Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

PyPI переходит на обязательную двухфакторную аутентификацию , opennews (?), 26-Май-23, (0) [смотреть все] объясните пж нубику чонетак с PGP и почему пипа от него отказались, ДМИТРИЙ НАГИЕВ (?), 08:49 , 26-Май-23, (1)   // Неосилили, скорее всего Там действительно есть сложности для того, кто хочет про, Stanislavvv (?), 08:55 , 26-Май-23, (6)   // Проще за счет выноса верификации пользователя на готовую инфраструктуру сотовых , Жироватт (ok), 08:58 , 26-Май-23, (8) –15   // Читайте новость внимательней - там всякие TOTP и токены, т е никаких сторонних , Stanislavvv (?), 09:00 , 26-Май-23, (9) +4   Написать в анонсе можно много чего - хоть с аутентификацией по выдавливанию юзер, Жироватт (ok), 09:06 , 26-Май-23, (12) –12   either with a security device preferred or an authentication app по ссылке из , Stanislavvv (?), 09:10 , 26-Май-23, (14) –1   Читай мой пост выше В анонсе можно написать что угодно - как это будет сделано в, Жироватт (ok), 09:18 , 26-Май-23, (16) –2   Ну перенесут сроки и что от этого изменится , Аноним (18), 09:48 , 26-Май-23, (18) +1   Там достаточно подключить библиотеку и за пару недель отладить работу Дольше инт, Stanislavvv (?), 09:58 , 26-Май-23, (22)   После того как выпили pgp нет им доверия, через год посмотрим, будет там авториз, анон (?), 16:44 , 26-Май-23, (76)   А до этого, конечно, доверия было хоть отбавляй 29 никому неизвестных ключей и, Аноним (108), 20:46 , 26-Май-23, (108)   Простоти великодушно, а каким образом всякие TOTP и токены вам без мейнстримовых, Zakaza (?), 14:32 , 26-Май-23, (62)   Простите великодушно , Zakaza (?), 14:33 , 26-Май-23, (63)   Для того pypi и protonmail подойдёт, если что А вообще, сам по себе TOTP не связ, Stanislavvv (?), 15:14 , 26-Май-23, (69)   Да, только вот беда, protonmail заблочен в РФ и для его подтверждения надо втора, Zakaza (?), 20:04 , 26-Май-23, (107)   Про почту - сойдёт любая, могущая _принять_ письмо от сервиса Отправлять не обя, Stanislavvv (?), 08:26 , 27-Май-23, (123)   oathtool не требует, Аноним (131), 18:07 , 27-Май-23, (131)   Да, васяны с цифровыми подписями, которых не загнать в централизацию аутентифика, Аноним (60), 14:25 , 26-Май-23, (60)   Слишком децентрализованный для нынешнего поколения , Аноним (7), 08:56 , 26-Май-23, (7)   PGP делали люди для людей Есть УЦ, есть пользователи, есть их ключи, есть пулы , Жироватт (ok), 09:01 , 26-Май-23, (10)   // Ты все перепутал, в PGP Web Of Trust Есть серверы ключей, но они ничего не удос, Аноним (20), 09:55 , 26-Май-23, (20) +1   // WOT с определённой долей достоверности таки удостоверяет https www linux org , Аноним (38), 11:25 , 26-Май-23, (38)   Забавно конечно, но это незапланированная функциональность, по сути дата-майнинг, Аноним (20), 12:58 , 26-Май-23, (46)   Принципиальная ненадежность , Аноним (18), 16:07 , 26-Май-23, (72)   Речь не о УЦ, а о серверах ключей OpenPGP, они помогают обмениваться ключами и п, Аноним (125), 13:10 , 27-Май-23, (125)   А что токены удостоверяют Как любой рандомный пассажир мог нагенерить себе ключ, Заместитель эксперта (?), 14:40 , 26-Май-23, (65)   скатится или нет это будем смотретьа вот то что PGP это корявые костыли это видн, annonn_2 (?), 17:15 , 26-Май-23, (79)   В PGP каждый пользователь, чтобы начать пользоваться PGP, должен стать Удостовер, Аноним (130), 17:17 , 27-Май-23, (130)   Чтобы начать пользоваться PGP надо сгенерить себе ключ Долверять ли этому ключу, Аноним (-), 20:21 , 29-Май-23, (154)   Как ты навалишь в репу TOTP пароль, который действителен 30 секунд , Аноним (90), 17:57 , 26-Май-23, (90) –2   Токены генерятся фактически с ключа, но есть некоторая разница в сценарии его ис, Аноним (113), 23:57 , 26-Май-23, (113) –1   Ну и почему он людям не нужен тогда , Сынакорзина (?), 10:06 , 26-Май-23, (23)   // Людям PGP - нужен Государствам с жидомасонами, львогазелями - нет После Сноуде, Аноним (38), 11:07 , 26-Май-23, (32) +2   Ахаха, люди для людей Серьезно Скорее отбитые зад ты для таких же отбитых з, Анонин (?), 11:05 , 26-Май-23, (31) –1   // Можно, с определённой достоверностью https www opennet ru openforum vsluhforu, Аноним (38), 11:16 , 26-Май-23, (35)   Но вот только никто не знает как именно была проведена проверка Все основано на , Анонин (?), 11:28 , 26-Май-23, (39)   Надо выставлять уровень доверия при подписи чужого ключа Результатом WOT есть не, Аноним (42), 12:12 , 26-Май-23, (42) +1   Ещё 2 графических примера цепочек доверия между ключами https git kernel org p, Аноним (42), 12:22 , 26-Май-23, (43)   Отчаиватся не надо Многие дистрибутивы NIX и проекты разработки свободного ПО , Аноним (49), 13:09 , 26-Май-23, (49)   Еще раз Вопрос не про уровень доверия при подписи чужого ключа А про то наско, Анонин (?), 12:48 , 26-Май-23, (45)   1 Нужно 5 цепочек к ключу Одной цепочки от однокласника Васи маловато Но есл, Аноним (49), 13:19 , 26-Май-23, (50)   То это ничего не значит, т к ты все равно не знаешь, можно ли верить этому 11А,, Аноним (68), 15:13 , 26-Май-23, (68) –1   Значат Вася знает Вову и подписал его ключ Вова знает Вадима и подписал ключ Вад, Аноним (125), 13:19 , 27-Май-23, (126)   потому что мельком видел его на тусовке каких-то фриковили на самом деле нихрена, пох. (?), 16:11 , 27-Май-23, (127)   PGP на для всех подходит Необходимо быть трезвым и аккуратным при проверке Ф И , Аноним (130), 18:07 , 27-Май-23, (132)   нет, надо просто подписать пачку ключей неглядя Рано или поздно твою подпись под, пох. (?), 16:53 , 28-Май-23, (144)   Чем больше цепочек доверия и чем они короче тем выше доверие к ключу PGP довольн, Аноним (160), 07:43 , 03-Июн-23, (160)   А что делать Геннадию, который всех этих людей никогда не видел и не увидит , Аноним (68), 22:34 , 27-Май-23, (136)   Гена хорошо знает Гришу и они обменялись публичными ключами Гриша встретился с В, Аноним (160), 06:55 , 03-Июн-23, (159)   Это всего одна из многих цепочек доверия Есть и другие цепочки доверия Общий у, Аноним (49), 13:37 , 26-Май-23, (54)   Читаем https blog yossarian net 2023 05 21 PGP-signatures-on-PyPI-worse-than-u, Аноним (114), 05:48 , 27-Май-23, (114) +1   Вот целая статья https blog yossarian net 2023 05 21 PGP-signatures-on-PyPI-wo, Аноним (21), 09:56 , 26-Май-23, (21)   Потому что Authy, Google Authenticator требуют как минимум твой телефон, им хоче, paranoed (?), 14:29 , 26-Май-23, (61)   // TOTP можно использовать хоть на ПК, и через него никакая инфа пользователя не вы, Аноним (90), 18:01 , 26-Май-23, (91) +1   https www opennet me openforum vsluhforumID3 130586 html n OpenEcho 11, OpenEcho (?), 14:48 , 26-Май-23, (66)   переставлять кровати проще чем чинить протекающую крышу , Аноним (3), 08:53 , 26-Май-23, (3) +4 // там крыша была как у поросенка ниф-нифа, ее давно сдуло легким сквознячком , пох. (?), 16:13 , 26-Май-23, (75) Только вот протекающая крыша у нас - это PGP Его уже лет двадцать никто в здрав, Аноним (114), 05:50 , 27-Май-23, (115) Т е если разработчик изначально сопровождает свой вредоносный пакет к нему ника, Аноним (18), 09:46 , 26-Май-23, (17) // За ним Пативэн приедет , Аноним (28), 10:48 , 26-Май-23, (28) // Ага и Дед Мороз на Новый Год подарки не подарит , Аноним (18), 11:17 , 26-Май-23, (36) Где ты в новости увидел текст, из которого это следует , Аноним (90), 14:08 , 26-Май-23, (58) +1 // Где ты увидел что они что-то будут делать , Аноним (18), 16:05 , 26-Май-23, (71) // Не разводи клоунаду https www opennet ru opennews art shtml num 59168, Аноним (114), 06:14 , 27-Май-23, (118) Если кого-то насильно заставлять делать двухфакторку, то он сведет ее к однофакт, Аноним (19), 09:52 , 26-Май-23, (19) +6 // Отличная история Типа годами разрабатывать и поддерживать либу на PyPi тебе не , Аноним (21), 10:06 , 26-Май-23, (24) –1 // А если он разряжен А если в нем и так куча TOTP-кодов А если TOTP-код будет ва, Аноним (19), 10:12 , 26-Май-23, (25) +2 // Ну ёлки - так и пиши, что во время, гм, работы обе руки заняты, чо стесняться-, User (??), 11:01 , 26-Май-23, (30) Ты это серьезно Шикарные аргументы, чтобы похерить безопасность Чел, не развод, Аноним (90), 14:16 , 26-Май-23, (59) +1 А зачем её защищать от компроментации Оставить sorry my account was hacked , Akteon (?), 10:37 , 26-Май-23, (26) да, заниматься соврешенно ненужной хренью внезапно может быть лень Ради очередн, пох. (?), 13:24 , 26-Май-23, (51) +1 Защитить от компрометации кем Вы не думали о том, что люди часто делаю либы для , Легивон (?), 19:47 , 26-Май-23, (106) +2 // Вполне понимаю реакцию таких людей на попытку диктовать им условия Постольку по, Аноним (114), 00:01 , 28-Май-23, (138) –1 Есть консольные генераторы totp которые можно использовать в юнитах системд или , тотп (?), 11:14 , 26-Май-23, (34) +2 // консольные или умеющие именно в скрипты Покажь последний хоть один, друг очень , пох. (?), 13:25 , 26-Май-23, (52) +1 // oathtool посмотрите, Stanislavvv (?), 15:25 , 26-Май-23, (70) о, спасибо, знатная говорящая лягуха, отлично дополнит генератор в Браузере , пох. (?), 16:08 , 26-Май-23, (73) Ну, вообще-то нет Это все равно двуфакторка, потому что если кто-то узнает твой, Аноним (21), 17:22 , 26-Май-23, (80) +1 // вот откуда он его узнает если у тебя не свистнули и не взломали комп она вообще , пох. (?), 18:07 , 26-Май-23, (92) // Блжд, ну в новости же написано в результате утечки учётных данных, использовани, Аноним (102), 19:04 , 26-Май-23, (102) П-дежь и чушь собачья там написана, ну и что с этого Особенно про методы социаль, пох. (?), 21:50 , 26-Май-23, (110) Оно https www avangard ru rus private cards card_with_display , Anonymus (?), 20:48 , 27-Май-23, (133) Не, у этих оно было только для премиум-клиентов не знаю как сейчас, я давно от , пох. (?), 21:38 , 27-Май-23, (134) Пользуйся хардварным токеном Даже нажимать ничего не нужно, потрогал и лады , Аноним (108), 23:33 , 26-Май-23, (112) // а если я не хочу ради подписывания своего лефтпада платить безумные деньги за ко, пох. (?), 16:12 , 27-Май-23, (128) // Не можешь позволить пару копеек на токен потратить 8212 двигай ручками и гене, Аноним (108), 04:55 , 28-Май-23, (142) Могу позволить себе просто не ублажать пиписек Не умеют в верификацию пакетов, , пох. (?), 09:07 , 28-Май-23, (143) Молодец, догадался Именно потребителям она и нужна Без потребителей 100 кода , Аноним (108), 17:29 , 28-Май-23, (145) –1 PS Мну уже годы как усилил таким образом безопасность, привязав github на арен, Akteon (?), 10:43 , 26-Май-23, (27) +2 // Скрыто модератором, ivan_erohin (?), 10:54 , 26-Май-23, (29) PSНекоторые спрашивают какой план Б Локальные репозитории в любом случае оста, Akteon (?), 11:11 , 26-Май-23, (33) +1 // Почему бы тогда сразу не разрабатываться локально, зачем что-то выкладывать , Аноним (18), 11:18 , 26-Май-23, (37) // 1 Так исторически сложилось2 Там не один github , Akteon (?), 11:46 , 26-Май-23, (41) все правильно сделал Правда следующая итерация - выпилить нахрен репо и положит, пох. (?), 13:27 , 26-Май-23, (53) // А ссылку то на что давать Хостер однажды забыл прислать мне письмо, я и не запл, n00by (ok), 14:04 , 26-Май-23, (56) –3 // ну не будь лохом, пользуй хостера который просто списывает с карты Где взять кар, пох. (?), 16:09 , 26-Май-23, (74) Карта у меня водилась в то время, и даже имелось полтора банкомата на всю деревн, n00by (ok), 07:58 , 27-Май-23, (122) –1 А ты как локалхостов ру поступай хости у себя под кроватью А сгорит вместе с д, Аноним (108), 17:32 , 28-Май-23, (146) в целом да, тебе это уже точно будет неважно говорю как краевед, успешно прое , пох. (?), 20:24 , 28-Май-23, (147) Не мы, а вы Я для себя и детей этот вопрос позитивно решил больше десяти лет то, Аноним (108), 02:37 , 29-Май-23, (151) тот проект без страны был, увы, бесполезен Он именно местная история - теперь п, пох. (?), 09:57 , 29-Май-23, (152) Как сказал один пот если где-то что-то зажигают, значит это кому-то нужно В общ, n00by (ok), 09:23 , 30-Май-23, (156) –2 Ну так ты действительно усилил, потому что левый васян, получивший твой пароль, , Аноним (114), 05:54 , 27-Май-23, (116) Шли бы они нахер со своим PyPI Моя разработка всё актуальнее и актуальнее , Аноним (40), 11:37 , 26-Май-23, (40) +3 // Скрыто модератором, anonnnn (?), 12:47 , 26-Май-23, (44) // Скрыто модератором, Аноним (47), 13:01 , 26-Май-23, (47) +1 Все антиюниксовые проекты так или иначе следуют в фарватере корпораций и наследу, Аноним (20), 13:03 , 26-Май-23, (48) // Судя по минусующим жироватого, таки там сейчас фаза ОТРИЦАНИЕ , Dzen Python (ok), 21:33 , 26-Май-23, (109) –1 А почему вы не финансируете митинги и партии во всех странах за свободу от рабст, рабификатор (?), 06:40 , 27-Май-23, (119) –1 Вот где реальная киберсвобода, да , Аноним (140), 00:21 , 28-Май-23, (140) +1 Зачем там двухфактор Почему просто пароля недостаточно Или тут опять повесточка, Аноним (55), 13:48 , 26-Май-23, (55) +1 // Новость не читай, комментарий пиши , Аноним (90), 14:06 , 26-Май-23, (57) –2 // От взлома жопы разработчика паяльником, пальцев - дверью, благосостояния - щедры, Аноним (47), 14:35 , 26-Май-23, (64) +1 Очевидно, чтобы злоумышленники не получили доступ к пакетам, если узнали пароль , Аноним (21), 17:28 , 26-Май-23, (88) чтобы тебя вычислять по видеокамерам и заставлять тебя бояться организовывать ми, рабификатор (?), 06:43 , 27-Май-23, (120) Друзья, а вам не кажется, что слишком кучно пошло с навязыванием двухфакторок ве, Аноним (77), 17:00 , 26-Май-23, (77) +3 // Я предлагаю тебе наконец-то почитать, как работает стандарт TOTP, и не пороть чу, Аноним (21), 17:24 , 26-Май-23, (81) –6 Скрыто модератором, annonn_2 (?), 17:25 , 26-Май-23, (82) –2 тут некто Хэнлон пробегал Бритвой машет Будь очень осторожен , пох. (?), 18:08 , 26-Май-23, (93) –3 // Про замедление айфонов эплом ты теперь тоже кидался ненужной конспирологией , д, Аноним (140), 00:22 , 28-Май-23, (141) Двухвакторку навязывают злонамеренные корпорации чтобы ограблять и обманывать ан, Самый Лучший Гусь (?), 18:48 , 26-Май-23, (96) –1 Например, сопровождающим пакетов Pypi, чтобы не обделаться на весь мир , Аноним (102), 19:06 , 26-Май-23, (103) –2 // Скрыто модератором, Аноним (-), 23:21 , 28-Май-23, (150) Скрыто модератором, YetAnotherOnanym (ok), 18:49 , 26-Май-23, (97) –2 // Скрыто модератором, Аноним (114), 06:10 , 27-Май-23, (117) // Скрыто модератором, YetAnotherOnanym (ok), 08:53 , 27-Май-23, (124) Раньше комитили мусор все подряд, теперь будут комитить мусор все подряд,но с 2х, Профессор (?), 19:02 , 26-Май-23, (101) +5 // теперь вы все стали рабами и вам переписали права человека пока вы все были в ст, рабификатор (?), 06:44 , 27-Май-23, (121) +1 Предлагаю им сделать подтверждение личности при регистрации по фотосету дикпиков, Аноним (129), 16:54 , 27-Май-23, (129) // Они как раз начнут соревноваться в генерации дипфэйков дикпиков Впрочем для шту, Аноним (149), 22:55 , 28-Май-23, (149) Даю лайфхак, опробованный на гитхабе - просто выкладывайте QR код от TOTP в пабл, Аноним (155), 23:18 , 29-Май-23, (155) 1,3,17,19,27,40,48,55,77,101,129,155

Сообщения

[Сортировка по времени | RSS]

1. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
Сообщение от ДМИТРИЙ НАГИЕВ (?), 26-Май-23, 08:49
объясните пж нубику чонетак с PGP и почему пипа от него отказались
Ответить | Правка | Наверх | Cообщить модератору

	6. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Stanislavvv (?), 26-Май-23, 08:55
	Неосилили, скорее всего. Там действительно есть сложности для того, кто хочет просто фигачить код, а не разбираться, как подписывать коммиты и сверять подписи. Двухфактора в данном случае - проще, но при этом действительно значительно снизит количество проблем.
	Ответить | Правка | Наверх | Cообщить модератору

	8. "PyPI переходит на обязательную двухфакторную аутентификацию "	–15 +/–
	Сообщение от Жироватт (ok), 26-Май-23, 08:58
	Проще за счет выноса верификации пользователя на готовую инфраструктуру сотовых операторов, контракт с которыми - по уже лет 15 в т.н. "цивилизованном мире" лишь по аусвайсу с тучей справок?
	Ответить | Правка | Наверх | Cообщить модератору

	9. "PyPI переходит на обязательную двухфакторную аутентификацию "	+4 +/–
	Сообщение от Stanislavvv (?), 26-Май-23, 09:00
	> Проще за счет выноса верификации пользователя на готовую инфраструктуру сотовых операторов, Читайте новость внимательней - там всякие TOTP и токены, т.е. никаких сторонних операторов.
	Ответить | Правка | Наверх | Cообщить модератору

	12. "PyPI переходит на обязательную двухфакторную аутентификацию "	–12 +/–
	Сообщение от Жироватт (ok), 26-Май-23, 09:06
	Написать в анонсе можно много чего - хоть с аутентификацией по выдавливанию юзерских гнойников на камеру - мне реально интересно как оно будет реализовано в проде и не скатится ли до банального "вот вам телефон с смсом, а для особых извращенцев - ТОТР, токены и F2A"
	Ответить | Правка | Наверх | Cообщить модератору

	14. "PyPI переходит на обязательную двухфакторную аутентификацию "	–1 +/–
	Сообщение от Stanislavvv (?), 26-Май-23, 09:10
	> Написать в анонсе можно много чего - хоть с аутентификацией по выдавливанию > юзерских гнойников на камеру - мне реально интересно как оно будет > реализовано в проде и не скатится ли до банального "вот вам > телефон с смсом, а для особых извращенцев - ТОТР, токены и > F2A" either with a security device (preferred) or an authentication app по ссылке из новости. Думаю, это вполне себе однозначно - никаких смс.
	Ответить | Правка | Наверх | Cообщить модератору

	16. "PyPI переходит на обязательную двухфакторную аутентификацию "	–2 +/–
	Сообщение от Жироватт (ok), 26-Май-23, 09:18
	Читай мой пост выше. В анонсе можно написать что угодно - как это будет сделано в столь сжатые сроки отдельный вопрос.
	Ответить | Правка | Наверх | Cообщить модератору

	18. "PyPI переходит на обязательную двухфакторную аутентификацию "	+1 +/–
	Сообщение от Аноним (18), 26-Май-23, 09:48
	Ну перенесут сроки и что от этого изменится?
	Ответить | Правка | Наверх | Cообщить модератору

	22. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Stanislavvv (?), 26-Май-23, 09:58
	> Читай мой пост выше. > В анонсе можно написать что угодно - как это будет сделано в > столь сжатые сроки отдельный вопрос. Там достаточно подключить библиотеку и за пару недель отладить работу. Дольше интерфейс удобный делать. На работе такое уже делали.
	Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

	76. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от анон (?), 26-Май-23, 16:44
	После того как выпили pgp нет им доверия, через год посмотрим, будет там авторизация по смс или нет
	Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

	108. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Аноним (108), 26-Май-23, 20:46
	А до этого, конечно, доверия было хоть отбавляй. 29% никому неизвестных ключей и аж целых 0.3% верифицируемо подписанных _файлов_.
	Ответить | Правка | Наверх | Cообщить модератору

	62. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Zakaza (?), 26-Май-23, 14:32
	>> Проще за счет выноса верификации пользователя на готовую инфраструктуру сотовых операторов, > Читайте новость внимательней - там всякие TOTP и токены, т.е. никаких сторонних > операторов. Простоти великодушно, а каким образом всякие TOTP и токены вам без мейнстримовых почт, где просят телефон, дадут всю эту радость жизни получить? Или опять предлагается селфхост, перманентно пребывающий в вечном спамфильтре?!
	Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

	63. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Zakaza (?), 26-Май-23, 14:33
	>>> Проще за счет выноса верификации пользователя на готовую инфраструктуру сотовых операторов, >> Читайте новость внимательней - там всякие TOTP и токены, т.е. никаких сторонних >> операторов. > Простоти великодушно, а каким образом всякие TOTP и токены вам без мейнстримовых > почт, где просят телефон, дадут всю эту радость жизни получить? Или > опять предлагается селфхост, перманентно пребывающий в вечном спамфильтре?! *Простите великодушно*
	Ответить | Правка | Наверх | Cообщить модератору

	69. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Stanislavvv (?), 26-Май-23, 15:14
	> Простоти великодушно, а каким образом всякие TOTP и токены вам без мейнстримовых > почт, где просят телефон, дадут всю эту радость жизни получить? Или > опять предлагается селфхост, перманентно пребывающий в вечном спамфильтре?! Для того pypi и protonmail подойдёт, если что. А вообще, сам по себе TOTP не связан с почтой ВООБЩЕ. Это тупо набор параметров для алгоритма расчёта чисел. То, что сайты рисуют там почту в qr-коде - к собственно TOTP отношения не имеет.
	Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

	107. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Zakaza (?), 26-Май-23, 20:04
	>> Простоти великодушно, а каким образом всякие TOTP и токены вам без мейнстримовых >> почт, где просят телефон, дадут всю эту радость жизни получить? Или >> опять предлагается селфхост, перманентно пребывающий в вечном спамфильтре?! > Для того pypi и protonmail подойдёт, если что. > А вообще, сам по себе TOTP не связан с почтой ВООБЩЕ. Это > тупо набор параметров для алгоритма расчёта чисел. То, что сайты рисуют > там почту в qr-коде - к собственно TOTP отношения не имеет. Да, только вот беда, protonmail заблочен в РФ и для его подтверждения надо вторая почта не от протонов. В итоге мы должны пропалить какой-нибудь иной почте телефон - раз, чтобы оплатить VPN для обхода блокировки протона спалить реквизиты ещё и банковской карты - два. На счёт TOTP - так-то оно так, но речь за Authy, Google Authenticator требуют почту для регистрации. В итоге придут к смс аутентификациям, дело времени.
	Ответить | Правка | Наверх | Cообщить модератору

	123. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Stanislavvv (?), 27-Май-23, 08:26
	Про почту - сойдёт любая, могущая _принять_ письмо от сервиса. Отправлять не обязательно. Если не нравится использование почты вообще - идите к владельцам pypi и предлагайте альтернативы. > На счёт TOTP - так-то оно так, но речь за Authy, Google > Authenticator требуют почту для регистрации. > В итоге придут к смс аутентификациям, дело времени. На них свет оконцем сошелся чтоль? Дистрибутивных oathtool и keepassxc недостаточно? Того, что в f-droid тоже недостаточно, обязательно надо в google play лезть? Вобщем, изучите вопрос, чтоль. Кроме проприетарщины есть ещё и опенсорс. Что касается смс - TOTP бесплатно, а интеграция с провайдерами стоит денег.
	Ответить | Правка | Наверх | Cообщить модератору

	131. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Аноним (131), 27-Май-23, 18:07
	> Authy, Google Authenticator требуют почту для регистрации oathtool не требует
	Ответить | Правка | К родителю #107 | Наверх | Cообщить модератору

	60. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Аноним (60), 26-Май-23, 14:25
	> Неосилили, скорее всего. > Там действительно есть сложности для того, кто хочет просто фигачить код, а > не разбираться, как подписывать коммиты и сверять подписи. > Двухфактора в данном случае - проще, но при этом действительно значительно снизит > количество проблем. Да, васяны с цифровыми подписями, которых не загнать в централизацию аутентификации это плохо, а васяны с централизованными попрошайками личных данных это хорошо, всё правильно делают, так победят!
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	7. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Аноним (7), 26-Май-23, 08:56
	Слишком децентрализованный для нынешнего поколения
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	10. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Жироватт (ok), 26-Май-23, 09:01
	PGP делали люди для людей. Есть УЦ, есть пользователи, есть их ключи, есть пулы общедоступных серверов, на которых можно поискать неизвестный ключ, получив или "Да, есть - Задов Хрен Моржович - Доверен и проверен ТрастУЦ". Настраиваешь - работает. Потом в_айти пошел поток мути, для которых это СЫЛОЖНА! И что? И всё.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	20. "PyPI переходит на обязательную двухфакторную аутентификацию "	+1 +/–
	Сообщение от Аноним (20), 26-Май-23, 09:55
	Ты все перепутал, в PGP Web Of Trust. Есть серверы ключей, но они ничего не удостоверяют, просто обменник.
	Ответить | Правка | Наверх | Cообщить модератору

	38. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Аноним (38), 26-Май-23, 11:25
	WOT с определённой долей достоверности таки удостоверяет: https://www.linux.org.ru/forum/security/16839105?cid=16840324
	Ответить | Правка | Наверх | Cообщить модератору

	46. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Аноним (20), 26-Май-23, 12:58
	Забавно конечно, но это незапланированная функциональность, по сути дата-майнинг. Участники WOT устанавливают доверие напрямую и ключами обмениваться могут произвольно, не используя серверы ключей. WOT не требует создания инфраструктуры. Используя инфраструктуру с УЦ вы всегда устанавливаете доверие опосредованно. В этом принципиальное отличие.
	Ответить | Правка | Наверх | Cообщить модератору

	72. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Аноним (18), 26-Май-23, 16:07
	Принципиальная ненадежность.
	Ответить | Правка | Наверх | Cообщить модератору

	125. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Аноним (125), 27-Май-23, 13:10
	Речь не о УЦ, а о серверах ключей OpenPGP, они помогают обмениваться ключами и подписями. В роли УЦ в WOT выступает рядовой пользователь, который подписывает ключ однокурсника, сотрудника и загружает эти подписи на сервера ключей.
	Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

	65. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Заместитель эксперта (?), 26-Май-23, 14:40
	> Ты все перепутал, в PGP Web Of Trust. Есть серверы ключей, но > они ничего не удостоверяют, просто обменник. А что токены удостоверяют? Как любой рандомный пассажир мог нагенерить себе ключей и наваливать всякого в общую репу, так и с токенами такой же рандомный пассажир сможет сделать? В чём в этом аспекте принципиальная разница-то? Тут кроме не очень хорошо прикрытой жажды централизовывать, ничего более не видно. Это промежуточный этап, потому что токены зумеры также не осилят, как и по-человечески работать с цифровыми подписями. И то, это если действительно такой был истинный поинт отказа от PGP, а не банальное желание вольные жопы держать в менее вольном загоне. Вангую - всё скатится в помойные аутентификации по смс, скриньте этот пост!
	Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

	79. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от annonn_2 (?), 26-Май-23, 17:15
	скатится или нет это будем смотреть а вот то что PGP это корявые костыли это видно уже давно люди не будут пользоваться тем что не удобно не хотите сделать удобно значит вас будет 1,5 процент
	Ответить | Правка | Наверх | Cообщить модератору

	130. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Аноним (130), 27-Май-23, 17:17
	В PGP каждый пользователь, чтобы начать пользоваться PGP, должен стать Удостоверяющим Центром (УЦ) и подписать PGPID публичных ключей нескольких других пользователей PGP. Перед подписью PGPID необходимо по буквам сверить Ф.И.О. и фото с паспортом, верифицировать контроль над E-mail. Расскажи как этот пункт сделать удобным. УЦ предполагает требования аккуратности и удобным его не сделаешь.
	Ответить | Правка | Наверх | Cообщить модератору

	154. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Аноним (-), 29-Май-23, 20:21
	Чтобы начать пользоваться PGP надо сгенерить себе ключ. Долверять ли этому ключу - на усмотрение того кто получает его публичную часть. Получать ее можно хоть голубиной почтой. К каким либо именам и фамилиям это никак не относится, их проверка или сопоставление ключу уже организационные мероприятия и это мало чем отличается от вон того. А еще удобство и безопасность живут по разную сторону улицы. Вон то больше похоже на перехват контроля над толпой у этой самой толпы. Чего глупые хайпанашки с удобством и заслуживают. Сейчас им корпы организуют очень удобную короткую цепь со строгим ошейником.
	Ответить | Правка | Наверх | Cообщить модератору

	90. "PyPI переходит на обязательную двухфакторную аутентификацию "	–2 +/–
	Сообщение от Аноним (90), 26-Май-23, 17:57
	> Как любой рандомный пассажир мог нагенерить себе ключей и наваливать всякого в общую репу, так и с токенами такой же рандомный пассажир сможет сделать? Как ты навалишь в репу TOTP пароль, который действителен 30 секунд?
	Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

	113. "PyPI переходит на обязательную двухфакторную аутентификацию "	–1 +/–
	Сообщение от Аноним (113), 26-Май-23, 23:57
	Токены генерятся фактически с ключа, но есть некоторая разница в сценарии его использования. Этот ключ живет заведомо отдельно от компьютера, на котором производятся удостоверяемые операции. Да, все скатится не просто к смскам, но и к фото с паспортом в руках для наиболее важных с точки зрения црушных кибербезов пакетов.
	Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

	23. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Сынакорзина (?), 26-Май-23, 10:06
	>PGP делали люди для людей Ну и почему он людям не нужен тогда?
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

	32. "PyPI переходит на обязательную двухфакторную аутентификацию "	+2 +/–
	Сообщение от Аноним (38), 26-Май-23, 11:07
	Людям PGP - нужен. Государствам с жидомасонами, львогазелями - нет. После Сноудена они страх как боятся PGP и его распределённого свойства WOT. Похерили пару связующих ключей путём переполнения подписей: https://www.opennet.ru/openforum/vsluhforumID3/117882.html#4 https://www.opennet.ru/openforum/vsluhforumID3/117786.html#61 Чтобы PGP заработал надо кропотливый, многолетний труд множества пользователей OpenPGP во восём мире: https://www.opennet.ru/openforum/vsluhforumID3/130586.html#21
	Ответить | Правка | Наверх | Cообщить модератору

	31. "PyPI переходит на обязательную двухфакторную аутентификацию "	–1 +/–
	Сообщение от Анонин (?), 26-Май-23, 11:05
	Ахаха, люди для людей? Серьезно?? Скорее отбитые зад...ты для таких же отбитых зад...тов. Вот есть ключ Васи, который лежит в каком-то занюханом хранилище, который "верифицировал" Биба и Боба, которые бухали с Васей на каком-то гнутом мероприятии, которых "верифицировали" Пупа и Лупа, которые вообще хз кто, которых ... и т.д. И Вася говорит - вот мой ключ, мне можно верить!
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

	35. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Аноним (38), 26-Май-23, 11:16
	Можно, с определённой достоверностью: https://www.opennet.ru/openforum/vsluhforumID3/130586.html#41 Аккуратно выставлять уровни доверия к ключам:   Если это ключ однокурсника, сотрудника, которых паспортные данные Ф.И.О. фото ты 100% знаешь и их E-mail 100% верифицирован - высокий уровень.   "Бухали на PGP-парти", но первый раз вижу, паспорта не показывали, E-mail не верифицировали, но с их рук получил распечатаный PGP ID c Fingerprint-том ключа - самый низкий уровень доверия.
	Ответить | Правка | Наверх | Cообщить модератору

	39. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Анонин (?), 26-Май-23, 11:28
	Но вот только никто не знает как именно была проведена проверка. Все основано на доверии к конкретному проверяющему, которого по факту нет.
	Ответить | Правка | Наверх | Cообщить модератору

	42. "PyPI переходит на обязательную двухфакторную аутентификацию "	+1 +/–
	Сообщение от Аноним (42), 26-Май-23, 12:12
	Надо выставлять уровень доверия при подписи чужого ключа. Результатом WOT есть несколько цепочек доверия от твоего ключа к интересующему тебя ключу. Если таких цепочек ~5, то уровень достоверности можно считать приемлемым. Меньше 3 цепочек, наверно, сегодня уже не достаточно. Графический пример 4 цепочек доверия между ключём "Linus Torvalds 79BE3E4300411886" и ключом "Steven Miao 9A2698CDCF8E49C7" https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/plain... Чем короче путь цепочки (меньше посредников), тем выше доверие.
	Ответить | Правка | Наверх | Cообщить модератору

	43. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Аноним (42), 26-Май-23, 12:22
	Ещё 2 графических примера цепочек доверия между ключами: https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/plain... https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/plain... В OpenPGP технология WOT работает не быстро. Нужны годы. Студент подпишет ключи однокурсников, закончит ВУЗ пойдёт на работу, подпишет ключи сотрудников, может сменит работу и подпишет ключи сотрудников на другой работе. Через 5-10 лет получится очень хороший Web Of Trust (WOT).
	Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

	49. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Аноним (49), 26-Май-23, 13:09
	> ... Нужны годы. ...  Через 5-10 лет получится очень хороший Web Of Trust (WOT). Отчаиватся не надо. Многие дистрибутивы *NIX и проекты разработки свободного ПО поддерживают, достаточно хорошо верифицированные публичные ключи: ALTLinux https://git.altlinux.org/gears/a/alt-gpgkeys.git?p=alt-gpgke... ArchLinux https://archlinux.org/master-keys/ https://archlinux.org/people/trusted-users/ https://gitlab.archlinux.org/archlinux/archlinux-keyring/-/t... Linux kernel https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/tree/... Gentoo https://www.gentoo.org/inside-gentoo/developers/ https://packages.gentoo.org/categories/sec-keys Debian https://salsa.debian.org/debian-keyring/keyring/-/tree/maste... QTox https://github.com/qTox/qTox#gpg-fingerprints Ищите публичные ключи на официальных сайтах проектов...
	Ответить | Правка | Наверх | Cообщить модератору

	45. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Анонин (?), 26-Май-23, 12:48
	Еще раз. Вопрос не про "уровень доверия при подписи чужого ключа". А про то насколько вообще можно доверять этому уровню. Есть какой-то чел, у него есть пара подписей от однокласников и все. Кого бы он не подписывал - его подпись будет ничтожна, даже если эти однокласники проставили ему "мамой клянусь это он!" > Нужны годы. И в этом тоже проблема. За годы можно пролюбить приватный ключ кучу раз.
	Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

	50. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Аноним (49), 26-Май-23, 13:19
	1. Нужно ~5 цепочек к ключу. Одной цепочки от однокласника Васи маловато. Но если ключ Васи подписал весь 11А класс и у тебя >5 разных цепочек доверия к ключу Васи?!! 2. Приватные ключи надо охранять, смотри п.1: https://www.opennet.ru/openforum/vsluhforumID3/130586.html#21 3. После атаки на сервера ключей многие дистры стали распространять OpenPGP ключи через свои репозитории пакетов, например для Gentoo: https://packages.gentoo.org/categories/sec-keys Смотри пакеты *keyring*, *pgp*, *keys* в репах своего любимого дистра.
	Ответить | Правка | Наверх | Cообщить модератору

	68. "PyPI переходит на обязательную двухфакторную аутентификацию "	–1 +/–
	Сообщение от Аноним (68), 26-Май-23, 15:13
	> 1. Нужно ~5 цепочек к ключу. Одной цепочки от однокласника Васи маловато. Но если ключ Васи подписал весь 11А класс и у тебя >5 разных цепочек доверия к ключу Васи?!! То это ничего не значит, т.к. ты все равно не знаешь, можно ли верить этому 11А, и вообще, "кто все эти люди и существуют ли они на самом деле?" Верить можно только человеку, у которого лично видел его ключ в виде тату, набитой на его же заднице.
	Ответить | Правка | Наверх | Cообщить модератору

	126. "WoT"	+/–
	Сообщение от Аноним (125), 27-Май-23, 13:19
	Значат! Вася знает Вову и подписал его ключ. Вова знает Вадима и подписал ключ Вадима, загрузил его на сервера ключей. Вася не знает Вадима, но скачал прошу подписанную его ключом. Вася качал ключ Вадима с серверов ключей. И Вася верит подлинности скачанного ключа Вадима ибо на нем стоит подпись Вовы которого Вася знает лично. Таким образом Вася может удостоверится в аутентичности и целостности потом скачаной от Вадима.
	Ответить | Правка | Наверх | Cообщить модератору

	127. "WoT"	+/–
	Сообщение от пох. (?), 27-Май-23, 16:11
	> Вася знает Вову потому что мельком видел его на тусовке каких-то фриков > Вова знает Вадима и подписал ключ Вадима, загрузил его на сервера ключей. или на самом деле нихрена его не знает и подписал стопиццот ключей бухим и укуренным на такой же тусовке, мельком может даже глянув документы, но поскольку был бухой - можно было хоть проездной ему показать. Вася болел ковидом и на ту тусовку не попал, поэтому не в курсах, а на той первой не наливали, она вообще веганская. Теперь - > Вася верит подлинности скачанного ключа Вадима ибо на нем стоит подпись Вовы которого Вася знает лично. Вася полный лох. Не будь как Вася. pgp - фееричное г-но именно потому что у него нет понятия "я готов принять этот ключ, здесь и сейчас, потому что у меня есть какие-то мутные но основания полагать, что он все же настоящий, но не в критичной для меня среде и не для подписывания им совсем уже мутных ключей" Либо доверяешь всем васянам подряд, либо нет. Правильно сделано - опять у ssh (потому что это Йлонен а не смузихипстерки и не долбанавты из универов) - ключ сам по себе ничего не подтверждает, если его нельзя перепроверить по другому каналу, но вот если второй раз и именно это место внезапно показывает другой - вот это повод бить тревогу. И больше никак эту криптомусорку использовать просто нельзя.
	Ответить | Правка | Наверх | Cообщить модератору

	132. "WoT"	+/–
	Сообщение от Аноним (130), 27-Май-23, 18:07
	PGP на для всех подходит. Необходимо быть трезвым и аккуратным при проверке Ф.И.О, фото, паспорта и верификации E-mail. Хоть личная встреча является единственно достоверным источником ключей, можно использовать и другие каналы: крыпточаты, телефонную связь, почту России, ... Есть вариант использование ключей собранных дистрибутивами *NIX: https://www.opennet.ru/openforum/vsluhforumID3/130597.html#49 В gnupg есть разные модели верификации ключей: https://www.gnu.org/server/standards/translations/ru/gnupg/m... --trust-model {pgp|classic|tofu|tofu+pgp|direct|always|auto} Установить, какой модели доверия должен следовать GnuPG: pgp Сеть доверия, скомбинированная с подписями доверия, как это делается в PGP 5.x и более поздних. Эта модель назначается для новых баз данных доверия по умолчанию. classic Стандартная сеть доверия, появившаяся в PGP 2. tofu TOFU значит «trust on first use (доверять по первому использованию)». В этой модели ключ, который встречается впервые, запоминается. Если впоследствии другой ключ встречается с идентификатором пользователя с тем же адресом электронной почты, оба ключа помечаются как подозрительные. В этом случае при последующем пользовании любым из этих ключей выводится предупреждение с описанием противоречия, возможной причины (либо пользователь создал новый ключ, не подписав старый ключ новым, а новый старым, либо ключ подделан, либо проводится атака «человек посередине»), и у пользователя запрашивается подтверждение достоверности соответствующего ключа. Поскольку потенциальный злоумышленник может контролировать адрес электронной почты и тем самым обойти алгоритм обнаружения противоречий, пользуясь адресом электронной почты, который выглядит сходно с доверенным адресом, то при проверке сообщений каждый раз выводится статистика количества сообщений, подписанных этим ключом. Таким образом, пользователь может легко различить атаки, в которых фальшивые ключи выдаются за ключи нормальных корреспондентов. По сравнению с сетью доверия TOFU предлагает значительно более слабые гарантии безопасности. В частности, TOFU помогает только гарантировать непротиворечивость (то есть что адрес электронной почты связан с одним и тем же ключом). Серьезное преимущество TOFU состоит в том, что для правильного пользования требуется минимум трудозатрат. Чтобы правильно пользоваться сетью доверия, нужно активно подписывать ключи и помечать пользователей как доверенные источники ключей. Эти процедуры требуют много времени, и хрестоматийные свидетельства показывают, что даже осведомленные в вопросах безопасности пользователи редко находят время, чтобы выполнять все это скрупулезно, и вместо этого полагаются на возникающие экспромтом процедуры, подобные TOFU. В модели TOFU правила связаны с привязкой ключей к адресам электронной почты (которые извлекаются из идентификаторов пользователей и нормализуются). Есть пять правил, которые можно установить вручную параметром --tofu-policy. Исходные правила можно установить параметром --tofu-default-policy. Существуют правила TOFU: auto, good, unknown, bad и ask. По умолчанию применяется правило auto (если это не изменено параметром --tofu-default-policy), оно помечает привязку как ограниченно доверенную. Правила good, unknown и bad помечают привязку уровнями доверия «полное», «неизвестно» и «никогда» соответственно. Правило unknown полезно, чтобы применять TOFU только для проверки противоречий, но никогда не присваивать положительного доверия. По последнему правилу, ask, уровень доверия привязки запрашивается у пользователя. В пакетном режиме (или если контекст не допускает ввода) пользователь не запрашивается, а возвращается уровень доверия не определено. tofu+pgp В этой модели TOFU сочетается с сетью доверия. Уровень доверия вычисляется по каждой из моделей, а затем выбирается максимальный в следующем порядке: неизвестно < неопределенно < ограниченно < полностью < абсолютно < просрочен < никогда. Если установить --tofu-default-policy=unknown, эту модель можно применять для реализации сети доверия с алгоритмом обнаружения противоречий TOFU, но без назначения этим алгоритмом положительных значений доверия, против чего возражали бы некоторые осведомленные в вопросах безопасности пользователи. direct Действительность ключа устанавливается пользователем напрямую, а не вычисляется по сети доверия. Эта модель полностью основана на ключе и не различает идентификаторы пользователя. Обратите внимание, что переход на другую модель доверия значения доверия, присвоенные ключу, трансформируются в значения доверия владельцу, что указывает на то, что вы доверяете владельцу ключа подписывать другие ключи. always Пропустить оценку достоверности ключей и полагать, что используемые ключи всегда достоверны. Обычно это используется, только когда есть какая-то внешняя схема оценки. Этот параметр подавляет также вывод метки «[не определено]» при проверке ключей, когда нет свидетельств, что идентификатор пользователя привязан к ключу. Обратите внимание, что эта модель доверия все же не допускает применения просроченных, отозванных или выключенных ключей. auto Выбирать модель доверия по тому, что записано во внутренней базе данных доверия. Это делается по умолчанию, когда такая база данных уже существует. Можно использовать разные кейринги (хранилища ключей) с разными политиками безопасности для разной работы. Но есть большое НО: использование PGP требует чтения, понимания документации и соблюдения аккуратности, а это не всем удобно.
	Ответить | Правка | Наверх | Cообщить модератору

	144. "WoT"	+/–
	Сообщение от пох. (?), 28-Май-23, 16:53
	> PGP на для всех подходит. Необходимо быть трезвым и аккуратным при проверке Ф.И.О, фото, паспорта и > верификации E-mail. нет, надо просто подписать пачку ключей неглядя. Рано или поздно твою подпись подпишет дурачок в авторитете, и все что ты понаподписывал - станет внезапно-почтидоверенным. Я уж не говорю о том что лично я на ую вертел предъявлять тебе паспорт. > Можно использовать разные кейринги (хранилища ключей) с разными политиками безопасности для разной работы. нельзя. Потому что это не работа а др-во, несовместимое ни с какой серьезной работой. А чтобы это работало - надо всю систему менять, первым делом вышвырнув из нее идиотский механизм подписей подписей подписей, и приделав вместо него репутационный. Но этого сделать никто уже не сможет потому что во-первых старперы не дадут, во-вторых не умеют кодить - обос..сь банально поправить баг в серверах своих ключей - ни одного васяна не нашлось владеющего языком на котором они двести лет назад были тяп-ляп наг0вняканы васяном позапрошлого поколения. Это все что нужно знать о мертворожденном pgp и тусовке др-ров на него.
	Ответить | Правка | Наверх | Cообщить модератору

	160. "WoT"	+/–
	Сообщение от Аноним (160), 03-Июн-23, 07:43
	>> PGP на для всех подходит. Необходимо быть трезвым и аккуратным при проверке Ф.И.О, фото, паспорта и верификации E-mail. > нет, надо просто подписать пачку ключей неглядя. > Рано или поздно твою подпись подпишет дурачок в авторитете, и все что ты понаподписывал - станет внезапно-почтидоверенным. Чем больше цепочек доверия и чем они короче тем выше доверие к ключу. PGP довольно устойчив к действию злоумышленников. Это проверено временем и множеством БОЛЬШИХ атак. > Я уж не говорю о том что лично я на ую вертел предъявлять тебе паспорт. PGP работает в полной мере только при 100% идентификации Ф.И.О и верификации E-mail. Сверка фото и Ф.И.О с паспортом и PGPID даёт хороший результат. Если ты только конечный пользователь и тебе от PGP надо только верификацию ПО написанного другими, то собирать подписи на своём ключе необязательно и следовательно, в предъявлении своего паспорта необходимости нет. Но как УЦ ты всё равно должен проверять фото и Ф.И.О. с паспорта и верифицировать E-mail тех чьи публичные ключи ты подписываешь. А вот разработчик, подписывающий своё ПО PGP таки обязан собирать подписи на своём ключе и соответственно проходить верификацию предъявляя паспорт. >> Можно использовать разные кейринги (хранилища ключей) с разными политиками безопасности для разной работы. > нельзя. Потому что это не работа а др-во, несовместимое ни с какой серьезной работой. Так все и делают. Разные пользователи, разные ключи, разные кейринги. Для исследования PGP WoT всем советую завести отдельного пользователя и кейринг или хотя бы сбекапить свой хомяк, чтобы после экспериментов восстановить. Любой, с неким уровнем достоверности, может завести нового пользователя, создать свой новый тестовый ключ PGP, скачать пачку "доверительных" ключей https://www.opennet.ru/openforum/vsluhforumID3/130597.html#49 сделать это с разных мест через разных провов с использованием разных VPN. Скачать ключи интересующих людей с серверов ключей PGP, с сайтов проектов. Сверить полученный с разных мест ключи интересующих людей. И подписать, тестовым ключом, выбранные ключи. После этого, с определённым уровнем достоверности, у всех заработает WoT. > А чтобы это работало - надо всю систему менять, первым делом вышвырнув из нее идиотский механизм подписей подписей подписей, и приделав вместо него репутационный. Нет. Более надёжного чем криптографическая подпись ничего нет. Уровень доверия (репутацию) к подписываемому ключу в PGP можно выставить. > Но этого сделать никто уже не сможет потому что во-первых старперы не дадут, Не дадут, ибо не в серверном ПО ошибка! > во-вторых не умеют кодить - обос..сь банально поправить баг в серверах своих ключей - ни одного васяна не нашлось владеющего языком на котором они двести лет назад были тяп-ляп наг0вняканы васяном позапрошлого поколения. Не дадут править серверный код ибо в нём НЕТ ошибки. https://www.opennet.ru/openforum/vsluhforumID3/117786.html#61 > Это все что нужно знать о мертворожденном pgp и тусовке др-ров на него. Есть проблема в установленных, в PGP ПО лимитах, на обработку количества собранных на одном ключе подписей: https://www.opennet.ru/openforum/vsluhforumID3/117882.html#4 лимит выставлен разумный, человек не сможет за свою жизнь собрать больше подписей. Вот на переполнение этих лимитов на серверах ключей и проводятся атаки спецслужб разных стран. Эдвард Сновден с помощью PGP и WoT прошел защиту АНБ. Многие государства, включая РФ https://www.linux.org.ru/forum/security/15283293?cid=15285785 негативно относятся к PGP. Подобные атаки на PGP реализуются злонамеренно. И несмотря на жесткое противодействие и вредительство, PGP сегодня работает дальше, но требует аккуратности в использовании. Всё что надо знать о PGP так это необходимость в его использовании, хотя бы для верификации загружаемого ISO образа вашего дистрибутива!
	Ответить | Правка | Наверх | Cообщить модератору

	136. "WoT"	+/–
	Сообщение от Аноним (68), 27-Май-23, 22:34
	А что делать Геннадию, который всех этих людей никогда не видел и не увидит?
	Ответить | Правка | К родителю #126 | Наверх | Cообщить модератору

	159. "WoT"	+/–
	Сообщение от Аноним (160), 03-Июн-23, 06:55
	> А что делать Геннадию, который всех этих людей никогда не видел и не увидит? Гена хорошо знает Гришу и они обменялись публичными ключами. Гриша встретился с Вадимом на https://www.opennet.ru/opennews/art.shtml?num=59202 они аккуратно проверили Ф.И.О. фото в паспорте, верифицировали E-mail друг-друга и обменялись публичными ключами. Гена может, с неким уровнем достоверности, доверять ключу Вадима ибо на нём стоит подпись Гриши и также верифицировать ПО написанное Вадимом. Если все участники обменивались ключами и подписывали ключи друг-друга то Гена, с некоторым уровнем достоверности, даже может доверять ключу Васи и наоборот Вася, с некоторым уровнем достоверности, верит ключу Гены по цепочке доверия: Гена <-> Гриша <-> Вадим <-> Вова <-> Вася Таким образом Гена может переписываться по E-mail с Васей и быть, с некоторым уровнем достоверности, уверенным что нет MitM и их приватную переписку посторонние не читают. Примеры цепочек доверия: https://www.opennet.ru/openforum/vsluhforumID3/130597.html#42 https://www.opennet.ru/openforum/vsluhforumID3/130597.html#43
	Ответить | Правка | Наверх | Cообщить модератору

	54. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Аноним (49), 26-Май-23, 13:37
	> Кого бы он не подписывал - его подпись будет ничтожна Это всего одна из многих цепочек доверия. Есть и другие цепочки доверия. Общий уровень доверия к ключу состоит из сумы доверий к каждой цепочки. Некоторые большие сообщества проводят свои PGP-парти для подписи ключей: https://tracker.debian.org/pkg/signing-party и собрали немалое сообщество подписаных ключей: https://salsa.debian.org/debian-keyring/keyring/-/tree/maste... https://docs.freebsd.org/pgpkeys/pgpkeys.txt
	Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

	114. "PyPI переходит на обязательную двухфакторную аутентификацию "	+1 +/–
	Сообщение от Аноним (114), 27-Май-23, 05:48
	> PGP делали люди для людей. Есть УЦ, есть пользователи, есть их ключи, есть пулы общедоступных серверов, на которых можно поискать неизвестный ключ Читаем https://blog.yossarian.net/2023/05/21/PGP-signatures-on-PyPI...: > A large number of PGP signatures on PyPI can’t be correlated to any well-known PGP key and, of the signatures that can be correlated, many are generated from weak keys or malformed certificates. The results suggest widespread misuse of GPG and other PGP implementations by Python packagers, with said misuse being encouraged by the PGP ecosystem’s poor defaults, opaque and user-hostile interfaces, and outright dangerous recommendations. PGP во всей красе, люди для людей, ага... Местные эксперты не в курсе, что "PGP is an insecure and outdated ecosystem that hasn’t reflected cryptographic best practices in decades". Им ведь некогда повышать свою компетенцию - они заняты визгом о подлых заговорах проклятых корпораций.
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

	21. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Аноним (21), 26-Май-23, 09:56
	> объясните пж нубику чонетак с PGP и почему пипа от него отказались Вот целая статья: https://blog.yossarian.net/2023/05/21/PGP-signatures-on-PyPI...
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	61. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от paranoed (?), 26-Май-23, 14:29
	> объясните пж нубику чонетак с PGP и почему пипа от него отказались Потому что Authy, Google Authenticator требуют как минимум твой телефон, им хочется побольше вытянуть инфы из пользователей, где, что, когда, откуда, почему, зачем не как. За FreeOTP не в курсе, но неверняка и с ним не всё так просто и какая-то засада есть.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	91. "PyPI переходит на обязательную двухфакторную аутентификацию "	+1 +/–
	Сообщение от Аноним (90), 26-Май-23, 18:01
	TOTP можно использовать хоть на ПК, и через него никакая инфа пользователя не вытягивается. > За FreeOTP не в курсе, но неверняка и с ним не всё так просто и какая-то засада есть. Ага, когда везде мерещатся коварные заговоры, здравый  рассудок отдыхает.
	Ответить | Правка | Наверх | Cообщить модератору

	66. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от OpenEcho (?), 26-Май-23, 14:48
	https://www.opennet.me/openforum/vsluhforumID3/130586.html?n...
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема