The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"GitHub внедряет в NPM обязательную расширенную верификацию учётных записей"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"GitHub внедряет в NPM обязательную расширенную верификацию учётных записей"  +/
Сообщение от opennews (?), 08-Дек-21, 11:22 
В связи с участившимися случаями захвата репозиториев крупных проектов и  продвижения вредоносного кода через компрометацию учётных записей разработчиков, компания GitHub вводит повсеместную расширенную верификацию учётных записей. Отдельно для сопровождающих и администраторов 500 самых популярных NPM-пакетов в начале следующего года будет внедрена обязательная двухфакторная аутентификация...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56304

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +8 +/
Сообщение от kusb (?), 08-Дек-21, 11:22 
Которую взломают...
Ответить | Правка | Наверх | Cообщить модератору

8. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +5 +/
Сообщение от fghj (?), 08-Дек-21, 12:08 
> Которую взломают...

Главное это цена взлома vs выгода от взлома.
Они очевидно поднимают цену взлома, чтобы угнав email
с помощью простейших средства типа социальной инженерии
нельзя было взломать github аккаунт.

Ответить | Правка | Наверх | Cообщить модератору

9. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  –5 +/
Сообщение от Аноним (-), 08-Дек-21, 12:18 
Ну да, а выгодно гуглам и прочим клаудфларам. сколько гугол просит ? 200$ за доступ в почту кажеться. потому не держу ничего ценнее 199$ бггга, пусть разорятся
Ответить | Правка | Наверх | Cообщить модератору

35. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +1 +/
Сообщение от Аноним (35), 08-Дек-21, 23:56 
Будут потом слюну брать на анализ и верификацию... Ширину носа измерять...
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

46. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +2 +/
Сообщение от kusb (?), 09-Дек-21, 18:27 
Кидать полотенце, спрашивать кто ты по масти.
Ответить | Правка | Наверх | Cообщить модератору

55. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +/
Сообщение от Kuromi (ok), 15-Дек-21, 00:28 
WebAuthn вряд ли сломают, там нужен железный ключ для доступа, особенно прикольно когда он внешний.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +8 +/
Сообщение от Анонимemail (2), 08-Дек-21, 11:22 
Попытка (разгрести это Г) — не пытка.
Ответить | Правка | Наверх | Cообщить модератору

22. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +1 +/
Сообщение от Коба (?), 08-Дек-21, 16:38 
Лаврентий Павлович, залогиньтесь!
Ответить | Правка | Наверх | Cообщить модератору

3. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  –9 +/
Сообщение от Аноним (-), 08-Дек-21, 11:43 
email - сама по себе дырень в безопасности (у всех же бесплатные ? самодельные перестали работать после запуска гмыла) уходите с модели имейл подтверждений при регистрации, рисуйте дикие капчи, с математикой и пушкиным
Ответить | Правка | Наверх | Cообщить модератору

14. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +8 +/
Сообщение от Аноним (-), 08-Дек-21, 12:57 
12% "программистов" не способны пароль сгенерить. Какие к чёрту капчи? Тут спасёт только стерилизация.
Ответить | Правка | Наверх | Cообщить модератору

17. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +/
Сообщение от kusb (?), 08-Дек-21, 14:26 
> email - сама по себе дырень в безопасности (у всех же бесплатные
> ? самодельные перестали работать после запуска гмыла) уходите с модели имейл
> подтверждений при регистрации, рисуйте дикие капчи, с математикой и пушкиным

Было расширение, чтобы Pow прикрутить, могли придумать чтобы сервер получателя спрашивал капчу у отправителя. Сразу немного не озаботились, но частично к лучшему.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

19. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +3 +/
Сообщение от YetAnotherOnanym (ok), 08-Дек-21, 15:30 
<troll>Сделали бы давно уже через ЕСИА!</troll>
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

26. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +/
Сообщение от OpenEcho (?), 08-Дек-21, 17:02 
> у всех же бесплатные ? самодельные перестали работать после запуска гмыла

Ни х себе?! Здесь зарываешься от заказов на емэйл серваки, а оно вон оказывается, как - все и под гмаил

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

36. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +/
Сообщение от _ (??), 09-Дек-21, 00:47 
То серваки - кого надо серваки! :-)
А остальные в гмыле\ггг360 - хрен поспоришь :(
Ответить | Правка | Наверх | Cообщить модератору

49. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +/
Сообщение от OpenEcho (?), 09-Дек-21, 20:20 
> А остальные в гмыле\ггг360 - хрен поспоришь :(

Это о простом народе что-ли ? Ну так, Кот Базилио был прав, -жадность она до добра не доведет

Ответить | Правка | Наверх | Cообщить модератору

34. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +3 +/
Сообщение от Аноним (34), 08-Дек-21, 22:46 
> самодельные перестали работать после запуска гмыла

Мой персональный самодельный почтарь работает ещё с тех времён, когда гмыла в помине не было. Почта как тогда работала, так и сейчас продолжает работать. Что ещё расскажешь, ибэшник мамкин?

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

37. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +1 +/
Сообщение от _ (??), 09-Дек-21, 01:50 
Я как там твой самодельный деревянный ? Не совсем в труху истёр? :)
Чтобы "почта работает"(С) ты обизян(С) настроить все полюшки которые гугел хочет. тчк.
А для супермегаЫнерпрайза "я сам и мой кот"(tm) - можешь хоть FIDO-net гонять, оно кстати тоже до сих работает - и вот это и вправду удивительно 8-)
Ответить | Правка | Наверх | Cообщить модератору

39. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  –1 +/
Сообщение от пох. (?), 09-Дек-21, 08:06 
ну, для _получения_ почты (на 99% ныне состоящей из спама через гугля и его клонов - яндекса и... а, кстати, давно уже не видно ни яхи, ни мэйлрушечки) пока еще нет, не обязан.

Правда найти пресловутый пароль в миллионе предложений херни подорого будет непросто.

> оно кстати тоже до сих работает

что, до сих пор горячо обсуждают (всколькером - втроем? Впятером?) какую из трех последних эх первой "снести с бона" (которого давно нет), потому что модератора в ней никто не видел уже лет пять? Регулярно перевыбирают ненужноC голосованием из одной кандидатуры (Или наконец короновали одного на все посты сразу)? Что там еще у вас "работало" когда последний раз я запускал tin?

Ответить | Правка | Наверх | Cообщить модератору

48. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +/
Сообщение от OpenEcho (?), 09-Дек-21, 20:18 
> Чтобы "почта работает"(С) ты обизян(С) настроить все полюшки которые гугел хочет. тчк.

О каких плюшках речь? ДКИМ, СПФ или все в одном влаконе ака ДМАРК ?
Так оно не о гугле, оно противо-дебилов

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

4. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  –1 +/
Сообщение от Корец (?), 08-Дек-21, 11:53 
Так а смысл? Там же все через один пакеты решeто(если верить новостям).
Ответить | Правка | Наверх | Cообщить модератору

5. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  –2 +/
Сообщение от Аноним (5), 08-Дек-21, 12:03 
Смысл - захаррасить разработчиков до такой степени, чтобы они перешли на WebAuthn.
Ответить | Правка | Наверх | Cообщить модератору

13. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  –1 +/
Сообщение от КО (?), 08-Дек-21, 12:52 
Им нужны твои номера телефонов для спама, цифровые отпечатки и все твои данные.
Шапочки из фольги снимать не собираюсь
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

15. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  –2 +/
Сообщение от opa (?), 08-Дек-21, 13:56 
Качественная шапочка из фольги должна иметь минимум 7 (семь)пар проводник-изолятор и полностью покрывать поверхность защищаемого объема для частот до 5G. В качестве изолятора достаточно хороша пищевая пленка.
Ответить | Правка | Наверх | Cообщить модератору

18. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +/
Сообщение от kusb (?), 08-Дек-21, 14:30 
> Качественная шапочка из фольги должна иметь минимум 7 (семь)пар проводник-изолятор и полностью
> покрывать поверхность защищаемого объема для частот до 5G. В качестве изолятора
> достаточно хороша пищевая пленка.

Возможно достаточно изолировать очень низкие частоты "как наводки от проводного радио" и наоборот такие как в 5g?
Ладно заговор, но может ли 5g раздражать мозг и создавать "помехи"? Большинство частот наверное могут его только нагреть, так?

Ответить | Правка | Наверх | Cообщить модератору

21. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +/
Сообщение от Аноним (5), 08-Дек-21, 16:35 
>но может ли 5g раздражать мозг и создавать "помехи"?

Может. Неужели не знали, что всем сразу после рождения чип с антенной от Илона в мозг запихивают? Разделение труда, Билл обслуживает старперов, а Илон - молодняк!

Ответить | Правка | Наверх | Cообщить модератору

24. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +/
Сообщение от kusb (?), 08-Дек-21, 16:43 
А еще эти конспирологи всё путают, это не вышки распространяют вирус, а тайная власть, чтобы с вакциной вколоть чипов. А вышки - чтобы их запитать электричеством, поэтому такая частота и так много вышек.
А у молодых такое есть с рождения, так что они болеют несерьёзно.
Ответить | Правка | Наверх | Cообщить модератору

32. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +1 +/
Сообщение от Аноним (32), 08-Дек-21, 19:43 
А я вообще у себя отключил вайфай 2\5Ггц. Вместе с интернетом.
После этого начал мыслить ясно и четко.

Привет Буратино пишу с калькулятора
Гарри Потер мне просто не отвечает
Мой мозг навсегда от причала отчалил

Ответить | Правка | Наверх | Cообщить модератору

45. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +/
Сообщение от kusb (?), 09-Дек-21, 15:53 
> А я вообще у себя отключил вайфай 2\5Ггц. Вместе с интернетом.
> После этого начал мыслить ясно и четко.
> Привет Буратино пишу с калькулятора
> Гарри Потер мне просто не отвечает
> Мой мозг навсегда от причала отчалил

Но всё равно гармошка по утрам, я родился мирно в сортире бродяг, но в болоте была большая дверца, в моём нагрудном доме.

Ответить | Правка | Наверх | Cообщить модератору

40. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +/
Сообщение от пох. (?), 09-Дек-21, 08:08 
> Им нужны твои номера телефонов для спама, цифровые отпечатки и все твои данные.

вроде как раз нет, и они собираются использовать email подтверждение. То есть я почти успел порадоваться как раз их разуму и адекватности, пока не дочитал что это временно и 100 первых в очереди за печатью зверя на лоб уже поставлены, а остальным 500 приготовить лбы.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

16. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +1 +/
Сообщение от Аноним (-), 08-Дек-21, 14:17 
почему то уверен что половина (если не больше) всех случаев с вредоносным кодом была инспирирована самими разработчиками библиотек, монетизация в опенсорсе жестокая и беспощадная )) а потом сказать что ак угнали, лепота )))
Ответить | Правка | Наверх | Cообщить модератору

20. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +/
Сообщение от freehckemail (ok), 08-Дек-21, 16:32 
В целом, с учётом того, как npm-щики те ещё раздолбаи, у которых вечно учётки утекают, их принуждение к 2FA -- очень хороший шаг.
Ответить | Правка | Наверх | Cообщить модератору

23. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +1 +/
Сообщение от Аноним (23), 08-Дек-21, 16:41 
Да внедряйте вы что хотите. Что github что npn пора на свалку.
Ответить | Правка | Наверх | Cообщить модератору

28. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +1 +/
Сообщение от OpenEcho (?), 08-Дек-21, 17:06 
> в апреле 2022 года планируют добавить возможность использования аппаратных ключей

Ну наконец то, кто в мелкософте прочитал про аппаратные ключи... Глядишь, они еще и длину пароля может увеличат с 16 на что то более адекватное

Ответить | Правка | Наверх | Cообщить модератору

33. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +1 +/
Сообщение от Kuromi (ok), 08-Дек-21, 21:06 
Вообще-то в самом Гитхабе поддержка WebAuthn есть уже не первый год. Так-то они были одними из первых кто внедрил поддержку U2F (но коряво, только в Хроме), а после покупки Микросами - перешли на WebAuthn, даже в ФФ работает.
Ответить | Правка | Наверх | Cообщить модератору

47. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +/
Сообщение от OpenEcho (?), 09-Дек-21, 20:13 
> Вообще-то в самом Гитхабе поддержка WebAuthn есть уже не первый год. Так-то
> они были одними из первых кто внедрил поддержку U2F

Странная поддержка, сперва дай им телефон, а вот только потом позволят юзать свою Ю2Ф безделушку

Ответить | Правка | Наверх | Cообщить модератору

54. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +/
Сообщение от Kuromi (ok), 15-Дек-21, 00:25 
>> Вообще-то в самом Гитхабе поддержка WebAuthn есть уже не первый год. Так-то
>> они были одними из первых кто внедрил поддержку U2F
> Странная поддержка, сперва дай им телефон, а вот только потом позволят юзать
> свою Ю2Ф безделушку

Обычно это мотивируется тем что "Токен можно оптерять, аварийные коды вы 100% посеете, так что давайте номер телефона чтобы восстанавливать доступ было чем". К сожалению - распространенная тактика, но не к счастю не везде.

Ответить | Правка | Наверх | Cообщить модератору

56. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +/
Сообщение от OpenEcho (?), 16-Дек-21, 01:18 
> Обычно это мотивируется тем что "Токен можно оптерять, аварийные коды вы 100%

Я б сказал - "не мотивируется", а прикрываются, т.к. получить телефон - это очень нынче сладко, под любым предлогом


Ответить | Правка | Наверх | Cообщить модератору

57. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +/
Сообщение от Kuromi (ok), 16-Дек-21, 01:42 
>> Обычно это мотивируется тем что "Токен можно оптерять, аварийные коды вы 100%
> Я б сказал - "не мотивируется", а прикрываются, т.к. получить телефон -
> это очень нынче сладко, под любым предлогом

Само собой. Но не все, НеймЧип скажем не требует давать номер телефона для подключени 2FA. Чтож до "сладко", ну вот мне сегодня пришло радостное письмо от одного книжного онлайн-магазина, что они скоро уберут авторизацию по логину\почте\паролю И соцсеткам полностью и оставят только телефон. "Вам даже пароль не потребуется!" - ага, потому что каждый раз вводи код из СМС, что делать если ты профукал симку или сотовая сеть тупит им дела нету.
Радость-то какая >_<

Ответить | Правка | Наверх | Cообщить модератору

58. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +/
Сообщение от OpenEcho (?), 16-Дек-21, 08:38 
Если б только онлайне магазин, на яхе вон, поменял номер телефона лет 15 назад и не обновил вовремя, теперь, для "исключительно заботы о мне" доступ перекрыт навсегда, к экаунту который был с рождения самой яхи...
Ответить | Правка | Наверх | Cообщить модератору

59. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +/
Сообщение от Kuromi (ok), 16-Дек-21, 19:43 
> Если б только онлайне магазин, на яхе вон, поменял номер телефона лет
> 15 назад и не обновил вовремя, теперь, для "исключительно заботы о
> мне" доступ перекрыт навсегда, к экаунту который был с рождения самой
> яхи...

Так именно что. Если пропадет доступ к онлайн-магазу книг, где все равно никаких особых нужд в том чтобы имень полноценный аккаунт нет (унылая бонусная программа разве что?) - это одно. А когда тебе зарезают доступ к важным данным - другое.

Ответить | Правка | Наверх | Cообщить модератору

44. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +/
Сообщение от ist (?), 09-Дек-21, 12:50 
16 символов - это 10^30 вариантов. Вполне достаточно.
Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

50. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +/
Сообщение от OpenEcho (?), 09-Дек-21, 20:25 
> 16 символов - это 10^30 вариантов. Вполне достаточно.

И много народу знаете, которые хотя бы: echo 0x`head -c 16 /dev/urandom | xxd -p` ?

А вот там где нет дебильного ограничения, так народ в охотку запоминает фразы, и секьюрно и легко.
Много фраз в 16 символов уложите ?

Ответить | Правка | Наверх | Cообщить модератору

51. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +/
Сообщение от Аноним (-), 10-Дек-21, 10:30 
$ hsxkpasswd
$$05~paper~NORTHERN~mine~85$$
Ответить | Правка | Наверх | Cообщить модератору

52. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +/
Сообщение от OpenEcho (?), 12-Дек-21, 14:02 
passwordgenerator: Vaster=Trivia:Postal+Avenge:Prize%149_Deb%Truces
Ответить | Правка | Наверх | Cообщить модератору

53. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +/
Сообщение от OpenEcho (?), 12-Дек-21, 16:39 
> $ hsxkpasswd
> $$05~paper~NORTHERN~mine~85$$

Вот если вы такой пароль попытаетесь на мелкософт экаунт, то останется:
$$05~paper~NORTH
Два словарных слова и совсем чуть чуть цифр и спец символов.

Если слов меньше чем шесть, то это уже считается - не секьюрно, а энтропия от цифр и пунктуации вообще кака

Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

29. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +/
Сообщение от Аноним (29), 08-Дек-21, 17:59 
"Командир сказал: "Хватит разврата", и закопал стюардессу"
(из анекдота)
Ответить | Правка | Наверх | Cообщить модератору

30. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  –1 +/
Сообщение от Анонимный (?), 08-Дек-21, 18:16 
> 500 самых популярных NPM-пакетов в начале следующего года будет внедрена обязательная двухфакторная

Толерантно!

Ответить | Правка | Наверх | Cообщить модератору

38. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +1 +/
Сообщение от Аноним (38), 09-Дек-21, 07:12 
Сколько будет им штраф если биометрия всех людей будет опубликована в Интернете?
Ответить | Правка | Наверх | Cообщить модератору

42. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +/
Сообщение от Аноним (35), 09-Дек-21, 12:45 
Вызовут их на ковёр в Конгресс, как Сахарного Мальчика. А потом они станут, как и он сам, искать русскую пропаганду и хакеров на своих сайтах.
Ответить | Правка | Наверх | Cообщить модератору

43. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +/
Сообщение от Аноним (35), 09-Дек-21, 12:46 
Это - максимальное наказание... слив можно будет продолжить.
Ответить | Правка | Наверх | Cообщить модератору

41. "GitHub внедряет в NPM обязательную расширенную верификацию у..."  +1 +/
Сообщение от onanim (?), 09-Дек-21, 09:22 
> в 13.37% случаев при регистрации новых учётных записей разработчики пытались повторно использовать скомпрометированные пароли

совпадение? не думаю.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру