https://opennet.me/openforum/vsluhforumID3/137751.html Исследователи из компании GitGuardian выявили массовую атаку на пользователей GitHub, в ходе которой был получен контроль над 327 учётными записями и осуществлена подстановка вредоносного обработчика Github Action в 817 репозиториев. Атака привела к утечке 3325 секретов, используемых в системах непрерывной интеграции и передаваемых через переменные окружения, включая токены доступа к PyPI, GitHub, NPM, DockerHub и различным облачным хранилищам...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=63831<br> https://opennet.me/openforum/vsluhforumID3/137751.html#126 Wed, 10 Sep 2025 03:07:20 GMT &gt;&gt; Ыыыы... passkey и 2FA - механизмы _аутентификации_ - про СЕССИИ они ничего не знают и знать не должны, да?<br>&gt; Верно. Т.е. хоть 100 факторов сделай, хоть обложись пасскеями, а лучше не <br>&gt; станет.<br><br>И пароль 1111 - прочее же от лукавого. <br> https://opennet.me/openforum/vsluhforumID3/137751.html#124 Tue, 09 Sep 2025 17:20:11 GMT &gt; Ыыыы... passkey и 2FA - механизмы _аутентификации_ - про СЕССИИ они ничего не знают и знать не должны, да? <br><br>Верно. Т.е. хоть 100 факторов сделай, хоть обложись пасскеями, а лучше не станет.<br><br> https://opennet.me/openforum/vsluhforumID3/137751.html#123 Tue, 09 Sep 2025 11:57:35 GMT &gt; А если ещё на халявные вайфай точки свой серт кто-то развесит с <br>&gt; идентичной тому информацией - половина цицд васянов поставят его не глядя, <br>&gt; и владелец этих точек будет все эти вот ваши сессионные ключи <br>&gt; собирать тоже не глядя, хоть с поцкейз, хоть с тотпой, хоть <br>&gt; с пятью факторами.<br>&gt; Сечём, куда я клоню? Не спасает эта двухфакторка от ухода сессионной информации, <br>&gt; надо каждый запрос отдельно подписывать, причём без реплея, а это уже <br>&gt; такой шляпный геморрой, что явно не для гитшляпов.<br><br>Ыыыы... passkey и 2FA - механизмы _аутентификации_ - про СЕССИИ они ничего не знают и знать не должны, да? И про то, сколько денег у тебя в кошельке - не должны. И от удара гаечным ключом по голове - они тебя не защищают. "И от next-next-next-поставить-да!" - тоже нет. Они обеспечивают - ну вот !внезапно! - аутентификацию. <br>Хочешь, чтобы снег-башка-не-попадал - каску носи, ага? И под стрелой не ходи - даже в каске. А волшебную серебрянную пулю "мне-от-всего, пжалста" не изобрели, сорри. <br> https://opennet.me/openforum/vsluhforumID3/137751.html#122 Tue, 09 Sep 2025 11:00:30 GMT А если ещё на халявные вайфай точки свой серт кто-то развесит с идентичной тому информацией - половина цицд васянов поставят его не глядя, и владелец этих точек будет все эти вот ваши сессионные ключи собирать тоже не глядя, хоть с поцкейз, хоть с тотпой, хоть с пятью факторами.<br><br>Сечём, куда я клоню? Не спасает эта двухфакторка от ухода сессионной информации, надо каждый запрос отдельно подписывать, причём без реплея, а это уже такой шляпный геморрой, что явно не для гитшляпов.<br> https://opennet.me/openforum/vsluhforumID3/137751.html#121 Tue, 09 Sep 2025 10:57:41 GMT Да хосспаде, ваш этот, цензурнадзора, сертификат ставил на устройство?<br>Вота тебе и митм.<br> https://opennet.me/openforum/vsluhforumID3/137751.html#120 Tue, 09 Sep 2025 02:26:50 GMT &gt; В итоге перехватывается сессионный параметр, а не собственно ключ из TPM...<br>&gt; Без MITM будет сложновато, с MITM - ну, вообще без проблем.<br><br>Ну да - и от визита госорганов с постановлением К поставщику услуг, а к тебе - с паяльником технология тоже не защищает. Плохая технология, негодная - не будем её использовать. <br> https://opennet.me/openforum/vsluhforumID3/137751.html#119 Mon, 08 Sep 2025 19:03:25 GMT В итоге перехватывается сессионный параметр, а не собственно ключ из TPM...<br>Без MITM будет сложновато, с MITM - ну, вообще без проблем.<br> https://opennet.me/openforum/vsluhforumID3/137751.html#118 Mon, 08 Sep 2025 18:12:57 GMT Нет никакой проблемы. Предъявишь ID-карту, фотку, отпечатки пальцев, постановление суда и подтверждение оплаты - и аккаунт тебе вернут.<br> https://opennet.me/openforum/vsluhforumID3/137751.html#117 Mon, 08 Sep 2025 18:10:03 GMT &gt;"Рабы" - по эту сторону границы, а "ОПГ" - по ту.<br><br>Вы ошибаетесь. ОПГ и их рабы есть по обе стороны любых границ.<br><br>&gt;Исключая злонамеренные действия.<br><br>Злонамеренные - нет такого понятия юридического. Есть вредоносные - те, которые против интересов оператора ЭВМ, и на которые у сделавшего нет с вами юридического документа, что вы их разрешаете. А лицензия на ПО и есть именно такой документ.<br><br>&gt;Есть более приоритетные нормативно-правовые документы.<br><br>Ни один документ не имеет реальной силы. Документ - это отписка для случаев, когда по понятиям решать охоты нет. А когда решают по понятиям, то внезапно оказывается, что для членов ОПГ, когда их босс санкционировал, можно то, что обычному быдлу документы запрещают.<br><br>&gt;Любите вы придумывать сорта капитализма, для оправдания неприглядной действительности<br><br>А мы и не придумываем. Есть только один сорт капитализма - со свободным рынком. Остальное называют капитализмом, но от капитализма там - одно название.<br><br>&gt;Нет. Но ещё получит.<br><br>Что бы он не получил - он это