• [^] # Re: Je vois pas le rapport!

    Posté par . En réponse à la dépêche PyPI déploie le système 2FA pour les projets critiques écrits en Python. Évalué à 2.

    Merci pour ton explication. C'est en effet plus pertinent que je ne l'aurai compris.

    Ceci dit, deux choses: je me rends compte que, pour une raison que j'ignore, focalisé sur le fait qu'il s'agirait de passer par les serveurs de Google pour l'authentification... ce qui est visiblement faux. Je ne sais ce que j'ai lu mais c'est visiblement ce que j'ai compris :-D . À tort, évidemment. Et comme le tort t... bref.

    La deuxième chose c'est que ce n'est pas le seul projet à voir certains de ses comptes se faire pirater — un des derniers que j'aie en tête est Gentoo (que j'aurai bien soin de ne pas résumer ici). Donc qu'est-ce qui fait de PyPy qu'on en parle autant... enfin je veux dire d'en faire une dépèche? Potentiellement, tous les dépôts libres et open source du monde entier, planétaire sont soumis aux mêmes risques, non?

    De plus, le 2FA ne prend en charge que le piratage des comptes en protégeant ces derniers. Rien n'empêche, en revanche, un "vilain" d'altérer un projet suffisamment peu surveillé et de le contaminer avec du code malveillant. Et ça, aucune solution technique n'existe pour s'en protéger.