PyPI-pakettivaraston kehittäjät Python teki tunnetuksi äskettäin postitse etenemissuunnitelma autentikointiin siirtymiselle Pakollinen kaksikerroinen kriittisille paketeille.
Tärkeys määräytyy latausten lukumäärän mukaan ja muutos koskee niiden ylläpitäjien ja projektin omistajien tilejä, jotka liittyvät 1 kuukauden latauksien mukaan parhaaseen 6 %:iin paketeista.
Toisin kuin siirtyminen RubyGems-, NPM- ja GitHub-kaksitekijätodennusprojekteihin, PyPI ottaa aluksi käyttöön järjestelmän, joka sisältää laitteistotunnisteen toivotun käytön pääsyavaimilla.
Syynä siihen tunnusten ja WebAuthn-protokollan suositeltu käyttö, korkeampi turvallisuus mainitaan verrattuna kertaluonteisten salasanojen luomiseen (mahdollisuus käyttää TOTP:tä tokenien sijaan on saatavana lisävarusteena).
Tokeneja saa ilmaiseksi, No, Google sponsoroi aloitetta ja jakoi 4000 XNUMX Titan-avainta projektiin. Kukin ylläpitäjä voi pyytää kaksi USB-C- tai USB-A-tunnusta ilmaiseksi. Toinen merkki lähetetään varmuuskopiona siltä varalta, että päätunnus on rikki tai kadonnut, jotta voidaan minimoida arkistoon pääsyn menettämisen riski ja säästää kehittäjät joutumasta käymään läpi vaikean palautusmenettelyn.
Valitettavasti tokeneja voi lähettää vain osoitteeseen Itävalta, Belgia, Kanada, Ranska, Saksa, Italia, Japani, Espanja, Sveitsi, Iso-Britannia ja Yhdysvallat.
Muiden maiden kumppanit voivat ostaa itsenäisesti FIDO U2F -yhteensopivat tunnukset, kuten Yubikey- ja Thetis-tunnukset. Vaihtoehtona on myös mahdollista käyttää TOTP-protokollaa tukevia kertaluonteisia salasanapohjaisia todennussovelluksia, kuten Authy, Google Authenticator ja FreeOTP, tunnuksen sijaan.
Aloite ei sujunut ilman tapauksia.sitten Atomicwrites-paketin kirjoittaja, jolla on 6 miljoonaa latausta kuukaudessa ja 38 miljoonaa kuudessa kuukaudessa, ei halunnut vaihtaa todennukseen kaksitekijäinen ja yritti nollata latauslaskurin sulkeaksesi pakettisi kriittiseltä listalta.
Käynnistää uudelleen, poisti ensin paketin ja latasi sitten uuden version, tähän asti hän Odotin, että tällainen manipulointi vain nollaa laskurin, mutta kehittäjän yllätykseksi kaikki vanhat versiot poistettiin myös arkistosta, mikä johti ongelmiin kirjastosta riippuvissa projekteissa, joita jotkut kehittäjät vertasivat tapahtumaan, joka johtui paketin poistamisesta NPM:n vasemmasta paneelista.
Ongelmaa pahensi se, että poistamisen jälkeen atomicwritesin kirjoittaja ei pystynyt lataamaan vanhoja versioita, jotka palautettiin vasta seuraavana päivänä PyPI-järjestelmänvalvojien puuttuessa asiaan.
Tapahtuman jälkeen paketin kirjoittaja päätti lopettaa atomikirjoitusten kehittämisen ja poista paketti käytöstä. Syynä on se, että hän kehittää projektia harrastuksena vapaa-ajallaan ja työtä vaikeuttavat lisävaatimukset eivät kompensoi niin suositun paketin ilmaiseen ylläpitoon käytettyä aikaa.
Atomicwrites-julkaisun kirjoittaja väittää, että hän mieluummin kirjoittaa koodia vain huvin vuoksi ja että lisäsuojaus hyökkääjien kaappauksia vastaan voidaan huolehtia, kun maksat siitä.
Atomicwrites-kirjasto sisältää noin 200 koodiriviä ja tarjoaa toimintoja tiedostojen kirjoittamiseen atomisesti. Korvaajana voit käyttää tavallisia kutsuja os.replace ja os.rename (toiminto tiivistyy siihen, että kirjoitetaan tiedostoon väliaikaisella nimellä ja nimetään uudelleen kohdetiedosto, kun se on valmis).
PyPI-varastossa on tällä hetkellä yli 350 000 pakettia, joten kaksivaiheista todennusta sovelletaan noin 3500 XNUMX pakettiin. On laadittu erityinen sivu tarkistamaan, onko tili luettelossa. Tarkkaa päivämäärää pakollisen kaksivaiheisen todennuksen sisällyttämiselle ei ole vielä päätetty, sen odotetaan tapahtuvan lähikuukausina.
Vihdoin jos olet kiinnostunut tietämään siitä lisää, voit tarkistaa yksityiskohdat seuraava linkki.