cid=16840324
     
     
  • 5.46, Аноним (20), 12:58, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Забавно конечно, но это незапланированная функциональность, по сути дата-майнинг.
    Участники WOT устанавливают доверие напрямую и ключами обмениваться могут произвольно, не используя серверы ключей. WOT не требует создания инфраструктуры.
    Используя инфраструктуру с УЦ вы всегда устанавливаете доверие опосредованно. В этом принципиальное отличие.
     
     
  • 6.72, Аноним (18), 16:07, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Принципиальная ненадежность.
     
  • 6.125, Аноним (125), 13:10, 27/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Речь не о УЦ, а о серверах ключей OpenPGP, они помогают обмениваться ключами и подписями. В роли УЦ в WOT выступает рядовой пользователь, который подписывает ключ однокурсника, сотрудника и загружает эти подписи на сервера ключей.
     
  • 4.65, Заместитель эксперта (?), 14:40, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты все перепутал, в PGP Web Of Trust. Есть серверы ключей, но
    > они ничего не удостоверяют, просто обменник.

    А что токены удостоверяют? Как любой рандомный пассажир мог нагенерить себе ключей и наваливать всякого в общую репу, так и с токенами такой же рандомный пассажир сможет сделать? В чём в этом аспекте принципиальная разница-то? Тут кроме не очень хорошо прикрытой жажды централизовывать, ничего более не видно.
    Это промежуточный этап, потому что токены зумеры также не осилят, как и по-человечески работать с цифровыми подписями. И то, это если действительно такой был истинный поинт отказа от PGP, а не банальное желание вольные жопы держать в менее вольном загоне.

    Вангую - всё скатится в помойные аутентификации по смс, скриньте этот пост!

     
     
  • 5.79, annonn_2 (?), 17:15, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    скатится или нет это будем смотреть
    а вот то что PGP это корявые костыли это видно уже давно
    люди не будут пользоваться тем что не удобно

    не хотите сделать удобно значит вас будет 1,5 процент

     
     
  • 6.130, Аноним (130), 17:17, 27/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В PGP каждый пользователь, чтобы начать пользоваться PGP, должен стать Удостоверяющим Центром (УЦ) и подписать PGPID публичных ключей нескольких других пользователей PGP.

    Перед подписью PGPID необходимо по буквам сверить Ф.И.О. и фото с паспортом, верифицировать контроль над E-mail.

    Расскажи как этот пункт сделать удобным. УЦ предполагает требования аккуратности и удобным его не сделаешь.

     
     
  • 7.154, Аноним (-), 20:21, 29/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Чтобы начать пользоваться PGP надо сгенерить себе ключ. Долверять ли этому ключу - на усмотрение того кто получает его публичную часть. Получать ее можно хоть голубиной почтой.

    К каким либо именам и фамилиям это никак не относится, их проверка или сопоставление ключу уже организационные мероприятия и это мало чем отличается от вон того.

    А еще удобство и безопасность живут по разную сторону улицы. Вон то больше похоже на перехват контроля над толпой у этой самой толпы. Чего глупые хайпанашки с удобством и заслуживают. Сейчас им корпы организуют очень удобную короткую цепь со строгим ошейником.

     
  • 5.90, Аноним (90), 17:57, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Как любой рандомный пассажир мог нагенерить себе ключей и наваливать всякого в общую репу, так и с токенами такой же рандомный пассажир сможет сделать?

    Как ты навалишь в репу TOTP пароль, который действителен 30 секунд?

     
  • 5.113, Аноним (113), 23:57, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Токены генерятся фактически с ключа, но есть некоторая разница в сценарии его использования. Этот ключ живет заведомо отдельно от компьютера, на котором производятся удостоверяемые операции.

    Да, все скатится не просто к смскам, но и к фото с паспортом в руках для наиболее важных с точки зрения црушных кибербезов пакетов.

     
  • 3.23, Сынакорзина (?), 10:06, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >PGP делали люди для людей

    Ну и почему он людям не нужен тогда?

     
     
  • 4.32, Аноним (38), 11:07, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Людям PGP - нужен. Государствам с жидомасонами, львогазелями - нет. После Сноудена они страх как боятся PGP и его распределённого свойства WOT.

    Похерили пару связующих ключей путём переполнения подписей:
    https://www.opennet.dev/openforum/vsluhforumID3/117882.html#4
    https://www.opennet.dev/openforum/vsluhforumID3/117786.html#61

    Чтобы PGP заработал надо кропотливый, многолетний труд множества пользователей OpenPGP во восём мире: https://www.opennet.dev/openforum/vsluhforumID3/130586.html#21

     
  • 3.31, Анонин (?), 11:05, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ахаха, люди для людей? Серьезно?? Скорее отбитые зад...ты для таких же отбитых зад...тов.

    Вот есть ключ Васи, который лежит в каком-то занюханом хранилище, который "верифицировал" Биба и Боба, которые бухали с Васей на каком-то гнутом мероприятии, которых "верифицировали" Пупа и Лупа, которые вообще хз кто, которых ... и т.д.
    И Вася говорит - вот мой ключ, мне можно верить!

     
     
  • 4.35, Аноним (38), 11:16, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Можно, с определённой достоверностью: https://www.opennet.dev/openforum/vsluhforumID3/130586.html#41

    Аккуратно выставлять уровни доверия к ключам:

      Если это ключ однокурсника, сотрудника, которых паспортные данные Ф.И.О. фото ты 100% знаешь и их E-mail 100% верифицирован - высокий уровень.

      "Бухали на PGP-парти", но первый раз вижу, паспорта не показывали, E-mail не верифицировали, но с их рук получил распечатаный PGP ID c Fingerprint-том ключа - самый низкий уровень доверия.

     
     
  • 5.39, Анонин (?), 11:28, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Но вот только никто не знает как именно была проведена проверка.
    Все основано на доверии к конкретному проверяющему, которого по факту нет.
     
     
  • 6.42, Аноним (42), 12:12, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Надо выставлять уровень доверия при подписи чужого ключа.

    Результатом WOT есть несколько цепочек доверия от твоего ключа к интересующему тебя ключу. Если таких цепочек ~5, то уровень достоверности можно считать приемлемым. Меньше 3 цепочек, наверно, сегодня уже не достаточно.

    Графический пример 4 цепочек доверия между ключём "Linus Torvalds 79BE3E4300411886" и ключом "Steven Miao 9A2698CDCF8E49C7"
    https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/plain/graphs/9A2698CDCF

    Чем короче путь цепочки (меньше посредников), тем выше доверие.

     
  • 6.43, Аноним (42), 12:22, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ещё 2 графических примера цепочек доверия между ключами:

    https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/plain/graphs/A65940A576
    https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/plain/graphs/D77E3FC056

    В OpenPGP технология WOT работает не быстро. Нужны годы. Студент подпишет ключи однокурсников, закончит ВУЗ пойдёт на работу, подпишет ключи сотрудников, может сменит работу и подпишет ключи сотрудников на другой работе. Через 5-10 лет получится очень хороший Web Of Trust (WOT).

     
     
  • 7.49, Аноним (49), 13:09, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Отчаиватся не надо Многие дистрибутивы NIX и проекты разработки свободного ПО ... большой текст свёрнут, показать
     
  • 6.45, Анонин (?), 12:48, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Еще раз. Вопрос не про "уровень доверия при подписи чужого ключа".
    А про то насколько вообще можно доверять этому уровню.

    Есть какой-то чел, у него есть пара подписей от однокласников и все. Кого бы он не подписывал - его подпись будет ничтожна, даже если эти однокласники проставили ему "мамой клянусь это он!"

    > Нужны годы.

    И в этом тоже проблема. За годы можно пролюбить приватный ключ кучу раз.

     
     
  • 7.50, Аноним (49), 13:19, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    1. Нужно ~5 цепочек к ключу. Одной цепочки от однокласника Васи маловато. Но если ключ Васи подписал весь 11А класс и у тебя >5 разных цепочек доверия к ключу Васи?!!

    2. Приватные ключи надо охранять, смотри п.1: https://www.opennet.dev/openforum/vsluhforumID3/130586.html#21

    3. После атаки на сервера ключей многие дистры стали распространять OpenPGP ключи через свои репозитории пакетов, например для Gentoo: https://packages.gentoo.org/categories/sec-keys
    Смотри пакеты *keyring*, *pgp*, *keys* в репах своего любимого дистра.

     
     
  • 8.68, Аноним (68), 15:13, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    То это ничего не значит, т к ты все равно не знаешь, можно ли верить этому 11А,... текст свёрнут, показать
     
     
  • 9.126, Аноним (125), 13:19, 27/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Значат Вася знает Вову и подписал его ключ Вова знает Вадима и подписал ключ В... текст свёрнут, показать
     
     
  • 10.127, пох. (?), 16:11, 27/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    потому что мельком видел его на тусовке каких-то фриков или на самом деле нихрен... большой текст свёрнут, показать
     
     
  • 11.132, Аноним (130), 18:07, 27/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    PGP на для всех подходит Необходимо быть трезвым и аккуратным при проверке Ф И ... большой текст свёрнут, показать
     
     
  • 12.144, пох. (?), 16:53, 28/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    нет, надо просто подписать пачку ключей неглядя Рано или поздно твою подпись по... большой текст свёрнут, показать
     
     
  • 13.160, Аноним (160), 07:43, 03/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Чем больше цепочек доверия и чем они короче тем выше доверие к ключу PGP доволь... большой текст свёрнут, показать
     
  • 10.136, Аноним (68), 22:34, 27/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А что делать Геннадию, который всех этих людей никогда не видел и не увидит ... текст свёрнут, показать
     
     
  • 11.159, Аноним (160), 06:55, 03/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Гена хорошо знает Гришу и они обменялись публичными ключами Гриша встретился с ... большой текст свёрнут, показать
     
  • 7.54, Аноним (49), 13:37, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Кого бы он не подписывал - его подпись будет ничтожна

    Это всего одна из многих цепочек доверия. Есть и другие цепочки доверия. Общий уровень доверия к ключу состоит из сумы доверий к каждой цепочки.

    Некоторые большие сообщества проводят свои PGP-парти для подписи ключей: https://tracker.debian.org/pkg/signing-party
    и собрали немалое сообщество подписаных ключей:
    https://salsa.debian.org/debian-keyring/keyring/-/tree/master/debian-keyring-g
    https://docs.freebsd.org/pgpkeys/pgpkeys.txt

     
  • 3.114, Аноним (114), 05:48, 27/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Читаем https blog yossarian net 2023 05 21 PGP-signatures-on-PyPI-worse-than-u... большой текст свёрнут, показать
     
  • 2.21, Аноним (21), 09:56, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > объясните пж нубику чонетак с PGP и почему пипа от него отказались

    Вот целая статья:

    https://blog.yossarian.net/2023/05/21/PGP-signatures-on-PyPI-worse-than-useles

     
  • 2.61, paranoed (?), 14:29, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > объясните пж нубику чонетак с PGP и почему пипа от него отказались

    Потому что Authy, Google Authenticator требуют как минимум твой телефон, им хочется побольше вытянуть инфы из пользователей, где, что, когда, откуда, почему, зачем не как. За FreeOTP не в курсе, но неверняка и с ним не всё так просто и какая-то засада есть.

     
     
  • 3.91, Аноним (90), 18:01, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    TOTP можно использовать хоть на ПК, и через него никакая инфа пользователя не вытягивается.

    > За FreeOTP не в курсе, но неверняка и с ним не всё так просто и какая-то засада есть.

    Ага, когда везде мерещатся коварные заговоры, здравый  рассудок отдыхает.

     
  • 2.66, OpenEcho (?), 14:48, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.opennet.me/openforum/vsluhforumID3/130586.html?n=OpenEcho#11
     

     ....большая нить свёрнута, показать (54)

  • 1.3, Аноним (3), 08:53, 26/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    переставлять кровати проще чем чинить протекающую крышу
     
     
  • 2.75, пох. (?), 16:13, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > переставлять кровати проще чем чинить протекающую крышу

    там крыша была как у поросенка ниф-нифа, ее давно сдуло легким сквознячком.

     
  • 2.115, Аноним (114), 05:50, 27/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Только вот протекающая крыша у нас - это PGP. Его уже лет двадцать никто в здравом рассудке не использует ради крипты.

    https://latacora.micro.blog/2019/07/16/the-pgp-problem.html

     

  • 1.17, Аноним (18), 09:46, 26/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Т.е. если разработчик изначально сопровождает свой вредоносный пакет к нему никаких санкций применяться не будет? Ясно, понятно.
     
     
  • 2.28, Аноним (28), 10:48, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    За ним Пативэн приедет.
     
     
  • 3.36, Аноним (18), 11:17, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ага и Дед Мороз на Новый Год подарки не подарит.
     
  • 2.58, Аноним (90), 14:08, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Т.е. если разработчик изначально сопровождает свой вредоносный пакет к нему никаких санкций применяться не будет?

    Где ты в новости увидел текст, из которого это следует?

     
     
  • 3.71, Аноним (18), 16:05, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Где ты увидел что они что-то будут делать?
     
     
  • 4.118, Аноним (114), 06:14, 27/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Где ты увидел что они что-то будут делать?

    Не разводи клоунаду.

    https://www.opennet.dev/opennews/art.shtml?num=59168

    > Репозиторий Python-пакетов PyPI (Python Package Index) временно прекратил регистрацию новых пользователей и проектов. В качестве причины указан всплеск активности злоумышленников, наладивших публикацию пакетов с вредоносным кодом. Отмечается, что с учётом нахождения в отпуске нескольких администраторов, на прошлой неделе объём зарегистрированных вредоносных проектов превысил возможности оставшейся команды

     

  • 1.19, Аноним (19), 09:52, 26/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Если кого-то насильно заставлять делать двухфакторку, то он сведет ее к однофакторке, храня и пароль, и TOTP-код на одном и том же устройстве - компуктере с keepassxc. Говорю как тот самый, кого насильно переводили. Мне как-то лень поднимать жопу и тянуться за телефоном. Я думаю, я поступаю верно, потому что это путь наименьшего сопротивления. Если я хочу поднять жопу - я ее подниму тогда, когда это удобно мне, а не когда мне велит кто-то в интернете. Мне тут дела делать надо, а не поднимать жопу, тянуться за телефоном, искать в гугл-аутентикаторе какое-то число и вбивать его в поле ввода. Совершенно не до этого.
     
     
  • 2.24, Аноним (21), 10:06, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Отличная история. Типа годами разрабатывать и поддерживать либу на PyPi тебе не лень, а потянуться за телефоном, чтобы защитить эту либу от компроментации - уже лень?

    > Мне тут дела делать надо, а не поднимать жопу, тянуться за телефоном

    Лайфхак: положи телефон рядом.

     
     
  • 3.25, Аноним (19), 10:12, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Лайфхак: положи телефон рядом.

    А если он разряжен? А если в нем и так куча TOTP-кодов? А если TOTP-код будет валиден лишь 5 секунд, и ты точно знаешь, что не успеешь вбить? Сидеть и пялиться на экран 5 секунд и ждать следующих 30 секунд? Согласись, "Скопировать код" и Ctrl-V гораздо быстрее всего этого гемора.

     
     
  • 4.30, User (??), 11:01, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну ёлки - так и пиши, что во время, гм, "работы" обе руки заняты, чо стесняться-то?
     
  • 4.59, Аноним (90), 14:16, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А если он разряжен? А если в нем и так куча TOTP-кодов? А если TOTP-код будет валиден лишь 5 секунд, и ты точно знаешь, что не успеешь вбить? Сидеть и пялиться на экран 5 секунд и ждать следующих 30 секунд?

    Ты это серьезно? Шикарные аргументы, чтобы похерить безопасность. Чел, не разводи цирк: очевидно же, что у тебя на PyPi ровно ноль пакетов, и ответственности ты ни за что не несешь.

     
  • 3.26, Akteon (?), 10:37, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А зачем её защищать от компроментации ?? Оставить "sorry my account was hacked" - бесценно.
     
  • 3.51, пох. (?), 13:24, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    да, заниматься соврешенно ненужной хренью внезапно может быть лень. Ради очередного лефтпада так точно.

    И будет не бесполезный кипас со всеми паролями удобно сложенными кучкой, а вообще пароль в дырявом хранилище браузера и там же левый плагин неизвестных васянов очень удобно прямо в браузере подставляющий и totp.

     
  • 3.106, Легивон (?), 19:47, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Защитить от компрометации кем?
    Вы не думали о том, что люди часто делаю либы для себя и выпускают их в паблик постольку поскольку, потому они от этого ничего не теряют.
    Вполне понимаю реакцию таких людей на попытку диктовать им условия.
     
     
  • 4.138, Аноним (114), 00:01, 28/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > выпускают их в паблик постольку поскольку, потому они от этого ничего не теряют.

    Вполне понимаю реакцию таких людей на попытку диктовать им условия.

    "Постольку поскольку" - это опубликовать сорцы в виде тарбола или репы на Гитхабе, и на этом остановиться. А на PyPi публикуют, чтобы проектом люди пользовались и им было удобно его установить и обновить. Не нравиться условия - не лезь на PyPi и смотри, как твой проект загибается в гордом одиночистве.

     
  • 2.34, тотп (?), 11:14, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Есть консольные генераторы totp которые можно использовать в юнитах системд или любых скриптах/ci так все делать и будут. И держать секретный ключ для генерации тотп в репе плайнтекстом)))
    Или питонные думают что все их пакеты загружают руками?
     
     
  • 3.52, пох. (?), 13:25, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    консольные или умеющие именно в скрипты? Покажь последний хоть один, друг очень просит!
     
     
  • 4.70, Stanislavvv (?), 15:25, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > консольные или умеющие именно в скрипты? Покажь последний хоть один, друг очень
    > просит!

    oathtool посмотрите

     
     
  • 5.73, пох. (?), 16:08, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    о, спасибо, знатная говорящая лягуха, отлично дополнит генератор в Браузере.
     
  • 2.80, Аноним (21), 17:22, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Если кого-то насильно заставлять делать двухфакторку, то он сведет ее к однофакторке, храня и пароль, и TOTP-код на одном и том же устройстве - компуктере с keepassxc.

    Ну, вообще-то нет. Это все равно двуфакторка, потому что если кто-то узнает твой пароль, то не сможет использовать его без TOTP (который и является вторым фактором).

    То, что ты хранишь и то, и другое на одном компе - значения не имеет. Если конечно у тебя не свиснули и взломали этот комп. Но это уже не та проблема, которую решает двуфакторка.

     
     
  • 3.92, пох. (?), 18:07, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну, вообще-то нет. Это все равно двуфакторка, потому что если кто-то узнает
    > твой пароль

    вот откуда он его узнает если у тебя не свистнули и не взломали комп?

    > этот комп. Но это уже не та проблема, которую решает двуфакторка.

    она вообще никакую проблему не решает. Высосанный из пальца фуфел.

    Проблему отчасти могли бы решить полноценные одноразовые пароли, но их в современном мирке не принято. К тому же они никак не помогут в скриптах.

     
     
  • 4.102, Аноним (102), 19:04, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Блжд, ну в новости же написано в результате утечки учётных данных, использовани... большой текст свёрнут, показать
     
     
  • 5.110, пох. (?), 21:50, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    П-дежь и чушь собачья там написана, ну и что с этого Особенно про методы социал... большой текст свёрнут, показать
     
     
  • 6.133, Anonymus (?), 20:48, 27/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >А вот нормальный кодогенератор - физическую коробку с кнопками, которую бесполезно красть потому что это только кнопки, батарейка и дисплей, генерит на самом деле чип во вставленной в него банковской карте, естественно, после ввода пина, три попытки и досвидос - умел один-единственный банк в РФ.

    Оно?

    https://www.avangard.ru/rus/private/cards/card_with_display/

     
     
  • 7.134, пох. (?), 21:38, 27/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не, у этих оно было только для премиум-клиентов не знаю как сейчас, я давно от ... большой текст свёрнут, показать
     
  • 2.112, Аноним (108), 23:33, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Пользуйся хардварным токеном. Даже нажимать ничего не нужно, потрогал и лады.
     
     
  • 3.128, пох. (?), 16:12, 27/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    а если я не хочу ради подписывания своего лефтпада платить безумные деньги за косоруко спаянную фигню?

     
     
  • 4.142, Аноним (108), 04:55, 28/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не можешь позволить пару копеек на токен потратить — двигай ручками и генери софтверно. Выше написали чем. Такая жизнь, можешь быть либо ленивым, либо нищим. Впрочем, у тебя и лефтпада никакого нет, ты кодить не умеешь даже на питоне.
     
     
  • 5.143, пох. (?), 09:07, 28/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Могу позволить себе просто не ублажать пиписек. Не умеют в верификацию пакетов, зато умеют надувать щеки? Ну так хрен им а не пакеты.

    История лефтпада ничему никого не научила? Ну что ж, будут повторять.

    Если без шитхаба действительно сложно обойтись разработчику не хеловротов, хотя вполне можно обойтись без выкладывания туда реального рабочего репо, то эта помойка - совершенно не нужна самому разработчику, только потребителям.

     
     
  • 6.145, Аноним (108), 17:29, 28/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > только потребителям

    Молодец, догадался. Именно потребителям она и нужна. Без потребителей 100% кода это бесполезные байты. Потребитель в конечном итоге и оплачивает весь этот банкет, напрямую или опосредованно.

    Среди айтишников принято с пренебрежением относиться к пользователям, но это и неудивительно: инфантилизм — бич айти. И именно это мы можем наблюдать в комментариях. Все эти горделивые «мне лень тянуться», «хрен им, а не пакеты» и так далее. Никто не заставляет писать, публиковать и пользоваться, скорее даже наоборот, дают понять напрямую: если вы неспособны принять простые правила, ни вы, ни ваш код просто не нужны здесь. Создайте себе свой PyPi и делайте там что угодно. Потребитель сделает свой выбор.

     

  • 1.27, Akteon (?), 10:43, 26/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    PS Мну уже годы как "усилил" таким образом безопасность, привязав github на арендованный в onlinesim номер.
    Тенденцию надо продолжать.
     
     
  • 2.29, ivan_erohin (?), 10:54, 26/05/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.33, Akteon (?), 11:11, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    PS
    Некоторые спрашивают какой план Б ??
    Локальные репозитории в любом случае останутся, ну форкнемся. Это по-любому лучше "попал пацан под санкции"
     
     
  • 3.37, Аноним (18), 11:18, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Почему бы тогда сразу не разрабатываться локально, зачем что-то выкладывать?
     
     
  • 4.41, Akteon (?), 11:46, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    1) Так исторически сложилось
    2) Там не один github
     
  • 2.53, пох. (?), 13:27, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    все правильно сделал. Правда следующая итерация - выпилить нахрен репо и положить readme.md форсед-пушем - со ссылкой на свой репо. Это оставит возможность играться в лайки-лайки, тем кто без нее не может прислать багрепорт, но избавит от игры по чужим правилам тебя.

     
     
  • 3.56, n00by (ok), 14:04, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    А ссылку то на что давать? Хостер однажды забыл прислать мне письмо, я и не заплатил.
     
     
  • 4.74, пох. (?), 16:09, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > А ссылку то на что давать? Хостер однажды забыл прислать мне письмо,
    > я и не заплатил.

    ну не будь лохом, пользуй хостера который просто списывает с карты.
    Где взять карту - ну Сова ж стратег  а не тактик...

     
     
  • 5.122, n00by (ok), 07:58, 27/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Карта у меня водилась в то время, и даже имелось полтора банкомата на всю деревню, а вот с хостерами возможны нюансы. Да и что делать с картой, которую по случайному стечению обстоятельств заарбузят, Сова тоже не подскажет. Особенно если владелец совершенно случайно оказывается в больнице. Так что в такой ситуации безопаснее быть лохом, HelloWorld! которого никому не интересен, и к кому не придут домой нелохи, накаченные достижениями медицины и способные сломать головой пару табуретов.
     
  • 4.146, Аноним (108), 17:32, 28/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А ты как локалхостов.ру поступай: хости у себя под кроватью. А сгорит вместе с домом — невелика потеря, следующий локалхостов нашлёпает за выходные, интернет и не заметит.
     
     
  • 5.147, пох. (?), 20:24, 28/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > А сгорит вместе с домом — невелика потеря

    в целом да, тебе это уже точно будет неважно.
    (говорю как краевед, успешно прое...вший проект который поддерживал десяток лет, причем не свой. Плакать не о чем - мы страну и свою жизнь прое..ли, глупо уже переживать о проектах.)

     
     
  • 6.151, Аноним (108), 02:37, 29/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не мы, а вы. Я для себя и детей этот вопрос позитивно решил больше десяти лет тому назад.
     
     
  • 7.152, пох. (?), 09:57, 29/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Не мы, а вы. Я для себя и детей этот вопрос позитивно
    > решил больше десяти лет тому назад.

    тот проект без страны был, увы, бесполезен. Он именно местная история - теперь проклятая и забытая.

    Так себе позитивное решение.

     
  • 5.156, n00by (ok), 09:23, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > А сгорит вместе с домом — невелика потеря

    Как сказал один пот: если где-то что-то зажигают, значит это кому-то нужно.

    В общем, довольно сомнительная схема - какой-то дядя качает библиотеки и экономит на охране, а что бы поиметь того дядю, приходят ко мне домой.

     
  • 2.116, Аноним (114), 05:54, 27/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Мну уже годы как "усилил" таким образом безопасность, привязав github на арендованный в onlinesim номер.

    Ну так ты действительно усилил, потому что левый васян, получивший твой пароль, не сможет войти в твой аккаунт. Что не так?

     

  • 1.40, Аноним (40), 11:37, 26/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Шли бы они нахер со своим PyPI. Моя разработка всё актуальнее и актуальнее.
     

     ....ответы скрыты (2)

  • 1.48, Аноним (20), 13:03, 26/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Все антиюниксовые проекты так или иначе следуют в фарватере корпораций и наследуют их решения. Скажут смс-кой подтвержать пакеты - будете подтверждать смс-кой. Никуда не денетесь. Потом и паспорт покажете на фоне лица, как это было с криптобиржами. Произойдет это, когда в ЦРУ решат, что риски кибербезопасности достаточно высоки, чтобы допускать к коду резидентов из плохих стран, вроде Китая и России.
     
     
  • 2.109, Dzen Python (ok), 21:33, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Судя по минусующим жироватого, таки там сейчас фаза ОТРИЦАНИЕ.
     
  • 2.119, рабификатор (?), 06:40, 27/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А почему вы не финансируете митинги и партии во всех странах за свободу от рабства.
     
  • 2.140, Аноним (140), 00:21, 28/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > вроде Китая и России.

    Вот где реальная киберсвобода, да?

     

  • 1.55, Аноним (55), 13:48, 26/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Зачем там двухфактор? Почему просто пароля недостаточно?
    Или тут опять повесточка по выдавливанию неугодных?
     
     
  • 2.57, Аноним (90), 14:06, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Новость не читай, комментарий пиши?

    > обезопасить проекты от внесения вредоносных изменений в результате утечки учётных данных, использования того же пароля на скомпрометированном сайте, взломов локальной системы разработчика или применения методов социального инжиниринга

     
     
  • 3.64, Аноним (47), 14:35, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    От взлома жопы разработчика паяльником, пальцев - дверью, благосостояния - щедрыми пожертвованиями с условиями, а головы - отсутствием совести пусть сначала защитят.
     
  • 2.88, Аноним (21), 17:28, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Зачем там двухфактор? Почему просто пароля недостаточно?

    Очевидно, чтобы злоумышленники не получили доступ к пакетам, если узнали пароль. В этом как бы весь смысл двуфакторной авторизации.

     
  • 2.120, рабификатор (?), 06:43, 27/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    чтобы тебя вычислять по видеокамерам и заставлять тебя бояться организовывать митинг против полиции и властей.
     

  • 1.77, Аноним (77), 17:00, 26/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Друзья, а вам не кажется, что слишком кучно пошло с навязыванием двухфакторок везде и всюду? Предлагаю задуматься кому это нужно и для чего.
     
     
  • 2.81, Аноним (21), 17:24, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Я предлагаю тебе наконец-то почитать, как работает стандарт TOTP, и не пороть чушь о заговорах.
     
  • 2.82, annonn_2 (?), 17:25, 26/05/2023 Скрыто ботом-модератором     [к модератору]
  • –2 +/
     
  • 2.93, пох. (?), 18:08, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Друзья, а вам не кажется, что слишком кучно пошло с навязыванием двухфакторок
    > везде и всюду? Предлагаю задуматься кому это нужно и для чего.

    тут некто Хэнлон пробегал. Бритвой машет. Будь очень осторожен.

     
     
  • 3.141, Аноним (140), 00:22, 28/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Про замедление айфонов эплом ты теперь тоже кидался ненужной "конспирологией", да?
     
  • 2.96, Самый Лучший Гусь (?), 18:48, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Двухвакторку навязывают злонамеренные корпорации чтобы ограблять и обманывать анонов. Тут даже и думать не надо, все на поверхности лежит
     
  • 2.103, Аноним (102), 19:06, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Предлагаю задуматься кому это нужно и для чего.

    Например, сопровождающим пакетов Pypi, чтобы не обделаться на весь мир.

     
     
  • 3.150, Аноним (-), 23:21, 28/05/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     

     ....ответы скрыты (7)

  • 1.97, YetAnotherOnanym (ok), 18:49, 26/05/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –2 +/
     

     ....ответы скрыты (2)

  • 1.101, Профессор (?), 19:02, 26/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Раньше комитили мусор все подряд, теперь будут комитить мусор все подряд,но с 2х-факторкой. А Питон как был горбухой, так и остался ей.
     
     
  • 2.121, рабификатор (?), 06:44, 27/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    теперь вы все стали рабами и вам переписали права человека пока вы все были в страхе от свободы
     

  • 1.129, Аноним (129), 16:54, 27/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Предлагаю им сделать подтверждение личности при регистрации по фотосету дикпиков, и при компрометации записи - вываливать всё в открытый доступ. Тогда пароль будут прятать лучше чем заначку от тёщи.
     
     
  • 2.149, Аноним (149), 22:55, 28/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Они как раз начнут соревноваться в генерации дипфэйков дикпиков. Впрочем для штуки называемой пипи это вроде бы даже топично.
     

  • 1.155, Аноним (155), 23:18, 29/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Даю лайфхак, опробованный на гитхабе - просто выкладывайте QR код от TOTP в паблик и всё. Нет второго фактора, нет возможности его потерять.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру