The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Злоумышленник захватил управление над 4 проектами в репозитории PyPI

05.12.2023 08:48

Администраторы репозитория Python-пакетов PyPI (Python Package Index) сообщили об инциденте, в результате которого злоумышленник смог захватить управление над проектами arrapi, tmdbapis, nagerapi и pmmutils, насчитывающими около 4.5 тысяч загрузок в месяц. Все проекты сопровождались одним автором (meisnate12, Nathan Taggart) и были захвачены в результате компрометации его учётной записи. Злоумышленник, получивший управление над проектами, был оперативно заблокирован и не успел внести изменения и сформировать модифицированные выпуски.

Захват произведён через замену владельца проектов. Атакующий создал учётную запись "dvolk", затем от имени основного сопровождающего "meisnate12" сформировано приглашение для включения пользователя "dvolk" в число сопровождающих, после принятия которого и получения управляющего доступа к проекту удалил из проекта изначального автора и остался одним сопровождающим. После выполнения подобных манипуляций для всех проектов был инициирован процесс удаления учётной записи "meisnate12".

Спустя 5 часов после захвата проектов администраторы PyPI получили сообщение от изначального автора о случившимся, заблокировали учётную запись злоумышленника и восстановили права на владение проектами. В качестве причины инцидента названа ненадлежащая защита учётной записи и отсутствие применения двухфакторной аутентификации, что позволило атакующему определить параметры входа под пользователем "meisnate12" и выполнить действия от его имени.

До конца этого года репозиторий PyPI намерен перевести все учётные записи пользователей, сопровождающих хотя бы один проект или входящих в курирующие организации, на обязательное применение двухфакторной аутентификации. Применение двухфакторной аутентификации позволит усилить защиту процесса разработки и обезопасить проекты от внесения вредоносных изменений в результате утечки учётных данных, использования того же пароля на скомпрометированных сайтах, взломов локальной системы разработчика или применения методов социального инжиниринга.

В качестве предпочтительных методов двухфакторной аутентификации рекомендуется использовать протокол WebAuthn с FIDO U2F токенами или приложения для аутентификации на базе одноразовых паролей, поддерживающих протокол TOTP, например, Authy, Google Authenticator, FreeOTP и oathtool. При загрузке пакетов разработчикам дополнительно рекомендовано перейти на использование метода аутентификации 'Trusted Publishers' на базе стандарта OpenID Connect (OIDC) или применять API-токены.

  1. Главная ссылка к новости (https://blog.pypi.org/posts/20...)
  2. OpenNews: В репозитории PyPI выявлено около 5000 оставленных в коде секретов и 8 вредоносных обфускаторов
  3. OpenNews: PyPI переходит на обязательную двухфакторную аутентификацию
  4. OpenNews: PyPI пересмотрит политику в отношении персональных данных и прекратит поддержку PGP-подписей
  5. OpenNews: В PyPI реализована возможность публикации пакетов без привязки к паролям и токенам API
  6. OpenNews: 46% Python-пакетов в репозитории PyPI содержат потенциально небезопасный код
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60235-pypi
Ключевые слова: pypi, python, attack, hack
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (155) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (2), 09:16, 05/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Постепенное внедрение цифровых подписей.
     
     
  • 2.4, RomanS (??), 09:37, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • –4 +/
    А как же без них? Только надо понимать что есть Криптосистема с открытыми ключами, а есть PKI.
     
  • 2.6, Axel (??), 09:43, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    PGP
     
     
  • 3.133, OpenEcho (?), 17:39, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >  PGP

    У ПЖП нет стороннинх центров подтверждающих достоверность личности. (Только плыз, не начинайте опять про тех 1/2  веботраста)

     
  • 2.8, Аноним (8), 09:49, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Интернет только по паспорту.
     
     
  • 3.14, Второй из Кукуева (?), 10:39, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Welcome to russia!

    Ты не можешь заключить договор на подключение к интернету без паспорта вот уже лет так 15(раньше можно было, просто заявка на адрес, никаких документов, тебе притаскивали кабель и говорили "платить туда")

     
     
  • 4.17, InuYasha (??), 11:10, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Покажи мне страну, где иначе. Может, перееду.
     
     
  • 5.19, ANONN (?), 11:15, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В Индонезии покупаешь симку и раздаешь с мобильного.
     
     
  • 6.20, Вы забыли заполнить поле Name (?), 11:18, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Симка не по паспорту?
     
     
  • 7.34, Аноним (8), 12:14, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Лол симки в Москве в переходах без всяких паспортов раздают. Всё работает.
     
     
  • 8.93, Аноним (-), 14:37, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    После звонка выбрасываем симку вместе с телефоном, в котором нет отпечатков, и р... текст свёрнут, показать
     
  • 8.119, Вы забыли заполнить поле Name (?), 16:00, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ок А пополнять как будешь Оффлайн У каждого автомата камера стоит ... текст свёрнут, показать
     
     
  • 9.170, нах. (?), 15:22, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    У этих, котрые вместо киви теперь - нет никаких камер Ну да, 12 комиссии за он... текст свёрнут, показать
     
  • 8.128, Аноним (128), 17:10, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Т-рищ Майор, так симки меченые же ... текст свёрнут, показать
     
     
  • 9.171, нах. (?), 15:23, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    не бери у того узбека что прямо под камерой их раздает, возьми у следующего С 2... текст свёрнут, показать
     
  • 6.137, Хм (?), 18:18, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > В Индонезии покупаешь симку

    Сказки про покупку симки в Индонезии здесь не надо рассказывать. В Индонезии иностранцам продажа симок вообще запрещена, кроме, может быть, Бали.

     
  • 5.30, Аноним (30), 12:05, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я живу в Кипре и здесь можно легально  купить симку в магазине без всяких документов
     
     
  • 6.38, Бывалый смузихлёб (?), 12:18, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    формально и в РФ можно купить без каких-либо документов, даже с доставкой
    Потом, правда, подразумевается онлайн-регистрация, но тем не менее
     
     
  • 7.50, Аноним (8), 12:31, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Можно просто получить симку зарегистрированную на джамшута.
     
     
  • 8.59, Бывалый смузихлёб (?), 12:40, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Почти где угодно так можно Только вот, если будут делаться вещи весьма нехорошие... текст свёрнут, показать
     
     
  • 9.64, Аноним (8), 12:50, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зачем старому дворнику из Узбекистана аккаунты Время активации надо мониторить ... текст свёрнут, показать
     
  • 9.67, Аноним (67), 12:56, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Последние китайские предупреждения Хрен сотовые операторы будут банить того, кт... текст свёрнут, показать
     
     
  • 10.148, Да ну нах (?), 21:46, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не льсти себе, твои пять баксов никому не интересны Если гос структуры наедут н... текст свёрнут, показать
     
     
  • 11.149, Аноним (149), 22:00, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    На структуру олигарха наедут ... текст свёрнут, показать
     
     
  • 12.172, нах. (?), 15:24, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    да нелояльные олегархи у нас долго не живут ... текст свёрнут, показать
     
     
  • 13.174, Аноним (174), 15:32, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    То были не олигархи, а просто подставные лица ... текст свёрнут, показать
     
  • 6.39, Аноним (39), 12:20, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, самого угребищного опера с модемной скоростью) У главных оперов года с 2021 только по паспорту.
     
     
  • 7.55, Аноним (-), 12:35, 05/12/2023 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
  • 7.62, Аноним (62), 12:49, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    У меня Primetel, ты про него? Если да, то не заметил что медленно. Ну и правда я мобильным инетом пользуюсь только для мессенджеров на телефоне и чтоб иногда веб посёрфить.
     
  • 6.192, InuYasha (??), 17:26, 12/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Что, прям внутри?? В пещере что-ли?
     
  • 5.31, Второй из Кукуева (?), 12:08, 05/12/2023 Скрыто ботом-модератором     [к модератору]
  • –5 +/
     
     
  • 6.33, Аноним (67), 12:11, 05/12/2023 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
     
  • 7.54, Аноним (67), 12:34, 05/12/2023 Скрыто ботом-модератором     [к модератору]
  • –2 +/
     
  • 7.122, Всем Анонимам Аноним (?), 16:29, 05/12/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 8.143, Аноним (143), 18:43, 05/12/2023 Скрыто ботом-модератором     [к модератору]
  • –2 +/
     
     
  • 9.193, InuYasha (??), 17:31, 12/12/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 6.44, Аноним (39), 12:29, 05/12/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 7.68, Аноним (68), 12:56, 05/12/2023 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
  • 6.57, Бывалый смузихлёб (?), 12:36, 05/12/2023 Скрыто ботом-модератором     [к модератору]
  • +3 +/
     
     
  • 7.82, Аноним (-), 13:26, 05/12/2023 Скрыто ботом-модератором     [к модератору]
  • –3 +/
     
     
  • 8.130, Аноним (130), 17:12, 05/12/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 8.135, нах. (?), 18:06, 05/12/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 8.147, Аноним (147), 20:03, 05/12/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 9.173, нах. (?), 15:28, 06/12/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 7.141, Аноним (141), 18:41, 05/12/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 6.94, Аноним (-), 14:43, 05/12/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 6.100, Аноньимъ (ok), 14:59, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ну симки не по паспорту в большинстве развитых стран, просто покупаешь и пользуешься

    В Европе примерно всей конкретно по паспорту и прописке. При этом доминируют пакеты по контракту.

    В Штатах не в курсе, но из того что слышал примерно тоже если не хуже.

    Что у ват там ещё из развитых стран, Украина? В Украине уже ввели в строй систему, но пока привязка симки к паспорту добровольная. Я так понимаю конкретно ЕС это требует.

     
  • 6.129, Аноним (129), 17:12, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Согласен с вами. Например, в Сербии в любом киоске можно купить симку без паспорта. Два года пользуюсь такой, нет никаких проблем. Пополнять можно наличкой в тех же киосках.
     
  • 5.41, Жук (?), 12:22, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В Чехии prepaid-симки спокойно продаются в магазинах и ларьках без паспорта.
    Активировать не надо, просто вставил и сразу работает.
     
     
  • 6.46, Аноним (39), 12:30, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А что происходит, когда  твои prepaid 5 евро кончаются?))
     
     
  • 7.58, Аноним (-), 12:36, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ты покупаешь карточку, елозишь по ней монеткой и поплняешь номер
    еще есть варианты через терминалы (куда пихается наличка)
     
     
  • 8.60, Аноним (39), 12:41, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А, теоретик, удачи Я просто знаю, что это так не работает ... текст свёрнут, показать
     
     
  • 9.110, Tron is Whistling (?), 15:25, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ты не поверишь - это работает В UK точно И в FI и в UK можно банковской картой... текст свёрнут, показать
     
     
  • 10.131, Аноним (130), 17:15, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    так тук как раз вся ветка про анонимность, а не об удобстве Так что мимо... текст свёрнут, показать
     
  • 5.109, Tron is Whistling (?), 15:24, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Договор конечно без паспорта ты не заключишь.
    А так - гостевые симки без всякого паспорта как минимум в FI и UK.
     
     
  • 6.125, Всем Анонимам Аноним (?), 16:32, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не гостевые, а предоплатные.
     
     
  • 7.151, Tron is Whistling (?), 23:29, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну я их по привычке обзываю гостевыми, потому что местные реально все на длинных контрактах сидят.
     
     
  • 8.185, Всем Анонимам Аноним (?), 13:24, 10/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Контракт удобно, особенно если скидки дают на новые телефоны И люди по инерции ... текст свёрнут, показать
     
  • 3.49, Анонимпс (?), 12:31, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    С такими темпами развития "ИИ" скоро все там будут.
     

     ....большая нить свёрнута, показать (58)

  • 1.9, Аноним (9), 09:50, 05/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Запросто могло быть срежиссированным представлением, или вообще выдуманная утка. "Определили пароль", ага, верится с трудом. Надо же устранять анонимность, сейчас этим все занимаются.
     
     
  • 2.10, Аноним (10), 10:34, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +7 +/
    двухфакторка и анонимность никак не связаны друг с другом. Вероятно ты перепутал двухфакторку с "введите номер телефона". Если так, то ничего страшного, я в детстве тоже думал, что все китайцы каратисты.
     
     
  • 3.13, Второй из Кукуева (?), 10:38, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > я в детстве тоже думал, что все китайцы каратисты.

    Ну хорошо хоть не что все китайцы японцы :-D

     
     
  • 4.66, Аноним (8), 12:55, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Японцы отпачковались китайцев в древности.
     
     
  • 5.69, Аноним (67), 12:57, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    От чукц ещё скажи, как в анекдоте.
     
  • 5.87, Аноним (87), 14:05, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Отпачковались или отпочковались?
     
     
  • 6.150, анон (?), 22:03, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пачка китайцев стала японцами, что непонятно?)
     
  • 5.95, Аноним (-), 14:46, 05/12/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 5.102, Аноньимъ (ok), 15:05, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нет. Внезапно. Они приплыли из каких-то далей точное местоположение которых установить не получается, предположительно ближний восток. После чего вырезали коренных японцев и устроили островную империю.

    Китайцы там никаким боком.

     
     
  • 6.118, нах. (?), 15:52, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Китайцы там никаким боком.

    А зачем они у них тогда иероглифы сп-ли?

     
     
  • 7.121, Аноним (-), 16:20, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >А зачем они у них тогда иероглифы сп-ли?

    А сп-ли они потому, что хотели быть пожожими на китайцев. В историческое время Китай культурно доминировал в Корее и Японии. Они также сп-ли у китайцев двуручный меч - назвав его "цуруги", потом у корейцев сп-ли какой-то однолезвийный клинок назвав его "катана".

     
  • 6.120, Аноним (-), 16:13, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Изначально японских островах жили предки Айну (люди Дзёмон). Где-то 2000-2300 лет назад из южной части Корейского полуострова постепенно на остров Кюсю стали переселятся рисоводы (культура Яёй). Потом в течение столетий эти рисоводы планомерно и организовано начали прогонять предков Айну.

    Биологически корейцы и японцы родственны. Среди современных японцев также есть потомки японизировавшихся Айну, но каково процентное соотношение среди японцев потомков ассимилированный айну и древних переселенцев с юга Корейского полуострова. непонятно.

    Предки Айну не обрабатывали землю.

     
  • 3.152, Kuromi (ok), 02:17, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да тут в каждом такой новости начинается вой "не отдам свой номер телефона". Просто люди измученные банками не представляют что бывает двухфакторка без смс, тот же TOTP.
     
  • 3.165, _oleg_ (ok), 13:41, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Если так, то ничего страшного, я в детстве тоже думал, что все китайцы каратисты.

    Э. В смысле в детстве?..

     
  • 2.12, Второй из Кукуева (?), 10:37, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И как же использование TOTP устраняет анонимность?
    TOTP описан в RFC и ты можешь написать свое приложение хоть на баше, хоть на сишке, хоть на брейнфаке и использовать его
    В чем устранение анонимности при использовании TOTP? Ну же! Расскажи нам!
     
     
  • 3.154, Бывалый смузихлёб (?), 06:45, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Раньше подобное рассказывали про одноразовый пароль, отсылаемый в элящик
    Потом правда оказалось, что крупнейшие конторы давно требуют привязки номера телефона для регистрации ящика( с Гуглом особенно забавно было. Стоило только зарегать ящик, как он был заблокирован за подозрительную активность и требовал номера телефона )

    В итоге - и с этой штукой что-то да всплывёт. Не с одной стороны, так с другой( обмазываться кучей смежной ерунды чтобы вообще не потерять аккаунт по случаю потери/поломки смартфона с приложением )

     
  • 3.180, Аноним (180), 23:13, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > И как же использование TOTP устраняет анонимность?

    Теоретики, теоретики...

     
     
  • 4.187, Второй из Кукуева (?), 08:58, 11/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> И как же использование TOTP устраняет анонимность?
    > Теоретики, теоретики...

    Ну прекрати ты врать
    QR там просто содержит символьную последовательность и ты можешь использовать любой TOTP
    Хватит врать, надоедает, честно

    Я использую локальный Vaultwarden доступный только из домашней сети и через VPN, не имеющий коннекта к интернету
    Никто тебя ни к чему не привязывает

    Я не понимаю зачем тут постоянно врут про это
    Вот зачем ты это делаешь?
    Что бы что?

     
  • 3.183, Аноним (9), 09:31, 08/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > И как же использование TOTP устраняет анонимность?

    Никак, потому что никакого TOTP нет.
    А есть qr-код который тебе предлагают отсканить приложением с телефона от Authy, Cisco Duo, Google Authenticator, Microsoft Authenticator и так далее. И все так и делают, никто не вникет в детали технологии, особенно питонисты. Вот так всех и сажают на принудительный телефон. Мало того, не только на телефон, ты еще оказываешься заложником этого сервиса, т.к. он буквально ворует у тебя код и хранит у себя под замком, ты его от них не вытащищь, а qr-код с экрана сразу же пропадает. Всё, асталависта, ты идентифицирован по телефону и привязынными к нему всеми своими аккаунтами, и не можешь с этого крючка даже соскочить.

     
     
  • 4.186, Второй из Кукуева (?), 08:57, 11/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну прекрати ты врать
    QR там просто содержит символьную последовательность и ты можешь использовать любой TOTP
    Хватит врать, надоедает, честно

    Я использую локальный Vaultwarden доступный только из домашней сети и через VPN, не имеющий коннекта к интернету
    Никто тебя ни к чему не привязывает

    Я не понимаю зачем тут постоянно врут про это
    Вот зачем ты это делаешь?
    Что бы что?

     

  • 1.11, Аноним (11), 10:35, 05/12/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +/
     

     ....ответы скрыты (8)

  • 1.16, Аноним (16), 11:07, 05/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Я один жду, когда уже на опеннет будем заходить через госуслуги? А то анонимы и всё такое.
     
     
  • 2.18, InuYasha (??), 11:11, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Зачем ждать? Специально для тебя открыта регистрация.
     
     
  • 3.23, Аноним (23), 11:35, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Прям паспорт можно ввести? Если нет, то даже не открою...
     
     
  • 4.70, Аноним (68), 12:59, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И даже синие галочки есть, только анонимам их не видно.
     
  • 4.108, Аноним (108), 15:20, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    паспортные данные сразу вставляй в свой комментарий
     
     
  • 5.145, Аноним (145), 18:56, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Пора уже на опеннете ввести поддержку трипкодов. Ведь текстовый чан уже как по форме, так и по уровню цинизма.
     
  • 4.155, Бывалый смузихлёб (?), 06:48, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если на госуслугах есть - то можно регаццо/входить по ЕСИА

    Система сама запросит все интересующие её данные о тебе( включая паспорт ) и аккуратно вставит в нужны поля поля

     
     
  • 5.158, Аноним (-), 10:29, 06/12/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 4.163, Аноним (163), 13:29, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    На Госуслугах сколько угодно можешь вводить.
     

  • 1.25, Аноним (67), 11:51, 05/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >был инициирован процесс удаления учётной записи "meisnate12".

    Но зачем?! На этом и спалился.

     
     
  • 2.83, Аноним (83), 13:55, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не "спалился", а так и было задумано...
     
     
  • 3.112, нах. (?), 15:32, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем? Ведь мог бы просто ему 2fa включить. И хрен бы тот что сделал.
     
     
  • 4.181, Аноним (180), 23:16, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Смысла особого нет в захвате. Ну, занял поляну, и что через пару недель...

    Единицы может и пострадали. Остальные из большой толпы перебили ссылки и разошлись.

     

  • 1.26, Аноним (67), 11:53, 05/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >До конца этого года репозиторий PyPI намерен перевести все учётные записи пользователей, сопровождающих хотя бы один проект или входящих в курирующие организации, на обязательное применение двухфакторной аутентификации

    GitHub уже перевёл. Перешли на Codeberg в результате. В котором замена для PyPi к каждому аккаунту пользователя и организации прилагается. Заэнфорсят на PyPI - пойдут ффтопку вслед за GitHubом.

     
     
  • 2.146, nox. (?), 19:25, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > двухфакторной аутентификации

    нет смысла

     

  • 1.27, Аноним (67), 11:56, 05/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >В качестве предпочтительных методов двухфакторной аутентификации рекомендуется использовать протокол WebAuthn с

    FIDO2 TEE Attestation и навязанной биометрией.

     
  • 1.29, Аноним (29), 12:05, 05/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Похоже на провокацию для навязывания двухfuckторной авторизации.
    Телефоны это и мнитмая надежность, жо тех пор пока он к злоумышленнику на время не попадет, и вообще сим в любой неподходящий момент могут заблокировать. Ну а биометрия - это лесом.
    Одноразовые коды? Ну так оно не поддерживается почти ничем. Кто вводить будет?
    В итоге, с предлагаемой двухfuckторкой плохо, и без неё не достаточно безопасно.
     
     
  • 2.37, лесной эльф (?), 12:16, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    KeePassXC, KeePass,pass умеют OTP
     
     
  • 3.47, нах. (?), 12:30, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    и пароль тоже туда же складываешь, рядышком? Молодец, хвалю! (и все вместе закрыто паролем 123, да и тот всегда введен, потому что работатьжынада а не без конца вводить пароль от всего)

    Потом у л-шка п-дют файлик с базкой паролей, у которого нулевая защита от попыток подбора (он просто файлик, как он будет защищаться) и ломать который можно хоть на миллионе хостов параллельно - если вместе с файликом не перехватили и нажатия кнопок.

    Но просто надежные пароли (при этом выученные один раз и НИКОГДА, блжд, не меняемые, потому что это уже провал) - низзя-низзя, это небезопастно!

     
     
  • 4.65, Аноним (-), 12:54, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Кажется у тебя обидка на OTP)

    > Но просто надежные пароли (при этом выученные один раз и НИКОГДА, блжд, не меняемые

    Ага, 10 лет один и тот же пароль для всего от почты и банка, до торрента и веселой фермы.
    А потом оказывается что где-то что-то утекло и все летит в известном направлении.

     
     
  • 5.84, Аноним (83), 13:59, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Кто где говорил про "один и тот же пароль"?
     
     
  • 6.113, нах. (?), 15:34, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    дятлы с key-pass. У которых и на самом деле десять лет один и тот же пароль.
    Причем от всех паролей сразу и от псевдо-2fa  заодно. Так держать!
     
  • 5.99, крокодил мимо.. (?), 14:52, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    давайте посмотрим на сегодняшнюю ситуацию ранее пользовал свой криптостойкий,... большой текст свёрнут, показать
     
     
  • 6.136, нах. (?), 18:16, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > давайте посмотрим на сегодняшнюю ситуацию.. ранее пользовал свой (криптостойкий, надеюсь,

    ага, такая же херня. Вместо надежных паролей хранимых только в голове - нате вам незапоминаемые (и следовательно ты вынужден их записывать) и неудобонабираемые (таскать через клипборд если они нужны чаще раза в году). И еще пожалуйста слейте нам номерок телефона.

     
     
  • 7.156, Аноним (-), 07:40, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это не совсем херня. Проблема в том, что meisnate12 и подобные им люди ругулярно компрометируют свои учётные записи.
     
     
  • 8.161, нах. (?), 11:15, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    проблема решается созданием проблем для окружающих, как обычно в blm мирке Вмес... текст свёрнут, показать
     
  • 8.179, Аноним (179), 19:51, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вы ведь читаете внимательно лицензию Там разве не написано AS IS или его анал... текст свёрнут, показать
     
  • 5.166, _oleg_ (ok), 13:44, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Ага, 10 лет один и тот же пароль для всего от почты
    > и банка, до торрента и веселой фермы.
    > А потом оказывается что где-то что-то утекло и все летит в известном
    > направлении.

    Вот это провал. Зачем одинаковый везде? Речь про на каждом ресурсе свой, но не меняется.

     
  • 4.167, _oleg_ (ok), 13:46, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Но просто надежные пароли (при этом выученные один раз и НИКОГДА, блжд,
    > не меняемые, потому что это уже провал) - низзя-низзя, это небезопастно!

    Прям про наболевшее, мужик... Это говно и провоцирует небезопасность как раз. Вместо того, что бы выучить один пароль к банкклиенту, приходится его тупо записывать, т.к. каждый полгода эти придури требуют его менять так что бы он ещё не повторял предыдущие 3 и не являлся их подстрокой.

     
     
  • 5.169, нах. (?), 15:20, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ну с банкклиентом я еще могу понять. В смысле - пароли этих клиентов у банка скорее всего крадут раз в неделю, не признаваться же ж ему теперь в этом.

    > так что бы он ещё не повторял предыдущие 3 и не являлся их подстрокой

    поэтому они хранят все три предыдущих - плейнтекстом. Так и победим!

     
     
  • 6.176, _oleg_ (ok), 16:25, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > поэтому они хранят все три предыдущих - плейнтекстом. Так и победим!
     
  • 2.40, Второй из Кукуева (?), 12:20, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Какие телефоны?
    Речь идет о TOTP
    А это мало того, что полностью стандартизированная вещь, так еще и работающая полностью оффлайн
    Ты можешь написать свою реализацию, можешь взять готовые
    Никаких телефонов нет
    Как нет их и у Гугла, например, как нет их почти ни у кого
    Но местные шизики все строчат про "это все заговоры и от нас хотят наши телефоны с диском"
     
     
  • 3.43, Аноним (67), 12:28, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Речь идет о TOTP

    Речь идёт о навязывании FIDO2 в интересах вендоров TEE и биометрии. TOTP поддерживается только для создания видимости альтернативы. Его использование сделано намеренно более неудобным, чем FIDO2 (FIDO2 обычно поддерживается в режиме однофакторки, тебе не нажо вводить пароль, достаточно вставить устройство нужного производителя и приложить пальчик), и его в будущем уберут так же легко, как убрали пароли, под предлогом того, что нет TEE-подтверждения того, что ключи - в надёжных руках.

