Programeri repozitorija paketa PyPI Piton obznanio nedavno putem posta putokaz za prijelaz na autentifikaciju Obavezan dvofaktor za kritične pakete.
Važnost je određena brojem preuzimanja, a promjena će se primijeniti na račune održavatelja i vlasnika projekata povezanih s 1% najboljih paketa u 6 mjeseci po preuzimanjima.
Za razliku od prijelaza na RubyGems, NPM i GitHub dvofaktorske projekte autentifikacije, PyPI će u početku implementirati shemu koja uključuje poželjnu upotrebu hardverskog tokena s pristupnim ključevima.
Kao razlog za preporučenu upotrebu tokena i protokola WebAuthn, spominje se veća sigurnost u usporedbi s generiranjem jednokratnih zaporki (mogućnost korištenja TOTP-a umjesto tokena bit će dostupna kao opcija).
Tokeni se mogu dobiti besplatno, Pa, Google je sponzorirao inicijativu i dodijelio 4000 Titan ključeva za projekt. Svaki održavatelj može besplatno zatražiti dva USB-C ili USB-A tokena. Drugi token šalje se kao rezerva u slučaju da se glavni token pokvari ili izgubi, kako bi se smanjio rizik od gubitka pristupa repozitoriju i spasili programeri od prolaska kroz težak postupak oporavka.
Na žalost, tokeni se mogu poslati samo na Austrija, Belgija, Kanada, Francuska, Njemačka, Italija, Japan, Španjolska, Švicarska, UK i SAD.
Suputnici iz drugih zemalja mogu kupovati samostalno FIDO U2F kompatibilni tokeni kao što su Yubikey i Thetis tokeni. Kao alternativa, također je moguće koristiti aplikacije za autentifikaciju temeljene na jednokratnoj lozinci koje podržavaju TOTP protokol, kao što su Authy, Google Authenticator i FreeOTP, umjesto tokena.
Inicijativa nije prošla bez incidenata., dobro autor paketa Atomicwrites, koji ima 6 milijuna preuzimanja mjesečno i 38 milijuna u 6 mjeseci, nije htio prijeći na autentifikaciju dvofaktorski i pokušao resetirati brojač preuzimanja da isključite svoj paket s popisa kritičnih.
Ponovo pokrenuti, prvo uklonili paket, a zatim preuzeli novu verziju, do ove točke on Očekivao sam da će takva manipulacija samo resetirati brojač, ali na iznenađenje programera, sve stare verzije također su uklonjene iz repozitorija, što je dovelo do problema za projekte ovisne o knjižnici, što su neki programeri usporedili s incidentom koji je nastao nakon uklanjanja paketa s lijeve ploče u NPM-u.
Problem je pogoršan činjenicom da nakon uklanjanja, autor atomicwrites nije uspio preuzeti stare verzije, koje su vraćene tek sljedeći dan nakon što su PyPI administratori intervenirali.
Nakon incidenta, autor paketa odlučio je prestati razvijati atomicwrites i zastarjeli paket. Razlog je taj što projekt razvija kao hobi u slobodno vrijeme, a dodatni zahtjevi koji kompliciraju posao ne nadoknađuju vrijeme utrošeno na besplatno održavanje tako popularnog paketa.
Autor atomicwrites tvrdi da bi radije pisao kod samo iz zabave, a da se za dodatnu zaštitu protiv otmice od strane napadača može pobrinuti kada to platite.
Knjižnica atomicwrites sadrži oko 200 redaka koda i pruža funkcije za atomsko pisanje datoteka. Kao zamjenu možete koristiti uobičajene pozive os.replace i os.rename (operacija se svodi na pisanje u datoteku s privremenim nazivom i preimenovanje odredišne datoteke kada bude spremna).
S više od 350 paketa trenutno u PyPI repozitoriju, dvofaktorska provjera autentičnosti bit će primijenjena na približno 000 paketa. Pripremljena je posebna stranica za provjeru je li račun uključen u popis. Točan datum uključivanja obvezne dvofaktorske autentifikacije još nije određen, očekuje se da će se to dogoditi u narednim mjesecima.
Konačno ako vas zanima više o tome, detalje možete provjeriti u sljedeći link.