The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"В NPM включена обязательная двухфакторная аутентификация для 500 самых популярных пакетов"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В NPM включена обязательная двухфакторная аутентификация для 500 самых популярных пакетов"  +/
Сообщение от opennews (??), 01-Июн-22, 07:37 
В репозитории NPM включено применение обязательной двухфакторной аутентификации для учётных записей сопровождающих 500 самых популярных NPM-пакетов. В качестве критерия популярности использовано число зависимых пакетов. Сопровождающие попавших в список  пакетов смогут выполнить связанные с внесением изменений операции с репозиторием только после включения двухфакторной аутентификации, требующей подтверждения входа при помощи одноразовых паролей (TOTP), генерируемых такими приложениями, как Authy, Google Authenticator и FreeOTP, или аппаратных ключей и биометрических сканеров, поддерживающих протокол WebAuth...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=57283

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "В NPM включена обязательная двухфакторная аутентификация для..."  +1 +/
Сообщение от Аноним (1), 01-Июн-22, 07:37 
как же хорошо что я не пишу на JS
Ответить | Правка | Наверх | Cообщить модератору

6. "В NPM включена обязательная двухфакторная аутентификация для..."  +9 +/
Сообщение от Аноним (6), 01-Июн-22, 08:21 
мне тоже хорошо, что ты не пишешь на JS -- меньше конкурентов, выше зарплаты.
Ответить | Правка | Наверх | Cообщить модератору

8. "В NPM включена обязательная двухфакторная аутентификация для..."  –3 +/
Сообщение от Жироватт (ok), 01-Июн-22, 08:47 
Вместо одной чайной ложечки риса/час - одна столовая в час, но с обязательством юзать только определённый фреймворк? До-о-о, хороший буст.
Ответить | Правка | Наверх | Cообщить модератору

9. "В NPM включена обязательная двухфакторная аутентификация для..."  +1 +/
Сообщение от Аноним (6), 01-Июн-22, 08:50 
> с обязательством юзать только определённый фреймворк?

А, я понял. То есть одно и то же приложение должно писаться со всем подряд: реакт, ангуляр, вью, а один фанат даже захочет GTK с веб-бэкендом? До-о-о, тогда приложение будет высокоскоростным.

Ответить | Правка | Наверх | Cообщить модератору

11. Скрыто модератором  +/
Сообщение от Жироватт (ok), 01-Июн-22, 08:58 
Ответить | Правка | Наверх | Cообщить модератору

12. Скрыто модератором  +1 +/
Сообщение от Аноним (6), 01-Июн-22, 09:05 
Ответить | Правка | Наверх | Cообщить модератору

15. Скрыто модератором  +/
Сообщение от Жироватт (ok), 01-Июн-22, 09:21 
Ответить | Правка | Наверх | Cообщить модератору

18. Скрыто модератором  +1 +/
Сообщение от Аноним (6), 01-Июн-22, 09:31 
Ответить | Правка | Наверх | Cообщить модератору

19. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от анон (?), 01-Июн-22, 09:36 
Жаль, что на качество кода и производительности это не влияет.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

31. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Аноним (31), 01-Июн-22, 11:37 
Если пользуешься GitHub - то всё для тебя плохо.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Аноним (2), 01-Июн-22, 07:50 
KeepassXC умеет ТОТР.
Ответить | Правка | Наверх | Cообщить модератору

5. "В NPM включена обязательная двухфакторная аутентификация для..."  +1 +/
Сообщение от Аноним (6), 01-Июн-22, 08:20 
с keepassxc будет не двух-, а однофакторная аутентификация. Фактор один: нужен доступ к разблокированному менеджеру паролей, в котором и пароль, и TOTP.
Ответить | Правка | Наверх | Cообщить модератору

38. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от пох. (?), 01-Июн-22, 13:13 
> нужен доступ к разблокированному менеджеру паролей, в котором и все пароли от всего, и TOTP
> ко всему

(поправил, не благодари)

Но поскольку шитхабовские безопастники этого не понимают - не вижу поводов не пользоваться keepassxc - клиенты получат ровно ту "безопастность" которой заслуживают, зачем бороться с неодолимой глупостью?

Тридцать лет назад умные люди придумали otp чтобы не светить свои пароли и не набирать их в недоверенной среде вообще.  Современные макаки свели их идею к х-ю, попутно поломав все до чего дотянулись.

Ответить | Правка | Наверх | Cообщить модератору

4. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Косой (?), 01-Июн-22, 07:57 
Хочу как было!
Ответить | Правка | Наверх | Cообщить модератору

7. "В NPM включена обязательная двухфакторная аутентификация для..."  –1 +/
Сообщение от Аноним (7), 01-Июн-22, 08:47 
За пароль 123456 разраба надо банить на всех площадках и шеймить во всех сетях.
Ответить | Правка | Наверх | Cообщить модератору

21. "В NPM включена обязательная двухфакторная аутентификация для..."  +1 +/
Сообщение от Аноним (21), 01-Июн-22, 09:41 
lm8iCan$RVGoQPp+ck3lv;"RgWB0&dgeK6

За такие то же нужно банить, т.к. очень часто такие пароли записаны на бумажку, которая прикреплена к монику или с нижней стороны клавиатуры, лежит в портмоне и т.д.

Ответить | Правка | Наверх | Cообщить модератору

23. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Аноним (7), 01-Июн-22, 10:11 
пусть хоть на лбу бумажка эта будет, главное чтобы не сбрутили как всегда пароль и встроили в пакет малварь.
Ответить | Правка | Наверх | Cообщить модератору

24. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Аноним (21), 01-Июн-22, 10:21 
Что мешает эту бумажку сфотать проходящему коллеге, уборщице или тому, кто решил тебя подсидеть?
Ответить | Правка | Наверх | Cообщить модератору

27. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Аноним (7), 01-Июн-22, 10:44 
каждую неделю про очередной взлом был именно этот сценарий. Уборщицы эти коварные.
Ответить | Правка | Наверх | Cообщить модератору

30. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Аноним (30), 01-Июн-22, 11:12 
> сценарий

Кем пишется сценарий, заинтересованным лицом? "Официальная реальность"?

Ответить | Правка | Наверх | Cообщить модератору

28. "В NPM включена обязательная двухфакторная аутентификация для..."  +1 +/
Сообщение от YetAnotherOnanym (ok), 01-Июн-22, 11:01 
Пусть фоткает. Потому что рядом с монитором, с того краю, где прилеплена бумажка, стоит банка из-под зелёного горошка с карандашами и ручками. Так вот, пароль - это слово "ufhjisu" и цифры под штрих-кодом на этой банке.
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

36. "В NPM включена обязательная двухфакторная аутентификация для..."  +2 +/
Сообщение от Жироватт (ok), 01-Июн-22, 13:05 
"ufhjisu" - гарошыг
Хе
Ответить | Правка | Наверх | Cообщить модератору

59. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от i (??), 02-Июн-22, 07:43 
Будет забавно если банку заменят на специальную корзиночку пока ты в отпуске.
Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

63. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от YetAnotherOnanym (ok), 02-Июн-22, 09:15 
У меня дома в кладовке ещё штук пять таких же, неначатых ))
Ответить | Правка | Наверх | Cообщить модератору

54. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Аноним (54), 01-Июн-22, 21:40 
В кошельке?
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

26. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Аноним (26), 01-Июн-22, 10:31 
> записаны на бумажку

в текстовичке "новый файл" на рабочем столе

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

32. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Sw00p aka Jerom (?), 01-Июн-22, 11:55 
>записаны на бумажку

главное не приписать туда "Пароль от...", а так самый безопасный способ хранения.

пс: не храните деньге в сберкассе :)

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

33. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от a_kusb (ok), 01-Июн-22, 12:52 
Вот хороший пароль, легко запомнить:
Vsnhf[fkbcmgthdsqhfpfnsdpzkfj,jchfkfcmrfrytghbznyj,skjvytnt,znhf[fnmfnsdujdyt
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

42. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Аноним (-), 01-Июн-22, 15:09 
Cjhjrnsczxibujhzyd;jgeceyekb,fyfy
Ответить | Правка | Наверх | Cообщить модератору

76. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Аноним (76), 05-Июн-22, 08:52 
Ecy64ix.r-9;sm^ZlHB@1R[EF<Z2:dB,crxo=]vW@XF^dDQl%%a3q;o.qQv;t`T7

круто когда клиенты присылают такой пароль от винды для ввода в ipkvm

Ответить | Правка | Наверх | Cообщить модератору

49. "В NPM включена обязательная двухфакторная аутентификация для..."  –1 +/
Сообщение от Аноним (49), 01-Июн-22, 17:21 
> очень часто такие пароли записаны на бумажку

Очень часто — это у тебя на твоём личном мониторе? Ну так перестань бумажки на монитор клеить.

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

61. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Аноним (61), 02-Июн-22, 08:59 
>то же

Учебный год закончился, и на OpenNet - пополнение из необучаемых.

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

14. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от 1 (??), 01-Июн-22, 09:11 
А leftpad входит в их число ?
Ответить | Правка | Наверх | Cообщить модератору

16. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Бывалый смузихлёб (?), 01-Июн-22, 09:26 
Тема с ним вообще к другому нюансу относится )
А именно - к наличию или отсутствию возможности у разработчика пакета взять его и удалить

Вплоть до упомянутого, такая возможность была

Ответить | Правка | Наверх | Cообщить модератору

52. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Онаним (?), 01-Июн-22, 18:13 
А значит встраиваемые в пакеты ахтунги у захотевших на выход будут более злобно-изощрёнными.
Возможно с отложенным срабатыванием :D
Ответить | Правка | Наверх | Cообщить модератору

20. "В NPM включена обязательная двухфакторная аутентификация для..."  –1 +/
Сообщение от Аноним (20), 01-Июн-22, 09:37 
Против намеренного вредительства это как поможет?
Должен кто-то за пакетами досматривать. Самостоятельно это делать каждому - слишком дорого в масштабах всей экосистемы.
Инструменты аудита зависимостей и обнаружения аномалий нужны.
Ответить | Правка | Наверх | Cообщить модератору

74. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Онаним (?), 02-Июн-22, 19:41 
hands.sys поверх определённого уровня доверия, иначе никак
Ответить | Правка | Наверх | Cообщить модератору

22. "В NPM включена обязательная двухфакторная аутентификация для..."  +2 +/
Сообщение от Аноним (22), 01-Июн-22, 10:01 
этому королю обезьян такие методы не помогут
Ответить | Правка | Наверх | Cообщить модератору

29. "В NPM включена обязательная двухфакторная аутентификация для..."  +2 +/
Сообщение от YetAnotherOnanym (ok), 01-Июн-22, 11:07 
Сунь-Укун и Хануман неодобрительно смотрят на тебя.
Ответить | Правка | Наверх | Cообщить модератору

25. "В NPM включена обязательная двухфакторная аутентификация для..."  +2 +/
Сообщение от Аноним (30), 01-Июн-22, 10:22 
TOTP - это "принудительная смена пароля через определенный промежуток времени" в новом обличии. Теперь пароль меняют с центра, а не пользователь.

Форсированная "безопасность"!

Ответить | Правка | Наверх | Cообщить модератору

34. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от a_kusb (ok), 01-Июн-22, 12:56 
Кончается тем, то это всё невозможно запомнить...
Ответить | Правка | Наверх | Cообщить модератору

51. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Аноним (-), 01-Июн-22, 17:36 
Кончается тем что корпораст отжимает у тебя пакет и спасибо что бесплатно попахал на них, а теперь - проваливай, твои права превратились в тыкву.
Ответить | Правка | Наверх | Cообщить модератору

35. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от a_kusb (ok), 01-Июн-22, 13:02 
А пароли русских слов из жаргонов или исковерканные (записанные орфоэпически правильно) в английской раскладке это надёжно?
Ёласька-зилёная - ~kfcmrfpbk`yfz
Кринжестыд - Rhby;tcnsl
Жабаскрипт-девелопер :f,fcrhbgn-ltdtkjgth
Запилитьвпродакшон - pfgbkbnmdghjlfrijy
МелкасофтВыньМаздай - VtkrfcjanDsymVfplfq
ЯТялаффки - ZNzkfaarb
Ответить | Правка | Наверх | Cообщить модератору

39. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от InuYasha (??), 01-Июн-22, 13:26 
rhby;thtkkf
Ответить | Правка | Наверх | Cообщить модератору

40. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Sw00p aka Jerom (?), 01-Июн-22, 14:18 
cvepb[k`, :)
Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

41. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Аноним (41), 01-Июн-22, 14:31 
Нет. Ибо при желании на таких вот любителей изысков всегда можно сгенерировать словарь, со всеми их изысками, ашипкоми, перестановками, и его размер все равно будет меньше гигабайта, что несоизмеримо с комбинаторной сложностью настоящего случайного пароля.
Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

73. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от a_kusb (ok), 02-Июн-22, 17:41 
> Нет. Ибо при желании на таких вот любителей изысков всегда можно сгенерировать
> словарь, со всеми их изысками, ашипкоми, перестановками, и его размер все
> равно будет меньше гигабайта, что несоизмеримо с комбинаторной сложностью настоящего случайного
> пароля.

Уже думал пока писал. Поднять словарь жаргона, частые слова в гугле которые не в словаре, комбинации, ошибки, можно и нейронку припахать.

Ответить | Правка | Наверх | Cообщить модератору

75. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Аноним (41), 02-Июн-22, 21:03 
Причём тут Гугл? Самый полный известный словарь русского языка (Даль) - 200 тыс слов. Сомневаюсь, что жаргон и свежие заимствования добавят ещё более 100 тыс. Те 300 тыс - с запасом, Пусть среднее слово - 8 букв, итого 24 мб. Без сжатия, без дробления на префиксы/суффиксы, без оптимизации поиска.

Теперь немножко оптимизируем словарь, например, по возрастанию длины слова, и начинаем перебор, варьируя ашипки по слогам. Даже если на каждое слово будет 100 вариантов (а надо ещё умудриться сделать столько вариантов одного слова, а потом ещё и запомнить один из них) - будет всего 30 млн вариантов на 2 гига.

Для сравнения, случайный 8-значный пароль из 32-символьного алфавита (КИРИЛЛИЦ) даёт 32^8 ~ 10^12 вариантов, 64-символьного ~ 2.8*10^14.

Ответить | Правка | Наверх | Cообщить модератору

44. "В NPM включена обязательная двухфакторная аутентификация для..."  +1 +/
Сообщение от Аноним (44), 01-Июн-22, 16:02 
Даю подсказку, гораздо более безопаснее пароли на кириллице.
Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

46. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Аноним (46), 01-Июн-22, 17:01 
Только смесь иероглифов, смайлкиков и узелкового письма :)
Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

69. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Аноним (69), 02-Июн-22, 17:35 
> это надёжно?

Теперь нет.

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

72. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от a_kusb (ok), 02-Июн-22, 17:38 
>> это надёжно?
> Теперь нет.

Ха. И кто меня знает?

Ответить | Правка | Наверх | Cообщить модератору

37. "В NPM включена обязательная двухфакторная аутентификация для..."  +3 +/
Сообщение от InuYasha (??), 01-Июн-22, 13:11 
Выберите вашу реакцию:

> Смешно
> Грустно
> Противно <-

Ответить | Правка | Наверх | Cообщить модератору

50. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Аноним (-), 01-Июн-22, 17:35 
Светлое будущее по майкрософтовски. Не зря же майкрософт скупил это уг. Скоро такое подвалит и прочим хрустикам, зря они чтоли директора в фаундейшн толкали?!
Ответить | Правка | Наверх | Cообщить модератору

55. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Без аргументов (?), 01-Июн-22, 23:26 
Офигеть, я тока щаз узнал, что этим владеет некрософт. Это сразу +=9000 к хейту всей этой содомии, состоящей из миллионов пакетов вида isArray, isNumber (это для вебпака, т.ч. есть у всех обезьян)
Ответить | Правка | Наверх | Cообщить модератору

65. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Аноним (65), 02-Июн-22, 11:31 
А когда ты узнаешь что они купили гитхаб тебя как хомячка разорвет в клочья.  
Ответить | Правка | Наверх | Cообщить модератору

68. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Без аргументов (?), 02-Июн-22, 15:32 
Это то я знаю. И про автора гитЛаба тоже.
Ответить | Правка | Наверх | Cообщить модератору

56. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Без аргументов (?), 01-Июн-22, 23:29 
Теперь стало понятно, почему оно взлетает и вклинивается везде, как всякие меньшинства и прочие C#. Они видимо посчитали, что кол-во углекислого газа разработчика при умственной нагрузке выделяется меньше при использовании этого шлака даже с учетом затрат на электричество и другие следствия плохой производительности.
Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору

57. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Без аргументов (?), 01-Июн-22, 23:42 
И почему вообще 500, если для самого минимального фреймворка, webpack, scss, ts нужно несколько десятков тысяч пакетов?
Ответить | Правка | Наверх | Cообщить модератору

58. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Kuromi (ok), 02-Июн-22, 01:00 
Потому что это пстепенное развертывание. Начали со 100 топовых пакетов, теперь уже 500 топовых. Далее будет 1000 и так далее.
Посмотрели как оно - никто не ушел, никто не поперхнулся, ибо развернуть 2FA даже на ВСЕ пакеты разом - технически не проблема, тут главное неохоту разрабов преодолеть.
Ответить | Правка | Наверх | Cообщить модератору

66. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Аноним (65), 02-Июн-22, 11:32 
Да потому что майкам на самом деле пофиг это же показуха для хом.  
Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

60. "В NPM включена обязательная двухфакторная аутентификация для..."  +1 +/
Сообщение от КО (?), 02-Июн-22, 08:25 
Лишь бы номер телефона не требовался.
Ответить | Правка | Наверх | Cообщить модератору

62. "В NPM включена обязательная двухфакторная аутентификация для..."  +1 +/
Сообщение от a_kusb (ok), 02-Июн-22, 09:04 
Авторизация через Госуслуги.
Ответить | Правка | Наверх | Cообщить модератору

64. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Аноним (-), 02-Июн-22, 09:18 
Номер телефона можно потерять по (не)желанию пользователя. А вот уникальный секретный ключ, по которому генерируются временные пароли, хранится вне зависимости от желания пользователя.
Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

67. "В NPM включена обязательная двухфакторная аутентификация для..."  +/
Сообщение от Аноним (67), 02-Июн-22, 12:15 
> В ходе проверки надёжности используемых паролей удалось получить доступ к 12% аккаунтов в NPM (13% пакетов) из-за использования предсказуемых и тривиальных паролей, таких как "123456".

А зачем такие пароли принимаются? Давно уже все нормальные сервисы не дают задать пароль слабже некого порога. Или для нпм и это - откровение?

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру