Как стать автором
Обновить

Комментарии 19

"Давайте заставим 90% мелких разработчиков страдать с 2FA потому, что 10% крупных разработчиков так и не научились правилам элементарной сетевой гигиены."

Отличная новость. Остался я без своих пет-проектов, похоже...

Дети, НИКОГДА не прибивайте гвоздями распространение своих пет-проектов к какому-то одному средству распространения...

Ну да, установить google authenticator - такая боль, страдание и унижение. Только избранные смогут осилить этот тяжкий путь.

Ну давайте, расскажите человеку с Sony Ericsson z800i и без учётки Google, как поставить Google Auth.

Давайте.

Я жду.

Это уже некрофилия какая-то, но для таких гитхаб шлёт смс.

Ну почему некрофилия. Я не смартфон-зависимый. Телефон должен звонить - а для смарт-выпендрежа есть планшеты и ноутбуки.

Один хрен производители смартфонов нынче совсем з глузду з'ехалi и, например, мой нынешний Samsung A01 здорово проигрывает тем же Эрикссоновским раскладушкам. Потому, что внутренняя память вумат загажена неудаляемым фирмварем, рабочих чистых прошивок нет - а если и есть, один хрен в крайних андроидах убрали нормальную работу с памятью. И по итогу эта лопата только место в кармане занимается и трафик жрёт.

Неудобно, проще для мобильных нужд держать в рюкзаке какую старенькую Lenovo Yoga, у которой этой шизы по фирмварю и сесюрности нет. Звонить с планшета смешно - но смешнее биться насмерть с мобилкой за пару мегабайт для очередной чёртовой "очень нужной" прилаги.

Что не отменяет факта, что веб-сервис, требующий для своей работы наличие рандомного постороннего девайса, - это не нормально.

для таких гитхаб шлёт смс.

А если я вообще не хочу давать сервису свой номер телефона? Или нет, всё, бред какой-то…

Именно что задолбали своим принудительным навязыванием «безопасности». Дайте нормальную возможность самому отвечать за свои действия, как полноценному взрослому человеку. Если 2фа не нужна, то я, прекрасно понимая риски, должен иметь возможность свободно от нее отказаться.

keepassxc имеет встроенный TOTR генератор, так что отмазка не считается

Генерирование OTP на той же машине, с которой проходит авторизация, - это очень вредный совет с точки зрения информационной безопасности. Да и чисто логически это больше возни при нулевом результате. Движ ради движа.

Да и изначально речь шла о том, что лично мне с моими парой пет-проектов на пару тысяч пользователей, да для экосистемы, в которой проще производить атаки по совершенно другим векторам, вся эта фикция "заботы" о "сесюрности" даром не упала. Да и не только мне.

Впрочем, тут в теме про RuTube мне уже навешали минусов за попытку посягнуть на право балбесов быть балбесами. А тут - я сам кошу под балбеса (с точки зрения постороннего наблюдателя). Баланс соблюдён...

Keepassxc можно с телефона юзать, не проблема. Товарищ дело говорит, я в принципе аналогично юзаю, пол года назад отказался от гугловского парольного менеджера еще в придачу, вообще не пожалел

...и мы снова возвращаемся к винтажной раскладушке Sony Ericsson z800i , на которую Keepassxc нужно навьючить. Дискуссия выходит на второй круг. Так держать.

Ваши пэт-проекты приносят только убыток компании. А вот репутационные потери от того, что чей-то популярный пакет взломали - огромные. Я вообще удивлён, что они так долго тянули с этим

Ваши пэт-проекты приносят только убыток компании.

Ууууууу, Вы пытаетесь "отменить" open-source... Смело, смело...

Вы вообще немножко догадываетесь, что GitHub собственно ради пет-проектов, перерастающих в крутые востребованные бесплатные решения, живёт?

Пожалуйста, читайте-просвещайтесь.

Жаль, какая-то макака в руководстве забыла, что для массовости нужно удобство. Впрочем, на фоне более массовых более тяжких для превозмогания хронических проблем у тех же фанатиков Линукса это и правда капля в море...

А вот репутационные потери от того, что чей-то популярный пакет взломали - огромные.

Перекладывать с больной головы на здоровую - это тоже искусство, оказывается... Продолжайте, это тоже можно развить во что-то полезное... когда-нибудь...

Я понимаю, что вы сбрасываете свою злость на меня, но я такой же обычный пользователь github'a как и вы. И я не оправдываю их политику, только объясняю вам их точку зрения.
По поводу Open-source, так это пойдёт ему только на пользу. Куча проектов была скомпрометирована из-за украденных паролей. Из-за чего? Из-за лени? Вас никто не заставляет логиниться каждый день. Есть токены, ssh ключи, сессия в веб интерфейсе достаточно длинная. Не вижу никаких неудобств вообще.
П.С. спасибо за минус в карму кстати

Я... стараюсь не сбрасывать злость per se. Это увеличивает энтропию да и в целом не "работает" на персональное счастье типажа "альтруист".
Просто после операции на желудке и череды проектов-зомби, которые здорово испортили мне последние пару лет стажа в плане привлекательности для дальнейшего найма, я стал немножко циничнее смотреть на вещи. И несколько более нервно относиться к нарушениям здравого смысла.

Куча проектов была скомпрометирована из-за украденных паролей. Из-за чего? Из-за лени?

А был ли мальчик?

Что вообще можно накопать хотя бы непосредственно на Хабре касаемо крупных заварух, случившихся из-за украденных паролей?

https://habr.com/ru/news/t/664780/ - украдены токены авторизации, а не пароли.
https://habr.com/ru/news/t/446140/ и целая уйма новостей помельче/постарше - пароли от внешних сервисов попали в хранящуюся на GitHub информацию.
https://habr.com/ru/news/t/500982/ - какая-то разовая акция, похоже, что ломали через дыру в привилегиях, а не через подбор логинов-паролей. Иначе одним старым слайсом бы дело не ограничилось.
https://habr.com/ru/post/203172/ - о, да, было дело. Брутфорс как брутфорс, совершенно рядовой случай, причём разряда "давайте поможем Даше найти совсем отчаянных пользователей, ставящих совсем глупые пароли". Пострадали гигиенично необразованные клиенты. Ради этого усложнять ВООБЩЕ ВСЕМ - избыточно. Да почти десять лет спустя...

И так далее, и тому подобное... Я в упор не вижу какой-то "кучи" проектов, которые были скомпрометированы из-за того, что утекли логины-пароли. Ни в новостях Хабра, ни почему-то в целом по Сети.

Если у Вас есть какая-то ссылка на конкретные данные - я бы с удовольствием почитал. Пока же я вижу только чёртов тренд делать всем жизнь хуже, о котором уже вдоволь постенал в статье про влияние этой дряни на геймдев.

Вас никто не заставляет логиниться каждый день.

И это ТОЖЕ дискредитирует весь (ну, почти) сесюрный навар от принудительного внедрения OTP! Представьте себе!

Раз 100% эффективности добиться невозможно, следует искать баланс между риском и удобством.

Заставлять и жука, и жабу переходить на OTP принудительно только для того, чтобы, например, открыть баг-репорт в какой-нибудь Баротравме - это однозначный overkill.

(не говоря уже о том, что я за почти двадцать лет профукал считаные единицы учёток - и почти все их из-за тыквоголовых мер безопасности. Оставьте мне мои логин+пароль - а сами идите... со своими ОТР... хоть вприсядку, хоть спиной к спине в шахматном порядке как угодно)

Заставлять и жука, и жабу переходить на OTP принудительно только для того, чтобы, например, открыть баг-репорт в какой-нибудь Баротравме — это однозначный overkill.

Я с вами полностью согласен.


Но что дальше? Вот вы сейчас злитесь абсолютно зря. У вас есть деньги выкупить Github у майкрософта? Или любой другой легальный/нелегальный способ изменить их политику? Я изначально написал про keepassxc, так как у меня нету никаких рычагов на это повлиять. Но тем не менее я использую сотни проектов с этой платформы, поэтому вынужден искать способ её использовать дальше.

"Стиснуть зубы и терпеть" - это белорусский подход к решению проблем. Я недостаточно чистокровный, видимо :) Да и в целом молчание о проблеме редко когда приводило к её решению.

В качестве "что дальше" для своих пет-проектов нынешних, я бы рассмотрел, например, селфхост+composer. Если бы был вариант убедить автора Playnite это сделать (или скилл, чтобы накодить самому). Пока же приходится вывесить объяву "Open for adoption" - и понадеяться, что мой код достаточно хорош и будет работать, пока не появится новый мэйнтэйнер.

Ваши особенности ситуации мне неизвестны.

"Стиснуть зубы и терпеть" — это белорусский подход к решению проблем

А кто стискивает зубы? Лично я ничего не терплю, так как использую OTP авторизацию везде, от личной почты и до рабочих утечек и давно уже настроил это для удобной работы. Если вы предпочитаете героически бороться с мельницами я тогда не буду вам мешать

Я бы пошутил про черенок от лопаты по чётным дням. Но не буду. Но мог бы.

Ведь Вы уже начинаете нести полную чушь про своего воображаемого собеседника, используя придуманные факты. И такая шутка только ещё сильнее подкосит Вас. Современная молодёжь такая ранимая...

Продолжайте. Продолжайте смело, прошу! Как психолог-дилетант, я с удовольствием понаблюдаю за Вами.

Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Другие новости

Истории