The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"В NPM включена обязательная двухфакторная аутентификация для 100 самых популярных пакетов "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В NPM включена обязательная двухфакторная аутентификация для 100 самых популярных пакетов "  +/
Сообщение от opennews (??), 03-Фев-22, 15:00 
GitHub объявил о включении в репозитории NPM обязательной двухфакторной аутентификации для 100 NPM-пакетов, имеющих наибольшее число зависимостей.  Сопровождающие данных пакетов отныне  смогут выполнить требующие аутентификации операции с репозиторием только после включения двухфакторной аутентификации, требующей подтверждения входа при помощи одноразовых паролей (TOTP), генерируемых такими приложениями, как Authy, Google Authenticator и FreeOTP. В ближайшее время помимо TOTP планируют добавить возможность использования аппаратных ключей и биометрических сканеров, поддерживающих протокол WebAuth...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56629

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "В NPM включена обязательная двухфакторная аутентификация для..."  +6 +/
Сообщение от Аноним (1), 03-Фев-22, 15:00 
Теперь авторам не получится поднять деньжат и списать на взлом? Я думаю, они не в восторге.
Ответить | Правка | Наверх | Cообщить модератору

9. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от пох. (?), 03-Фев-22, 15:41 
Почему не получится? Или ты имеешь в виду - не успеют, потому что это сделает троянец на их телефоне без их ведома, чего ради весь этот бред и затевался?

Ну так просто будут два майнера вместо одного.

Ответить | Правка | Наверх | Cообщить модератору

21. "В NPM включена обязательная двухфакторная аутентификация для..."  +2 +/
Сообщение от Аноним (21), 03-Фев-22, 20:31 
>троянец на их телефоне

FreeOTP? Ты что шиз?

>пох

А в прочем да

Ответить | Правка | Наверх | Cообщить модератору

42. "В NPM включена обязательная двухфакторная аутентификация для..."  +1 +/
Сообщение от Анон_из_Восточной_Европы (ok), 04-Фев-22, 12:43 
Всегда можно списать на взбесившийся принтер. Кто мешает добавить в код зависимости от "третьих лиц" с нужным кодом.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "В NPM включена обязательная двухфакторная аутентификация для..."  –1 +/
Сообщение от Аноньимъ (ok), 03-Фев-22, 15:03 
А что с тем кадром которого на гитхабе заблокировали?
Или там питон был?
Ответить | Правка | Наверх | Cообщить модератору

4. "В NPM включена обязательная двухфакторная аутентификация для..."  –7 +/
Сообщение от Анонимemail (4), 03-Фев-22, 15:11 
лол который протестовал и радел за самоубийство другого разраба? там какой-то фронтендщик был
Ответить | Правка | Наверх | Cообщить модератору

6. "В NPM включена обязательная двухфакторная аутентификация для..."  +4 +/
Сообщение от Аноним (6), 03-Фев-22, 15:22 
>и радел за самоубийство другого разраба

Это ты так неуважительно об Аароне пишешь?

Ответить | Правка | Наверх | Cообщить модератору

27. "В NPM включена обязательная двухфакторная аутентификация для..."  +1 +/
Сообщение от Анонимоусш (?), 04-Фев-22, 01:32 
Бэкэндщиком повеяло…
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

29. "В NPM включена обязательная двухфакторная аутентификация для..."  +1 +/
Сообщение от Михрютка (ok), 04-Фев-22, 01:46 
с Мараком штоль? а ничего. репостит в твитыре кислотные клипчики и пишет какую-то ерунду про "seize the means of production".

его colors все еще в топ-100 списке. вот только с доступом на npm и гитхаб у него еше некоторое будут проблемы и помимо 2А, кмк.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "В NPM включена обязательная двухфакторная аутентификация для..."  –1 +/
Сообщение от Аноним (3), 03-Фев-22, 15:07 
Ну и зачем это нужно?

>В ходе проверки надёжности используемых паролей удалось получить доступ к 12% аккаунтов в NPM (13% пакетов) из-за использования предсказуемых и тривиальных паролей, таких как "123456"

Если владельцы аккаунтов не считают нужным что-то защищать - зачем их заставлять?
Просто связались бы с ними и предупредили бы что выбранный пароль слишком простой. Что дальше делать - не гитхабу решать!

Ответить | Правка | Наверх | Cообщить модератору

5. "В NPM включена обязательная двухфакторная аутентификация для..."  +1 +/
Сообщение от Аноним (5), 03-Фев-22, 15:15 
Если пакет начал использоваться как зависимость в других пакетах, безопасность перестаёт
быть только проблемой автора.  

Но можно было не принуждать, а пойти другим путём - для репозиториев без 2FA и с ненадёжными паролями выставлять специальную метку и распространять её вверх по цепочке зависимостей, что бы все кто использует данные пакеты видели имеющийся риск и понимали, что в любой момент им может прилететь бэкдор.

Ответить | Правка | Наверх | Cообщить модератору

7. "В NPM включена обязательная двухфакторная аутентификация для..."  +5 +/
Сообщение от Аноним (6), 03-Фев-22, 15:27 
>Но можно было не принуждать

Ты это говоришь про Майкрософт? Который в своей истории много раз кого-нибудь да принуждал.

>а пойти другим путём

А когда-нибудь в своей истории Майкрософт шёл другим путём?

Ответить | Правка | Наверх | Cообщить модератору

8. "В NPM включена обязательная двухфакторная аутентификация для..."  –4 +/
Сообщение от Аноньимъ (ok), 03-Фев-22, 15:39 
>Если пакет начал использоваться как зависимость в других пакетах, безопасность перестаёт быть только проблемой автора.  

Она становится проблемой использователя разработчика других пакетов.

Причём тут МММ непонятно вообще.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

10. "В NPM включена обязательная двухфакторная аутентификация для..."  +1 +/
Сообщение от пох. (?), 03-Фев-22, 15:43 
> Она становится проблемой использователя разработчика других пакетов.

которому конечно мешает зафиксировать именно проверенную версию что? А, руки. Растущие понятно оттуда же, где у него и голова.

Поэтому на самом деле он ее и не проверял. И каким местом тут поможет шестифакторная аутентификация, если щупалец у него восемь?

Ответить | Правка | Наверх | Cообщить модератору

32. "В NPM включена обязательная двухфакторная аутентификация для..."  +1 +/
Сообщение от псевдонимус (?), 04-Фев-22, 02:52 
Это не руки. И даже не хвост. Это голова, работающая по принципу "и так сойдёт, не себе же!"
Ответить | Правка | Наверх | Cообщить модератору

15. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Kuromi (ok), 03-Фев-22, 17:01 
Слишком сложно + надо уметь это обрабатывать на стороне клиента. Обязать топовые репозитории поставить наконец OTP намного проще.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

18. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Онаним (?), 03-Фев-22, 19:13 
Именно. Ебзопасность становится проблемой ещё и этот пакет с пакетами использующих.
Остальным всё равно фиолетово.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

16. "В NPM включена обязательная двухфакторная аутентификация для..."  +3 +/
Сообщение от ананим.orig (?), 03-Фев-22, 17:19 
>Ну и зачем это нужно?

Им нужен контроль.
Безопасность только повод.
>В ближайшее время помимо TOTP планируют добавить возможность использования аппаратных ключей и биометрических сканеров

...

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

11. "В NPM включена обязательная двухфакторная аутентификация для..."  +4 +/
Сообщение от Ananimasss (?), 03-Фев-22, 15:50 
лефтпад в опасносте
Ответить | Правка | Наверх | Cообщить модератору

12. "В NPM включена обязательная двухфакторная аутентификация для..."  +5 +/
Сообщение от Аноним (12), 03-Фев-22, 16:12 
Жду следующей новости: из-за введения обязательной двухфакторной аутентификации были взломаны 100500 самых популярных пакетов.
Ответить | Правка | Наверх | Cообщить модератору

13. "В NPM включена обязательная двухфакторная аутентификация для..."  –2 +/
Сообщение от Аноним (13), 03-Фев-22, 16:46 
Для безопасности надо читать код библиотек, которыми пользуешься, и пинить версии. Прочитал новую версию - запинил. Просто представьте насколько бы вырос уровень безопасности при отключении автообновлений. И не надо этих легенд про фиксы уязвимостей - одни уязвимости устраняются, другие добавляются. В крайнем случае вручную прочитать патч с фиксом уязвимости и наложить на запиненную прочитанную версию зависимости, если сам с фиксом согласен
Ответить | Правка | Наверх | Cообщить модератору

14. "В NPM включена обязательная двухфакторная аутентификация для..."  +4 +/
Сообщение от Урри (ok), 03-Фев-22, 17:01 
> Для безопасности надо читать код библиотек, которыми пользуешься

Разработчик хелловорлда, как я вижу?

Интересно, сколько человеколет у меня уйдет, если я буду читать код всех библиотек, которые решил поиспользовать... Я думаю... где-то 120.

Ответить | Правка | Наверх | Cообщить модератору

17. "В NPM включена обязательная двухфакторная аутентификация для..."  –1 +/
Сообщение от Аноним (-), 03-Фев-22, 18:52 
сколько npm пакетов нужно вебмакакам для гарантированного вывода хелловорд?
Ответить | Правка | Наверх | Cообщить модератору

19. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Аноним (1), 03-Фев-22, 19:21 
Дело не в макаках, чтобы грамотно и по всем правилам написать привет мир тебе потребуются тысячи зависимостей и это ты только 1 строку вывел. Конечно, ты можешь забить на тесты и всё остальное, но такому коду грош цена,
Ответить | Правка | Наверх | Cообщить модератору

20. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Ананоним (?), 03-Фев-22, 20:14 
Это твоему коду с тыщами мутных зависимостей грош цена. А код в 10 строк, выводящий нужную строку, самый лучший.
Ответить | Правка | Наверх | Cообщить модератору

25. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Урри (ok), 04-Фев-22, 01:06 
> Это твоему коду с тыщами мутных зависимостей грош цена. А код в
> 10 строк, выводящий нужную строку, самый лучший.

Исходники браузера, который будет выводить эту строку, уже проверил?

Ответить | Правка | Наверх | Cообщить модератору

39. "В NPM включена обязательная двухфакторная аутентификация для..."  +1 +/
Сообщение от liliputiputiputi (?), 04-Фев-22, 06:55 
Используй только то что проверено на безопасность другими, не обновляйся до нестабильных версий. Не используй новые не понятные кресты.
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

41. "В NPM включена обязательная двухфакторная аутентификация для..."  +2 +/
Сообщение от Аноним (41), 04-Фев-22, 07:19 
Установил реакт получил 20000 тысяч зависимостей. Читай все

В веб ужасная ситуация с зависимостями.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

53. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от www2 (??), 08-Фев-22, 07:31 
>Установил реакт получил 20000 тысяч зависимостей. Читай все

Если интересна безопасность, то лучше вообще не устанавливать то, что не можешь прочитать. Правда, так можно с одними только механическими часами остаться. У них нет багов, только особенности.

Ответить | Правка | Наверх | Cообщить модератору

52. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от www2 (??), 08-Фев-22, 07:28 
>Просто представьте насколько бы вырос уровень безопасности при отключении автообновлений.

djb'шно :)

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

22. "В NPM включена обязательная двухфакторная аутентификация для..."  +5 +/
Сообщение от Wilem82 (ok), 03-Фев-22, 22:24 
Отлично, теперь потеря/поломка телефона приведёт к безвозвратной утере аккаунта.
Ответить | Правка | Наверх | Cообщить модератору

30. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Аноним (30), 04-Фев-22, 02:27 
Дитятко, ты что, никогда не менял симку к банковскому акку?! А ведь там посерьёзней привязка.
Ответить | Правка | Наверх | Cообщить модератору

38. "В NPM включена обязательная двухфакторная аутентификация для..."  +3 +/
Сообщение от liliputiputiputi (?), 04-Фев-22, 06:49 
А через пол года твой банковский номер передадут другому пользователю. Или сделают копию твоего счёта.
Ответить | Правка | Наверх | Cообщить модератору

33. "В NPM включена обязательная двухфакторная аутентификация для..."  +2 +/
Сообщение от Ананимст (?), 04-Фев-22, 03:27 
Кипас и плагин для тотп, и ьекапишь куда хочешь. У меня так куча корморативной мути завязано на тотп, проблему решил таким образом. +Не надо каждый раз сраный телефон доставать.
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

23. "В NPM включена обязательная двухфакторная аутентификация для..."  +7 +/
Сообщение от InuYasha (??), 03-Фев-22, 23:30 
Принудительная биометрия пришла откуда её почти не ждали.
"Вы такие дебилы, что не можете запомнить свой пароль, держите привязку к почте, телефону, имени, фамилии, а ещё сдайте быдлометрию и вот ещё текст клятвы в вечной верности"
Ответить | Правка | Наверх | Cообщить модератору

24. "В NPM включена обязательная двухфакторная аутентификация для..."  –4 +/
Сообщение от Kuromi (ok), 04-Фев-22, 00:19 
Биометрия чисто опциональна. Можно использовать 1) программный TOTP 2) аппаратный WebAuthn токен без какой либо биометрии\с пинпадом\встроенной биометрией (той что никуда дальше токена не идет

Использовать встроенный в виндовс TPM и разблокировкой через биометрию - это чисто по желанию, т.к. в стандарте WebAuthn есть требование не привязываться к конкретному типу аутентификаторов. Ну а если кто-то таки привязывается, то ССЗБ.

Ответить | Правка | Наверх | Cообщить модератору

26. "В NPM включена обязательная двухфакторная аутентификация для..."  +4 +/
Сообщение от Аноним (26), 04-Фев-22, 01:21 
Тут вся отрасль развивается через опции. Сначала они просто есть, потом по умолчанию и, наконец, это навсегда и для всех.
Ответить | Правка | Наверх | Cообщить модератору

35. "В NPM включена обязательная двухфакторная аутентификация для..."  –3 +/
Сообщение от swabrostionnayaformapravleniya (?), 04-Фев-22, 06:37 
Как будто бы opennet свободный.
Вот:

ОШИБКА ПУБЛИКАЦИИ (сработала защита от попыток осуществления нештатных операций с форумом) - СВЯЖИТЕСЬ С АДМИНИСТРАТОРОМ
Наиболее вероятной причиной является использование прокси сервера с настройками направленными на излишнюю анонимность.

Решение для пользователей прокси-сервера squid: убрать из конфига squid "anonymize_headers" настройки. (Убрать "anonymize_headers deny Referer" или добавить "anonymize_headers allow Referer").

Решение для пользователей браузера Opera: в настройках "Privacy" проверить состояние галки "Enable Referer login". Если не работет Opera 6.11 для Linux, обновите ее до 6.12, в 6.11 ошибка.

Решение для Lynx: убедитесь в присутствии настройки "REFERER_WITH_QUERY:SEND" в /etc/lynx.cfg.

Пользователи локальных программ фаерволов под Windows (например, NIS - Norton Internet Security), могут иметь проблемы с настройками по умолчанию.

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

45. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Аноним (26), 04-Фев-22, 13:52 
Это другое!
Ответить | Правка | Наверх | Cообщить модератору

49. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от InuYasha (??), 05-Фев-22, 10:28 
м-да.png.... "излишняя анонимность"... (
Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

54. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от www2 (??), 08-Фев-22, 07:34 
Настолько анонимен, что не хочешь говорить даже с какой страницы пришёл?
Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

28. "В NPM включена обязательная двухфакторная аутентификация для..."  +1 +/
Сообщение от Аноним (28), 04-Фев-22, 01:35 
Выпускаем пакеты только в отделении при предъявлении паспорта и шкурки банана.

Ваш npm

Ответить | Правка | Наверх | Cообщить модератору

37. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от swabrostionnayaformapravleniya (?), 04-Фев-22, 06:46 
Занимаемся политикой только приходя на голосование. Овощи должны быть овощами. А вы попробуйте подписать петицию за разрешение овощных игр.
Ответить | Правка | Наверх | Cообщить модератору

31. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от псевдонимус (?), 04-Фев-22, 02:43 
Не поможет.
Ответить | Правка | Наверх | Cообщить модератору

34. "В NPM включена обязательная двухфакторная аутентификация для..."  +2 +/
Сообщение от Аноним (34), 04-Фев-22, 05:44 
А "владелец" пакета разве не сможет залогиниться и отключить этот OTP, будет не отключаемый?
Ответить | Правка | Наверх | Cообщить модератору

46. "В NPM включена обязательная двухфакторная аутентификация для..."  +2 +/
Сообщение от Аноним (46), 04-Фев-22, 14:37 
> не отключаемый?

Скоро будешь каждый раз мазок сдавать, как еще один "фактор".

Ответить | Правка | Наверх | Cообщить модератору

40. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от sdafaytesyaswabrostionspolizey (?), 04-Фев-22, 07:00 
Нужно запретить не безопасных программистов.
Ответить | Правка | Наверх | Cообщить модератору

43. "В NPM включена обязательная двухфакторная аутентификация для..."  +1 +/
Сообщение от anonymous (??), 04-Фев-22, 12:58 
А какое отношение гитхаб имеет к npm?
Ответить | Правка | Наверх | Cообщить модератору

44. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Аноним (46), 04-Фев-22, 13:01 
> TOTP

Это точно еще один "фактор"?

Ответить | Правка | Наверх | Cообщить модератору

47. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Аноним (47), 04-Фев-22, 17:19 
> GitHub объявил о включении в репозитории

Фигня это всё.

1. Необходимо все комиты и особенно релизы подписывать OpenPGP ключом.

2. Найти спонсоров для раздачи открытых аппаратных хранилищ ключей OpanPGP для разработчиков свободных програм.

3. Поощрять проведение PGP часа на всех ИТ мероприятиях для обмена публичными ключами.

Ответить | Правка | Наверх | Cообщить модератору

48. "В NPM включена обязательная двухфакторная аутентификация для..."  +2 +/
Сообщение от Аноним (47), 04-Фев-22, 17:30 
> 2. Найти спонсоров для раздачи открытых аппаратных хранилищ ключей OpanPGP для разработчиков свободных програм.

https://www.nitrokey.com/news/2018/nitrokey-partners-linux-f...

https://www.nitrokey.com/news/2019/nitrokey-partners-gentoo-...

https://www.nitrokey.com/news/2021/nitrokey-equips-arch-linu...

А тем временем вышел Nitrokey 3: https://www.nitrokey.com/news/2021/new-nitrokey-3-nfc-usb-c-...

Ответить | Правка | Наверх | Cообщить модератору

50. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Аноним (30), 05-Фев-22, 13:58 
как в анекдоте: "...Я им уже и унитаз приносил - всё равно не продают!".
Ответить | Правка | Наверх | Cообщить модератору

51. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Всем Анонимам Аноним (?), 06-Фев-22, 21:49 
Так у них на почте такой же пароль. Нужно просто в почту залогиниться вместо NPM.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру