Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Компания Cloudflare опубликовала opkssh для аутентификации в SSH через OpenID Connect"	+/–
Сообщение от opennews (??), 26-Мрт-25, 15:19
Компания Cloudflare представила инструментарий opkssh (OpenPubkey SSH), позволяющий интегрировать в OpenSSH  средства централизованной аутентификации с возможностью входа через провайдеров OpenID Connect. При помощи opkssh можно избавиться от ручной работы по  управлению и настройке SSH-ключей, а также организовать подключение к серверу с любых хостов, без необходимости создания закрытых ключей на каждом клиентском компьютере и без ручного копирования открытых ключей на сервер. Для подключения достаточно выполнить на сервере привязку к учётной записи у провайдера OpenID. Код инструментария написан на языке Go и распространяется под лицензией Apache 2.0... Подробнее: https://www.opennet.me/opennews/art.shtml?num=62952
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	–1 +/–
Сообщение от Аноним (1), 26-Мрт-25, 15:19
Действительно, почему бы и нет, выглядит секурно!
Ответить | Правка | Наверх | Cообщить модератору

	6. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	–6 +/–
	Сообщение от Аноним (6), 26-Мрт-25, 15:27
	>проверит российские сервисы и операторов связи на использование иностранной серверной инфраструктуры https://vc.ru/services/1875747
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+1 +/–
	Сообщение от bdrbt (ok), 26-Мрт-25, 16:37
	Дэвид, перелогинься.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	32. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+5 +/–
	Сообщение от 1 (??), 26-Мрт-25, 16:47
	Особенно "Для подключения достаточно выполнить на сервере привязку к учётной записи у провайдера OpenID." И все твои сервера там.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	89. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	–2 +/–
	Сообщение от Bob (??), 26-Мрт-25, 19:50
	Если рабочие - многие и так там. Azure. Для личных можно всё нормально настроить: ключик, ip, mac и т.п.
	Ответить | Правка | Наверх | Cообщить модератору

	52. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+1 +/–
	Сообщение от penetrator (?), 26-Мрт-25, 18:11
	это тонкий или не тонкий троллинг, я не разбираюсь, подскажите, пожалуйста
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	100. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+2 +/–
	Сообщение от 12yoexpert (ok), 26-Мрт-25, 20:43
	ненуачо, https они уже выключили для половины интернета
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	114. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	–1 +/–
	Сообщение от Neon (??), 27-Мрт-25, 02:12
	Секурно у чужого дяди ?)))
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	126. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (126), 27-Мрт-25, 07:48
	Почему у чужого? Внутри компании же разворачивается та же freeipa и погнали.
	Ответить | Правка | Наверх | Cообщить модератору

	133. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Vasya (??), 27-Мрт-25, 09:28
	На FreeIPA и так можно настроить OpenID по ssh без стороннего ПО.
	Ответить | Правка | Наверх | Cообщить модератору

	137. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (137), 27-Мрт-25, 17:08
	А надо наоборот — ssh по openid.
	Ответить | Правка | Наверх | Cообщить модератору

2. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+1 +/–
Сообщение от Аноним (-), 26-Мрт-25, 15:23
Вот она сила опенсорса! Компании с радостью делятся своими наработками.
Ответить | Правка | Наверх | Cообщить модератору

	11. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+5 +/–
	Сообщение от Аноним (11), 26-Мрт-25, 15:34
	Это не они делятся, а ты доступом к своему серверу. Где хостится это OpenID и в чьей юрисдикции?
	Ответить | Правка | Наверх | Cообщить модератору

	17. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	–3 +/–
	Сообщение от inklesspen (ok), 26-Мрт-25, 15:50
	Да хоть свой OpenID сервер ставь и в своей юрисдикции держи
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+2 +/–
	Сообщение от Аноним (11), 26-Мрт-25, 16:10
	В чём смысл ставить ещё какой-то мутный чужой код на свой сервер, если всё делается штатными средствами: вместо файла opk/auth_id используя ssh/authorized_keys... Тем более, что opk/auth_id открыто светит аккаунтами, а утечка второго вообще ничего не даёт.
	Ответить | Правка | Наверх | Cообщить модератору

	39. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (137), 26-Мрт-25, 17:09
	Ну пока у тебя один локалхост, то действительно не нужно это всё, можно «штатными средствами» обойтись. А где хост не локал и их сильно больше одного, там и OpenID уже развёрнут и работает. Да хоть тот же AD, например.
	Ответить | Правка | Наверх | Cообщить модератору

	55. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+3 +/–
	Сообщение от Аноним (55), 26-Мрт-25, 18:25
	Вы менпейдж OpenSSH вообще читали? Там специально для вас уже давно есть сертификаты и возможность указать ключи как CA. Если кто-то при подключении покажет сертификат, подписанный данным CA, сервер даст залогиниться по заранее не занесённому в сервак ключу. В сертах можно и время действия настроить, и разрешения повесить. Сабж же просто паразитирует на уже существующей инфраструктуре, пытаясь пропихнуть какую-то мутную схему хранения ключей.
	Ответить | Правка | Наверх | Cообщить модератору

	70. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	–1 +/–
	Сообщение от User (??), 26-Мрт-25, 18:53
	Угу. Вот только решения, способного налету проводить аутентификацию пользователя, выписывать ему этот самый short-lived сертификат и добавлять ключик в ssh-агент у них нет. У всяких hashicorp с 1password есть, а у этих уот - нёма. И написать за столько лет - лапки.
	Ответить | Правка | Наверх | Cообщить модератору

	75. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (137), 26-Мрт-25, 19:01
	Step и StepCA есть, но они всё равно требуют костылей для интеграции с SSO. А без SSO это всё не особо надо: ключи можно и скриптом раскидать, а юзерам выдать юбикеи, чтобы пароли у ключей не удаляли. IT-отдел только будет недоволен: заниматься менеджментом юсб-свистульки размером с ноготь та ещё обезьянья работа.
	Ответить | Правка | Наверх | Cообщить модератору

	77. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от User (??), 26-Мрт-25, 19:08
	> Step и StepCA есть, но они всё равно требуют костылей для интеграции > с SSO. А без SSO это всё не особо надо: ключи > можно и скриптом раскидать, а юзерам выдать юбикеи, чтобы пароли у > ключей не удаляли. IT-отдел только будет недоволен: заниматься менеджментом юсб-свистульки > размером с ноготь та ещё обезьянья работа. Не-не-не, спасибо - я с rutoken'ами для шифрования жестких дисков ноутбуков напрыгался, "эмпирический опыт"(тм) говорит, что оно мне не надь под тираж.
	Ответить | Правка | Наверх | Cообщить модератору

	88. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (137), 26-Мрт-25, 19:48
	У нас примерно 2000 человек по всему миру юбикеями пользуется каждый день для доступа к инфре, и большинство совсем не админы — девелоперы разной стадии развития. Вообще неплохо, но люди как-то умудряются эти ключи периодически терять и ломать. IT-отдел иногда ноет от этого, но альтернативные варианты их не устроили ещё больше. Рутокены, возможно, просто как продукт так себе. Свистульку в юсб сунуть это только треть всей истории. Сервис вокруг свистульки нужен, и, главное, доверие вендору, что вообще не решается техническими способами.
	Ответить | Правка | Наверх | Cообщить модератору

	93. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+1 +/–
	Сообщение от User (??), 26-Мрт-25, 20:07
	> У нас примерно 2000 человек по всему миру юбикеями пользуется каждый день > для доступа к инфре, и большинство совсем не админы — девелоперы > разной стадии развития. Вообще неплохо, но люди как-то умудряются эти ключи > периодически терять и ломать. IT-отдел иногда ноет от этого, но альтернативные > варианты их не устроили ещё больше. Рутокены, возможно, просто как продукт > так себе. Свистульку в юсб сунуть это только треть всей истории. > Сервис вокруг свистульки нужен, и, главное, доверие вендору, что вообще не > решается техническими способами. Ну, у меня 1000+ было - и это был ад на всех стадиях, от рассчета фактической потребности через бюджетирование (И нет, в 2016 обосновать, что ЭТО - расходка у меня не получилось) к деплою (Крипто-прошный УЦ, м-мммм!) и в эксплуатацию... Теряли, ломали, сжигали, забывали пин-код, менялись (!) и черте-что еще. А так, как ноуты в то время частенько выдавали под командировки - звиздюли были ЭПИЧЕСКИЕ
	Ответить | Правка | Наверх | Cообщить модератору

	136. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от 1 (??), 27-Мрт-25, 13:26
	> менялись +100500 И 2 чая этому господину. И лучше прописывать в должностной наказание за это -  расстрелом через повешение в туалете !
	Ответить | Правка | Наверх | Cообщить модератору

	122. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (55), 27-Мрт-25, 05:00
	Вы серьёзно? Это баш скрипт на пару сотен строк. Вы настолько неуверены в своих способностях сделать что-то настолько простое правильно?
	Ответить | Правка | К родителю #70 | Наверх | Cообщить модератору

	124. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от User (??), 27-Мрт-25, 05:22
	> Вы серьёзно? Это баш скрипт на пару сотен строк. Вы настолько неуверены > в своих способностях сделать что-то настолько простое правильно? А давайте вы его мне напишете, а я вам денег заплачу, М?
	Ответить | Правка | Наверх | Cообщить модератору

	138. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (137), 27-Мрт-25, 17:15
	Баш-скрипт на пару сотен строк без бэкенда на ещё пару тысяч и не на баше в реальной инфраструктуре с реальными пользователями, автоматизацией, легаси, и требованиями регуляторов не заработал почему-то. То ли потому, что жизнь чуточку сложнее, чем фантазии анонима, то ли потому, что сама проблема не такая простая, как кажется на первый взгляд, то ли бог знает ещё почему.
	Ответить | Правка | К родителю #122 | Наверх | Cообщить модератору

	71. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (137), 26-Мрт-25, 18:53
	> давно есть сертификаты и возможность указать ключи как CA Есть, есть, и пользуемся давно. И всё равно нужен костыль чтобы выдавать сертификаты ключам, и его надо как-то ещё отдельно обкостылить чтобы работал через корпоративный SSO, и пошло-поехало. StepCA немного облегчает жизнь, но не настолько, чтобы писать об этом родителям. Сабж предлагает универсальное решение без самописанных костылей. Для меня это большой плюс, к тому же Клаудфлер наш вендор уже четыре года как и только положительные впечатления, Деллу, Cisco и Juniper поучиться бы у них клиентов облизывать (держу в курсе). Какие-то минусы от выбрасывания наших неповторимых костылей будут? > паразитирует на уже существующей инфраструктуре Рыдаю с этого. Я так понимаю, ты сам собственный интернет построил, свои микрухи в духовке выпекаешь, и весь софт тоже сам написал, чтобы не паразитировать. Молодец, завидую твоей фантазии.
	Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

	73. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от User (??), 26-Мрт-25, 18:57
	О, кстати про StepCA-то я и не вспомнил - а ведь видел, видел же!
	Ответить | Правка | Наверх | Cообщить модератору

	72. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от User (??), 26-Мрт-25, 18:56
	Ну вот конкретно если у вас есть AD - то проще не через ADFS вот это всё на лыжах-в-гамаке, а расширить схему кастомным аттрибутом, запихнуть тудой ssh-ключик и горя не знать. А вот если вы в а-аааблааааках-бела-гриии-иивых-лоша...дках тады и впрямь проще что-то уот такое уот запилить.
	Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

	76. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (137), 26-Мрт-25, 19:05
	Пихать ключик куда угодно значит, что его кто-то должен сгенерировать, не потерять, не сделать его беспарольным, и не отправить по неосторожности вместо публичного ключа кому-нибудь. Если других способов нет, то и этот сойдёт, но это ничем не лучше скрипта дёргающего rsync по сути. Ну может админу маргинально удобнее, и только.
	Ответить | Правка | Наверх | Cообщить модератору

	78. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от User (??), 26-Мрт-25, 19:11
	> Пихать ключик куда угодно значит, что его кто-то должен сгенерировать, не потерять, > не сделать его беспарольным, и не отправить по неосторожности вместо публичного > ключа кому-нибудь. Если других способов нет, то и этот сойдёт, но > это ничем не лучше скрипта дёргающего rsync по сути. Ну может > админу маргинально удобнее, и только. Не-не-не. Тут не начальный деплой решается, а проблема расползания ключа по n-серверам с фактической невозможностью отзыва при увольнении или там отпуске.
	Ответить | Правка | Наверх | Cообщить модератору

	91. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (137), 26-Мрт-25, 19:59
	Сегодня у нас работает так: SSH CA, выдача сертификата на ключ из yubikey, и всё это при условии что ты залогинен через корпоративный SSO и либо сидишь в офисном ЛАНе, либо подключен через VPN с аттестацией. Естественно, никаких BYOD. Можно только телефон, только с одобрения ИБ (всякие китаефоны забанены полностью, не пускает даже в гостевой вайфай пока mac не сменишь), только не рутованный, и только если согласишься поставить intelligent hub, и даже в этом случае кроме календаря, почты и слака ничего не доступно. Корпоративный стандарт рабочего места — последняя средняя модель макбука с jamчто-то там, корпоративным профилем и еженедельным сканами на предмет токенов в текстовых файлах и подобного палева.
	Ответить | Правка | Наверх | Cообщить модератору

	99. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от User (??), 26-Мрт-25, 20:39
	> Сегодня у нас работает так: SSH CA, выдача сертификата на ключ из > yubikey, и всё это при условии что ты залогинен через корпоративный > SSO и либо сидишь в офисном ЛАНе, либо подключен через VPN > с аттестацией. Естественно, никаких BYOD. Можно только телефон, только с одобрения > ИБ (всякие китаефоны забанены полностью, не пускает даже в гостевой вайфай > пока mac не сменишь), только не рутованный, и только если согласишься > поставить intelligent hub, и даже в этом случае кроме календаря, почты > и слака ничего не доступно. Корпоративный стандарт рабочего места — последняя > средняя модель макбука с jamчто-то там, корпоративным профилем и еженедельным сканами > на предмет токенов в текстовых файлах и подобного палева. Хорошо быть здоровым, богатым, не ленивым и умным, правда? Мы одно время к такому шли-шли, да так и не дошли - а теперь "не больно-то и хотелось!", увы.
	Ответить | Правка | Наверх | Cообщить модератору

	116. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (137), 27-Мрт-25, 02:41
	> Хорошо быть здоровым, богатым, не ленивым и умным, правда? Не знаю, но думаю, что неплохо. Сам все четыре одновременно ни разу не пробовал. А последние два по-моему вообще никогда не пробовал. > Мы одно время к такому шли-шли, да так и не дошли - а теперь "не больно-то и хотелось!", увы. Я слышал, что на всё это ушло около пяти лет последовательного труда. В принципе, зная сколько на бэкэнде всего задействовано, верю.
	Ответить | Правка | Наверх | Cообщить модератору

	109. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от blkkid (?), 26-Мрт-25, 23:37
	это очень круто, но подходит только разве что подкроватных систем где начинается серьезное разделение прав обязанностей, ротация ключей и прочее, там authorized_keys сдувается и начинается дурдом
	Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

	150. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от _ (??), 27-Мрт-25, 19:59
	Но количество дурдома можно (и нужно!) значительно снизить! К примеру OpenSSH server можно неплохо подружить с вашим MS AD. Вход не по ключу, а по паролю, конечно, но ведь в форточку они логинятся? Ну и ... Для мест где вход по ключу таки нужен - ну тут всё ещё кто во что горазд... но тоже есть приемлемые решения. PS: Сабж не щупал, относится он к приемлемым или нет - пока не в курсе.
	Ответить | Правка | Наверх | Cообщить модератору

	161. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (137), 28-Мрт-25, 18:46
	> Вход не по ключу, а по паролю, конечно Сразу отправляется под кровать обратно на локалхост, с которого он сбежал.
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+1 +/–
	Сообщение от КО (?), 26-Мрт-25, 16:40
	Вас не смущает что OpenID закрылась в 2018?
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	37. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от 1 (??), 26-Мрт-25, 17:00
	а вот с этого места поподробней
	Ответить | Правка | Наверх | Cообщить модератору

	90. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	–1 +/–
	Сообщение от Аноним (11), 26-Мрт-25, 19:56
	Погуглите, почему многие компании прекратили саппорт продукта в 2018-ом.
	Ответить | Правка | Наверх | Cообщить модератору

	81. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	–1 +/–
	Сообщение от bonifatium (?), 26-Мрт-25, 19:22
	вас не смущает, что OpenID и OpenID Connect - это две разные вещи?
	Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

	94. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	–1 +/–
	Сообщение от Аноним (11), 26-Мрт-25, 20:08
	Твой вопрос звучит так же нелепо, как "Linux и Linux 6.14 - это две разные вещи". OpenID Connect - это третье поколение стандарта OpenID.
	Ответить | Правка | Наверх | Cообщить модератору

	115. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от bonifatium (?), 27-Мрт-25, 02:27
	> Твой вопрос звучит так же нелепо, как "Linux и Linux 6.14 - > это две разные вещи". > OpenID Connect - это третье поколение стандарта OpenID. это твои аналогии звучат нелепо. В треде дан контекст. И в этом контексте есть OpenID, закрытый в 2018 году, что есть gen 1, и есть OpenID Connect, что есть gen 3.
	Ответить | Правка | Наверх | Cообщить модератору

3. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+6 +/–
Сообщение от Аноним (3), 26-Мрт-25, 15:23
> Для привязки учётной записи к OpenID администратор сервера выполняет команду "opkssh add". И? Это буквально ничем не отличается от ручного копирования ключей. Одну операцию заменили на другую, да ещё и сомнительную с точки зрения безопасности.
Ответить | Правка | Наверх | Cообщить модератору

	7. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+2 +/–
	Сообщение от Аноним (7), 26-Мрт-25, 15:28
	Ручной ключ живёт вечно и привязан к одному хосту. Некоторые правда ставят для ключа пустой пароль  и копируют один ключ на разные системы, чтобы не заморачиваться с прописыванием на сервере, но потом в один прекрасный день обнаруживают, что по их сети шарится кто-то, выудивший ключ из старого диска, выброшенного на помойку.
	Ответить | Правка | Наверх | Cообщить модератору

	38. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от 1 (??), 26-Мрт-25, 17:02
	а что шифрование дисков отменили?
	Ответить | Правка | Наверх | Cообщить модератору

	60. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (55), 26-Мрт-25, 18:31
	Есть: - Сертификаты SSH, с возможностью указать время действия подписанного ключа. И настраивается банальным закидыванием в сервак одного паблика CA в указанный файл (либо в authorized_keys с опцией). - Хост вместо локального хранения пабликов может исполнять команду для получения списка ключей из stdout. Команда же, в свою очередь, может быть хоть curl-ом на другой хост, куда доступы нужны другие. - Можно прописать прям в authorized_keys, до какого срока ключ будет действительным.
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	80. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	–1 +/–
	Сообщение от Аноним (137), 26-Мрт-25, 19:22
	> Сертификаты SSH, с возможностью указать время действия подписанного ключа Для контекста: время жизни ключа для прода — 10 минут. Стейдж — 1 час. Дев — 8 часов. Это всё для интерактивных сессий. Для автоматизации время жизни всех ключей без исключения — 2 минуты. > Можно прописать прям в authorized_keys, до какого срока ключ будет действительным. Начинай прописывать вон то выше. Правда, чтобы что-то записать в прод надо сперва туда как-то попасть, и сделать доступным для записи что-то подходящее, а таких мест в проде нет by design.
	Ответить | Правка | Наверх | Cообщить модератору

	85. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Анонизм (?), 26-Мрт-25, 19:36
	Как сомнительную? А вы о товарище майоре не подумали, который за нашу с вами безопасность борется? Ещё один способ для него, чтобы получить доступ к серверу...
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

4. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+7 +/–
Сообщение от Аноним (7), 26-Мрт-25, 15:24
Я правильно понимаю, что в такой схеме компрометация провайдера OpenID означает компрометацию всех клиентов? Если взломают провайдера OpenID или его администратор окажется продажен, то что мешает сгенерировать от моего имени токен и подключиться к моему серверу?
Ответить | Правка | Наверх | Cообщить модератору

	12. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	–4 +/–
	Сообщение от пох. (?), 26-Мрт-25, 15:36
	не переживай так сильно, компроментация гитляпа означает компроментацию всего мира целиком через миллиарды неочевидных цепочек зависимостей. твой локалхост при этом наверное даже уцелеет, потому что просто на него пожалеют время
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от 1 (??), 26-Мрт-25, 16:49
	У AI времени много и скрипты не различают большой сервер или подкроватный.
	Ответить | Правка | Наверх | Cообщить модератору

	41. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (137), 26-Мрт-25, 17:11
	Очень даже различают, и именно потому, что время AI стоит слишком дорого, чтобы тратить его на подкроватные хосты.
	Ответить | Правка | Наверх | Cообщить модератору

	53. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	–1 +/–
	Сообщение от пох. (?), 26-Мрт-25, 18:18
	это пока их сотни и тысячи поломанных. А как будут миллионы - мигом научится различать цели повкуснее от тех на которые нечего ИИ переводить.
	Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

	96. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	–1 +/–
	Сообщение от Bob (??), 26-Мрт-25, 20:12
	Если настолько взломают Гугл, Майкрософт, Amazon и прочих, то OpenID будет чуть ли не на последнем месте. А понял ты не правильно. Там всё шифровано как минимум твоим паролем. Можно добавить ключь свой (или кодовую фразу) и 2FA. Без этого не расшифруют. На счёт "продажен" - для юрисдикций нормальных людей прециденты были? И, в целом, технология больше для мега энтерпрайза или у кого ничего важного нет, но хочется удобства.
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	125. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от _ (??), 27-Мрт-25, 05:44
	>На счёт "продажен" - для юрисдикций нормальных людей прециденты были? Ты совсем что-ли в коконе? Не раз и не два и в любых "юрисдикциях" включая ваш фетишЪ ... а что? :)
	Ответить | Правка | Наверх | Cообщить модератору

8. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
Сообщение от Аноним (11), 26-Мрт-25, 15:29
> подключение к серверу с любых хостов Вот это точно, организуют они тебе подключение с любых хостов :) Сейчас первое, что надо узнавать, в чьей юрисдикции этот OpenID. А то получится, как с Линусом: вроде и open, и в Америке.
Ответить | Правка | Наверх | Cообщить модератору

	10. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	–1 +/–
	Сообщение от Аноним (-), 26-Мрт-25, 15:34
	Так оно опен независимо от юрисдикции. Просто потому что ты можешь скачать код и развернуть где захочешь, хоть на своем подкроватном сервере. Вопрос зачем и кто с ним будет общаться, открытый, но возможности у тебя есть. Так же и с Линуксом - да, оттуда выкинули сотрудников подгебнявых компаний, но никто не запрещает им писать код самим.
	Ответить | Правка | Наверх | Cообщить модератору

	13. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	–1 +/–
	Сообщение от Аноним (11), 26-Мрт-25, 15:38
	> можешь скачать Не можешь. Многие закрыли доступ к своим "open".
	Ответить | Правка | Наверх | Cообщить модератору

	79. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от anba (?), 26-Мрт-25, 19:15
	https://www.keycloak.org/
	Ответить | Правка | Наверх | Cообщить модератору

	48. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	–1 +/–
	Сообщение от Аноним (137), 26-Мрт-25, 17:48
	> в чьей юрисдикции этот OpenID В той же самой, в чьей IP, SMTP, HTTP, BGP и прочие. Да и в целом, проблемы с юрисдикцией — это какой-то локальный мем. Подавляющее большинство людей на планете о такой проблеме узнают из новостей про очередной виток эскалации конфликта стран-террористов с цивилизованным миром. Что ж теперь, из-за каких-то отщепенцев годной технологией не пользоваться?
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	59. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	–2 +/–
	Сообщение от Аноним (59), 26-Мрт-25, 18:30
	Да вы просто апологет глобальных добрых волшебников.
	Ответить | Правка | Наверх | Cообщить модератору

	61. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (59), 26-Мрт-25, 18:31
	До вас мир был плохим. Вы построите новую цивилизацию
	Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

	151. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от _ (??), 27-Мрт-25, 20:04
	До основанья!, а затем ... (С) Что может пойти не так?! ;)
	Ответить | Правка | Наверх | Cообщить модератору

9. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+5 +/–
Сообщение от пох. (?), 26-Мрт-25, 15:34
краудшмара как всегда - из всех возможных и невозможных методов авторизации выбрала самый худший. Теперь для работы в консоли - нужен браузер. Причем модный-современный-распоследней версии.
Ответить | Правка | Наверх | Cообщить модератору

	14. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	–1 +/–
	Сообщение от Аноним (6), 26-Мрт-25, 15:41
	https://opennet.ru/48945-browsh
	Ответить | Правка | Наверх | Cообщить модератору

	18. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+1 +/–
	Сообщение от пох. (?), 26-Мрт-25, 15:57
	для работы дополнительно должен быть установлен Firefox новее выпуска 56 ну такое себе... впрочем, полагаю, с 18го года эта поделка успела уже умереть.
	Ответить | Правка | Наверх | Cообщить модератору

	19. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	–1 +/–
	Сообщение от Аноним (6), 26-Мрт-25, 15:58
	https://github.com/browsh-org/browsh/releases
	Ответить | Правка | Наверх | Cообщить модератору

	22. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+1 +/–
	Сообщение от пох. (?), 26-Мрт-25, 16:01
	> https://github.com/browsh-org/browsh/releases настоящий браузер для его работы, к сожалению, все еще нужен.
	Ответить | Правка | Наверх | Cообщить модератору

	50. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	–2 +/–
	Сообщение от Аноним (137), 26-Мрт-25, 17:59
	Всё с точностью до наоборот: выбрали самый простой и доступный метод, который используется буквально в каждой корпораци уже пятнадцать лет, имеет несколько хороших реализаций, и коммерческих, и даже опенсорсных. Сказки про рабочие станции без браузера оставь эникеям, котрые PoSы настраивают и картриджи трясут.
	Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

	57. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (59), 26-Мрт-25, 18:28
	>Сказки про То же оставьте при себе, незнакомый человек.
	Ответить | Правка | Наверх | Cообщить модератору

	82. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от bonifatium (?), 26-Мрт-25, 19:28
	там даже базовым rfc едва 10 лет исполнилось, а уж про 15 лет это и вовсе сказки
	Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору

	92. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (137), 26-Мрт-25, 20:01
	OpenID был опубликован 18 лет назад. Что там кому не исполнилось?
	Ответить | Правка | Наверх | Cообщить модератору

	110. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от anonymous (??), 27-Мрт-25, 00:13
	Больше от Identity Provider-а зависит и того, что он готов выдать твоему сервису. Некоторые аутентификационные флоу вообще позволяют через HOTP или TOTP аутентифицироваться - скачал аутентификатор на телефон, зарегистрировал его и все, управляй доступом одним нажатием. И секурно, и двухфакторка, и удобно.
	Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

	117. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (137), 27-Мрт-25, 02:45
	Любой более-менее крупный бизнес — сам себе IdP. Если скучно, можешь себе прямо под кроваться IdP развернуть с любым флоу, хоть HOTP, хоть TOTP, хоть за разрешением к маме и бабушке. Коммерческие IdP за деньги сделают что угодно. Но на практике хотя бы попытаются отговорить от совсем уж безумных затей.
	Ответить | Правка | Наверх | Cообщить модератору

	129. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (129), 27-Мрт-25, 08:57
	Удобно - это когда ты взял и подключился через openvpn в хуке коннекта интерфейса или сразу в rc.local. Когда для этого приходится доставать телефон, привязывать к этому ещё какое-то приложение, а потом открывать ещё по десять окон корпоративного буллшита и в каждом подобные препоны с аутентификацией и поддержкой логина больше часа - это называется НЕудобно.
	Ответить | Правка | К родителю #110 | Наверх | Cообщить модератору

	139. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (137), 27-Мрт-25, 17:26
	А ещё удобнее просто телнетом без пароля. Никакие хуки не нужны, никакие впны. Лепота!
	Ответить | Правка | Наверх | Cообщить модератору

	152. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от _ (??), 27-Мрт-25, 20:08
	> это называется НЕудобно. Дорожный знак на Ыnterprise Шtrasии : <== Удобно =    |    = БезопасТно ==> :)
	Ответить | Правка | К родителю #129 | Наверх | Cообщить модератору

15. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+3 +/–
Сообщение от Krtek (?), 26-Мрт-25, 15:42
У меня только один вопрос: что это и зачем оно нужно?
Ответить | Правка | Наверх | Cообщить модератору

	20. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+3 +/–
	Сообщение от пох. (?), 26-Мрт-25, 15:59
	> У меня только один вопрос: что это и зачем оно нужно? клаудшмара: орган заботы о пользователях и пользуемых интернетом гитхаб: чатик для разработчиков софта и примазавшихся, под крылышком лучшего друга опенсорсия ssh: ненужная программа для взлома злоумышленниками твоего сервера не благодари
	Ответить | Правка | Наверх | Cообщить модератору

	98. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Krtek (?), 26-Мрт-25, 20:20
	Зачем вообще нужен сервер, если данные можно и нужно хранить в картотеке под бдительным присмотром тёти Зины? Так гораздо надёжнее и это не сарказм.
	Ответить | Правка | Наверх | Cообщить модератору

	123. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (55), 27-Мрт-25, 05:06
	IP пакеты по проводу совсем немного быстрее доставляются, чем ваша задница до картотеки с Тётей Зиной.
	Ответить | Правка | Наверх | Cообщить модератору

	131. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Krtek (?), 27-Мрт-25, 09:02
	Ну тогда и не.й ныть про гавёную безопасность.
	Ответить | Правка | Наверх | Cообщить модератору

	140. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (137), 27-Мрт-25, 17:28
	Точно. Сгорел сарай, гори и хата. Всё либо ничего. Подростковый абсолютизм как жизненное кредо ещё никого не подводил.
	Ответить | Правка | Наверх | Cообщить модератору

	153. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от _ (??), 27-Мрт-25, 20:11
	Ну ачпета всё и держится на True|False и ничего другого уж лет 70 как :) Хотя троичные в СССР делали ... но всё умерло :(
	Ответить | Правка | Наверх | Cообщить модератору

	147. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (147), 27-Мрт-25, 18:56
	> Зачем вообще нужен сервер, если данные можно и нужно хранить в картотеке под бдительным присмотром тёти Зины? Так гораздо надёжнее и это не сарказм. Т.к. новинки индустриализации в конечном счёте оказываются превосходством в грубой силе оружия тоже, кроме прочих достоинств. При отставании в индустриализации теряется способность к защите себя, кроме огромного числа прочих недостатков отказа от изобретений.
	Ответить | Правка | К родителю #98 | Наверх | Cообщить модератору

	23. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+5 +/–
	Сообщение от Аноним (11), 26-Мрт-25, 16:02
	Технический ответ: чтобы писать ААА в файле БББ вместо писанины ВВВ в файле ГГГ. Конкретные значения первой пары озвучены в статье, вторая - штатные средства самого ssh. Практический ответ: чтобы можно было получить доступ к твоему серверу по требованию.
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

	97. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	–1 +/–
	Сообщение от Bob (??), 26-Мрт-25, 20:17
	Так тебя хостер и так сдаст с потрохами)
	Ответить | Правка | Наверх | Cообщить модератору

	35. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	–1 +/–
	Сообщение от Аноним (-), 26-Мрт-25, 16:55
	Хм, странно что ты сидишь на этом сайте и не слышал, ну да ладно. >  что это Cloudflare - одна из крупных компаний, которая оберегает от ддос и прочих неприятостей. opkssh - опенсорс программа которую она сделала, тк у сообщества лапки (кривые). Всякие гитлабы-гуглы-азуры - уважаемые фирмы, которым можно доверить подтверждене подлинности. >  зачем оно нужно Чтобы можно было одной учеткой логиниться в разные сервисы Основная фишка в децентрализации.
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

	43. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+3 +/–
	Сообщение от Аноним (43), 26-Мрт-25, 17:20
	>Чтобы можно было одной учеткой логиниться в разные сервисы Тебя в детстве не учили не использовать одну учетку для разных сервисов? Нельзя складывать все яйца в одну корзину.
	Ответить | Правка | Наверх | Cообщить модератору

	127. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Perlovka (ok), 27-Мрт-25, 08:27
	В компаниях, отличных от локалхоста, бывают тысячи пользователей и десятки сервисов. Но хомячкам главное ляпнуть )
	Ответить | Правка | Наверх | Cообщить модератору

	154. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от _ (??), 27-Мрт-25, 20:16
	Но правило изложенное выше от их количества никак не зависит. И усли у вас это не так ... :) Ну - "shame to be you!"(C) :-D
	Ответить | Правка | Наверх | Cообщить модератору

	158. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Perlovka (ok), 27-Мрт-25, 23:53
	> Но правило изложенное выше от их количества никак не зависит. И усли > у вас это не так ... :) Ну - "shame to > be you!"(C) :-D Правило, которое ты сам придумал? Ни одна нормальная компания такой херней не страдает.
	Ответить | Правка | Наверх | Cообщить модератору

	148. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (147), 27-Мрт-25, 19:03
	> Тебя в детстве не учили не использовать одну учетку для разных сервисов? Нельзя складывать все яйца в одну корзину. Как быть уверенным, что в каждый момент времени каждый из тысяч может успешно логинится по сети одновременно в многие разные сервисы. Контекст: за 15 минут полезной работы без ошибок логина эти тысячи пользователей создают очень много полезного и нужного в эквиваленте денег, например. Когда все сервисы оказались в Интернете, а операционная система под сервисами в большинстве, почему-то, случаев на базе GPL софта. Тогда логично, что эти сделали примерно это.
	Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

	155. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от _ (??), 27-Мрт-25, 20:18
	SSO - не не слыхал? Правда это к ключам прикручивать НЕ надо, вот прямо не рекомендую, нет вот прямо запрещаю!(С) :)
	Ответить | Правка | Наверх | Cообщить модератору

	159. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Perlovka (ok), 27-Мрт-25, 23:56
	> SSO - не не слыхал? > Правда это к ключам прикручивать НЕ надо, вот прямо не рекомендую, нет > вот прямо запрещаю!(С) :) SSO это буквально одна учетка на все сервисы. Как-то жидко у тебя получается набрасывать.
	Ответить | Правка | Наверх | Cообщить модератору

	63. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+1 +/–
	Сообщение от Аноним (55), 26-Мрт-25, 18:36
	Отдавать логин какому-то хосту (ещё и не в твоей кладовке) вместо того, чтобы делать это локально - это противоположность децентрализации. Что вы имели ввиду вообще?
	Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

	141. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (137), 27-Мрт-25, 17:30
	Отдай хосту в своей кладовке. Что мешает-то? Протоколы открыты и реализации доступны.
	Ответить | Правка | Наверх | Cообщить модератору

	112. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (-), 27-Мрт-25, 01:03
	> Всякие гитлабы-гуглы-азуры - уважаемые фирмы, которым можно доверить подтверждене подлинности. Простите, а чем это они заслужили такое доверие? > Чтобы можно было одной учеткой логиниться в разные сервисы. Основная фишка в децентрализации. Децентрализации? В каком месте? Может вы хотели сказать о централизации входа? Или может хотели рассказать о децентрализации серверов этих самых корпораций? У них она есть и этим они и заманивают доверить им вход - взламывать не будут. Потому что сервера их рассчитнаны на высокие нагрузки и есть возможность юридического воздействия если что. Хмм... кто ж взламывать то будет локалхост используя точно такие же возможности нападения на сервер как у них возможности защиты? Да и зачем?
	Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

	143. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (137), 27-Мрт-25, 17:40
	> Простите, а чем это они заслужили такое доверие? Успешным ведением бизнеса, тщательным исполнением местного законодательства, законопослушностью, и тысячами довольных клиентов. Чем ещё по-твоему коммерческая компания может заслужить доверие? > Децентрализации? В каком месте? Может вы хотели сказать о централизации входа? Почти так. Децентрализация сервисов и централизация входа в эти сервисы, с контролем, отчётностью и разделением привелегий, в том числе во внешних сервисах. Какая альтернатива? Каждый сотрудник компании должен купить доступ, скажем, к Lucidchart по своей кредитке, подать заявку в hr для возмещения расходов, не потерять логин и пароль, не расшарить что-то важное с левыми людьми по ошибке или по злому умыслу, так? А потом проделать то же самое с каким-нибудь облачным оператором и всенепременно не забыть передать все логины и пароли другом сотруднику, когда уволится. И так буквально с каждым из нескольких дюжин (если не сотен) внешних сервисов, систем, партнёров и так далее. В принципе неплохо, люблю самостоятельность в людях, но работать они когда будут?
	Ответить | Правка | Наверх | Cообщить модератору

	44. Скрыто модератором	–3 +/–
	Сообщение от Аноним (-), 26-Мрт-25, 17:27
	Для безопасности американцев. Есть такая сфера сейчас очень популярная - кибербезопасность. Так вот эти популяризируемые американские компании хотят отвечать за вход и удобство входа на твой компьютер. Взамен они получают возможности контроля киберпространства. Т.е. в этом прямо заинтересовано их Министерство Обороны. Т.е. это им позволяет хакеров ловить, шпионов (хотя для кого-то разведчиков), быстро подавлять ботнеты. А это уже в ближайшей перспективе конец вебу, потому что ботнеты они и будут делать - кто не с ними, тот останется без интернета. Как-то так.
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

	56. Скрыто модератором	–2 +/–
	Сообщение от Аноним (-), 26-Мрт-25, 18:28
	p.s. сейчас вместо веба предлагают замену через ИИ, т.е. ЧатГоПыТы заменят вам все чем вы раньше пользовались. Так по крайней мере пишут в LinkedIn, но я думаю это их влажные мечты пока. Они там и разработчиков пишут что заменят также как и дизайнеров. Хотя я лично предпочитаю художество людей, а не роботов.
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

	62. Скрыто модератором	+/–
	Сообщение от Аноним (-), 26-Мрт-25, 18:35
	p.s.s. можете это не читать на самом деле - все это теория заговора, но мне кажется она вполне последовательна и реалистична, потому что если кому-то очень нужно будет зайти на ваш компьютер из важных американцев, а за вход отвечает их компания, то это вполне технически реально. Вы даже об этом и не узнаете. А если и узнаете, то всегда можно сослаться на технические работы по обеспечению безопасности.
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

	103. Скрыто модератором	+2 +/–
	Сообщение от 12yoexpert (ok), 26-Мрт-25, 20:49
	иди проспись
	Ответить | Правка | Наверх | Cообщить модератору

	113. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (-), 27-Мрт-25, 01:12
	> иди проспись И то правда. Все это такие глупости, порой лучше просто промолчать.
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

16. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+4 +/–
Сообщение от Аноним (16), 26-Мрт-25, 15:43
Как показали недавние события, все эти подписи до лампочки, если в проекте участвуют анонимные ЖинТяны. Достаточно немного надавить на задолбанного мейнтенера... и можно пихать бекдоры куда угодно.
Ответить | Правка | Наверх | Cообщить модератору

	69. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (69), 26-Мрт-25, 18:50
	Кстати о Jia Tan: https://github.com/lkrg-org/lkrg/commit/7e37eb1bc37b68ed4eec...
	Ответить | Правка | Наверх | Cообщить модератору

	142. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от MinimumProfit (?), 27-Мрт-25, 17:33
	хотя это не имеет никакого значения, уточню: Jian Tan произносится как Дзян Тан.
	Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

21. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+1 +/–
Сообщение от Омномно (?), 26-Мрт-25, 16:01
SSH-сертификат со сроком жизни и тулза для её выписывания, если угодно, на сервере, не?
Ответить | Правка | Наверх | Cообщить модератору

	64. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+1 +/–
	Сообщение от Аноним (55), 26-Мрт-25, 18:37
	Они, походу, именно этот механизм и используют. Только ты ещё и логинится на гитхабе должен, перед тем как на сервер попадёшь. Крута, дыа? :)
	Ответить | Правка | Наверх | Cообщить модератору

	65. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	–1 +/–
	Сообщение от User (??), 26-Мрт-25, 18:40
	Ну в общем "да", но есть нюанс в виде отсутствия opensource'ного решения как для сервера, так и для клиента (Как-то же этот ключик должен попасть тебе в ssh-agent, да?). Если не ошибаюсь, решение были вот у hashicorp и 1password - но у них ты авторизуешься та-дааам! По OIDC.
	Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

	68. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+1 +/–
	Сообщение от Аноним (55), 26-Мрт-25, 18:48
	ssh-keygen опенсорсный и идёт в комплекте с openssh. Чушь какую-то несёте.
	Ответить | Правка | Наверх | Cообщить модератору

	74. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от User (??), 26-Мрт-25, 18:58
	> ssh-keygen опенсорсный и идёт в комплекте с openssh. Чушь какую-то несёте. Удачи, сынок - запилишь аналоговнету - приноси на opennet, посмеемся.
	Ответить | Правка | Наверх | Cообщить модератору

24. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
Сообщение от Аноним (24), 26-Мрт-25, 16:05
https://smallstep.com/blog/diy-single-sign-on-for-ssh/
Ответить | Правка | Наверх | Cообщить модератору

25. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+4 +/–
Сообщение от Аноним (25), 26-Мрт-25, 16:06
>без необходимости создания закрытых ключей на каждом клиентском компьютере Да, да, все приватные ключи надо срочно доверить GitHubу и Cloudflare!
Ответить | Правка | Наверх | Cообщить модератору

36. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
Сообщение от anonymous (??), 26-Мрт-25, 17:00
Есть же расширение x509 - чем оно не устроило?
Ответить | Правка | Наверх | Cообщить модератору

	66. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от User (??), 26-Мрт-25, 18:42
	Так это у Тео надо спрашивать, какого моржового он свою ни с чем не совместимую реализацию PKI запилил. Не то, чтобы в стандартном x509 было дофига чего хорошего, н-но...
	Ответить | Правка | Наверх | Cообщить модератору

40. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+3 +/–
Сообщение от Аноним (43), 26-Мрт-25, 17:10
>При помощи opkssh можно избавиться от ручной работы по управлению и настройке SSH-ключей, а также организовать подключение к серверу с любых хостов, без необходимости создания закрытых ключей на каждом клиентском компьютере и без ручного копирования открытых ключей на сервер. - Вы, чего, и пальцы за меня загибать будете? - Ага!
Ответить | Правка | Наверх | Cообщить модератору

42. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
Сообщение от Аноним (-), 26-Мрт-25, 17:19
Ну во первых не OpenID,  а OpenIDC, т.е. последняя буква Connect. Действительно секьюрный протокол, но вот это: >> Opkssh совместим с OpenID-провайдерами Google, Microsoft/Azure и Gitlab, что позволяет настроить вход через имеющиеся учётные записи в сервисах gmail.com, microsoft.com и gitlab.com. Позволяет "технической поддержке" этих компаний получать доступ к тем компьютерам где это настроено. И как это отличается от Auth0 который много лет назад создан? Ну разве что доступ к ssh из коробки они не делали. Это было бы актуально лет 10 назад, когда политика американцев не была ясна. А сейчас когда запад поддерживает ради своих меркантильных интересов различных радикалов и политику санкций - все равно что преступников себе в дом пригласить. Поздравляем запад что они сделали такую безопасную штуку которая товарищу майору доставляет неограниченные возможности для их компьютеров разных компаний. Помню комментарии на этот счёт - мне кажется эксперты opennet своего товарища и близко не хотят подпускать
Ответить | Правка | Наверх | Cообщить модератору

45. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+1 +/–
Сообщение от Аноним (59), 26-Мрт-25, 17:30
Как подчинить хомячков? Создать необходимо-безопасную среду и предложить помощь в централизованном хранение средств аутентификации.
Ответить | Правка | Наверх | Cообщить модератору

	58. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (-), 26-Мрт-25, 18:29
	А в случае чего вас просто отключат. Удобно
	Ответить | Правка | Наверх | Cообщить модератору

49. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+6 +/–
Сообщение от Аноним (59), 26-Мрт-25, 17:55
На картинках надо рисовать не Алису, а Буратино, ищущий путь в страну дураков.
Ответить | Правка | Наверх | Cообщить модератору

51. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+2 +/–
Сообщение от Аноним (137), 26-Мрт-25, 18:03
Тред-перепись админов локалхоста, для которых 2FA — это смс с циферками, OpenID — Гитхаб, интернет — локалка провайдера за cgNAT, а серверов не бывет больше одного, потому под кроватью не помещаются. Алсо, предоставлю OpenID в вашей юрисдикции. Дорого.
Ответить | Правка | Наверх | Cообщить модератору

	54. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (59), 26-Мрт-25, 18:24
	А Вы в резюме указываете на скольких хостах(кластерах) и юрлицах админити. Это важно! Не очень хочется компрометировать систему теми кто шляется не знамо где.
	Ответить | Правка | Наверх | Cообщить модератору

	84. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	–2 +/–
	Сообщение от Аноним (137), 26-Мрт-25, 19:36
	Последние десять лет работу нахожу строго через личные рекомендации. В резюме у меня два параграфа, в первом написано что я могу сделать для вашего бизнеса, во втором — «райдер». CTO и топ-менеджменту пофиг на то, какими языками программирования и фреймворками ты владеешь. Внезапно.
	Ответить | Правка | Наверх | Cообщить модератору

	107. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (11), 26-Мрт-25, 22:08
	> CTO и топ-менеджменту пофиг Естественно. Им важно, насколько быстро ты тряпкой по машине водишь и не оставляешь ли царапин.
	Ответить | Правка | Наверх | Cообщить модератору

	118. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (137), 27-Мрт-25, 02:55
	Если бы ты знал, сколько стоит «быстро тряпкой» для элитных авто уважаемых людей, ты бы наверное сгорел от зависти. Я столько за год не зарабатываю пока. Но есть плюсы: мой менеджер не тычет на совещаниях ни в кого волыной, в компании работают только несудимые, и не надо на улице в жару торчать.
	Ответить | Правка | Наверх | Cообщить модератору

	149. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (59), 27-Мрт-25, 19:56
	>мой менеджер не тычет на совещаниях ни в кого волыной, в компании работают только несудимые, и не надо на улице в жару торчать. Это Ваш райдер? Ну не надо уж так откровенно.
	Ответить | Правка | Наверх | Cообщить модератору

	162. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (137), 28-Мрт-25, 19:00
	> Это Ваш райдер? Да, почти слово в слово. Мне для жизни мало надо, а для успешной работы и того меньше — Эксель, Джира и Слак. > Ну не надо уж так откровенно. Почему же? У меня крайне мало секретов, да и те что есть весьма скучны и банальны. Скрытность считаю пороком.
	Ответить | Правка | Наверх | Cообщить модератору

	67. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+2 +/–
	Сообщение от User (??), 26-Мрт-25, 18:48
	Ну, вот конкретно с ЭТИХ станется захардкодить перечень ДОВЕРЕННЫХ провайдеров, да еще и какое-нибудь ниочень стандартное расширение протокола вклеить )
	Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

	86. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	–2 +/–
	Сообщение от Аноним (137), 26-Мрт-25, 19:41
	Для кого ЭТИХ? Cloudflare как раз топит за стандартизацию и культивирует у себя инженерную культуру. Приходилось плотно работать с их стафффом, всё чётко, в срок, и на слабые места в ТЗ со старта указали, сразу с возможными вариантами решений. Мне бы таких орлов, я бы за два года с нижнего уровня менеджмента на средний переехал не особо напрягаясь. А у админов локалхоста лапки, они ничего никуда не могут захардкодить по определению.
	Ответить | Правка | Наверх | Cообщить модератору

	95. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от User (??), 26-Мрт-25, 20:10
	> Для кого ЭТИХ? Cloudflare как раз топит за стандартизацию и культивирует у > себя инженерную культуру. Приходилось плотно работать с их стафффом, всё чётко, > в срок, и на слабые места в ТЗ со старта указали, > сразу с возможными вариантами решений. Мне бы таких орлов, я бы > за два года с нижнего уровня менеджмента на средний переехал не > особо напрягаясь. А у админов локалхоста лапки, они ничего никуда не > могут захардкодить по определению. Ну, вот ЭТИХ - тех, которые: https://github.com/cloudflare/boringtun Не знаю, что у них там со стафффом, а вот опенсорц у ребят... своеобразный.
	Ответить | Правка | Наверх | Cообщить модератору

	119. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (137), 27-Мрт-25, 02:59
	Так а что не так-то? Я не слежу особо, мне tailscale для локалхостов хватает, а на работе обычный cisco vpn. Они ж его вроде для себя в первую очередь писали.
	Ответить | Правка | Наверх | Cообщить модератору

	132. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от нах. (?), 27-Мрт-25, 09:07
	да все даже лучше чем обычно - выложили какие-то исходники, только они даже не собираются, не говоря уж что не работают, но вон вам бинарнички, скачайте откуда положено и не беспокойтесь. Обычно-то и бинарничков нет - "есть, но только в нашей внутренней инфраструктуре" Там не только про попенсорц, там про общий уровень культуры разработки выводы очевидные напрашиваются.
	Ответить | Правка | К родителю #95 | Наверх | Cообщить модератору

	146. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (137), 27-Мрт-25, 18:15
	> даже не собираются Пох как всегда, даже их чужих исходников собрать не может. А я не поленился и проверил. Собирается на раз, хотя проект два года вообще без движения стоит (это к слову тем, кто вечно ноет что раст слишком быстро развивается и без послезавтрашней ночнушки ничего не работает): $ cargo build --bin boringtun-cli --release […]     Finished `release` profile [optimized] target(s) in 41.59s На винде только ругается, мол: error[E0433]: failed to resolve: could not find `unix` in `os` Что правда, unix в этой os отродясь не было.
	Ответить | Правка | Наверх | Cообщить модератору

	130. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+1 +/–
	Сообщение от Аноним (129), 27-Мрт-25, 09:01
	>Алсо, предоставлю OpenID в вашей юрисдикции. >Дорого. Сколько уже купило? Когда купят? Сколько порч на понос выдали благодарные конечные пользователи?
	Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

	144. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (137), 27-Мрт-25, 17:46
	> Сколько уже купило? Нет времени считать, за забором очередь стоит со вчерашнего дня. > Когда купят? Уже покупают. Разлетаются как горячие пирожки. Занимай быстрее, пока не байты не закончились. > Сколько порч на понос выдали благодарные конечные пользователи? По состоянию на 2025-03-27, ровно ноль. Продолжаю вести наблюдение.
	Ответить | Правка | Наверх | Cообщить модератору

87. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
Сообщение от Аноним (129), 26-Мрт-25, 19:42
Скажите, а разметить гидранты доступом к серверу или получить отказ по причине потому что нельзя можно будет? Если да, то это прямо как на десктопах и я обоими руками за такие нововведения от CloudFlare.
Ответить | Правка | Наверх | Cообщить модератору

101. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	–1 +/–
Сообщение от mumu (ok), 26-Мрт-25, 20:44
Прикольно. Пусть будет
Ответить | Правка | Наверх | Cообщить модератору

	106. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+1 +/–
	Сообщение от Аноним (106), 26-Мрт-25, 21:26
	стеклянный щит, прикольно, пусть будет :)
	Ответить | Правка | Наверх | Cообщить модератору

105. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
Сообщение от Аноним (105), 26-Мрт-25, 20:58
Очередная потуга вендорлока от очередной мегакорпы. Теперь у них подгорает что кто-то может ssh юзать без их одобрения видимо.
Ответить | Правка | Наверх | Cообщить модератору

	108. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Qqq (?), 26-Мрт-25, 22:54
	Безотносительно «безопасности» решения, о каком вендорлоке идет речь, если они не заставляют использовать себя в качестве OIDC-провайдера?
	Ответить | Правка | Наверх | Cообщить модератору

	111. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+1 +/–
	Сообщение от Аноним (11), 27-Мрт-25, 00:36
	> они не заставляют Ну да, конечно, каждый админ локалхоста разворачивает у себя свой поисковик, почту, гит, телеграф.
	Ответить | Правка | Наверх | Cообщить модератору

	120. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+1 +/–
	Сообщение от Аноним (137), 27-Мрт-25, 03:01
	А зачем админу локалхоста что-то кроме одного ключа в ~/.ssh/authorized_keys?
	Ответить | Правка | Наверх | Cообщить модератору

	134. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (134), 27-Мрт-25, 09:56
	Разве OIDC требует чего-то серьёзнее HTTPS на Let's encrypt, а не DNS туда-обратно, DKIM и отпечаток ануса как e-mail?
	Ответить | Правка | К родителю #111 | Наверх | Cообщить модератору

	121. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+2 +/–
	Сообщение от Аноним (-), 27-Мрт-25, 03:47
	> Безотносительно «безопасности» решения, о каком вендорлоке идет речь, если > они не заставляют использовать себя в качестве OIDC-провайдера? Да вы в принцитпе и CDN можете свой поставить. А потом клаудспайварь немного поддосит вас и вам ценничек развлекухи не понравится, и у вас деньги кончатся быстрее чем у них. После чего у вас будет не так уж много выбора :)
	Ответить | Правка | К родителю #108 | Наверх | Cообщить модератору

	145. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (137), 27-Мрт-25, 17:50
	> клаудспайварь немного поддосит вас Но пруфов как всегда не будет.
	Ответить | Правка | Наверх | Cообщить модератору

	156. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от _ (??), 27-Мрт-25, 21:04
	Поисковики всё ещё работают, бро - попробуй да и обрящешь! :)
	Ответить | Правка | Наверх | Cообщить модератору

	163. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от Аноним (137), 28-Мрт-25, 21:21
	Работают и слава богу! Пруфы где. Покажи ссылку хоть на один.
	Ответить | Правка | Наверх | Cообщить модератору

135. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
Сообщение от Соль земли (?), 27-Мрт-25, 10:59
То есть пустить к себе Google, Microsoft/Azure и Gitlab. Уж лучше качать скрипты в stdin bash.
Ответить | Правка | Наверх | Cообщить модератору

	157. "Компания Cloudflare опубликовала opkssh для аутентификации в..."	+/–
	Сообщение от _ (??), 27-Мрт-25, 21:04
	МсьЁ знает толк ...(С) :)
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема