Portál AbcLinuxu, 4. května 2025 09:19

4 000 2FA bezpečnostních klíčů Google Titan pro správce kritických balíčků v PyPI

Google věnoval nadaci Python Software Foundation 4 000 2FA bezpečnostních klíčů Titan pro správce kritických balíčků v PyPI (Python Package Index).

12.7.2022 02:00 | Ladislav Hagara | Komunita


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

Salamek avatar 12.7.2022 11:04 Salamek | skóre: 22 | blog: salamovo
Rozbalit Rozbalit vše Re: 4 000 2FA bezpečnostních klíčů Google Titan pro správce kritických balíčků v PyPI
Odpovědět | Sbalit | Link | Blokovat | Admin
Příloha:
Az na ten maly technicky detail ze neni mozne ty tokeny ziskat kdyz jste z Ceske Republiky... takze zpravicka leda tak na nasrani :-D
Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
12.7.2022 12:43 plostenka | blog: plstnk
Rozbalit Rozbalit vše Re: 4 000 2FA bezpečnostních klíčů Google Titan pro správce kritických balíčků v PyPI
Odpovědět | Sbalit | Link | Blokovat | Admin
Jak duveryhodne jsou privatni klice cilene darovane reklamni agenturou?
12.7.2022 21:08 Radovan
Rozbalit Rozbalit vše Re: 4 000 2FA bezpečnostních klíčů Google Titan pro správce kritických balíčků v PyPI
Úplně stejně jako jakýkoliv jiný produkt libovolné reklamní agentury :-D
12.7.2022 21:34 mp
Rozbalit Rozbalit vše Re: 4 000 2FA bezpečnostních klíčů Google Titan pro správce kritických balíčků v PyPI
Více důvěryhodné než vůbec žádné klíče?
12.7.2022 14:05 Jiřý
Rozbalit Rozbalit vše Re: 4 000 2FA bezpečnostních klíčů Google Titan pro správce kritických balíčků v PyPI
Odpovědět | Sbalit | Link | Blokovat | Admin
Svatý Guacamole! Říkal jsem si, co se dneska sakra stalo. Atomicwrites máme jako závislost na systému řízení úloh v mé práci a jeho nasazení doslova začalo selhávat uprostřed dne.

Job control používal úplně stejný soubor requirements.txt po dobu nejméně čtyř let bez problémů, ale najednou se naše verze atomicwrites stala nekompatibilní s verzí asn1crypto, kterou jsme používali. Musel jsem upgradovat atomicwrites z 1.3.0 na 1.4.2, abych nastavil stejný venv, který jsme budovali a používali od roku 2018.

Dokonce jsem zkontroloval PyPI a GitHub repo asn1crypto a neviděl jsem, že by se dělo něco funky. Nenapadlo mě zkontrolovat atomicwrites, protože moje chyba naznačovala, že to byla závislost atomicwrites asn1crypto, která se změnila.

Naprosto divoké věci a naprosto nezodpovědné. Jednou z mých prvních myšlenek, jakmile jsem problém lokálně replikoval, bylo divit se, kolik dalších systémů tam venku se náhle rozbilo kvůli atomicwrites.
12.7.2022 23:01 Balm3r
Rozbalit Rozbalit vše Re: 4 000 2FA bezpečnostních klíčů Google Titan pro správce kritických balíčků v PyPI
Jako hezky ze tady places nad nejakym opensource nedodelkem ktery nikdo nikdy netestuje ale souvislost se zpravickou je jaka?
13.7.2022 15:08 Kate | skóre: 9
Rozbalit Rozbalit vše Re: 4 000 2FA bezpečnostních klíčů Google Titan pro správce kritických balíčků v PyPI
Tak bylo by fajn kdyby kontext v tom postu padl, ale souvislost to má. PyPI teď určil seznam "critical" balíků, a všichni jejich správci budou mít povinnou 2FA. Autorovi Atomicwrites se to nelíbilo, s tím že když dělá zadarmo nějakou práci, nelíbí se mu, když je mu práce přidávána. Aby se nutnosti 2FA vyhnul, zkusil balík odebrat z PyPI a přidat ho zpátky, s tím že to resetuje počítadlo stažení a "critical" flag zmizí. Bohužel se s tím ztratila i historie verzí, a kdokoliv kdo měl pinning na něco staršího než latest verzi měl najednou problém. Dotklo se to mimo jiné tuším HA.

Autor Atomicwrites to s pomocí adminů opravil, ale hodil u toho balíku deprecate flag s tím, že už další vývoj stejně nemá moc smysl (podobné funkcionality se dá v nových verzích Pythonu dosáhnout i se standardní knihovnou)

Založit nové vláknoNahoru


ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.