Что: 61b09aa1dc97dfdfff5e80684d20a74ad3b4ef21
Когда: 2023-03-14 19:19:40+03:00
PyPI, двухфакторная авторизация и критические проекты https://github.com/CheetahTemplate3/cheetah3/issues/49 https://github.blog/2023-03-09-raising-the-bar-for-software-security-github-2fa-begins-march-13/ Разработчик CheetahTemplate3 переименовал свой проект, выкатив как новый пакет на PyPI, потому что потерял доступ к учётной записи из-за требования использовать двухфакторную авторизацию (2c608b64a39de6d149f5807e8c56da30793a57af). Там ему ещё написали что "критичность" пакета (что потребует 2FA) не зависит от его "успешности" и популярности. Мне нравятся его аргументы: или всё это требует смартфон, или аппаратные ключи, что жутко геморройно. А если я забыл устройство/ключ? А если потерял/сломал? Делать и привязывать несколько ключей! Верно ещё заметил, что чёрт его знает что заработает на свободных ОС. Например Рутокены и ESmart-ы (понятия не имею дружат ли они с TOTP или нет) работают только со своими закрытыми бинарными .so. Можно конечно и программные реализации использовать, но как бы какой тогда смысл, а геморрой всё равно добавляется. И PyPI просто молча выставляет битик о том, что проект теперь критичный, дуй использовать 2FA. GitHub сказал что будет требовать 2FA для всех. Но это то меня мало волнует, ибо давным давно перестал его использовать и никому не советовал бы. Но проекты на PyPI стоит удалить. Не то чтобы я считал что они реально где-то могут стать "критичными", но судя по комментариям людей, стать может любая ничтожная программка. А в этом случае я потеряю возможность удалить их, намекая, что если кто-то туда пришёл в ожидании обновлений и не увидел проект вообще, то его стоит искать в другом месте (указанном во всех README). Не хочу неопределённостей и неожиданностей.
From: Sergey Matveev Date: 2023-03-15 12:16:35Z