The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

GitHub запрещает парольную аутентификацию при доступе к Git

13.08.2021 08:10

В соответствии с ранее намеченным планом GitHub прекратит поддержку подключения к Git-объектам с использованием парольной аутентификации. Изменение будет применено сегодня в 19 часов (MSK), после чего прямое выполнение операций с Git, требующих аутентификации, станет возможным только при использовании SSH-ключей или токенов (персональные токены GitHub или OAuth). Исключение предоставлено только учётным записям, использующим двухфакторную аутентификацию, которые подключаются к Git по паролю и дополнительному ключу.

Предполагается, что ужесточение требований к аутентификации позволит защитить пользователей от компрометации их репозиториев в случае утечки пользовательских баз или взлома сторонних сервисов, на которых пользователи использовали одни и тех же пароли с GitHub. Из достоинств аутентификации по токенам называются: возможность генерации отдельных токенов для конкретных устройств и сеансов, поддержка отзыва скомпрометированных токенов без смены учётных данных, возможность ограничения области доступа через токен, безопасность токенов при определении методом перебора (brute force).

  1. Главная ссылка к новости (https://github.blog/changelog/...)
  2. OpenNews: GitHub опубликовал план отключения парольной аутентификации при доступе к Git
  3. OpenNews: GitHub ограничит доступ к Git аутентификацией по токенам и SSH-ключам
  4. OpenNews: GitHub вводит верификацию устройств, при неактивной двухфакторной аутентификации
  5. OpenNews: Выявлена порция уязвимых SSH-ключей доступа к GitHub
  6. OpenNews: GitHub и Twitter по ошибке сохраняли открытые пароли в логе
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/55632-github
Ключевые слова: github, password
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (193) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 08:19, 13/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    надеюсь что они в курсе что такое path of least resistance.
     
     
  • 2.7, хацкер (??), 08:37, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ?
     
  • 2.30, пох. (?), 10:30, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +8 +/
    разумеется, в курсе. Никаких тебе паролей, которые могут и чаще всего и оказываются только в голове владельца, а при подборе быстро заблокируется доступ.
    Вот тебе ключик к shitsh, ты даже не заметишь, когда он стал достоянием масс.
    И даже если у него был пароль - подбирать его можно локально, во всю мощь сетей nsa (ну или зомбонета - кому достался)

     
     
  • 3.48, oralcumsshot (?), 11:58, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Given that 93 PetaFLOPS (supercomputer) is nearly 1 million times 100 GigaFLOPS (desktop PC), let’s we assume that this supercomputer can crack AES encryption 1 million times faster than a high-end PC. Therefore, on average to crack AES-256, it would take 27,337,893,038,​406,611,194,​430,009,974,​922,940,323,​611,067,429,​756,962,487 years.

    Ну да, nsa ведь куда сложнее просто спросить твой пароль у гитхаба, благо он не принадлежит спонсируемой правительство американской корпорации 🤡

     
     
  • 4.54, пох. (?), 12:16, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    д-лы, б-ть...

    У гитхаба нет твоего пароля. А у NSA нет возможности заставить "спонсируемую правительством" (опять  бредни впопеннетчиков, рулоны без счета - кто еще кого спонсирует-то) американскую корпорацию делать что-то незаконное. Все приходится самим, тырить, подбирать, искать уязвимости. А тут такой подарочек.

     
     
  • 5.101, PetrG (ok), 16:23, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Про пароль-да И пароль конечно же не нужен если можно прямо ваши данные посмотр... большой текст свёрнут, показать
     
     
  • 6.102, пох. (?), 16:28, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    чтоб посмотреть большинство реп на шитхабе, пароль не нужен. Но и nsa они нафиг не нужны.
    А вот если не посмотреть, то все становится интереснее.

    > по которому американские компании обязаны предоставлять данные по запросу кого-следует даже если
    > это данные иностранных граждан за границей.

    Потому что _чужих_ граждан от _своих_ спецслужб только дураки защищать будут.
    Со своими все сложнее. Использовать инфу прослушки помощника Трампа удалось только потому, что тот болтал языком не с кем-то, а с россиянином. Который опять же не гражданин и его слушать можно.

     
     
  • 7.211, PetrG (ok), 18:45, 25/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Было сказано, что заставить GitHub делать незаконные вещи не получится Я показа... большой текст свёрнут, показать
     
  • 6.108, Урри (ok), 16:46, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Сказочки мамкиных анархистов.
     
     
  • 7.210, PetrG (ok), 18:18, 25/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Сказочки мамкиных анархистов.

    Это о чём?

     
  • 6.130, kissmyass (?), 17:33, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    насколько я понял выдержки из их законов, то не только в Австралии, уполномоченные госслужащие могут потребовать так сделать любого гражданина Австралии, находящегося где угодно, т.е. формально, если ты работаешь в гугле и тебя заставляют встроить бекдор, то по закону Австралии ты молодец, а по закону США турма ))
     
     
  • 7.188, n00by (ok), 16:15, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > т.е. формально, если ты работаешь в гугле и
    > тебя заставляют встроить бекдор, то по закону Австралии ты молодец, а
    > по закону США турма ))

    И милорды тихонько ржут над аборигенами в сторонке.

     
  • 5.168, СеменСеменыч777 (?), 12:31, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Все приходится самим, тырить, подбирать, искать уязвимости

    ... коррумпировать персонал, чтобы создавали уязвимости под заказ.

     
  • 4.56, Аноним (56), 12:56, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Я может что-то не понимю, но вряд ли нужно столько много лет чтобы подобрать мой 6-символьный пароль к SSH ключу.
     
     
  • 5.64, пох. (?), 13:20, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    я ж говорю - они д-лы.
    Пусть он даже двадцатисимвольный будет - он же будет простой? Его ж по сто раз вводить придется.
    Ну и это у кого вообще будет, а не все ключи без паролей вовсе в автоматической системе.

    А то и вовсе один ключ от всего. Простые рецепты вон уже советчики насоветовали, для альтернативно-одаренных разработчиков, которые и этого сами не могут.

    "с правами rw", блжад...

     
  • 3.69, Аноним (69), 13:55, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Согласен!

    Безопасное хранение приватного ключа и безопасная работа с приватными ключами намного сложнее и обойдется намного дороже чем просто пароль. Разрабы СПО не будут тратить на нее деньги.

