GitHub users are now required to enable two-factor authentication as an additional security measure.

Начнем с того, что если например «СМС» - всеми узнаваемая и всеми имеемая сущность, электронная почта - всеми узнаваемая но половиной имеемая сущность, то вот это твое TOTP - это не понятно что, для не понятно зачем.

TOTP это не менее узнаваемая всеми сущность. Я им пользуюсь уже много лет. TOTP нужна для безопасности.

Ну то есть ты хочешь сказать, что во-первых для пользования гитхабом таки нужен мобильный телефон, и во-вторых для пользования гитхабом нужен только айфон ? Ну так тем более такой гитхаб идет нахрен. Это явно птица не того полета, чтоб ради нее еще и айфон покупать.

Я хочу сказать, что у большинства обычных пользователей никаких проблем с TOTP не возникает, как и не возникает проблем с наличием у них мобильного телефона. Как ты лично планируешь или не планируешь решать свои проблемы с гитхабом - я не знаю. Если у тебя с этим возникли проблемы, которые ты хочешь решить - описывай свою ситуацию, пока что я вижу только воинствующее невежество, но возможно я ошибаюсь.

Красноглазие в том, что дополнительно нужно поставить, настроить, и иметь с собой - дополнительную сущность, которая может быть заблокирована, утеряна, украдена и тд итп.

То же можно и про пароль сказать. Сколько с паролями проблем. Вот было бы хорошо, если бы паролей не было, ввёл логин и всё. Но наш мир так устроен, что логина без пароля недостаточно в открытом интернете. А в 2025 году уже стало недостаточно просто пароля.

Там вон Pinkbyte боялся что пароли утекут. А то что девайс может быть похерен и доступа не будет совсем - почему-то не беспокоит =)

Эту ситуацию тоже можно решить. Можно купить айфон и все проблемы исчезнут. Можно организовать бэкап твоих OTP-ключей куда-нибудь. Можно использовать backup codes, распечатанные на бумаге и хранимые в банковской ячейке.

Ах да, гитхаб же настолько важная структура что ради него можно настроить синхронизацию в облако + 5й RAID чтобы не похерилось.

Ну вообще-то да, гитхаб это очень важно. Мне даже сложно сказать, что для меня сейчас важней гитхаба. Банковский аккаунт разве что. Через мой гитхаб аккаунт можно получить доступ ко всем рабочим репозиториям, к которым я имею доступ. Можно туда закоммитить бэкдор, который через пару минут уже будет на сервере, чудесный гитопс, да. И всё это от моего имени. Страшно, очень страшно. Так-то и присесть можно, кому я там буду объяснять, что я не я и лошадь не моя. Пожалуй гитхаб поважней банковского аккаунта будет.

В итоге чтобы зайти раз в месяц или тем более зарепортить багу - нужно делать несколько дополнительных шагов.

Ну не делай, наверняка многие открытые проекты начнут тонуть под грузом незарепорченных багов и уедут с гитхаба на более подходящий хостинг, может быть sourceforge, который не ущемляет пользователей.

А может и не уедут.

KeePassXC

Это в Стандартных или Параметрах?

Оно же меняется каждые 30 секунд. Попасть конечно случайно при брутфорсе можно, но вероятность этого вообще будет никакая.

Ну почему, всё зависит от скорости перебора. Если можно делать одну попытку в секунду для 6-значного цифрового кода, то 30 попыток за 30 секунд дают шанс угадать код 0.00003 или 0.99997 шанс не угадать код за эти 30 секунд. В сутках 2880 отрезков по 30 секунд. Шанс не угадать код за сутки равен 0.99997 ** 2880 = 0.917, т.е. есть уже вполне ощутимый шанс 8.3% угадать код всего за сутки. За 8 суток шанс будет около 50%.

Поэтому к TOTP обязательно делать счётчик неудачных попыток и капчу для юзеров, у которых этот счётчик начинает быть подозрительно большим. Тут всё правильно.

Ставишь менеджер паролей

Не ставлю. Мне тут рассказывают что TOTP это не пердолинг.

Но установка всякого мусора ради захода на сайт - это как раз он родимый и есть.

Поэтому к TOTP обязательно делать счётчик неудачных попыток и капчу для юзеров, у которых этот счётчик начинает быть подозрительно большим.

По мне так, больше 10 раз за 10 минут, там уже надо не капчу, а вообще попытки банить на сутки.

Если установка нужных инструментов для тебя пердолинг, то извиняй, сиди в голой венде и пиши своё ДЕ в блокноте.

С баном всегда есть опасность создать канал, по которому злоумышленник сможет отключать нормальных пользователей. К примеру запускаю я программку на своём компьютере, и весь офис не может зайти на сайт, т.к. IP попал в бан. Не прикольно. Если по имени пользователя - тем более не вариант. Поэтому тут надо быть аккуратным.

Поэтому к TOTP обязательно делать ... капчу

Продолжаем угорать. Нужно к TOTP сделать ещё контрольный TOPT, а то вдруг угонят менеджер паролей. Что-то мне подсказывает, что все 99 из сотни юзеров просто введут номер телефона.

Наверное скоро человек узнает про webauthn (passkey) и вообще сгорит. Вот там всё анально огорожено настолько, что TOTP на этом фоне - просто няшка.

Да ничего смешного в принципе, паролей всё вышеперечисленное касается ровно так же.

Вообще всё проще. TOTP это просто второй пароль. Если ты придерживаешься подхода low tech, хранишь пароли в «Мои Документы\Пароли.txt» (полностью одобряю, сам так делаю), ты можешь просто рядом с паролем хранить ключ TOTP и генерировать TOTP либо онлайн-утилитой, либо простейшей программкой, которую ты можешь сам написать хоть на PHP. Там реально несколько строк. TOTP(t) = HMAC(K, t) mod 10^6. Конечно вбивать ключ TOTP в другой сайт это определённый риск, советовать это делать я не буду, лучше поставить программку локально. Безусловно это уже имитация театра безопасности, и чем больше людей так будут делать, тем быстрей всех пересадят на passkey, где такой халявы уже не будет. Но лично ты вряд ли на это значимо повлияешь, поэтому такой способ есть, да.

TOTP это не менее узнаваемая всеми сущность. Я им пользуюсь уже много лет. TOTP нужна для безопасности.

Стоп. Оно че, еще и имеет привязку ко времени? :)))

Ахахах. Мы такое использовали в середине 2010хх годов, будучи подрядчиками на одной АЭС, где неправильными действиями могли сделать второй Чернобыль. Нам выдавали ключики наподобие флешки с LCD-дисплеем, там раз в 10 минут менялись циферки.

Гитхаб слишком высокого мнения о себе.

Эту ситуацию тоже можно решить. Можно купить айфон и все проблемы исчезнут. Можно организовать бэкап твоих OTP-ключей куда-нибудь. Можно использовать backup codes, распечатанные на бумаге и хранимые в банковской ячейке.

Любую ситуацию можно решить. Но проще ее не создавать.

Ну вообще-то да, гитхаб это очень важно. Мне даже сложно сказать, что для меня сейчас важней гитхаба. Банковский аккаунт разве что. Через мой гитхаб аккаунт можно получить доступ ко всем рабочим репозиториям, к которым я имею доступ. Можно туда закоммитить бэкдор, который через пару минут уже будет на сервере, чудесный гитопс, да. И всё это от моего имени. Страшно, очень страшно.

Ну строка в коде «Вася лох» однозначно важнее и опаснее счетчика включения насосов сброса охлаждения радиоактивного элемента, и скорее всего важнее несанкционированно переведенного миллиона долларов с твоего счета Бен-Ладену, или кто там нынче в этой роли.

Впрочем да, может быть, тебе это важно. Мне - нет. И зачем меня принуждать пользоваться этой херней если я хочу запостить баг-репорт Васяно-поделке - не вижу ни одной причины кроме занесения меня в БД.

Ну не делай, наверняка многие открытые проекты начнут тонуть под грузом незарепорченных багов и уедут с гитхаба на более подходящий хостинг, может быть sourceforge, который не ущемляет пользователей.

Да, проект уже снес. Issues пока еще оставляю. Тонуть другие проекты вряд ли будут, просто дольше будут глючными =)

Если установка нужных инструментов для тебя пердолинг, то извиняй, сиди в голой венде и пиши своё ДЕ в блокноте.

Еще одна программа с функционалом «зайти на сайтик» - это не нужный инструмент.

Я и пишу свое DE в блокноте. Еще чего не хватало засорять комп всякой блоатварью.

Да, проходить квест для логина на файлопомойке это не смешно. Как и то, что единая база с ключами (не только от помойки) хранится на телефоне.

Стоп. Оно че, еще и имеет привязку ко времени? :)))

Конечно.

Ахахах. Мы такое использовали в середине 2010хх годов, будучи подрядчиками на одной АЭС, где неправильными действиями могли сделать второй Чернобыль. Нам выдавали ключики наподобие флешки с LCD-дисплеем, там раз в 10 минут менялись циферки.

Да, это то же самое, я тоже это использовал, ещё до 2010 года, правда не для АЭС, а для игры в WoW.

Впрочем да, может быть, тебе это важно. Мне - нет. И зачем меня принуждать пользоваться этой херней если я хочу запостить баг-репорт Васяно-поделке - не вижу ни одной причины кроме занесения меня в БД.

Причина очень простая. Юзеры идиоты и их надо защищать от самих себя. И программисты тут не исключение. Твой пароль утянут и начнут малварь распространять с гитхаба, например. Это уже проблема для гитхаба. И в масштабе гитхаба - проблема ощутимая, не редкое явление, а статистическая, типа сегодня взломали 2000 пользователей, месяц назад 1900, ввели обязательный TOTP - теперь взломали всего 20 пользователей, микрософт сэкономил немножко денежек. Плюс на репутацию влияет немного, юзеры же самые умные, это ни у них пароли утянули, это микрософт взломали.

Ну организуй свою файлопомойку. Посмотрим, как быстро там найдут ЦП и к тебе придут с вопросами. Я удивлён, что там ещё справку от христианского священника не начали требовать.

Хорошо, допустим. Почему не сделать по мылу, как например сделал малоизвестный Cloudflare, Aliexpress и другие неудачники?

Яндекс хранит локально. Если нужна переносимость есть эскпорт и импорт в файл или в облако.

Я нашел вторую половинку Iron Bug)

Не знаю, почему. Возможно хотят сделать упор на том, чтобы второй фактор был на другом устройстве, почта у большинства на том же компьютере, где и пароли, а SMS и TOTP обычно на смартфоне. Типа если у тебя компьютер заражён, то и пароль вытащат и в почту посмотрят. А к телефону прямого доступа уже не будет.

Я нашел вторую половинку Iron Bug)

Та нет, просто у меня паскалевские привычки родом из 90хх: я привык видеть и понимать работоспособность кода, мне не нужны эти навороты, описания функций, списки переменных и прочая бредятина, я их даже в Geany отключаю. Ну может разве что табы и запуск по кнопке удобны. Все остальное - хипсторская лень.

А отступы на каждой строке заново табулируешь? Или у тебя блокнот не блокнот? Когда я пишу в блокноте, меня это раздражает больше всего. Или ты под табами это подразумеваешь?

Мне вот тут прям кто то аегис посоветовал. И оно таки работает для гитхаба, без смс и регистрации, прикинь

На жабаскрипте лучше. Чем на петухоне

Мне вот тут прям кто то аегис посоветовал. И оно таки работает для гитхаба, без смс и регистрации, прикинь

А мне вот тут посоветовали забить на гитхаб. И оно таки работает, без смс и регистрации, и без аегис, прикинь

Ещё чего, она моя

Дык это. Интеллисенс не подпёрдывает - в коде косяк, удобно следить

Проверка кода, который я еще не дописал, это по-моему самое безумное, что придумали в айтишке. А так, интеграция с линтерами везде уже наверно есть.

Там оборонное укрепление в виде .ua из России не пройти.

Дык это. Интеллисенс не подпёрдывает - в коде косяк, удобно следить

PHP божественен - в его коде не бывает косяков.

А мне вот тут посоветовали забить на гитхаб. И оно таки работает

Так ты вообще отказался от выкладывания проекта? Или выложил в другое место?

Если брутят TOTP значит пароль уже утек, т.е. да - надо банить.

Так ты вообще отказался от выкладывания проекта? Или выложил в другое место?

Не отказался, но решил немного сменить концепцию.

Выложу для начала на подкроватном сервере в виде установочного скрипта ну и ссылками на несколько отдельных архивов.

Отдельно исходники в виде кода выкладывать нет смысла, потому что оно само по себе - исходный код.

Сейчас я собираю эту лапшу воедино чтобы оно собиралось без геморра + ищу альтернативу xembedsniproxy (шняга которая преобразовывает старый иксовый трей в новомодный SNI), потому что qmake - это сущая жёпа, за 5 лет оно так и не научилось в название модуля которого нет.

Так что думаю скоро выложу :)