The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Репозиторий NPM прекращает поддержку TLS 1.0 и 1.1

24.08.2021 09:07

Компания GitHub приняла решение прекратить поддержку протоколов TLS 1.0 и 1.1 в репозитории пакетов NPM и на всех сайтах, связанных с пакетным менеджером NPM, включая npmjs.com. Начиная с 4 октября для подключения к репозиторию, в том числе для установки пакетов, потребуется клиент с поддержкой как минимум TLS 1.2. На самом GitHub поддержка TLS 1.0/1.1 была прекращена ещё в феврале 2018 года. В качестве мотива называется забота о безопасности своих сервисов и конфиденциальности данных пользователей. По данным GitHub около 99% запросов к репозиторию NPM уже совершается с использованием TLS 1.2 или 1.3, а Node.js включает поддержку TLS 1.2 c 2013 года (начиная с выпуска 0.10), поэтому изменение затронет лишь незначительную часть пользователей.

Напомним, что протоколы TLS 1.0 и 1.1 официально переведены комитетом IETF (Internet Engineering Task Force) в разряд устаревших технологий. Спецификация TLS 1.0 была опубликована в январе 1999 года. Спустя семь лет было выпущено обновление TLS 1.1 с улучшениями безопасности, связанными с генерацией векторов инициализации и добавочного заполнения. Среди главных проблем TLS 1.0/1.1 упоминается отсутствие поддержки современных шифров (например ECDHE и AEAD) и наличие в спецификации требования по поддержке старых шифров, надёжность которых на современном этапе развития вычислительной техники поставлена под сомнение (например, требуется поддержка TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, для проверки целостности и аутентификации используется MD5 и SHA-1). Поддержка устаревших алгоритмов уже приводила к появлению таких атак, как ROBOT, DROWN, BEAST, Logjam и FREAK. Тем не менее, данные проблемы непосредственно не являлись уязвимостями протокола и закрывались на уровне его реализаций. В самих протоколах TLS 1.0/1.1 отсутствуют критические уязвимости, которые можно использовать для осуществления практических атак.

  1. Главная ссылка к новости (https://github.blog/2021-08-23...)
  2. OpenNews: Уязвимость в TLS, допускающая определение ключа для соединений на базе шифров DH
  3. OpenNews: Китай начал блокировать HTTPS-соединения, устанавливаемые с TLS 1.3 и ESNI
  4. OpenNews: Chrome, Firefox и Safari ограничат время жизни TLS-сертификатов 13 месяцами
  5. OpenNews: GitHub успешно завершил сделку по покупке NPM
  6. OpenNews: Доступен пакетный менеджер NPM 7.0
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/55673-npm
Ключевые слова: npm, tls
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (22) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 09:11, 24/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +16 +/
    В качестве зеркально ответной меры, TLS 1.0 прекращает поддержку NPM.
     
     
  • 2.9, Аноним (9), 10:08, 24/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > В качестве зеркально ответной меры

    * симметричной

     
     
  • 3.10, OnTheEdge (ok), 10:08, 24/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    * аналогичной
     

  • 1.2, Оффтоп (?), 09:13, 24/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Невозможность использовать github cli без авторизации тоже ради безопасности?
     
  • 1.3, Вадик (??), 09:19, 24/08/2021 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –1 +/
     
  • 1.4, Аноним (4), 09:22, 24/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    А что, цифровую подпись нельзя сделать у пакетов? Вот, например, apt можно хоть по ftp качать и всё безопасно
     
     
  • 2.5, Аноним (5), 09:30, 24/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У Apt с модерацией и мэйнтейнерами дела лучше
     
     
  • 3.7, Аноним (7), 09:47, 24/08/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Так посмотреть - в NPM вообще в plain-text могут отдавать - один хрен там помойка.
     

  • 1.6, Enamel (ok), 09:32, 24/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Ну что сказать, поздравление в связи с отказом от устаревших технологий
     
     
  • 2.8, Рач (?), 09:55, 24/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Js не выглядит стильно и молодёжно.
     
     
  • 3.11, Аноним (11), 11:30, 24/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А я то думал, это один из оплотов стильности, модности и молодёжности.
     
  • 2.16, Аноним (16), 16:20, 24/08/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Какая iPonyтовская глупость

    Когда вы уже из пелёнок вылезете iPony всякие

     

  • 1.12, Аноним (11), 11:31, 24/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ждём поха с нытьём о том, что TLS 1.3 ничем не лучше предыдущих версий, а всем его навязывают, плак плак
     
  • 1.13, Аноним (13), 13:12, 24/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Репозиторию NPM это не поможет
     
  • 1.14, Аноним (14), 14:17, 24/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Я бы для безопасности ещё добавил обязательную авторизацию через аккаунт микрософт для скачки пакетов.
     
     
  • 2.17, пох. (?), 18:39, 24/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну зачем вы так, ведь npm же ж кроссплатформенная технология, не принадлежащая одной компании!
    Надо предоставить пользователю выбор - live, facebook или гугль!

    (твиттер, наверное, излишне?)

     
     
  • 3.18, Однокнопочный (?), 19:03, 24/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А где tiktok и дискорд?
     
     
  • 4.19, муу (?), 22:11, 24/08/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    и госуслуги!
     

  • 1.15, Аноним (16), 16:18, 24/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Прекратите поддержку NPM
     
  • 1.20, YetAnotherOnanym (ok), 22:31, 24/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Стальная дверь при картонных стенах.
     
  • 1.21, Аноним (21), 20:53, 25/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > В самих протоколах TLS 1.0/1.1 отсутствуют критические уязвимости, которые можно использовать для осуществления практических атак.

    Поэтому корпорасты и выпиливают - тов. Маер попросил всунуть хомячкам новые модно-молодёжные зонды.

     
     
  • 2.22, Аноним (-), 14:25, 28/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Товарищ маЙОр недоволен.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру