Здравствуйте, Pzz, Вы писали:
V>>И по мне уместнее вопрос зачем делать репозитории на GitHub. Pzz>Потому, что open source. Домашний сервер у меня тоже есть.
У меня ещё есть сайты с доменами на VPS, но нет открытого или свободного кода. Я просто знаю, что есть официальные сайты программ. А GitHub мною воспринимается как что-то вроде помойки. Я тоже заводил на нём когда-то учётку, как и на SourceForge.
Мне не нравится, что.
1. Открытость кода. А я не хочу чтобы весь код был открыт.
2. Лицензирование кода. Эти хостинги продвигают тему лицензий и права собственности. Что всё что вы напишите принадлежит им или на худой конец общественности.
3. Авторский код. А есть гарантия, что авторы кода сами его там опубликовали, даже если код свободный. Или сервисы его себе копируют для галки тем самым привлекая остальных пользователей.
4. Обсуждение кода. Может кто-то где-то что-то и обсуждает, но я никогда этого не делал. Ну и мои открытые изыскания вряд ли кому-то нужны. А те что нужны лично мне закрыты.
5. Мусорный код. Да и в принципе мощные проекты находящиеся не на официальных сайтах выглядят не серьёзно. Они там лежат рядом с трешачком.
6. Бан кода. Скандалы с тем, что сервисы начинают банить учётки разработчиков. А почему, ну потому что.
Конечно, если кто там совместно работает, то и хорошо. Просто лично у меня сложилось не хорошее впечатление об этих сервисах. Я не говорю, что нужно бежать поднимать Redmine, хотя по мне он гораздо круче, или ещё что-то такое. Но вот сервисы майкрософт вставляют палки в колёса.
Ладно это бесплатно. Российский бизнес им платил деньги, государство продавливало бизнес чтобы они не пиратили майкрософт. А те в итоге просто взяли и киданули российские компании по полной наплевав на договор и вообще на всё.
Ну то есть студенту или там просто разработчику нормально думаю и на ненадёжном сервисе. А для людей, которые считают что им нужна хотя бы минимальная надёжность такое не подойдёт.
Кстати, пользуясь случаем передаю из России привет Jira и JetBrains. Сколько лет я писал про свободные программы, что они лучше. Нет говорили мне, а на нет и суда нет. Может быть однажды передам привет и GitHub, если Россию окончательно забанят как Крым.
Здравствуйте, Pzz, Вы писали:
Pzz>Если для мобилки, какую посоветуете? Напрашивается вроде Google Autehticator, но складывается впечатление, что он перестанет работать, если меня забанят в Гугле. В нонешней общественно-политической реальности такого события исключить нельзя. Есть ли TOTP app, не привязанные к каким-либо веб-сервисам, особенно иностранным?
Здравствуйте, GarryIV, Вы писали:
Pzz>>Если для мобилки, какую посоветуете? Напрашивается вроде Google Autehticator, но складывается впечатление, что он перестанет работать, если меня забанят в Гугле. В нонешней общественно-политической реальности такого события исключить нельзя. Есть ли TOTP app, не привязанные к каким-либо веб-сервисам, особенно иностранным?
GIV>В GH тебя тоже забанят
Ну, когда забанят, тогда и проблема рассосется. А пока не забанили, придется прилаживаться под их прибамбасы.
Здравствуйте, Pzz, Вы писали:
R>>или какую то железную крипто хрень с телефона юзают?
Pzz>Нет, не юзает. Наверное, он юзает присущее телефону умение смотреть на QR-код камерой и распоснавать его.
Можно прочитать любой гляделкой QR-код. Он в открытом текстовом виде.
R>>я к тому что почему бы не сделать вообще тупо мини софтину R>>которую можно запускать на обычном PC
Pzz>Потому, что я пытаюсь отмазаться от прочтения соответствующего RFC и написания этой мини софтины.
В RFC TOTP из первого ответа приведена та консольная мини-софтинка, которая генерирует временной код.
Она на Java и переносима. Только в неё свои параметры надо передать:
конвертнуть ключ из base32 в base16 и запросить число цифр кода равное шести.
Здравствуйте, reversecode, Вы писали:
R>вот из за таких как вы и переводят всех на 2fa R>лучше удалить аккаунт и перейти на другие платформы как делают многие
А что плохого в 2fa, тем более через TOTP (а не СМС — это фу!)?
Я на каждом сервисе ищу, как включить TOTP. Потому что это единственное, что может защитить от утечки пароля, который сохраняется всеми броузере непонятно как, и непонятно с какой изоляцией от расширений (баги бывают везде).
Хотя я и против принудиловки. Но, имхо, ГитХаб вам желает хорошего, пусть и в такой приказной форме.
Здравствуйте, Pzz, Вы писали:
Pzz>А гитхаб отдаст мне этот setupkey в виде плейнтекста? А если я его утрачу, второй раз отдаст?
QR-код и есть визуальное отображение этого plain text кода. 99% сервисов показывают и то, и другое. Отдельные мамонты показывают лишь QR код, его надо распознать и сохранить как plain text. Он константен. А одноразовый код это функция от этого plain text кода + текущего времени.
Чтобы этим удобно было пользоваться, нужно интегрировать это с хранилкой паролей. Не надо облаков для паролей / TOTP, теряется вся секюрность. Не надо на телефон — вы его потеряете и лишитесь, да и как бекапить (не в облако!). Все эти мобильные аппы — компромисс для широкой аудитории (компа может и не быть).
с учетом того что меил-акк прибит как правило в телефону
то даже если каким то чудесным образом уплывет и почтовый акк
и получат через почту акк на гитхаб
это все роллбечится, меил-акк восстанавливается обратно и гитхаб тоже
вспомните, основная идея включения 2fa на гитхабе что бы злоумышленники не смогли получить доступ к особо критичным репам
и не внесли туда какой нибудь бедор или еще чего
так что поголовная принудиловка это перекладывания с больной головы на здоровую
к счастью сегодня узнал и разобрался что оказывается все это можно через консоль утилиту сделать
так что вернулся обратно на гитхаб, слишком много всего вложил в него
хотя перед этим уже переехал на гитлаб
там такой хрени нет
Здравствуйте, reversecode, Вы писали:
R>с учетом того что меил-акк прибит как правило в телефону R>то даже если каким то чудесным образом уплывет и почтовый акк R>и получат через почту акк на гитхаб
Без TOTP 2fa через e-mail нельзя получить доступ к акку, если реализация не кривая (вы уверены, что у GitHub она ведет себя именно так?).
При включенной TOTP 2fa восстановление можно сделать только через recovery codes.
Иначе смысла мало. E-mail сервер обычно арендуемый, а почта вообще иногда без шифрования ходит, несекьюрно. 2fa через TOTP — попытка уйти от этих e-mail/sms — идея именно в этом.
Вот принудительный e-mail 2fa был бы маразмом и фашизмом в 2024 году.
Здравствуйте, reversecode, Вы писали:
R>до навязывание 2fa R>именно это, возможность угнать гитхаб акк через меил и было поводом начать эту кампанию по 2fa
Угон аккаунта через email/sms — очень распространенная тема. Непонятно, как её решать помимо totp 2fa.
Я даже на Госуслугах вместо SMS включил TOTP.
андроид телефоны привязываются к меилу
покрайней мере гмеилу у меня
и иногда гмеил требует верификацию кода с телефона
если подозрительно странный вход в миел был осуществлен
посему даже если дальше цепочка за сбоит
все можно откатить вернув сначала себе доступ к основному меилу
а если меил и в самом гитхабе или еще где то поменяют
то дальше письмецо в саппорт того же гитхаба что бы сделали ролбек как было
так или иначе
если все хреново с 2fa и все коды просраны
тоже придется писать в саппорт
так что по факту одно и тоже
только с 2fa доп уровень гемора
Все эти приложения работают по стандартному алгоритму, у которого на входе некий сид (который ты по идее должен где-то записать) и текущее время (чтобы код менялся).
Google Authenticator, насколько я знаю, работает точно так же. И даже если тебя гугл забанит и ты не сможешь использовать это приложение, ты сможешь взять любое другое приложение.
Можно просто какой-нибудь консольный клиент поставить. Смысл 2FA, правда, при этом немного потеряется.
Здравствуйте, Pzz, Вы писали:
Pzz>Если для мобилки, какую посоветуете? Напрашивается вроде Google Autehticator, но складывается впечатление, что он перестанет работать, если меня забанят в Гугле. В нонешней общественно-политической реальности такого события исключить нельзя. Есть ли TOTP app, не привязанные к каким-либо веб-сервисам, особенно иностранным?
Ну GitHub это же Microsoft сейчас, так что ставь Microsoft Authenticator
Здравствуйте, reversecode, Вы писали:
R>посему даже если дальше цепочка за сбоит R>все можно откатить вернув сначала себе доступ к основному меилу
Это не всегда возможно. Например, ваш аккаунт заблокировал Google. Или Yandex. Или у кого вы арендовали мейл-сервер.
Если почта на собственном домене, то можно и домен потерять.
А в любом случае TOTP — это полный контроль над ситуацией, вечный. Конечно, потребуются дополнительные движения:
R>так что по факту одно и тоже R>только с 2fa доп уровень гемора
GitHub просто считает, что у его аудитории баланс удобство-безопасность должен быть смещен вправо, а Андродид:
R>андроид телефоны привязываются к меилу
Здравствуйте, sharez, Вы писали:
S>Здравствуйте, reversecode, Вы писали:
R>>посему даже если дальше цепочка за сбоит R>>все можно откатить вернув сначала себе доступ к основному меилу
S>Это не всегда возможно. Например, ваш аккаунт заблокировал Google. Или Yandex. Или у кого вы арендовали мейл-сервер. S>Если почта на собственном домене, то можно и домен потерять. S>А в любом случае TOTP — это полный контроль над ситуацией, вечный. Конечно, потребуются дополнительные движения:
Google заблокировал GoogleAuthenticator, чтобы восстановить доступ надо сохранить где то сид, который могут угнать.
Pzz>github-у приспичило перевести всех на двухфакторную авторизацию. Говорят, надо поставить себе TOTP app, она будет герерировать мне одноразовые пароли и мне сделается щастье.
Ерунда эти 2FA для сайтов с невысокой ценностью. Поэтому посоветую платный Bitwarden — это менеджер паролей в облаке, а за денюжку они ещё и OTP показывают. Поэтому ставишь их расширение в браузер и логинишься в 2FA в два клика, и не нужно тянуться к телефону.
Здравствуйте, Pzz, Вы писали:
Pzz>В общем, поделитесь опытом, пожалуйста.
Я яндекс.ключ поставил на свой андроид, там есть нормальный TOTP. В целом головной боли он не добавляет, т.к. гит, как и раньше, работает по SSH, а сессия в браузере с бесконечным временем жизни. В общем, с момента внедрения TOTP я его вводил только один раз — при задании.