Pengembang repositori paket PyPI Python digawe dikenal bubar liwat postingan peta dalan kanggo transisi menyang otentikasi Wajib loro-faktor kanggo paket kritis.
Pentinge ditemtokake dening jumlah undhuhan lan owah-owahan bakal ditrapake kanggo akun pangurus lan pamilik proyek sing ana gandhengane karo 1% paket paling dhuwur sajrone 6 wulan kanthi download.
Ora kaya transisi menyang proyek otentikasi rong faktor RubyGems, NPM, lan GitHub, PyPI wiwitane bakal ngleksanakake skema sing nyangkut panggunaan token hardware kanthi kunci akses sing dikarepake.
Minangka alesan kanggo panggunaan token sing disaranake lan protokol WebAuthn, keamanan sing luwih dhuwur kasebut dibandhingake karo ngasilake sandhi siji-wektu (kemampuan kanggo nggunakake TOTP tinimbang token bakal kasedhiya minangka pilihan).
Token bisa dipikolehi kanthi gratis, Inggih, Google nyeponsori inisiatif kasebut lan nyedhiyakake 4000 kunci Titan kanggo proyek kasebut. Saben maintainer bisa njaluk rong token USB-C utawa USB-A kanthi gratis. Token kapindho dikirim minangka cadangan yen token utama rusak utawa ilang, kanggo nyilikake risiko kelangan akses menyang repositori lan nylametake pangembang supaya ora ngalami prosedur pemulihan sing angel.
Sayange, token mung bisa dikirim menyang Austria, Belgia, Kanada, Prancis, Jerman, Italia, Jepang, Spanyol, Swiss, Inggris lan AS.
Kanca saka negara liya bisa tuku kanthi mandiri Token sing kompatibel karo FIDO U2F kayata token Yubikey lan Thetis. Minangka alternatif, sampeyan uga bisa nggunakake aplikasi otentikasi basis sandi siji-wektu sing ndhukung protokol TOTP, kayata Authy, Google Authenticator, lan FreeOTP, tinimbang token.
Inisiatif kasebut ora tanpa kedadeyan.uga penulis paket Atomicwrites, sing nduwe 6 yuta undhuhan saben wulan lan 38 yuta ing 6 wulan, ora pengin ngalih menyang otentikasi loro-faktor lan nyoba kanggo ngreset counter download kanggo ngilangi paket sampeyan saka dhaptar kritis.
Kanggo miwiti maneh, pisanan mbusak paket kasebut banjur ndownload versi anyar, nganti saiki dheweke Aku ngarepake yen manipulasi kasebut mung bakal ngreset counter, nanging kanggo surprise pangembang kang, kabeh versi lawas uga dibusak saka gudang, anjog kanggo masalah kanggo proyèk gumantung ing perpustakaan, kang sawetara gawe likened kanggo kedadean asil saka aman saka paket saka panel kiwa ing NPM.
Masalah kasebut saya tambah amarga kasunyatan sing sawise dibusak, penulis atomicwrites ora bisa ngundhuh versi lawas, kang ora dibalèkaké nganti dina sabanjuré sawise administrator PyPI campur.
Sawise kedadeyan kasebut, penulis paket mutusaké kanggo mungkasi ngembangaken atomicwrites lan deprecate paket. Alesan sing diwenehake yaiku dheweke ngembangake proyek kasebut minangka hobi ing wektu luang lan syarat tambahan sing nggawe rumit karya kasebut ora ngimbangi wektu sing digunakake kanggo pangopènan gratis saka paket populer kasebut.
Penulis atomicwrites ujar manawa dheweke luwih seneng nulis kode kanggo seneng-seneng, lan proteksi tambahan marang pembajakan dening panyerang bisa ditindakake nalika sampeyan mbayar.
Pustaka atomicwrites ngemot kira-kira 200 baris kode lan menehi fungsi kanggo nulis file kanthi atom. Minangka panggantos, sampeyan bisa nggunakake telpon biasa os.replace lan os.rename (operasi boils mudhun kanggo nulis menyang file karo jeneng sauntara lan ngganti jeneng file panggonan nalika siap).
Kanthi luwih saka 350 paket sing saiki ana ing repositori PyPI, otentikasi rong faktor bakal ditrapake kanggo udakara 000 paket. Kaca khusus wis disiapake kanggo mriksa manawa akun kalebu ing dhaptar. Tanggal pas kanggo nyakup otentikasi rong faktor wajib durung ditemtokake, iki samesthine bakal kedadeyan ing sasi sing bakal teka.
Pungkasan yen sampeyan kepengin ngerti babagan iki, sampeyan bisa mriksa rincian ing link ing ngisor iki.
Dadi pisanan komentar