• [^] # Re: Je vois pas le rapport!

    Posté par . En réponse à la dépêche PyPI déploie le système 2FA pour les projets critiques écrits en Python. Évalué à 6.

    Il y a des tas de projets avec des dépôts en ligne, non? Qu'en est-il de ceux-là? Ils sont plus sécurisés? Moins?

    Github s'y met aussi, npm aussi. L'authentification 2 facteurs est un mouvement de fond. On considère de moins en moins qu'un mot de passe suffit.

    Quels sont les moyens de réduire les probabilités de projets malveillants?

    Ça ne concerne pas les projets malveillants, mais les projets qui se font voler leur compte pour déployer du code malveillants. Il y a des cas documenté chez pypi et npm depuis plusieurs années.

    En ont-ils déployé? A-t-on constaté des résultats? Quels sont-ils? Peut-on en déduire quelque chose? Si oui, quoi?...

    Ils augmentent le niveau de garantie que le code que tu télécharge vient bien de l'auteur du code. Il n'y a pas besoin de faire une thèse pour simplement mettre en place une démarche déjà amplement industrialisée.

    Aha? Vraiment? Parce que c'est bien connu que Google ne cherche pas à collecter des données personnelles?

    Pipy n'est pas Google. Et encore une fois ici la seule info que Google peut avoir c'est de connaître quelle clef privée ils ont envoyé à qui. Ils ne savent pas quel compte pipy l'utilise, ils ne savent pas quand est utilisée, l'authentification ne passe pas par chez eux.

    Puisque tu prétends "savoir" ce qu'est un troll, as-tu remarqué que tu me demandes des arguments alors que non seulement tu ne réponds pas à ma question mais qu'en plus tu n'en donnes pas un sur le sujet?

    Parce qu'une majorité des arguments consiste simplement à lire la nouvelle, c'est bien pour ça que c'est du troll. Tu as semblé être matrixé par le mot google au point de préférer :

    • supposer que le projet pipy vend ses utilisateurs à google dans le plus grand des calmes
    • ne pas lire qu'il y a un tas d'autres façons que d'utiliser la clef de google
    • de se lancer vite dans une critique avant de se demander ce qu'est TOTP

    https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll