| 1.1, FSA (ok), 20:30, 23/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
 [РКН]. Я только понял как удобно использовать TOTP... Это заговор. Всё то, что мне начинает нравится, скатывается... KDE, Gnome, Ubuntu, Jabber...
| | |
| |
| |
| 3.28, Аноним (28), 22:41, 23/09/2025 [^] [^^] [^^^] [ответить]
| –4 +/– |
Ровно в тот момент, когда оказалось что Whatsapp не будет включать федерацию.
| | |
| |
| 4.48, Аноним (48), 23:23, 23/09/2025 [^] [^^] [^^^] [ответить]
| +6 +/– |
Ну это решение проприетарного Штоапа. При чём здесь Jabber вцелом? Виноват только тем, что Всосап тоже использовал XMPP ?
| | |
| |
| 5.124, Аноним (28), 19:18, 24/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
А больше публичных сетей такого размера и не существует. Вацап — единственный пример, когда джаббер взлетел.
| | |
| |
| |
| 7.137, Аноним (28), 02:21, 25/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
По первой же ссылке, тройка лидеров с проприетарными версиями и расширениямт, без федерации. Всё ещё жду чудо-истории про федеративный джаббер с сотнями миллионов клиентов
| | |
|
|
|
| 4.79, Аноним (3), 09:51, 24/09/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
Как протокол ответственнен за решение коммерческого сервиса, который его заюзал, предварительно изменив до неузнаваемости? Риторический вопрос, конечно же, омномниму с опеннета виднее.
| | |
| |
| 5.125, Аноним (28), 19:19, 24/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
А что, есть какие-то другие истоии про головокружительный успех джаббера? Про то, как ты и ещё 3,5 анонима полняли себе jabbed на впс за доллар не интересны.
| | |
|
|
|
| 2.11, Аноним (11), 20:52, 23/09/2025 [^] [^^] [^^^] [ответить]
| +6 +/– |
За 5 лет использования аппаратного FIDO токена убедился, что это примерно в 10 тысяч раз удобнее чем ввод кодов с телефона.
| | |
| |
| |
| 4.87, Аноним (87), 11:42, 24/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
У меня нет оплаты билметрией. Но оцениваю это как вторжение туда куда не нужно.
Как это связано с аппаратными токенами? Токен можно собрать, хоть на Ардуино с аппаратным USB. Можно купить секьюрный от юби или гугл титан. Можно чуть менее секьюрный, но опенсурсный и прошиваемый от SoloKeys/Nitrokey.
| | |
| |
| 5.90, Аноним (90), 12:22, 24/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Я делал для базы паролей KepassXC со вторым фактором с помощью обычной флешки, не заморачиваясь с YubiKey
| | |
| |
| 6.94, Аноним (94), 13:44, 24/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
> Я делал для базы паролей KepassXC со вторым фактором с помощью обычной
> флешки, не заморачиваясь с YubiKey
А можете поделтиться вашим примером, каким образом вы это реализовывали и если это где-то есть в отрытом виде, то поделитесь пожалуйста ссылочкой?!
| | |
|
|
|
| 3.108, Анонус (?), 17:06, 24/09/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Я вот оглядываюсь по сторонам, и понимаю что в случае если я этот аппаратный токен потеряю - у меня будет невероятная головная боль.
2FAS Auth какой нить хотя бы бэкапится в google drive, а тут как?
| | |
| |
| 4.132, OpenEcho (?), 23:32, 24/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Я вот оглядываюсь по сторонам, и понимаю что в случае если я этот аппаратный токен потеряю - у меня будет невероятная головная боль.
Очень правильно понимаете !
> 2FAS Auth какой нить хотя бы бэкапится в google drive, а тут как?
Как правило, все кто предосталяют возможность юзать аппаратные ключи, всегда перед его добавлением в акаунт, выдают бэкап код(ы) - как раз для таких случаев
| | |
|
| 3.116, Соль земли2 (?), 17:39, 24/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Ну аппаратный токен - это всё таки отдельная железка, что уже избавляет от программных уязвимостей.
| | |
|
| 2.115, Соль земли2 (?), 17:35, 24/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Всё то, что мне начинает нравится, скатывается... KDE, Gnome, Ubuntu, Jabber...
Начали за здравие... Ничто не вечно.
| | |
|
| 1.4, Аноним (4), 20:37, 23/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
Не проще ли просто не пользоваться ни nodejs, ни npm? Да и вообще джаваскриптом тож не пользоваться.
| | |
| |
| |
| 3.15, Аноним (15), 21:10, 23/09/2025 [^] [^^] [^^^] [ответить]
| +3 +/– |
Он и не пользуется. И у него никаких проблем в жизни нет типа описанных в соседних новостях. Вот он и спрашивает, для чего этим пользуются другие.
| | |
| |
| 4.81, пох. (?), 10:00, 24/09/2025 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Он и не пользуется.
угу, в лесу ж живет. И из сайтов только опеннет. Через lynx (и то плюсик без шкриптов не нажмется)
> И у него никаких проблем в жизни нет
еще б эти пещерные жители еще и не пользовались достижениями цивилизации через других людей (от записи к врачу до покупки бухла) - просто лежали б себе в лесу в колоде, ждали смерти - то и вреда б от них не было почти никакого.
> типа описанных в соседних новостях. Вот он и спрашивает, для чего
> этим пользуются другие.
для чего вообще компьютером пользоваться? Для выдалбливания себе помиральной колоды он совершенно не подходит.
| | |
| |
| 5.136, Аноним (-), 01:18, 25/09/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
> для чего вообще компьютером пользоваться? Для выдалбливания себе помиральной колоды он
> совершенно не подходит.
А ты что с NodJS и софтом на нем вообще делаешь? Хотя я знаю что - про таких говорят что мол, везде грязь найдет. Хотя ты даже и покруче грязи найдешь. И еще расскажешь как в это запрыгнуть правильно, с разбега, чтоб во все стороны и с брызгами. И когда все наконец в крапинку и воняет - во, это тебе по вкусу.
Но можешь уже закупать себе токен и прокачивать скилл целования ботинок майкрософта. Правда а у тебя есть хоть 1 комит в их пакеты? Или ты чисто из рабской солидарности ботинки лобызать хозяину лезешь, чтоб тем не так обидно было?
| | |
|
|
| 3.73, Аноним (73), 07:37, 24/09/2025 [^] [^^] [^^^] [ответить]
| –2 +/– |
Я бы тоже не пользовался, но все приложения на электроне, сейчас.
| | |
| |
| 4.80, пох. (?), 09:54, 24/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
чего это вдруг - фсе?
Вот у меня уже второе реально нужное наклевывается на голой ноде.
(у первого мордой настоящий браузер на машине юзера, а не этовашеелехтрон, а тут вообще консольное)
И да, curl sudo su в качестве инструкции по установке. Как жы ещо!
| | |
| |
| 5.133, OpenEcho (?), 23:42, 24/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Вот у меня уже второе реально нужное наклевывается на голой ноде.
Вот это очень интересно услышать названия этих годных от самого пох-а
| | |
|
|
|
|
| 1.5, пох. (?), 20:37, 23/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– | |
такое впечатление, что они спросили совета как жыть - у чатгопоты.
(последний пункт еще мог бы иметь какой-то смысл, но все остальное - какой-то полный bullshit составленный по мотивам модных трендов без малейшей попытки понять причину и механизм последних взломов)
| | |
| |
| 2.67, Аноним (-), 03:47, 24/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Ну и не говоря о том что железные ключи практически бессмертные.
Вероятно они так и сделали. Напоминаю! Мы про npm. Это яваскриптеры, Карл! Так что это - "highly likely"!
| | |
|
| 1.7, Аноним (-), 20:40, 23/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
FIDO2 хорош тем, что ключ не будет выдан, если домен отличается. TOTP от такого типа атак не защищает.
| | |
| |
| 2.20, Аноним (36), 21:59, 23/09/2025 [^] [^^] [^^^] [ответить]
| +4 +/– | |
и тут ваш fido2 девайс внезапно сдох и...... (да, я понимаю что у Вас лично их 5 шт запасных настроено, но у среднего обывателя он был ровно один.)
а если там есть рекавери вариант входа, для получения нового секрета для нового токена (а он есть), то "мы просто свели задачу к предыдущей".
| | |
| |
| 3.24, morphe (?), 22:14, 23/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
> и тут ваш fido2 девайс внезапно сдох и...... (да, я понимаю что
> у Вас лично их 5 шт запасных настроено, но у
> среднего обывателя он был ровно один.)
Большинство сайтов требуют регистрировать минимум 2 ключа, и что android, что macos, что windows из коробки имеют системную реализацию на базе tpm. В Linux тоже можешь поставить. Либо просто купить 2 железных ключа, они стоят мало, а большинство имеют у себя на борту opengpg, через который ты сможешь и письма подписывать, и по ssh авторизоваться куда угодно, и вообще что угодно делать.
Ну и не говоря о том что железные ключи практически бессмертные.
| | |
| |
| 4.57, Аноним (56), 23:59, 23/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
>Ну и не говоря о том что железные ключи практически бессмертные.
Да что тут ключи, вы ведь и сами до 150 лет дожить небось надеялись, а там и бессмертия достичь...
| | |
| 4.66, Аноним (-), 03:45, 24/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Ну и не говоря о том что железные ключи практически бессмертные.
А о том что делать если они все же сдохли или про@#$лись мы подумаем - потом. Хотя для начала - про@#$тся девелоперы. Ибо задолбаются канкан танцевать за право поработать бесплатно на корпорацию майкрософт. Это и так то - не бог весть какая привилегия.
| | |
| |
| 5.70, morphe (?), 04:02, 24/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
SSH/GPG используешь? Железные токены имеет смысл брать как минимум ради него, просто потому что это удобно и безопасно
Никто не заставлял до этого людей использовать железки, много разработчиков к ним успели привыкнуть задолго до того как npm решил их потребовать.
| | |
| |
| 6.88, Аноним (88), 11:51, 24/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> просто потому что это удобно и безопасно
дык ничего с точки зрения безопасТности то и не изменилось, достаточно подменить known_hosts и вы сто лет знать не будете куда подключаетесь.
| | |
| |
| 7.112, Аноним (-), 17:26, 24/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
> дык ничего с точки зрения безопасТности то и не изменилось, достаточно подменить
> known_hosts и вы сто лет знать не будете куда подключаетесь.
1) Если мне кто-то может подменить known_hosts, он, очевидно может подменить мне и мои сорцы, и мой ввод с клавиатуры. И в целом - остальные в этом случае должны просто прекратить весь прием новых версий от меня вообще, до выяснения. Иначе - получат какой-то треш.
2) А в чем прикол то - дать мне поменеджить хацкерский хост? Может, просто дали бы мне бесплатный ssh? Я и без таких сложностей там порулю, каких-нибудь прикольных сервисов для себя настрою, конечно не особо доверямых - но как-то полезных мне.
| | |
| |
| 8.121, Аноним (88), 18:27, 24/09/2025 [^] [^^] [^^^] [ответить] | +/– | для перехвата ввода с клавиатуры необходимо исполнять код в системе, а это палев... большой текст свёрнут, показать | | |
| |
| 9.127, Аноним (127), 20:43, 24/09/2025 [^] [^^] [^^^] [ответить] | +/– | А для подмены айпишника - код запускать не нужно Да и к чему такие сложности, е... большой текст свёрнут, показать | | |
| |
| 10.135, Аноним (88), 23:57, 24/09/2025 [^] [^^] [^^^] [ответить] | +/– | Нет, если злоумышленник контролит сетевой шлюз, крайняк какой-нить арп спуфинг ... большой текст свёрнут, показать | | |
| |
| 11.140, Аноним (-), 03:58, 25/09/2025 [^] [^^] [^^^] [ответить] | +/– | Вы не находите что сочетание сценариев когда некто 1 Захватывает сетевой шлюз ... большой текст свёрнут, показать | | |
| |
| 12.147, Аноним (147), 13:04, 25/09/2025 [^] [^^] [^^^] [ответить] | +/– | Любой провайдер или васян из соседней квартире и уязвимость в очередном архивато... большой текст свёрнут, показать | | |
|
|
|
|
|
|
| 6.111, Аноним (-), 17:23, 24/09/2025 [^] [^^] [^^^] [ответить] | +/– | Ото ж И конечно они не требуют от меня никаких токенов Требовали бы - врядли б... большой текст свёрнут, показать | | |
| |
| 7.122, morphe (?), 18:56, 24/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Но мне не нужен тул который я не могу забэкапать.
Кто сказал что нельзя? Внутри обычный opengpgcard интерфейс, можешь ключ генерировать сразу внутри, а можешь сгенерировать снаружи и вовнутрь загрузить (keytocard команда), локальную копию куда-то забекапить и удалить, чтобы использовалась железная.
FIDO2 сложнее, это зависит от реализации, на nitrokey ключ возможно вгрузить через PIV интерфейс например.
| | |
| |
| 8.129, Аноним (-), 21:01, 24/09/2025 [^] [^^] [^^^] [ответить] | +1 +/– | Тем не менее, это рушит юзабилити, сделано довольно странно, несколько атак и пр... большой текст свёрнут, показать | | |
|
|
|
| 5.86, Аноним (85), 11:27, 24/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
>А о том что делать если они все же сдохли или про@#$лись мы подумаем - потом
Зачем - потом? Вот приходишь в офис с выданным Хозяевами ID, предъявляешь его, платишь пошлину, фотографируешься, сдаёшь отпечатки, чтобы всяким не членам Хозяйской ОПГ было неповадно, ведь если ты самозванец и к чужому аккаунту так доступ получить хотел без одобрения Хозяев, то будешь турма сидеть, компания пишет на почту, привязанную к аккаунту, ты либо не отвечаешь, либо отвечаешь "да, это я", и тебе всего через месяц берут и дают доступ к "твоему" аккаунту.
| | |
| 5.100, User (??), 14:28, 24/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> А о том что делать если они все же сдохли или про@#$лись мы подумаем - потом.
Ох, ну ВЫ конкретно - да, потом. Или нет - вообще думать не будете.
А для всех остальных - вот шо в инструхции на эти самые ключи, шо в форме регистрации на сайте шо делать - написано.
| | |
|
| 4.99, User (??), 14:27, 24/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
А вот в linux'е с этим, кстати, проблемочки. system-wide решения, работающего с TPM не завезли (Но есть костыль!) - пользуйтесь ну... вот... keepassxc!
| | |
|
| 3.26, morphe (?), 22:18, 23/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> а если там есть рекавери вариант входа, для получения нового секрета для нового токена (а он есть), то "мы просто свели задачу к предыдущей".
Ну и обычно с fido2 у тебя либо скачивается код восстановления, либо только через саппорт
Не думаю что кто-то это иначе реализует.
| | |
| |
| 4.32, Аноним (36), 22:46, 23/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Да да, 2 недели назад дядю как раз отправляли фейковым письмом не восстановление 2ФА кодов... ну отправят на восстановление FIDO2... и получат код сами.
| | |
| |
| 5.34, morphe (?), 22:50, 23/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> ну отправят на восстановление FIDO2... и получат код сами.
Потому что человек привыкает к подобным действиям и выполняет их машинально, не думая, и это проблема всех подобных схем основанных на людях.
Код восстановления же никто на постоянке не использует (= у человека больше времени на подумать не делает ли он чот не то), а FIDO2 от подобного MITM защищён (= машинально применять можно).
| | |
| 5.103, User (??), 15:03, 24/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Как ты думаешь - сработало бы оно при использовании 2FA\Fido\webauthn\passkeys?
| | |
|
|
|
| 2.134, OpenEcho (?), 23:47, 24/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> FIDO2 хорош тем, что ключ не будет выдан, если домен отличается.
Да ну !!! И сплит ДНС не поможет?
| | |
| |
| |
| 4.144, OpenEcho (?), 10:24, 25/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Прикинь?! Вот это чудо-технологии! Волшебство прямо какое-то.
И в правду волшебсво...
И как оно отличает что www != www ?
| | |
|
|
|
| |
| 2.10, Аноним (11), 20:50, 23/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Тем что все его ставят аддоном в браузер и хранят рядом с паролем.
| | |
| 2.12, morphe (?), 20:52, 23/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Злоумышленники создают фейк сайты где запрешивают оба фактора. От такого totp не спасает
| | |
| |
| |
| 4.18, Секрет Полишинеля (?), 21:43, 23/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Правильно настроенный парольный менеджер. Он пароль не отдаст фейковому сайту и не покажет коллеге за спиной. И никакой 2FA не нужен. Только тссс!
| | |
| |
| 5.19, Аноним (36), 21:55, 23/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Но это на стороне клиента делается, а не на стороне сервера.. если клиент очень хочет подарить свой доступ третьим лицам, он это сделает несмотря на препоны..
| | |
| |
| 6.21, Аноним (36), 22:05, 23/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
ну и
>Переход на гранулированные токены, время жизни которых ограничено 7 днями.
>Классические токены будут объявлены устаревшими и доступ с их помощью будет
> по умолчанию отключён.
тут все это автоматические автоматизации по выкату версий через гит пуш, билт, тест, коммут в npm, идут лесом.. раз в 7 дней перевыпускать руками токен можно первые пару месяцев, потом это задолбает даже самых упёртых.
ну и таки если ты постоянно чтото разрабатываешь, то токен актуальный ты таки положишь, и тогда в приведённой несколько дней назад схеме ничего не поменяется, червю глубоко нас рать на то, временный он спёр токен или постоянный, что бы запушить "одно небольшое дополнение к безусловно хорошему пакету".
| | |
| |
| 7.25, morphe (?), 22:16, 23/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
> тут все это автоматические автоматизации по выкату версий через гит пуш, билт,
> тест, коммут в npm, идут лесом.. раз в 7 дней перевыпускать
> руками токен можно первые пару месяцев, потом это задолбает даже самых
> упёртых.
Для CI предлагается OIDC (последний пункт), без постоянных токенов.
| | |
| |
| 8.30, Аноним (36), 22:43, 23/09/2025 [^] [^^] [^^^] [ответить] | +/– | И как оно поможет не получить секрет в момент штатной сборки и, напомню, тут же... текст свёрнут, показать | | |
| |
| 9.33, morphe (?), 22:47, 23/09/2025 [^] [^^] [^^^] [ответить] | +/– | Он за пределы CI не выходит Атаки на CI конечно существуют, спасибо кривизне гит... текст свёрнут, показать | | |
|
|
|
|
| 5.37, morphe (?), 22:53, 23/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Он пароль не отдаст фейковому сайту и не покажет коллеге за спиной.
Сайты изменяются, и парольные менеджеры перестают определять формы входа порой. А на некоторых сайтах автозаполнение просто не работает.
Поэтому у людей всё равно есть привычка механически копировать и вставлять данные, и в итоге они не защищены.
| | |
| |
| 6.62, Ангним (?), 02:10, 24/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Мой менеджер паролей (битварден) даже если не смог угадать форму, показывает только креды от сайта, на котором я нахожусь.
Если мне надо куда-то зайти,а менеджер не показывает логины и их надо искать - это небольшой такой колокол, что происходит какая-то стрёмная хрень.
| | |
|
|
| 4.41, morphe (?), 23:02, 23/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> А что из предложенного спасёт ?
Fido2. Нормальная криптография вместо паролей, и проверка кто на самом деле ключ запрашивает идёт в железке, его нельзя так просто перехватить.
| | |
| 4.104, User (??), 15:05, 24/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Эээ... да примерно все. Нет, если вы сумеете еще и комплиментарный закрытому ключу на U2F открытый в свой фишинг-сайт запихнуть - то таки да, проблемочки.
| | |
|
|
|
| 1.23, Bob (??), 22:11, 23/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
Пора бы уже "галочки" подтверждённых адресантов и адресатов делать.
ООО Mozilla и условный "анонимный" Вася, аппрувнутый через GNU.ORG
p.s.: о Васе знает только ООО GNU.ORG (сразу вайпает данные, после проверки на валидность). А Мозилла верит GNU и держателю Васеного "идентификатора".
| | |
| |
| 2.31, Аноним (28), 22:45, 23/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Опять дети WoT изобретают. Ты бы ещё key signing party предложил провести.
| | |
| 2.51, Аноним (51), 23:36, 23/09/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Не, время эту лапшу на уши вешать давно прошло. Сейчас время "ультраправых" политиков: нам не будут лапшу науши вешать про "вот он ГНУ, но ничего никуда никому не сольёт", вместо этого будут через колено ломать: заходить будете через госуслуги, а кто не хочет через госуслуги заходить - тот вообще никак заходить не будет.
| | |
| |
| 3.65, Аноним (65), 03:41, 24/09/2025 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> через госуслуги заходить - тот вообще никак заходить не будет.
Ага, в зимбабве или как там его - уже попробовали. И тут вдруг хипстеры как полезли на улицы из всех щелей. И таки вон те - несколько напряглись с такой фигни. Ж@па то - не казенная, за нее стремновато.
| | |
| |
| 4.76, Жироватт (ok), 08:25, 24/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
 tor-project уже давно не тот - донатов с печенькам этим хипстерам не всегда хватает уже, особенно после разгона Рыжим конторы по раздаче розовых единорогов.
| | |
| |
| 5.117, Аноним (-), 17:39, 24/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
> tor-project уже давно не тот - донатов с печенькам этим хипстерам не
> всегда хватает уже, особенно после разгона Рыжим конторы по раздаче розовых
> единорогов.
Да при чем тут тор прожект? В зимбабве или как его там, непале - просто вырубили социалочки. Ну хипстеры и спалили им парламент. Был непал - стал подпал. Заметьте, подпал то вышел - с уже выключенными социалочками.
И тут из зала подсказывают - в 1917 вообще никаких социалок не было. А 314ли задолбавшим приспешникам царизма - навешали только в путь.
| | |
| |
| 6.143, Жироватт (ok), 08:35, 25/09/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Это тот самый Непал, где до этого активно резвились штатовские НКО, готовя его как горячую точку для Китая и Индии, если они решат хоть чуть-чуть замириться, да?
Причём полыхнуло - ой как удобно-то! - после того саммита ШОС, где штаты послали уже прямым текстом, ага. Сов падение, не иначе.
> И тут из зала подсказывают - в 1917 вообще никаких социалок не было.
Помню-помню.
Тут уже из зала принесли папочку с разделами "опломбированный вагон", "кайзерские деньги в английских банках на нужды РСДРП в Швейцарии" и другим документальным рассекреченным чтивом.
| | |
|
|
|
|
|
| 1.42, Аноним (47), 23:05, 23/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– | |
>Использование одноразовых паролей (TOTP) для двухфакторной аутентификации будет объявлено устаревшим
Когда Micro$oft навязывал "2FA" на GitHubе, я предупреждал - это всё ради навязывания биометрического FIDO2 с аттестацией, включая TEE-аттестацию Windows Hello. Dсякие клоуны на опеннете троллили "но ведь TOTP не имеет никакой аттестации". Вот вам ваш TOTP. Что ваш хозяин прикажет - тем вас юзать и будут.
| | |
| 1.64, Аноним (65), 03:39, 24/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> в репозитории NPM решено реализовать дополнительные меры защиты:
Предлагаю более эффективный вариант - запретить прием пакетов. К чему все эти голимые полумеры и издевательства над хипстерами? Это пожалуй единственный вариант как сделать безопасно при хипстерах в роли разработчиков, который и правда будет работать на практике.
| | |
| 1.71, Аноним (71), 04:29, 24/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
И правильно, давно пора. Все эти токены, все это для соевых хипстеров. Нормальная защита начинается с двухфакторки по смс, а заканчивается на ограничении входа с определенного статического айпи.
У нормальных разработчиков есть выделенка со статикой, а уж вторую симку купить, вставив её в "бабушкофон" который всегда будет лежать на одном месте и никуда не выноситься, это раз плюнуть.
| | |
| |
| 2.84, Аноним (82), 10:38, 24/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
>Нормальная защита начинается с двухфакторки по смс
А что не сразу с первого отдела, оформления допуска и пары автоматчиков на проходной?
| | |
| 2.89, Аноним (87), 11:53, 24/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
>вставив её в "бабушкофон"
С китайской прошивкой который все когда и переотправит сам с этой же симки по смс, лол.
>есть выделенка со статикой
Некоторые хостеры всё ещё разрешают спуфить исходящий ip, ну и если ты уже часть ботнета вайтлист это иллюзия.
| | |
| |
| 3.118, Аноним (-), 17:45, 24/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
> Некоторые хостеры всё ещё разрешают спуфить исходящий ip, ну и если ты
> уже часть ботнета вайтлист это иллюзия.
Но это работает только с udp - ибо только в 1 сторону. А ответные то пакеты на левый айпи ты не получишь. И вот что ты будешь делать кроме флуда пакетами?
| | |
|
| 2.105, User (??), 15:08, 24/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Ага, ага.
Второй фактор, для которого любой Васян из салона сотовой связи может склонить симку (Мамой клянус, потерял! Выпиши новую, камандыр!) - ааатличная идея, надежная, как швейцарские часы!
| | |
|
| 1.93, Аноним (93), 13:27, 24/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Я правильно понимаю, что у местных экспертов поднялся вой из-за перехода на стандарт безопасности, которому больше 10 лет и он даынм давно везде реализован и применяется, но по мнению местных экспертов это сырая смузитехнология?
| | |
| 1.113, AnonNym (?), 17:29, 24/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Использование одноразовых паролей (TOTP) для двухфакторной аутентификации будет объявлено устаревшим. Пользователи будут переведены на протокол FIDO U2F.
т.е. протокол FIDO U2F подразумевает использование (исключительно) аппаратных ключей. Получается так по идее.
| | |
| 1.128, Аноним (128), 20:51, 24/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А зачем это все надо? По ключам как в ssh нельязя сделать аутентификацию? Чего они там ловить будут? попросят в email закрытый ключ им отправить?
| | |
| |
| 2.149, Аноним (149), 15:59, 25/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> А зачем это все надо?
Чтобы ты купил железку конкретного поддерживаемого вендора с конкретной начинкой внутри, а не сам генерил закрытый ключ, никому не известный.
| | |
|
| 1.139, Кошкажена (?), 02:58, 25/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Вряд ли это что-то поменяет. Проблема npm в культуре тамошних разработчиков, точнее ее отсутствии.
| | |
|
