Các nhà phát triển của kho lưu trữ gói PyPI Python được biết đến gần đây qua một bài đăng lộ trình chuyển đổi sang xác thực Hai yếu tố bắt buộc đối với các gói quan trọng.
Tầm quan trọng được xác định bởi số lượt tải xuống và thay đổi sẽ áp dụng cho tài khoản của người bảo trì và chủ sở hữu dự án được liên kết với 1% gói hàng đầu trong 6 tháng tính theo lượt tải xuống.
Không giống như quá trình chuyển đổi sang các dự án xác thực hai yếu tố RubyGems, NPM và GitHub, PyPI ban đầu sẽ triển khai một kế hoạch liên quan đến việc sử dụng mong muốn mã thông báo phần cứng với các khóa truy cập.
Như một lý do để khuyến nghị sử dụng mã thông báo và giao thức WebAuthn, bảo mật cao hơn được đề cập so với việc tạo mật khẩu một lần (khả năng sử dụng TOTP thay vì mã thông báo sẽ có sẵn dưới dạng một tùy chọn).
Token có thể được nhận miễn phí, Vâng, Google đã tài trợ cho sáng kiến và phân bổ 4000 khóa Titan cho dự án. Mỗi người bảo trì có thể yêu cầu hai mã thông báo USB-C hoặc USB-A miễn phí. Mã thông báo thứ hai được gửi dưới dạng bản sao lưu trong trường hợp mã thông báo chính bị hỏng hoặc bị mất, để giảm thiểu nguy cơ mất quyền truy cập vào kho lưu trữ và giúp các nhà phát triển không phải trải qua quy trình khôi phục khó khăn.
Thật không may, mã thông báo chỉ có thể được gửi đến Áo, Bỉ, Canada, Pháp, Đức, Ý, Nhật Bản, Tây Ban Nha, Thụy Sĩ, Anh và Mỹ.
Bạn đồng hành từ các quốc gia khác có thể mua độc lập Các mã thông báo tương thích FIDO U2F như mã thông báo Yubikey và Thetis. Thay vào đó, cũng có thể sử dụng các ứng dụng xác thực dựa trên mật khẩu một lần hỗ trợ giao thức TOTP, chẳng hạn như Authy, Google Authenticator và FreeOTP, thay vì mã thông báo.
Sáng kiến này không phải là không có sự cố., sau đó tác giả của gói Atomicwrites, có 6 triệu lượt tải xuống mỗi tháng và 38 triệu lượt trong 6 tháng, không muốn chuyển sang xác thực hai yếu tố và cố gắng đặt lại bộ đếm tải xuống để loại bỏ gói hàng của bạn khỏi danh sách quan trọng.
Khởi động lại, trước tiên hãy xóa gói và sau đó tải xuống phiên bản mới, cho đến thời điểm này anh ấy Tôi mong đợi rằng thao tác như vậy sẽ chỉ thiết lập lại bộ đếm, nhưng trước sự ngạc nhiên của nhà phát triển, tất cả các phiên bản cũ cũng bị xóa khỏi kho lưu trữ, dẫn đến các vấn đề đối với các dự án phụ thuộc vào thư viện, mà một số nhà phát triển ví như sự cố do việc xóa gói khỏi bảng điều khiển bên trái trong NPM.
Vấn đề trở nên trầm trọng hơn bởi thực tế là sau khi loại bỏ, tác giả của các bản ghi nguyên tử đã không thể tải xuống các phiên bản cũ, các phiên bản này đã không được khôi phục cho đến ngày hôm sau sau khi các quản trị viên PyPI can thiệp.
Sau sự cố, tác giả của gói đã quyết định ngừng phát triển các nguyên tử và không chấp nhận gói tin. Lý do được đưa ra là anh ấy phát triển dự án như một sở thích trong thời gian rảnh rỗi và các yêu cầu bổ sung làm phức tạp công việc không bù đắp được thời gian dành cho việc bảo trì miễn phí gói phổ biến như vậy.
Tác giả của atomwrites lập luận rằng anh ta chỉ muốn viết mã cho vui và việc bảo vệ bổ sung chống lại việc chiếm quyền điều khiển bởi những kẻ tấn công có thể được thực hiện khi bạn trả tiền cho nó.
Thư viện atomwrites chứa khoảng 200 dòng mã và cung cấp các chức năng để ghi các tệp theo dạng nguyên tử. Để thay thế, bạn có thể sử dụng các lệnh gọi thông thường os.replace và os.rename (hoạt động tóm tắt là ghi vào tệp với tên tạm thời và đổi tên tệp đích khi sẵn sàng).
Với hơn 350 gói hiện có trong kho lưu trữ PyPI, xác thực hai yếu tố sẽ được áp dụng cho khoảng 000 gói. Một trang đặc biệt đã được chuẩn bị để kiểm tra xem một tài khoản có được đưa vào danh sách hay không. Ngày chính xác cho việc áp dụng xác thực hai yếu tố bắt buộc vẫn chưa được xác định, điều này dự kiến sẽ xảy ra trong những tháng tới.
Cuối cùng nếu bạn muốn biết thêm về nó, bạn có thể kiểm tra các chi tiết trong liên kết theo dõi.