[О блоге]
[наверх]
[пред]
[2023-03-14 19:19:40+03:00]
[61b09aa1dc97dfdfff5e80684d20a74ad3b4ef21]
PyPI, двухфакторная авторизация и критические проекты
https://github.com/CheetahTemplate3/cheetah3/issues/49
https://github.blog/2023-03-09-raising-the-bar-for-software-security-github-2fa-begins-march-13/
Разработчик CheetahTemplate3 переименовал свой проект, выкатив как новый
пакет на PyPI, потому что потерял доступ к учётной записи из-за требования
использовать двухфакторную авторизацию (2c608b64a39de6d149f5807e8c56da30793a57af).
Там ему ещё написали что "критичность" пакета (что потребует 2FA) не
зависит от его "успешности" и популярности.
Мне нравятся его аргументы: или всё это требует смартфон, или аппаратные
ключи, что жутко геморройно. А если я забыл устройство/ключ? А если
потерял/сломал? Делать и привязывать несколько ключей! Верно ещё
заметил, что чёрт его знает что заработает на свободных ОС. Например
Рутокены и ESmart-ы (понятия не имею дружат ли они с TOTP или нет)
работают только со своими закрытыми бинарными .so. Можно конечно и
программные реализации использовать, но как бы какой тогда смысл, а
геморрой всё равно добавляется. И PyPI просто молча выставляет битик о
том, что проект теперь критичный, дуй использовать 2FA.
GitHub сказал что будет требовать 2FA для всех. Но это то меня мало
волнует, ибо давным давно перестал его использовать и никому не
советовал бы.
Но проекты на PyPI стоит удалить. Не то чтобы я считал что они реально
где-то могут стать "критичными", но судя по комментариям людей, стать
может любая ничтожная программка. А в этом случае я потеряю возможность
удалить их, намекая, что если кто-то туда пришёл в ожидании обновлений и
не увидел проект вообще, то его стоит искать в другом месте (указанном
во всех README). Не хочу неопределённостей и неожиданностей.
[оставить комментарий]
- комментарий 0:
From: Sergey Matveev
Date: 2023-03-15 12:16:35Z
*** localhost [2023-03-15 13:12]:
>Наверное сие придумано не для "безопасности"...
Ага, подобные мысли в первую очередь меня и посещали тоже.