    Хотя в случае двухфакторной пароль отдельно + ключ запароленый другим паролем - безопасность системы чуть-чуть повысится.

     
     
  • 4.95, пох. (?), 15:23, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Разрабы СПО не будут тратить на нее деньги.

    Мозги, Ева, мозги! Которых "разрабы" (что спо что коммерческого софта в закрытой репке на шитхапе) тратить не будут, потому что Б-г им их и не дал. Все достались Адаму (а то он тут нам все зассыт).

    Поэтому ключи без паролей закомитят прямо в то же репо. Так удобно, и не потеряются!

    > Хотя в случае двухфакторной пароль отдельно + ключ запароленый другим паролем - безопасность
    > системы чуть-чуть повысится.

    да, ты на третий день самовыпилишься, от такой херни, и безопастность повысетцо - никто уже никогда туда не зайдет.

     
     
  • 5.110, Урри (ok), 16:47, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Снова таблеточки свои забыл выпить?
     
  • 5.156, Аноним (156), 00:37, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Поэтому ключи без паролей закомитят прямо в то же репо. Так удобно, и не потеряются!

    Ну или пароли без ключей. Только это опаснее, потому что с ключом можно поиметь только репозитории, а с паролями - аккаунты целиком.

     
  • 4.143, Аноним (143), 20:29, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Безопасное хранение приватного ключа и безопасная работа с приватными ключами намного сложнее и обойдется намного дороже чем просто пароль. Разрабы СПО не будут тратить на нее деньги.

    Это еще почему и какие деньги им надо будет потратить?

     
     
  • 5.207, Аноним (207), 14:00, 16/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Начни с подсчета своих затрат:

    1. Иследуй свой дистр GNU/Linux

    cat /etc/*release*
    cat /proc/sys/kernel/yama/ptrace_scope

    2. Ознакомься хотя бы поверхностно с ситуацией по защите приватных ключей в памяти GNU/Linux https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/tree/Docume

    3. Купить аппаратную защиту приватных ключей: https://www.nitrokey.com и сейф для их хранения.

    Для защиты приватных ключей надо будет потратить и время и деньги.

     
  • 3.140, None (??), 19:51, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Угадайте, сколько процентов разработчиков положат ключ рядом с исходниками и закоммитят его в репу :)
     
     
  • 4.145, Аноним (143), 20:30, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Какой из: публичный или приватный?
     
  • 4.155, Аноним (156), 00:34, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И сколько? Я думаю, немного. А ключ в какую репу заливать надо, если у меня их несколько? А если у меня вообще нет своих реп, а другие люди мне доступ к своим дали? Ключ - метод аутентификации не для репозитория, а для аккаунта.
     
  • 4.208, Аноним (207), 14:08, 16/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Много процентов. Для обучения работы с ключами тоже некое время надо.

    Есть YARA правила которые ищут приватные ключи (на диске, в трафике) пусть M$ сделает хоть одно доброе дело: регулярно сканит репы, трафик на гатхабе и при обнаружении приватных ключей шлет их владельцам предупреждение и инструкцию по работе с ключами.

     

  • 1.2, Аноним (2), 08:21, 13/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Какое время - такие нравы!
     
     
  • 2.8, хацкер (??), 08:37, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ??
     
     
  • 3.12, Аноним (2), 08:45, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Мода на "безопасность" тренд нынешного времени.
     
     
  • 4.26, Enamel (ok), 10:22, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Безопасность - это хорошо, правильный тренд
     
     
  • 5.40, нах.. (?), 11:26, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Поговаривают что нужно на каждого надеть кляп и поводок... конечно ради безопасносте, вы уже записались?
     
     
  • 6.66, Аноним (69), 13:45, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И вакцинировать!
     
     
  • 7.92, Заноним (?), 14:59, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И бетризовать
     
  • 5.46, Жироватт (ok), 11:49, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Безопасность не равно "Безопасность"
     
  • 5.131, kissmyass (?), 17:39, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    только это не безопасность позволит защитить пользователей от компрометации их ... большой текст свёрнут, показать
     
     
  • 6.136, Аноним (136), 18:14, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > токены это такая же шляпа что и пароль, только создается не тобой

    Согласен. Нечего пользователям использовать контролируемые ими пароли, а то понапридумают "предсказуемых" паролей. Надо, чтобы пароли были "непредсказуемые" пользователем.

     
  • 2.9, Аноним (9), 08:42, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так ведь обычный git clone по HTTPS не убрали
     
     
  • 3.11, Аноним (2), 08:44, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А git push?
     
     
  • 4.22, Аноним (143), 09:09, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А вот git push уже по HTTPS и не сработает
     
     
  • 5.38, Аноним (156), 11:08, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ... без токена
     
     
  • 6.44, Аноним (156), 11:40, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да и git clone по HTTPS не сработает без токена, если репозиторий приватный
     

  • 1.3, Хан (?), 08:21, 13/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Короче каждому по 5G-симкарте в шоколадный глаз
     
  • 1.4, Имя (?), 08:22, 13/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Напишите простенькую инструкцию по шагам, как перейти на новую систему пожалуйста: сколько не читал инструкцию на гитхабе - так и не въехал чего делать то. ;)
     
     
  • 2.13, Аноним (143), 08:58, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    1) генеришь SSH-ключ
    2) заходишь в настройки гитхаба, находишь там SSH keys, заливаешь туда публичный ключ (содержимое файла, который лежит в ~/.ssh/id_*.pub). Главное не залить приватный ключ вместо публичного :)
    3) клонируешь репозиторий не по https, а по ssh, типа
    git clone git@github.com:<user>/<repo>
    Или можно существующий изменить, чтобы он работал по ssh, а не по https:
    git remote set-url origin git@github.com:<user>/<repo>
     
     
  • 3.18, OnTheEdge (ok), 09:03, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > 1) генеришь SSH-ключ

    ещё надо выполнить:

    ssh -T git@github.com

     
     
  • 4.20, Аноним (143), 09:04, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > ещё надо прописать
    > ssh -T git@github.com

    Это уже можно сделать после шага 2), просто чтобы убедиться, что аутентификация по SSH работает.

     
     
  • 5.31, Аноним (31), 10:32, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Напишите простенькую инструкцию по шагам, как поставить Виндоус: сколько не читал инструкции - так и не въехал чего делать то. ;)
     
     
  • 6.33, Аноним (33), 10:38, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Используй PuTTY для генерации ключа и Pageant как связку ключей SSH, Git для винды вроде из коробки pageant понимает.
     
     
  • 7.57, Аноним (56), 12:58, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Только вот вчера проделывал эту процедуру под виндой
    https://docs.github.com/en/github/authenticating-to-github/connecting-to-githu

    ssh-keygen есть стандартно в git bash

     
     
  • 8.62, Аноним (62), 13:10, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И что мне делать, когда приавтный ключ внезапно продолбится неизвестно куда дис... текст свёрнут, показать
     
     
  • 9.71, Аноним (71), 14:02, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ох уж эти зумеры на бумажку перепиши ... текст свёрнут, показать
     
  • 9.104, Аноним (156), 16:31, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Сгенеришь новый ключ, зальёшь его на гитхаб, как с предыдущим ключом ... текст свёрнут, показать
     
  • 7.152, Аноним (152), 23:43, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Какой putty блин в 10 уже давно есть openssh встроенный
     
     
  • 8.163, Аноним (163), 06:26, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вроде же в putty мышой тачпадом удобнее возюкать всякие копи-пасты Или нет ... текст свёрнут, показать
     
  • 3.185, КО (?), 15:38, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Линукс-вей всегда тернист и слишком глуп.
     
  • 2.14, Урри (ok), 08:59, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Дока на гитхабе 1 https docs github com en github authenticating-to-github c... большой текст свёрнут, показать
     
     
  • 3.17, Аноним (143), 09:02, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > 3. В ~/.ssh/config (если нету - создать) добавить следущее:
    > #---------------------
    > # github.com
    > Host github.com
    >   PreferredAuthentications publickey
    >   IdentityFile ~/.ssh/github
    > #---------------------

    А это зачем? На случай, если для гитхаба отдельный ssh-ключ, а не id_rsa или id_ecdsa?

     
     
  • 4.21, Урри (ok), 09:08, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    не на случай, а так и есть - там параметр -f в команде.

    это универсальное решение, для всех и вся, и чтобы не путаться потом.

     
     
  • 5.32, Аноним (31), 10:34, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У семи нянек дитя без глаза
     

  • 1.5, A.Stahl (ok), 08:24, 13/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Ага, недавно возился с этим переходом. Вроде заставил работать, но это было не самое приятное приключение. Документация фрагментарная, каждая страница покрывает какой-то маленький кусок и как всё это слепить на кучу -- х.з.
    Если понадобится провести эту манипуляцию ещё раз, то придётся разбираться заново. Как с регулярными выражениями.
     
     
  • 2.6, OnTheEdge (ok), 08:29, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Как с регулярными выражениями

    для меня re сродни езде на велосипеде — но люди разные

     
     
  • 3.10, Аноним (2), 08:44, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >сродни езде на велосипеде

    Эта фраза дискриминирует тех кто не умеет кататся на велосипедах...

     
     
  • 4.15, OnTheEdge (ok), 09:01, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    а если я чёрный?
     
     
  • 5.19, Аноним (19), 09:04, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А если я долларовый миллионер?! Ну, я чувствую себя таким!
     
  • 5.141, Аноним (141), 20:04, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Тогда солнце ещё высоко
     
  • 2.105, Аноним (156), 16:42, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А вводить пароль каждый раз - более приятное приключение что ли?

    И нормальная там документация, мне вот легко всё настроить было. Да и SSH-ключ - это ж де-факто стандарт доступа к Git. На работе ты как к конторскому гиту подключаешься, без SSH ключа что ли? Через git daemon без аутентификации? А просто на другие хосты по SSH тоже без ключа ходишь, каждый раз пароль вбиваешь?

    Ты ж тут старожил, 10 лет как уже зарегистрирован. До сих пор SSH-ключами пользоваться не научился? Ну хоть гитхаб заставил научиться, и то хорошо.

     
     
  • 3.115, A.Stahl (ok), 16:57, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Пароль можно было прописать в конфиг и забыть. Точно так же, как сейчас этот ключ. Пароль не нужно было вводить каждый пуш.

    >на другие хосты по SSH тоже без ключа ходишь

    Я программист, а не админ. Я по ssh пару раз в неделю коннекчусь. Так что ввожу пароль и совершенно не страдаю по этому поводу.

     
     
  • 4.171, СеменСеменыч777 (?), 12:44, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Я программист, а не админ.

    окей. в таком случае запрограммируйте приложение, которое будут болтаться на локалхосте и обманывать шитхаб. я даже предвижу ненулевой спрос на такую штуку.

     
  • 3.164, Аноним (163), 06:53, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А вводить пароль каждый раз - более приятное приключение что ли?

    Безопасность - это всегда гемор.

    > А просто на другие хосты по SSH тоже без ключа ходишь, каждый раз пароль вбиваешь?

    Я, например, хожу с ключом, но и пароль от ключа каждый раз вбиваю, да.

    А вот раньше для ssh использовал только пароли, но облачные провайдеры подтолкнули к использованию ключей.
    И вот не факт, как выше уже указали, что ключи безопаснее паролей, даже если ключи запаролены.

     
  • 3.167, Владислав (??), 12:18, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > А вводить пароль каждый раз - более приятное приключение что ли?

    пароль может быть читаемым

     

  • 1.16, Урри (ok), 09:02, 13/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Дока на гитхабе:

    1. https://docs.github.com/en/github/authenticating-to-github/connecting-to-githu
    2. https://docs.github.com/en/github/authenticating-to-github/connecting-to-githu
    (эти ссылки разные, парсер не показывает)

    --
    А если коротко, то

    1. Выполнить ssh-keygen -t ed25519 -C "я@мыло.ком" -f github
    2. Скопировать содержимое ~/.ssh/github.pub на страничку https://github.com/settings/ssh/new
    3. В ~/.ssh/config (если нету - создать) добавить следущее:

    #---------------------
    # github.com
    Host github.com
      PreferredAuthentications publickey
      IdentityFile ~/.ssh/github
    #---------------------

    Все. С гитом работать теперь через ssh (как git@github.com:юзер/репо.git), а не https (как https://github.com/юзер/репо).

     
     
  • 2.42, Аноним (42), 11:28, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Разве не нужно ещё и ssh-agent потыкать чтобы авторизация заработала?
     
     
  • 3.70, Аноним (70), 13:58, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не нужно. Работает. Проверено.
     

  • 1.23, iPony129412 (?), 09:10, 13/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    Давно пора выкинуть. Удар 🥊 по луддитам.
     
     
  • 2.24, Админ Анонимов (?), 09:34, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    скоро и ssh-ключи тоже устареет и оставят только православные токены.
     
     
  • 3.25, Аноним (25), 10:07, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Патриарх Кирилл одобрил?
     
     
  • 4.47, Жироватт (ok), 11:50, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Лично убийца-рецедивист, мошенник, вор и просто хороший б-жинька Яхве Саваоф
     
  • 3.27, пох. (?), 10:27, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не устареет. Для того и заставили всех на них переходить, чтобы было удобнее их воровать.

     
     
  • 4.39, Аноним (42), 11:23, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    пох., тебе ж даже сам ssh кричит выставлять rw----- на приватных ключах, да и диск шифрануть (ну или хотя бы раздел с этим всем секретным говном) давно пора. Каким образом ты представляешь себе утечку ключа с компа? Ещё скажи что пароль на бумажке хранишь и вот прям точно-точно никто у тебя его не украдёт (или ещё лучше, пароль такой, что запоминать его не особо сложно, как и перебирать).
     
     
  • 5.134, Аноним (134), 17:54, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    и спрашивается, нахрена мне надо с этим мучиться и что-то там выставлять и шифровать, если есть православные пароли?
     
  • 5.146, Аноним (146), 20:58, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Каким образом ты представляешь себе утечку ключа с компа?

    Через дыру в браузере, почте или в git. Для них то все эти ключи внутри зашифрованных файловых систем видны открытым текстом, если их не шифровать отдельно от ФС.

     
  • 5.172, СеменСеменыч777 (?), 12:49, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Каким образом ты представляешь себе утечку ключа с компа?

    remote shell + повышение привилегий для local root (или LOCAL SYSTEM).
    плакали ваши 0600 (что за чушь "rw-----" ?), да и пароли тоже через кейлоггер.

     
  • 2.89, vz_2 (?), 14:43, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Удар 🥊 по луддитам.

    По фейсу, а если что-то не так с поведением, то антифродом блочить навсегда.

     

  • 1.28, б.б. (?), 10:28, 13/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    скоро совет безопасности ООН будут собирать каждый раз, когда кто-то на гитхаб входит, и решать, пускать или нет

    по мне, так это усложнение жизни обычным пользователям, что кто-то хотел покоммитить сам себе потихонечку. теперь не будет. вива ля fossil!

     
     
  • 2.45, пох. (?), 11:44, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    зато горе-хакерам какое облегчение!
    Еще и один ключик от всего.
     
  • 2.76, Gogi (??), 14:19, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нет такой чужой вещи, которая развивалась бы нормально после попадания в лапы му@ософта.
     

  • 1.29, Аноним (29), 10:30, 13/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Хороший повод свалить на битбукет
     
     
  • 2.34, пох. (?), 10:45, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    хороший повод не вести разработку в дядиных сервисах.
    Очередной.

    Используй как средство общения, раз уж его невозможно избежать. С readonly доступом и только экспортом из реального рабочего репо.

     
     
  • 3.178, Аноним (178), 14:30, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Сразу видно инцидент с репозиторией PHP ничему не научил
     
  • 2.77, Gogi (??), 14:19, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    битбакет - не панацея, там нет Mercurial.
     
     
  • 3.103, пох. (?), 16:30, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > битбакет - не панацея, там нет Mercurial.

    так его нигде теперь нет - пихон2 все.
    А пейсбук свой не отдает (точнее, выложил какой-то несобираемый by design мусор)


     
  • 2.87, Аноним (87), 14:30, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Хороший повод свалить на собственное хранилище. Теперь гитхаб, гитлаб и битбакет соревнуются тормознутостью интерфейсов, а не фичами.
     
     
  • 3.96, пох. (?), 15:24, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    они не хранилище, когда ж до альтернативно-одаренных это дойдет?
     
     
  • 4.159, Аноним (87), 02:35, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Дойдет, если обоснуешь, почему гитхаб и прочее - не хранилище
     
     
  • 5.189, n00by (ok), 16:43, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это средства обмена исходниками, багтреккер и социальная сеть. Хранить можно на болванках.
     
     
  • 6.194, Аноним (87), 19:08, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ты путаешь с бэкапами. У меня есть репо и N машин. Я пишу код, делаю коммит, сажусь за другую машину, делаю пул и продолжаю работать. Багтрекер, социальная сеть и делиться кодом мне нафиг не сдалось. Сам таскай с собой мешок с болванками.
     
     
  • 7.204, n00by (ok), 07:36, 15/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты путаешь с бэкапами. У меня есть репо и N машин.

    Это Вы мыслите в базисе сложения по модулю два и получаете или-или.

    > Я пишу код, делаю коммит, сажусь за другую машину, делаю пул и
    > продолжаю работать.

    Это и есть обмен. =) Частный случай.

    > Багтрекер ... мне нафиг не сдалось

    Вам и программировать не нужно. Это просто не Ваше.

     
     
  • 8.205, Аноним (87), 15:48, 15/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Так по твоей логике болванки - такое же средство обмена кодом, частный случай, н... текст свёрнут, показать
     
     
  • 9.206, n00by (ok), 16:22, 15/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну если к ним приделать ноги, тогда да ... текст свёрнут, показать
     

  • 1.35, Аноним (35), 10:45, 13/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Скоро оставят вход только через Майкрософтский аккаунт.
    Не зря, после покупки Гитхаба Майкрософтом, люди массово бежали на Гитлаб!
     
     
  • 2.37, Аноним (37), 10:48, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Хомячков надо доить они это любят
     
  • 2.43, пох. (?), 11:29, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/

    > Не зря, после покупки Гитхаба Майкрософтом, люди массово бежали на Гитлаб!

    где чистой парольной авторизации и не было никогда? Молодцы, обогнали проклятую корпорацию, зла, срезав угол.


     
     
  • 3.196, Аноним (156), 19:54, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Неправда же, что не было никогда. До сих пор есть. Не понимаю, зачем так лажаться и врать про то, что легко проверить.
     

  • 1.36, Аноним (37), 10:47, 13/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Потом введут коммиты на гитхаб только по паспорту. А то иж чего удумали бесплатный софт в интернет выкладывают не дают Майкам миллиарды долларов зарабатывать.
     
     
  • 2.65, Аноним (136), 13:39, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Потом введут коммиты на гитхаб только по паспорту.

    Потом введут доступ только по токенам, генерируемыми единственно верными системами, неподконтрольными пользователю. Например, ОАuth, госуслуги...

     

  • 1.50, Crazy Alex (ok), 12:08, 13/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Я только одного не понимаю - кто и зачем туда ходит НЕ по ключу. У меня это всегда с любыми гитами было первым делом - настроить нормальный вход по ключу и забыть обо всех проблемах. Гит же дёргается постоянно, задолбаешься пароль каждый раз вводить.

    Или вы пушите раз в три дня?

     
     
  • 2.53, A.Stahl (ok), 12:14, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Пароль  не обязательно вводить каждый раз. Его можно было вписать в какой-то конфиг и всё работало без проблем.

     
  • 2.58, Аноним (56), 13:01, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Все нормальные GUI для работы с гитом умеют сохранять пароль. А вот с ключом каждый раз проблема, либо его куда-то бекапить либо каждый рез при смене системы перегенерировать.
     
     
  • 3.61, hefenud (ok), 13:06, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А ты не бэкапишь ~?
    Что-то ты делаешь не так

    Почему у меня в бэкапах есть ключи которые я генерил еще 15 лет назад и которые давно не использую(rsa-2048, убрал их отовсюду, но в бэкапах хранятся), а ты вдруг думаешь, что кто-то может потерять ключ? Чувак, блин! Ключ это один из основных твоих инструментов, если ты работаешь с серверами и гитом.

     
     
  • 4.100, Ivan_83 (ok), 16:21, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это вендузятник, сразу можно было понять, у них вечно проблемы с очевидными вещами.
     
  • 2.81, Аноним (81), 14:23, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Или вы пушите раз в три дня?

    Я пушу пару раз в месяц в свободное время, зачем мне этот цирк с ключами?

     

  • 1.55, Аноним (81), 12:31, 13/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А можно вопрос — зачем?
     
     
  • 2.59, hefenud (ok), 13:04, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем кто-то ходил по паролю?
    Вот тоже не понимаю

    Всегда по ключу на любой гит хожу(гитхаб, гитлаб, свой инстанс гитеа). Зачем вообще кто-то ходил по паролю не понимаю.

     
     
  • 3.82, Аноним (37), 14:23, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А какая проблема кому-то ходить по паролю, а тебе по ключу?
     
  • 3.84, Аноним (81), 14:26, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Т.е. я всегда и везде должен таскать с собой этот ключ, даже если пользуюсь хабом раз в полугодие?
     
  • 2.75, Нанобот (ok), 14:17, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > ужесточение требований к аутентификации позволит защитить пользователей от компрометации их репозиториев в случае утечки пользовательских баз или взлома сторонних сервисов, на которых пользователи использовали одни и тех же пароли с GitHub.

    Какое из этих слов тебе не понятно?

     
     
  • 3.85, Gogi (??), 14:27, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Ты вот совсем недалёкий Слов можно целый том нагородить, только как у путина по... большой текст свёрнут, показать
     
     
  • 4.98, Ordu (ok), 16:09, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нет При парольной аутентификации, взломщик получит хеш твоего пароля из базы Д... большой текст свёрнут, показать
     
     
  • 5.116, Урри (ok), 16:59, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Хранить надёжные пароли в голове невозможно. Это можно только при использовании одного пароля на многих сервисах. А это ещё менее безопасно, нежели хранение паролей в файлике на диске.

    Это элементарно, Ватсон:

    Надо один единственный раз запомнить сложную фразу типа Ja8%7MamkYnxakep777 на всю жизнь и все случаи, и просто каждый раз прописывать ему соль в виде веб-адреса после, скажем, седьмого символа. Или до.

    Все, ваш пароль забрутфорсить невозможно, сколько хеши с разных ресурсов не сливай.

     
     
  • 6.124, Аноним (136), 17:23, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > прописывать ему соль

    ЗОЖ запрещает солить!

     
  • 6.125, Ordu (ok), 17:25, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это секурити сру обскурити Это мнемоническое правило, которое брутфорсеры парол... большой текст свёрнут, показать
     
     
  • 7.209, Урри (ok), 19:19, 23/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Все эти гениальные идеи, как обмануть законы криптографии -- это костыли. И под каждый костыль, если подумать хорошенько можно придумать антикостыль. На то они и костыли. Есть гораздо менее костыльное решение -- менеджер паролей.

    Какая феноменальная глупость. Вместо того, чтобы злоумышленники десятки лет пытались вычислить по хешам существующие только в голове различные пароли под каждый сервис, им достаточно просто украсть один-единственный файл, где эти пароли лежат в прямом текстовом (хоть и зашифрованным одним-единственным паролем) файл.

    Вы, Ordu, чем вообще думали, когда это все писали?

     
  • 5.169, Владислав (??), 12:36, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Мы говорим о git? Порог для входа повышается? =)

    да. внезапно гитхабом пользуются не толькор проф программисты

     
     
  • 6.198, Ordu (ok), 23:04, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Мы говорим о git? Порог для входа повышается? =)
    > да. внезапно гитхабом пользуются не толькор проф программисты

    Дело не в программировании, git считается крайне сложным для освоения.

    https://xkcd.com/1597/

     
  • 4.190, n00by (ok), 16:58, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Хуже того -
    > сижу под вендой и мне эти sshёпрстloginsuperuser вообще не упали!

    Вот это номер. Микрософт выгоняет разработчиков со своей "99% десктопа".

     
  • 3.91, Аноним (81), 14:50, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Так на веб-морде всё равно пароль остаётся, какой смысл?
     
     
  • 4.121, Аноним (136), 17:11, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Чтобы сопоставить базы (утекших) паролей и (утекших) приватных ключей.
     
  • 2.114, Урри (ok), 16:55, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Затем, что большинство юзверей шитхаба - смузихлебы и джаваскриптеры с растаманами. А они, как известно, в "безопастность" ни в зуб ногой, ибо за них "все делает" компилятор с интерпретатором.

    Ну и вот, поток жалоб "ааааа, мой пароль хакеры на малолетки.секс стырили, теперь на шитхабе все поудаляли" настолько гитхаб задолбал, что они надумали решить проблему тотальным отрубанием рук и ног. Всем.
    Ибо ресурсов на отделить зерна от плевел у них не хватает.

     

  • 1.63, Аноним (136), 13:17, 13/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Теперь вместо того, чтобы использовать мозг, придется раздавать приватный ключ на все устройства, откуда хочется получить доступ к единственному публичному ключу. "Инверсия зависимости".
     
     
  • 2.67, myhand (ok), 13:48, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Опиши как ты раньше "использовал мозг" - вбивал пароль из пяти символов, что-то более страшное?  Не томи!
     
     
  • 3.68, Аноним (136), 13:55, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я раньше использовал мозг, а не раздавал приватные ключи направо и налево
     
     
  • 4.73, myhand (ok), 14:14, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Я раньше использовал мозг

    Как, анон?  Я начинаю подозревать, что ты им об стенку бился..


     
     
  • 5.79, Аноним (136), 14:22, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > им об стенку бился

    По себе судишь?

     
  • 5.80, Аноним (37), 14:22, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    По себе судишь.
     
  • 2.78, Нанобот (ok), 14:20, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > придется раздавать приватный ключ на все устройства

    Необязательно - можно настроить agent forwarding и твой локальный ключ будет доступен во всех удалённых сессиях

     
     
  • 3.83, Аноним (136), 14:25, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > твой локальный ключ будет доступен во всех удалённых сессиях

    В каких удаленных сессиях? На ноутбук ходить с рабочей станции?

     
     
  • 4.126, Нанобот (ok), 17:27, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    для такого использования не подойдет. Это скорее для случая "зайти на сервер, и с него git pull сделать"
     
  • 3.111, Аноним (111), 16:49, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Какая глупость.

    А иметь для каждого устройства свою пару ключей и все публичные добавить не?

     
     
  • 4.122, Аноним (136), 17:20, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > все публичные добавить не?

    Добавлять как, используя пароль, который как был, так и остался?

     
  • 4.127, Нанобот (ok), 17:29, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Можно. Только как-то это слишком сложно
     
  • 2.86, Gogi (??), 14:29, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Мелкософт слабо понимает, что такое "общий сервис для хомячков" - какая-то индусячья и@иотина решила поиграть в секурность и деанонимизацию. А хомячкам как обычно - страдать. Неужели кто-то ожидал другого от Микрософт?!! :)))
     
     
  • 3.90, vz_2 (?), 14:49, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Неужели кто-то ожидал другого от Микрософт?!! :)))

    Не бывает добрых корпораций, как и их плодов.

    PS:
    15 Берегитесь лжепророков, которые приходят к вам в овечьей одежде, а внутри суть волки хищные.
    16 По плодам их узнаете их. Собирают ли с терновника виноград или с репейника смоквы?
    17 Так всякое дерево доброе приносит и плоды добрые, а худое дерево приносит и плоды худые.
    18 Не может дерево доброе приносить плоды худые, ни дерево худое приносить плоды добрые.
    19 Всякое дерево, не приносящее плода доброго, срубают и бросают в огонь.
    20 Итак, по плодам их узнаете их.

    (сказано 2 тыс. лет назад)

     
  • 3.94, Майкрософтик (?), 15:20, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Еще один всё понял. Но мы и тебя хомячка подоим и ты ничего не сделаешь. Потому что мы корпорация, а хомячки это стадо.
     
     
  • 4.107, vz_2 (?), 16:45, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так индийцы особо и не скрывают наличие кастовой системы :)
     
  • 2.106, hefenud (ok), 16:43, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зачем ты собрался делать эту глупость?
    Приватный ключ должен хранится на единственной машине

    На каждой генерится свой ключ и добавляется в гитхаб/гитлаб/гитеа. В чем проблема?

     
     
  • 3.117, Урри (ok), 17:01, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    В том, что следующим шагом будет "больше пяти ключей бесплатно нельзя", наверное.

    Хотя у гитхаба пока политика была наоборот, в сторону расширения бесплатных возможностей (например, приватные репы сделали без премиума), но это же МС - бойтесь данайцев дары приносящих.

     
     
  • 4.123, hefenud (ok), 17:23, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > В том, что следующим шагом будет "больше пяти ключей бесплатно нельзя"

    Опять придумываем сами страшилки и пугаемся?

     
  • 3.133, Аноним (136), 17:50, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Как добавляется? Только не говори, что на веб странице с использованием пароля.

    Зачем дополнительные ключи, если без пароля ничего не сделаешь?

     
     
  • 4.153, hefenud (ok), 23:59, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Веб-интерфейс использует пароль+TOTP(и не нужно визжать про кровавый гугл который у тебя его украдет, есть реализации TOTP для десктопа и даже гугловая прога для TOTP работает без сети)

    git бай дизайн работает через ssh, то что гитхаб приделывал к нему работу через https это было их дело и они его сейчас делают более безопасным убирая пароль

     
     
  • 5.174, Аноним (136), 13:44, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > они его сейчас делают более безопасным убирая пароль

    Пароль не убрали. Он также хранится у гитхаба. Чтобы работал веб интерфейс.

    Если везде использовался один протокол - только пароли, то дыра была бы только в одном месте. Теперь дыра может быть в двух обязательных местах - пароли и ключи (а также токены хрен знает от кого). Увеличили периметр.

     
  • 3.137, Аноним (136), 18:37, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Приватный ключ должен хранится на единственной машине

    Это делается не так, а через цепочку доверия (X.509  и тп) Пользователь один раз добавляет корневой сертификат на сервер. И у себя создает сертификаты, подписанные корневым. Тогда да, пароль не нужен.

     
     
  • 4.148, Аноним (156), 21:34, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Git клиенты так не умеют, да и излишнее усложнение. Ну и где X.509, там и X.500 Distinguished Name style имена, X.509 v3 extensions, CRL, OCSP, ограничения сертификатов по времени, необходимость использования полновесной криптобиблиотеки, ибо X.509 это просто дофигища кода; невозможность использования SSH.
     
     
  • 5.177, Аноним (136), 14:19, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Git клиенты так не умеют

    Это проблемы тех, кто заявляет про "безопасность".

    Насколько помню гитхаб несколько раз меняла рекомендацию про использование паролей (https или ssh). Может, потому что аксиома эскобара?

     
  • 4.170, Владислав (??), 12:39, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Пользователь один раз добавляет корневой сертификат на сервер. И у себя создает сертификаты, подписанные корневым.

    Это для пользователя полная жопа и гемор на ровном месте.

     
  • 2.132, Аноним (156), 17:45, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Теперь вместо того, чтобы использовать мозг, придется раздавать приватный ключ на все устройства, откуда хочется получить доступ к единственному публичному ключу. "Инверсия зависимости".

    Необязательно иметь один публичный ключ. Можно использовать разные ключи на разных устройствах.

    А мозг лучше использовать для более полезных задач, чем запоминание пароля.

     
     
  • 3.135, Аноним (136), 17:55, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Чтобы иметь разные ключи, надо иметь "один ключ". В случае с гитхабом это - пароль. Который был, есть и будет есть.

    Какой смысл запрета паролей, если пароль есть?

     
     
  • 4.138, Аноним (156), 18:39, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Например, privilege separation. При аутентикации по ключу или токену пароль не надо вводить каждый раз, и хранить пароль тоже нигде не надо. Значит гораздо труднее увести весь аккаунт.
     
     
  • 5.139, Аноним (136), 18:51, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    SSH не передает пароль в открытом виде, и не хранит все время. Гитхаб хранит твой пароль (хеш). От чего защищает эта инициатива? Эта инициатива максимум однозначно привязывает гит-репу с уникальным ключем, по которому можно однозначно определить пользователя - деанонимизировать.
     
     
  • 6.142, Аноним (156), 20:14, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > SSH не передает пароль в открытом виде, и не хранит все время

    Вот видишь как хорошо. Значит надо пользоваться SSH с ключами, а не HTTPS с паролями? Ты походу привёл аргумент против своей же позиции.

    Про хранение паролей, на этой странице комментариев кто-то уже признался, что хранит пароль в конфиге. И он не один такой.

    А деанонимизация происходит при любой аутентификации, что по ключу, что по паролю. В этом смысл аутентификации. Был неизвестно кто - стал юзер vasya.

     
     
  • 7.147, Аноним (136), 21:20, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Вот видишь как хорошо.

    Раз хорошо, зачем запрещать?

    > Про хранение паролей

    Гитхаб уже хранит и использует пароли, но пользователю запрещает. Массово пароли утекают из публичных сервисов (вроде гитхаба). Пусть с себя начнут.

    > Был неизвестно кто - стал юзер vasya.

    Это идентификация - присвоение имени (идентификатора) объекту.

    Аутентификация - это про вероятность знания уникальной информации, вещи.

     
     
  • 8.157, Аноним (156), 00:47, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Погоди, у нас какой-то странный диалог получается Ты выдвигаешь утверждение, я ... текст свёрнут, показать
     
     
  • 9.173, Аноним (-), 13:34, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А что не так Это Спа W опеннет Еще и все очень цивильно происходит - обычно на... текст свёрнут, показать
     
  • 9.175, Аноним (136), 13:53, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Пароль хранить надо Приватный ключ - это тоже пароль - хранить надо Что ты опр... текст свёрнут, показать
     
     
  • 10.195, Аноним (156), 19:37, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Опровергал то, что придется раздавать приватный ключ на все устройства, откуда ... текст свёрнут, показать
     
     
  • 11.197, Аноним (136), 20:54, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И придется использовать пароль, чтобы зарегистрировать другие публичные ключ И ... текст свёрнут, показать
     
  • 6.154, hefenud (ok), 00:01, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    При работе через ssh твой ключ является и твоим «логином», потому что ты обращаешься к git@github, а там уже по ключу проверяется есть ли доступ к заданной тобой репе.

    И, да, конечно никакой пароль тогда не передается

     
     
  • 7.176, Аноним (136), 13:58, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Гитхаб - это нет подконтрольный тебе git-сервер. Это соцчеть (с паролями от тупых пользователей, токенами от шибко умных третьих сервисов). Безопасность на высоком уровне!
     

     ....большая нить свёрнута, показать (38)

  • 1.88, vz_2 (?), 14:40, 13/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > GitHub запрещает парольную аутентификацию при доступе к Git

    А что нельзя было сделать как-то иначе?
    К примеру, 3 раза ввёл пароль неправильно, блокировка на 3 часа с уведомлением на почту владельца, при этом ужесточив требования к сложности устанавливаемому паролю.

     
     
  • 2.93, Майкрософтик (?), 15:19, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Для чего? Чтобы пользователям было удобно? Нам это не надо. Пользователи просто наша кормовая база и это они нам должны.
     
  • 2.128, Нанобот (ok), 17:32, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это чтобы все популярные разработчики из бана (точнее блокировки в целях безопасности) не вылезали?
     
     
  • 3.144, vz_2 (?), 20:29, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Это чтобы все популярные разработчики из бана (точнее блокировки в целях безопасности)
    > не вылезали?

    Ну для таких настраиваемое время блокировки от 10 минут, хотя сомневаюсь что так трудно ввести правильный пароль.

     

  • 1.97, Аноним (141), 15:43, 13/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Все эти пароли, логины, QR-Коды и тому подобное чужды моему анонимному сердцу. Если нет возможности без регистрации отправить коммент или создавать контент, значит сайт не стоит времени.
     
  • 1.99, Аноним (99), 16:10, 13/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Давно пора через Мордакнигу входить. Совсем олды обезумели с паролями.)
     
     
  • 2.113, vz_2 (?), 16:51, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Совсем олды обезумели с паролями

    А мне сразу вспомнилась сцена из первого сезона "Видоизменённый углерод", когда Ковач оплатил услуги врачей смачным плевком в биосканер.

     
  • 2.119, freaker (?), 17:05, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Мордокнига сосёт, есть не у всех и её популярность падает.
     

  • 1.109, Аноним (111), 16:46, 13/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Фиолетово. Все адекватные люди давно сидят на собстенном хостинге.
     
     
  • 2.118, Урри (ok), 17:02, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Все НЕадекватные.
    Какой смысл тратить время и деньги на администрирование и поддержку, если можно использовать бесплатное с тем же результатом?
     
     
  • 3.120, freaker (?), 17:06, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Смысл в том, чтобы не зависеть от очередной корпорации добра.
     
  • 2.129, Нанобот (ok), 17:33, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >адекватные

    😂

     
  • 2.158, Ordu (ok), 01:22, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Все адекватные люди давно сидят на собстенном хостинге.

    Как мне хорошо, что я неадекватный. Мне не надо тянуть хостинг собственного github'а.

     
     
  • 3.160, Ivan_83 (ok), 02:57, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    gitea легко хостится даже на всяком хламе.
    Правда с большими репами и PR там не очень быстро всё работает.

    И никто не мешает зеркалировать автоматом на кажды пуш куда угодно.
    В общем то и публично доступных gitea/gogs хватает.

     
     
  • 4.161, Ordu (ok), 03:56, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > gitea легко хостится даже на всяком хламе.

    А если я отвлекусь от своих проектов, потому что реальный мир заел, не до того, то что? Я буду вынужден тем не менее каждые две недели ходить туда обновлять софт? То есть мне не до того, но ходить обновлять я буду, так? Или лучше выключить этот хлам на полгодика, до тех пор, пока у меня вновь появится свободное время?

    А если я не отвлекусь, мне всё равно надо будет каждые две недели париться с обновлением софта? Просматривать логи ежедневно -- не влез ли кто, через какую-нибудь дыру, может 0day какой, а может я в конфигурации чёта накосячил.

    Мне неинтересно админство. Скучное занятие, по-моему, до крайней степени. Если очень надо, я могу позаниматься, но это если очень надо. Я держу иногда сайты на впсках разных под какую-нибудь мелкозадачу, но с радостью выдыхаю, когда задача выполнена, и сайт, наконец, можно аннулировать.

    > В общем то и публично доступных gitea/gogs хватает.

    Что ты имеешь в виду под публично доступными gitea/gogs? Это какие-то анонимные владельцы поделок, косящих под github? Они у тебя вызывают больше доверия, чем github? Если так, то почему?

     
     
  • 5.180, hefenud (ok), 14:52, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А если ты отвлечешься, то оно будет продолжать работать
    Хости свой инстанс у себя в локалке или на VPS, но доступным только по VPN
    И никакие 0day тебе не страшны

    У меня мой личный инстанс gitea работает на домашней RPi4+ исполняющей так же и роль десктопа, когда мне нужно из других мест с ноута, то доступен через VPN, наружу не светит. Ну и узнай про всякие автообновления, что ли.

     
     
  • 6.199, Ordu (ok), 23:20, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > А если ты отвлечешься, то оно будет продолжать работать
    > Хости свой инстанс у себя в локалке или на VPS, но доступным
    > только по VPN

    При таком подходе мне надо возиться с прокидыванием ключей доступа к vpn всем заинтересованным. И не только мне, всем остальным тоже надо возиться с vpn и этими ключами. Это уже накладные расходы, которые выплёскиваются через край и размазываются по всем остальным. Это накладные расходы, которые требуют от меня организационных талантов. Брр...

    > У меня мой личный инстанс gitea работает на домашней RPi4+ исполняющей так
    > же и роль десктопа, когда мне нужно из других мест с
    > ноута, то доступен через VPN, наружу не светит.

    Я не вижу смысла в личном инстансе gitea. Совершенно не вижу. Для личных целей хватит sshd. Кроме того, можно даже не связываться с выставленным наружу с домашнего компа sshd, можно реп таскать с собой на ноуте.

    > Ну и узнай про всякие автообновления, что ли.

    Не хочу. Автообновления -- это когда вообще в любой момент всё может перестать работать.

     
     
  • 7.200, hefenud (ok), 00:01, 15/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Я не вижу смысла в личном инстансе gitea

    Нужно исходить из того, что публичный сервис может прекратить существование и при этом внезапно
    У меня все мои проекты живут и дома на gitea, и на github'е. Между ними синхронизация.
    В случае если кто-то перегрызет трансатлантические кабели и собъет спутники у меня есть моя гитеа и доступ к ней всем кому он необходим по эту сторону океана. А так я работаю с домашним сервером, остальные с гитхабом

     
     
  • 8.203, Ordu (ok), 00:43, 15/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я знаю об этом, и оцениваю риски И считаю, что для тех проектов, которые есть у... текст свёрнут, показать
     

  • 1.149, Аноним (149), 22:07, 13/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я вот не пойму. Народ орёт про ключи. Так ключ публичный будет в гитхабе, а приватный у тебя на компьютере в укромном местечке с правильными правами. И кто там что перебирать собирается?
    Пароль легче угнать чем ключ, а тем более подобрать. Если не можете обеспечить безопасность приватного ключа (мозгов много не надо) , то это ваши проблемы.
     
     
  • 2.166, Аноним (163), 07:59, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >... приватный у тебя на компьютере в укромном местечке с правильными правами.
    >...
    > Если не можете обеспечить безопасность приватного ключа (мозгов много не надо) , то это ваши проблемы.

    Так ведь и ты не можешь, хотя и думаешь иначе.

    Ты просто "неуловимый Джо", поэтому до твоего "укромного местечка с правильными правами" никому пока нет дела.
    "Правильные права" - это вообще защита от добрых людей. Типа, как копеечный китайский замок на почтовом ящике.

    > Пароль легче угнать чем ключ

    А вот это не факт.

     
     
  • 3.181, hefenud (ok), 14:53, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Чувак, давай я тебе дам свой приватный ключ, а ты попробуешь что-то с ним сделать
    Ничего у тебя не выйдет, ведь он с паролем(пароль вводится мной один раз и далее работает ssh-agent)

     
     
  • 4.191, Аноним (163), 17:00, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ломается брутфорсом этот пароль У меня таких вычислительных ресурсов нет, но у ... большой текст свёрнут, показать
     
     
  • 5.193, Аноним (136), 17:42, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Здесь и вот эти Мелтдауны со Спектрами могли бы пригодиться.

    Проще через дырявый драйвер с блобами для wifi, bluetooth взломают, которые светят постоянно в неизвестное пространство.

     
  • 4.192, Аноним (136), 17:12, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > приватный ключ
    > с паролем

    Пароль спрошу у админа гитхаба, возьму с утекших баз с паролями, просто взломаю.

     

  • 1.150, Аноним (150), 22:09, 13/08/2021 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –1 +/
     
  • 1.162, Аноним (162), 04:31, 14/08/2021 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –3 +/
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру