PyPI paketų saugyklos kūrėjai Pitonas paskelbta neseniai per postą perėjimo prie autentifikavimo planas Privalomas dviejų veiksnių kritiniams paketams.
Svarbą lemia atsisiuntimų skaičius, o pakeitimas bus taikomas prižiūrėtojų ir projektų savininkų paskyroms, susietoms su 1% populiariausių paketų per 6 mėnesius pagal atsisiuntimus.
Skirtingai nuo perėjimo prie RubyGems, NPM ir GitHub dviejų veiksnių autentifikavimo projektų, PyPI iš pradžių įdiegs schemą, kuri apima pageidaujamą aparatūros prieigos rakto naudojimą su prieigos raktais.
Kaip priežastį rekomenduojamas žetonų ir WebAuthn protokolo naudojimas, minimas didesnis saugumas, lyginant su vienkartinių slaptažodžių generavimu (galimybė naudoti TOTP vietoj žetonų bus kaip papildoma parinktis).
Žetonus galima gauti nemokamai, Na, Google rėmė iniciatyvą ir projektui skyrė 4000 Titan raktų. Kiekvienas prižiūrėtojas gali nemokamai paprašyti dviejų USB-C arba USB-A prieigos raktų. Antrasis prieigos raktas siunčiamas kaip atsarginė kopija, jei pagrindinis prieigos raktas būtų sugadintas arba pamestas, siekiant sumažinti prieigos prie saugyklos praradimo riziką ir apsaugoti kūrėjus nuo sudėtingos atkūrimo procedūros.
Deja, žetonus galima siųsti tik į Austrija, Belgija, Kanada, Prancūzija, Vokietija, Italija, Japonija, Ispanija, Šveicarija, JK ir JAV.
Kompanionai iš kitų šalių gali pirkti savarankiškai Su FIDO U2F suderinami žetonai, tokie kaip Yubikey ir Thetis žetonai. Kaip alternatyva, vietoj prieigos rakto taip pat galima naudoti vienkartines slaptažodžiu pagrįstas autentifikavimo programas, kurios palaiko TOTP protokolą, pvz., Authy, Google Authenticator ir FreeOTP.
Iniciatyva neapsiėjo be incidentų., tada Atomicwrites paketo autorius, kuri per mėnesį atsisiunčiama 6 mln., o per 38 mėnesius – 6 mln. nenorėjo pereiti prie autentifikavimo dviejų faktorių ir bandė iš naujo nustatyti atsisiuntimų skaitiklį kad jūsų paketas būtų pašalintas iš kritinio sąrašo.
Norėdami paleisti iš naujo, pirmiausia pašalino paketą ir atsisiuntė naują versiją, iki šio taško jis Tikėjausi, kad toks manipuliavimas tik atkurs skaitiklį, tačiau kūrėjo nuostabai iš saugyklos buvo pašalintos ir visos senos versijos, todėl kilo problemų projektams, priklausantiems nuo bibliotekos, o tai kai kurie kūrėjai palygino su incidentu, įvykusiu pašalinus paketą iš kairiojo NPM skydelio.
Problemą apsunkino tai, kad po pašalinimo atomicwrites autoriui nepavyko parsisiųsti senų versijų, kurios buvo atkurtos tik kitą dieną įsikišus PyPI administratoriams.
Po įvykio, paketo autorius nusprendė nustoti kurti atomicwrites ir panaikinti paketą. Priežastis nurodoma, kad projektą jis kuria kaip hobį laisvalaikiu, o darbą apsunkinantys papildomi reikalavimai nekompensuoja laiko, skiriamo nemokamai tokio populiaraus paketo priežiūrai.
Atomicwrites autorius teigia, kad verčiau norėtų parašyti kodą savo malonumui, o papildoma apsauga nuo užpuolikų užgrobimo galima pasirūpinti sumokėjus.
„Atomicwrites“ bibliotekoje yra apie 200 kodo eilučių ir yra funkcijų, leidžiančių įrašyti failus atomiškai. Kaip pakaitalą galite naudoti įprastus iškvietimus os.replace ir os.rename (operacija apsiriboja įrašymu į failą laikinu pavadinimu ir paskirties failo pervardijimu, kai bus paruošta).
Šiuo metu PyPI saugykloje yra daugiau nei 350 000 paketų, todėl dviejų veiksnių autentifikavimas bus taikomas maždaug 3500 XNUMX paketų. Paruoštas specialus puslapis, skirtas patikrinti, ar paskyra įtraukta į sąrašą. Tiksli data, kada bus įtrauktas privalomas dviejų veiksnių autentifikavimas, dar nenustatyta, tikimasi, kad tai įvyks artimiausiais mėnesiais.
Pagaliau jei norite sužinoti daugiau apie tai, išsamią informaciją galite patikrinti sekanti nuoroda.