LINUX.ORG.RU
ФорумTalks

GitHub запрещает парольную аутентификацию при доступе к Git

 , , , ,


0

1

https://www.opennet.ru/opennews/art.shtml?num=55632

Кому не лень, запилите новость.

Для Ъ: действия с git, требующие аутентификации, теперь только по ключу или токену, никаких паролей. До этого аутентификация по паролю допускалась, но высылалось предупреждение.

★★★★★

Последнее исправление: Siborgium (всего исправлений: 1)

А RSA любой длины они начнут выкидывать, как тот же BitBucket, в добровольно-принудительном порядке переводя всех на EdDSA.

Насколько я понимаю, RSA в современном постквантовом мире стал уже небезопасным.

EXL ★★★★★
()

Удивляет, что в каментах перепись пострадавших.
Они, ЕМНИП, за год начали предупреждать. По мылу, и в ответах гита.

aidaho ★★★★★
()

Неужели есть люди, которые до сих пор используют аутентификацию по https на гитхабе? В смысле не один раз в год, а регулярно.

fernandos ★★★
()
Ответ на: комментарий от aidaho

Удивляет в каментах перепись неосиливших, когда первая ссылка в гугле буквально выдает пошаговую инструкцию от гитхаба, с помощью которой можно не приходя в сознание сделать себе ключ и прикрепить к аккаунту.

Siborgium ★★★★★
() автор топика
Ответ на: комментарий от fernandos

Видимо есть… И не лень же людям почту чистить каждый раз!

Siborgium ★★★★★
() автор топика
Ответ на: комментарий от EXL

У RSA тупо ключ больше для безопасной размерности, экономят за счёт страданий хомячков разумеется.

pon4ik ★★★★★
()

На самом деле - бред бредовский. Делается явно из экономии, а по-сути это очень не удобно, нужно уходить с терминала в этот ваш житхаб и чёто там тыкать, бред-же. Бред растущий из кривых клиентов под этот ваш офтопик.

pon4ik ★★★★★
()
Ответ на: комментарий от fernandos

Угу, для каждой виртуалки в браузер лезть, особенно когда она живёт меньше рабочего дня в среднем. Такое себе.

pon4ik ★★★★★
()

Кстати, выглядит, как 4.2 - я проверил, пока работает аутентификация по паролю.

pon4ik ★★★★★
()
Ответ на: комментарий от fernandos

Неужели есть люди, которые до сих пор используют аутентификацию по https на гитхабе? В смысле не один раз в год, а регулярно.

А что такого?

tiinn ★★★★★
()

Что такое Git-объекты?

tiinn ★★★★★
()
Ответ на: комментарий от fernandos

Гитхаб - это ж просто папочка в облаке, куда я могу свой проект выложить, не? Как же к ней обращаться, как не по логину-паролю?

tiinn ★★★★★
()
Ответ на: комментарий от aidaho

C svn приходилось сталкиваться только в одном проекте (FreeBSD), и там это был svn+ssh, тоже только по ключам.

dsdqmhsx
()
Ответ на: комментарий от tiinn

Папочка у вас на гуглодиске или где-то ещё, гитхаб — огромный сервис, предоставляющий возможности работы с гит-репозиториями.

Как же к ней обращаться, как не по логину-паролю

В теме написано: ssh или токен.

fernandos ★★★
()
Ответ на: комментарий от fernandos

В теме написано: ssh или токен.

Зачем? Люди же давно придумали нормальную аутентификацию по логину-паролю. Если кому-то не хватает, пусть делают по ssh или токену, остальных-то зачем насиловать?

tiinn ★★★★★
()
Ответ на: комментарий от tiinn

Затем, что «нормальная аутентификация» требует раскрытия пароля.

Если кому-то не хватает, пусть делают по ssh или токену, остальных-то зачем насиловать

Очевидно, людей слишком часто взламывали. Да и пускай переходят на альтернативные сервисы.

fernandos ★★★
()
Ответ на: комментарий от fernandos

Очевидно, людей слишком часто взламывали.

Покуда мне не очевидна суть этого огромного сервиса, не могу понять, в чём проблема. Вроде же, фишка как раз в том, чтобы весь мир исходники видел, и мог у себя собрать программу.

Затем, что «нормальная аутентификация» требует раскрытия пароля.

Т.е. с гитхаба часто пароли утекают?

tiinn ★★★★★
()
Последнее исправление: tiinn (всего исправлений: 1)
Ответ на: комментарий от tiinn

Вроде же, фишка как раз в том, чтобы весь мир исходники видел, и мог у себя собрать программу

Да, но нет фишки «просунуть в апстрим малварь».

Пароль отвечает за веб-интерфейс. Когда появляется необходимость его постоянно вводить, то что-то не так.

Т.е. с гитхаба часто пароли утекают?

Постоянные взаимодействия с паролем влекут за собой возможность того, что его можно будет украсть. Это особенно плачевно, если вспомнить, что не все используют двухэтапную аутентификацию.

fernandos ★★★
()
Последнее исправление: fernandos (всего исправлений: 2)
Ответ на: комментарий от fernandos

А, ну, тогда ладно. Теперь понял. Повысить уровень безопасности от пофигистов-разработчиков. Но, вообще-то, надо сделать возможность аутентификации по паролю тем, кому это надо. Не у всех же в гитхабе что-то важное.

tiinn ★★★★★
()
Последнее исправление: tiinn (всего исправлений: 2)

Давно пользуюсь токенами.

Да, правильно всё делают.

Люди слишком ленивые…

fsb4000 ★★★★★
()
Ответ на: комментарий от fernandos

Указание которого в хистори хранится.

В общем ребятки сделали бэкдурчик для одминов как минимум, и фанфаронятся этим с умным видом.

pon4ik ★★★★★
()
Ответ на: комментарий от fernandos

Вот тебевам(раз не терпите фамилиарности) ещё пищща для размышлений:

Пароль по сети не передаётся, передаётся его хэш, на данный момент не известно алгоритмов способных обратить(за разумное время) криптостойкий хэш ни для квантовых компов ни для классических. А вот что для RSA, что для EdDSA - такие алгоритмы есть, даже есть прототипы их реализаций на прототипах имеющихся квантовых компов.

И тут внезапно, лет за 15 до дня X все начали тихонько ныть про то как плохи пароли, а за 5-7 лет до этого дня начали их заменять на ассиметричную криптографию. Совпадение? Паранойя? Да может быть и так, а может быть кто-то хочет через 10 лет иметь возможность подделать любые результаты интеллектуальной деятельности.

pon4ik ★★★★★
()
Последнее исправление: pon4ik (всего исправлений: 1)
Ответ на: комментарий от fernandos

Ну и даже если так, то это компьютер АНБ, а не компютер Васи из подвала или индуса любящего линукс.

pon4ik ★★★★★
()
Ответ на: комментарий от pon4ik

Вася или индус не обладают достаточным оборудованием для взлома моего ED25519.

Кроме того, если они попробуют в распределённые вычисления, то это будет заметно (как мне, так и властям).

fernandos ★★★
()
Последнее исправление: fernandos (всего исправлений: 2)
Ответ на: комментарий от fernandos

И если не отходить от темы - чем конкретно плохи пароли? И как эти проблемы решают криптографические ключи?

Кроме человеческого фактора, который нивелируется менеджером паролей например, который использует только симметричную криптографию?

pon4ik ★★★★★
()
Ответ на: комментарий от pon4ik

Дело не в самих паролях. Просто представьте, что делает пароль от гитхаба: он слишком много всего контролирует. Если хотите доступ по паролю, то это должен быть пароль исключительно на заливание в репу.

Вот вам и выйдет такой себе access token.

fernandos ★★★
()
Ответ на: комментарий от pon4ik

А что случилось с тем, что отправлялось и сохранялось раньше?

Так-то информации слишком много, никто (за исключением спецслужб, но и для них это очень много информации, которая в данный момент бесполезна) её хранить так просто не станет (дешёвые квантовые компьютеры появятся ой как нескоро).

fernandos ★★★
()

Это уже полгода известно.

Таки придется ключ на смартфон тащить для termux:(

grem ★★★★★
()
Последнее исправление: grem (всего исправлений: 2)
Ответ на: комментарий от EXL

Насколько я понимаю, RSA в современном постквантовом мире стал уже небезопасным.

стал настолько небезопасным, что ни в одной публикации об этом никаких практических результатов с квантумных кудахтеров нет.

n_play
()
Ответ на: комментарий от pon4ik

Мы новость дали (с)


https://github.blog/changelog/2021-08-12-git-password-authentication-is-shutting-down/

В пятницу 13-го августа (сегодня), в 19:00 по Москве лавочка окончательно накроется.

Siborgium ★★★★★
() автор топика
Последнее исправление: Siborgium (всего исправлений: 1)
Ответ на: комментарий от Siborgium

Удивляет в каментах перепись неосиливших, когда первая ссылка в гугле буквально выдает пошаговую инструкцию от гитхаба, с помощью которой можно не приходя в сознание сделать себе ключ и прикрепить к аккаунту.

Угу, а потом случайно за другой комп, и все насмарку. Хотя ты же Ванга, ты стелишь соломку заранее :)

windows10 ★★★★★
()
Ответ на: комментарий от windows10
  1. На этот случай есть токены.
  2. Какое отношение люди, неспособные (или уже год не находящие времени) исполнить простую инструкцию в официальной документации, имеют к вопросу переноса ключей?
Siborgium ★★★★★
() автор топика

Т.е. если я захочу закоммитить что-то в репозиторий с чужого компьютера или скачать приватный репозиторий, то мне надо будет сгенерить на этом компе ключ, добавить его в список ключей, провести действия, а затем удалить ключ?

cvs-255 ★★★★★
()

Теперь как прикажет Микрософт, так и будет - сегодня ключи вместо паролей, завтра надо будет сделать ку перед веб-камерой. Пользователи GitHub’а должны страдать.

x-signal ★★
()
Ответ на: комментарий от fernandos

ситуация: удаленная виртуалка, на которую под одним и тем же аккаунтом могут логиниться человек 10, и там надо работать с git под личным аккаунтом github.

Какая удобная альтернатива паролю?

cvs-255 ★★★★★
()
Последнее исправление: cvs-255 (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.