The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

RubyGems переходит на обязательную двухфакторную аутентификацию для популярных пакетов

14.06.2022 12:06

Для защиты от атак по захвату учётных записей, нацеленных на получение контроля над зависимостями, репозиторий пакетов RubyGems объявил о переходе к применению обязательной двухфакторой аутентификации для учётных записей сопровождающих 100 наиболее популярных пакетов (по числу загрузок), а также пакетов число загрузок которых превышает 165 млн.

Применение двухфакторной аутентификации существенно усложнит получение доступа в случае компрометации учётных данных разработчика, например, при повторном использовании пароля на скомпрометированном сайте, применении предсказуемых паролей или перехвате учётных данных в результате активности вредоносного ПО на системе разработчика. В качестве второй проверки предлагается использовать одноразовые пароли (TOTP), генерируемые такими приложениями, как Authy, Google Authenticator и FreeOTP. На будущее запланирована поддержка аутентификации при помощи аппаратных ключей, поддерживающих протокол WebAuth.

На первом этапе при использовании утилит командной строки или сайта rubygems.org сопровождающим популярные пакеты будет выводиться предупреждение о необходимости включения двухфакторной аутентификации. 15 августа рекомендация сменится обязательным требованием включения двухфакторной аутентификации, без которой не будет предоставляться доступ. За месяц и за неделю до включения обязательной двухфакторной аутентификацию сопровождающим также будут направлены уведомления по электронной почте.

В 4 квартале 2022 года планируется расширить требование к применению двухфакторной аутентификации и для других категорий пользователей RubyGems (критерии пока не утверждены, вероятно, как в случае с NPM, охват будет расширен до 500 наиболее популярных пакетов).

  1. Главная ссылка к новости (https://blog.rubygems.org/2022...)
  2. OpenNews: Уязвимость в RubyGems.org, позволяющая подменить чужие пакеты
  3. OpenNews: Удаление Gem-пакета в знак протеста привело к проблемам в ряде систем на базе Chef
  4. OpenNews: Устранение нарушения GPL в библиотеке mimemagic привело к сбою в Ruby on Rails
  5. OpenNews: Атака на зависимости позволила выполнить код на серверах PayPal, Micrоsoft, Apple, Netflix, Uber и ещё 30 компаний
  6. OpenNews: В NPM включена обязательная двухфакторная аутентификация для 500 самых популярных пакетов
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/57352-rubygems
Ключевые слова: rubygems
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (45) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 12:12, 14/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Зря. Суют везде эту двухфакторку, зачем? Пароль из 64 символов никто не сломает, нет, надо ещё фактор второй.
     
     
  • 2.2, Аноним (2), 12:17, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это нужно, чтобы упростить несанкционированный доступ. Пароль не всегда есть возможность угнать, а вот смску, дающую полный и абсолютный контроль над аккаунтом, перехватить, при некоторой необходимости, легко.
     
     
  • 3.3, Аноним (1), 12:18, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну в нормальной системе без второго фактора она бесполезна
     
     
  • 4.4, Аноним (2), 12:22, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Я видел только такие применения. Да, смс используется для подтверждения операций, но кроме того позволяет завладеть аккаунтом с минимумом усилий.
     
     
  • 5.7, Аноним (1), 12:39, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Пластиковый мир победил...
     
  • 5.47, MadeInRussia (ok), 22:33, 15/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вы издеваетесь, надеюсь? Смысл двухфакторности в ДВУХ факторах. Вам нужны И пароль, И SMS для доступа к аккаунту.

    То, о чем вы говорите, дырявое восстановление пароля или однофакторный быстрый доступ по OTP, которые никакого отношения к двухфакторности не имеет.

     
     
  • 6.48, Аноним (2), 22:41, 15/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет, серьёзно. 2 фактор в формате дырявой сотовой сети считается абсолютно надёжным и вообще не совсем понятно зачем тогда какие-то пароли существуют. Речь далеко не только о банках, хотя тот же сбер привязал на мой номер чужую карту совершенно без моего участия (и владелец счёта не замечал этого несколько лет, достал спамить). Что уж говорить о том, что через месяц неактивности номер может уйти рандомному челику. Бредовенькая ситуация.
     
  • 3.10, Аноним (10), 13:50, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ох уж эти тупые банки, гуслуги, хрюуденсы.. все на смски ставят.
     
     
  • 4.24, Бывалый смузихлёб (?), 15:59, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В сурьёзных делах без хорошей ЭПЦ всё равно никуда и никакие госуслуги не помогут..
     
  • 4.46, Аноним (-), 15:49, 15/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > все на смски ставят

    что поделаешь, подпись могут подделать, пароль подобрать, а вот телефон никто не украдет и не отключит за долги - безопасно!

     
  • 3.22, Массоны Рептилоиды (?), 15:45, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Мне вот интересно, почему многие на словосечатание "двухфакторная аутентификация" сразу начинают писать про смски?
     
     
  • 4.27, Аноним (-), 17:24, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    почему многие "безопасники" в кавычках словосечатание "двухфакторная аутентификация" используют вместо "2-этапной"?
     
     
  • 5.28, Массоны Рептилоиды (?), 18:05, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вопрос к "безопасникам".
    Вот как раз в случае с смс - имеем чистую двухэтапную.
     
     
  • 6.39, Аноним (-), 08:56, 15/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    1-ый фактор - знание логин-пароль,
    2-ой - наличие телефона с номером.
    При этом логин-пароль идет по одному каналу, временный пароль на телефон - по другому каналу.

    То что TOTP множит эти два фактора на ноль, так как временные пароли генерируются по начальному секрету (нужен только один фактор - знание этого секрета), это просто к сведению.

     
  • 3.37, Kuromi (ok), 23:38, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Опять вы со своими СМСками! Вам похоже русска банковская специфика навязывать всем исключительно СМСки извратило восприятие, т.к. даже по ссылке в статье сказано "MFA in the form of TOTPs (Time-Based One-Time Passwords) is currently implemented in Rubygems."
    WebAuthn пока нет, его поддержка только в разработке, на текущий момент будет простой TOTP. Никаких СМС не будет вовсе.
     
  • 2.5, Аноним (5), 12:25, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И как много взломов осуществляется посредством подбора паролей?
     
  • 2.11, Аноним (11), 14:02, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Пароль из 64 символов ты где хранить, в голове, в текстовом файле на компе, в браузере?
     
     
  • 3.14, X86 (ok), 14:16, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    В браузере, а на браузер пароль qwErTy12345, чтобы точно не забыть
     
     
  • 4.25, Аноним (25), 16:03, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ты сейчсас описал принцип работы любого менеджера паролей.
     
  • 2.13, X86 (ok), 14:15, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пароли из 64 символов довольно часто появляются в словарях паролей)
     
     
  • 3.17, Аноним (17), 15:04, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Эти пароли сливают сами сайты, куда ты ходишь.
     
     
  • 4.49, X86 (ok), 09:10, 16/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Эти пароли сливают сами сайты, куда ты ходишь.

    у меня такой лайфхак: например, пароль для опеннет типа такого: b4pAg(opennet)Llc1%DIm

     
  • 2.16, YetAnotherOnanym (ok), 14:31, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Пароль из 64 символов никто не сломает

    А зачем его ломать? Покопался в логах Трависа - и вот он, на блюдечке с голубой каёмочкой.

     
     
  • 3.30, Аноним (30), 19:04, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А знакомый чекист поможет достать и смсочку с нужного телефона.
     
  • 3.31, Анноооннннииииимммммм (?), 19:18, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Так не кладите пароли в Травис
     
     
  • 4.42, Вы забыли заполнить поле Name (?), 13:39, 15/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А что так можно было?
     
     
  • 5.43, Аноним (1), 14:07, 15/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да. Я разрешаю тебе, своей высокоанонимной всемилостивостью
     
  • 2.34, KaE (ok), 19:43, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Даешь на каждый пакет по SMS подтверждению и плюс на зависимости тоже!
     
  • 2.44, Аноним (44), 14:09, 15/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Пароль из 64 символов никто не сломает

    Ломать никто и не собирался, кейлогером украдут.

     

  • 1.6, Аноним (6), 12:35, 14/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Пароль это небезопасно. Давайте сделаем два пароля!
     
     
  • 2.9, Аноним (9), 13:22, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Голосую за биометрию и личный сертификат от Гейтса!
     
     
  • 3.12, ыы (?), 14:11, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вам сертификат с вибратором? пупырышкам?
     
     
  • 4.18, Аноним (17), 15:06, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Подруга, мне надо "Ландыш 6S".
     
     
  • 5.26, Бывалый смузихлёб (?), 16:08, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    фи какой сексизм. Мистер гейтс, на пару со всем прогрессивным человечеством, против этого.
    Поэтому, либо с вибратором, либо - с пупырышками [тем более что ландыши разобрали в первую очередь а за-за транспортных проблем и разборок с китаем, новой партии может и уже не быть]
     
  • 5.32, Аноним (30), 19:28, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > "Ландыш 6S"

    шо это за xpeнь и почему ты о ней знаешь?

     
  • 3.21, Аноним (21), 15:22, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Знаем эти сертификаты от гейтса... ими сейчас можно всё что угодно подписать для запуска под secure boot
     
  • 3.29, Аноним (11), 18:42, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ничё скоро пароли вообще отменят, будешь по биометрии ходить.
     
     
  • 4.33, Аноним (17), 19:42, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ага... Надо будет встать перед вебкамерой, показать свой паспорт, поднять руку и торжественно поклясться в верности той стране, где этот рубигейс стоит.
     
     
  • 5.40, Аноним (40), 09:14, 15/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    И плюнуть, ой, сдать биоматериал
     
     
  • 6.50, X86 (ok), 14:49, 16/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > И плюнуть, ой, сдать биоматериал

    биоматериал уже собрали те самые лаборатории вна

     

  • 1.8, Аноним (8), 12:40, 14/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    как в таком случае через ci обновлять пакеты?
     
  • 1.15, Аноним (15), 14:20, 14/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Их Micro$oft тоже купил?
     
     
  • 2.35, Аноним (17), 19:45, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Пока что покусал только.
     

  • 1.36, Аноним (36), 19:52, 14/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    и вот ваши лефтпады больше вам не принадлежат
    я уверен, что этот топ500 еще ни удалить, ни вытереть будет нельзя
     
     
  • 2.38, Аноним (38), 00:35, 15/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    У себя можешь удалять, никто не запрещает. А какой опенсорс у меня на серверах хранится не твоя забота.
     

  • 1.41, InuYasha (??), 11:24, 15/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Можно я буду исползовать осторожность как второй фактор? (хотя этим хламом и не пользуюсь)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру