GitHub e l'autenticazione a due fattori: obbligatoria dal 2024 per chi carica codice sulla piattaforma

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/softwa...ma_106913.html

La misura per un grado maggiore di protezione contro la compromissione degli account sfruttata per distribuire codice dannoso

Click sul link per visualizzare la notizia.

[Hiei3600]

Ma se la gente non vuole questa feature di "Sicurezza" perché costringerla ?

[imayoda]

Quote:

Originariamente inviato da Hiei3600

Ma se la gente non vuole questa feature di "Sicurezza" perché costringerla ?

è la santa sicurezza, a breve auth a 3 fattori e retina scan

[Wikkle]

Quote:

Originariamente inviato da Hiei3600

Ma se la gente non vuole questa feature di "Sicurezza" perché costringerla ?

Il tuo commento è a dir poco preoccupante, essendo fatto su un forum di tecnologia.

Si spera solo che tu non abbia mansioni lavorative importanti

[Hiei3600]

Quote:

Originariamente inviato da Wikkle

Il tuo commento è a dir poco preoccupante, essendo fatto su un forum di tecnologia.

Si spera solo che tu non abbia mansioni lavorative importanti

La cosa preoccupante sono le persone che ritengono normali avere queste costrizioni arbitrarli

Sono ben consapevole del fatto che avere attiva l'autenticazione a due fattori aumenta la sicurezza, il mio problema sta nella parte in cui questa diventa "Obbligatoria", mi era parso di essere abbastanza chiaro a riguardo.

[marcram]

Quote:

Originariamente inviato da Hiei3600

Ma se la gente non vuole questa feature di "Sicurezza" perché costringerla ?

Perché non stai pubblicando un commento su un forum, stai pubblicando codice che poi verrà scaricato ed eseguito.
Non è una sicurezza nei confronti dell'utente che pubblica, ma nei confronti dell'utilizzatore che scarica...

[Hiei3600]

Quote:

Originariamente inviato da marcram

Perché non stai pubblicando un commento su un forum, stai pubblicando codice che poi verrà scaricato ed eseguito.
Non è una sicurezza nei confronti dell'utente che pubblica, ma nei confronti dell'utilizzatore che scarica...

1)Cosa diavolo centra il fatto che chiunque abbia caricato quel codice abbia l'autenticazione a due fattori?

2)Ammesso che il tizio in questione abbia la bella autenticazione a due fattori attiva, significa che automaticamente il suo codice è perfetto e non dannoso e che non devi preoccuparti minimamente di farlo eseguire nella tua macchina senza nessun controllo / verifica / test su una macchina virtuale?

[s12a]

Ennesima trovata per deanonimizzare gli utenti in nome della """sicurezza""".

Ricordo che Github non viene usato solo per codice sorgente da compilare ed eseguire, ma anche per siti web statici, documenti 'open' solo testo e immagini, e così via.

Spero che altri servizi equivalenti come ad esempio Gitlab saranno in grado di distinguersi in questo senso.

[marcram]

Quote:

Originariamente inviato da Hiei3600

1)Cosa diavolo centra il fatto che chiunque abbia caricato quel codice abbia l'autenticazione a due fattori?

2)Ammesso che il tizio in questione abbia la bella autenticazione a due fattori attiva, significa che automaticamente il suo codice è perfetto e non dannoso e che non devi preoccuparti minimamente di farlo eseguire nella tua macchina senza nessun controllo / verifica / test su una macchina virtuale?

1) C'entra col fatto che, se il "pubblicante" ha la 2FA attiva, è più difficile che il codice caricato dal suo account provenga da un malintenzionato che gli ha rubato le credenziali.
2) No, non significa che il suo codice sia perfetto. Significa che il codice è postato direttamente da lui. Se ti fidi di quel programmatore, puoi fidarti che quel codice l'abbia caricato lui. E non un impostore.

[marcram]

Quote:

Originariamente inviato da s12a

Ennesima trovata per deanonimizzare gli utenti in nome della """sicurezza""".

Ricordo che Github non viene usato solo per codice sorgente da compilare ed eseguire, ma anche per siti web statici, documenti 'open' solo testo e immagini, e così via.

Spero che altri servizi equivalenti come ad esempio Gitlab saranno in grado di distinguersi in questo senso.

Cosa c'entra l'anonimato con l'autenticazione a due fattori?
Sei loggato come prima, cosa cambia?

[s12a]

Cambia che dal 2024 per inviare a Github codice sorgente od altri file assimilabili a codice sorgente servirà un numero di cellulare o comunque uno smartphone a cui è presumibilmente associato un contratto telefonico, per questa autenticazione a due fattori.

[Hiei3600]

Quote:

Originariamente inviato da marcram

1) C'entra col fatto che, se il "pubblicante" ha la 2FA attiva, è più difficile che il codice caricato dal suo account provenga da un malintenzionato che gli ha rubato le credenziali.
2) No, non significa che il suo codice sia perfetto. Significa che il codice è postato direttamente da lui. Se ti fidi di quel programmatore, puoi fidarti che quel codice l'abbia caricato lui. E non un impostore.

Niente di quello che hai detto giustifica l'obbligatorietà dell'utilizzo dell'autenticazione a due fattori, se non ti fidi di un qualcuno che ha pubblicato codice sul sito non ti fidi e basta - l'idea che l' "eventualità" che il tizio dell'account in questione sia stato compromesso e che tu quindi rischi di scaricare codice da un malintenzionato è semplicemente un'acrobazia mentale paranoica, perché tutto e tutti potrebbero essere "potenzialmente" compromessi se uno è tanto paranoico basta che segue il soggetto in questione su più piattaforme ed aspetti qualche giorno dalla pubblicazione prima di provare qualsiasi codice pubblicato, così che nell'eventualità che l'account sia stato compresso la persona in questione abbia il tempo di avvertire i propri utenti tramite altre piattaforme.

Ma ripeto, si tratta di acrobazie mentali paranoiche non giustificano l'obbligatorietà dell'autenticazione a due fattori, se sei tanto paranoico dovresti leggere il codice in ogni caso prima di seguirlo perché metti caso che hanno rubato il cellulare al tizio! oh no! dobbiamo implementare la triple autenticazione biometrica magari andando di persona al server e mostrarsi di presenza perché nell'eventualità del bla bla bla che razza di paranoie...

[rocksolid]

Quote:

Originariamente inviato da s12a

Cambia che dal 2024 per inviare a Github codice sorgente od altri file assimilabili a codice sorgente servirà un numero di cellulare o comunque uno smartphone a cui è presumibilmente associato un contratto telefonico, per questa autenticazione a due fattori.

esattamente.

Quote:

Originariamente inviato da Hiei3600

Ma se la gente non vuole questa feature di "Sicurezza" perché costringerla ?

la penso come te.

[marcram]

Quote:

Originariamente inviato da s12a

Cambia che dal 2024 per inviare a Github codice sorgente od altri file assimilabili a codice sorgente servirà un numero di cellulare o comunque uno smartphone a cui è presumibilmente associato un contratto telefonico, per questa autenticazione a due fattori.

Da quando in qua?
Io uso l'autenticazione a due fattori dappertutto dove posso, non ho mai dato il mio cellulare a nessuno...

Quote:

Originariamente inviato da Hiei3600

Niente di quello che hai detto giustifica l'obbligatorietà dell'utilizzo dell'autenticazione a due fattori, se non ti fidi di un qualcuno che ha pubblicato codice sul sito non ti fidi e basta - l'idea che l' "eventualità" che il tizio dell'account in questione sia stato compromesso e che tu quindi rischi di scaricare codice da un malintenzionato è semplicemente un'acrobazia mentale paranoica, perché tutto e tutti potrebbero essere "potenzialmente" compromessi se uno è tanto paranoico basta che segue il soggetto in questione su più piattaforme ed aspetti qualche giorno dalla pubblicazione prima di provare qualsiasi codice pubblicato, così che nell'eventualità che l'account sia stato compresso la persona in questione abbia il tempo di avvertire i propri utenti tramite altre piattaforme.

Ma ripeto, si tratta di acrobazie mentali paranoiche non giustificano l'obbligatorietà dell'autenticazione a due fattori, se sei tanto paranoico dovresti leggere il codice in ogni caso prima di seguirlo perché metti caso che hanno rubato il cellulare al tizio! oh no! dobbiamo implementare la triple autenticazione biometrica magari andando di persona al server e mostrarsi di presenza perché nell'eventualità del bla bla bla che razza di paranoie...

Come vuoi.
Se tu, ogni volta che scarichi un software, controlli i sorgenti...
Io non sono capace. Mi baso sull'affidabilità e la popolarità dei vari repository, e relativi manutentori.
Se l'account viene hackerato, il software non è più affidabile. Mi sembra un concetto tanto semplice...

[Nui_Mg]

Quote:

Originariamente inviato da marcram

Da quando in qua?
Io uso l'autenticazione a due fattori dappertutto dove posso, non ho mai dato il mio cellulare a nessuno...

Qua, almeno per il primo setup, pare che sia sì richiesto l'sms ma c'è pure la possibilità dell'app autenticatrice, poi si può andare di chiavetta hardware.

Cmq sono d'accordo con s12a, le stanno provando tutte.

[recoil]

Quote:

Originariamente inviato da s12a

Cambia che dal 2024 per inviare a Github codice sorgente od altri file assimilabili a codice sorgente servirà un numero di cellulare o comunque uno smartphone a cui è presumibilmente associato un contratto telefonico, per questa autenticazione a due fattori.

puoi usare un'app se non vuoi dare il numero di cellulare personale che è sicuramente un dato più sensibile da divulgare rispetto a una mail

a livello aziendale ce l'abbiamo da tempo, è diventato obbligatorio come policy interna già da 2 anni per cui l'account (privato ovviamente) dove vanno certi sorgenti è in 2FA

[Hiei3600]

Quote:

Originariamente inviato da marcram

Se l'account viene hackerato, il software non è più affidabile. Mi sembra un concetto tanto semplice...

Ma va? quando mai ho detto che è sicuro scaricare roba da un account hackerato / compromesso? parli come se tutti gli utenti di GitHub non dovessero attivare l'autenticazione a 2 fattori sarebbero immediatamente hackerati il giorno dopo perché a quanto pare avere una password anche di 128 caratteri non è sufficiente

Senza contare che si vuole sempre far deviare la discussione sul concetto di sicurezza quando il mio punto fin dall'inizio è sempre stato quello della scelta anzi tutto.

Ma chiaramente siccome nessuno è in grado di formulare una motivazione valida per la quale l'utente non dovrebbe avere la possibilità di scelta allora si prova la solita tattica disonesta del cercare di far deviare la conversazione sulla sicurezza.

Ma usiamo i termini corretti okay? sono stanco di sentire la parola "sicurezza", sento che sempre di più la società si sia trasformata nel parente paranoico che non ti fa andare sulla bicicletta a meno che questa non abbia le rotelline laterali di sicurezza + hai il casco + i para-gomiti e le protezioni per le ginocchia.

Basta parlare di sicurezza, chiamiamola con il suo vero nome: Paura.

Difficile predicare la "Sicurezza" usando il suo termine naturale ovvero "Paura" eh? manipolazione allo stato puro -- "Sicurezza" è un concetto reattivo - reattivo alla paura, se non c'è paura che qualcosa di brutto potrebbe accadere tu non adotteresti misure di sicurezza - se non avessi paura che ti entrassero i ladri in casa tu neanche chiuderesti la porta di casa - la "Sicurezza" di per se non ha senso - ha senso solo quando vi è una paura, per questo è un concetto derivato.

La verità è che siamo una società di codardi che ha capito che con la paura arr, pardon "Sicurezza" si può facilmente far passare la qualsiasi roba, perché tanto c'è un mare di gente intellettualmente disonesta che non chiama le cose con il loro nome.

[quartz]

Hiei3600,

92 minuti di applausi

[jepessen]

E niente, anche quando fanno cose per la sicurezza non mancano i detrattori a spada tratta di Microsoft che gridano allo scandalo senza motivo alcuno, ma solamente perche' si sentono fighi a criticarla...

[Bazzilla]

Il discorso della paura legato alla sicurezza mi sembra una cacata colossale.

La sicurezza ci vuole perché c'è chi potrebbe superare i controlli, entrare e rubare o fare dei danni.

Il malintenzionato che vuole entrare in casa mia, non si chiede se io ho paura o no, ma si chiede se è facile o meno entrare in casa: se trova la porta aperta lui entra facilmente sbattendosene allegramente di quanta paura io possa avere o non avere.