Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Каталог PyPI перешёл на обязательную двухфакторную аутентификацию "	+/–
Сообщение от opennews (??), 02-Янв-24, 09:44
Разработчики репозитория Python-пакетов PyPI (Python Package Index) объявили о внедрении обязательной двухфакторной аутентификации для всех пользователей. Без включения двухфакторной аутентификации пользователь теперь не сможет загружать файлы и выполнять действия, связанные с управлением своим проектом. Ранее двухфакторная аутентификация была принудительно включена для учётных записей пользователей, сопровождающих хотя бы один проект или входящих в курирующие пакеты организации... Подробнее: https://www.opennet.me/opennews/art.shtml?num=60382
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 02-Янв-24, 09:44	–4 +/–
Как они произносят - пипи?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23

2. Сообщение от Аноним (2), 02-Янв-24, 09:59	+4 +/–
Это правильно.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #110

7. Сообщение от Аноним (7), 02-Янв-24, 10:55	+2 +/–
Предлагаю наносить разрабам штрих-код на лоб и вживлять подкожный чип, чтобы на 100% быть уверенными, что репозиторий содержит безопасный код.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #10, #11, #12, #107

8. Сообщение от Аноним (8), 02-Янв-24, 11:20	+/–
До безопасного кода нам далеко, особенно в PyPI. Но это шаг к уверенности в том, что код положил сам разработчик.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #33

9. Сообщение от robot228 (?), 02-Янв-24, 11:24	–2 +/–
Что значит загружать? Может правильнее выгружать? Ох уж эти термины Download & Upload
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28, #70, #71, #74

10. Сообщение от Аноним (10), 02-Янв-24, 11:24	+/–
Ни в коем случае! Пусть репу льет кто попало, можно вообще без авторизации. Вот тогда заживем!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #50, #108

11. Сообщение от Аноним (11), 02-Янв-24, 11:25	+1 +/–
> вживлять подкожный чип 2024 год, а параноики на технических ресурсах все еще продолжают считать, что двуфакторка - это ректальные зонды от злобных корпораций...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #13, #53

12. Сообщение от Аноним (11), 02-Янв-24, 11:36	+/–
А если без шуточек, может ли уважаемый эксперт предложить более адекватные алтернативы, решающие проблемы "использования того же пароля на скомпрометированном сайте, взломов локальной системы разработчика или применения методов социального инжиниринга"?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #18

13. Сообщение от Аноним (13), 02-Янв-24, 11:39	+1 +/–
Лучше быть параноиком, что свой номер телефона оставить рукожопам-питонистам
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #14, #15, #91

14. Сообщение от Аноним (14), 02-Янв-24, 11:41	+1 +/–
SMS-коды не двухфакторка. Нормальная двухфакторка - OTP в приложении, а еще лучше, ключ безопасности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

15. Сообщение от Аноним (-), 02-Янв-24, 11:52	+6 +/–
/_- Ты вообще слышал про такие слова как FreeOTP, LinOTP, Authy и другие? Если для тебя двухфакторка это "номер телефона оставить" - то все правильно, такому "специалисту" нечего делать в профессии.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #16, #17

16. Сообщение от Аноним (16), 02-Янв-24, 12:01	+1 +/–
Вопрос не в том, что слышал аноним. Вопрос в том, что слышали администраторы Пипи.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #19

17. Сообщение от Аноним (11), 02-Янв-24, 12:03	+/–
> Ты вообще слышал про такие слова как FreeOTP, LinOTP, Authy и другие? Да ничего они не слышали и не хотят. В каждой новости с упоминанием двуфакторки на Опеннете начинается одна и та же песня про сливы данных, "цифровой гулаг", "хозяев", корпоративное рабство и прчую дичь...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #32, #111

18. Сообщение от нах. (?), 02-Янв-24, 12:05	–2 +/–
> А если без шуточек, может ли уважаемый эксперт предложить более адекватные алтернативы, > решающие проблемы "использования того же пароля на скомпрометированном сайте, взломов > локальной системы разработчика или применения методов социального инжиниринга"? обычный пароль ровно на столько же решает эти несуществующие проблемы. При этом для вашего большего удобства по прежнему любой васян может, стырив токен, обновить твой лефтпад на что-то более интересное - без всяких паролей и логинов (ой, простите, с логином... __token__ - да, ты будешь ржать)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #21, #34

19. Сообщение от Аноним (-), 02-Янв-24, 12:10	+5 +/–
>  Вопрос в том, что слышали администраторы Пипи. Просто открываешь статью. И читаешь. >>> В качестве предпочтительного способа двухфакторной аутентификации заявлена схема на базе совместимых со спецификацией FIDO U2F аппаратных токенов >>>  Кроме токенов также можно использовать приложения ... поддерживающих протокол TOTP, например, Authy, Google Authenticator и FreeOTP. Неужели это так сложно?! Зачем придумывать бредовейшие теории если тебе в тексте все и так разжевали. Это что какой-то особый вид опеннетного слабоумия? Может это дислексия и люди тупо не понимаю смысл буковок?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

20. Сообщение от Аноним (20), 02-Янв-24, 12:12	+/–
GitHub кстати тоже. https://codeberg.org/KOLANICH/Fuck-GuanTEEnomo
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24, #27, #89

21. Сообщение от Аноним (-), 02-Янв-24, 12:14	+/–
> эти несуществующие проблемы. О, подьехали "иксперты бизопасности". Пароль утекает тупо скриншотом соседнего окна в дырявом х11. Или кейлогером. А попробуй угадать число с disconnected token generator'a? > стырив токен Прям из кармана стырит?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #25, #77, #78

23. Сообщение от Аноним (23), 02-Янв-24, 12:18	+3 +/–
пай-пи-ай
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

24. Сообщение от Аноним (-), 02-Янв-24, 12:19	+1 +/–
> You should stop using ₲itHub because О, это не тот, который написал похожий манифест про вейлад? А то стиль очень похожий "паранойя + бахтхерт + бездоказательные утверждения" Думаю гитхаб не многое потеряет, если такое "свалит и громко хлопнет дверью".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #61

25. Сообщение от нах. (?), 02-Янв-24, 12:22	–1 +/–
> Пароль утекает тупо скриншотом соседнего окна в дырявом х11. Или кейлогером. kokokoй ужос. А чего ж у меня в "дырявом X11" ничего никуда не утекло? Там, знаешь ли, поинтересней лефтпадов можно найти. >> стырив токен > Прям из кармана стырит? уровень экспертов опеннета. Я тебе даже слово поисковое написал - __token__. Тырить его даже и не надо будет скорее всего (хотя у такого л-ха у которого в ужастном x11 кейлогеры - он конечно и в хомяке тоже просто лежит с chmod 666) - лежит себе закомиченый в гитхапе и гитляпе, для надежности в обоих. А чо такова, инфраструктурка же ж аss in cococode!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #29, #41

27. Сообщение от Аноним (-), 02-Янв-24, 12:22	+3 +/–
Посмотрел что это за чудо. Из описания его репы -_\ My nickname is KOLANICH, it is an uppercase (and shouldn't be downcased or capitalized) of a kinda transliteration of the Russian word Коляныч and is pronounced as /koˌlʲaˌnɨt͡ɕʲ/. It is derived from Колян, which is a variant of Коля (usually transliterated as Kolya) which is a diminutive of Николай (Nikolay), which English analogue is Nick. I'm not a "sir": I have never been knighted, and I think that it is completely inacceptable to be a part of any suzerain-vassal relationships. Думаю на мнение "коляныча, который обязательно капсом" можно, с чистой совестью и без колебаний, забить и положить))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #30, #37, #95

28. Сообщение от Аноним (23), 02-Янв-24, 12:24	+3 +/–
На русском оба слова одинаково правильно и неправильно используются в обоих смыслах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #72

29. Сообщение от Аноним (-), 02-Янв-24, 12:30	–1 +/–
> А чего ж у меня в "дырявом X11" ничего никуда не утекло? Без понятия, может у тебя интернета нету) > Там, знаешь ли, поинтересней лефтпадов можно найти. Ух сколько пафоса? Думаешь кому-то нужны писульки сотрудника замшегого НИИ? > Я тебе даже слово поисковое написал - __token__. Тырить его даже и не надо будет скорее всего (хотя у такого л-ха у которого в ужастном x11 кейлогеры - он конечно и в хомяке тоже просто лежит с chmod 666) - лежит себе закомиченый в гитхапе и гитляпе, для надежности в обоих. А чо такова, инфраструктурка же ж аss in cococode! Ты просто деревянный? Тебе в статье внятно написали, что рекомендуют "апаратные токены". > ужастном x11 кейлогеры Да, тут я возможно преувеличил. Оно ж настолько дырявое что просто получаешь рута и делаешь что хочешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #31

30. Сообщение от Аноним (13), 02-Янв-24, 12:31	+4 +/–
Тем более в рыцари никогда не был посвящен
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #57

31. Сообщение от нах. (?), 02-Янв-24, 12:36	+/–
> Ты просто деревянный? нет, это ты - феноменально т-пой. Настолько что не можешь поискать это слово в тексте статьи. Нет, внезапно оно отменяет и логины с паролями, и аппаратные и любые другие 2fa. Ну и да, то что они рекомендуют - это fido. т.е. такой охрененно-аппаратный токен, который заодно подсматривает и комунада сообщает куда ты ходишь (и нет, ты не можешь сделать свой- рыльцем не вышел). Просто замечательно. Рекомендую сразу использовать windows hello с face id. > Оно ж настолько дырявое что просто получаешь рута и делаешь что хочешь. только в твоем маня-мирке. Просыпайся уже, под тобой лужа.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #35, #40, #96

32. Сообщение от Аноним (-), 02-Янв-24, 12:37	+/–
> "цифровой гулаг", "хозяев", корпоративное рабство и прчую дичь... Как думаешь это проекция страхов, негативный жизненный опыт или нереализованные фантазии? Может просто в их обществе/стране любят жесткие отношения и четкую иерархию?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #58

33. Сообщение от нах. (?), 02-Янв-24, 12:39	+/–
> До безопасного кода нам далеко, особенно в PyPI. > Но это шаг к уверенности в том, что код положил сам разработчик. да, главное - веровать!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

34. Сообщение от Аноним (11), 02-Янв-24, 12:40	–1 +/–
>> использования того же пароля на скомпрометированном сайте > обычный пароль ровно на столько же решает Ясно, понятно... Может, объяснишь, каким именно образом пароль решает проблемы взломов локальной системы разработчика или применения методов социального инжиниринга? > любой васян может, стырив токен Лол, токен привязан к устройству, поэтому васяну ножно будет стырить и взломать два девайса.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #38

35. Сообщение от Аноним (-), 02-Янв-24, 12:49	+/–
> Ну и да, то что они рекомендуют - это fido. т.е. такой охрененно-аппаратный токен, который заодно подсматривает и комунада сообщает куда ты ходишь (и нет, ты не можешь сделать свой- рыльцем не вышел). >  подсматривает и комунада сообщает куда ты ходишь Может еще и пруфцов подкинешь? А то языком мести все могут. > и нет, ты не можешь сделать свой - рыльцем не вышел Э? ты предлагаешь мне самому развести платку и спаять? Не спасибо, у меня есть более важные дела. (хотя открытые проекты типа  nitrokey-fido-u2f-firmware существуют) Неужели тебе его даже продавать не хотят? Может ты лицом не вышел, а может ты из тех, с кем уже на одном поле даже гадить не сядут. Ну тогда мир не много потеряет, если ты свой питоно-лефтпад не сможешь закоммитить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #36

36. Сообщение от нах. (?), 02-Янв-24, 12:54	+/–
> Может еще и пруфцов подкинешь? А то языком мести все могут. человеку неумеющему в поиск - бесполезно. А остальные - найдут. > Неужели тебе его даже продавать не хотят? с хрена ли я должен доверять продавану? > Ну тогда мир не много потеряет, если ты свой питоно-лефтпад не сможешь закоммитить. чтобы закомитить свой лефтпад я просто пользуюсь (неодобряемым гуглом но мы его ценное мнение не будем спрашивать) плагином генерящим шиткод прямо в браузере. Найух потому что идите за меня решать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #39

37. Сообщение от нах. (?), 02-Янв-24, 12:58	+1 +/–
> Посмотрел что это за чудо. не читать же текст с техническими терминами, действительно. Буков много и все непонятные. > Думаю на мнение "коляныча, который обязательно капсом" можно, с чистой совестью и > без колебаний, забить и положить)) ведь важно не что написано, а кем! Вот владельцы пипи или там шитхаба - те уважаемые, они точно знают как надо. Можно дальше и не читать, а сразу бежать выполнять их ценнейшие указания. Будет точно сесюрно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #43, #49, #55, #84

38. Сообщение от Аноним (11), 02-Янв-24, 12:59	+/–
> любой васян может, стырив токен Кстати говоря, васяну помимо девайса с токеном нужно стырить и сам пароль. Или ты не знал, что двуфакторка - это дополнение к паролю?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

39. Сообщение от Аноним (-), 02-Янв-24, 13:00	+/–
>> Может еще и пруфцов подкинешь? А то языком мести все могут. > человеку неумеющему в поиск - бесполезно. А остальные - найдут. А впрочем я нифига не удивлен (с) > с хрена ли я должен доверять продавану? Микросхемы ты тоже в гараже печатешь? > чтобы закомитить свой лефтпад я просто пользуюс ... плагином генерящим шиткод прямо в браузере. Наверное классный плагин, позволяет писать шиткод прям в комменты опеннета! > Найух потому что идите за меня решать. Как-будто ты в своей жизни, воообще что-то решаешь) Ну подождем еще лет 5, думаю потому такие как ты кодом будет делиться только через дискетки (если найдут целые))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

40. Сообщение от Аноним (11), 02-Янв-24, 13:01	+/–
> такой охрененно-аппаратный токен, который заодно подсматривает и комунада сообщает куда ты ходишь Собственно, что и требовалось доказать. Чел без шуток: если тебе кажется, что за тобой следят или что-то подсыпают в еду - это типичные симптомы шизофрении.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #42

41. Сообщение от Аноним (11), 02-Янв-24, 13:07	+/–
> Я тебе даже слово поисковое написал - __token__. Тырить его даже и не надо будет скорее всего [...] Чел, токен можно стырить только с устройством, для которого он сгенерирован. И что ты с ним будешь делать с токеном, если у тебя нет первого фактора - пароля? > лежит себе закомиченый в гитхапе и гитляпе, для надежности в обоих То ли дело код, да? 🤡
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #44

42. Сообщение от нах. (?), 02-Янв-24, 13:09	–2 +/–
предыдущие строчки ты пропустил потому что там ни одной понятной тебе буквы, я правильно понимаю? > Собственно, что и требовалось доказать. что ты д-л - доказывать было незачем. Разумеется рыться в документации что такое fido и откуда берутся участники этой схемки ты тоже не станешь, обоcpaтушки как и с __token__. Папуас искренне верит что если он спрятался ночью в траве - белый человек с ночным прицелом его совершенно не видит. А все остальное - "паранойя".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #48, #59

43. Сообщение от Аноним (10), 02-Янв-24, 13:09	+1 +/–
> ведь важно не что написано, а кем! Конечно важно читать кем! Потому что можно долго вчитываться в шизофренический бред в поиске хоть какой-то логики, а потом глянул что это за поциэнт... и сразу стало все понятно))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

44. Сообщение от нах. (?), 02-Янв-24, 13:10	–3 +/–
>> Я тебе даже слово поисковое написал - __token__. > Тырить его даже и не надо будет скорее всего [...] > Чел, токен можно стырить только с устройством, для которого он сгенерирован. И я тебе слово - написал не просто так именно таким образом. Если бы ты был не феноменально т-пой... впрочем, о чем я, это ж опеннет. > что ты с ним будешь делать с токеном, если у тебя > нет первого фактора - пароля? с этим - все буду делать, потому что ему даже и первый не нужен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #51, #52, #54

47. Сообщение от Аноним (50), 02-Янв-24, 13:17	+/–
"можно использовать приложения для аутентификации на базе одноразовых паролей, поддерживающих протокол TOTP" TOTP не слишком надёжен, т.к. утечка ключа на основе которого генерятся пароли для входа очень легко может произойти (например с телефона на котором приложение TOTP).
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #116

48. Сообщение от Аноним (11), 02-Янв-24, 13:18	+/–
> предыдущие строчки ты пропустил потому что Каке строчки? Вот жти что ли: > внезапно оно отменяет и логины с паролями, и аппаратные и любые другие 2fa. Извини, но это очередная чушь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #79

49. Сообщение от Аноним (-), 02-Янв-24, 13:18	+/–
> не читать же текст с техническими терминами, действительно. Буков много и все непонятные. Я его прочитал полностью) Начинается там с причитаний о дискриминации "₲itHub has discriminated users of 1FA passwords". Ну так писал бы сразу в спортлото! Далее рассказывает про harming yourself, возможно это что-то личное. Может ему билл гейтс ночью звонил и страшно дышал в трубку. Потом жалуется на то что его заставляют пользоваться фичей. ₲itHub decides for users how and how much they should keep their accounts secure. Users should decide it themselves. Не очень понятно с чего он вдруг решил за гитхаб какие фичи хороши, а какие нет. Я уже представляю как такое приходит в булочную и возбухает, что они обязаны(!!) делать хлеб по 1.2кг, потому что ему так хочется. В любом случае, это не единственная булочная - так что пусть катится на гитлаб, или скорее на рухаб (или как оно называется). Ноет что "2FA carries inherent risks of losing access by losing 2nd factor: any device can be broken, stolen or lost;" То что ему фисташка может постучать палочкой по голове или усадить поудобнее на стеклянный предмет - и он потеряет память, он почему-то не написал. Что странно. Ноет что M$ is a stakeholder in FIDO, то что они же Platinum в линуксфаундешн он не вспомнил, а то пришлось бы линкус удалить тоже) > ведь важно не что написано, а кем! Вот владельцы пипи или там шитхаба - те уважаемые, они точно знают как надо. Именно так, они знают как будет им удобнее. И они решают. А ты можешь пользоваться или нет. Это как бар - в одном у тебя спросят паспорт, зато там чисто и недалеко от дома, а в другом нальют даже малолетке, но там всяки бичи лежат в лужах. И ты сам можешь выбрать в какой идти. Можешь в первый, а можешь во второй, особенно если ты туда за малолетками идешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #65

50. Сообщение от Аноним (50), 02-Янв-24, 13:18	+/–
Авторизация по паролю чем-то не устраивает?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

51. Сообщение от Аноним (11), 02-Янв-24, 13:21	+/–
> с этим - все буду делать, потому что ему даже и первый не нужен Нет, нужен, и поэтому ничего ты с одним токеном не сделешь. От тебя потребуют первый фактор, ибо иначе это уже не двуфакторка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

52. Сообщение от Аноним (-), 02-Янв-24, 13:24	+/–
Ты в последних темах настолько жидко обделываешься, что кажется, что у тебя празднечный делирий. Попробуй еще раз после рождества.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

53. Сообщение от Аноним (53), 02-Янв-24, 13:25	+1 +/–
> 2024 год, а параноики на технических ресурсах все еще продолжают считать, что двуфакторка - это ректальные зонды от злобных корпораций... Местные опасаются будущего огораживания в виде отказа от TOTP. Мол, наступит время и сервисы с наигранным удивлением раскритикуют TOTP за возможность держать его на том же устройстве, в приложении рядом с паролями. Мол, только мы запретили глупым пользователям ненадёжные пароли создавать, а они теперь второй фактор обесценивают, так дальше продолжаться не может!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #56

54. Сообщение от Аноним (11), 02-Янв-24, 13:26	+/–
> Если бы ты был не феноменально т-пой... Порочесть о работе 2FA не хватило ума тебе, но тупым при этом оказался я... Что ж, как скажешь. Срывай дальше покровы с двуфакторки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

55. Сообщение от Аноним (57), 02-Янв-24, 13:28	+/–
> ведь важно не что написано, а кем! Именно так. Вот видишь ты ссылку на probonopdʼа. Вспоминаешь "а это тот малохольный который собирал 'баги' вейланда, причем уже исправленные из списка вкрысу не удалял, ну чтобы список побольше был" и сразу доверия к его словам нет. Думаю у любом городе есть "местные сумашедшие", про которых все знают и всерьез их не воспринимают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #81

56. Сообщение от Аноним (11), 02-Янв-24, 13:37	+/–
> Местные опасаются будущего огораживания в виде отказа от TOTP. Ну, что там в их воображаемом будущем приходит на замену TOTP - это их личные больные фантазии, не имеющие к теме двуфакторки никакого отношения. А компроментации инфраструктуры они ни опасаются? Риторический вопрос...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #112

57. Сообщение от Аноним (57), 02-Янв-24, 13:39	+/–
Бородатый анекдот вспомнился Переполненный троллейбус. Мужчина, прилично одет, выбрит, с папочкой трогает соседа за плечо: — Будьте любезны, пожалуйста, не затруднит ли вас передать мой билетик на компостер? — Ты что, #####, ИНТИЛИГЕНТ?! — Что вы!.. Что вы!.. Отнюдь!.. Такое же б№№№о, как и вы...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

58. Сообщение от Аноним (11), 02-Янв-24, 13:40	+/–
> Как думаешь это проекция страхов, негативный жизненный опыт или нереализованные фантазии? Если отвечать серъезно: думаю, что интернет во многом и состоит из неадекватов, ибо в реальной жизни они места себе не нашли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

59. Сообщение от scriptkiddis (?), 02-Янв-24, 13:53	+/–
Зачем ты им что-то пытаешься доказывать. Они поколение которое верует что дядя выплавивший микруху, не подпихнул туда бэкдор (хотя доказательств море). Так они воспитаны этими же дядями. Тут уже все.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #63, #64

61. Сообщение от Аноним (61), 02-Янв-24, 14:00	+/–
Нет. не тот.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

62. Сообщение от Аноним (62), 02-Янв-24, 14:00	+/–
К счастью, что не вход по номеру телефону и не предложение повертеть головой перед веб-камерой. Этот уже мем.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #66

63. Сообщение от Аноним (11), 02-Янв-24, 14:11	+/–
> Они поколение которое верует что дядя выплавивший микруху, не подпихнул туда бэкдор (хотя доказательств море). Но это, конечно же, не затронуло девайс, на котром ты написал этот коммент? Ну и в целом: где ты видишь связь между дввфакторкой и бэкдорами?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #67

64. Сообщение от нах. (?), 02-Янв-24, 14:15	+/–
так там на самой штуковине может и нет бэкдора (ну в смысле - можно даже поверить что его нет, потому что микрухи ширпотреб и даже код кое-где глянуть можно). В смысле - нештатного нет. Сама fido - backdoor by design просто. (и это мы еще про ее реализацию в Браузере даже не начинали) И нет, воспитаны они не дядями а просто дятлами. Дяди э... особенности? реализации протокола особо и не прятали никогда, все могут почитать, но сразу предупреждаю - буков там много и все аглицкие, непонятные.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

65. Сообщение от нах. (?), 02-Янв-24, 14:19	+/–
>> не читать же текст с техническими терминами, действительно. Буков много и все непонятные. > Я его прочитал полностью) но всю техническую часть поскипал потому что те буквы тебе были непонятные. > Начинается там с причитаний о дискриминации "₲itHub has discriminated users of 1FA > passwords". > Ну так писал бы сразу в спортлото! он написал ровно куда надо - там где есть люди, способные что-то изменить хотя бы лично для себя. > Не очень понятно с чего он вдруг решил за гитхаб какие фичи > хороши, а какие нет. с английским я смотрю у тебя тоже не очень. > И ты сам можешь выбрать в какой идти. Можешь в первый, а > можешь во второй, особенно если ты туда за малолетками идешь. а могу и плюнуть  в стакан. Бармена нихера не жаль, пусть оттирает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #68, #69

66. Сообщение от нах. (?), 02-Янв-24, 14:22	+/–
> К счастью, что не вход по номеру телефону и не предложение повертеть > головой перед веб-камерой. Этот уже мем. в смысле? windows hello - один из доверенных механизмов fido2. Не уверен что работает в обычном Браузере, а в кастрированный йож - можешь именно вертеть, во всяком случае они обещали еще год назад. (нет, х-ем нельзя, к сожалению)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

67. Сообщение от Аноним (-), 02-Янв-24, 14:22	+/–
> Ну и в целом: где ты видишь связь между дввфакторкой и бэкдорами? Если уже параноить - то по максимуму, полумеры в таком важном деле не подходят. Есть же люди которые использует всякие либробуты, сидять на 3 пне чтобы без intelME. Не летают в самолетах (там же пасспорт проверяют!).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

68. Сообщение от Аноним (-), 02-Янв-24, 14:25	+/–
>> Не очень понятно с чего он вдруг решил за гитхаб какие фичи хороши, а какие нет. > с английским я смотрю у тебя тоже не очень. И как ты переведешь это ₲itHub decides for users how and how much they should keep their accounts secure. Users should decide it themselves. ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

69. Сообщение от Аноним (10), 02-Янв-24, 14:33	+/–
> способные что-то изменить хотя бы лично для себя. Угу, изменили. Всё на что они способны - свалить)) > а могу и плюнуть  в стакан. Да ты и на барную стойку на#рать можешь. А потом будешь удивляться, чего это у меня паспорт на входе просят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #73

70. Сообщение от ы (?), 02-Янв-24, 14:36	+/–
загружать можно на сервер загружать можно локально
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

71. Сообщение от Аноним (-), 02-Янв-24, 14:37	+/–
Если код особенно плохой, то можно его "вылаживать" )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

72. Сообщение от robot228 (?), 02-Янв-24, 14:56	+/–
> На русском оба слова одинаково правильно и неправильно используются в обоих смыслах. Ну как и да и нет. Я вот сколько лет уже не знаю как донести мысль, в разных источниках по разному пишут. Но привычно стало именно выгрузить если имеется ввиду от себя информацию куда-то.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

73. Сообщение от Аноним (73), 02-Янв-24, 15:05	+/–
https://www.youtube.com/watch?v=-uP9N7e4Ejs 1:06:55
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

74. Сообщение от Аноним (74), 02-Янв-24, 15:39	+/–
Выкачивать (скачивать) и закачивать (заливать). Двусмысленности нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

77. Сообщение от Аноним (77), 02-Янв-24, 16:28	+/–
>Пароль утекает тупо скриншотом соседнего окна в дырявом х11. Пример приведёшь, реального случая такого хищения пароля? Или сферический конь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

78. Сообщение от Аноним (77), 02-Янв-24, 16:28	+/–
>Пароль утекает тупо скриншотом соседнего окна в дырявом х11. Пример приведёшь, реального случая такого хищения пароля? Или сферический конь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

79. Сообщение от нах. (?), 02-Янв-24, 16:30	–1 +/–
> Извини, но это очередная чушь. эта "чушь" написана прямо в тексте статьи. Нет, не этой, а оригинала анонса. Ну да, ну да - сброд опеннета не умеет ни в англицкие буковки ни в понимание технических текстов. Им сказали что 2fa это крута и сисюрна - и они радостно расшибают лобешники. Впрочем, подозреваю, примерно такое же обитает и во всей области деятельности вреднозитория pypi. Причем когда они будут этот __token__ копипастить - даже в этот момент ни о чем не задумаются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #83

81. Сообщение от нах. (?), 02-Янв-24, 16:35	+/–
> собирал 'баги' вейланда, причем уже исправленные из списка вкрысу не удалял, ну чтобы список побольше был чтоб быстроподнятое все же оставалось - упавшим. Но конечно зачем же ему доверять, ведь баговнет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #82

82. Сообщение от Аноним (-), 02-Янв-24, 16:49	+/–
> чтоб быстроподнятое все же оставалось - упавшим. Подумаешь баг закрыли в начале 21 года, причем баг который сам г-н probonopd и заводил. Но в своем "списке обидок на этих нехороших людей" он так и висит типа "broken since 2020". Если человек врет на каждом шагу, то с чего ему верить "в этот раз"? > Но конечно зачем же ему доверять, ведь баговнет. Чтобы посмотерть баги, я всегда могу открыть их багтрекер. А не доверять мнению поехавшего.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81

83. Сообщение от Аноним (83), 02-Янв-24, 17:03	+/–
> эта "чушь" написана прямо в тексте статьи. Нет, не этой, а оригинала анонса. Ну да, ну да - сброд опеннета не умеет ни в англицкие буковки ни в понимание технических текстов. Открываем анонс https://blog.pypi.org/posts/2023-06-01-2fa-enforcement-for-u.../: > Beginning today, all uploads from user accounts with 2FA enabled will be required to use an API Token or Trusted Publisher configuration in place of their password. Открываем https://pypi.org/help/#apitoken > API tokens provide an alternative way (instead of username and password) to authenticate when uploading packages to PyPI. То есть везде черным по белому написано, что API токены являются альтернативой первому фактору - паролю. Итак, чередной опернетный неадекват, лжец  и балабол позорно сел в лужу, но зато успел окрестить всех дураками и сбродом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

84. Сообщение от Врач (??), 02-Янв-24, 17:04	+/–
Так это ты первым постом под анонимом про пипи острил? Дядь, ты бы правда о лечении подумал, зачем ты тут пишешь свои шизофазические простыни?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

87. Сообщение от banonymous (?), 02-Янв-24, 17:46	+/–
Интернет по паспорту
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #88

88. Сообщение от Аноним (-), 02-Янв-24, 17:49	–2 +/–
> Интернет по паспорту Не вижу ничего плохого) В баре ребенку бухлишко не нальют, в КИБ спросят пспорт на кассе. Пусть дети сидят в своем интернете и не портят мой, я и так его могу испортить сам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87 Ответы: #90

89. Сообщение от penetrator (?), 02-Янв-24, 18:23	+/–
уже давно, и если эта шляпа - все что ты нашел, то советую поискать дисскуссии на самом гитхабе там много адекватной информации, хорошо изложенной в итоге не то, чтобы много кто свалил, но какая-то часть ушла
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #92

90. Сообщение от penetrator (?), 02-Янв-24, 18:24	+2 +/–
майор перелогинься
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88

91. Сообщение от Kuromi (ok), 02-Янв-24, 19:22	+/–
Вот что с людьми русский банкинг (и не только) делает. В России под двухфакторкой понимается исключительно СМС на телефон. Почему это так понятно и это не технические соображения. (Напомню, что условный Юмани будучи Яндекс.Деньгами умел в TOTP, а уйдя в собственность Сбера - СРАЗУ ЖЕ разучился).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #99, #114

92. Сообщение от Аноним (-), 02-Янв-24, 19:23	+/–
> уже давно, и если эта шляпа - все что ты нашел, то > советую поискать дисскуссии на самом гитхабе > там много адекватной информации, хорошо изложенной спасибо, попробую найти > в итоге не то, чтобы много кто свалил, но какая-то часть ушла Даже если бы из было 10-20-30 процентов, то основной вопрос "а сколько из них было платных?" Гитхаб не богодельня, и занимается бизнесом. Модель "пользуешься бесплатно, привыкаешь, покупаешь". Если оттуда ушли те кто пользовался только для себя и платить не собирался, то думаю они вообще не расстроились.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89

93. Сообщение от Kuromi (ok), 02-Янв-24, 19:24	+/–
"FIDO U2F аппаратных токенов и протокола WebAuthn, которая позволяет добиться более высокого уровня безопасности по сравнению с генерацией одноразовых паролей." А вот тут интересно. Откуда утверждение что WеbAuthn безопаснее TOTP?
Ответить | Правка | Наверх | Cообщить модератору

94. Сообщение от Аноним (94), 02-Янв-24, 20:14	–2 +/–
Внедряем TOTP и аппаратные ключи ← мы находимся здесь Запрещаем экспорт аппаратных ключей в страны без правильной демократии ← мы будем здесь до конца 2024 Старые версии ключей не поддерживаются из-за бага, который случайно немножечко бэкдор Весь прогрессивный мир с осуждением смотрит на страны без правильной демократии, сами себя отрезавшие от прогрессивного человечества
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #97, #98, #117

95. Сообщение от Аноним (95), 02-Янв-24, 20:29	+/–
Я буду называть его Коланик
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

96. Сообщение от Kuromi (ok), 02-Янв-24, 20:55	+/–
Ну и да, то что они рекомендуют - это fido. т.е. такой охрененно-аппаратный токен, который заодно подсматривает и комунада сообщает куда ты ходишь (и нет, ты не можешь сделать свой- рыльцем не вышел). Во первых - можешь, делали уже люди свои U2F токены, правда они говенные выходят. Во вторых, "стучать" железные токены не могут, но чисто теоретически если использовать один токен на разных сервисах то может быть можно вычислить что пользователь А тут и пользователь Б там - один и тот же. Вот только ничто не мешает тебе завести парочку токенов и не использовать один везде. Что до Windows Hello, то его моно использовать, да, но те кто его пользуют и вообще логинятся мордой лица - ну с этими людьми уже бесполезно говорить. Они мордой и в метро\магазине платить будут (Сбер уже предлагает платить улыбкой в камеру) и в ЕБС сами зарегаются, для них цифровой эксгибиоционизм это норма.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

97. Сообщение от Аноним (-), 02-Янв-24, 21:15	+/–
А смысл? роскомнадзор просто забанит все наружу, причем скорее всего раньше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94

98. Сообщение от Аноним (10), 02-Янв-24, 21:19	+1 +/–
Почему все сторонники заговоров придумывают такие сложные схемы? Намного проще просто забанить на гитхабе. И все. Пара хитрецов попробую пролезть через тор, прокси, впн и тд... ну, их вычислят какими-то другими способами. Плюс обрати внимание на доступ к гитхабу напр. в Китае, С. Корее или Северном Зимбабве. Он же забанен изнутри страны, а не извне.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94 Ответы: #105

99. Сообщение от Аноним (99), 02-Янв-24, 21:37	+/–
Согласно российским законам СМС является надёжным стредство двухфакторки, а TOTP, даже на ГОСТах, нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91 Ответы: #103, #104

103. Сообщение от К.О. (?), 03-Янв-24, 02:11	+/–
Всё правильно, дубликат симки изготовить - это товарищу майору ещё как-то понятно, а все эти TOTP враги придумали, со всей очевидностью.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99

104. Сообщение от Kuromi (ok), 03-Янв-24, 03:15	+/–
> Согласно российским законам СМС является надёжным стредство двухфакторки, а TOTP, даже > на ГОСТах, нет. В российских ГОСТах очень много чего нет (потому что придумано не в России), и что, все игнорировать? Тезис в духе "А кто утвердил законы физики? В скольких чтениях прошли слушание?"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99

105. Сообщение от Аноним (105), 03-Янв-24, 05:59	–1 +/–
Проще не значит лучше. Прямые баны всем очевидны и портят имидж "свободы демократии", а непрямые через аппаратные ключи достигают того же результата, но совершенно незаметно, что не вредит имиджу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98

106. Сообщение от Аноним (106), 03-Янв-24, 07:20	+/–
PyPI и ему подобные репозитории нужно прикрыть. В основном они хранят, за исключением пары десятков, мусорные проекты на уровне helloworld, очередного генератора uuid, 100500 версий от ИМЯПОЛЬЗОВАТЕЛЯ очередного генератора ЧЕГОТОТАМ. Крупные проекты имеют свои сайты, репозитории и т.д.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #109

107. Сообщение от Аноним (110), 03-Янв-24, 09:14	+/–
> Предлагаю наносить разрабам штрих-код на лоб и вживлять подкожный чип, > чтобы на 100% быть уверенными, что репозиторий содержит безопасный код. И камеры дома поставить - чтобы была уверенность что он сам код печатал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

108. Сообщение от Аноним (110), 03-Янв-24, 09:16	+/–
> Ни в коем случае! Пусть репу льет кто попало, можно вообще без авторизации. > Вот тогда заживем! Those who would give up essential liberty to obtain little temporary safety, deserve neither.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

109. Сообщение от Аноним (-), 03-Янв-24, 09:28	–1 +/–
>PyPI и ему подобные репозитории нужно прикрыть. Цивиллизованный европеец может написать подобный комментарий?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106

110. Сообщение от Аноним (110), 03-Янв-24, 11:03	+2 +/–
> Это правильно. Добро пожаловать в концлагерный опенсорц имени мегакорпораций.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #113

111. Сообщение от Аноним (110), 03-Янв-24, 11:06	–1 +/–
> В каждой новости с упоминанием двуфакторки на Опеннете начинается одна и та > же песня про сливы данных, "цифровой гулаг", "хозяев", корпоративное рабство и прчую дичь... Ну вообще-то когда тебя облагодетельствуют путем наставления пушки, "а не то!" - ну его нахрен таких благодетелей и продвигаемые ими блага, имхо. Что-то концлагерем очень уж пованивает, там тоже овчарки и часовые "для вашей же безопасности".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

112. Сообщение от Аноним (110), 03-Янв-24, 11:08	+/–
> А компроментации инфраструктуры они ни опасаются? Риторический вопрос... Нифига себе пафосноа название для питонопомойи. Там 80% пакетов - нечто уровня домашки. Впрочем оно как раз и вымрет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

113. Сообщение от Аноним (113), 03-Янв-24, 15:54	+/–
А этот контроль мегакорпораций над двухфакторной аутентификацией с вами в одной комнате?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110

114. Сообщение от Аноним (113), 03-Янв-24, 15:57	+/–
Забавно, но те же Госуслуги или Почта России умеют в TOTP
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91

115. Сообщение от Аноним (113), 03-Янв-24, 16:05	+/–
Мда, в комментах столько паранойи насчёт TOTP, в которой комментаторы не разобрались. Там же буквально берётся какая-нибудь кодовая фраза, известная серверу и приложению для TOTP, добавляется время и хэшируется, и обрезается до 6 цифр, вот вам и двухфакторка. Однако, всё же есть и нормальные минусы: так двухфакторка реально полезна только если взломщик сумел узнать только пароль и ничего больше (хотя если тот же пароль используется в других сервисах то жертве конец в любом случае). Большинство современных стилеров же ныне крадут куки и сессии, чего в данном случае достаточно для угона всего, чего надо, и вот этому никакие двухфакторки не помешают (только если не спрашивать код на каждом чиху).
Ответить | Правка | Наверх | Cообщить модератору

116. Сообщение от Аноним (116), 03-Янв-24, 20:25	+/–
Как раз с телефона его даже целенаправленно, обладая всеми доступами к устройству, вычленить сложно а то и невозможно без рутового эксплоита.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

117. Сообщение от Гуру (?), 08-Янв-24, 20:05	+/–
Ха ха ха гитпаб сам себя заблокировал от нормальных разработчиков , нормальный разработчик не поидет в конц лагерь гуд бей , по смс авторизацию надо было вводить
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема