The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В NPM включена обязательная двухфакторная аутентификация для 100 самых популярных пакетов

03.02.2022 14:44

GitHub объявил о включении в репозитории NPM обязательной двухфакторной аутентификации для 100 NPM-пакетов, влючённых как зависимость в наибольшее число пакетов. Сопровождающие данных пакетов отныне смогут выполнить требующие аутентификации операции с репозиторием только после включения двухфакторной аутентификации, требующей подтверждения входа при помощи одноразовых паролей (TOTP), генерируемых такими приложениями, как Authy, Google Authenticator и FreeOTP. В ближайшее время помимо TOTP планируют добавить возможность использования аппаратных ключей и биометрических сканеров, поддерживающих протокол WebAuth.

На 1 марта намечен перевод всех учётных записей NPM, для которых не включена двухфакторная аутентификация, на использование расширенной верификации учётных записей, которая требует ввода одноразового кода, отправляемого на email при попытке входа на сайт npmjs.com или выполнения аутентифицируемой операции в утилите npm. При включении двухфакторной аутентификации расширенная верификация по email не применяется. 16 и 13 февраля на сутки будет осуществлён пробный временный запуск расширенной верификации для всех учётных записей.

Напомним, что в соответствии с проведённым в 2020 году исследованием, лишь 9.27% мэйнтенеров пакетов использовали для защиты доступа двухфакторную аутентификацию, а в 13.37% случаев при регистрации новых учётных записей разработчики пытались повторно использовать скомпрометированные пароли, фигурирующие в известных утечках паролей. В ходе проверки надёжности используемых паролей удалось получить доступ к 12% аккаунтов в NPM (13% пакетов) из-за использования предсказуемых и тривиальных паролей, таких как "123456". В числе проблемных оказались 4 учётные записи пользователей из Top20 самых популярных пакетов, 13 учётных записей, пакеты которых загружали более 50 млн раз в месяц, 40 - более 10 млн загрузок в месяц и 282 с более 1 млн загрузок в месяц. С учётом загрузки модулей по цепочке зависимостей, компрометация ненадёжных учётных записей могла поразить в сумме до 52% от всех модулей в NPM.

  1. Главная ссылка к новости (https://github.blog/2022-02-01...)
  2. OpenNews: Нарушение обратной совместимости в популярном NPM-пакете привело к сбоям в различных проектах
  3. OpenNews: Разработчик внёс деструктивные изменения в NPM-пакеты colors и faker, применяемые в 20 тысячах проектов
  4. OpenNews: GitHub внедряет в NPM обязательную расширенную верификацию учётных записей
  5. OpenNews: Уязвимость, позволявшая выпустить обновление для любого пакета в репозитории NPM
  6. OpenNews: В NPM-пакеты coa и rc, насчитывающие 9 и 14 млн загрузок в неделю, внедрено вредоносное ПО
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/56629-npm
Ключевые слова: npm, github
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (53) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 15:00, 03/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Теперь авторам не получится поднять деньжат и списать на взлом? Я думаю, они не в восторге.
     
     
  • 2.9, пох. (?), 15:41, 03/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Почему не получится? Или ты имеешь в виду - не успеют, потому что это сделает троянец на их телефоне без их ведома, чего ради весь этот бред и затевался?

    Ну так просто будут два майнера вместо одного.

     
     
  • 3.21, Аноним (21), 20:31, 03/02/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >троянец на их телефоне

    FreeOTP? Ты что шиз?

    >пох

    А в прочем да

     
  • 2.42, Анон_из_Восточной_Европы (ok), 12:43, 04/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Всегда можно списать на взбесившийся принтер. Кто мешает добавить в код зависимости от "третьих лиц" с нужным кодом.
     

  • 1.2, Аноньимъ (ok), 15:03, 03/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А что с тем кадром которого на гитхабе заблокировали?
    Или там питон был?
     
     
  • 2.4, Аноним (4), 15:11, 03/02/2022 [^] [^^] [^^^] [ответить]  
  • –7 +/
    лол который протестовал и радел за самоубийство другого разраба? там какой-то фронтендщик был
     
     
  • 3.6, Аноним (6), 15:22, 03/02/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >и радел за самоубийство другого разраба

    Это ты так неуважительно об Аароне пишешь?

     
  • 3.27, Анонимоусш (?), 01:32, 04/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Бэкэндщиком повеяло…
     
  • 2.29, Михрютка (ok), 01:46, 04/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    с Мараком штоль? а ничего. репостит в твитыре кислотные клипчики и пишет какую-то ерунду про "seize the means of production".

    его colors все еще в топ-100 списке. вот только с доступом на npm и гитхаб у него еше некоторое будут проблемы и помимо 2А, кмк.

     

  • 1.3, Аноним (3), 15:07, 03/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ну и зачем это нужно?

    >В ходе проверки надёжности используемых паролей удалось получить доступ к 12% аккаунтов в NPM (13% пакетов) из-за использования предсказуемых и тривиальных паролей, таких как "123456"

    Если владельцы аккаунтов не считают нужным что-то защищать - зачем их заставлять?
    Просто связались бы с ними и предупредили бы что выбранный пароль слишком простой. Что дальше делать - не гитхабу решать!

     
     
  • 2.5, Аноним (5), 15:15, 03/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если пакет начал использоваться как зависимость в других пакетах, безопасность перестаёт
    быть только проблемой автора.  

    Но можно было не принуждать, а пойти другим путём - для репозиториев без 2FA и с ненадёжными паролями выставлять специальную метку и распространять её вверх по цепочке зависимостей, что бы все кто использует данные пакеты видели имеющийся риск и понимали, что в любой момент им может прилететь бэкдор.

     
     
  • 3.7, Аноним (6), 15:27, 03/02/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >Но можно было не принуждать

    Ты это говоришь про Майкрософт? Который в своей истории много раз кого-нибудь да принуждал.

    >а пойти другим путём

    А когда-нибудь в своей истории Майкрософт шёл другим путём?

     
  • 3.8, Аноньимъ (ok), 15:39, 03/02/2022 [^] [^^] [^^^] [ответить]  
  • –4 +/
    >Если пакет начал использоваться как зависимость в других пакетах, безопасность перестаёт быть только проблемой автора.  

    Она становится проблемой использователя разработчика других пакетов.

    Причём тут МММ непонятно вообще.

     
     
  • 4.10, пох. (?), 15:43, 03/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Она становится проблемой использователя разработчика других пакетов.

    которому конечно мешает зафиксировать именно проверенную версию что? А, руки. Растущие понятно оттуда же, где у него и голова.

    Поэтому на самом деле он ее и не проверял. И каким местом тут поможет шестифакторная аутентификация, если щупалец у него восемь?

     
     
  • 5.32, псевдонимус (?), 02:52, 04/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это не руки. И даже не хвост. Это голова, работающая по принципу "и так сойдёт, не себе же!"
     
  • 3.15, Kuromi (ok), 17:01, 03/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Слишком сложно + надо уметь это обрабатывать на стороне клиента. Обязать топовые репозитории поставить наконец OTP намного проще.
     
  • 3.18, Онаним (?), 19:13, 03/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Именно. Ебзопасность становится проблемой ещё и этот пакет с пакетами использующих.
    Остальным всё равно фиолетово.
     
  • 2.16, ананим.orig (?), 17:19, 03/02/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >Ну и зачем это нужно?

    Им нужен контроль.
    Безопасность только повод.
    >В ближайшее время помимо TOTP планируют добавить возможность использования аппаратных ключей и биометрических сканеров

    ...

     

  • 1.11, Ananimasss (?), 15:50, 03/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    лефтпад в опасносте
     
  • 1.12, Аноним (12), 16:12, 03/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Жду следующей новости: из-за введения обязательной двухфакторной аутентификации были взломаны 100500 самых популярных пакетов.
     
  • 1.13, Аноним (13), 16:46, 03/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Для безопасности надо читать код библиотек, которыми пользуешься, и пинить версии. Прочитал новую версию - запинил. Просто представьте насколько бы вырос уровень безопасности при отключении автообновлений. И не надо этих легенд про фиксы уязвимостей - одни уязвимости устраняются, другие добавляются. В крайнем случае вручную прочитать патч с фиксом уязвимости и наложить на запиненную прочитанную версию зависимости, если сам с фиксом согласен
     
     
  • 2.14, Урри (ok), 17:01, 03/02/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Для безопасности надо читать код библиотек, которыми пользуешься

    Разработчик хелловорлда, как я вижу?

    Интересно, сколько человеколет у меня уйдет, если я буду читать код всех библиотек, которые решил поиспользовать... Я думаю... где-то 120.

     
     
  • 3.17, Аноним (-), 18:52, 03/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    сколько npm пакетов нужно вебмакакам для гарантированного вывода хелловорд?
     
     
  • 4.19, Аноним (1), 19:21, 03/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Дело не в макаках, чтобы грамотно и по всем правилам написать привет мир тебе потребуются тысячи зависимостей и это ты только 1 строку вывел. Конечно, ты можешь забить на тесты и всё остальное, но такому коду грош цена,
     
     
  • 5.20, Ананоним (?), 20:14, 03/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это твоему коду с тыщами мутных зависимостей грош цена. А код в 10 строк, выводящий нужную строку, самый лучший.
     
     
  • 6.25, Урри (ok), 01:06, 04/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Это твоему коду с тыщами мутных зависимостей грош цена. А код в
    > 10 строк, выводящий нужную строку, самый лучший.

    Исходники браузера, который будет выводить эту строку, уже проверил?

     
  • 3.39, liliputiputiputi (?), 06:55, 04/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Используй только то что проверено на безопасность другими, не обновляйся до нестабильных версий. Не используй новые не понятные кресты.
     
  • 2.41, Аноним (41), 07:19, 04/02/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Установил реакт получил 20000 тысяч зависимостей. Читай все

    В веб ужасная ситуация с зависимостями.

     
     
  • 3.53, www2 (??), 07:31, 08/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Установил реакт получил 20000 тысяч зависимостей. Читай все

    Если интересна безопасность, то лучше вообще не устанавливать то, что не можешь прочитать. Правда, так можно с одними только механическими часами остаться. У них нет багов, только особенности.

     
  • 2.52, www2 (??), 07:28, 08/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Просто представьте насколько бы вырос уровень безопасности при отключении автообновлений.

    djb'шно :)

     

  • 1.22, Wilem82 (ok), 22:24, 03/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Отлично, теперь потеря/поломка телефона приведёт к безвозвратной утере аккаунта.
     
     
  • 2.30, Аноним (30), 02:27, 04/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Дитятко, ты что, никогда не менял симку к банковскому акку?! А ведь там посерьёзней привязка.
     
     
  • 3.38, liliputiputiputi (?), 06:49, 04/02/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А через пол года твой банковский номер передадут другому пользователю. Или сделают копию твоего счёта.
     
  • 2.33, Ананимст (?), 03:27, 04/02/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Кипас и плагин для тотп, и ьекапишь куда хочешь. У меня так куча корморативной мути завязано на тотп, проблему решил таким образом. +Не надо каждый раз сраный телефон доставать.
     

  • 1.23, InuYasha (??), 23:30, 03/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Принудительная биометрия пришла откуда её почти не ждали.
    "Вы такие дебилы, что не можете запомнить свой пароль, держите привязку к почте, телефону, имени, фамилии, а ещё сдайте быдлометрию и вот ещё текст клятвы в вечной верности"
     
     
  • 2.24, Kuromi (ok), 00:19, 04/02/2022 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Биометрия чисто опциональна. Можно использовать 1) программный TOTP 2) аппаратный WebAuthn токен без какой либо биометрии\с пинпадом\встроенной биометрией (той что никуда дальше токена не идет

    Использовать встроенный в виндовс TPM и разблокировкой через биометрию - это чисто по желанию, т.к. в стандарте WebAuthn есть требование не привязываться к конкретному типу аутентификаторов. Ну а если кто-то таки привязывается, то ССЗБ.

     
     
  • 3.26, Аноним (26), 01:21, 04/02/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Тут вся отрасль развивается через опции. Сначала они просто есть, потом по умолчанию и, наконец, это навсегда и для всех.
     
  • 2.35, swabrostionnayaformapravleniya (?), 06:37, 04/02/2022 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Как будто бы opennet свободный.
    Вот:

    ОШИБКА ПУБЛИКАЦИИ (сработала защита от попыток осуществления нештатных операций с форумом) - СВЯЖИТЕСЬ С АДМИНИСТРАТОРОМ
    Наиболее вероятной причиной является использование прокси сервера с настройками направленными на излишнюю анонимность.

    Решение для пользователей прокси-сервера squid: убрать из конфига squid "anonymize_headers" настройки. (Убрать "anonymize_headers deny Referer" или добавить "anonymize_headers allow Referer").

    Решение для пользователей браузера Opera: в настройках "Privacy" проверить состояние галки "Enable Referer login". Если не работет Opera 6.11 для Linux, обновите ее до 6.12, в 6.11 ошибка.

    Решение для Lynx: убедитесь в присутствии настройки "REFERER_WITH_QUERY:SEND" в /etc/lynx.cfg.

    Пользователи локальных программ фаерволов под Windows (например, NIS - Norton Internet Security), могут иметь проблемы с настройками по умолчанию.

     
     
  • 3.45, Аноним (26), 13:52, 04/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это другое!
     
  • 3.49, InuYasha (??), 10:28, 05/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    м-да.png.... "излишняя анонимность"... (
     
  • 3.54, www2 (??), 07:34, 08/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Настолько анонимен, что не хочешь говорить даже с какой страницы пришёл?
     

  • 1.28, Аноним (28), 01:35, 04/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Выпускаем пакеты только в отделении при предъявлении паспорта и шкурки банана.

    Ваш npm

     
     
  • 2.37, swabrostionnayaformapravleniya (?), 06:46, 04/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Занимаемся политикой только приходя на голосование. Овощи должны быть овощами. А вы попробуйте подписать петицию за разрешение овощных игр.
     

  • 1.31, псевдонимус (?), 02:43, 04/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не поможет.
     
  • 1.34, Аноним (34), 05:44, 04/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    А "владелец" пакета разве не сможет залогиниться и отключить этот OTP, будет не отключаемый?
     
     
  • 2.46, Аноним (46), 14:37, 04/02/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > не отключаемый?

    Скоро будешь каждый раз мазок сдавать, как еще один "фактор".

     

  • 1.40, sdafaytesyaswabrostionspolizey (?), 07:00, 04/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Нужно запретить не безопасных программистов.
     
  • 1.43, anonymous (??), 12:58, 04/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А какое отношение гитхаб имеет к npm?
     
  • 1.44, Аноним (46), 13:01, 04/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > TOTP

    Это точно еще один "фактор"?

     
  • 1.47, Аноним (47), 17:19, 04/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > GitHub объявил о включении в репозитории

    Фигня это всё.

    1. Необходимо все комиты и особенно релизы подписывать OpenPGP ключом.

    2. Найти спонсоров для раздачи открытых аппаратных хранилищ ключей OpanPGP для разработчиков свободных програм.

    3. Поощрять проведение PGP часа на всех ИТ мероприятиях для обмена публичными ключами.

     
     
  • 2.48, Аноним (47), 17:30, 04/02/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > 2. Найти спонсоров для раздачи открытых аппаратных хранилищ ключей OpanPGP для разработчиков свободных програм.

    https://www.nitrokey.com/news/2018/nitrokey-partners-linux-foundation-equip-al

    https://www.nitrokey.com/news/2019/nitrokey-partners-gentoo-foundation-equip-d

    https://www.nitrokey.com/news/2021/nitrokey-equips-arch-linux-developers-usb-k

    А тем временем вышел Nitrokey 3: https://www.nitrokey.com/news/2021/new-nitrokey-3-nfc-usb-c-rust-common-criter

     

  • 1.50, Аноним (30), 13:58, 05/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    как в анекдоте: "...Я им уже и унитаз приносил - всё равно не продают!".
     
  • 1.51, Всем Анонимам Аноним (?), 21:49, 06/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Так у них на почте такой же пароль. Нужно просто в почту залогиниться вместо NPM.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру