Οι προγραμματιστές του αποθετηρίου πακέτων PyPI Python γίνονται γνωστά πρόσφατα μέσω μιας ανάρτησης έναν οδικό χάρτη για τη μετάβαση στον έλεγχο ταυτότητας Υποχρεωτικό δύο παραγόντων για κρίσιμα πακέτα.
Η σημασία καθορίζεται από τον αριθμό των λήψεων και η αλλαγή θα ισχύει για τους λογαριασμούς των συντηρητών και των κατόχων έργων που σχετίζονται με το κορυφαίο 1% των πακέτων σε 6 μήνες ανά λήψεις.
Σε αντίθεση με τη μετάβαση στα έργα ελέγχου ταυτότητας δύο παραγόντων RubyGems, NPM και GitHub, το PyPI θα εφαρμόσει αρχικά ένα σχήμα που περιλαμβάνει την επιθυμητή χρήση ενός διακριτικού υλικού με κλειδιά πρόσβασης.
Ως λόγος για να τη συνιστώμενη χρήση των διακριτικών και του πρωτοκόλλου WebAuthn, αναφέρεται υψηλότερη ασφάλεια σε σύγκριση με τη δημιουργία κωδικών πρόσβασης μίας χρήσης (η δυνατότητα χρήσης TOTP αντί για διακριτικά θα είναι διαθέσιμη προαιρετικά).
Τα κουπόνια μπορούν να ληφθούν δωρεάν, Λοιπόν, η Google χρηματοδότησε την πρωτοβουλία και διέθεσε 4000 κλειδιά Titan για το έργο. Κάθε συντηρητής μπορεί να ζητήσει δωρεάν δύο κουπόνια USB-C ή USB-A. Το δεύτερο διακριτικό αποστέλλεται ως αντίγραφο ασφαλείας σε περίπτωση που το κύριο διακριτικό σπάσει ή χαθεί, για να ελαχιστοποιηθεί ο κίνδυνος απώλειας πρόσβασης στο αποθετήριο και να μην χρειαστεί να περάσουν οι προγραμματιστές μια δύσκολη διαδικασία ανάκτησης.
Δυστυχώς, τα διακριτικά μπορούν να σταλούν μόνο σε Αυστρία, Βέλγιο, Καναδάς, Γαλλία, Γερμανία, Ιταλία, Ιαπωνία, Ισπανία, Ελβετία, Ηνωμένο Βασίλειο και ΗΠΑ.
Οι σύντροφοι από άλλες χώρες μπορούν να αγοράσουν ανεξάρτητα Συμβατά με FIDO U2F μάρκες όπως Yubikey και Thetis token. Εναλλακτικά, είναι επίσης δυνατή η χρήση εφάπαξ εφαρμογών ελέγχου ταυτότητας που βασίζονται σε κωδικό πρόσβασης που υποστηρίζουν το πρωτόκολλο TOTP, όπως Authy, Google Authenticator και FreeOTP, αντί για διακριτικό.
Η πρωτοβουλία δεν ήταν χωρίς επεισόδια.Επειδή ο συγγραφέας του πακέτου Atomicwrites, που έχει 6 εκατομμύρια λήψεις το μήνα και 38 εκατομμύρια σε 6 μήνες, δεν ήθελε να αλλάξει σε έλεγχο ταυτότητας δύο παραγόντων και προσπάθησε να επαναφέρει τον μετρητή λήψης για να εξαιρέσετε το πακέτο σας από την κρίσιμη λίστα.
Για να επανεκκινήσεις, πρώτα αφαίρεσε το πακέτο και στη συνέχεια κατέβασε τη νέα έκδοση, μέχρι αυτό το σημείο αυτός Περίμενα ότι μια τέτοια χειραγώγηση θα επαναφέρει μόνο τον μετρητή, αλλά προς έκπληξη του προγραμματιστή, όλες οι παλιές εκδόσεις αφαιρέθηκαν επίσης από το αποθετήριο, οδηγώντας σε προβλήματα για έργα που εξαρτώνται από βιβλιοθήκη, τα οποία ορισμένοι προγραμματιστές παρομοίασαν με το περιστατικό που προέκυψε από την αφαίρεση του πακέτου από τον αριστερό πίνακα στο NPM.
Το πρόβλημα επιδεινώθηκε από το γεγονός ότι μετά την αφαίρεση, ο συγγραφέας του atomicwrites δεν μπόρεσε να κατεβάσει τις παλιές εκδόσεις, οι οποίες αποκαταστάθηκαν την επόμενη μέρα μετά την παρέμβαση των διαχειριστών του PyPI.
Μετά το περιστατικό, ο συγγραφέας του πακέτου αποφάσισε να σταματήσει την ανάπτυξη atomicwrites και καταργήστε το πακέτο. Ο λόγος που δίνεται είναι ότι αναπτύσσει το έργο ως χόμπι στον ελεύθερο χρόνο του και οι πρόσθετες απαιτήσεις που περιπλέκουν τη δουλειά δεν αντισταθμίζουν τον χρόνο που δαπανάται για δωρεάν συντήρηση ενός τόσο δημοφιλούς πακέτου.
Ο συγγραφέας του atomicwrites υποστηρίζει ότι θα προτιμούσε απλώς να γράφει κώδικα για διασκέδαση και ότι μπορεί να ληφθεί μέριμνα για πρόσθετη προστασία από την αεροπειρατεία από εισβολείς όταν πληρώνετε για αυτό.
Η βιβλιοθήκη atomicwrites περιέχει περίπου 200 γραμμές κώδικα και παρέχει λειτουργίες για την ατομική εγγραφή αρχείων. Ως αντικατάσταση, μπορείτε να χρησιμοποιήσετε τις κανονικές κλήσεις os.replace και os.rename (η λειτουργία συνοψίζεται στην εγγραφή σε ένα αρχείο με προσωρινό όνομα και στη μετονομασία του αρχείου προορισμού όταν είναι έτοιμο).
Με περισσότερα από 350 πακέτα επί του παρόντος στο αποθετήριο PyPI, ο έλεγχος ταυτότητας δύο παραγόντων θα εφαρμοστεί σε περίπου 000 πακέτα. Έχει προετοιμαστεί μια ειδική σελίδα για να ελέγξετε εάν ένας λογαριασμός περιλαμβάνεται στη λίστα. Η ακριβής ημερομηνία για τη συμπερίληψη του υποχρεωτικού ελέγχου ταυτότητας δύο παραγόντων δεν έχει ακόμη καθοριστεί, αυτό αναμένεται να συμβεί τους επόμενους μήνες.
Τελικά αν ενδιαφέρεστε να μάθετε περισσότερα γι 'αυτό, μπορείτε να ελέγξετε τις λεπτομέρειες στο παρακάτω σύνδεσμο.