View Full Version : GitHub e l'autenticazione a due fattori: obbligatoria dal 2024 per chi carica codice sulla piattaforma
Redazione di Hardware Upg
05-05-2022, 13:01
Link alla notizia: https://www.hwupgrade.it/news/software-business/github-e-l-autenticazione-a-due-fattori-obbligatoria-dal-2024-per-chi-carica-codice-sulla-piattaforma_106913.html
La misura per un grado maggiore di protezione contro la compromissione degli account sfruttata per distribuire codice dannoso
Click sul link per visualizzare la notizia.
Hiei3600
05-05-2022, 14:55
Ma se la gente non vuole questa feature di "Sicurezza" perché costringerla ? :muro:
Ma se la gente non vuole questa feature di "Sicurezza" perché costringerla ? :muro:
è la santa sicurezza, a breve auth a 3 fattori e retina scan :D
Ma se la gente non vuole questa feature di "Sicurezza" perché costringerla ? :muro:
Il tuo commento è a dir poco preoccupante, essendo fatto su un forum di tecnologia.
Si spera solo che tu non abbia mansioni lavorative importanti :doh:
Hiei3600
05-05-2022, 15:27
Il tuo commento è a dir poco preoccupante, essendo fatto su un forum di tecnologia.
Si spera solo che tu non abbia mansioni lavorative importanti :doh:
La cosa preoccupante sono le persone che ritengono normali avere queste costrizioni arbitrarli
Sono ben consapevole del fatto che avere attiva l'autenticazione a due fattori aumenta la sicurezza, il mio problema sta nella parte in cui questa diventa "Obbligatoria", mi era parso di essere abbastanza chiaro a riguardo.
Ma se la gente non vuole questa feature di "Sicurezza" perché costringerla ? :muro:
Perché non stai pubblicando un commento su un forum, stai pubblicando codice che poi verrà scaricato ed eseguito.
Non è una sicurezza nei confronti dell'utente che pubblica, ma nei confronti dell'utilizzatore che scarica...
Hiei3600
05-05-2022, 15:43
Perché non stai pubblicando un commento su un forum, stai pubblicando codice che poi verrà scaricato ed eseguito.
Non è una sicurezza nei confronti dell'utente che pubblica, ma nei confronti dell'utilizzatore che scarica...
:mbe: :mbe: :mbe:
1)Cosa diavolo centra il fatto che chiunque abbia caricato quel codice abbia l'autenticazione a due fattori?
2)Ammesso che il tizio in questione abbia la bella autenticazione a due fattori attiva, significa che automaticamente il suo codice è perfetto e non dannoso e che non devi preoccuparti minimamente di farlo eseguire nella tua macchina senza nessun controllo / verifica / test su una macchina virtuale?
Ennesima trovata per deanonimizzare gli utenti in nome della """sicurezza""".
Ricordo che Github non viene usato solo per codice sorgente da compilare ed eseguire, ma anche per siti web statici, documenti 'open' solo testo e immagini, e così via.
Spero che altri servizi equivalenti come ad esempio Gitlab saranno in grado di distinguersi in questo senso.
:mbe: :mbe: :mbe:
1)Cosa diavolo centra il fatto che chiunque abbia caricato quel codice abbia l'autenticazione a due fattori?
2)Ammesso che il tizio in questione abbia la bella autenticazione a due fattori attiva, significa che automaticamente il suo codice è perfetto e non dannoso e che non devi preoccuparti minimamente di farlo eseguire nella tua macchina senza nessun controllo / verifica / test su una macchina virtuale?
1) C'entra col fatto che, se il "pubblicante" ha la 2FA attiva, è più difficile che il codice caricato dal suo account provenga da un malintenzionato che gli ha rubato le credenziali.
2) No, non significa che il suo codice sia perfetto. Significa che il codice è postato direttamente da lui. Se ti fidi di quel programmatore, puoi fidarti che quel codice l'abbia caricato lui. E non un impostore.
Ennesima trovata per deanonimizzare gli utenti in nome della """sicurezza""".
Ricordo che Github non viene usato solo per codice sorgente da compilare ed eseguire, ma anche per siti web statici, documenti 'open' solo testo e immagini, e così via.
Spero che altri servizi equivalenti come ad esempio Gitlab saranno in grado di distinguersi in questo senso.
:mbe:
Cosa c'entra l'anonimato con l'autenticazione a due fattori?
Sei loggato come prima, cosa cambia?
Cambia che dal 2024 per inviare a Github codice sorgente od altri file assimilabili a codice sorgente servirà un numero di cellulare o comunque uno smartphone a cui è presumibilmente associato un contratto telefonico, per questa autenticazione a due fattori.
Hiei3600
05-05-2022, 16:05
1) C'entra col fatto che, se il "pubblicante" ha la 2FA attiva, è più difficile che il codice caricato dal suo account provenga da un malintenzionato che gli ha rubato le credenziali.
2) No, non significa che il suo codice sia perfetto. Significa che il codice è postato direttamente da lui. Se ti fidi di quel programmatore, puoi fidarti che quel codice l'abbia caricato lui. E non un impostore.
Niente di quello che hai detto giustifica l'obbligatorietà dell'utilizzo dell'autenticazione a due fattori, se non ti fidi di un qualcuno che ha pubblicato codice sul sito non ti fidi e basta - l'idea che l' "eventualità" che il tizio dell'account in questione sia stato compromesso e che tu quindi rischi di scaricare codice da un malintenzionato è semplicemente un'acrobazia mentale paranoica, perché tutto e tutti potrebbero essere "potenzialmente" compromessi se uno è tanto paranoico basta che segue il soggetto in questione su più piattaforme ed aspetti qualche giorno dalla pubblicazione prima di provare qualsiasi codice pubblicato, così che nell'eventualità che l'account sia stato compresso la persona in questione abbia il tempo di avvertire i propri utenti tramite altre piattaforme.
Ma ripeto, si tratta di acrobazie mentali paranoiche non giustificano l'obbligatorietà dell'autenticazione a due fattori, se sei tanto paranoico dovresti leggere il codice in ogni caso prima di seguirlo perché metti caso che hanno rubato il cellulare al tizio! oh no! dobbiamo implementare la triple autenticazione biometrica magari andando di persona al server e mostrarsi di presenza perché nell'eventualità del bla bla bla che razza di paranoie...
rocksolid
05-05-2022, 16:22
Cambia che dal 2024 per inviare a Github codice sorgente od altri file assimilabili a codice sorgente servirà un numero di cellulare o comunque uno smartphone a cui è presumibilmente associato un contratto telefonico, per questa autenticazione a due fattori.
esattamente.
Ma se la gente non vuole questa feature di "Sicurezza" perché costringerla ? :muro:
la penso come te.
Cambia che dal 2024 per inviare a Github codice sorgente od altri file assimilabili a codice sorgente servirà un numero di cellulare o comunque uno smartphone a cui è presumibilmente associato un contratto telefonico, per questa autenticazione a due fattori.
Da quando in qua?
Io uso l'autenticazione a due fattori dappertutto dove posso, non ho mai dato il mio cellulare a nessuno...
Niente di quello che hai detto giustifica l'obbligatorietà dell'utilizzo dell'autenticazione a due fattori, se non ti fidi di un qualcuno che ha pubblicato codice sul sito non ti fidi e basta - l'idea che l' "eventualità" che il tizio dell'account in questione sia stato compromesso e che tu quindi rischi di scaricare codice da un malintenzionato è semplicemente un'acrobazia mentale paranoica, perché tutto e tutti potrebbero essere "potenzialmente" compromessi se uno è tanto paranoico basta che segue il soggetto in questione su più piattaforme ed aspetti qualche giorno dalla pubblicazione prima di provare qualsiasi codice pubblicato, così che nell'eventualità che l'account sia stato compresso la persona in questione abbia il tempo di avvertire i propri utenti tramite altre piattaforme.
Ma ripeto, si tratta di acrobazie mentali paranoiche non giustificano l'obbligatorietà dell'autenticazione a due fattori, se sei tanto paranoico dovresti leggere il codice in ogni caso prima di seguirlo perché metti caso che hanno rubato il cellulare al tizio! oh no! dobbiamo implementare la triple autenticazione biometrica magari andando di persona al server e mostrarsi di presenza perché nell'eventualità del bla bla bla che razza di paranoie...
Come vuoi.
Se tu, ogni volta che scarichi un software, controlli i sorgenti...
Io non sono capace. Mi baso sull'affidabilità e la popolarità dei vari repository, e relativi manutentori.
Se l'account viene hackerato, il software non è più affidabile. Mi sembra un concetto tanto semplice...
Da quando in qua?
Io uso l'autenticazione a due fattori dappertutto dove posso, non ho mai dato il mio cellulare a nessuno...
Qua, almeno per il primo setup, pare che sia sì richiesto l'sms ma c'è pure la possibilità dell'app autenticatrice, poi si può andare di chiavetta hardware.
Cmq sono d'accordo con s12a, le stanno provando tutte.
Cambia che dal 2024 per inviare a Github codice sorgente od altri file assimilabili a codice sorgente servirà un numero di cellulare o comunque uno smartphone a cui è presumibilmente associato un contratto telefonico, per questa autenticazione a due fattori.
puoi usare un'app se non vuoi dare il numero di cellulare personale che è sicuramente un dato più sensibile da divulgare rispetto a una mail
a livello aziendale ce l'abbiamo da tempo, è diventato obbligatorio come policy interna già da 2 anni per cui l'account (privato ovviamente) dove vanno certi sorgenti è in 2FA
Hiei3600
05-05-2022, 18:32
Se l'account viene hackerato, il software non è più affidabile. Mi sembra un concetto tanto semplice...
Ma va? quando mai ho detto che è sicuro scaricare roba da un account hackerato / compromesso? parli come se tutti gli utenti di GitHub non dovessero attivare l'autenticazione a 2 fattori sarebbero immediatamente hackerati il giorno dopo perché a quanto pare avere una password anche di 128 caratteri non è sufficiente
Senza contare che si vuole sempre far deviare la discussione sul concetto di sicurezza quando il mio punto fin dall'inizio è sempre stato quello della scelta anzi tutto.
Ma chiaramente siccome nessuno è in grado di formulare una motivazione valida per la quale l'utente non dovrebbe avere la possibilità di scelta allora si prova la solita tattica disonesta del cercare di far deviare la conversazione sulla sicurezza.
Ma usiamo i termini corretti okay? sono stanco di sentire la parola "sicurezza", sento che sempre di più la società si sia trasformata nel parente paranoico che non ti fa andare sulla bicicletta a meno che questa non abbia le rotelline laterali di sicurezza + hai il casco + i para-gomiti e le protezioni per le ginocchia.
Basta parlare di sicurezza, chiamiamola con il suo vero nome: Paura.
Difficile predicare la "Sicurezza" usando il suo termine naturale ovvero "Paura" eh? manipolazione allo stato puro -- "Sicurezza" è un concetto reattivo - reattivo alla paura, se non c'è paura che qualcosa di brutto potrebbe accadere tu non adotteresti misure di sicurezza - se non avessi paura che ti entrassero i ladri in casa tu neanche chiuderesti la porta di casa - la "Sicurezza" di per se non ha senso - ha senso solo quando vi è una paura, per questo è un concetto derivato.
La verità è che siamo una società di codardi che ha capito che con la paura arr, pardon "Sicurezza" si può facilmente far passare la qualsiasi roba, perché tanto c'è un mare di gente intellettualmente disonesta che non chiama le cose con il loro nome.
Hiei3600,
92 minuti di applausi :ave:
jepessen
06-05-2022, 06:54
E niente, anche quando fanno cose per la sicurezza non mancano i detrattori a spada tratta di Microsoft che gridano allo scandalo senza motivo alcuno, ma solamente perche' si sentono fighi a criticarla...
Bazzilla
06-05-2022, 08:15
Il discorso della paura legato alla sicurezza mi sembra una cacata colossale.
La sicurezza ci vuole perché c'è chi potrebbe superare i controlli, entrare e rubare o fare dei danni.
Il malintenzionato che vuole entrare in casa mia, non si chiede se io ho paura o no, ma si chiede se è facile o meno entrare in casa: se trova la porta aperta lui entra facilmente sbattendosene allegramente di quanta paura io possa avere o non avere.
State portando la discussione su temi filosofici di "Paura".
Voliamo più basso e usiamo il rasoio.
GitHub è un'azienda, deve fare utile.
Ogni account compromesso gli costa di assistenza, brand, reputazione.
Devono ridurre il numero di situazioni spiacevoli.
Aumentano le difese e rendendo più difficile rubare gli account.
Meno spese per loro, più contenti gli azionisti.
Profit.
Se invece della sicurezza avessero problemi con il costo del data storage avrebbero annunciato politiche restrittive su quel tema. E tutti a parlare dell'obsolescenza programmata e della "Paura" de vecchi codici.
p.s. non serve uno smartphone per attivare la 2FA, ci sono estensioni del browser che fanno la stessa cosa. Non c'è alcun aumento della riconoscibilità dell'utente.
TorettoMilano
06-05-2022, 09:36
io mi inca**o da anni perchè molti siti non hanno l'autenticazione a due fattori e qui ci si inca**a perchè ti impongono l'autenticazione a due fattori, il mondo è bello perchè è vario :asd:
Ma va? quando mai ho detto che è sicuro scaricare roba da un account hackerato / compromesso? parli come se tutti gli utenti di GitHub non dovessero attivare l'autenticazione a 2 fattori sarebbero immediatamente hackerati il giorno dopo perché a quanto pare avere una password anche di 128 caratteri non è sufficiente
Senza contare che si vuole sempre far deviare la discussione sul concetto di sicurezza quando il mio punto fin dall'inizio è sempre stato quello della scelta anzi tutto.
Ma chiaramente siccome nessuno è in grado di formulare una motivazione valida per la quale l'utente non dovrebbe avere la possibilità di scelta allora si prova la solita tattica disonesta del cercare di far deviare la conversazione sulla sicurezza.
Ma usiamo i termini corretti okay? sono stanco di sentire la parola "sicurezza", sento che sempre di più la società si sia trasformata nel parente paranoico che non ti fa andare sulla bicicletta a meno che questa non abbia le rotelline laterali di sicurezza + hai il casco + i para-gomiti e le protezioni per le ginocchia.
Basta parlare di sicurezza, chiamiamola con il suo vero nome: Paura.
Difficile predicare la "Sicurezza" usando il suo termine naturale ovvero "Paura" eh? manipolazione allo stato puro -- "Sicurezza" è un concetto reattivo - reattivo alla paura, se non c'è paura che qualcosa di brutto potrebbe accadere tu non adotteresti misure di sicurezza - se non avessi paura che ti entrassero i ladri in casa tu neanche chiuderesti la porta di casa - la "Sicurezza" di per se non ha senso - ha senso solo quando vi è una paura, per questo è un concetto derivato.
La verità è che siamo una società di codardi che ha capito che con la paura arr, pardon "Sicurezza" si può facilmente far passare la qualsiasi roba, perché tanto c'è un mare di gente intellettualmente disonesta che non chiama le cose con il loro nome.
Guarda, su certi tuoi assunti ti do anche ragione, anch'io sono contro molte misure di eccessiva "sicurezza" che vengono imposte in molti ambiti.
Ma qui, di cosa stiamo parlando? Di aggiungere un codice OTP che già dovrebbe essere buona norma usare? Cioè, ti lamenti anche di quegli account che pretendono che la password sia più lunga di 6 caratteri e contenga numeri e simboli?
Sono norme di sicurezza di base, che penso ogni programmatore dovrebbe usare di per se, anche senza che la piattaforma di sviluppo gliele imponga.
E poi, ripeto: qui non si parla di sicurezza personale, come potresti avere sulla tua casella email, dove il furto di credenziali è principalmente un cavolo tuo; qui si tratta dell'affidabilità di una piattaforma di sviluppo e distribuzione software, dove il furto di un account può portare a danni a migliaia o milioni di utilizzatori di un software.
In questo caso credo che la 2FA dovrebbe essere scontata, e non vedo che lati negativi ci possano essere per non abilitarla...
biometallo
06-05-2022, 13:04
State portando la discussione su temi filosofici di "Paura".
Voliamo più basso e usiamo il rasoio.
GitHub è un'azienda, deve fare utile.
Ogni account compromesso gli costa di assistenza, brand, reputazione.
Devono ridurre il numero di situazioni spiacevoli.
Aumentano le difese e rendendo più difficile rubare gli account.
Meno spese per loro, più contenti gli azionisti.
Profit.
Se invece della sicurezza avessero problemi con il costo del data storage avrebbero annunciato politiche restrittive su quel tema. E tutti a parlare dell'obsolescenza programmata e della "Paura" de vecchi codici.
p.s. non serve uno smartphone per attivare la 2FA, ci sono estensioni del browser che fanno la stessa cosa. Non c'è alcun aumento della riconoscibilità dell'utente.
Ecco, in mezzo a tanti deliri finalmente un po' di buon senso.
io mi inca**o da anni perché molti siti non hanno l'autenticazione a due fattori e qui ci si inca**a perché ti impongono l'autenticazione a due fattori, il mondo è bello perché è vario :asd:
*
Hiei3600
06-05-2022, 13:09
State portando la discussione su temi filosofici di "Paura".
Voliamo più basso e usiamo il rasoio.
GitHub è un'azienda, deve fare utile.
Ogni account compromesso gli costa di assistenza, brand, reputazione.
Devono ridurre il numero di situazioni spiacevoli.
Aumentano le difese e rendendo più difficile rubare gli account.
Meno spese per loro, più contenti gli azionisti.
Profit.
Io accetto questa spiegazione 10 volte meglio della spiegazione "Lo facciamo per la tua sIcuRezZa" - almeno è una spiegazione che non ti prende per il c*lo.
Io accetto questa spiegazione 10 volte meglio della spiegazione "Lo facciamo per la tua sIcuRezZa" - almeno è una spiegazione che non ti prende per il c*lo.
:D
E non è la stessa cosa?
Quando @Bisont ha detto che ogni account compromesso costa a loro brand, reputazione, cosa vuol dire? Che la mancanza di sicurezza fa scappare gli utenti.
io mi inca**o da anni perchè molti siti non hanno l'autenticazione a due fattori
Esatto.. dovrebbe essere obbligatoria ovunque!!!! :O
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.