forum.opennet.ru - "NPM для усиления защиты уходит от использования TOTP 2FA и классических токенов" (132)

"NPM для усиления защиты уходит от использования TOTP 2FA и классических токенов"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"NPM для усиления защиты уходит от использования TOTP 2FA и классических токенов"	+/–
Сообщение от opennews (ok), 23-Сен-25, 20:30
После новой волны фишинг-атак на сопровождающих, инцидентов с компрометацией популярных пакетов и появления червей, поражающих зависимости, в репозитории NPM решено реализовать дополнительные меры защиты:... Подробнее: https://www.opennet.me/opennews/art.shtml?num=63930
Ответить \| Правка \| Cообщить модератору

Оглавление

РКН Я только понял как удобно использовать TOTP Это заговор Всё то, что м, FSA (ok), 20:30 , 23-Сен-25, (1) +6

Джаббер-то где и чем скатился, пардон , Аноним (3), 20:33 , 23-Сен-25, (3) +6

Ровно в тот момент, когда оказалось что Whatsapp не будет включать федерацию , Аноним (28), 22:41 , 23-Сен-25, (28) –4

Ну это решение проприетарного Штоапа При чём здесь Jabber вцелом Виноват тольк, Аноним (48), 23:23 , 23-Сен-25, (48) +6

А больше публичных сетей такого размера и не существует Вацап 8212 единствен, Аноним (28), 19:18 , 24-Сен-25, (124)

https xmpp org uses instant-messaging projects-using-xmpp-based-instant-messa, Аноним (130), 21:47 , 24-Сен-25, (130) +1

По первой же ссылке, тройка лидеров с проприетарными версиями и расширениямт, бе, Аноним (28), 02:21 , 25-Сен-25, (137)

Как протокол ответственнен за решение коммерческого сервиса, который его заюзал,, Аноним (3), 09:51 , 24-Сен-25, (79) +2

А что, есть какие-то другие истоии про головокружительный успех джаббера Про то, Аноним (28), 19:19 , 24-Сен-25, (125)

За 5 лет использования аппаратного FIDO токена убедился, что это примерно в 10 т, Аноним (11), 20:52 , 23-Сен-25, (11) +6

Небось для тебя и биометрией платить удобно, да , Аноним (85), 11:19 , 24-Сен-25, (85) +6

У меня нет оплаты билметрией Но оцениваю это как вторжение туда куда не нужно К, Аноним (87), 11:42 , 24-Сен-25, (87)

Я делал для базы паролей KepassXC со вторым фактором с помощью обычной флешки, н, Аноним (90), 12:22 , 24-Сен-25, (90)

А можете поделтиться вашим примером, каким образом вы это реализовывали и если э, Аноним (94), 13:44 , 24-Сен-25, (94)

Скрыто модератором, Димая (?), 14:37 , 24-Сен-25, (102)

Я вот оглядываюсь по сторонам, и понимаю что в случае если я этот аппаратный ток, Анонус (?), 17:06 , 24-Сен-25, (108) +2

Очень правильно понимаете Как правило, все кто предосталяют возможность юзать а, OpenEcho (?), 23:32 , 24-Сен-25, (132) +1

Ну аппаратный токен - это всё таки отдельная железка, что уже избавляет от прогр, Соль земли2 (?), 17:39 , 24-Сен-25, (116)

Начали за здравие Ничто не вечно , Соль земли2 (?), 17:35 , 24-Сен-25, (115)

Скрыто модератором, Аноним (3), 20:33 , 23-Сен-25, (2) +5

Скрыто модератором, morphe (?), 20:55 , 23-Сен-25, (13)

Скрыто модератором, Аноним (3), 20:57 , 23-Сен-25, (14) +1

Скрыто модератором, morphe (?), 22:07 , 23-Сен-25, (22) –1

Скрыто модератором, penetrator (?), 22:30 , 23-Сен-25, (27) +1

Скрыто модератором, Аноним (28), 22:43 , 23-Сен-25, (29)

Скрыто модератором, Аноним (36), 22:52 , 23-Сен-25, (36) +4

Скрыто модератором, Аноним (-), 17:04 , 24-Сен-25, (107)

Скрыто модератором, penetrator (?), 22:54 , 23-Сен-25, (38) +1

Скрыто модератором, morphe (?), 23:00 , 23-Сен-25, (40) +1

Скрыто модератором, Аноним (47), 23:19 , 23-Сен-25, (47)

Скрыто модератором, morphe (?), 23:32 , 23-Сен-25, (50)

Скрыто модератором, Аноним (53), 23:42 , 23-Сен-25, (53) +1

Скрыто модератором, morphe (?), 23:49 , 23-Сен-25, (54)
Скрыто модератором, Аноним (56), 23:55 , 23-Сен-25, (56) +1
Скрыто модератором, morphe (?), 00:03 , 24-Сен-25, (58)
Скрыто модератором, Аноним (59), 00:12 , 24-Сен-25, (59)
Скрыто модератором, morphe (?), 00:43 , 24-Сен-25, (60)
Скрыто модератором, Аноним (82), 10:32 , 24-Сен-25, (82)

Скрыто модератором, penetrator (?), 03:14 , 24-Сен-25, (63)

Скрыто модератором, morphe (?), 03:59 , 24-Сен-25, (69)

Скрыто модератором, Аноним (92), 13:22 , 24-Сен-25, (92) +1

Скрыто модератором, User (??), 14:11 , 24-Сен-25, (96)

Скрыто модератором, Аноним (28), 01:11 , 24-Сен-25, (61) –2
Скрыто модератором, torvn77 (ok), 14:08 , 24-Сен-25, (95)

Скрыто модератором, Аноним (-), 17:12 , 24-Сен-25, (109)

Скрыто модератором, User (??), 14:24 , 24-Сен-25, (97)

Скрыто модератором, Аноним (-), 17:14 , 24-Сен-25, (110)

Скрыто модератором, User (??), 17:49 , 24-Сен-25, (119)

Скрыто модератором, Аноним (-), 19:45 , 24-Сен-25, (126)

Скрыто модератором, User (??), 07:22 , 25-Сен-25, (142)

Скрыто модератором, Аноним (98), 14:26 , 24-Сен-25, (98)
Скрыто модератором, Аноним (-), 15:26 , 24-Сен-25, (106)

Не проще ли просто не пользоваться ни nodejs, ни npm Да и вообще джаваскриптом , Аноним (4), 20:37 , 23-Сен-25, (4) +6

не пользуйся, кто тебе не дает , пох. (?), 20:37 , 23-Сен-25, (6)

Он и не пользуется И у него никаких проблем в жизни нет типа описанных в соседн, Аноним (15), 21:10 , 23-Сен-25, (15) +3

угу, в лесу ж живет И из сайтов только опеннет Через lynx и то плюсик без шкр, пох. (?), 10:00 , 24-Сен-25, (81) +2

А ты что с NodJS и софтом на нем вообще делаешь Хотя я знаю что - про таких гов, Аноним (-), 01:18 , 25-Сен-25, (136) –1

Я бы тоже не пользовался, но все приложения на электроне, сейчас , Аноним (73), 07:37 , 24-Сен-25, (73) –2

чего это вдруг - фсе Вот у меня уже второе реально нужное наклевывается на голой, пох. (?), 09:54 , 24-Сен-25, (80)

Вот это очень интересно услышать названия этих годных от самого пох-а, OpenEcho (?), 23:42 , 24-Сен-25, (133)

https docs anthropic com en docs claude-code quickstart- например, пох. (?), 11:11 , 25-Сен-25, (145)

1Я б еще Joplin добавил, МешЦентрал, Кодиум , OpenEcho (?), 18:41 , 25-Сен-25, (151)

такое впечатление, что они спросили совета как жыть - у чатгопоты последний пу, пох. (?), 20:37 , 23-Сен-25, (5) +6

Вероятно они так и сделали Напоминаю Мы про npm Это яваскриптеры, Карл Так ч, Аноним (-), 03:47 , 24-Сен-25, (67) +1

FIDO2 хорош тем, что ключ не будет выдан, если домен отличается TOTP от такого , Аноним (-), 20:40 , 23-Сен-25, (7) +2

и тут ваш fido2 девайс внезапно сдох и да, я понимаю что у Вас лично их 5, Аноним (36), 21:59 , 23-Сен-25, (20) +4

Большинство сайтов требуют регистрировать минимум 2 ключа, и что android, что ma, morphe (?), 22:14 , 23-Сен-25, (24)

Да что тут ключи, вы ведь и сами до 150 лет дожить небось надеялись, а там и бес, Аноним (56), 23:59 , 23-Сен-25, (57)
А о том что делать если они все же сдохли или про лись мы подумаем - потом Хо, Аноним (-), 03:45 , 24-Сен-25, (66)

SSH GPG используешь Железные токены имеет смысл брать как минимум ради него, пр, morphe (?), 04:02 , 24-Сен-25, (70)

дык ничего с точки зрения безопасТности то и не изменилось, достаточно подменить, Аноним (88), 11:51 , 24-Сен-25, (88)

1 Если мне кто-то может подменить known_hosts, он, очевидно может подменить мне, Аноним (-), 17:26 , 24-Сен-25, (112)

для перехвата ввода с клавиатуры необходимо исполнять код в системе, а это палев, Аноним (88), 18:27 , 24-Сен-25, (121)

А для подмены айпишника - код запускать не нужно Да и к чему такие сложности, е, Аноним (127), 20:43 , 24-Сен-25, (127)

Нет, если злоумышленник контролит сетевой шлюз, крайняк какой-нить арп спуфинг Т, Аноним (88), 23:57 , 24-Сен-25, (135)

Вы не находите что сочетание сценариев когда некто 1 Захватывает сетевой шлюз2 , Аноним (-), 03:58 , 25-Сен-25, (140)

Любой провайдер или васян из соседней квартире и уязвимость в очередном архивато, Аноним (147), 13:04 , 25-Сен-25, (147)

Ото ж И конечно они не требуют от меня никаких токенов Требовали бы - врядли б, Аноним (-), 17:23 , 24-Сен-25, (111)

Кто сказал что нельзя Внутри обычный opengpgcard интерфейс, можешь ключ генерир, morphe (?), 18:56 , 24-Сен-25, (122)

Тем не менее, это рушит юзабилити, сделано довольно странно, несколько атак и пр, Аноним (-), 21:01 , 24-Сен-25, (129) +1

Зачем - потом Вот приходишь в офис с выданным Хозяевами ID, предъявляешь его, п, Аноним (85), 11:27 , 24-Сен-25, (86)
Ох, ну ВЫ конкретно - да, потом Или нет - вообще думать не будете А для всех о, User (??), 14:28 , 24-Сен-25, (100)

А вот в linux е с этим, кстати, проблемочки system-wide решения, работающего с , User (??), 14:27 , 24-Сен-25, (99)

Ну и обычно с fido2 у тебя либо скачивается код восстановления, либо только чере, morphe (?), 22:18 , 23-Сен-25, (26)

Да да, 2 недели назад дядю как раз отправляли фейковым письмом не восстановление, Аноним (36), 22:46 , 23-Сен-25, (32) +1

Потому что человек привыкает к подобным действиям и выполняет их машинально, не , morphe (?), 22:50 , 23-Сен-25, (34)
Как ты думаешь - сработало бы оно при использовании 2FA Fido webauthn passkeys , User (??), 15:03 , 24-Сен-25, (103)

Да ну И сплит ДНС не поможет , OpenEcho (?), 23:47 , 24-Сен-25, (134)

Прикинь Вот это чудо-технологии Волшебство прямо какое-то , Аноним (28), 02:24 , 25-Сен-25, (138)

И в правду волшебсво И как оно отличает что www www , OpenEcho (?), 10:24 , 25-Сен-25, (144)

А TOTP чем-то им не угодил , Аноним (8), 20:42 , 23-Сен-25, (8) +5

Тем что все его ставят аддоном в браузер и хранят рядом с паролем , Аноним (11), 20:50 , 23-Сен-25, (10)
Злоумышленники создают фейк сайты где запрешивают оба фактора От такого totp не, morphe (?), 20:52 , 23-Сен-25, (12) +1

А что из предложенного спасёт , Аноним (36), 21:31 , 23-Сен-25, (16)

Правильно настроенный парольный менеджер Он пароль не отдаст фейковому сайту и , Секрет Полишинеля (?), 21:43 , 23-Сен-25, (18) +1

Но это на стороне клиента делается, а не на стороне сервера если клиент очень , Аноним (36), 21:55 , 23-Сен-25, (19) +1

ну и тут все это автоматические автоматизации по выкату версий через гит пуш, би, Аноним (36), 22:05 , 23-Сен-25, (21)

Для CI предлагается OIDC последний пункт , без постоянных токенов , morphe (?), 22:16 , 23-Сен-25, (25)

И как оно поможет не получить секрет в момент штатной сборки и, напомню, тут же, Аноним (36), 22:43 , 23-Сен-25, (30)

Он за пределы CI не выходитАтаки на CI конечно существуют, спасибо кривизне гитх, morphe (?), 22:47 , 23-Сен-25, (33)

Так буча и пошла именно с такой атаки изнутри, при СИ скачивался заражённый мод, Аноним (36), 22:57 , 23-Сен-25, (39)

Раньше был постоянный токен которым пользователь сам руками распоряжался и мог п, morphe (?), 23:05 , 23-Сен-25, (43)

И в результате гитхаб получает - тотал контроль над девом Ну круто, да Майкрос, Аноним (-), 04:02 , 25-Сен-25, (141)

Сайты изменяются, и парольные менеджеры перестают определять формы входа порой , morphe (?), 22:53 , 23-Сен-25, (37) +1

Мой менеджер паролей битварден даже если не смог угадать форму, показывает тол, Ангним (?), 02:10 , 24-Сен-25, (62)

Fido2 Нормальная криптография вместо паролей, и проверка кто на самом деле ключ, morphe (?), 23:02 , 23-Сен-25, (41) +1
Эээ да примерно все Нет, если вы сумеете еще и комплиментарный закрытому клю, User (??), 15:05 , 24-Сен-25, (104)

Тем, что нет TEE-аттестации и биометрии , Аноним (47), 23:10 , 23-Сен-25, (45)

Пора бы уже галочки подтверждённых адресантов и адресатов делать ООО Mozilla и, Bob (??), 22:11 , 23-Сен-25, (23) +1

Опять дети WoT изобретают Ты бы ещё key signing party предложил провести , Аноним (28), 22:45 , 23-Сен-25, (31)
Не, время эту лапшу на уши вешать давно прошло Сейчас время ультраправых поли, Аноним (51), 23:36 , 23-Сен-25, (51) –1

Ага, в зимбабве или как там его - уже попробовали И тут вдруг хипстеры как поле, Аноним (65), 03:41 , 24-Сен-25, (65) –2

tor-project уже давно не тот - донатов с печенькам этим хипстерам не всегда хват, Жироватт (ok), 08:25 , 24-Сен-25, (76)

Да при чем тут тор прожект В зимбабве или как его там, непале - просто вырубили, Аноним (-), 17:39 , 24-Сен-25, (117)

Это тот самый Непал, где до этого активно резвились штатовские НКО, готовя его к, Жироватт (ok), 08:35 , 25-Сен-25, (143) –1

Когда Micro oft навязывал 2FA на GitHubе, я предупреждал - это всё ради навязы, Аноним (47), 23:05 , 23-Сен-25, (42) +5
Предлагаю более эффективный вариант - запретить прием пакетов К чему все эти го, Аноним (65), 03:39 , 24-Сен-25, (64)
И правильно, давно пора Все эти токены, все это для соевых хипстеров Нормальна, Аноним (71), 04:29 , 24-Сен-25, (71) –2

А что не сразу с первого отдела, оформления допуска и пары автоматчиков на прохо, Аноним (82), 10:38 , 24-Сен-25, (84)
С китайской прошивкой который все когда и переотправит сам с этой же симки по см, Аноним (87), 11:53 , 24-Сен-25, (89)

Но это работает только с udp - ибо только в 1 сторону А ответные то пакеты на л, Аноним (-), 17:45 , 24-Сен-25, (118)

Ага, ага Второй фактор, для которого любой Васян из салона сотовой связи может , User (??), 15:08 , 24-Сен-25, (105)

Скрыто модератором, Аноним (-), 08:29 , 24-Сен-25, (77)
Я правильно понимаю, что у местных экспертов поднялся вой из-за перехода на стан, Аноним (93), 13:27 , 24-Сен-25, (93) –1

Нет, неправильно , Аноним (101), 14:30 , 24-Сен-25, (101)

А что не так , Аноним (152), 19:57 , 25-Сен-25, (152)

т е протокол FIDO U2F подразумевает использование исключительно аппаратных кл, AnonNym (?), 17:29 , 24-Сен-25, (113)

Не просто аппаратных, а думают на будущее конкретных вендоров , Аноним (92), 19:06 , 24-Сен-25, (123) +1

А зачем это все надо По ключам как в ssh нельязя сделать аутентификацию Чего о, Аноним (128), 20:51 , 24-Сен-25, (128)

Чтобы ты купил железку конкретного поддерживаемого вендора с конкретной начинкой, Аноним (149), 15:59 , 25-Сен-25, (149)

thread, Ями (?), 18:08 , 25-Сен-25, (150)

Вряд ли это что-то поменяет Проблема npm в культуре тамошних разработчиков, точ, Кошкажена (?), 02:58 , 25-Сен-25, (139) +1

Сообщения [Сортировка по времени | RSS]

1. "NPM уходит от использования TOTP 2FA и классических токенов ..." +6 +/–

Сообщение от FSA (ok), 23-Сен-25, 20:30

[РКН]. Я только понял как удобно использовать TOTP... Это заговор. Всё то, что мне начинает нравится, скатывается... KDE, Gnome, Ubuntu, Jabber...

Ответить | Правка | Наверх | Cообщить модератору

3. "NPM уходит от использования TOTP 2FA и классических токенов ..." +6 +/–

Сообщение от Аноним (3), 23-Сен-25, 20:33

Джаббер-то где и чем скатился, пардон?

Ответить | Правка | Наверх | Cообщить модератору

28. "NPM уходит от использования TOTP 2FA и классических токенов ..." –4 +/–

Сообщение от Аноним (28), 23-Сен-25, 22:41

Ровно в тот момент, когда оказалось что Whatsapp не будет включать федерацию.

Ответить | Правка | Наверх | Cообщить модератору

48. "NPM уходит от использования TOTP 2FA и классических токенов ..." +6 +/–

Сообщение от Аноним (48), 23-Сен-25, 23:23

Ну это решение проприетарного Штоапа. При чём здесь Jabber вцелом? Виноват только тем, что Всосап тоже использовал XMPP ?

Ответить | Правка | Наверх | Cообщить модератору

124. "NPM уходит от использования TOTP 2FA и классических токенов ..." +/–

Сообщение от Аноним (28), 24-Сен-25, 19:18

А больше публичных сетей такого размера и не существует. Вацап — единственный пример, когда джаббер взлетел.

Ответить | Правка | Наверх | Cообщить модератору

130. "NPM уходит от использования TOTP 2FA и классических токенов ..." +1 +/–

Сообщение от Аноним (130), 24-Сен-25, 21:47

https://xmpp.org/uses/instant-messaging/#projects-using-xmpp...
https://xmpp.org/uses/gaming/#online-games-using-xmpp
https://xmpp.org/uses/social/#projects-using-xmpp-social
https://xmpp.org/uses/webrtc/#projects-using-webrtc-with-xmpp
https://xmpp.org/uses/internet-of-things/#realized-example-p...
Ещё, почему-то, не увидел там Одноклассники - в скором, единственную соцсеть доступную в РФ.

Ответить | Правка | Наверх | Cообщить модератору

137. "NPM уходит от использования TOTP 2FA и классических токенов ..." +/–

Сообщение от Аноним (28), 25-Сен-25, 02:21

По первой же ссылке, тройка лидеров с проприетарными версиями и расширениямт, без федерации. Всё ещё жду чудо-истории про федеративный джаббер с сотнями миллионов клиентов

Ответить | Правка | Наверх | Cообщить модератору

79. "NPM уходит от использования TOTP 2FA и классических токенов ..." +2 +/–

Сообщение от Аноним (3), 24-Сен-25, 09:51

Как протокол ответственнен за решение коммерческого сервиса, который его заюзал, предварительно изменив до неузнаваемости? Риторический вопрос, конечно же, омномниму с опеннета виднее.

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

125. "NPM уходит от использования TOTP 2FA и классических токенов ..." +/–

Сообщение от Аноним (28), 24-Сен-25, 19:19

А что, есть какие-то другие истоии про головокружительный успех джаббера? Про то, как ты и ещё 3,5 анонима полняли себе jabbed на впс за доллар не интересны.

Ответить | Правка | Наверх | Cообщить модератору

11. "NPM уходит от использования TOTP 2FA и классических токенов ..." +6 +/–

Сообщение от Аноним (11), 23-Сен-25, 20:52

За 5 лет использования аппаратного FIDO токена убедился, что это примерно в 10 тысяч раз удобнее чем ввод кодов с телефона.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

85. "NPM уходит от использования TOTP 2FA и классических токенов ..." +6 +/–

Сообщение от Аноним (85), 24-Сен-25, 11:19

Небось для тебя и биометрией платить удобно, да?

Ответить | Правка | Наверх | Cообщить модератору

87. "NPM уходит от использования TOTP 2FA и классических токенов ..." +/–

Сообщение от Аноним (87), 24-Сен-25, 11:42

У меня нет оплаты билметрией. Но оцениваю это как вторжение туда куда не нужно.
Как это связано с аппаратными токенами? Токен можно собрать, хоть на Ардуино с аппаратным USB. Можно купить секьюрный от юби или гугл титан. Можно чуть менее секьюрный, но опенсурсный и прошиваемый от SoloKeys/Nitrokey.

Ответить | Правка | Наверх | Cообщить модератору

90. "NPM уходит от использования TOTP 2FA и классических токенов ..." +/–

Сообщение от Аноним (90), 24-Сен-25, 12:22

Я делал для базы паролей KepassXC со вторым фактором с помощью обычной флешки, не заморачиваясь с YubiKey

Ответить | Правка | Наверх | Cообщить модератору

94. "NPM уходит от использования TOTP 2FA и классических токенов ..." +/–

Сообщение от Аноним (94), 24-Сен-25, 13:44

> Я делал для базы паролей KepassXC со вторым фактором с помощью обычной
> флешки, не заморачиваясь с YubiKey
А можете поделтиться вашим примером, каким образом вы это реализовывали и если это где-то есть в отрытом виде, то поделитесь пожалуйста ссылочкой?!

Ответить | Правка | Наверх | Cообщить модератору

102. Скрыто модератором +/–

Сообщение от Димая (?), 24-Сен-25, 14:37

Вся твоя биометрия давно и везде есть. Почему ты в интернете?

Ответить | Правка | К родителю #85 | Наверх | Cообщить модератору

108. "NPM уходит от использования TOTP 2FA и классических токенов ..." +2 +/–

Сообщение от Анонус (?), 24-Сен-25, 17:06

Я вот оглядываюсь по сторонам, и понимаю что в случае если я этот аппаратный токен потеряю - у меня будет невероятная головная боль.
2FAS Auth какой нить хотя бы бэкапится в google drive, а тут как?

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

132. "NPM уходит от использования TOTP 2FA и классических токенов ..." +1 +/–

Сообщение от OpenEcho (?), 24-Сен-25, 23:32

> Я вот оглядываюсь по сторонам, и понимаю что в случае если я этот аппаратный токен потеряю - у меня будет невероятная головная боль.
Очень правильно понимаете !
> 2FAS Auth какой нить хотя бы бэкапится в google drive, а тут как?
Как правило, все кто предосталяют возможность юзать аппаратные ключи, всегда перед его добавлением в акаунт, выдают бэкап код(ы) - как раз для таких случаев

Ответить | Правка | Наверх | Cообщить модератору

116. "NPM уходит от использования TOTP 2FA и классических токенов ..." +/–

Сообщение от Соль земли2 (?), 24-Сен-25, 17:39

Ну аппаратный токен - это всё таки отдельная железка, что уже избавляет от программных уязвимостей.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

115. "NPM уходит от использования TOTP 2FA и классических токенов ..." +/–

Сообщение от Соль земли2 (?), 24-Сен-25, 17:35

> Всё то, что мне начинает нравится, скатывается... KDE, Gnome, Ubuntu, Jabber...
Начали за здравие... Ничто не вечно.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. Скрыто модератором +5 +/–

Сообщение от Аноним (3), 23-Сен-25, 20:33

Вот это их хлопнуло по голове. Интересно, они понимают что большинство контрибьюторов на три буквы их отправит с этими пожеланиями?
Нормальный TOTP в качестве MFA - это достаточно защищённо. Все вот эти вот мертворожденные высеры с FIDO - это для шизиков уровня бородача Столлмана, которые никуда никогда не поедут, и дико ограничат людей как в железе, так и в софте.
NPM, походу, решил себя закопать.

Ответить | Правка | Наверх | Cообщить модератору

13. Скрыто модератором +/–

Сообщение от morphe (?), 23-Сен-25, 20:55

> Все вот эти вот мертворожденные высеры с FIDO - это для шизиков уровня бородача Столлмана, которые никуда никогда не поедут, и дико ограничат людей как в железе, так и в софте.
Fido2 уже везде есть. Нет возможности использовать железный ключ - в браузерах есть passkeys.
TOTP намного менее удобно чем нажать на nitrokey стоящий в usb порту

Ответить | Правка | Наверх | Cообщить модератору

14. Скрыто модератором +1 +/–

Сообщение от Аноним (3), 23-Сен-25, 20:57

Не всё в жизни - это браузер. По крайней мере, у меня.

Ответить | Правка | Наверх | Cообщить модератору

22. Скрыто модератором –1 +/–

Сообщение от morphe (?), 23-Сен-25, 22:07

> Не всё в жизни - это браузер. По крайней мере, у меня.
Браузеры используют системное хранилище ключей по идее
Не уверен как это работает в софте, у меня уже лет 8 железный ключ есть, знаю лишь что софтверные u2f давно везде существуют

Ответить | Правка | Наверх | Cообщить модератору

27. Скрыто модератором +1 +/–

Сообщение от penetrator (?), 23-Сен-25, 22:30

а чем это отличается от рандомного пасворда в текстовом файле? иллюзией изоляции и защищенности?

Ответить | Правка | Наверх | Cообщить модератору

29. Скрыто модератором +/–

Сообщение от Аноним (28), 23-Сен-25, 22:43

Файл можно незаметно украсть. Лаптоп — нет.

Ответить | Правка | Наверх | Cообщить модератору

36. Скрыто модератором +4 +/–

Сообщение от Аноним (36), 23-Сен-25, 22:52

Лаптоп можно случайно полить кофе.. забыть в такси. причём вместе с сумкой где и резервный токен лежал..
еще раз, если чел озаботился САМ безопасностью то резервный токен у него будет лежать отдельно, но он и на поддельное письмо скорее всего не клюнет, и TOTP не подарит... а если клюнет, то скорее всего и токен будет пролюблен при первой же возможности.

Ответить | Правка | Наверх | Cообщить модератору

107. Скрыто модератором +/–

Сообщение от Аноним (-), 24-Сен-25, 17:04

> Лаптоп можно случайно полить кофе.. забыть в такси. причём вместе с сумкой
> где и резервный токен лежал..
И вот тут ты поговоришь с AI на тему восстановления твоего аккаунта. В смысле, удачи! :)
> еще раз, если чел озаботился САМ безопасностью то резервный токен у него
> будет лежать отдельно, но он и на поддельное письмо скорее всего
> не клюнет, и TOTP не подарит... а если клюнет, то скорее
> всего и токен будет пролюблен при первой же возможности.
Дилемма: как решить человеческую проблему "разработчик - долбоящер" техническими методами?
Spoiler: эта проблема не имеет решения. Но очень хочется - долбоящеры ж дешевле!

Ответить | Правка | Наверх | Cообщить модератору

38. Скрыто модератором +1 +/–

Сообщение от penetrator (?), 23-Сен-25, 22:54

> Файл можно незаметно украсть. Лаптоп — нет.
если у тебя появился доступ к лаптопу и его файлам на уровне - что хочу то ворочу, то ты сможешь встроиться в пайплан и тебе никакой 2FA не поможет
ну как можно надеяться на магический токен, если систему уже скомпрометирована? ну это же сюр

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

40. Скрыто модератором +1 +/–

Сообщение от morphe (?), 23-Сен-25, 23:00

> ну как можно надеяться на магический токен, если систему уже скомпрометирована? ну это же сюр
FIDO2 требует физического подтверждения присутствия, удачи что-то серьёзное провести автоматически и незаметно.

Ответить | Правка | Наверх | Cообщить модератору

47. Скрыто модератором +/–

Сообщение от Аноним (47), 23-Сен-25, 23:19

Можно робота сделать, который силиконовым муляжом пальца с фейковыми паппилярными узорами будет жать на токен с биометрией. Но эту проблему решат. Там в FIDO2 встроен механизм аттестации. Грубо говоря аттестацию можно свести к следующей максиме - "с несвоим (не произведённым своим альянсом, и тут не FIDO2 имеется в виду, а альянс производителя железа и хозяина платформы) железом и софтом дела не имеем". Поэтому отрубить вход не через Windows Hello - как нефиг делать, в стандарте эта возможность изначально заложена. Будешь как пользователь яблоустройств - не можешь целостное устройство нужной модели предъявить - значит вон на мусорный полигон пошёл, M$ не обязан благотворительностью заниматься, тебе хостинг бесплатно предоставляя, вот устройство купи, биометрию предъяви, тем самым сервис оплати - вот тогда добро пожаловать.

Ответить | Правка | Наверх | Cообщить модератору

50. Скрыто модератором +/–

Сообщение от morphe (?), 23-Сен-25, 23:32

> Поэтому отрубить вход не
> через Windows Hello - как нефиг делать, в стандарте эта возможность
> изначально заложена.
Если речь про аттестацию - то да, в стандарте действительно заложено, однако оно предназначено не для этого, и для такого юзкейса не поддерживается.
Это действительно существует чтобы заменить кастомные драйвера что сейчас используются для карточек для входа на госпорталы на fido2, и это действительно может быть использовано для вендорлока, но это всё же имеет пользу.
Кроме того, аттестация подтверждает лишь модель устройства, а не конкретное устройство, из-за чего это нельзя использовать в качестве web integrity/private access token/прочего drm.
Сайты могут разрешить вход только через windows hello, но если вдруг windows hello получит возможность нарушать приватность (например будет передавать серийный номер устройства или чот ещё) - то аттестация для него будет отозвана глобально самими fido2, чего microsoft не захотят, ведь это нарушит работу намного большего числа сайтов.
https://fidoalliance.org/fido-technotes-the-truth-about-atte.../

Ответить | Правка | Наверх | Cообщить модератору

53. Скрыто модератором +1 +/–

Сообщение от Аноним (53), 23-Сен-25, 23:42

>однако оно предназначено не для этого
Нет абсолютно любая аттестация именно для этого и предназначена: приказать скоту какой надо девайс купить, а скоту придётся либо подчиниться, либо к бомжам на мусорный полигон проваливать.
>Сайты могут разрешить вход только через windows hello
Вот видите, вы же фактически полностью со мной согласны. Не вижу ни малейшего несогласия.
>но это всё же имеет пользу
Для Micro$oftа пользу, и для его союзников и коллаборационистов. Не для меня. Для меня и любых адекватных людей это - сплошной вред.

Ответить | Правка | Наверх | Cообщить модератору

54. Скрыто модератором +/–

Сообщение от morphe (?), 23-Сен-25, 23:49

> Нет абсолютно любая аттестация именно для этого и предназначена: приказать скоту какой надо девайс купить, а скоту придётся либо подчиниться, либо к бомжам на мусорный полигон проваливать.
Для этого не нужно ничего в FIDO2 добавлять, владельцы платформ при желании давно уже могли сделать лазейки для аттестации устройств от сайтов, это так нагло не делают потому что это противоречит антиминопольным законодательствам и GDPR. С FIDO2 смогут сделать, однако сдерживающая сила остаётся той же самой.
> Для Micro$oftа пользу, и для его союзников и коллаборационистов. Не для меня.
> Для меня и любых адекватных людей это - сплошной вред.
Т.е лучше ставить непонятный кривой софт от госконтор чтобы можно было входить на госпорталы по CCID? ID карточки распространены по всей Европе, есть много где в Азии, и ещё во многих странах.

Ответить | Правка | Наверх | Cообщить модератору

56. Скрыто модератором +1 +/–

Сообщение от Аноним (56), 23-Сен-25, 23:55

>Для этого не нужно ничего в FIDO2 добавлять, владельцы платформ при желании давно уже могли сделать лазейки для аттестации устройств от сайтов
Что значит "могли"? Делали. Стандартизировали не для этого. А чтобы всех на него завязать. Без стандартизаци это не взлетит. А вот со стандартизацией - это ещё поработать надо, чтобы взлетело, скот приучить, что носить ошейник надо, а создателей сайтов - что скот без ошейника надо гнать ради их (владельцев сайтов) нескольких сребренников. Пока у скота ошейников массово нет - сайты не внедрят. А чтобы у скота ошейники были - надо через свои рычаги их наличия требовать. Вот они  реализуют этот план.
>Т.е лучше ставить непонятный кривой софт от госконтор чтобы можно было входить на госпорталы по CCID? ID карточки распространены по всей Европе, есть много где в Азии, и ещё во многих странах.
Вы этот софт всё равно ставить будете. Когда вам скажут would you kindly - вы ведь не откажете.

Ответить | Правка | Наверх | Cообщить модератору

58. Скрыто модератором +/–

Сообщение от morphe (?), 24-Сен-25, 00:03

> Пока у скота ошейников массово нет - сайты не внедрят
"Ошейники" в лице windows hello, play integrity api, и чего-то там у apple существуют уже много лет
Применять их пытались через web integrity api, который намного лучше для таких задач подходит (зачем по твоему вообще web integrity api делали, когда webauthn по твоему полностью для тех же задач подходит?)
Это так не работает
> Вы этот софт всё равно ставить будете. Когда вам скажут would you kindly - вы ведь не откажете.
Раньше альтернативы не было, а сейчас есть, и её поддержку постепенно внедряют.

Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

59. Скрыто модератором +/–

Сообщение от Аноним (59), 24-Сен-25, 00:12

>зачем по твоему вообще web integrity api делали, когда webauthn по твоему полностью для тех же задач подходит
Я не говорил, что полностью подходит. WEI похоронили потому, что Apple - важный игрок4, и у неё есть свой аналог. С названием, от которого у скота паника не начинается.

Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

60. Скрыто модератором +/–

Сообщение от morphe (?), 24-Сен-25, 00:43

> Я не говорил, что полностью подходит. WEI похоронили потому, что Apple -
> важный игрок4, и у неё есть свой аналог. С названием, от
> которого у скота паника не начинается.
У эпла Private Access Tokens, при чём тут FIDO2?

Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

82. Скрыто модератором +/–

Сообщение от Аноним (82), 24-Сен-25, 10:32

Так это ты притянул WEI. Общего у трёх технологий только то, что во всех них есть аттестация, причём в PAT она необязательно аппаратная, это уже детали как вендор реализует, общее одно - это все технологии для того, чтобы скоту навязывать конкретных вендоров и их говно.

Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

63. Скрыто модератором +/–

Сообщение от penetrator (?), 24-Сен-25, 03:14

>> ну как можно надеяться на магический токен, если систему уже скомпрометирована? ну это же сюр
> FIDO2 требует физического подтверждения присутствия, удачи что-то серьёзное провести
> автоматически и незаметно.
а кто мне мешает от твоего имени действовать после того как ты аутенфицировался? перехватив сетевой трафик например? вот возьму и покажу тебе в банковском приложении, что платеж от Васи Баранова пополнил твой баланс на 1 млн долларов, и ты можешь "закрывать" сделку )))
а кто мне мешает показать тебе фейковый экран чего-нибудь с логином и заставить тебя нажать эту кнопку для входа?
в общем "ну как можно надеяться на магический токен, если систему уже скомпрометирована?"

Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

69. Скрыто модератором +/–

Сообщение от morphe (?), 24-Сен-25, 03:59

Украсть файл намного проще чем активно атаку проводить
Файл можно украсть полностью автоматически, а чтобы чот в банковском приложении показать - надо знать какой у юзера банк, какой браузер, и после этого слепить расширение которое будет направление перевода переделывать
Опять же, разные классы атак, ты говоришь про таргетированную атаку, а не про автоматические скрипты которых 99%

Ответить | Правка | Наверх | Cообщить модератору

92. Скрыто модератором +1 +/–

Сообщение от Аноним (92), 24-Сен-25, 13:22

> Украсть файл намного проще
Отвечу твоими словами: надо знать какой дом у юзера, какая папка хранит файл, и после этого залезть в дом, выкрасть планшет, взломать логин, найти файл, прочитать пароль. Или ты думаешь, планшет с паролями открыто в инете сидит?

Ответить | Правка | Наверх | Cообщить модератору

96. Скрыто модератором +/–

Сообщение от User (??), 24-Сен-25, 14:11

Ну, если ты рандомный файл с паролем в TPM держишь и автоматически подставляешь его по факту соответствия URL'у - то не то, чтобы "ничем" - но все равно отличается.
U2F и прочие passkeys криптографию с открытым ключом и защитой от replay атак используют, чего с der parol вводимый хрен пойми куда - добиться затруднительно.

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

61. Скрыто модератором –2 +/–

Сообщение от Аноним (28), 24-Сен-25, 01:11

> Интересно, они понимают что большинство контрибьюторов на три буквы их отправит с этими пожеланиями?
Минусы будут? Если разработчик не может разобраться как токенами пользоваться, он и как разработчик может не особо-то и нужен. А ну как pow от xor не отличит или ещё какую-нибудь такую дичь выкинет?

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

95. Скрыто модератором +/–

Сообщение от torvn77 (ok), 24-Сен-25, 14:08

>Вот это их хлопнуло по голове. Интересно, они понимают что большинство контрибьюторов на три буквы их отправит с этими пожеланиями?
В целом согласен, просто им следовало сделать условие что каждый публикуемый файл должен иметь цифровую подпись которая находится либо внутри него, либо если формат не позволяет то во внешнем файле и без этого файл к публикации не принимается.
Ну а пароли хоть 12345678 делайте.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

109. Скрыто модератором +/–

Сообщение от Аноним (-), 24-Сен-25, 17:12

> В целом согласен, просто им следовало сделать условие что каждый публикуемый файл
> должен иметь цифровую подпись которая находится либо внутри него, либо если
> формат не позволяет то во внешнем файле и без этого файл
> к публикации не принимается.
Просто потребовать подписывать пакет *уже* *известным* ключом дева для заливки новой версии? Блин, это слишком просто и логично для адептов ноджыэса, и слишком надежно.
И как тогда уважаемымые партнеры будут распродажи хардварных ключей фигачить? А если почитать описалово U2F - довольно мутноватый протокол с мутноватыми решениями. И атаки известны. В том числе и на столь продвигаемый тут гугл титан.

Ответить | Правка | Наверх | Cообщить модератору

97. Скрыто модератором +/–

Сообщение от User (??), 24-Сен-25, 14:24

Ээээ... с чего бы? У большинства из них нормальная реализация webauthn\passkeys будет "из коробки" и совершенно забесплатно с хранением ключей в недрах TPM, у кого-то еще и аппаратный ключик в хозяйстве найдется.
А 2,5-4% нуээээ... Те, у кого не hello, world - думаю, тоже справятся, а "комментаторов opennet" и не жалко.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

110. Скрыто модератором +/–

Сообщение от Аноним (-), 24-Сен-25, 17:14

> Ээээ... с чего бы? У большинства из них нормальная реализация webauthn\passkeys будет
> "из коробки" и совершенно забесплатно с хранением ключей в недрах TPM,
...а потом, когда сдохнет мамка, или на ноут прольют кофе, или что там за фигня - наступит внезапный УХТЫБЛИН. Достаточно интересный, судя по описанию - ибо recovery на этот случай штатно средствами этой штуки не регламентирован, и каждый будет др@#$ть вприсядку как умеет. Или прсото никак. Скажут - вы более не девелопер вашего пакета. Клюйте. Оспорить можно в спортлото. И пойдете - клевать.

Ответить | Правка | Наверх | Cообщить модератору

119. Скрыто модератором +/–

Сообщение от User (??), 24-Сен-25, 17:49

Ээээ... Ну я несколько более лудшего мнения о среднем разработчике и предполагаю, что он способен прочитать чёрные и такие разные! буквы и таки распечатает или сохранит recovery codes В password manager's, после чего НЕштатная ситуация решится вполне себе штатными средствами...
Но судя по бегающему тут ъ-энтерпрайз-форчун500 анониму, продолбавшему сохраненный в браузере пароль и ниасилившему гитхабовскую капчу - возможны, конечно, варианты. Opensource какиры - они таки, суровыя.

Ответить | Правка | Наверх | Cообщить модератору

126. Скрыто модератором +/–

Сообщение от Аноним (-), 24-Сен-25, 19:45

> распечатает или сохранит recovery codes В password manager's, после чего НЕштатная
> ситуация решится вполне себе штатными средствами...
...в виде атакующего с фэйк сайтом, показывающим - login failed, recover? Введите код recovery! Спасибо! Успех! Мы вас - лоханули! Goto 1 :D
КМК этот майкрософтовский кластерфак будет работать примерно так. Глядя на все это их 2FA на гитхабе. Т.е. делает мозг оно всем - кроме собственно атакующим. Которые атаку проводят не так как это задумали всякие, типа вас.
> Но судя по бегающему тут ъ-энтерпрайз-форчун500 анониму, продолбавшему
> сохраненный в браузере пароль и ниасилившему гитхабовскую капчу - возможны,
> конечно, варианты. Opensource какиры - они таки, суровыя.
Ну дык, жр@ать гамно с лопаты просто потому что это делаете вы - не в моих правилах. Так себе это и запишите. И майкрософт - если описывать мое отношение к ним вкратце: они меня за...ли! И лучшее что с ними может случиться - я их развижу. Навсегда.

Ответить | Правка | Наверх | Cообщить модератору

142. Скрыто модератором +/–

Сообщение от User (??), 25-Сен-25, 07:22

>> распечатает или сохранит recovery codes В password manager's, после чего НЕштатная
>> ситуация решится вполне себе штатными средствами...
> ...в виде атакующего с фэйк сайтом, показывающим - login failed, recover? Введите
> код recovery! Спасибо! Успех! Мы вас - лоханули! Goto 1 :D
Не, ну я понимаю, что у Ъ из fortune 500 принято, если сервер вдруг "почему-то" перестал пускать по ключу - вводить пароль, пароль, еще раз пароль - пароль от root'а и вот на всякий случай еще Qwerty123@ от почты - но не все ж НАСТОЛЬКО серьезные пацаны?
Большинство предполагает, что что-то нездоровое в таком поведении есть - опять же, пока бумажка ищешь - время подумать появляется.
>> Но судя по бегающему тут ъ-энтерпрайз-форчун500 анониму, продолбавшему
>> сохраненный в браузере пароль и ниасилившему гитхабовскую капчу - возможны,
>> конечно, варианты. Opensource какиры - они таки, суровыя.
> Ну дык, жр@ать гамно с лопаты просто потому что это делаете вы
> - не в моих правилах. Так себе это и запишите. И
> майкрософт - если описывать мое отношение к ним вкратце: они меня
> за...ли! И лучшее что с ними может случиться - я их
> развижу. Навсегда.
Ну, т.е. продолбал пароль - аноним, а виноват - microsoft? У меня так ребенок в свое время - бежит, по сторонам не смотрит - бах! Упала. Кто виноват? Ка-ааа-амень! К концу садика примерно прошло, ага.

Ответить | Правка | Наверх | Cообщить модератору

98. Скрыто модератором +/–

Сообщение от Аноним (98), 24-Сен-25, 14:26

>Вот это их хлопнуло по голове.
Дайте им мозгов уже. И настучите по голове, чтоб извилины появились, наконец...

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

106. Скрыто модератором +/–

Сообщение от Аноним (-), 24-Сен-25, 15:26

> NPM, походу, решил себя закопать.
Это ж майкрософт, сэр. Угробили виндофон, угробили скайп - и ноджыэс угробят ничуть не хуже. Потому что могут.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

4. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +6 +/–

Сообщение от Аноним (4), 23-Сен-25, 20:37

Не проще ли просто не пользоваться ни nodejs, ни npm? Да и вообще джаваскриптом тож не пользоваться.

Ответить | Правка | Наверх | Cообщить модератору

6. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от пох. (?), 23-Сен-25, 20:37

не пользуйся, кто тебе не дает?

Ответить | Правка | Наверх | Cообщить модератору

15. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +3 +/–

Сообщение от Аноним (15), 23-Сен-25, 21:10

Он и не пользуется. И у него никаких проблем в жизни нет типа описанных в соседних новостях. Вот он и спрашивает, для чего этим пользуются другие.

Ответить | Правка | Наверх | Cообщить модератору

81. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +2 +/–

Сообщение от пох. (?), 24-Сен-25, 10:00

> Он и не пользуется.
угу, в лесу ж живет. И из сайтов только опеннет. Через lynx (и то плюсик без шкриптов не нажмется)

> И у него никаких проблем в жизни нет
еще б эти пещерные жители еще и не пользовались достижениями цивилизации через других людей (от записи к врачу до покупки бухла) - просто лежали б себе в лесу в колоде, ждали смерти - то и вреда б от них не было почти никакого.
> типа описанных в соседних новостях. Вот он и спрашивает, для чего
> этим пользуются другие.
для чего вообще компьютером пользоваться? Для выдалбливания себе помиральной колоды он совершенно не подходит.

Ответить | Правка | Наверх | Cообщить модератору

136. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." –1 +/–

Сообщение от Аноним (-), 25-Сен-25, 01:18

> для чего вообще компьютером пользоваться? Для выдалбливания себе помиральной колоды он
> совершенно не подходит.
А ты что с NodJS и софтом на нем вообще делаешь? Хотя я знаю что - про таких говорят что мол, везде грязь найдет. Хотя ты даже и покруче грязи найдешь. И еще расскажешь как в это запрыгнуть правильно, с разбега, чтоб во все стороны и с брызгами. И когда все наконец в крапинку и воняет - во, это тебе по вкусу.
Но можешь уже закупать себе токен и прокачивать скилл целования ботинок майкрософта. Правда а у тебя есть хоть 1 комит в их пакеты? Или ты чисто из рабской солидарности ботинки лобызать хозяину лезешь, чтоб тем не так обидно было?

Ответить | Правка | Наверх | Cообщить модератору

73. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." –2 +/–

Сообщение от Аноним (73), 24-Сен-25, 07:37

Я бы тоже не пользовался, но все приложения на электроне, сейчас.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

80. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от пох. (?), 24-Сен-25, 09:54

чего это вдруг - фсе?
Вот у меня уже второе реально нужное наклевывается на голой ноде.

(у первого мордой настоящий браузер на машине юзера, а не этовашеелехтрон, а тут вообще консольное)
И да, curl sudo su в качестве инструкции по установке. Как жы ещо!

Ответить | Правка | Наверх | Cообщить модератору

133. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от OpenEcho (?), 24-Сен-25, 23:42

> Вот у меня уже второе реально нужное наклевывается на голой ноде.
Вот это очень интересно услышать названия этих годных от самого пох-а

Ответить | Правка | Наверх | Cообщить модератору

145. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от пох. (?), 25-Сен-25, 11:11

https://docs.anthropic.com/en/docs/claude-code/quickstart
- например

Ответить | Правка | Наверх | Cообщить модератору

151. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от OpenEcho (?), 25-Сен-25, 18:41

> https://docs.anthropic.com/en/docs/claude-code/quickstart
> - например
+1
Я б еще Joplin добавил, МешЦентрал, Кодиум...

Ответить | Правка | Наверх | Cообщить модератору

5. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +6 +/–

Сообщение от пох. (?), 23-Сен-25, 20:37

такое впечатление, что они спросили совета как жыть - у чатгопоты.
(последний пункт еще мог бы иметь какой-то смысл, но все остальное - какой-то полный bullshit составленный по мотивам модных трендов без малейшей попытки понять причину и механизм последних взломов)

Ответить | Правка | Наверх | Cообщить модератору

67. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +1 +/–

Сообщение от Аноним (-), 24-Сен-25, 03:47

> Ну и не говоря о том что железные ключи практически бессмертные.
Вероятно они так и сделали. Напоминаю! Мы про npm. Это яваскриптеры, Карл! Так что это - "highly likely"!

Ответить | Правка | Наверх | Cообщить модератору

7. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +2 +/–

Сообщение от Аноним (-), 23-Сен-25, 20:40

FIDO2 хорош тем, что ключ не будет выдан, если домен отличается. TOTP от такого типа атак не защищает.

Ответить | Правка | Наверх | Cообщить модератору

20. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +4 +/–

Сообщение от Аноним (36), 23-Сен-25, 21:59

и тут ваш fido2 девайс внезапно сдох и...... (да, я понимаю что у Вас лично их 5 шт  запасных настроено, но у среднего обывателя он был ровно один.)
а если там есть рекавери вариант входа, для получения нового секрета для нового токена (а он есть), то "мы просто свели задачу к предыдущей".

Ответить | Правка | Наверх | Cообщить модератору

24. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от morphe (?), 23-Сен-25, 22:14

> и тут ваш fido2 девайс внезапно сдох и...... (да, я понимаю что
> у Вас лично их 5 шт  запасных настроено, но у
> среднего обывателя он был ровно один.)
Большинство сайтов требуют регистрировать минимум 2 ключа, и что android, что macos, что windows из коробки имеют системную реализацию на базе tpm. В Linux тоже можешь поставить. Либо просто купить 2 железных ключа, они стоят мало, а большинство имеют у себя на борту opengpg, через который ты сможешь и письма подписывать, и по ssh авторизоваться куда угодно, и вообще что угодно делать.
Ну и не говоря о том что железные ключи практически бессмертные.

Ответить | Правка | Наверх | Cообщить модератору

57. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (56), 23-Сен-25, 23:59

>Ну и не говоря о том что железные ключи практически бессмертные.
Да что тут ключи, вы ведь и сами до 150 лет дожить небось надеялись, а там и бессмертия достичь...

Ответить | Правка | Наверх | Cообщить модератору

66. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (-), 24-Сен-25, 03:45

> Ну и не говоря о том что железные ключи практически бессмертные.
А о том что делать если они все же сдохли или про@#$лись мы подумаем - потом. Хотя для начала - про@#$тся девелоперы. Ибо задолбаются канкан танцевать за право поработать бесплатно на корпорацию майкрософт. Это и так то - не бог весть какая привилегия.

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

70. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от morphe (?), 24-Сен-25, 04:02

SSH/GPG используешь? Железные токены имеет смысл брать как минимум ради него, просто потому что это удобно и безопасно
Никто не заставлял до этого людей использовать железки, много разработчиков к ним успели привыкнуть задолго до того как npm решил их потребовать.

Ответить | Правка | Наверх | Cообщить модератору

88. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (88), 24-Сен-25, 11:51

> просто потому что это удобно и безопасно
дык ничего с точки зрения безопасТности то и не изменилось, достаточно подменить known_hosts и вы сто лет знать не будете куда подключаетесь.

Ответить | Правка | Наверх | Cообщить модератору

112. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (-), 24-Сен-25, 17:26

> дык ничего с точки зрения безопасТности то и не изменилось, достаточно подменить
> known_hosts и вы сто лет знать не будете куда подключаетесь.
1) Если мне кто-то может подменить known_hosts, он, очевидно может подменить мне и мои сорцы, и мой ввод с клавиатуры. И в целом - остальные в этом случае должны просто прекратить весь прием новых версий от меня вообще, до выяснения. Иначе - получат какой-то треш.
2) А в чем прикол то - дать мне поменеджить хацкерский хост? Может, просто дали бы мне бесплатный ssh? Я и без таких сложностей там порулю, каких-нибудь прикольных сервисов для себя настрою, конечно не особо доверямых - но как-то полезных мне.

Ответить | Правка | Наверх | Cообщить модератору

121. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (88), 24-Сен-25, 18:27

> он, очевидно может подменить мне и мои сорцы, и мой ввод с клавиатуры.
для перехвата ввода с клавиатуры необходимо исполнять код в системе, а это палевнее, чем подменить айпишник сервера к которому подключаетесь.
> А в чем прикол то - дать мне поменеджить хацкерский хост?
Человек по середине - не "поменеджить хацкерский хост", он проксирует на реальный хост.
пс: Используете вы железный ключ или нет, юзаете только пароли или нет - не меняет кардинально ничего в архитектуре безопасности ссх. Хост к которому вы подключаетесь необходимо верифицировать, а для этого в ссх ничего не сделали, кроме сохранения при первом подключении в обычный файлик фингерпринта от удаленного сервера, никакой при этом верификации и заверения (подписыванием к стати тем самым железным ключом) этого файла нет, я уже промолчу про заверения даже бинарных файлов ссх при каждом запуске (этого нет в системе даже), а так бы железным ключом все эти проверки можно было сделать.

Ответить | Правка | Наверх | Cообщить модератору

127. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (127), 24-Сен-25, 20:43

> для перехвата ввода с клавиатуры необходимо исполнять код в системе, а это
> палевнее, чем подменить айпишник сервера к которому подключаетесь.
А для подмены айпишника - код запускать не нужно? Да и к чему такие сложности, если цель червяк - пропатчить сорец эффективнее того изврата. Я его потом сам залью куда надо, если буду долбоящером и прохлопаю подарок.
Более того. Это мог быть и хостнейм. И конект - вколочен не в known_hosts, оно не в курсе что айпищник или хост надо другой ыидите ли юзать. А атакующий врядли в курсе что и где, автоматическая атака почти наверняка сольется, да и мануально атакующий будет долго на ноль делить. Так что скорее всего ssh или ничего не сделает или взвоет что fingerprint хоста неизвестный, если легитимная запись испорчена. Первое нормальный конект. Второе немедленно тиггернет расследование, и я малость умею в форенсик.
>> А в чем прикол то - дать мне поменеджить хацкерский хост?
> Человек по середине - не "поменеджить хацкерский хост", он проксирует на реальный хост.
Ну для начала вот именно посередине влезть даже в случае хомы то - довольно канительно. А в именно моем случае - не, это не сработает. На самом деле - ЭТОТ сценарий обломится по примерно дюжине причин. Насколько мне нужны 3rd party "благодетели" для защиты меня от чего либо - вы наверное догадались уже.
> пс: Используете вы железный ключ или нет, юзаете только пароли или нет
> - не меняет кардинально ничего в архитектуре безопасности ссх. Хост к
> которому вы подключаетесь необходимо верифицировать, а для этого в ссх ничего
> не сделали, кроме сохранения при первом подключении в обычный файлик фингерпринта
> от удаленного сервера,
Это уже довольно неплохо. Ибо если вы думаете что сможете убедить меня сконектиться ssh к левому айпи _и_ пройти проверку фингеопринта, я думаю что вероятность этого - в районе плинтуса.
> никакой при этом верификации и заверения (подписыванием к
> стати тем самым железным ключом) этого файла нет,
И хрен с ними с вашими железными ключами. И протоколами долбанутыми на вебе заодно. Ибо если кто мне патчит такой файлик - он для начала сорц мог запатчить два раза. Потом это само вообще будет залито - если я прошляплю подарок. Правда, у меня есть привычка проверять что, кому и почему я заливаю и вот тут - скорее всего будет запалено. Да и есть такая штука - ревью. Я активно пинаю ALL чтобы они не верили моему коду на слово и ЧИТАЛИ что я налил. Потому что - доверяй, но проверяй.
> я уже промолчу про заверения даже бинарных файлов ссх при каждом запуске (этого нет
> в системе даже),
Видите ли, до того как читать лекцию надо убедиться где профессор, а где студент. Иначе некузяво получится. Ну так вот, для "эксперта" сообщаю:
1) Я сам немного "хакаю" свой ssh превентивно. По своим причинам. Как side effect это скорее всего обломает немало атак, ибо поляна уже занята, вот прямо мной. Это будет работать не так как атакующий себе представлял.
2) Кстати, FYI, все это - не меняет код файла ssh - ни на бит. Так что с одной строны у меня есть гранд оверрайд и я могу сам вклиниваться в поведение программ как сочту нужным. С другой - подписи на бинарь не заметят - вообще совсем ничего.
Ну что, эксперт, прочитали мне лекцию по безопасности?
> а так бы железным ключом все эти проверки можно было сделать.
Вера в серебряную пулю - это прекрасно конечно. Но я лучше буду верить - в умение атаковать - и тогда я буду знать как защищать свои системы. Никто не ломится в прочную стальную дверь любезно поставленную вами "спецом для плохих парней". Намного проще пнуть пару раз вот эту стену сбоку, с осыпаюшимися кирпичами - и просто зайти в образовавшуюся дыру. Вы даже это не понимаете - но зачем-то лезете меня чему-то учить.

Ответить | Правка | Наверх | Cообщить модератору

135. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (88), 24-Сен-25, 23:57

> А для подмены айпишника - код запускать не нужно?
Нет, если злоумышленник контролит сетевой шлюз, крайняк какой-нить арп спуфинг.
> Более того. Это мог быть и хостнейм.
Там главное заменить публичный ключ и фингерпринт. Чтобы при повторном подключении не ругался на ключ от MiTM-а.
> Первое нормальный конект. Второе немедленно тиггернет расследование, и я малость умею в форенсик.
MiTM ssh proxy прозрачно и быстро сработает, вы даже не заметите разницу. Тут главное контролировать сетевой шлюз, то есть "в разрез".
> Ну для начала вот именно посередине влезть даже в случае хомы то
> - довольно канительно.
Пффф, врезаться в ваш домашний кабель проблема? Я просто описываю схему не для домашнего диванного мамкиного-хакира, а реальный полевой юзкейс. Подмена known_hosts не вызывает внимания, можно на MiTM прокси искать последовательность байт равная оригинальному хостовому публичному ключу и ее подменять на лету, чтобы сокрыть присутствие когда юзер решит сравнить "cat /etc/ssh/ssh_host_rsa_key.pub". (хотя зачем, пароль от сервака уже перехватили, можно и там подменить хостовые ключи и отключить MiTM прокси, чтобы на лейтенси не влиять и пассивно дешифровывать ссх траффик между сервером и клиентом)
> Это уже довольно неплохо. Ибо если вы думаете что сможете убедить меня
> сконектиться ssh к левому айпи _и_ пройти проверку фингеопринта, я думаю
> что вероятность этого - в районе плинтуса.
Зачем к левому? Мне только нужно один раз заменить у вас known_hosts и сделать MiTM ssh proxy реального сервера (в разрез), при первом подключении я получу пароль от реального сервера, подключусь к нему и заменю (украду) там серверные ключи, чтобы потом пассивно расшифровывать весь ссх трафик (ну и сам сервак уже под контролем будет).
> И хрен с ними с вашими железными ключами. И протоколами долбанутыми на
> вебе заодно. Ибо если кто мне патчит такой файлик - он
> для начала сорц мог запатчить два раза.
Через любую багу позволяющую перезапись произвольного файла в системе пользователя можно реализовать это (привет всяким архиваторам :)) Главная цель же беспалевно получить доступ к вашим сервера. Один раз подменил, один раз перехватил пароль от сервера и вуаля, нет никаких следов. И какой бы механизм аутентификации и авторизации вы бы не использовали бы это вас не спасет, само приложение ссх по дизайну инсекюрно. Оно всю ответственность по верификации сервера переложило на плечи пользователя и при этом дав вредный механизм верификации (known_hosts) создающий ложную уверенность о безопасности.

> Потому что - доверяй, но проверяй.
Таки да, а на деле - спихнули все на пользователя.
> Видите ли, до того как читать лекцию надо убедиться где профессор, а
> где студент. Иначе некузяво получится.
С чего вы взяли, что я собрался тут лекцию читать? Я же сказал "я уже промолчу про ...", если вам интересно - могу рассказать, если нет, да ради Бога, ни вас на место студента ни себя на место профессора я тут не ставил, короче разговор не по существу.
> 1) Я сам немного "хакаю" свой ssh превентивно. По своим причинам. Как
> side effect это скорее всего обломает немало атак, ибо поляна уже
> занята, вот прямо мной. Это будет работать не так как атакующий
> себе представлял.
Это предложение мне напоминает кривой перевод с какого-то китайского, я не понял что значит "Как side effect это скорее всего обломает немало атак, ибо поляна уже занята, вот прямо мной"?
> 2) Кстати, FYI, все это - не меняет код файла ssh -
> ни на бит. Так что с одной строны у меня есть
> гранд оверрайд и я могу сам вклиниваться в поведение программ как
> сочту нужным. С другой - подписи на бинарь не заметят -
> вообще совсем ничего.
Любой "кривой архиватор" переписал вам бинарь ссх клиента, как вы заметите подмену не делав никаких при этом проверок сверок хеш сумм и т.д.? Сама система должна при запуске проверять подпись бинаря (а бинарь то должен быть подписан вашим железным ключем, а не каким-то майкрософтом).
> Ну что, эксперт, прочитали мне лекцию по безопасности?
А чего мне вам читать, если до вас не доходит, что все, что вас окружает в этой войтишной сфере инсекурно по дизайну.
> Вера в серебряную пулю - это прекрасно конечно. Но я лучше буду
> верить - в умение атаковать - и тогда я буду знать
> как защищать свои системы.
Вера - понятие не математическое! Безопасность - процесс! Моделирование атак - часть этого процесса!
> Вы даже это не понимаете - но зачем-то лезете меня чему-то учить.
И чему я вас научил? Это что за детский разговор? Мне написать какого Х ты на мой комент ответил? Ты бл* кто такой? Так что ли с вами общаться? Ок, "удачи".

Ответить | Правка | Наверх | Cообщить модератору

140. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (-), 25-Сен-25, 03:58

> Нет, если злоумышленник контролит сетевой шлюз, крайняк какой-нить арп спуфинг.
Вы не находите что сочетание сценариев когда некто
1) Захватывает сетевой шлюз
2) Может менять в системе файлы
...довольно сложный, редкий и потому - довольно маловероятный сценарий атаки? Не говоря о том что если атакующий это смог, он и еще дофига чего может. И в целом это означает что у меня более 9000 проблем. Никакой токен меня от ЭТОГО не спасет, это BS полный.
> Там главное заменить публичный ключ и фингерпринт. Чтобы при повторном подключении не
> ругался на ключ от MiTM-а.
Spoiler: но на _мне_ это работать не будет. По полдюжине разных причин. Например: тут нет default gateway. Интересно, как его под контроль взять? Я не для себя, друг интересуется.
> MiTM ssh proxy прозрачно и быстро сработает, вы даже не заметите разницу.
> Тут главное контролировать сетевой шлюз, то есть "в разрез".
Это требует совпадения сразу 2 условий. Оба из которых не особо просты в реализации. Тем более для автоматического червяка. А если мы про хак девов, логичнее сорц пропатчить, и хрен с ним с гейтвеем, а? Зачем такие сложности?
> Пффф, врезаться в ваш домашний кабель проблема?
Не даст ожидаемого эффекта в моем случае.
> Я просто описываю схему не для домашнего диванного мамкиного-хакира,
> а реальный полевой юзкейс. Подмена known_hosts не вызывает внимания,
Как я сказал - атака с неудобными допущениями, достаточно канительная в реализации из-за нужды подогнать 2 фактора. Явно не про червяка который на автомате фигачит. А если мы про более кастомные атаки, почему я не могу примерять как оно было бы - прям на мне?
> присутствие когда юзер решит сравнить "cat /etc/ssh/ssh_host_rsa_key.pub".
...но этот хитрый план обломается если посмотреть фингерпринт. Или если ключ не RSA. Т.е. опять же довольно хрупко все.
Но в моем случае до этого не дойдет. Обломается и 1) и 2). И зачем мне ваши токены?
> (хотя зачем, пароль от сервака уже перехватили, можно и там подменить хостовые ключи
> и отключить MiTM прокси,
А если я по ключу авторизовался - что вы перехватите? Этот обмен и не был секретным. На то оно и публичная криптография.
> Зачем к левому? Мне только нужно один раз заменить у вас known_hosts
> и сделать MiTM ssh proxy реального сервера (в разрез),
И еще рояль в кустах. Совершенно случайно. Правда и первая и вторая часть балета здорово добломается в моем случае. Думаете, замена _тут_ known_hosts на что-то где-то повлияет? :)
> трафик (ну и сам сервак уже под контролем будет).
...поэтому я немного более аккуратен с серверами которыми я управляю. И делаю это немного более ответственно, дабы все это у таких господ не катило :).
> Через любую багу позволяющую перезапись произвольного файла в системе пользователя можно
> реализовать это (привет всяким архиваторам :))
Если вы долбанете допустим этот браузер - вы заметите что система подозрительно пустая. Если вы даже пробьете контейнер, окей, но это лишь browser vm. Перезапись в котором known_hosts бесполезна чуть менее чем полностью. Я не рулю отсюда ничем. Даже если забыть про отсутствие дефолтного гейта который надо как-то взять под контроль.
> Главная цель же беспалевно получить доступ к вашим сервера.
Я в курсе, равно как в курсе что интернет не есть дружественная среда. Поэтому предпринял ряд технических и организационных мероприятий чтобы вон то не вызвало ничего кроме лулзов. Power comes with responsibility.
> Один раз подменил, один раз перехватил пароль
> от сервера и вуаля, нет никаких следов.
В моем случае этот сценарий просто не будет работать по куче причин. А для кряка рандомного хомы, тем более червяком - слишком сложно.
> верификации сервера переложило на плечи пользователя и при этом дав вредный
> механизм верификации (known_hosts) создающий ложную уверенность о безопасности.
Вообще-то несекурно - давать доступы долбоклюям, которых легко ломануть. Если некто в информационной безопасности профан - это выйдет боком. И никакие серебряные пули от этого не спасают. Атакующие бьют в самое слабое звено. Каковым профан в информационной безопасности и является. Хоть с какими тулсами.
И если этот долбоклюй извините просто зальет проекту сорцы с абы чем - что организовать проще чем какую-то канитель с шлюзами - ну и чем все ваши тантры с токенами от столь простой атаки помогут? И далее если ревьж в процессе, извините, г-но (как у сабжа) - ну оно и пойдет по трубам.
>> Потому что - доверяй, но проверяй.
> Таки да, а на деле - спихнули все на пользователя.
Если пользователь в информационной безопасности профан - это в любом случае подстава для проекта. Не существует серебряных пуль делающих из профана и раздолбая - секурного и ответственного кадра. И если на системе можно любой файл переписать багом - окей, а вот сорец ему и пропатчить. Ваши потуги НИКАК не адресуют этот простой аспект.
> Это предложение мне напоминает кривой перевод с какого-то китайского, я не понял
> что значит "Как side effect это скорее всего обломает немало атак,
> ибо поляна уже занята, вот прямо мной"?
Чтобы это понимать надо быть практикующим атакующим. А вы не это. Технологии столкнутся и скорее всего возникнет много незапланированных взаимодействий, все перестанет работать совсем - это будет очень заметно.
> Любой "кривой архиватор" переписал вам бинарь ссх клиента,
Вы наверное юзер винды. Дело в том, что я не пускаю архиваторы под рутом. Поэтому у архиватора не хватит прав. Он получит permission denied. И все.
> как вы заметите подмену не делав никаких при этом проверок сверок хеш сумм и т.д.?
Для начала - это не прокатит. А если бы и прокатило - то не дало ожидаемого эффекта. Первая часть балета применима к любому линуксоиду, вторая - мой личный подарок атакующим.
Т.е. ваш сценарий в общем случае не работает с линуксоилами и требует вот прям совсем отборног идиота который под рутом это все попробует, явно подкинув права архиверу. Если кто НАСТОЛЬКО туп, раздавать ему права на серверах - чревато. И админы проектов обычно в курсе этого. Нормальные админы - весьма параноидальны на тему раздачи прав.

> Сама система должна при запуске проверять подпись бинаря (а бинарь то
> должен быть подписан вашим железным ключем, а не каким-то майкрософтом).
Как я уже сказал: я могу изменить поведение бинаря (включая то что он прочтет из тех или иных файлов, и к каким хостам он пойдет) не делая с самим бинарем ... вообще совсем ничего!
Проверка подписи не заметит никаких проблем. И вы не "защитили" меня даже от "атаки" которую я сам на себе рутинно практикую по каким-то своим причинам. Пффффф. Про то что настоящие атакующие могут и покруче чем это мне даже и упоминать не удобно как-то.
>> Ну что, эксперт, прочитали мне лекцию по безопасности?
> А чего мне вам читать, если до вас не доходит, что все,
> что вас окружает в этой войтишной сфере инсекурно по дизайну.
Я как раз это давно понял. И именно поэтому - подготовился к таким раскладам. Поэтому ваши страшилки ничего кроме улыбки у меня не вызывают - ведь ни одна из них на мне не сработает.
> Вера - понятие не математическое! Безопасность - процесс! Моделирование атак - часть
> этого процесса!
И чтобы моделировать атаки - надо уметь думать как атакующий. Поэтому я смоделировал угрозы намного реалистичнее и прагматичнее. И ни 1 из описаных вами сценариев со мной не сработает.
> Так что ли с вами общаться? Ок, "удачи".
Ну как бы вы начали мне рассказывать про то как все эти ключи меня якобы-спасут. Я насыпал примеров тривиальных сценариев когда толку от сабжевого ключа будет - ноль. При том это сценарии которыми я бы вам и укатал перым делом как атакующий, если бы задался такой целью.
TLDR чтобы рассуждать о защите надо понимать как атаковать. Тогда станет понятно как защищаться. Но вы явно не атакующий. Это видно. Вместо этого вы верите в серебряные пули - не понимая как проводятся атаки. И почему все то - не есть особое препятствие. Но я уже привык что вокруг Microsoft специфичная экосистемка образовалась.

Ответить | Правка | Наверх | Cообщить модератору

147. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (147), 25-Сен-25, 13:04

> ...довольно сложный, редкий и потому - довольно маловероятный сценарий атаки?
Любой провайдер или васян из соседней квартире и уязвимость в очередном архиваторе :)

> Например: тут нет default gateway. Интересно, как его под контроль взять?
Включаем дурака? Знаем что такое MiTM?
> Это требует совпадения сразу 2 условий. Оба из которых не особо просты
> в реализации.
Которые реалистичны на все 100% - 1) сидеть в разрезе для MiTM-a 2) Очередная бага в архиваторе, в соседней новости про это можно прочесть.
> Не даст ожидаемого эффекта в моем случае.
Какой ваш случай? На линиях спецсвязи сидите? Ну спросите у товарищей СиАйЭй как они Венонский балет исполняли. А сценарий со стакснетом вообще из фентезийного фильма "Die Hard". Ясно понятно.
> Явно не про червяка который на автомате фигачит.
Речь про червя не была, новость хоть и про червя, я делал акцент на ПО самого SSH почитайте комент, и привел ситуацию, когда ваши железные ключи ничем особым не влияют на безопасность всей системы SSH. ПО создано якобы для безопасного взаимодействия с сервером, а архитектура допускает такие недопустимые слабости.
> А если мы про более кастомные атаки, почему я не могу примерять как оно было бы - прям на мне?
Какие кастомные атаки?
> ...но этот хитрый план обломается если посмотреть фингерпринт. Или если ключ не
> RSA. Т.е. опять же довольно хрупко все.
Хрупко для кого? Я получаю доступ к серверу и дальше делаю что хочу, вы помимо мониторинга безопасТности собственной рабочей станции должны еще и беспокоится за безопасТность самого сервера. Сломав один конец этой палки, сломается и другой.
> Но в моем случае до этого не дойдет. Обломается и 1) и
> 2). И зачем мне ваши токены?
В каком вашем случае? Вы используете квантовые линии связи? Или у вас архиватор не такой же как из соседней новости? Может у вас на рабочей станции кашперовскийОС и вообще вы не пользуетесь ссх? :)
> А если я по ключу авторизовался - что вы перехватите? Этот обмен
> и не был секретным. На то оно и публичная криптография.
У палки два конца, мне не ваш ключ железный надо перехватывать, я от вашего имени авторизуюсь на самом сервере, отсюда имею доступ к ключам самого сервера, а они то лежат в папке /etc/ssh. А дальше пассивная расшифровка трафика, что тут не ясно? Походу вам точно надо прочесть что есть MiTM.
> И еще рояль в кустах. Совершенно случайно.
То есть мне рояль в кустах достать маловероятно, так, скажите, с какой вероятностью вы используете квантовый канал связи?
> ...поэтому я немного более аккуратен с серверами которыми я управляю. И делаю
> это немного более ответственно, дабы все это у таких господ не
> катило :).
Аккуратен это как? Ежедневная штатная проверка линий передачи информации на факт врезания, и использование самописного архиватора? :)
> Я не рулю отсюда ничем.
Ясно, разговор ни о чем. С бомжом обсуждаю взлом его квартиры.
> чтобы вон то не вызвало ничего кроме лулзов.
Лулзы может вызвать только ваша наивность. Также думали и всякие ИБэшники в Нетензе.
> В моем случае этот сценарий просто не будет работать по куче причин.
Могу кучу таких же причин привести, по которым вы не интересны ни одному "хакиру", не говоря уже про спецов.
> Вообще-то несекурно - давать доступы долбоклюям
Так и надо записать в руководстве пользователя по SSH.
> И если этот долбоклюй извините просто зальет проекту сорцы с абы чем
> - что организовать проще чем какую-то канитель с шлюзами - ну
> и чем все ваши тантры с токенами от столь простой атаки
> помогут? И далее если ревьж в процессе, извините, г-но (как у
> сабжа) - ну оно и пойдет по трубам.
Так речь же просто про возможность замены known_hosts в хомяке, и всякие сорцы и прочие вектора постэксплуатации я не рассматриваю, ибо речь идет конкретно о архитектуры безопасТности только самого ПО SSH. И я не говорю, что я имея возможность заменить known_hosts в хомяке имею возможность заменить все, я описал необходимые и достаточные условия для проведения описанного мною сценария атаки. Цель атаки - прослушать канал связи и заполучить чувствительную информацию и т.д.
> Не существует серебряных пуль делающих из профана и раздолбая
> - секурного и ответственного кадра.
Девляпсер не обязан быть профи в ИБ, ему достаточно следовать инструкциям по ИБ, а их должен предоставить и контролировать их соблюдения как раз таки тот самый не профан ИБэшник.
> Чтобы это понимать надо быть практикующим атакующим. А вы не это.
Любая теоретическая атака на практике реализуема!!! Даже перебор 128 битов :P
> Вы наверное юзер винды. Дело в том, что я не пускаю архиваторы
> под рутом. Поэтому у архиватора не хватит прав. Он получит permission
> denied. И все.
А архиватором не только вы пользуетесь. Я забыл просто, что у вас кашперовскиОС стоит.
> Для начала - это не прокатит.
Короче, не вижу смысла отвечать.
> вот прям совсем отборног идиота
О да, я никогда случайно от рута ничего не удалял и не ложил систему, я отборный админ. Ясно понятно. Похвально, что сказать.
> не делая с самим бинарем ... вообще совсем ничего!
Планета в опасТносте, вам не кажется?
> Проверка подписи не заметит никаких проблем. И вы не "защитили" меня даже
> от "атаки" которую я сам на себе рутинно практикую по каким-то
> своим причинам.
Мне придумать 1500 причин по которой вы этого не добьетесь? Мы уже местами поменялись? Мне повторить мой тезис? Все что вы используете - инсекурьно по дизайну!!!
> Поэтому ваши страшилки ничего кроме улыбки у меня не вызывают - ведь ни одна из них на мне не сработает.
Кто ты, Воин? - Бестрашный, епта. :) смешно слышать от ИБэшника (если только) и параноидального админа за улыбки - "такого быть не может, ни одна из них на мне не сработает".
> И чтобы моделировать атаки - надо уметь думать как атакующий. Поэтому я
> смоделировал угрозы намного реалистичнее и прагматичнее. И ни 1 из описаных
> вами сценариев со мной не сработает.
С кем с вами? с конем в вакууме? У меня табун такой же, а атаку с использованием сверхразума, чтения мыслей и т.д. я оставлю для будущего поколения :)))))
> Ну как бы вы начали мне рассказывать про то как все эти
> ключи меня якобы-спасут.
Где такое я говорил? Цитату в студию. Железный ключ как механизм подпись (проверки), которой нет в вашей лунаходной системе. Где конкретно речь за спасение если безопасТность - процесс?
> Я насыпал примеров тривиальных сценариев когда толку от сабжевого ключа будет - ноль.
Так речь же не о ключе шла? А конкретно о том, что в вашем ПО SSH достаточно заменить один файл и ваш сервер будет взломан, а авторизуетесь вы к нему по паролю или ключу в данном контексте не важно.
> При том это сценарии которыми я бы вам и укатал перым делом как атакующий, если бы задался такой целью.
Давайте в студию ваш сценарий.
> Но вы явно не атакующий.
В студию, атаку на канал связи SSH. Вот прям конкретный, практический.
> Вместо этого вы верите в серебряные пули - не понимая как проводятся атаки.
Где пример серебряной пули? Читайте внимательно, а не додумывайте за собеседника, чревато шизой на старость.

> Но я уже привык что вокруг Microsoft специфичная экосистемка образовалась.
Ты привык к собственному вакууму. Могу даже поспорить, что ты реального SSH MiTM-а не видел, но это из другой оперы.

Ответить | Правка | Наверх | Cообщить модератору

111. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (-), 24-Сен-25, 17:23

> SSH/GPG используешь?
Ото ж. И конечно они не требуют от меня никаких токенов. Требовали бы - врядли бы использовал. Вот прям так. Ибо развлекаться с тыканием что попало в usb - элементарно неудобно. И если б только это.
> Железные токены имеет смысл брать как минимум ради него, просто
> потому что это удобно и безопасно
...и еще бизнесок уважаемым партнерам делает. Но мне не нужен тул который я не могу забэкапать. Ибо если токен пролюбится, сломается или что еще - я налечу на доступ. Даже если это можно сбэкапать, судя по u2f это отдельный головняк. И просто "забэкапать state системы вот сюда" - не, блин, это надо еще отдельные entity плотно мониторить. Иначе оно - отвалится. И это целый новый слой рисков, факапов и неудобств. К тому же конкретно u2f полностью долбанут на вебе, судя по описанию.
> Никто не заставлял до этого людей использовать железки, много разработчиков к ним
> успели привыкнуть задолго до того как npm решил их потребовать.
Флаг у руки этому контингенту и барабан на шею. Я предпочту не иметь ничего общего с этими господами. Особенно когда надо то было - всего навсего затребовать подпись дева на пакете, уже известным ранее ключем, а не весь этот ацкий brain damage и канкан во имя луны. Если дева настолько крякнули что и пакет подписывают - ну ему и код пропатчат, и там надо - стопать прием изменений от этого кадра уже. А не заниматься всем вон тем brain damage да еще с покусом вебом.

Ответить | Правка | К родителю #70 | Наверх | Cообщить модератору

122. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от morphe (?), 24-Сен-25, 18:56

> Но мне не нужен тул который я не могу забэкапать.
Кто сказал что нельзя? Внутри обычный opengpgcard интерфейс, можешь ключ генерировать сразу внутри, а можешь сгенерировать снаружи и вовнутрь загрузить (keytocard команда), локальную копию куда-то забекапить и удалить, чтобы использовалась железная.
FIDO2 сложнее, это зависит от реализации, на nitrokey ключ возможно вгрузить через PIV интерфейс например.

Ответить | Правка | Наверх | Cообщить модератору

129. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +1 +/–

Сообщение от Аноним (-), 24-Сен-25, 21:01

> Кто сказал что нельзя? Внутри обычный opengpgcard интерфейс, можешь ключ
> генерировать сразу внутри, а можешь сгенерировать снаружи и вовнутрь
> загрузить (keytocard команда), локальную копию куда-то забекапить и удалить,
> чтобы использовалась железная.
Тем не менее, это рушит юзабилити, сделано довольно странно, несколько атак и проч описаны прям в википедии - особенно английской - риски и факапы остаются.
А главное: если сервис допускает рекавери профаканого токена - не понятно что помешает атакующему развести на это юзера. А если не допускает - тогда при первом же отклонении от идеала ("usb разъем отломался" или что там) - юзеру будет мучительно больно.
Но что самое веселое - это все никак не проверяет контент, его аутентичность и проч. Т.е. оно вообще решает - какую-то совершенно не релевантную сабжу задачу.
> FIDO2 сложнее, это зависит от реализации, на nitrokey ключ возможно вгрузить через
> PIV интерфейс например.
И вот на вид - много гимора с небольшими или отсутствующими бенефитами. Да еще на вебе долбануто. Так что для себя я предпочту это все не трогать даже трехметровой палкой.
А по логике вещей - на самом деле все что надо было тем чудакам - потребовать девов подписывать все заливаемые пакеты - своими уже заранее известными ключами. Вот это и атаковать неудобно, и защищает - именно контент, проверяя что он именно от обещанной тушки исходит, а не кого-то еще, и та тушка проштамповала подпись взяв ответственность за содержимое на себя. При продолбе ключ просто отзывается и более оно залить ничего не сможет уже. А если потребовать чтобы за сэра вписалось несколько участников проекта подписав его ключ ДО того как он сможет пакеты релизить - атаковать это станет неудобно, сложно, канительно и станет возможен traceback на тему того кто апрувнул атакующего или долбоящера.

Ответить | Правка | Наверх | Cообщить модератору

86. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (85), 24-Сен-25, 11:27

>А о том что делать если они все же сдохли или про@#$лись мы подумаем - потом
Зачем - потом? Вот приходишь в офис с выданным Хозяевами ID, предъявляешь его, платишь пошлину, фотографируешься, сдаёшь отпечатки, чтобы всяким не членам Хозяйской ОПГ было неповадно, ведь если ты самозванец и к чужому аккаунту так доступ получить хотел без одобрения Хозяев, то будешь турма сидеть, компания пишет на почту, привязанную к аккаунту, ты либо не отвечаешь, либо отвечаешь "да, это я", и тебе всего через месяц берут и дают доступ к "твоему" аккаунту.

Ответить | Правка | К родителю #66 | Наверх | Cообщить модератору

100. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от User (??), 24-Сен-25, 14:28

> А о том что делать если они все же сдохли или про@#$лись мы подумаем - потом.
Ох, ну ВЫ конкретно - да, потом. Или нет - вообще думать не будете.
А для всех остальных - вот шо в инструхции на эти самые ключи, шо в форме регистрации на сайте шо делать - написано.

Ответить | Правка | К родителю #66 | Наверх | Cообщить модератору

99. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от User (??), 24-Сен-25, 14:27

А вот в linux'е с этим, кстати, проблемочки. system-wide решения, работающего с TPM не завезли (Но есть костыль!) - пользуйтесь ну... вот... keepassxc!

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

26. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от morphe (?), 23-Сен-25, 22:18

> а если там есть рекавери вариант входа, для получения нового секрета для нового токена (а он есть), то "мы просто свели задачу к предыдущей".
Ну и обычно с fido2 у тебя либо скачивается код восстановления, либо только через саппорт
Не думаю что кто-то это иначе реализует.

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

32. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +1 +/–

Сообщение от Аноним (36), 23-Сен-25, 22:46

Да да, 2 недели назад дядю как раз отправляли фейковым письмом не восстановление 2ФА кодов... ну отправят на восстановление FIDO2... и получат код сами.

Ответить | Правка | Наверх | Cообщить модератору

34. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от morphe (?), 23-Сен-25, 22:50

> ну отправят на восстановление FIDO2... и получат код сами.
Потому что человек привыкает к подобным действиям и выполняет их машинально, не думая, и это проблема всех подобных схем основанных на людях.
Код восстановления же никто на постоянке не использует (= у человека больше времени на подумать не делает ли он чот не то), а FIDO2 от подобного MITM защищён (= машинально применять можно).

Ответить | Правка | Наверх | Cообщить модератору

103. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от User (??), 24-Сен-25, 15:03

Как ты думаешь - сработало бы оно при использовании 2FA\Fido\webauthn\passkeys?

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

134. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от OpenEcho (?), 24-Сен-25, 23:47

> FIDO2 хорош тем, что ключ не будет выдан, если домен отличается.
Да ну !!! И сплит ДНС не поможет?

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

138. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (28), 25-Сен-25, 02:24

Прикинь?! Вот это чудо-технологии! Волшебство прямо какое-то.

Ответить | Правка | Наверх | Cообщить модератору

144. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от OpenEcho (?), 25-Сен-25, 10:24

> Прикинь?! Вот это чудо-технологии! Волшебство прямо какое-то.
И в правду волшебсво...
И как оно отличает что  www != www ?

Ответить | Правка | Наверх | Cообщить модератору

8. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +5 +/–

Сообщение от Аноним (8), 23-Сен-25, 20:42

А TOTP чем-то им не угодил?

Ответить | Правка | Наверх | Cообщить модератору

10. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (11), 23-Сен-25, 20:50

Тем что все его ставят аддоном в браузер и хранят рядом с паролем.

Ответить | Правка | Наверх | Cообщить модератору

12. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +1 +/–

Сообщение от morphe (?), 23-Сен-25, 20:52

Злоумышленники создают фейк сайты где запрешивают оба фактора. От такого totp не спасает

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

16. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (36), 23-Сен-25, 21:31

А что из предложенного спасёт ?

Ответить | Правка | Наверх | Cообщить модератору

18. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +1 +/–

Сообщение от Секрет Полишинеля (?), 23-Сен-25, 21:43

Правильно настроенный парольный менеджер. Он пароль не отдаст фейковому сайту и не покажет коллеге за спиной. И никакой 2FA не нужен. Только тссс!

Ответить | Правка | Наверх | Cообщить модератору

19. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +1 +/–

Сообщение от Аноним (36), 23-Сен-25, 21:55

Но это на стороне клиента делается, а не на стороне сервера.. если клиент очень хочет подарить свой доступ третьим лицам, он это сделает несмотря на препоны..

Ответить | Правка | Наверх | Cообщить модератору

21. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (36), 23-Сен-25, 22:05

ну и
>Переход на гранулированные токены, время жизни которых ограничено 7 днями.
>Классические токены будут объявлены устаревшими и доступ с их помощью будет
> по умолчанию отключён.
тут все это автоматические автоматизации по выкату версий через гит пуш, билт, тест, коммут в npm, идут лесом.. раз в 7 дней перевыпускать руками токен можно первые пару месяцев, потом это задолбает даже самых упёртых.
ну и таки если ты постоянно чтото разрабатываешь, то токен актуальный ты таки положишь, и тогда в приведённой несколько дней назад схеме ничего не поменяется, червю глубоко нас рать на то, временный он спёр токен или постоянный, что бы запушить "одно небольшое дополнение к безусловно хорошему пакету".

Ответить | Правка | Наверх | Cообщить модератору

25. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от morphe (?), 23-Сен-25, 22:16

> тут все это автоматические автоматизации по выкату версий через гит пуш, билт,
> тест, коммут в npm, идут лесом.. раз в 7 дней перевыпускать
> руками токен можно первые пару месяцев, потом это задолбает даже самых
> упёртых.
Для CI предлагается OIDC (последний пункт), без постоянных токенов.

Ответить | Правка | Наверх | Cообщить модератору

30. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (36), 23-Сен-25, 22:43

И как оно поможет не получить секрет в момент штатной сборки (и, напомню, тут же его и  применить для своих не шибко чистых целей, будь он хоть 5 минутной жизни)?
тут как бы или мы держим токен в секрете, и тогда не очень важно, 10 минутный он или годовой.. или мы его пролюбливаем на сторону и он сражу зе и пременятся "по назначению".
Это смахивает на проверку на рамках с выворачиванием карманов на входе на концерты и в театры.. 20 лет выворачивали чтобы злые дяди не прошли... задолбали своими проверками и задержками начала концертов и спектаклей всех и зрителей и артистов. но как только дяди захотели войти, то случилось так, что как раз от них то рамки не помогают ни разу.

Ответить | Правка | Наверх | Cообщить модератору

33. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от morphe (?), 23-Сен-25, 22:47

> И как оно поможет не получить секрет в момент штатной сборки (и,
> напомню, тут же его и  применить для своих не шибко
> чистых целей, будь он хоть 5 минутной жизни)?
Он за пределы CI не выходит
Атаки на CI конечно существуют, спасибо кривизне гитхаб экшонов, но всё же более редкие чем атака лично на разработчиков.
> задолбали своими проверками и задержками начала концертов и спектаклей всех и зрителей и артистов
Объективно fido2 ключ удобнее и безопаснее чем TOTP, при правильной реализации его невозможно украсть (через софт, физически конечно можно, но это не тот сценарий атаки)/обмануть через MITM/ещё как-то

Ответить | Правка | Наверх | Cообщить модератору

39. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (36), 23-Сен-25, 22:57

Так буча и пошла именно с такой атаки. изнутри, при СИ скачивался заражённый модуль, тырил ключ (который при правильной организации процесса не должен был быть доступе для сборки, но был) и по нему коммитил свои грязные дела в репу.
тут мы меняем токен системы А на токен системы Б и всё. больше ничего не меняется. если мы  могли угнать старый, то и сможем еще раз и новый. мы это токен даже никуда не отправляем, а коммитим прямо отсюда же. меняйте хоть 2 разА на дню. трояну не мешает.

Ответить | Правка | Наверх | Cообщить модератору

43. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от morphe (?), 23-Сен-25, 23:05

> тут мы меняем токен системы А на токен системы Б и всё.
> больше ничего не меняется. если мы  могли угнать старый, то
> и сможем еще раз и новый. мы это токен даже никуда
> не отправляем, а коммитим прямо отсюда же. меняйте хоть 2 разА
> на дню. трояну не мешает.
Раньше был постоянный токен которым пользователь сам руками распоряжался и мог по тупости его потерять, буквально из буфера обмена вставить не на том сайте/сохранить прямо в репу/чот ещё. С OIDC ты будешь авторизовать условный гитхаб на публикацию пакетов от твоего имени, и ответственным за получение одноразовых токенов будет уже гитхаб.
Более того, все будут знать что это за токен, и откуда он пришёл, в случае утечки будет сразу понятно кто обосрался, в отличии от токенов, управление которыми доверяют прямо юзеру.

Ответить | Правка | Наверх | Cообщить модератору

141. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (-), 25-Сен-25, 04:02

> сайте/сохранить прямо в репу/чот ещё. С OIDC ты будешь авторизовать условный
> гитхаб на публикацию пакетов от твоего имени, и ответственным за получение
> одноразовых токенов будет уже гитхаб.
И в результате гитхаб получает - тотал контроль над девом. Ну круто, да. Майкрософт и тотал контроль. Что же тут может пойти не так? А, вот, скайп например не даст соврать что. Чочо, всего 16 миллионов за раз на мороз выкинули? А на гитхабе больше? :)

Ответить | Правка | Наверх | Cообщить модератору

37. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +1 +/–

Сообщение от morphe (?), 23-Сен-25, 22:53

> Он пароль не отдаст фейковому сайту и не покажет коллеге за спиной.
Сайты изменяются, и парольные менеджеры перестают определять формы входа порой. А на некоторых сайтах автозаполнение просто не работает.
Поэтому у людей всё равно есть привычка механически копировать и вставлять данные, и в итоге они не защищены.

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

62. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Ангним (?), 24-Сен-25, 02:10

Мой менеджер паролей (битварден) даже если не смог угадать форму, показывает только креды от сайта, на котором я нахожусь.
Если мне надо куда-то зайти,а менеджер не показывает логины и их надо искать -  это небольшой такой колокол, что происходит какая-то стрёмная хрень.

Ответить | Правка | Наверх | Cообщить модератору

41. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +1 +/–

Сообщение от morphe (?), 23-Сен-25, 23:02

> А что из предложенного спасёт ?
Fido2. Нормальная криптография вместо паролей, и проверка кто на самом деле ключ запрашивает идёт в железке, его нельзя так просто перехватить.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

104. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от User (??), 24-Сен-25, 15:05

Эээ... да примерно все. Нет, если вы сумеете еще и комплиментарный закрытому ключу на U2F открытый в свой фишинг-сайт запихнуть - то таки да, проблемочки.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

45. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (47), 23-Сен-25, 23:10

Тем, что нет TEE-аттестации и биометрии.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

23. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +1 +/–

Сообщение от Bob (??), 23-Сен-25, 22:11

Пора бы уже "галочки" подтверждённых адресантов и адресатов делать.
ООО Mozilla и условный "анонимный" Вася, аппрувнутый через GNU.ORG
p.s.: о Васе знает только ООО GNU.ORG (сразу вайпает данные, после проверки на валидность). А Мозилла верит GNU и держателю Васеного "идентификатора".

Ответить | Правка | Наверх | Cообщить модератору

31. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (28), 23-Сен-25, 22:45

Опять дети WoT изобретают. Ты бы ещё key signing party предложил провести.

Ответить | Правка | Наверх | Cообщить модератору

51. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." –1 +/–

Сообщение от Аноним (51), 23-Сен-25, 23:36

Не, время эту лапшу на уши вешать давно прошло. Сейчас время "ультраправых" политиков: нам не будут лапшу науши вешать про "вот он ГНУ, но ничего никуда никому не сольёт", вместо этого будут через колено ломать: заходить будете через госуслуги, а кто не хочет через госуслуги заходить - тот вообще никак заходить не будет.

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

65. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." –2 +/–

Сообщение от Аноним (65), 24-Сен-25, 03:41

> через госуслуги заходить - тот вообще никак заходить не будет.
Ага, в зимбабве или как там его - уже попробовали. И тут вдруг хипстеры как полезли на улицы из всех щелей. И таки вон те - несколько напряглись с такой фигни. Ж@па то - не казенная, за нее стремновато.

Ответить | Правка | Наверх | Cообщить модератору

76. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Жироватт (ok), 24-Сен-25, 08:25

tor-project уже давно не тот - донатов с печенькам этим хипстерам не всегда хватает уже, особенно после разгона Рыжим конторы по раздаче розовых единорогов.

Ответить | Правка | Наверх | Cообщить модератору

117. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (-), 24-Сен-25, 17:39

> tor-project уже давно не тот - донатов с печенькам этим хипстерам не
> всегда хватает уже, особенно после разгона Рыжим конторы по раздаче розовых
> единорогов.
Да при чем тут тор прожект? В зимбабве или как его там, непале - просто вырубили социалочки. Ну хипстеры и спалили им парламент. Был непал - стал подпал. Заметьте, подпал то вышел - с уже выключенными социалочками.
И тут из зала подсказывают - в 1917 вообще никаких социалок не было. А 314ли задолбавшим приспешникам царизма - навешали только в путь.

Ответить | Правка | Наверх | Cообщить модератору

143. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." –1 +/–

Сообщение от Жироватт (ok), 25-Сен-25, 08:35

Это тот самый Непал, где до этого активно резвились штатовские НКО, готовя его как горячую точку для Китая и Индии, если они решат хоть чуть-чуть замириться, да?
Причём полыхнуло - ой как удобно-то! - после того саммита ШОС, где штаты послали уже прямым текстом, ага. Сов падение, не иначе.
> И тут из зала подсказывают - в 1917 вообще никаких социалок не было.
Помню-помню.
Тут уже из зала принесли папочку с разделами "опломбированный вагон", "кайзерские деньги в английских банках на нужды РСДРП в Швейцарии" и другим документальным рассекреченным чтивом.

Ответить | Правка | Наверх | Cообщить модератору

42. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +5 +/–

Сообщение от Аноним (47), 23-Сен-25, 23:05

>Использование одноразовых паролей (TOTP) для двухфакторной аутентификации будет объявлено устаревшим
Когда Micro$oft навязывал "2FA" на GitHubе, я предупреждал - это всё ради навязывания биометрического FIDO2 с аттестацией, включая TEE-аттестацию Windows Hello. Dсякие клоуны на опеннете троллили "но ведь TOTP не имеет никакой аттестации". Вот вам ваш TOTP. Что ваш хозяин прикажет - тем вас юзать и будут.

Ответить | Правка | Наверх | Cообщить модератору

64. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (65), 24-Сен-25, 03:39

> в репозитории NPM решено реализовать дополнительные меры защиты:
Предлагаю более эффективный вариант - запретить прием пакетов. К чему все эти голимые полумеры и издевательства над хипстерами? Это пожалуй единственный вариант как сделать безопасно при хипстерах в роли разработчиков, который и правда будет работать на практике.

Ответить | Правка | Наверх | Cообщить модератору

71. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." –2 +/–

Сообщение от Аноним (71), 24-Сен-25, 04:29

И правильно, давно пора. Все эти токены, все это для соевых хипстеров. Нормальная защита начинается с двухфакторки по смс, а заканчивается на ограничении входа с определенного статического айпи.
У нормальных разработчиков есть выделенка со статикой, а уж вторую симку купить, вставив её в "бабушкофон" который всегда будет лежать на одном месте и никуда не выноситься, это раз плюнуть.

Ответить | Правка | Наверх | Cообщить модератору

84. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (82), 24-Сен-25, 10:38

>Нормальная защита начинается с двухфакторки по смс
А что не сразу с первого отдела, оформления допуска и пары автоматчиков на проходной?

Ответить | Правка | Наверх | Cообщить модератору

89. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (87), 24-Сен-25, 11:53

>вставив её в "бабушкофон"
С китайской прошивкой который все когда и переотправит сам с этой же симки по смс, лол.
>есть выделенка со статикой
Некоторые хостеры всё ещё разрешают спуфить исходящий ip, ну и если ты уже часть ботнета вайтлист это иллюзия.

Ответить | Правка | К родителю #71 | Наверх | Cообщить модератору

118. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (-), 24-Сен-25, 17:45

> Некоторые хостеры всё ещё разрешают спуфить исходящий ip, ну и если ты
> уже часть ботнета вайтлист это иллюзия.
Но это работает только с udp - ибо только в 1 сторону. А ответные то пакеты на левый айпи ты не получишь. И вот что ты будешь делать кроме флуда пакетами?

Ответить | Правка | Наверх | Cообщить модератору

105. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от User (??), 24-Сен-25, 15:08

Ага, ага.
Второй фактор, для которого любой Васян из салона сотовой связи может склонить симку (Мамой клянус, потерял! Выпиши новую, камандыр!) - ааатличная идея, надежная, как швейцарские часы!

Ответить | Правка | К родителю #71 | Наверх | Cообщить модератору

77. Скрыто модератором +/–

Сообщение от Аноним (-), 24-Сен-25, 08:29

Почему не используют стандартную защиту от подделок комаров как в: ядре Linux, Gentoo, Arch, ... ?!!

Ответить | Правка | Наверх | Cообщить модератору

93. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." –1 +/–

Сообщение от Аноним (93), 24-Сен-25, 13:27

Я правильно понимаю, что у местных экспертов поднялся вой из-за перехода на стандарт безопасности, которому больше 10 лет и он даынм давно везде реализован и применяется, но по мнению местных экспертов это сырая смузитехнология?

Ответить | Правка | Наверх | Cообщить модератору

101. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (101), 24-Сен-25, 14:30

Нет, неправильно.

Ответить | Правка | Наверх | Cообщить модератору

152. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (152), 25-Сен-25, 19:57

А что не так?

Ответить | Правка | Наверх | Cообщить модератору

113. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от AnonNym (?), 24-Сен-25, 17:29

> Использование одноразовых паролей (TOTP) для двухфакторной аутентификации будет объявлено устаревшим. Пользователи будут переведены на протокол FIDO U2F.
т.е. протокол FIDO U2F подразумевает использование (исключительно) аппаратных ключей. Получается так по идее.

Ответить | Правка | Наверх | Cообщить модератору

123. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +1 +/–

Сообщение от Аноним (92), 24-Сен-25, 19:06

Не просто аппаратных, а думают на будущее: конкретных вендоров.

Ответить | Правка | Наверх | Cообщить модератору

128. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (128), 24-Сен-25, 20:51

А зачем это все надо? По ключам как в ssh нельязя сделать аутентификацию? Чего они там ловить будут? попросят в email закрытый ключ им отправить?

Ответить | Правка | Наверх | Cообщить модератору

149. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Аноним (149), 25-Сен-25, 15:59

> А зачем это все надо?
Чтобы ты купил железку конкретного поддерживаемого вендора с конкретной начинкой внутри, а не сам генерил закрытый ключ, никому не известный.

Ответить | Правка | Наверх | Cообщить модератору

150. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +/–

Сообщение от Ями (?), 25-Сен-25, 18:08

/thread

Ответить | Правка | Наверх | Cообщить модератору

139. "NPM для усиления защиты уходит от использования TOTP 2FA и к..." +1 +/–

Сообщение от Кошкажена (?), 25-Сен-25, 02:58

Вряд ли это что-то поменяет. Проблема npm в культуре тамошних разработчиков, точнее ее отсутствии.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "NPM уходит от использования TOTP 2FA и классических токенов ..."	+6 +/–
Сообщение от FSA (ok), 23-Сен-25, 20:30
[РКН]. Я только понял как удобно использовать TOTP... Это заговор. Всё то, что мне начинает нравится, скатывается... KDE, Gnome, Ubuntu, Jabber...
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "NPM уходит от использования TOTP 2FA и классических токенов ..."	+6 +/–
	Сообщение от Аноним (3), 23-Сен-25, 20:33
	Джаббер-то где и чем скатился, пардон?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "NPM уходит от использования TOTP 2FA и классических токенов ..."	–4 +/–
	Сообщение от Аноним (28), 23-Сен-25, 22:41
	Ровно в тот момент, когда оказалось что Whatsapp не будет включать федерацию.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	48. "NPM уходит от использования TOTP 2FA и классических токенов ..."	+6 +/–
	Сообщение от Аноним (48), 23-Сен-25, 23:23
	Ну это решение проприетарного Штоапа. При чём здесь Jabber вцелом? Виноват только тем, что Всосап тоже использовал XMPP ?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	124. "NPM уходит от использования TOTP 2FA и классических токенов ..."	+/–
	Сообщение от Аноним (28), 24-Сен-25, 19:18
	А больше публичных сетей такого размера и не существует. Вацап — единственный пример, когда джаббер взлетел.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	130. "NPM уходит от использования TOTP 2FA и классических токенов ..."	+1 +/–
	Сообщение от Аноним (130), 24-Сен-25, 21:47
	https://xmpp.org/uses/instant-messaging/#projects-using-xmpp... https://xmpp.org/uses/gaming/#online-games-using-xmpp https://xmpp.org/uses/social/#projects-using-xmpp-social https://xmpp.org/uses/webrtc/#projects-using-webrtc-with-xmpp https://xmpp.org/uses/internet-of-things/#realized-example-p... Ещё, почему-то, не увидел там Одноклассники - в скором, единственную соцсеть доступную в РФ.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	137. "NPM уходит от использования TOTP 2FA и классических токенов ..."	+/–
	Сообщение от Аноним (28), 25-Сен-25, 02:21
	По первой же ссылке, тройка лидеров с проприетарными версиями и расширениямт, без федерации. Всё ещё жду чудо-истории про федеративный джаббер с сотнями миллионов клиентов
	Ответить \| Правка \| Наверх \| Cообщить модератору


	79. "NPM уходит от использования TOTP 2FA и классических токенов ..."	+2 +/–
	Сообщение от Аноним (3), 24-Сен-25, 09:51
	Как протокол ответственнен за решение коммерческого сервиса, который его заюзал, предварительно изменив до неузнаваемости? Риторический вопрос, конечно же, омномниму с опеннета виднее.
	Ответить \| Правка \| К родителю #28 \| Наверх \| Cообщить модератору


	125. "NPM уходит от использования TOTP 2FA и классических токенов ..."	+/–
	Сообщение от Аноним (28), 24-Сен-25, 19:19
	А что, есть какие-то другие истоии про головокружительный успех джаббера? Про то, как ты и ещё 3,5 анонима полняли себе jabbed на впс за доллар не интересны.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "NPM уходит от использования TOTP 2FA и классических токенов ..."	+6 +/–
	Сообщение от Аноним (11), 23-Сен-25, 20:52
	За 5 лет использования аппаратного FIDO токена убедился, что это примерно в 10 тысяч раз удобнее чем ввод кодов с телефона.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	85. "NPM уходит от использования TOTP 2FA и классических токенов ..."	+6 +/–
	Сообщение от Аноним (85), 24-Сен-25, 11:19
	Небось для тебя и биометрией платить удобно, да?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	87. "NPM уходит от использования TOTP 2FA и классических токенов ..."	+/–
	Сообщение от Аноним (87), 24-Сен-25, 11:42
	У меня нет оплаты билметрией. Но оцениваю это как вторжение туда куда не нужно. Как это связано с аппаратными токенами? Токен можно собрать, хоть на Ардуино с аппаратным USB. Можно купить секьюрный от юби или гугл титан. Можно чуть менее секьюрный, но опенсурсный и прошиваемый от SoloKeys/Nitrokey.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	90. "NPM уходит от использования TOTP 2FA и классических токенов ..."	+/–
	Сообщение от Аноним (90), 24-Сен-25, 12:22
	Я делал для базы паролей KepassXC со вторым фактором с помощью обычной флешки, не заморачиваясь с YubiKey
	Ответить \| Правка \| Наверх \| Cообщить модератору


	94. "NPM уходит от использования TOTP 2FA и классических токенов ..."	+/–
	Сообщение от Аноним (94), 24-Сен-25, 13:44
	> Я делал для базы паролей KepassXC со вторым фактором с помощью обычной > флешки, не заморачиваясь с YubiKey А можете поделтиться вашим примером, каким образом вы это реализовывали и если это где-то есть в отрытом виде, то поделитесь пожалуйста ссылочкой?!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	102. Скрыто модератором	+/–
	Сообщение от Димая (?), 24-Сен-25, 14:37
	Вся твоя биометрия давно и везде есть. Почему ты в интернете?
	Ответить \| Правка \| К родителю #85 \| Наверх \| Cообщить модератору


	108. "NPM уходит от использования TOTP 2FA и классических токенов ..."	+2 +/–
	Сообщение от Анонус (?), 24-Сен-25, 17:06
	Я вот оглядываюсь по сторонам, и понимаю что в случае если я этот аппаратный токен потеряю - у меня будет невероятная головная боль. 2FAS Auth какой нить хотя бы бэкапится в google drive, а тут как?
	Ответить \| Правка \| К родителю #11 \| Наверх \| Cообщить модератору


	132. "NPM уходит от использования TOTP 2FA и классических токенов ..."	+1 +/–
	Сообщение от OpenEcho (?), 24-Сен-25, 23:32
	> Я вот оглядываюсь по сторонам, и понимаю что в случае если я этот аппаратный токен потеряю - у меня будет невероятная головная боль. Очень правильно понимаете ! > 2FAS Auth какой нить хотя бы бэкапится в google drive, а тут как? Как правило, все кто предосталяют возможность юзать аппаратные ключи, всегда перед его добавлением в акаунт, выдают бэкап код(ы) - как раз для таких случаев
	Ответить \| Правка \| Наверх \| Cообщить модератору


	116. "NPM уходит от использования TOTP 2FA и классических токенов ..."	+/–
	Сообщение от Соль земли2 (?), 24-Сен-25, 17:39
	Ну аппаратный токен - это всё таки отдельная железка, что уже избавляет от программных уязвимостей.
	Ответить \| Правка \| К родителю #11 \| Наверх \| Cообщить модератору


	115. "NPM уходит от использования TOTP 2FA и классических токенов ..."	+/–
	Сообщение от Соль земли2 (?), 24-Сен-25, 17:35
	> Всё то, что мне начинает нравится, скатывается... KDE, Gnome, Ubuntu, Jabber... Начали за здравие... Ничто не вечно.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору

2. Скрыто модератором	+5 +/–
Сообщение от Аноним (3), 23-Сен-25, 20:33
Вот это их хлопнуло по голове. Интересно, они понимают что большинство контрибьюторов на три буквы их отправит с этими пожеланиями? Нормальный TOTP в качестве MFA - это достаточно защищённо. Все вот эти вот мертворожденные высеры с FIDO - это для шизиков уровня бородача Столлмана, которые никуда никогда не поедут, и дико ограничат людей как в железе, так и в софте. NPM, походу, решил себя закопать.
Ответить \| Правка \| Наверх \| Cообщить модератору


	13. Скрыто модератором	+/–
	Сообщение от morphe (?), 23-Сен-25, 20:55
	> Все вот эти вот мертворожденные высеры с FIDO - это для шизиков уровня бородача Столлмана, которые никуда никогда не поедут, и дико ограничат людей как в железе, так и в софте. Fido2 уже везде есть. Нет возможности использовать железный ключ - в браузерах есть passkeys. TOTP намного менее удобно чем нажать на nitrokey стоящий в usb порту
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. Скрыто модератором	+1 +/–
	Сообщение от Аноним (3), 23-Сен-25, 20:57
	Не всё в жизни - это браузер. По крайней мере, у меня.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. Скрыто модератором	–1 +/–
	Сообщение от morphe (?), 23-Сен-25, 22:07
	> Не всё в жизни - это браузер. По крайней мере, у меня. Браузеры используют системное хранилище ключей по идее Не уверен как это работает в софте, у меня уже лет 8 железный ключ есть, знаю лишь что софтверные u2f давно везде существуют
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. Скрыто модератором	+1 +/–
	Сообщение от penetrator (?), 23-Сен-25, 22:30
	а чем это отличается от рандомного пасворда в текстовом файле? иллюзией изоляции и защищенности?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. Скрыто модератором	+/–
	Сообщение от Аноним (28), 23-Сен-25, 22:43
	Файл можно незаметно украсть. Лаптоп — нет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	36. Скрыто модератором	+4 +/–
	Сообщение от Аноним (36), 23-Сен-25, 22:52
	Лаптоп можно случайно полить кофе.. забыть в такси. причём вместе с сумкой где и резервный токен лежал.. еще раз, если чел озаботился САМ безопасностью то резервный токен у него будет лежать отдельно, но он и на поддельное письмо скорее всего не клюнет, и TOTP не подарит... а если клюнет, то скорее всего и токен будет пролюблен при первой же возможности.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	107. Скрыто модератором	+/–
	Сообщение от Аноним (-), 24-Сен-25, 17:04
	> Лаптоп можно случайно полить кофе.. забыть в такси. причём вместе с сумкой > где и резервный токен лежал.. И вот тут ты поговоришь с AI на тему восстановления твоего аккаунта. В смысле, удачи! :) > еще раз, если чел озаботился САМ безопасностью то резервный токен у него > будет лежать отдельно, но он и на поддельное письмо скорее всего > не клюнет, и TOTP не подарит... а если клюнет, то скорее > всего и токен будет пролюблен при первой же возможности. Дилемма: как решить человеческую проблему "разработчик - долбоящер" техническими методами? Spoiler: эта проблема не имеет решения. Но очень хочется - долбоящеры ж дешевле!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	38. Скрыто модератором	+1 +/–
	Сообщение от penetrator (?), 23-Сен-25, 22:54
	> Файл можно незаметно украсть. Лаптоп — нет. если у тебя появился доступ к лаптопу и его файлам на уровне - что хочу то ворочу, то ты сможешь встроиться в пайплан и тебе никакой 2FA не поможет ну как можно надеяться на магический токен, если систему уже скомпрометирована? ну это же сюр
	Ответить \| Правка \| К родителю #29 \| Наверх \| Cообщить модератору


	40. Скрыто модератором	+1 +/–
	Сообщение от morphe (?), 23-Сен-25, 23:00
	> ну как можно надеяться на магический токен, если систему уже скомпрометирована? ну это же сюр FIDO2 требует физического подтверждения присутствия, удачи что-то серьёзное провести автоматически и незаметно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	47. Скрыто модератором	+/–
	Сообщение от Аноним (47), 23-Сен-25, 23:19
	Можно робота сделать, который силиконовым муляжом пальца с фейковыми паппилярными узорами будет жать на токен с биометрией. Но эту проблему решат. Там в FIDO2 встроен механизм аттестации. Грубо говоря аттестацию можно свести к следующей максиме - "с несвоим (не произведённым своим альянсом, и тут не FIDO2 имеется в виду, а альянс производителя железа и хозяина платформы) железом и софтом дела не имеем". Поэтому отрубить вход не через Windows Hello - как нефиг делать, в стандарте эта возможность изначально заложена. Будешь как пользователь яблоустройств - не можешь целостное устройство нужной модели предъявить - значит вон на мусорный полигон пошёл, M$ не обязан благотворительностью заниматься, тебе хостинг бесплатно предоставляя, вот устройство купи, биометрию предъяви, тем самым сервис оплати - вот тогда добро пожаловать.
	Ответить \| Правка \| Наверх \| Cообщить модератору