     
  • 3.51, нах. (?), 12:32, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты можешь написать свою реализацию, можешь взять готовые

    "а теперь сфоткайте мобилочкой наш удобный и приятный qr код!"

    И да, напомни-ка мне, чего это такой добренький и честнейший гугель закрыл исходники своего генератора, ведь все так просто, надежно, стандартизировано?

     
     
  • 4.71, Аноним (-), 13:00, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Ну так не пользуйся гуглом.
    Это не единственны TOTP который существует.
    Ты ж линухом на десктопе пользуешься, хотя он кривой, косой и неудобный, зато свободка!

    Неудобно? Ну так бороться с злыми корпами всегда неудобно.
    (Вон каксакалы опенсорса даже самолетами не литеают, там паспорт приходиться показывать)

     
  • 4.75, Второй из Кукуева (?), 13:11, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > "а теперь сфоткайте мобилочкой наш удобный и приятный qr код!"

    В котором просто числовая и буквенная последовательность
    Упс
    И который можно не фоткать, а нажать "Покажите мне текстом", скопировать и вставить
    У меня все коды 2FA живут в моем локальном VaultWarden, прикинь
    И никто у меня тут не требует к нему телефонов

     
     
  • 5.115, нах. (?), 15:40, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > И который можно не фоткать, а нажать "Покажите мне текстом",

    если есть что нажимать. Я вот сто лет уже не видел такого. Просто бессмысленный идиотский квадрат с точками без альтернатив.

    > У меня все коды 2FA живут в моем локальном VaultWarden, прикинь

    неплохо свел их секьюрить к нулю, все правильно сделал. Но не кажется ли тебе что это все же излишний геморрой требующий неудобных приседаний.

     
     
  • 6.188, Второй из Кукуева (?), 09:01, 11/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Просто бессмысленный идиотский квадрат с точками без альтернатив.

    Ну это просто вранье
    Везде есть кнопка "нажмите если не можете отсканировать"

    > неплохо свел их секьюрить к нулю, все правильно сделал. Но не кажется
    > ли тебе что это все же излишний геморрой требующий неудобных приседаний.

    Ну да, ты же у нас великий специалист и знаешь как именно защищен локальный ваултварден, как к нему возможно подключение и все остальное
    А я просто так работаю в IT-безо уже 25 лет и ничего не понимаю, куда мне до ваньки с опеннета

     
     
  • 7.189, нах. (?), 10:04, 11/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> Просто бессмысленный идиотский квадрат с точками без альтернатив.
    > Ну это просто вранье
    > Везде есть кнопка "нажмите если не можете отсканировать"

    васян из кукуева - лично ВЕЗДЕ проверял!

    > А я просто так работаю в IT-безо уже 25 лет

    но так ничему и не научился.

    (в принципе, квалификация большинства выдающих себя за ит-без - обычно нулевая или около того)

     
  • 4.153, Kuromi (ok), 02:19, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    FreeOTP на что?
     
  • 2.159, Аноним (-), 10:31, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >жо тех пор пока он к злоумышленнику на время не попадет

    Или пока кто-то не попросит оператора поделиться SMS.

     
     
  • 3.190, нах. (?), 10:05, 11/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >>жо тех пор пока он к злоумышленнику на время не попадет
    > Или пока кто-то не попросит оператора поделиться SMS.

    в целом ради помойки пихономодулей никто и не попросит.

     

  • 1.32, Аноним (32), 12:10, 05/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Срочно всех перевести на IAM с проприетарным 2FA. Питоняши такое только одобрят.
     
     
  • 2.52, Аноним (8), 12:32, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    И питошка наконец загнётся.
     
  • 2.88, Аноним (87), 14:09, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    С чего это питонисты проприетарщину одобрят? Я бы ещё понял, если это какие-нибудь дотнетчики или свифтеры.
     
     
  • 3.160, Аноним (-), 10:33, 06/12/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     

  • 1.45, Аноним (45), 12:29, 05/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Еще прохождения процедуры KYC не хватает.
     
     
  • 2.53, нах. (?), 12:34, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    О, этот аноним знает!
    (и по результату - "к сожалению, мы вынуждены отказать вам в открытии акаунта, по причинам связанным с безопастностью, поэтому мы никогда вам не скажем что именно нам не понравилось")

     
     
  • 3.77, Аноним (-), 13:18, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А у них есть обязанность предоставлять услугу кому попало?
    Нет? ну так о чем разговор?
    Что-то не нравится? сделай свой PyPI с преферансом и... боюсь тян в этой области не водятся.
     
     
  • 4.140, Аноним (140), 18:35, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >сделай свой PyPI

    Штатная возможность Codeberg.

     
  • 2.61, Аноним (67), 12:47, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да в опенсорсе уже давно навязывают KYC-процедуры: DCO, и CLA. Причём Python Software Foundation - в числе злейших навязывателей.
     
     
  • 3.72, Аноним (68), 13:02, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    CoC тоже навязывают, хотя он и не не KYC. Вообще, TLA - это POS.
     
     
  • 4.97, Аноним (97), 14:49, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    CoC не является ни процедурой сбора персональных данных, ни юридически обязывающим. Ты можешь нарушить CoC, а потом создать новое имя, и опять нарушить CoC. Повторить сколько надо раз.
     
  • 3.74, Аноним (-), 13:10, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    DCO впервые использовали Linux Foundation в 2004.
    Внезапно, да?

    И не вижу ничего плохого в том, что проект хочет KYC.
    Не все хотят чтобы в их код коммитили мутные анонимы. Особбено если потом окажется, что этот анон в чине майора закладки пишет.
    Хочешь анонимности - сиди в даркнете, imgboard'ах или прочих местах где не задают лишних вопросов.

     
  • 3.80, Аноним (-), 13:21, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Но учти, в местах где не задают вопросов, не проверяют доки и сидят аноны - обычно намусоренно и плохо пахнет.
    Например тут, где мы общаемся)
     
     
  • 4.96, Аноним (97), 14:47, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Пусть лучше говном воняет, чем supermax-тюрьмой попахивает.
     

  • 1.81, Аноним (30), 13:22, 05/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Автор так все расписал подробно, будто тут ядро линукса хакнули. А речь всего-то про какой-то бейсик, на к-й все плевать. Не стоило и стараться придавать значимости этому событию
     
     
  • 2.127, Аноним (-), 16:53, 05/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    То есть ты хочешь чтобы люди не знали о грязных приёмчиках крякеров. Предупреждён значит вооружён.
     
  • 2.164, Аноним (163), 13:32, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    На этот "бейсик" всё машинное обучение завязано.
     

  • 1.162, Аноним (162), 12:55, 06/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    2fa важна в PYPI ибо страдает не мейнтейнер пакета в итоге, а скачавший его. Хотя привязка телефона - зло. Надо было думать над другими способами улучшения безопасности.
     
     
  • 2.168, злой аноним (?), 13:55, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    pypi в своём блоге открытым текстом пишут - 2фа будет через totp, а эксперты с опеенет упорно бегают со своими номерами телефонов. Стандарт открытый, реализаций куча, можно свою написать, можно вообще на бумажке считать, если считаешь быстро и в 30 секунд уложишься. Но нет, в коментах каждый второй ноет про "нам пихают анальный зонд", "моё прайваси коко" и "никому не покажу свой номер телефона". Дебилы, ять.
     
     
  • 3.175, Аноним (175), 15:37, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    TOTP денхат исключительно для того, чтобы полезные идиоты орали, что FIDO2 никто не навязывает.
     
     
  • 4.177, Аноним (177), 17:05, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    как можно употреблять слово "навязывают", если есть алтернатива?
     
     
  • 5.178, Аноним (178), 19:47, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Когда предоставляют альтернативу, но дискриминируют против тех, кто её использует - это именно "навязывают". Как навязали скоту одну карточку с лошадями.
     

  • 1.182, Аноним (182), 16:20, 07/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Скоро им и верёвки для штанов бесплатно выдавать начнут, чтоб на ходу не теряли как все остальное. Зато проект в публичном репозитории, звезды на гитхабах. А цифровую гигиену, оказывается, нужно насильно заставлять учить.
     
     
  • 2.191, нах. (?), 10:07, 11/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Скоро им и верёвки для штанов бесплатно выдавать начнут,

    Так надо было с этого и начать! Сколько помойного софта можно было так избежать еще на этапе написания!

    Вот, да, да, для штанов. Надевай на шею, не бойся! И к краю табуреточки чуть-чуть подвинься, еще, еще... оп!

    Следующий!

     
     
  • 3.194, InuYasha (??), 18:00, 12/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Сколько помойного софта можно было так избежать еще на этапе написания!

    У меня какое-то жёсткое дежа-вю сейчас случилось. Но память обнулилась и не могу вспомнить оратора из прошлого. Кто-нибудь напомнит?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру