Разработчики репозитория Python-пакетов PyPI (Python Package Index) объявили о внедрении обязательной двухфакторной аутентификации для всех пользователей. Без включения двухфакторной аутентификации пользователь теперь не сможет загружать файлы и выполнять действия, связанные с управлением своим проектом. Ранее двухфакторная аутентификация была принудительно включена для учётных записей пользователей, сопровождающих хотя бы один проект или входящих в курирующие пакеты организации...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60382
Как они произносят - пипи?
пай-пи-ай
Это правильно.
> Это правильно.Добро пожаловать в концлагерный опенсорц имени мегакорпораций.
А этот контроль мегакорпораций над двухфакторной аутентификацией с вами в одной комнате?
Предлагаю наносить разрабам штрих-код на лоб и вживлять подкожный чип, чтобы на 100% быть уверенными, что репозиторий содержит безопасный код.
До безопасного кода нам далеко, особенно в PyPI.
Но это шаг к уверенности в том, что код положил сам разработчик.
> До безопасного кода нам далеко, особенно в PyPI.
> Но это шаг к уверенности в том, что код положил сам разработчик.да, главное - веровать!
Ни в коем случае! Пусть репу льет кто попало, можно вообще без авторизации. Вот тогда заживем!
Авторизация по паролю чем-то не устраивает?
> Ни в коем случае! Пусть репу льет кто попало, можно вообще без авторизации.
> Вот тогда заживем!Those who would give up essential liberty to obtain little temporary safety, deserve neither.
> вживлять подкожный чип2024 год, а параноики на технических ресурсах все еще продолжают считать, что двуфакторка - это ректальные зонды от злобных корпораций...
Лучше быть параноиком, что свой номер телефона оставить рукожопам-питонистам
SMS-коды не двухфакторка. Нормальная двухфакторка - OTP в приложении, а еще лучше, ключ безопасности.
/_-
Ты вообще слышал про такие слова как FreeOTP, LinOTP, Authy и другие?
Если для тебя двухфакторка это "номер телефона оставить" - то все правильно, такому "специалисту" нечего делать в профессии.
Вопрос не в том, что слышал аноним. Вопрос в том, что слышали администраторы Пипи.
> Вопрос в том, что слышали администраторы Пипи.Просто открываешь статью. И читаешь.
>>> В качестве предпочтительного способа двухфакторной аутентификации заявлена схема на базе совместимых со спецификацией FIDO U2F аппаратных токенов
>>> Кроме токенов также можно использовать приложения ... поддерживающих протокол TOTP, например, Authy, Google Authenticator и FreeOTP.Неужели это так сложно?!
Зачем придумывать бредовейшие теории если тебе в тексте все и так разжевали.
Это что какой-то особый вид опеннетного слабоумия? Может это дислексия и люди тупо не понимаю смысл буковок?
> Ты вообще слышал про такие слова как FreeOTP, LinOTP, Authy и другие?Да ничего они не слышали и не хотят. В каждой новости с упоминанием двуфакторки на Опеннете начинается одна и та же песня про сливы данных, "цифровой гулаг", "хозяев", корпоративное рабство и прчую дичь...
> "цифровой гулаг", "хозяев", корпоративное рабство и прчую дичь...Как думаешь это проекция страхов, негативный жизненный опыт или нереализованные фантазии?
Может просто в их обществе/стране любят жесткие отношения и четкую иерархию?
> Как думаешь это проекция страхов, негативный жизненный опыт или нереализованные фантазии?Если отвечать серъезно: думаю, что интернет во многом и состоит из неадекватов, ибо в реальной жизни они места себе не нашли.
> В каждой новости с упоминанием двуфакторки на Опеннете начинается одна и та
> же песня про сливы данных, "цифровой гулаг", "хозяев", корпоративное рабство и прчую дичь...Ну вообще-то когда тебя облагодетельствуют путем наставления пушки, "а не то!" - ну его нахрен таких благодетелей и продвигаемые ими блага, имхо. Что-то концлагерем очень уж пованивает, там тоже овчарки и часовые "для вашей же безопасности".
Вот что с людьми русский банкинг (и не только) делает. В России под двухфакторкой понимается исключительно СМС на телефон. Почему это так понятно и это не технические соображения. (Напомню, что условный Юмани будучи Яндекс.Деньгами умел в TOTP, а уйдя в собственность Сбера - СРАЗУ ЖЕ разучился).
Согласно российским законам СМС является надёжным стредство двухфакторки, а TOTP, даже на ГОСТах, нет.
Всё правильно, дубликат симки изготовить - это товарищу майору ещё как-то понятно, а все эти TOTP враги придумали, со всей очевидностью.
> Согласно российским законам СМС является надёжным стредство двухфакторки, а TOTP, даже
> на ГОСТах, нет.В российских ГОСТах очень много чего нет (потому что придумано не в России), и что, все игнорировать?
Тезис в духе "А кто утвердил законы физики? В скольких чтениях прошли слушание?"
Забавно, но те же Госуслуги или Почта России умеют в TOTP
> 2024 год, а параноики на технических ресурсах все еще продолжают считать, что двуфакторка - это ректальные зонды от злобных корпораций...Местные опасаются будущего огораживания в виде отказа от TOTP. Мол, наступит время и сервисы с наигранным удивлением раскритикуют TOTP за возможность держать его на том же устройстве, в приложении рядом с паролями. Мол, только мы запретили глупым пользователям ненадёжные пароли создавать, а они теперь второй фактор обесценивают, так дальше продолжаться не может!
> Местные опасаются будущего огораживания в виде отказа от TOTP.Ну, что там в их воображаемом будущем приходит на замену TOTP - это их личные больные фантазии, не имеющие к теме двуфакторки никакого отношения.
А компроментации инфраструктуры они ни опасаются? Риторический вопрос...
> А компроментации инфраструктуры они ни опасаются? Риторический вопрос...Нифига себе пафосноа название для питонопомойи. Там 80% пакетов - нечто уровня домашки. Впрочем оно как раз и вымрет.
А если без шуточек, может ли уважаемый эксперт предложить более адекватные алтернативы, решающие проблемы "использования того же пароля на скомпрометированном сайте, взломов локальной системы разработчика или применения методов социального инжиниринга"?
> А если без шуточек, может ли уважаемый эксперт предложить более адекватные алтернативы,
> решающие проблемы "использования того же пароля на скомпрометированном сайте, взломов
> локальной системы разработчика или применения методов социального инжиниринга"?обычный пароль ровно на столько же решает эти несуществующие проблемы.
При этом для вашего большего удобства по прежнему любой васян может, стырив токен, обновить твой лефтпад на что-то более интересное - без всяких паролей и логинов (ой, простите, с логином... __token__ - да, ты будешь ржать)
> эти несуществующие проблемы.О, подьехали "иксперты бизопасности".
Пароль утекает тупо скриншотом соседнего окна в дырявом х11. Или кейлогером.А попробуй угадать число с disconnected token generator'a?
> стырив токенПрям из кармана стырит?
> Пароль утекает тупо скриншотом соседнего окна в дырявом х11. Или кейлогером.kokokoй ужос.
А чего ж у меня в "дырявом X11" ничего никуда не утекло? Там, знаешь ли, поинтересней лефтпадов можно найти.
>> стырив токен
> Прям из кармана стырит?уровень экспертов опеннета.
Я тебе даже слово поисковое написал - __token__.
Тырить его даже и не надо будет скорее всего (хотя у такого л-ха у которого в ужастном x11 кейлогеры - он конечно и в хомяке тоже просто лежит с chmod 666) - лежит себе закомиченый в гитхапе и гитляпе, для надежности в обоих. А чо такова, инфраструктурка же ж аss in cococode!
> А чего ж у меня в "дырявом X11" ничего никуда не утекло?Без понятия, может у тебя интернета нету)
> Там, знаешь ли, поинтересней лефтпадов можно найти.
Ух сколько пафоса? Думаешь кому-то нужны писульки сотрудника замшегого НИИ?
> Я тебе даже слово поисковое написал - __token__. Тырить его даже и не надо будет скорее всего (хотя у такого л-ха у которого в ужастном x11 кейлогеры - он конечно и в хомяке тоже просто лежит с chmod 666) - лежит себе закомиченый в гитхапе и гитляпе, для надежности в обоих. А чо такова, инфраструктурка же ж аss in cococode!
Ты просто деревянный? Тебе в статье внятно написали, что рекомендуют "апаратные токены".
> ужастном x11 кейлогеры
Да, тут я возможно преувеличил.
Оно ж настолько дырявое что просто получаешь рута и делаешь что хочешь.
> Ты просто деревянный?нет, это ты - феноменально т-пой.
Настолько что не можешь поискать это слово в тексте статьи. Нет, внезапно оно отменяет и логины с паролями, и аппаратные и любые другие 2fa.Ну и да, то что они рекомендуют - это fido. т.е. такой охрененно-аппаратный токен, который заодно подсматривает и комунада сообщает куда ты ходишь (и нет, ты не можешь сделать свой- рыльцем не вышел). Просто замечательно. Рекомендую сразу использовать windows hello с face id.
> Оно ж настолько дырявое что просто получаешь рута и делаешь что хочешь.
только в твоем маня-мирке.
Просыпайся уже, под тобой лужа.
> Ну и да, то что они рекомендуют - это fido. т.е. такой охрененно-аппаратный токен, который заодно подсматривает и комунада сообщает куда ты ходишь (и нет, ты не можешь сделать свой- рыльцем не вышел).
> подсматривает и комунада сообщает куда ты ходишьМожет еще и пруфцов подкинешь? А то языком мести все могут.
> и нет, ты не можешь сделать свой - рыльцем не вышел
Э? ты предлагаешь мне самому развести платку и спаять? Не спасибо, у меня есть более важные дела.
(хотя открытые проекты типа nitrokey-fido-u2f-firmware существуют)Неужели тебе его даже продавать не хотят?
Может ты лицом не вышел, а может ты из тех, с кем уже на одном поле даже гадить не сядут.
Ну тогда мир не много потеряет, если ты свой питоно-лефтпад не сможешь закоммитить.
> Может еще и пруфцов подкинешь? А то языком мести все могут.человеку неумеющему в поиск - бесполезно. А остальные - найдут.
> Неужели тебе его даже продавать не хотят?
с хрена ли я должен доверять продавану?
> Ну тогда мир не много потеряет, если ты свой питоно-лефтпад не сможешь закоммитить.
чтобы закомитить свой лефтпад я просто пользуюсь (неодобряемым гуглом но мы его ценное мнение не будем спрашивать) плагином генерящим шиткод прямо в браузере. Найух потому что идите за меня решать.
>> Может еще и пруфцов подкинешь? А то языком мести все могут.
> человеку неумеющему в поиск - бесполезно. А остальные - найдут.А впрочем я нифига не удивлен (с)
> с хрена ли я должен доверять продавану?
Микросхемы ты тоже в гараже печатешь?
> чтобы закомитить свой лефтпад я просто пользуюс ... плагином генерящим шиткод прямо в браузере.
Наверное классный плагин, позволяет писать шиткод прям в комменты опеннета!
> Найух потому что идите за меня решать.
Как-будто ты в своей жизни, воообще что-то решаешь)
Ну подождем еще лет 5, думаю потому такие как ты кодом будет делиться только через дискетки (если найдут целые))
> такой охрененно-аппаратный токен, который заодно подсматривает и комунада сообщает куда ты ходишьСобственно, что и требовалось доказать.
Чел без шуток: если тебе кажется, что за тобой следят или что-то подсыпают в еду - это типичные симптомы шизофрении.
предыдущие строчки ты пропустил потому что там ни одной понятной тебе буквы, я правильно понимаю?> Собственно, что и требовалось доказать.
что ты д-л - доказывать было незачем. Разумеется рыться в документации что такое fido и откуда берутся участники этой схемки ты тоже не станешь, обоcpaтушки как и с __token__.
Папуас искренне верит что если он спрятался ночью в траве - белый человек с ночным прицелом его совершенно не видит. А все остальное - "паранойя".
> предыдущие строчки ты пропустил потому чтоКаке строчки? Вот жти что ли:
> внезапно оно отменяет и логины с паролями, и аппаратные и любые другие 2fa.
Извини, но это очередная чушь.
> Извини, но это очередная чушь.эта "чушь" написана прямо в тексте статьи. Нет, не этой, а оригинала анонса. Ну да, ну да - сброд опеннета не умеет ни в англицкие буковки ни в понимание технических текстов.
Им сказали что 2fa это крута и сисюрна - и они радостно расшибают лобешники.
Впрочем, подозреваю, примерно такое же обитает и во всей области деятельности вреднозитория pypi.
Причем когда они будут этот __token__ копипастить - даже в этот момент ни о чем не задумаются.
> эта "чушь" написана прямо в тексте статьи. Нет, не этой, а оригинала анонса. Ну да, ну да - сброд опеннета не умеет ни в англицкие буковки ни в понимание технических текстов.Открываем анонс https://blog.pypi.org/posts/2023-06-01-2fa-enforcement-for-u.../:
> Beginning today, all uploads from user accounts with 2FA enabled will be required to use an API Token or Trusted Publisher configuration in place of their password.
Открываем https://pypi.org/help/#apitoken
> API tokens provide an alternative way (instead of username and password) to authenticate when uploading packages to PyPI.
То есть везде черным по белому написано, что API токены являются альтернативой первому фактору - паролю.
Итак, чередной опернетный неадекват, лжец и балабол позорно сел в лужу, но зато успел окрестить всех дураками и сбродом.
Зачем ты им что-то пытаешься доказывать. Они поколение которое верует что дядя выплавивший микруху, не подпихнул туда бэкдор (хотя доказательств море). Так они воспитаны этими же дядями. Тут уже все.
> Они поколение которое верует что дядя выплавивший микруху, не подпихнул туда бэкдор (хотя доказательств море).Но это, конечно же, не затронуло девайс, на котром ты написал этот коммент?
Ну и в целом: где ты видишь связь между дввфакторкой и бэкдорами?
> Ну и в целом: где ты видишь связь между дввфакторкой и бэкдорами?Если уже параноить - то по максимуму, полумеры в таком важном деле не подходят.
Есть же люди которые использует всякие либробуты, сидять на 3 пне чтобы без intelME.
Не летают в самолетах (там же пасспорт проверяют!).
так там на самой штуковине может и нет бэкдора (ну в смысле - можно даже поверить что его нет, потому что микрухи ширпотреб и даже код кое-где глянуть можно). В смысле - нештатного нет. Сама fido - backdoor by design просто.
(и это мы еще про ее реализацию в Браузере даже не начинали)И нет, воспитаны они не дядями а просто дятлами. Дяди э... особенности? реализации протокола особо и не прятали никогда, все могут почитать, но сразу предупреждаю - буков там много и все аглицкие, непонятные.
Ну и да, то что они рекомендуют - это fido. т.е. такой охрененно-аппаратный токен, который заодно подсматривает и комунада сообщает куда ты ходишь (и нет, ты не можешь сделать свой- рыльцем не вышел).Во первых - можешь, делали уже люди свои U2F токены, правда они говенные выходят. Во вторых, "стучать" железные токены не могут, но чисто теоретически если использовать один токен на разных сервисах то может быть можно вычислить что пользователь А тут и пользователь Б там - один и тот же.
Вот только ничто не мешает тебе завести парочку токенов и не использовать один везде.Что до Windows Hello, то его моно использовать, да, но те кто его пользуют и вообще логинятся мордой лица - ну с этими людьми уже бесполезно говорить. Они мордой и в метро\магазине платить будут (Сбер уже предлагает платить улыбкой в камеру) и в ЕБС сами зарегаются, для них цифровой эксгибиоционизм это норма.
> Я тебе даже слово поисковое написал - __token__.Тырить его даже и не надо будет скорее всего [...]
Чел, токен можно стырить только с устройством, для которого он сгенерирован. И что ты с ним будешь делать с токеном, если у тебя нет первого фактора - пароля?
> лежит себе закомиченый в гитхапе и гитляпе, для надежности в обоих
То ли дело код, да? 🤡
>> Я тебе даже слово поисковое написал - __token__.
> Тырить его даже и не надо будет скорее всего [...]
> Чел, токен можно стырить только с устройством, для которого он сгенерирован. Ия тебе слово - написал не просто так именно таким образом. Если бы ты был не феноменально т-пой... впрочем, о чем я, это ж опеннет.
> что ты с ним будешь делать с токеном, если у тебя
> нет первого фактора - пароля?с этим - все буду делать, потому что ему даже и первый не нужен.
> с этим - все буду делать, потому что ему даже и первый не нуженНет, нужен, и поэтому ничего ты с одним токеном не сделешь. От тебя потребуют первый фактор, ибо иначе это уже не двуфакторка.
Ты в последних темах настолько жидко обделываешься, что кажется, что у тебя празднечный делирий.
Попробуй еще раз после рождества.
> Если бы ты был не феноменально т-пой...Порочесть о работе 2FA не хватило ума тебе, но тупым при этом оказался я... Что ж, как скажешь. Срывай дальше покровы с двуфакторки.
>Пароль утекает тупо скриншотом соседнего окна в дырявом х11.Пример приведёшь, реального случая такого хищения пароля? Или сферический конь?
>Пароль утекает тупо скриншотом соседнего окна в дырявом х11.Пример приведёшь, реального случая такого хищения пароля? Или сферический конь?
>> использования того же пароля на скомпрометированном сайте
> обычный пароль ровно на столько же решаетЯсно, понятно...
Может, объяснишь, каким именно образом пароль решает проблемы взломов локальной системы разработчика или применения методов социального инжиниринга?
> любой васян может, стырив токен
Лол, токен привязан к устройству, поэтому васяну ножно будет стырить и взломать два девайса.
> любой васян может, стырив токенКстати говоря, васяну помимо девайса с токеном нужно стырить и сам пароль. Или ты не знал, что двуфакторка - это дополнение к паролю?
> Предлагаю наносить разрабам штрих-код на лоб и вживлять подкожный чип,
> чтобы на 100% быть уверенными, что репозиторий содержит безопасный код.И камеры дома поставить - чтобы была уверенность что он сам код печатал.
Что значит загружать?
Может правильнее выгружать?
Ох уж эти термины Download & Upload
На русском оба слова одинаково правильно и неправильно используются в обоих смыслах.
> На русском оба слова одинаково правильно и неправильно используются в обоих смыслах.Ну как и да и нет.
Я вот сколько лет уже не знаю как донести мысль, в разных источниках по разному пишут. Но привычно стало именно выгрузить если имеется ввиду от себя информацию куда-то.
загружать можно на сервер
загружать можно локально
Если код особенно плохой, то можно его "вылаживать" )
Выкачивать (скачивать) и закачивать (заливать). Двусмысленности нет.
GitHub кстати тоже. https://codeberg.org/KOLANICH/Fuck-GuanTEEnomo
> You should stop using ₲itHub becauseО, это не тот, который написал похожий манифест про вейлад?
А то стиль очень похожий "паранойя + бахтхерт + бездоказательные утверждения"Думаю гитхаб не многое потеряет, если такое "свалит и громко хлопнет дверью".
Нет. не тот.
Посмотрел что это за чудо.
Из описания его репы -_\My nickname is KOLANICH, it is an uppercase (and shouldn't be downcased or capitalized) of a kinda transliteration of the Russian word Коляныч and is pronounced as /koˌlʲaˌnɨt͡ɕʲ/. It is derived from Колян, which is a variant of Коля (usually transliterated as Kolya) which is a diminutive of Николай (Nikolay), which English analogue is Nick.
I'm not a "sir": I have never been knighted, and I think that it is completely inacceptable to be a part of any suzerain-vassal relationships.
Думаю на мнение "коляныча, который обязательно капсом" можно, с чистой совестью и без колебаний, забить и положить))
Тем более в рыцари никогда не был посвящен
Бородатый анекдот вспомнилсяПереполненный троллейбус. Мужчина, прилично одет, выбрит, с папочкой трогает соседа за плечо:
— Будьте любезны, пожалуйста, не затруднит ли вас передать мой билетик на компостер?
— Ты что, #####, ИНТИЛИГЕНТ?!
— Что вы!.. Что вы!.. Отнюдь!.. Такое же б№№№о, как и вы...
> Посмотрел что это за чудо.не читать же текст с техническими терминами, действительно. Буков много и все непонятные.
> Думаю на мнение "коляныча, который обязательно капсом" можно, с чистой совестью и
> без колебаний, забить и положить))ведь важно не что написано, а кем! Вот владельцы пипи или там шитхаба - те уважаемые, они точно знают как надо.
Можно дальше и не читать, а сразу бежать выполнять их ценнейшие указания. Будет точно сесюрно.
> ведь важно не что написано, а кем!Конечно важно читать кем! Потому что можно долго вчитываться в шизофренический бред в поиске хоть какой-то логики, а потом глянул что это за поциэнт... и сразу стало все понятно))
> не читать же текст с техническими терминами, действительно. Буков много и все непонятные.Я его прочитал полностью)
Начинается там с причитаний о дискриминации "₲itHub has discriminated users of 1FA passwords".
Ну так писал бы сразу в спортлото!Далее рассказывает про harming yourself, возможно это что-то личное. Может ему билл гейтс ночью звонил и страшно дышал в трубку.
Потом жалуется на то что его заставляют пользоваться фичей.
₲itHub decides for users how and how much they should keep their accounts secure. Users should decide it themselves.
Не очень понятно с чего он вдруг решил за гитхаб какие фичи хороши, а какие нет.
Я уже представляю как такое приходит в булочную и возбухает, что они обязаны(!!) делать хлеб по 1.2кг, потому что ему так хочется.
В любом случае, это не единственная булочная - так что пусть катится на гитлаб, или скорее на рухаб (или как оно называется).Ноет что "2FA carries inherent risks of losing access by losing 2nd factor: any device can be broken, stolen or lost;"
То что ему фисташка может постучать палочкой по голове или усадить поудобнее на стеклянный предмет - и он потеряет память, он почему-то не написал. Что странно.Ноет что M$ is a stakeholder in FIDO, то что они же Platinum в линуксфаундешн он не вспомнил, а то пришлось бы линкус удалить тоже)
> ведь важно не что написано, а кем! Вот владельцы пипи или там шитхаба - те уважаемые, они точно знают как надо.
Именно так, они знают как будет им удобнее. И они решают. А ты можешь пользоваться или нет.
Это как бар - в одном у тебя спросят паспорт, зато там чисто и недалеко от дома,
а в другом нальют даже малолетке, но там всяки бичи лежат в лужах.
И ты сам можешь выбрать в какой идти. Можешь в первый, а можешь во второй, особенно если ты туда за малолетками идешь.
>> не читать же текст с техническими терминами, действительно. Буков много и все непонятные.
> Я его прочитал полностью)но всю техническую часть поскипал потому что те буквы тебе были непонятные.
> Начинается там с причитаний о дискриминации "₲itHub has discriminated users of 1FA
> passwords".
> Ну так писал бы сразу в спортлото!он написал ровно куда надо - там где есть люди, способные что-то изменить хотя бы лично для себя.
> Не очень понятно с чего он вдруг решил за гитхаб какие фичи
> хороши, а какие нет.с английским я смотрю у тебя тоже не очень.
> И ты сам можешь выбрать в какой идти. Можешь в первый, а
> можешь во второй, особенно если ты туда за малолетками идешь.а могу и плюнуть в стакан. Бармена нихера не жаль, пусть оттирает.
>> Не очень понятно с чего он вдруг решил за гитхаб какие фичи хороши, а какие нет.
> с английским я смотрю у тебя тоже не очень.И как ты переведешь это
₲itHub decides for users how and how much they should keep their accounts secure. Users should decide it themselves.
?
> способные что-то изменить хотя бы лично для себя.Угу, изменили. Всё на что они способны - свалить))
> а могу и плюнуть в стакан.
Да ты и на барную стойку на#рать можешь. А потом будешь удивляться, чего это у меня паспорт на входе просят.
https://www.youtube.com/watch?v=-uP9N7e4Ejs 1:06:55
> ведь важно не что написано, а кем!Именно так.
Вот видишь ты ссылку на probonopdʼа.
Вспоминаешь "а это тот малохольный который собирал 'баги' вейланда, причем уже исправленные из списка вкрысу не удалял, ну чтобы список побольше был"
и сразу доверия к его словам нет.Думаю у любом городе есть "местные сумашедшие", про которых все знают и всерьез их не воспринимают.
> собирал 'баги' вейланда, причем уже исправленные из списка вкрысу не удалял, ну чтобы список побольше былчтоб быстроподнятое все же оставалось - упавшим.
Но конечно зачем же ему доверять, ведь баговнет.
> чтоб быстроподнятое все же оставалось - упавшим.Подумаешь баг закрыли в начале 21 года, причем баг который сам г-н probonopd и заводил.
Но в своем "списке обидок на этих нехороших людей" он так и висит типа "broken since 2020".Если человек врет на каждом шагу, то с чего ему верить "в этот раз"?
> Но конечно зачем же ему доверять, ведь баговнет.
Чтобы посмотерть баги, я всегда могу открыть их багтрекер.
А не доверять мнению поехавшего.
Так это ты первым постом под анонимом про пипи острил? Дядь, ты бы правда о лечении подумал, зачем ты тут пишешь свои шизофазические простыни?
Я буду называть его Коланик
уже давно, и если эта шляпа - все что ты нашел, то советую поискать дисскуссии на самом гитхабетам много адекватной информации, хорошо изложенной
в итоге не то, чтобы много кто свалил, но какая-то часть ушла
> уже давно, и если эта шляпа - все что ты нашел, то
> советую поискать дисскуссии на самом гитхабе
> там много адекватной информации, хорошо изложеннойспасибо, попробую найти
> в итоге не то, чтобы много кто свалил, но какая-то часть ушла
Даже если бы из было 10-20-30 процентов, то основной вопрос "а сколько из них было платных?"
Гитхаб не богодельня, и занимается бизнесом. Модель "пользуешься бесплатно, привыкаешь, покупаешь".
Если оттуда ушли те кто пользовался только для себя и платить не собирался, то думаю они вообще не расстроились.
"можно использовать приложения для аутентификации на базе одноразовых паролей, поддерживающих протокол TOTP"TOTP не слишком надёжен, т.к. утечка ключа на основе которого генерятся пароли для входа очень легко может произойти (например с телефона на котором приложение TOTP).
Как раз с телефона его даже целенаправленно, обладая всеми доступами к устройству, вычленить сложно а то и невозможно без рутового эксплоита.
К счастью, что не вход по номеру телефону и не предложение повертеть головой перед веб-камерой. Этот уже мем.
> К счастью, что не вход по номеру телефону и не предложение повертеть
> головой перед веб-камерой. Этот уже мем.в смысле? windows hello - один из доверенных механизмов fido2. Не уверен что работает в обычном Браузере, а в кастрированный йож - можешь именно вертеть, во всяком случае они обещали еще год назад.
(нет, х-ем нельзя, к сожалению)
Интернет по паспорту
> Интернет по паспортуНе вижу ничего плохого)
В баре ребенку бухлишко не нальют, в КИБ спросят пспорт на кассе.
Пусть дети сидят в своем интернете и не портят мой, я и так его могу испортить сам.
майор перелогинься
"FIDO U2F аппаратных токенов и протокола WebAuthn, которая позволяет добиться более высокого уровня безопасности по сравнению с генерацией одноразовых паролей."А вот тут интересно. Откуда утверждение что WеbAuthn безопаснее TOTP?
Внедряем TOTP и аппаратные ключи ← мы находимся здесьЗапрещаем экспорт аппаратных ключей в страны без правильной демократии ← мы будем здесь до конца 2024
Старые версии ключей не поддерживаются из-за бага, который случайно немножечко бэкдор
Весь прогрессивный мир с осуждением смотрит на страны без правильной демократии, сами себя отрезавшие от прогрессивного человечества
А смысл?
роскомнадзор просто забанит все наружу, причем скорее всего раньше.
Почему все сторонники заговоров придумывают такие сложные схемы?
Намного проще просто забанить на гитхабе. И все.
Пара хитрецов попробую пролезть через тор, прокси, впн и тд... ну, их вычислят какими-то другими способами.Плюс обрати внимание на доступ к гитхабу напр. в Китае, С. Корее или Северном Зимбабве.
Он же забанен изнутри страны, а не извне.
Проще не значит лучше. Прямые баны всем очевидны и портят имидж "свободы демократии", а непрямые через аппаратные ключи достигают того же результата, но совершенно незаметно, что не вредит имиджу.
Ха ха ха гитпаб сам себя заблокировал от нормальных разработчиков , нормальный разработчик не поидет в конц лагерь гуд бей , по смс авторизацию надо было вводить
PyPI и ему подобные репозитории нужно прикрыть. В основном они хранят, за исключением пары десятков, мусорные проекты на уровне helloworld, очередного генератора uuid, 100500 версий от ИМЯПОЛЬЗОВАТЕЛЯ очередного генератора ЧЕГОТОТАМ. Крупные проекты имеют свои сайты, репозитории и т.д.
>PyPI и ему подобные репозитории нужно прикрыть.Цивиллизованный европеец может написать подобный комментарий?
Мда, в комментах столько паранойи насчёт TOTP, в которой комментаторы не разобрались. Там же буквально берётся какая-нибудь кодовая фраза, известная серверу и приложению для TOTP, добавляется время и хэшируется, и обрезается до 6 цифр, вот вам и двухфакторка.Однако, всё же есть и нормальные минусы: так двухфакторка реально полезна только если взломщик сумел узнать только пароль и ничего больше (хотя если тот же пароль используется в других сервисах то жертве конец в любом случае). Большинство современных стилеров же ныне крадут куки и сессии, чего в данном случае достаточно для угона всего, чего надо, и вот этому никакие двухфакторки не помешают (только если не спрашивать код на каждом чиху).