1 Востаннє редагувалося leofun01 (01.10.2023 13:41:08)

Тема: Дво-факторна аутентикація (2FA). GitHub погрожує. Мігруємо

GitHub каже що я маю 7 днів.. щоб увімкнути 2FA. І таке повідомленя бачать всі працівники.

Оригінал повідомленя GitHub (текст, en)
github.com написав:

Two-factor authentication (2FA) is required for your GitHub account.
You have 7 days left to enable 2FA.

Робити цього я звичайно не буду. Всією конторою перебираємось на GitLab (?) Codeberg. Сподіваюсь там такої херні не буде.

Тепер місяць піде тільки на те щоб все акуратно перенести.

upd: Вже в час перенесення GitHub пише:

(текст, en)
github.com написав:

What‽
Your browser did something unexpected.

upd: Список репозиторів нижче.

Подякували: P.Y.1

2

Re: Дво-факторна аутентикація (2FA). GitHub погрожує. Мігруємо

leofun01 написав:

Всією конторою перебираємось на GitLab. Сподіваюсь там такої херні не буде.

Мені GitLab пропонує зачекати хвилинку, поки перевіряє безпеку з'єднання, і на цьому зупиняється. Зараз скрізь настільки «безпечно»?

Подякували: leofun011

3

Re: Дво-факторна аутентикація (2FA). GitHub погрожує. Мігруємо

leofun01 написав:

GitHub каже що я маю 7 днів.. щоб увімкнути 2FA. І таке повідомленя бачать всі працівники.

Оригінал повідомленя GitHub (текст, en)
github.com написав:

Two-factor authentication (2FA) is required for your GitHub account.
You have 7 days left to enable 2FA.

Робити цього я звичайно не буду. Всією конторою перебираємось на GitLab. Сподіваюсь там такої херні не буде.

Тепер місяць піде тільки на те щоб все акуратно перенести.

upd: Вже в час перенесення GitHub пише:

(текст, en)
github.com написав:

What‽
Your browser did something unexpected.

А чому ви боїтеся двофакторної ауторизації? Як на мене дуже зручно.

Подякували: vitek, HetmanNet2

4

Re: Дво-факторна аутентикація (2FA). GitHub погрожує. Мігруємо

plusxx
+1

5

Re: Дво-факторна аутентикація (2FA). GitHub погрожує. Мігруємо

plusxx написав:

А чому ви боїтеся двофакторної ауторизації?

Не зрозумів питання. Хто боїться ?

Я її не потребую. Я маю лоґін і пароль, цього достатньо для аутентикації.
Також, маємо в команді покалічених (втрачена рука), я не буду від них вимагати тратити їх час на циферки в обнаглівшому GitHub.

plusxx написав:

Як на мене дуже зручно.

Що саме вам дуже зручно ? Кожного разу циферки вводити ?

6

Re: Дво-факторна аутентикація (2FA). GitHub погрожує. Мігруємо

P.Y. написав:

Мені GitLab пропонує зачекати хвилинку, поки перевіряє безпеку з'єднання, і на цьому зупиняється. Зараз скрізь настільки «безпечно»?

Дійсно. Без JavaScript там взагалі не можливо працювати. Буду шукати які ще є варіанти.

gitlab.com написав:

Перевірка надійності підключення до сайту.
gitlab.com має перевірити безпеку вашого з’єднання, перш ніж продовжити.

7 Востаннє редагувалося frz (28.09.2023 16:16:05)

Re: Дво-факторна аутентикація (2FA). GitHub погрожує. Мігруємо

leofun01 написав:
plusxx написав:

А чому ви боїтеся двофакторної ауторизації?

Не зрозумів питання. Хто боїться ?

Я її не потребую. Я маю лоґін і пароль, цього достатньо для аутентикації.
Також, маємо в команді покалічених (втрачена рука), я не буду від них вимагати тратити їх час на циферки в обнаглівшому GitHub.

plusxx написав:

Як на мене дуже зручно.

Що саме вам дуже зручно ? Кожного разу циферки вводити ?

Лише якщо кожного разу виходити з сесії, чи коли не впізнало девайс/браузер.

Upd: комітиться / пушиться / пуллиться на підставі ssh public key без 2fa, навіть якщо активовано.

8

Re: Дво-факторна аутентикація (2FA). GitHub погрожує. Мігруємо

Це означає, що вони хочуть уникнути відповідальності, якщо в них десь потечуть бази паролів.

Подякували: leofun01, koala, ReAl3

9

Re: Дво-факторна аутентикація (2FA). GitHub погрожує. Мігруємо

Можна напевно підняти свій сервер для репозиторіїв і закрити його впном.

Подякували: leofun011

10

Re: Дво-факторна аутентикація (2FA). GitHub погрожує. Мігруємо

Vo_Vik написав:

Можна напевно підняти свій сервер для репозиторіїв і закрити його впном.

https://replace.org.ua/post/183565/#p183565

А можна й без впн. Достатньо не світити докер назовні, відповідно сервіс буде доступний лише через ssh тунель.

11

Re: Дво-факторна аутентикація (2FA). GitHub погрожує. Мігруємо

frz написав:
leofun01 написав:

Кожного разу циферки вводити ?

Лише якщо кожного разу виходити з сесії, чи коли не впізнало девайс/браузер.

Сесія кожного дня нова, бо ми працюємо в середовищі, яке в кінці робочого дня припиняє існувати.

12

Re: Дво-факторна аутентикація (2FA). GitHub погрожує. Мігруємо

leofun01 написав:
frz написав:
leofun01 написав:

Кожного разу циферки вводити ?

Лише якщо кожного разу виходити з сесії, чи коли не впізнало девайс/браузер.

Сесія кожного дня нова, бо ми працюємо в середовищі, яке в кінці робочого дня припиняє існувати.

В такому випадку і юзернейм-пароль треба щодня вводити.

13

Re: Дво-факторна аутентикація (2FA). GitHub погрожує. Мігруємо

frz написав:
leofun01 написав:

Сесія кожного дня нова, бо ми працюємо в середовищі, яке в кінці робочого дня припиняє існувати.

В такому випадку і юзернейм-пароль треба щодня вводити.

Ні. Лоґіни+паролі є в файлі, який зберігається зовні (поза середовищем) у форматі підтримуваному web переглядачем. В час створеня нового середовища цей файл імпортується. І в час старту web переглядача, він читає файл як рідний. Тому введення пароля зведено до {<Click>, <Enter>, <Enter>} або {<Click>, <Click>, <Enter>}.
Якщо треба змінити пароль або додати ще +1, то треба запустити web переглядач зовні (на основному хості).
Все решта робимо в генерованому середовищі.

14

Re: Дво-факторна аутентикація (2FA). GitHub погрожує. Мігруємо

Приємно знати що я не 1 такий. Нас десятки тисяч.

GNU Критерії етичних репозиторів (текст, en)

Там сторінка містить список з:

Від себе додаю:

На sr.ht зареєструватися трохи складніше ніж на інших, за то максимум сісюріті.

Подякували: plusxx1

15

Re: Дво-факторна аутентикація (2FA). GitHub погрожує. Мігруємо

plusxx написав:

А чому ви боїтеся двофакторної ауторизації? Як на мене дуже зручно.

Згоден, нерозумію що в цьому поганого.
Коли щось забув або хтось чужий хоче зайти.. зараз в багатьох місцях(сайти/блоги) пропонують зайти через гітхаб, ну і коли багато що може бути через один акаунт так менше ризику в разі чого.
Ні телефон ні мейл для мене не є таємницею.

Подякували: HetmanNet1

16

Re: Дво-факторна аутентикація (2FA). GitHub погрожує. Мігруємо

О, користувачі вже скаржаться про втрату доступу до акаунта.

Подякували: ostap34PHP1

17 Востаннє редагувалося frz (07.10.2023 07:42:12)

Re: Дво-факторна аутентикація (2FA). GitHub погрожує. Мігруємо

leofun01 написав:

О, користувачі вже скаржаться про втрату доступу до акаунта.

Користувач відформатував свій мобільний девайс. Хто йому лікар? Я наприклад копіюю всі акаунти з ґуґл аутентифікатора на ще два девайси (старша мобіла і планшет).

Це ви щойно спробували навести аргумент типу "не буду я на квартири в збудованому будинку ставити замки, ви що - а раптом квартирант викине ключі в смітник".

18

Re: Дво-факторна аутентикація (2FA). GitHub погрожує. Мігруємо

frz написав:
leofun01 написав:

О, користувачі вже скаржаться про втрату доступу до акаунта.

Користувач відформатував свій мобільний девайс. Хто йому лікар? Я наприклад копіюю всі акаунти з ґуґл аутентифікатора на ще два девайси (старша мобіла і планшет).

Це ви щойно спробували навести аргумент типу "не буду я на квартири в збудованому будинку ставити замки, ви що - а раптом квартирант викине ключі в смітник".

Але погодьтесь, ви б не захотіли купувати квартиру, загубивши ключі від якої, ви б назавжди втрачали можливість потрапити туди навіть з допомогою слюсаря. Хіба що якби такі квартири роздавали безкоштовно — та й то, є ризик, що ви забудете там свої речі й ніколи не зможете повернути. В реальному світі, ви навіть можете жити деякий час у квартирі, що зовсім не замикається — напр., якщо замок зламався, а новий ви ще не поставили — і більшість людей такий рівень безпеки влаштовує, як не дивно.

Ви б не захотіли жити і в домі, де шлях до дверей квартири проходить крізь темний лабіринт з пастками-вбивцями для незваних гостей. Ви б не хотіли жити в домі, де на вході проводять повний обшук (чи не намагаєтесь ви пронести до дому пакет з тротилом у своєму анусі), а протоколи обшуків одразу відсилаються поліції. Хоча це теж для вашої ж безпеки. Заходи безпеки мають бути рівно такими, щоб переваги від них не перекривалися незручностями.

Двофакторна автентифікація — це також певне посягання на анонімність користувача. Враховуючи, що межі законного можуть змінюватися (напр., це стосується авторського права), користувач-розробник у цих умовах потрапляє під додатковий ризик, надаючи свої особисті дані сервісу, який за певних умов може передати їх слідчим органам. Ви б хотіли сісти у в'язницю, бо переплутали GPL та BSD-ліцензію, або через те, що написали простеньку програму для обміну файлами по мережі, теоретично придатну для піратського їх розповсюдження? Отож. Це все жарти, але, гадаю, деякі проекти на межі сучасного закону цілком можуть у цих умовах позакриватись — торент-бібліотеки, завантажувачі ютюбу, анонімні месенджери і т.д.

Подякували: leofun011

19 Востаннє редагувалося frz (07.10.2023 12:07:45)

Re: Дво-факторна аутентикація (2FA). GitHub погрожує. Мігруємо

P.Y.
Це той випадок, коли я б не заохочував вас писати простирадло тексту...

P.Y. написав:

В реальному світі, ви навіть можете жити деякий час у квартирі, що зовсім не замикається — напр., якщо замок зламався, а новий ви ще не поставили — і більшість людей такий рівень безпеки влаштовує, як не дивно.

Щось схоже було із нашою квартирою в хрущовці, коли її здали в експлуатацію - а саме, будь-чий ключ підходив до усіх квартир. Абсурд, в який я б не повірив, якби це не було розказано мені моєю бабусею. Тут же всі побігли в навколишні магазини по нові замки, створюючи додатковий дефіцит.

P.Y. написав:

пронести до дому пакет з тротилом у своєму анусі

Це п'ятірка.

P.Y. написав:

Двофакторна автентифікація — це також певне посягання на анонімність користувача.

Це зовсім з якогось паралельного всесвіту. Зізнайтеся, ви просто не використовували досі ґуґл аутентифікатор. Там нема ніякої деанонімізації. Можливо, припускаю, ви взяли це з того що код можна в якості альтернативи надіслати на мобільний телефон, але саме додаток "ґуґл аутентифікатор" номеру телефону не вимагає, цей додаток можна використовувати взагалі без авторизації з ґуґл акаунтом.

Upd:

P.Y. написав:

ви б не захотіли купувати квартиру, загубивши ключі від якої, ви б назавжди втрачали можливість потрапити туди навіть з допомогою слюсаря

Коли акаунт ґіт синхронізується з додатком ґуґл аутентифікації, то користувачу видається з десяток аварійних кодів - якраз на випадок втрати ключа. Те, що користувач забив і навіть не скопіював їх у безпечне місце на випадок вищезгаданого форматування мобільного девайсу - це знову ж таки, хто йому лікар.

20

Re: Дво-факторна аутентикація (2FA). GitHub погрожує. Мігруємо

frz написав:

Коли акаунт ґіт синхронізується з додатком ґуґл аутентифікації, то користувачу видається з десяток аварійних кодів - якраз на випадок втрати ключа. Те, що користувач забив і навіть не скопіював їх у безпечне місце на випадок вищезгаданого форматування мобільного девайсу - це знову ж таки, хто йому лікар.

Чудово, ви отримуєте з новою квартирою в'язку ключів. Загубили всю в'язку — то хто вам лікар, збирайте на нову квартиру.

Подякували: leofun011