Ви не увійшли. Будь ласка, увійдіть або зареєструйтесь.
Ласкаво просимо вас на україномовний форум з програмування, веб-дизайну, SEO та всього пов'язаного з інтернетом та комп'ютерами.
Будемо вдячні, якщо ви поділитись посиланням на Replace.org.ua на інших ресурсах.
Для того щоб створювати теми та надсилати повідомлення вам потрібно Зареєструватись.
Український форум програмістів → Системи контролю версій (SCM, VCS) → Дво-факторна аутентикація (2FA). GitHub погрожує. Мігруємо
GitHub каже що я маю 7 днів.. щоб увімкнути 2FA. І таке повідомленя бачать всі працівники.
Робити цього я звичайно не буду. Всією конторою перебираємось на GitLab (?) Codeberg. Сподіваюсь там такої херні не буде.
Тепер місяць піде тільки на те щоб все акуратно перенести.
upd: Вже в час перенесення GitHub пише:
upd: Список репозиторів нижче.
Всією конторою перебираємось на GitLab. Сподіваюсь там такої херні не буде.
Мені GitLab пропонує зачекати хвилинку, поки перевіряє безпеку з'єднання, і на цьому зупиняється. Зараз скрізь настільки «безпечно»?
GitHub каже що я маю 7 днів.. щоб увімкнути 2FA. І таке повідомленя бачать всі працівники.
▼Оригінал повідомленя GitHub (текст, en)Робити цього я звичайно не буду. Всією конторою перебираємось на GitLab. Сподіваюсь там такої херні не буде.
Тепер місяць піде тільки на те щоб все акуратно перенести.
upd: Вже в час перенесення GitHub пише:
▼(текст, en)
А чому ви боїтеся двофакторної ауторизації? Як на мене дуже зручно.
plusxx
+1
А чому ви боїтеся двофакторної ауторизації?
Не зрозумів питання. Хто боїться ?
Я її не потребую. Я маю лоґін і пароль, цього достатньо для аутентикації.
Також, маємо в команді покалічених (втрачена рука), я не буду від них вимагати тратити їх час на циферки в обнаглівшому GitHub.
Як на мене дуже зручно.
Що саме вам дуже зручно ? Кожного разу циферки вводити ?
Мені GitLab пропонує зачекати хвилинку, поки перевіряє безпеку з'єднання, і на цьому зупиняється. Зараз скрізь настільки «безпечно»?
Дійсно. Без JavaScript там взагалі не можливо працювати. Буду шукати які ще є варіанти.
Перевірка надійності підключення до сайту.
gitlab.com має перевірити безпеку вашого з’єднання, перш ніж продовжити.
plusxx написав:А чому ви боїтеся двофакторної ауторизації?
Не зрозумів питання. Хто боїться ?
Я її не потребую. Я маю лоґін і пароль, цього достатньо для аутентикації.
Також, маємо в команді покалічених (втрачена рука), я не буду від них вимагати тратити їх час на циферки в обнаглівшому GitHub.plusxx написав:Як на мене дуже зручно.
Що саме вам дуже зручно ? Кожного разу циферки вводити ?
Лише якщо кожного разу виходити з сесії, чи коли не впізнало девайс/браузер.
Upd: комітиться / пушиться / пуллиться на підставі ssh public key без 2fa, навіть якщо активовано.
Можна напевно підняти свій сервер для репозиторіїв і закрити його впном.
Можна напевно підняти свій сервер для репозиторіїв і закрити його впном.
https://replace.org.ua/post/183565/#p183565
А можна й без впн. Достатньо не світити докер назовні, відповідно сервіс буде доступний лише через ssh тунель.
leofun01 написав:Кожного разу циферки вводити ?
Лише якщо кожного разу виходити з сесії, чи коли не впізнало девайс/браузер.
Сесія кожного дня нова, бо ми працюємо в середовищі, яке в кінці робочого дня припиняє існувати.
frz написав:leofun01 написав:Кожного разу циферки вводити ?
Лише якщо кожного разу виходити з сесії, чи коли не впізнало девайс/браузер.
Сесія кожного дня нова, бо ми працюємо в середовищі, яке в кінці робочого дня припиняє існувати.
В такому випадку і юзернейм-пароль треба щодня вводити.
leofun01 написав:Сесія кожного дня нова, бо ми працюємо в середовищі, яке в кінці робочого дня припиняє існувати.
В такому випадку і юзернейм-пароль треба щодня вводити.
Ні. Лоґіни+паролі є в файлі, який зберігається зовні (поза середовищем) у форматі підтримуваному web переглядачем. В час створеня нового середовища цей файл імпортується. І в час старту web переглядача, він читає файл як рідний. Тому введення пароля зведено до {<Click>, <Enter>, <Enter>} або {<Click>, <Click>, <Enter>}.
Якщо треба змінити пароль або додати ще +1, то треба запустити web переглядач зовні (на основному хості).
Все решта робимо в генерованому середовищі.
Приємно знати що я не 1 такий. Нас десятки тисяч.
Там сторінка містить список з:
savannah.gnu.org (A)
sr.ht (B) [SourceHut]
notabug.org (C)
gitlab.com (F)
github.com (F)
sourceforge.net (F)
Від себе додаю:
codeberg.org (?)
gitea.com (F) captcha
git.disroot.org (F) captcha [Forgejo]
На sr.ht зареєструватися трохи складніше ніж на інших, за то максимум сісюріті.
А чому ви боїтеся двофакторної ауторизації? Як на мене дуже зручно.
Згоден, нерозумію що в цьому поганого.
Коли щось забув або хтось чужий хоче зайти.. зараз в багатьох місцях(сайти/блоги) пропонують зайти через гітхаб, ну і коли багато що може бути через один акаунт так менше ризику в разі чого.
Ні телефон ні мейл для мене не є таємницею.
О, користувачі вже скаржаться про втрату доступу до акаунта.
О, користувачі вже скаржаться про втрату доступу до акаунта.
Користувач відформатував свій мобільний девайс. Хто йому лікар? Я наприклад копіюю всі акаунти з ґуґл аутентифікатора на ще два девайси (старша мобіла і планшет).
Це ви щойно спробували навести аргумент типу "не буду я на квартири в збудованому будинку ставити замки, ви що - а раптом квартирант викине ключі в смітник".
leofun01 написав:О, користувачі вже скаржаться про втрату доступу до акаунта.
Користувач відформатував свій мобільний девайс. Хто йому лікар? Я наприклад копіюю всі акаунти з ґуґл аутентифікатора на ще два девайси (старша мобіла і планшет).
Це ви щойно спробували навести аргумент типу "не буду я на квартири в збудованому будинку ставити замки, ви що - а раптом квартирант викине ключі в смітник".
Але погодьтесь, ви б не захотіли купувати квартиру, загубивши ключі від якої, ви б назавжди втрачали можливість потрапити туди навіть з допомогою слюсаря. Хіба що якби такі квартири роздавали безкоштовно — та й то, є ризик, що ви забудете там свої речі й ніколи не зможете повернути. В реальному світі, ви навіть можете жити деякий час у квартирі, що зовсім не замикається — напр., якщо замок зламався, а новий ви ще не поставили — і більшість людей такий рівень безпеки влаштовує, як не дивно.
Ви б не захотіли жити і в домі, де шлях до дверей квартири проходить крізь темний лабіринт з пастками-вбивцями для незваних гостей. Ви б не хотіли жити в домі, де на вході проводять повний обшук (чи не намагаєтесь ви пронести до дому пакет з тротилом у своєму анусі), а протоколи обшуків одразу відсилаються поліції. Хоча це теж для вашої ж безпеки. Заходи безпеки мають бути рівно такими, щоб переваги від них не перекривалися незручностями.
Двофакторна автентифікація — це також певне посягання на анонімність користувача. Враховуючи, що межі законного можуть змінюватися (напр., це стосується авторського права), користувач-розробник у цих умовах потрапляє під додатковий ризик, надаючи свої особисті дані сервісу, який за певних умов може передати їх слідчим органам. Ви б хотіли сісти у в'язницю, бо переплутали GPL та BSD-ліцензію, або через те, що написали простеньку програму для обміну файлами по мережі, теоретично придатну для піратського їх розповсюдження? Отож. Це все жарти, але, гадаю, деякі проекти на межі сучасного закону цілком можуть у цих умовах позакриватись — торент-бібліотеки, завантажувачі ютюбу, анонімні месенджери і т.д.
P.Y.
Це той випадок, коли я б не заохочував вас писати простирадло тексту...
В реальному світі, ви навіть можете жити деякий час у квартирі, що зовсім не замикається — напр., якщо замок зламався, а новий ви ще не поставили — і більшість людей такий рівень безпеки влаштовує, як не дивно.
Щось схоже було із нашою квартирою в хрущовці, коли її здали в експлуатацію - а саме, будь-чий ключ підходив до усіх квартир. Абсурд, в який я б не повірив, якби це не було розказано мені моєю бабусею. Тут же всі побігли в навколишні магазини по нові замки, створюючи додатковий дефіцит.
пронести до дому пакет з тротилом у своєму анусі
Це п'ятірка.
Двофакторна автентифікація — це також певне посягання на анонімність користувача.
Це зовсім з якогось паралельного всесвіту. Зізнайтеся, ви просто не використовували досі ґуґл аутентифікатор. Там нема ніякої деанонімізації. Можливо, припускаю, ви взяли це з того що код можна в якості альтернативи надіслати на мобільний телефон, але саме додаток "ґуґл аутентифікатор" номеру телефону не вимагає, цей додаток можна використовувати взагалі без авторизації з ґуґл акаунтом.
Upd:
ви б не захотіли купувати квартиру, загубивши ключі від якої, ви б назавжди втрачали можливість потрапити туди навіть з допомогою слюсаря
Коли акаунт ґіт синхронізується з додатком ґуґл аутентифікації, то користувачу видається з десяток аварійних кодів - якраз на випадок втрати ключа. Те, що користувач забив і навіть не скопіював їх у безпечне місце на випадок вищезгаданого форматування мобільного девайсу - це знову ж таки, хто йому лікар.
Коли акаунт ґіт синхронізується з додатком ґуґл аутентифікації, то користувачу видається з десяток аварійних кодів - якраз на випадок втрати ключа. Те, що користувач забив і навіть не скопіював їх у безпечне місце на випадок вищезгаданого форматування мобільного девайсу - це знову ж таки, хто йому лікар.
Чудово, ви отримуєте з новою квартирою в'язку ключів. Загубили всю в'язку — то хто вам лікар, збирайте на нову квартиру.
