| 1.1, Аноним (1), 15:00, 03/02/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
Теперь авторам не получится поднять деньжат и списать на взлом? Я думаю, они не в восторге.
| | |
| |
| 2.9, пох. (?), 15:41, 03/02/2022 [^] [^^] [^^^] [ответить]
| +/– | |
Почему не получится? Или ты имеешь в виду - не успеют, потому что это сделает троянец на их телефоне без их ведома, чего ради весь этот бред и затевался?
Ну так просто будут два майнера вместо одного.
| | |
| |
| 3.21, Аноним (21), 20:31, 03/02/2022 [^] [^^] [^^^] [ответить]
| +2 +/– | |
>троянец на их телефоне
FreeOTP? Ты что шиз?
>пох
А в прочем да
| | |
|
|
| |
| 2.4, Аноним (4), 15:11, 03/02/2022 [^] [^^] [^^^] [ответить]
| –7 +/– |
 лол который протестовал и радел за самоубийство другого разраба? там какой-то фронтендщик был
| | |
| |
| 3.6, Аноним (6), 15:22, 03/02/2022 [^] [^^] [^^^] [ответить]
| +4 +/– | |
>и радел за самоубийство другого разраба
Это ты так неуважительно об Аароне пишешь?
| | |
|
| 2.29, Михрютка (ok), 01:46, 04/02/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
 с Мараком штоль? а ничего. репостит в твитыре кислотные клипчики и пишет какую-то ерунду про "seize the means of production".
его colors все еще в топ-100 списке. вот только с доступом на npm и гитхаб у него еше некоторое будут проблемы и помимо 2А, кмк.
| | |
|
| 1.3, Аноним (3), 15:07, 03/02/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
Ну и зачем это нужно?
>В ходе проверки надёжности используемых паролей удалось получить доступ к 12% аккаунтов в NPM (13% пакетов) из-за использования предсказуемых и тривиальных паролей, таких как "123456"
Если владельцы аккаунтов не считают нужным что-то защищать - зачем их заставлять?
Просто связались бы с ними и предупредили бы что выбранный пароль слишком простой. Что дальше делать - не гитхабу решать!
| | |
| |
| 2.5, Аноним (5), 15:15, 03/02/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Если пакет начал использоваться как зависимость в других пакетах, безопасность перестаёт
быть только проблемой автора.
Но можно было не принуждать, а пойти другим путём - для репозиториев без 2FA и с ненадёжными паролями выставлять специальную метку и распространять её вверх по цепочке зависимостей, что бы все кто использует данные пакеты видели имеющийся риск и понимали, что в любой момент им может прилететь бэкдор.
| | |
| |
| 3.7, Аноним (6), 15:27, 03/02/2022 [^] [^^] [^^^] [ответить]
| +5 +/– | |
>Но можно было не принуждать
Ты это говоришь про Майкрософт? Который в своей истории много раз кого-нибудь да принуждал.
>а пойти другим путём
А когда-нибудь в своей истории Майкрософт шёл другим путём?
| | |
| 3.8, Аноньимъ (ok), 15:39, 03/02/2022 [^] [^^] [^^^] [ответить]
| –4 +/– |
 >Если пакет начал использоваться как зависимость в других пакетах, безопасность перестаёт быть только проблемой автора.
Она становится проблемой использователя разработчика других пакетов.
Причём тут МММ непонятно вообще.
| | |
| |
| 4.10, пох. (?), 15:43, 03/02/2022 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Она становится проблемой использователя разработчика других пакетов.
которому конечно мешает зафиксировать именно проверенную версию что? А, руки. Растущие понятно оттуда же, где у него и голова.
Поэтому на самом деле он ее и не проверял. И каким местом тут поможет шестифакторная аутентификация, если щупалец у него восемь?
| | |
| |
| 5.32, псевдонимус (?), 02:52, 04/02/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Это не руки. И даже не хвост. Это голова, работающая по принципу "и так сойдёт, не себе же!"
| | |
|
|
| 3.15, Kuromi (ok), 17:01, 03/02/2022 [^] [^^] [^^^] [ответить]
| +/– |
 Слишком сложно + надо уметь это обрабатывать на стороне клиента. Обязать топовые репозитории поставить наконец OTP намного проще.
| | |
| 3.18, Онаним (?), 19:13, 03/02/2022 [^] [^^] [^^^] [ответить]
| +/– |
Именно. Ебзопасность становится проблемой ещё и этот пакет с пакетами использующих.
Остальным всё равно фиолетово.
| | |
|
| 2.16, ананим.orig (?), 17:19, 03/02/2022 [^] [^^] [^^^] [ответить]
| +3 +/– | |
>Ну и зачем это нужно?
Им нужен контроль.
Безопасность только повод.
>В ближайшее время помимо TOTP планируют добавить возможность использования аппаратных ключей и биометрических сканеров
...
| | |
|
| 1.12, Аноним (12), 16:12, 03/02/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
Жду следующей новости: из-за введения обязательной двухфакторной аутентификации были взломаны 100500 самых популярных пакетов.
| | |
| 1.13, Аноним (13), 16:46, 03/02/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Для безопасности надо читать код библиотек, которыми пользуешься, и пинить версии. Прочитал новую версию - запинил. Просто представьте насколько бы вырос уровень безопасности при отключении автообновлений. И не надо этих легенд про фиксы уязвимостей - одни уязвимости устраняются, другие добавляются. В крайнем случае вручную прочитать патч с фиксом уязвимости и наложить на запиненную прочитанную версию зависимости, если сам с фиксом согласен
| | |
| |
| 2.14, Урри (ok), 17:01, 03/02/2022 [^] [^^] [^^^] [ответить]
| +4 +/– |
 > Для безопасности надо читать код библиотек, которыми пользуешься
Разработчик хелловорлда, как я вижу?
Интересно, сколько человеколет у меня уйдет, если я буду читать код всех библиотек, которые решил поиспользовать... Я думаю... где-то 120.
| | |
| |
| 3.17, Аноним (-), 18:52, 03/02/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
сколько npm пакетов нужно вебмакакам для гарантированного вывода хелловорд?
| | |
| |
| 4.19, Аноним (1), 19:21, 03/02/2022 [^] [^^] [^^^] [ответить]
| +/– |
Дело не в макаках, чтобы грамотно и по всем правилам написать привет мир тебе потребуются тысячи зависимостей и это ты только 1 строку вывел. Конечно, ты можешь забить на тесты и всё остальное, но такому коду грош цена,
| | |
| |
| 5.20, Ананоним (?), 20:14, 03/02/2022 [^] [^^] [^^^] [ответить]
| +/– |
Это твоему коду с тыщами мутных зависимостей грош цена. А код в 10 строк, выводящий нужную строку, самый лучший.
| | |
| |
| 6.25, Урри (ok), 01:06, 04/02/2022 [^] [^^] [^^^] [ответить]
| +/– |
> Это твоему коду с тыщами мутных зависимостей грош цена. А код в
> 10 строк, выводящий нужную строку, самый лучший.
Исходники браузера, который будет выводить эту строку, уже проверил?
| | |
|
|
|
| 3.39, liliputiputiputi (?), 06:55, 04/02/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Используй только то что проверено на безопасность другими, не обновляйся до нестабильных версий. Не используй новые не понятные кресты.
| | |
|
| 2.41, Аноним (41), 07:19, 04/02/2022 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Установил реакт получил 20000 тысяч зависимостей. Читай все
В веб ужасная ситуация с зависимостями.
| | |
| |
| 3.53, www2 (??), 07:31, 08/02/2022 [^] [^^] [^^^] [ответить]
| +/– | |
>Установил реакт получил 20000 тысяч зависимостей. Читай все
Если интересна безопасность, то лучше вообще не устанавливать то, что не можешь прочитать. Правда, так можно с одними только механическими часами остаться. У них нет багов, только особенности.
| | |
|
| 2.52, www2 (??), 07:28, 08/02/2022 [^] [^^] [^^^] [ответить]
| +/– | |
>Просто представьте насколько бы вырос уровень безопасности при отключении автообновлений.
djb'шно :)
| | |
|
| 1.22, Wilem82 (ok), 22:24, 03/02/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
 Отлично, теперь потеря/поломка телефона приведёт к безвозвратной утере аккаунта.
| | |
| |
| 2.30, Аноним (30), 02:27, 04/02/2022 [^] [^^] [^^^] [ответить]
| +/– |
Дитятко, ты что, никогда не менял симку к банковскому акку?! А ведь там посерьёзней привязка.
| | |
| |
| 3.38, liliputiputiputi (?), 06:49, 04/02/2022 [^] [^^] [^^^] [ответить]
| +3 +/– |
А через пол года твой банковский номер передадут другому пользователю. Или сделают копию твоего счёта.
| | |
|
| 2.33, Ананимст (?), 03:27, 04/02/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
Кипас и плагин для тотп, и ьекапишь куда хочешь. У меня так куча корморативной мути завязано на тотп, проблему решил таким образом. +Не надо каждый раз сраный телефон доставать.
| | |
|
| 1.23, InuYasha (??), 23:30, 03/02/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +7 +/– |
Принудительная биометрия пришла откуда её почти не ждали.
"Вы такие дебилы, что не можете запомнить свой пароль, держите привязку к почте, телефону, имени, фамилии, а ещё сдайте быдлометрию и вот ещё текст клятвы в вечной верности"
| | |
| |
| 2.24, Kuromi (ok), 00:19, 04/02/2022 [^] [^^] [^^^] [ответить]
| –4 +/– | |
Биометрия чисто опциональна. Можно использовать 1) программный TOTP 2) аппаратный WebAuthn токен без какой либо биометрии\с пинпадом\встроенной биометрией (той что никуда дальше токена не идет
Использовать встроенный в виндовс TPM и разблокировкой через биометрию - это чисто по желанию, т.к. в стандарте WebAuthn есть требование не привязываться к конкретному типу аутентификаторов. Ну а если кто-то таки привязывается, то ССЗБ.
| | |
| |
| 3.26, Аноним (26), 01:21, 04/02/2022 [^] [^^] [^^^] [ответить]
| +4 +/– |
Тут вся отрасль развивается через опции. Сначала они просто есть, потом по умолчанию и, наконец, это навсегда и для всех.
| | |
|
| 2.35, swabrostionnayaformapravleniya (?), 06:37, 04/02/2022 [^] [^^] [^^^] [ответить]
| –3 +/– |
Как будто бы opennet свободный.
Вот:
ОШИБКА ПУБЛИКАЦИИ (сработала защита от попыток осуществления нештатных операций с форумом) - СВЯЖИТЕСЬ С АДМИНИСТРАТОРОМ
Наиболее вероятной причиной является использование прокси сервера с настройками направленными на излишнюю анонимность.
Решение для пользователей прокси-сервера squid: убрать из конфига squid "anonymize_headers" настройки. (Убрать "anonymize_headers deny Referer" или добавить "anonymize_headers allow Referer").
Решение для пользователей браузера Opera: в настройках "Privacy" проверить состояние галки "Enable Referer login". Если не работет Opera 6.11 для Linux, обновите ее до 6.12, в 6.11 ошибка.
Решение для Lynx: убедитесь в присутствии настройки "REFERER_WITH_QUERY:SEND" в /etc/lynx.cfg.
Пользователи локальных программ фаерволов под Windows (например, NIS - Norton Internet Security), могут иметь проблемы с настройками по умолчанию.
| | |
| |
| 3.54, www2 (??), 07:34, 08/02/2022 [^] [^^] [^^^] [ответить]
| +/– |
Настолько анонимен, что не хочешь говорить даже с какой страницы пришёл?
| | |
|
|
| 1.28, Аноним (28), 01:35, 04/02/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
Выпускаем пакеты только в отделении при предъявлении паспорта и шкурки банана.
Ваш npm
| | |
| 1.34, Аноним (34), 05:44, 04/02/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
А "владелец" пакета разве не сможет залогиниться и отключить этот OTP, будет не отключаемый?
| | |
| |
| 2.46, Аноним (46), 14:37, 04/02/2022 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> не отключаемый?
Скоро будешь каждый раз мазок сдавать, как еще один "фактор".
| | |
|
| 1.47, Аноним (47), 17:19, 04/02/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> GitHub объявил о включении в репозитории
Фигня это всё.
1. Необходимо все комиты и особенно релизы подписывать OpenPGP ключом.
2. Найти спонсоров для раздачи открытых аппаратных хранилищ ключей OpanPGP для разработчиков свободных програм.
3. Поощрять проведение PGP часа на всех ИТ мероприятиях для обмена публичными ключами.
| | |
| 1.50, Аноним (30), 13:58, 05/02/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
как в анекдоте: "...Я им уже и унитаз приносил - всё равно не продают!".
| | |
|
