Никита Сковорода, входящий в управляющий технический комитет проекта Node.js, опубликовал результаты анализа надёжности паролей для доступа к учётным записям в репозитории NPM. Результат оказался более чем печальным - в ходе проверки удалось получить доступ к 12% аккаунтов (13% пакетов) из-за использования в них предсказуемых и тривиальных паролей, таких как "123456". Среди подобных учётных записей есть и популярные модули, которые находятся в зависимостях у других пакетов. С учётом загрузки других модулей по цепочке зависимостей, компрометация ненадёжных учётных записей может поразить в сумме до 52% от всех модулей в NPM.Всего удалось получить доступ к 15495 учётным записям, используемым для управления 66876 пакетами. В том числе был получен доступ к 4 учётным записям пользователей из Top20 самых популярных пакетов. Также был получен контроль над 13 пользователями, пакеты которых загружают более 50 млн раз в месяц, 40 пользователями с более 10 млн загрузок в месяц и 282 с более 1 млн загрузок в месяц. Компания NPM Inc приняла исследование во внимание и инициировала процесс смены паролей для ненадёжных учётных записей. Для усиления защиты NPM запрещено использование словарных и коротких паролей, скоро будет ограничена поддержка "HTTP Basic auth", в более отдалённых планах внедрение двухфакторной аутентификации.
Контроль над 2545 учётными записями (5470 пакетов) был получен в ходе проведения Bruteforce-атаки по подбору типовых паролей. Данные об 12150 учётных записях (57112 пакетов) были получены путём сопоставления сведений из крупных публичных утечек баз паролей (когда пользователь использовал идентичные пароли на NPM и взломанных сайтах, базы паролей которых были выложены в открытый доступ). Допуск к 732 учётным записям (4786 пакетов) удалось получить путём варьирования пароля из публичных утечек (например, добавление цифр, замена имени на npm и т.п.). Контроль над оставшимися 120 проблемными учётными записями (582 пакета) был получен через поиск утечек параметров входа в файлах, опубликованных на GitHub (например, вместе с другими файлами загружены .npmrc, config.json, .gitconfig и т.п.).
Некоторые интересные факты:
* В учётной записи для доступа к модулю koa, который в прошлом месяце был загружен 300 тысяч раз, использовался пароль "password";
* Один из пользователей, контролирующий более 20 млн загрузок в месяц, в ответ на отзыв скомпрометированного пароля, установил в качестве нового пароля содержимое старого, добавив к нему символ "!";
* Пользователь, входящий в top-20, после сброса скомпрометированного пароля опять вернул свой старый пароль через некоторое время;
* У 662 пользователей был установлен пароль "123456", у 168 - "123", у 115 - "password";
* 1409 пользователей (1%) указали в качестве пароля свой логин;
* 10% пользователей повторно использовали свой заведомо скомпрометированный пароль: 9.7% в изначальном виде, а 0.6% внеся в него незначительное изменение;
* Трафик всех пакетов, к которым был получен доступ в ходе исследования, составляет почти два миллиарда (1 946 302 172) загрузок в месяц, что примерно 20% от общего объёма загрузок.
URL: https://github.com/ChALkeR/notes/blob/master/Gathering-weak-...
Новость: https://www.opennet.ru/opennews/art.shtml?num=46768
вопрос очень простой, а какого черта нет валидации при установке пароля? что за детские болезни?а вообще феерично. проверку на сложность пароля никакого нет, так они еще и исследование провели, мол "смотрите какие у нас пользователи тупые, ставят простые пароли".
> вопрос очень простой, а какого черта нет валидации при установке пароля? что
> за детские болезни?Главное не переборщить, а то некоторые такую валидацию устроят, что пользователи на бумажке пароль к монитору сразу клеят. Или ещё хуже когда раз в месяц просят менять пароль, тоже гарантированная бумажка и смена через +1 к прошлому паролю. Простые пароли не проблема, проблема предсказуемые и короткие пароли. Как говориться, пять простых слов в пароле гораздо надёжнее 8-символьных паролей типа d4&Gr0N@.
Бумажка гораздо безопаснее очень многих других способов хранения.
А если хранить ее не на мониторе и записывать пароль не полностью, а только с тебе понятными сокращениями/вариациями/намеками, то один из самых безопасных.
> А если хранить ее не на мониторе и записывать пароль не полностью, а только с тебе
> понятными сокращениями/вариациями/намеками, то одинхрен через два-три года не сможешь вспомнить, что тут записано. Не благодари.
ну и да - требовать чего-то от пользователей можно начинать, когда у тебя на сайте хотя бы защита от тупого перебора уже есть. Иначе они добавят '!' и будут абсолютно правы.
Видать у тебя фантазия бурная и ассоциации к намекам нетривиальные...
Я лично не первый десяток лет пользуюсь таким методом. НИ РАЗУ записанный пароль не забылся намертво.
> Видать у тебя фантазия бурная и ассоциации к намекам нетривиальные...да нет, просто паролей - много, некоторые нужны раз в пару лет, не везде можно выбрать такое, что в принципе запоминаемо.
Вот и сидишь потом: так? Не...так что-ли? Не... Может тут было... блин! Может скобка в другую сторону, или другая скобка? Да ну его нахрен, ...але, пятый ряд третья стойка ####, дерните там, пожалуйста, питание.При этом два самых ходовых пароля у меня длинные и абсолютно бессмысленные (не потому что я этого хотел ;-) - но я их набираю в день несколько десятков раз. А вот что там было в 2014м году - хорошо, когда вовремя успел записать - целиком и без всяких намеков. Причем это как раз простые и запоминаемые (иначе бы записал сразу).
А что мешает пользоваться длинными, но осмысленными паролями?
Внезапно, в базах паролей, например, ни разу не встречается ни одна из десяти общеизвестных фраз, приведенных подряд в самой популярной книге на планете. Даже если забудешь - не проблема освежить в памяти...
> ... ни одна из десяти общеизвестных фразСогласен. Сам так делаю и знакомым советую.
А зачем вообще запоминать пароли к сайтам? Сгенерил, авторизовался, браузер запомнил. Ходи сколько хочешь. Если что-то стер/забыл/потерял просто восстанавливаешь пароль средствами сайта.С чужих компов то не часто по сайтам лазишь, а для остального есть синхронизация.
Интернет-банки, например, не дают браузеру запоминать логин и пароль. И правильно делают.
Ну, и не только для аккаунтов бывают пароли, вообще-то.
>> А если хранить ее не на мониторе и записывать пароль не полностью, а только с тебе
>> понятными сокращениями/вариациями/намеками, то один
> хрен через два-три года не сможешь вспомнить, что тут записано.Пффф. Просто запомните соль, которую приписываете в конце каждого своего пароля, записанного на бумажке.
Бумажка может и в бумажнике лежать. И - да, лучже пароль на бумажке, который могут видеть трое коллег в комнате, чем 12345.
> Бумажка может и в бумажнике лежать. И - да, лучже пароль на
> бумажке, который могут видеть трое коллег в комнате, чем 12345.камера, в той же комнате, или не в той же (раз в бумажнике - значит ты предполагаешь им пользоваться вне этого помещения), не-лох, отжавший бумажник (тут скорее dos чем компроментация, но все равно обидно)
А 123#45. - уже при хоть мало-мальской защите от подбора вполне надежен для большинства нормальных применений, и набирать удобно. (не годится, если есть шанс что сперли базу encrypted паролей, но...э...ну вы поняли, да, куда в этом случае надо пройти ответственному за безопасность)
Но забывается моментально, чем и плох - я их мильен таких забыл ;-)
> смотрите какие у нас пользователи тупыеКак будто другие вэб-макаки бывают?
Нода не совсем о вебе в привычном его понимании. Скорее о веб сервисах и бекендах не только к апи для сайтов, но и для аппликух. Будь ты компетентным - не пришлось бы тебе это объяснять.
>> Как будто другие вэб-макаки бывают?
> Нода не совсем о вебе в привычном его понимании. Скорее о веб сервисахОк, признаю, был неправ.
Корректирую:Как будто другие вэб-сервисные-не-совсем-в-привычном-понимании-макаки бывают?
P.S. Кстати, как на латыни правильно пишется этот вид?
> P.S. Кстати, как на латыни правильно пишется этот вид?
веб-макакус-илитус-нон-вулгарис
>> P.S. Кстати, как на латыни правильно пишется этот вид?
> веб-макакус-илитус-нон-вулгарисХотел было приписать один "сапиенс", но вовремя увидел
>После сброса паролей 9.7% пользователей сразу вернули свой старый заведомо скомпрометированный парольчто как бы намекает.
Иронизирующая илитка нарисовалась, как же хорошо! Я не понимаю, зачем пытаться шутить или смеяться над людьми, которые используют nodejs, electron и прочие, возможно, не самые лучшие технологии.Если посмотреть вакансии на рынке веб-разработчиков, то окажется, что nodejs очень востребован. Люди может и хотят писать на чем-то, по их мнению, более хорошем, быстрым и так далее (нужное подчеркнуть). Но крупные компании сделали ставку на node, php и прочих.
Эти технологии можно быстро освоить, разработчик не стоит слишком дорого денег, ему легко найти замену. Если не понимать таких простых вещей, того, что у бизнеса тоже есть какие-то потребности и ожидания от рынка соискателей, то конечно очень смешно писать про веб-макак. Это и правда весело ребята, что вы выше такого тупого ремесла.
Ну, внезапно, обычные мартышки появились тоже не просто так, правда? Их сформировали природные условия. Это не отменяет того, что их ужимки смешные. И склонность смеяться над обезьяньими кривляньями у людей, — дар эволюции. Но ты оправдываешь обезьян за кривляния,(Слово сознательно написано по-разному. FYGN) но осуждаешь людей за насмешки.
Ну, внезапно, обычные мартышки появились тоже не просто так, правда? Их сформировали природные условия. Это не отменяет того, что их ужимки смешные. И склонность смеяться над обезьяньими кривляньями у людей, — дар эволюции. Но ты оправдываешь обезьян за кривляния,(Слово сознательно написано по-разному. FYGN) но осуждаешь людей за насмешки.
> Нода не совсем о вебе в привычном его понимании.Яваскрипт в рот тянут именно бывшие "веберы". И именно им нужна серверная часть именно на яваскрипте. Потому что после последнего курса вуза и десяти лет фриланса зарплату хочется большую (то есть конкурировать с такими же как они раньше школьниками не планируется), а учить второй язык уже, увы, некогда: жена, ребёнок и собственный стартап по платной обфускации js-кода не оставляют свободного времени.
Я тяну яваскрипт просто потому, что это лучший язык программирования. Никогда под веб ничего не писал.
> лучшийЧтоб понять, насколько вы адекватны и можно ли доверять вашему мнению, назовите, пожалуйста, также лучшую операционную систему, лучшую модель процессора, лучшую модель автомобиля, лучший город на планете, лучшую марку пива и лучшее время суток?
Вообще-то один язык там и там - это выгодное решение по куче причин, как технических, так э организационных. Если бы это только не JS был...
Большинство пользователей ноды -- веб-макаки, решившие освоить фулл-стэк. И принцип работы NPM со своими рекурсивно уложенными node_modules, возможностью удалить из репозитория модуль и т. д. это только подтверждает. Ведь нельзя просто так взять и посмотреть, как работают пакетные менеджеры во всём остальном мире, будь то rpm, джемы или что угодно другое -- надо изобрести свою полурабочую дичь, которая будет соответствовать духу остального мира JS.И да, везде есть свои исключения. Есть в сообществе много адекватных людей. Я о среднем уровне интеллекта говорю.
kernel.org месяцами лежал в maintenance, но макаки при этом npm.
Так это одни и теже макаки :-))
Надеюсь возможность брутфорса на этом репозитарии пресекается?
Это же жабаскриптеры, у них в голове при слове security ничего не возникает.
Что за проверка на сложность? qwertQWERT1234!@#$ Это сложный пароль или нет?
> Что за проверка на сложность? qwertQWERT1234!@#$ Это сложный пароль или нет?Легкий для перебора. Перебирают не только посимвольно, но и сочетаниями "квертей".
>установил в качестве нового пароля содержимое старого, добавив к нему символ "!";И что в этом не так? Вполне секьюрно. Сомневаюсь, что в словарях есть какой-то там qwerty! или 123456!
Сто лет как. Банально потому что словари во многом составлены из утёкших реальных паролей, а такого добра там валом.
123456! - это очень серьюрный пароль, если его правильно посчитать.
В базе такого точно нет. Не всякий калькулятор справится...
> 123456! - это очень серьюрный пароль, если его правильно посчитать.
> В базе такого точно нет. Не всякий калькулятор справится...Очень длинный пароль выходит: в нём ведь 574965 цифер. Задолбаешься вводить.
Может, лучше обойтись его хэш-суммой sha256? Она покороче будет:
1433d2107a6933730464d979562ff6921c8d4f4c6543f05ad1340f43c0b6886b
Да я бы сказал, и 1234567 тоже секьюрный пароль, в шестизначной базе его нет. Как нет его и в семифигурной базе окончаний. И набирать удобно - именно по этому принципу и выбираются пароли.
npm прочел как rpm. Фух. Мимо.
Так може они кому "порулить" дают и чтобы если что не оказаться виноватым - ой, у меня пароль взломали! Не зря я их всех ненавидел.
Кодеры пролазят в любые щели. Это только начало.
И как уберечься?
Ну, вот допустим, хочу я поставить глобально какой-то пакет из npm, например create-react-app, как ей ограничить доступ чтоб она не могла украсть файлы с моего диска в случае если там есть скомпрометированная зависимость?
Отдельного пользователя заведи и из-под него работай.
>И как уберечься?Использовать другую платформу?
В докер ту ноду вместе с её нпмами, заодно и деплой с самого начала заготовишь
Основной риск будет на твоих клиентах. В библиотеки встроят XSS и все, гуляй вася. Миллионы фронтов.Сам пишу фронт, и жутко бесит npm, поэтому стараюсь писать в основном на ванили.
Максимум это вебпак, полифилы и jquery. И еще мелкие библиотеки без зависимостей, исходники которых я как правило смотрю изначально из интереса, сейчас в целях безопасности буду.Второй способ защиты это зафиксировать версии библиотек, чтоб npm не самостоятельно обновлялся на последние версии.
Ну блин... хоть peerflix удаляй нафиг...
Он у меня из нпм только и стоит
Краткое содержание комментариев к этой новости:
1. А я говорил!
2. Эти веб-макаки...
3. Я таких ошибок никогад не делал, а программировать начал сразу в машинных кодах еще с детского сада...
4. Ну что с них взять, это же js, вот был бы православный C, не было бы такого!
5. Прочие виды снобизма
Я бы согласился со снобизмом, если бы не раздел в новости "интересные факты". Хотя тут конечно возникает вопрос: они просто инициировали смену пароля, или объяснили причины? И если объяснили причины, то насколько подробно? Можно же просто сказать "ваш пароль небезопасен смените его", а можно сказать "ваш аккаунт был взломан методом подбора пароля, поэтому смените его на что-нибудь пристойное". Вот если имел место последний вариант и при этом вылезли сии интересные факты, то я присоединюсь к хору, поющему про веб-макак.
> Хотя тут конечно возникает вопрос: они просто инициировали смену пароля,
> или объяснили причины?или неубедительно объяснили причины.
> же просто сказать "ваш пароль небезопасен смените его", а можно сказать
> "ваш аккаунт был взломан методом подбора пароля, поэтому смените его наа то мы все никак не соберемся озаботиться защитой от подбора. Ага, двадцать раз поменял, с кисточкой.
Ну и то что занимаясь всей этой херней, они даже не почесались ограничить в интерфейсе возможность установки подбираемых паролей, тоже говорит о том, что макаки, похоже, в основном среди рулящих самим проектом.
> Ну и то что занимаясь всей этой херней, они даже не почесались ограничить в интерфейсе возможность установки подбираемых паролей, тоже говорит о том, что макаки, похоже, в основном среди рулящих самим проектом.Это палка о двух концах. Чем сложнее поменять пароль, тем реже и неохотнее пользователи будут это делать. Вплоть до детских реакций, типа назло мамке в лужу сяду, например, пароль меняется принудительно, пользователя просто не пускают в систему пока он не сменит пароль, а пользователь выпендривается мухой на стекле, пытаясь "сломать систему", то есть установить новый пароль максимально похожий на старый.
> Чем сложнее поменять пароль, тем реже и неохотнее пользователи будут это делать.так менять и не надо (вообще). Это тоже очередной псевдо-безопасный жупел, когда (с помощью административного ресурса) требуешь обосновать необходимость - начинают что-то неразборчиво мямлить.
Потому что необходимостей две - пароли украдены из инфраструктуры борца за их сменяемость - ну, сам понимаешь... и пароль кто-то смог подсмотреть (перехватить - это предыдущий пункт).Во втором случае крайне маловероятно, что его подсмотрели и занесли в папочку "хранить вечно" - скорее всего, сразу и употребят, и меняешь ты его раз в две недели или вовсе раз в три дня - почти без разницы (а месячные и больше интервалы вообще фатально бессмысленны).
А так да - я обычно использую сложный неподбираемый пароль - ровно до прихода сообщения что его, оказывается, раз в три месяца надо новый и несовпадающий с пятьюдесятью тысячами старых. После чего меняю на что-то вроде приведенного qwerty, и вешаю на монитор... Звиняйте, ребята, мне работать надо, и есть что менее бессмысленного помнить.
>[оверквотинг удален]
> (с помощью административного ресурса) требуешь обосновать необходимость - начинают что-то
> неразборчиво мямлить.
> Потому что необходимостей две - пароли украдены из инфраструктуры борца за их
> сменяемость - ну, сам понимаешь... и пароль кто-то смог подсмотреть (перехватить
> - это предыдущий пункт).
> Во втором случае крайне маловероятно, что его подсмотрели и занесли в папочку
> "хранить вечно" - скорее всего, сразу и употребят, и меняешь ты
> его раз в две недели или вовсе раз в три дня
> - почти без разницы (а месячные и больше интервалы вообще фатально
> бессмысленны).Может быть. Но отсутствие практики смены паролей даст атакующим возможность долгосрочно пользоваться доступом к аккаунту. Не спешить, не приступать прямо сейчас к действиям, которые раскроют факт взлома, а тихонько пользоваться аккаунтом в конкурентном режиме с владельцем. Чем выше вероятность смены пароля, тем менее эта стратегия привлекательна.
Но, отмечу -- действительно, может быть оно и не стоит того. Я не в курсе того, кто, зачем и как взламывает аккаунты.> А так да - я обычно использую сложный неподбираемый пароль - ровно
> до прихода сообщения что его, оказывается, раз в три месяца надо
> новый и несовпадающий с пятьюдесятью тысячами старых. После чего меняю на
> что-то вроде приведенного qwerty, и вешаю на монитор... Звиняйте, ребята, мне
> работать надо, и есть что менее бессмысленного помнить.Да ладно, я вообще не понимаю этих проблем. Есть же браузер и он умеет помнить пароли. Если это по каким-то причинам не подходит -- можно придумать пяток других решений, вплоть до портабл-версии менагера паролей на флешке, который будет запускаться оттуда, спрашивать мастер пароль, а потом вводить пароль в любое поле ввода, куда я попрошу.
Кстати, а нет ли виртуальных клавиатур в формате флешки, которые бы запоминали пароли, воспроизводили бы их, генерировали, и всё это через какой-нибудь простенький интерфейс в две кнопки?
самое смешное что все они верны
Зачем сразу 2-факторная авторизация?
Неужто килобайтный ключ вместо паролей - не поможет?
Персональных данных разве что захотелось собрать...
Во-первых, двухфакторная аутентификация, а не авторизация. Во-вторых, она не обязательно предполагает сбор персональных данных.
Гг. Ребята окунулись в реальный мир. До этого всё думали, что в сказку попали...
Вот не зря ушёл с Node.js и вернулся на Python.
А я ушел с Node.js на Java. Кстати, по бенчмаркам в десятки раз быстрее питона. Кстати, настоящее ООП, в отличие от питона. Кстати, богата спецификациями, в отличие от питгна. Кстати... список можно продолжать.
Проиграл. Ну хоть не php.
> Проиграл. Ну хоть не php.Издеваешься что ли. Даже питон лучше пыха.
Чем лучше-то? Они практически идентичны. Типизация скрыта, управление памятью отсутствует... У РНР хоть синтаксис классический. Потому и "взлетел".
Ты что с ума сошел? это в похапе синтаксис класный. Да таких укурков еще не видел
>>Они практически идентичны.Опять проиграл. Ребята, с вами и башорг ненужен :)
Астахл, я понимаю твои чувства, говорю как человек, который покинул php и попробовал чуток пописать на питоне. У питона стд библиотека хотя бы продумана, а у пыха непоследовательно всё, вообще всё. Часть функционала реализована в сишном стайле (функции, возвращающие код ошибки; функции, не возвращающие ничего, а чтобы узнать, не отвалилась ли предыдущая функция, нужно вызывать другую функцию, по типу json_encode + json_last_error). Часть функционала реализована в Java/C++ стайле (функции, которые бросаются исключениями). Функции по работе со строками начинаются одновременно и с "str" (strtok), и с "str_" (str_replace). Все это кажется мелочью, но из таких мелочей и состоит пых. Полностью.Если что, я питоно-хейтер, а сам пишу на Java.
бардак в этом плане - мелочи по сравнению с общиии бедами скриптодинамики на не совсем мелких проектах. Сейчас там Go какой-нибудь надо брать, или JVM для чего побольше. Это если о вебе.
Да, не зря, раз не различаешь ноду и npm. Они связаны, но не единое целое. И у npm есть альтернативы, либо можно просто не использовать пакетный менеджер и писать/вставлять код самому.
> Да, не зря, раз не различаешь ноду и npm. Они связаны, но
> не единое целое. И у npm есть альтернативы, либо можно просто
> не использовать пакетный менеджер и писать/вставлять код самому.угу, весь мир с нуля за недельку создам? (начиная с leftpad ;-) весь смысл ноды-то в простоте доступа к чужому хавнокоду. И чем альтернативы лучше - у них какие-то более правильные авторизации для разработчиков?
Но чем тут пихон так уж лучше - понятия не имею (глядя на ведро зависимостей, притащенное банальным hg, которые чорта с два хоть раз кто кроме их авторов вообще открывал)
Это еще не вспоминая про качество кода, которое, мнэ...
Проблеме лет двадцать - еще со времен перехода perl на версию 5, когда из милого простенького скриптоязыка для админов онли сделали очередное "зачем писать свое, в cpan давно уже лежит готовое". С тех пор все только и развивается в сторону "rapid development", когда вчерашняя версия уже немодна, и несовместима с версией чего-то еще что уже точно нужно новое.
P.S. в этом плане меня всегда искренне удивлял php. Как ни странно, его модули ухитряются почти всегда работать в весьма причудливых комбинациях. Причем крайне редко требуют новой версии чего-то того, что уже установлено год назад. Возможно, потому что язык достаточно высокоуровневый, и, действительно, всякие лефтпады каждый пишет себе сам, обращаясь к pear только когда нужно действительно что-то нетривиальное. А такое пишут нормальные кодеры.
> Да, не зря, раз не различаешь ноду и npm. Они связаны, но
> не единое целое. И у npm есть альтернативы, либо можно просто
> не использовать пакетный менеджер и писать/вставлять код самому.Альтернативы npm решают только огрехи в принципе резолвинга версий зависимостей самим npm и всё равно опираются на репозитории npm. Так что в тред призывается Эскобар.
вспомнити npm leftpad!
А что вы хотели от людей, которые возводят в ранг добродетели свою неспособность выучить больше одного языка?
От тебя ничего не хотим.
>I will not include the full list (it won't fit here), nor will I include all the top packagesИнтересно, из каких побуждений он не желает публиковать полный список? Глупая отмазка "не влезет все" не котируется - сделать список и дать на него ссылку никто не отменял.
То-бишь, я тут сломал, но всех называть не буду, пользуйтесь на здоровье!
Конкретных людей палить нехорошо, там же написано.
Хипсторы не умеют в it безопасность
...сказал нехипстер, сидя из-под провайдера, хранящего его трафик минимум полгода.
И сколько полугодий потребуется провайдеру, чтобы расшифровать https рафик, м?
Нисколько. Они его и так незашифрованным хранят.
> Нисколько. Они его и так незашифрованным хранят.Дай угадаю, мало того, что ты хохол, ты ещё и на JS пишешь? Ибо с принципом работы HTTPS ты, судя по всему, не знаком.
А статейка безумно полезная. Прям описание группового поведения приматов. Теперь наглядно можно видеть,как приматы разделяются и их предсказуемость
> опубликовал результаты анализа надёжности паролей для доступа к учётным записям в репозитории NPM
> Всего удалось получить доступ к 15495 учётным записямДа кому интересны эти результаты? По удалял бы эти акки и дело с концом.
>> опубликовал результаты анализа надёжности паролей для доступа к учётным записям в репозитории NPM
>> Всего удалось получить доступ к 15495 учётным записям
> Да кому интересны эти результаты? По удалял бы эти акки и дело
> с концом.Ты ж помнишь, что после удаления аккаунта можно посоздавать модули с такими же именами и залить туда свой код, да? Если не помнишь, google://npm+leftpad+accident
А без работы всё равно ты, "${username}".
ну теперь точно вся надежда на webassemble, придут ребята с большыми ....ками, и похоронят js.
Один хер инициализация на JS идет. DOM опять же еще не завезли. Печально пока.
Всё, что надо знать о веб-разработчиках
Человеческая тупось безгранична.
Никогда такого не было и вновь произошло
NPM = No Password Management
> NPM = No Password Managementhttps://github.com/npm/npm-expansions/blob/master/expansions...
> а 0.6% вернули старый пароль, но внеся в него незначительное изменение;А вот это просто неверный перевод.
И «Главная ссылка к новости» на агрегатор ссылок без описаний — это чуть-чуть странно =).
> 10% of users reused their leaked passwords: 9.7% — directly, and 0.6% — with very minor modifications.Вот так в оригинале.
> а 0.6% вернули старый пароль, но внеся в него незначительное изменение;
Вот это додумано. Перебор модификаций применялся ко всем потенциальным паролям, слинкованным с аккаунтами по утечкам, а не только к тем, которые подошли.
>> 10% of users reused their leaked passwords: 9.7% — directly, and 0.6% — with very minor modifications.
> а 0.6% вернули старый пароль, но внеся в него незначительное изменение;И что здесь додумано? Ровно то, что в оригинале, "with very minor modifications" это и есть "внеся в него незначительное изменение", а про 9.7% вы кусок не процитировали.
> вернули старый пароль,Вот это додумано. 0.6% — это пользователи, у которых с другого сервиса утёк пароль вида «abcdef», а на npm они при этом использовали что-то вида «Abcdef1». Это не значит, что они использовали «abcdef» на npm и не значит что они его вернули с изменениями.
> что-то вида «Abcdef1». Это не значит, что они использовали «abcdef»
> на npm и не значит что они его вернули с изменениями.Логично, но можно и так и так понять. Что именно подразумевалось под reused не уточняется в тексте. Может речь про пересечения базы npm и других баз, а может про ситуацию после сброса паролей.
>Перебор модификаций применялся ко всем потенциальным паролям,Совсем нет - "reused _their_ leaked passwords"
>>Перебор модификаций применялся ко всем потенциальным паролям,
> Совсем нет - "reused _their_ leaked passwords"_their leaked passwords_
Пароли, утёкшие с других сервисов использовались на npm почти в том же виде, но с незначительными изменениями. По-моему, ок сформулировано.
> был получен через подбор типовых паролей к сторонним серисами, таким как GitHub и Google.Ох, ну это вообще трэш.
Там речь о том, что токены или пароли были запушены человеками на гитхаб или выложены где-то в другом месте и проиндексированы гуглом.
Вы в тесте новости смотрите, а не в левом черновике на форуме.
> Вы в тесте новости смотрите, а не в левом черновике на форуме.В смысле?
>> Вы в тесте новости смотрите, а не в левом черновике на форуме.
> В смысле?Актуальный текст на https://www.opennet.ru/opennews/art.shtml?num=46768
На https://www.opennet.ru/openforum/vsluhforumID3/111590.html начальный черновик, который начали обсуждать до публикации, а поправить забыли (сейчас уже поправили).
Ох. Спасибо, я этого не заметил.Я сюда перешёл по ссылке «[смотреть все]» у комментария со страницы новости.
> Вы в тесте новости смотрите, а не в левом черновике на форуме.Я как раз и жалуюсь на то, что вот этот перевод слишком левый.
>> Вы в тесте новости смотрите, а не в левом черновике на форуме.
> Я как раз и жалуюсь на то, что вот этот перевод слишком
> левый.Кстати, кажется, поправили. И это хорошо =).