forum.opennet.ru

"PyPI переходит на обязательную двухфакторную аутентификацию "

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "PyPI переходит на обязательную двухфакторную аутентификацию "	+1 +/–
Сообщение от Аноним (114), 27-Май-23, 05:48
> PGP делали люди для людей. Есть УЦ, есть пользователи, есть их ключи, есть пулы общедоступных серверов, на которых можно поискать неизвестный ключ Читаем https://blog.yossarian.net/2023/05/21/PGP-signatures-on-PyPI...: > A large number of PGP signatures on PyPI can’t be correlated to any well-known PGP key and, of the signatures that can be correlated, many are generated from weak keys or malformed certificates. The results suggest widespread misuse of GPG and other PGP implementations by Python packagers, with said misuse being encouraged by the PGP ecosystem’s poor defaults, opaque and user-hostile interfaces, and outright dangerous recommendations. PGP во всей красе, люди для людей, ага... Местные эксперты не в курсе, что "PGP is an insecure and outdated ecosystem that hasn’t reflected cryptographic best practices in decades". Им ведь некогда повышать свою компетенцию - они заняты визгом о подлых заговорах проклятых корпораций.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

PyPI переходит на обязательную двухфакторную аутентификацию , opennews, 26-Май-23, 08:49 [смотреть все]

объясните пж нубику чонетак с PGP и почему пипа от него отказались, ДМИТРИЙ НАГИЕВ, 26-Май-23, 08:49 (1) //
- Неосилили, скорее всего Там действительно есть сложности для того, кто хочет про, Stanislavvv, 26-Май-23, 08:55 (6) //
  - Проще за счет выноса верификации пользователя на готовую инфраструктуру сотовых , Жироватт, 26-Май-23, 08:58 (8) //
    - Читайте новость внимательней - там всякие TOTP и токены, т е никаких сторонних , Stanislavvv, 26-Май-23, 09:00 (9)
      - Написать в анонсе можно много чего - хоть с аутентификацией по выдавливанию юзер, Жироватт, 26-Май-23, 09:06 (12)
        
        either with a security device preferred or an authentication app по ссылке из , Stanislavvv, 26-Май-23, 09:10 (14)
        
        Читай мой пост выше В анонсе можно написать что угодно - как это будет сделано в, Жироватт, 26-Май-23, 09:18 (16)
        
        Ну перенесут сроки и что от этого изменится , Аноним, 26-Май-23, 09:48 (18)
        Там достаточно подключить библиотеку и за пару недель отладить работу Дольше инт, Stanislavvv, 26-Май-23, 09:58 (22)
        После того как выпили pgp нет им доверия, через год посмотрим, будет там авториз, анон, 26-Май-23, 16:44 (76)
        
        А до этого, конечно, доверия было хоть отбавляй 29 никому неизвестных ключей и, Аноним, 26-Май-23, 20:46 (108)
      - Простоти великодушно, а каким образом всякие TOTP и токены вам без мейнстримовых, Zakaza, 26-Май-23, 14:32 (62)
        
        Простите великодушно , Zakaza, 26-Май-23, 14:33 (63)
        Для того pypi и protonmail подойдёт, если что А вообще, сам по себе TOTP не связ, Stanislavvv, 26-Май-23, 15:14 (69)
        
        Да, только вот беда, protonmail заблочен в РФ и для его подтверждения надо втора, Zakaza, 26-Май-23, 20:04 (107)
        
        Про почту - сойдёт любая, могущая _принять_ письмо от сервиса Отправлять не обя, Stanislavvv, 27-Май-23, 08:26 (123)
        oathtool не требует, Аноним, 27-Май-23, 18:07 (131)
  - Да, васяны с цифровыми подписями, которых не загнать в централизацию аутентифика, Аноним, 26-Май-23, 14:25 (60)
- Слишком децентрализованный для нынешнего поколения , Аноним, 26-Май-23, 08:56 (7)
- PGP делали люди для людей Есть УЦ, есть пользователи, есть их ключи, есть пулы , Жироватт, 26-Май-23, 09:01 (10) //
  - Ты все перепутал, в PGP Web Of Trust Есть серверы ключей, но они ничего не удос, Аноним, 26-Май-23, 09:55 (20) //
    - WOT с определённой долей достоверности таки удостоверяет https www linux org , Аноним, 26-Май-23, 11:25 (38)
      - Забавно конечно, но это незапланированная функциональность, по сути дата-майнинг, Аноним, 26-Май-23, 12:58 (46)
        
        Принципиальная ненадежность , Аноним, 26-Май-23, 16:07 (72)
        Речь не о УЦ, а о серверах ключей OpenPGP, они помогают обмениваться ключами и п, Аноним, 27-Май-23, 13:10 (125)
    - А что токены удостоверяют Как любой рандомный пассажир мог нагенерить себе ключ, Заместитель эксперта, 26-Май-23, 14:40 (65)
      - скатится или нет это будем смотретьа вот то что PGP это корявые костыли это видн, annonn_2, 26-Май-23, 17:15 (79)
        
        В PGP каждый пользователь, чтобы начать пользоваться PGP, должен стать Удостовер, Аноним, 27-Май-23, 17:17 (130)
        
        Чтобы начать пользоваться PGP надо сгенерить себе ключ Долверять ли этому ключу, Аноним, 29-Май-23, 20:21 (154)
      - Как ты навалишь в репу TOTP пароль, который действителен 30 секунд , Аноним, 26-Май-23, 17:57 (90)
      - Токены генерятся фактически с ключа, но есть некоторая разница в сценарии его ис, Аноним, 26-Май-23, 23:57 (113)
  - Ну и почему он людям не нужен тогда , Сынакорзина, 26-Май-23, 10:06 (23) //
    - Людям PGP - нужен Государствам с жидомасонами, львогазелями - нет После Сноуде, Аноним, 26-Май-23, 11:07 (32)
  - Ахаха, люди для людей Серьезно Скорее отбитые зад ты для таких же отбитых з, Анонин, 26-Май-23, 11:05 (31) //
    - Можно, с определённой достоверностью https www opennet ru openforum vsluhforu, Аноним, 26-Май-23, 11:16 (35)
      - Но вот только никто не знает как именно была проведена проверка Все основано на , Анонин, 26-Май-23, 11:28 (39)
        
        Надо выставлять уровень доверия при подписи чужого ключа Результатом WOT есть не, Аноним, 26-Май-23, 12:12 (42)
        Ещё 2 графических примера цепочек доверия между ключами https git kernel org p, Аноним, 26-Май-23, 12:22 (43)
        
        Отчаиватся не надо Многие дистрибутивы NIX и проекты разработки свободного ПО , Аноним, 26-Май-23, 13:09 (49)
        
        Еще раз Вопрос не про уровень доверия при подписи чужого ключа А про то наско, Анонин, 26-Май-23, 12:48 (45)
        
        1 Нужно 5 цепочек к ключу Одной цепочки от однокласника Васи маловато Но есл, Аноним, 26-Май-23, 13:19 (50)
        
        То это ничего не значит, т к ты все равно не знаешь, можно ли верить этому 11А,, Аноним, 26-Май-23, 15:13 (68)
        
        Значат Вася знает Вову и подписал его ключ Вова знает Вадима и подписал ключ Вад, Аноним, 27-Май-23, 13:19 (126)
        
        потому что мельком видел его на тусовке каких-то фриковили на самом деле нихрена, пох., 27-Май-23, 16:11 (127)
        
        PGP на для всех подходит Необходимо быть трезвым и аккуратным при проверке Ф И , Аноним, 27-Май-23, 18:07 (132)
        
        нет, надо просто подписать пачку ключей неглядя Рано или поздно твою подпись под, пох., 28-Май-23, 16:53 (144)
        Чем больше цепочек доверия и чем они короче тем выше доверие к ключу PGP довольн, Аноним, 03-Июн-23, 07:43 (160)
        
        А что делать Геннадию, который всех этих людей никогда не видел и не увидит , Аноним, 27-Май-23, 22:34 (136)
        
        Гена хорошо знает Гришу и они обменялись публичными ключами Гриша встретился с В, Аноним, 03-Июн-23, 06:55 (159)
        
        Это всего одна из многих цепочек доверия Есть и другие цепочки доверия Общий у, Аноним, 26-Май-23, 13:37 (54)
  - Читаем https blog yossarian net 2023 05 21 PGP-signatures-on-PyPI-worse-than-u , Аноним, 27-Май-23, 05:48 (114)
- Вот целая статья https blog yossarian net 2023 05 21 PGP-signatures-on-PyPI-wo, Аноним, 26-Май-23, 09:56 (21)
- Потому что Authy, Google Authenticator требуют как минимум твой телефон, им хоче, paranoed, 26-Май-23, 14:29 (61) //
  - TOTP можно использовать хоть на ПК, и через него никакая инфа пользователя не вы, Аноним, 26-Май-23, 18:01 (91)
- https www opennet me openforum vsluhforumID3 130586 html n OpenEcho 11, OpenEcho, 26-Май-23, 14:48 (66)
переставлять кровати проще чем чинить протекающую крышу , Аноним, 26-Май-23, 08:53 (3) //
- там крыша была как у поросенка ниф-нифа, ее давно сдуло легким сквознячком , пох., 26-Май-23, 16:13 (75)
- Только вот протекающая крыша у нас - это PGP Его уже лет двадцать никто в здрав, Аноним, 27-Май-23, 05:50 (115)
Т е если разработчик изначально сопровождает свой вредоносный пакет к нему ника, Аноним, 26-Май-23, 09:46 (17) //
- За ним Пативэн приедет , Аноним, 26-Май-23, 10:48 (28) //
  - Ага и Дед Мороз на Новый Год подарки не подарит , Аноним, 26-Май-23, 11:17 (36)
- Где ты в новости увидел текст, из которого это следует , Аноним, 26-Май-23, 14:08 (58) //
  - Где ты увидел что они что-то будут делать , Аноним, 26-Май-23, 16:05 (71) //
    - Не разводи клоунаду https www opennet ru opennews art shtml num 59168, Аноним, 27-Май-23, 06:14 (118)
Если кого-то насильно заставлять делать двухфакторку, то он сведет ее к однофакт, Аноним, 26-Май-23, 09:52 (19) //
- Отличная история Типа годами разрабатывать и поддерживать либу на PyPi тебе не , Аноним, 26-Май-23, 10:06 (24) //
  - А если он разряжен А если в нем и так куча TOTP-кодов А если TOTP-код будет ва, Аноним, 26-Май-23, 10:12 (25) //
    - Ну ёлки - так и пиши, что во время, гм, работы обе руки заняты, чо стесняться-, User, 26-Май-23, 11:01 (30)
    - Ты это серьезно Шикарные аргументы, чтобы похерить безопасность Чел, не развод, Аноним, 26-Май-23, 14:16 (59)
  - А зачем её защищать от компроментации Оставить sorry my account was hacked , Akteon, 26-Май-23, 10:37 (26)
  - да, заниматься соврешенно ненужной хренью внезапно может быть лень Ради очередн, пох., 26-Май-23, 13:24 (51)
  - Защитить от компрометации кем Вы не думали о том, что люди часто делаю либы для , Легивон, 26-Май-23, 19:47 (106) //
    - Вполне понимаю реакцию таких людей на попытку диктовать им условия Постольку по, Аноним, 28-Май-23, 00:01 (138)
- Есть консольные генераторы totp которые можно использовать в юнитах системд или , тотп, 26-Май-23, 11:14 (34) //
  - консольные или умеющие именно в скрипты Покажь последний хоть один, друг очень , пох., 26-Май-23, 13:25 (52) //
    - oathtool посмотрите, Stanislavvv, 26-Май-23, 15:25 (70)
      - о, спасибо, знатная говорящая лягуха, отлично дополнит генератор в Браузере , пох., 26-Май-23, 16:08 (73)
- Ну, вообще-то нет Это все равно двуфакторка, потому что если кто-то узнает твой, Аноним, 26-Май-23, 17:22 (80) //
  - вот откуда он его узнает если у тебя не свистнули и не взломали комп она вообще , пох., 26-Май-23, 18:07 (92) //
    - Блжд, ну в новости же написано в результате утечки учётных данных, использовани, Аноним, 26-Май-23, 19:04 (102)
      - П-дежь и чушь собачья там написана, ну и что с этого Особенно про методы социаль, пох., 26-Май-23, 21:50 (110)
        
        Оно https www avangard ru rus private cards card_with_display , Anonymus, 27-Май-23, 20:48 (133)
        
        Не, у этих оно было только для премиум-клиентов не знаю как сейчас, я давно от , пох., 27-Май-23, 21:38 (134)
- Пользуйся хардварным токеном Даже нажимать ничего не нужно, потрогал и лады , Аноним, 26-Май-23, 23:33 (112) //
  - а если я не хочу ради подписывания своего лефтпада платить безумные деньги за ко, пох., 27-Май-23, 16:12 (128) //
    - Не можешь позволить пару копеек на токен потратить 8212 двигай ручками и гене, Аноним, 28-Май-23, 04:55 (142)
      - Могу позволить себе просто не ублажать пиписек Не умеют в верификацию пакетов, , пох., 28-Май-23, 09:07 (143)
        
        Молодец, догадался Именно потребителям она и нужна Без потребителей 100 кода , Аноним, 28-Май-23, 17:29 (145)
PS Мну уже годы как усилил таким образом безопасность, привязав github на арен, Akteon, 26-Май-23, 10:43 (27) //
- а если арендодатель кинет или вообще исчезнет - что делать есть ли план Б , ivan_erohin, 26-Май-23, 10:54 (29)
- PSНекоторые спрашивают какой план Б Локальные репозитории в любом случае оста, Akteon, 26-Май-23, 11:11 (33) //
  - Почему бы тогда сразу не разрабатываться локально, зачем что-то выкладывать , Аноним, 26-Май-23, 11:18 (37) //
    - 1 Так исторически сложилось2 Там не один github , Akteon, 26-Май-23, 11:46 (41)
- все правильно сделал Правда следующая итерация - выпилить нахрен репо и положит, пох., 26-Май-23, 13:27 (53) //
  - А ссылку то на что давать Хостер однажды забыл прислать мне письмо, я и не запл, n00by, 26-Май-23, 14:04 (56) //
    - ну не будь лохом, пользуй хостера который просто списывает с карты Где взять кар, пох., 26-Май-23, 16:09 (74)
      - Карта у меня водилась в то время, и даже имелось полтора банкомата на всю деревн, n00by, 27-Май-23, 07:58 (122)
    - А ты как локалхостов ру поступай хости у себя под кроватью А сгорит вместе с д, Аноним, 28-Май-23, 17:32 (146)
      - в целом да, тебе это уже точно будет неважно говорю как краевед, успешно прое , пох., 28-Май-23, 20:24 (147)
        
        Не мы, а вы Я для себя и детей этот вопрос позитивно решил больше десяти лет то, Аноним, 29-Май-23, 02:37 (151)
        
        тот проект без страны был, увы, бесполезен Он именно местная история - теперь п, пох., 29-Май-23, 09:57 (152)
      - Как сказал один пот если где-то что-то зажигают, значит это кому-то нужно В общ, n00by, 30-Май-23, 09:23 (156)
- Ну так ты действительно усилил, потому что левый васян, получивший твой пароль, , Аноним, 27-Май-23, 05:54 (116)
Шли бы они нахер со своим PyPI Моя разработка всё актуальнее и актуальнее , Аноним, 26-Май-23, 11:37 (40) //
- но никому не нужна , anonnnn, 26-Май-23, 12:47 (44) //
  - раз мои проблемы решает - значит нужна , Аноним, 26-Май-23, 13:01 (47)
Все антиюниксовые проекты так или иначе следуют в фарватере корпораций и наследу, Аноним, 26-Май-23, 13:03 (48) //
- Судя по минусующим жироватого, таки там сейчас фаза ОТРИЦАНИЕ , Dzen Python, 26-Май-23, 21:33 (109)
- А почему вы не финансируете митинги и партии во всех странах за свободу от рабст, рабификатор, 27-Май-23, 06:40 (119)
- Вот где реальная киберсвобода, да , Аноним, 28-Май-23, 00:21 (140)
Зачем там двухфактор Почему просто пароля недостаточно Или тут опять повесточка, Аноним, 26-Май-23, 13:48 (55) //
- Новость не читай, комментарий пиши , Аноним, 26-Май-23, 14:06 (57) //
  - От взлома жопы разработчика паяльником, пальцев - дверью, благосостояния - щедры, Аноним, 26-Май-23, 14:35 (64)
- Очевидно, чтобы злоумышленники не получили доступ к пакетам, если узнали пароль , Аноним, 26-Май-23, 17:28 (88)
- чтобы тебя вычислять по видеокамерам и заставлять тебя бояться организовывать ми, рабификатор, 27-Май-23, 06:43 (120)
Друзья, а вам не кажется, что слишком кучно пошло с навязыванием двухфакторок ве, Аноним, 26-Май-23, 17:00 (77) //
- Я предлагаю тебе наконец-то почитать, как работает стандарт TOTP, и не пороть чу, Аноним, 26-Май-23, 17:24 (81)
- согласен можешь задумываться уже прям сейчас, annonn_2, 26-Май-23, 17:25 (82)
- тут некто Хэнлон пробегал Бритвой машет Будь очень осторожен , пох., 26-Май-23, 18:08 (93) //
  - Про замедление айфонов эплом ты теперь тоже кидался ненужной конспирологией , д, Аноним, 28-Май-23, 00:22 (141)
- Двухвакторку навязывают злонамеренные корпорации чтобы ограблять и обманывать ан, Самый Лучший Гусь, 26-Май-23, 18:48 (96)
- Например, сопровождающим пакетов Pypi, чтобы не обделаться на весь мир , Аноним, 26-Май-23, 19:06 (103) //
  - Типа, если потребовать от хипстера с жидким мозгом 2FA, он перестанет быть хипст, Аноним, 28-Май-23, 23:21 (150)
Пипишники облажавшись с проверкой публикуемых пакетов из-за собственной неспособ, YetAnotherOnanym, 26-Май-23, 18:49 (97) //
- Ловко ты их раскусил А если серьезно, то, если бы ты хоть когда-нибудь работал н, Аноним, 27-Май-23, 06:10 (117) //
  - Может быть и взвыл бы Но при этом, с другой стороны, понимал бы, что из пипи мо, YetAnotherOnanym, 27-Май-23, 08:53 (124)
Раньше комитили мусор все подряд, теперь будут комитить мусор все подряд,но с 2х, Профессор, 26-Май-23, 19:02 (101) //
- теперь вы все стали рабами и вам переписали права человека пока вы все были в ст, рабификатор, 27-Май-23, 06:44 (121)
Предлагаю им сделать подтверждение личности при регистрации по фотосету дикпиков, Аноним, 27-Май-23, 16:54 (129) //
- Они как раз начнут соревноваться в генерации дипфэйков дикпиков Впрочем для шту, Аноним, 28-Май-23, 22:55 (149)
Даю лайфхак, опробованный на гитхабе - просто выкладывайте QR код от TOTP в пабл, Аноним, 29-Май-23, 23:18 (155)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру