RubyGems führt eine obligatorische Zwei-Faktor-Authentifizierung für beliebte Pakete ein.

Um sich gegen Angriffe zur Übernahme von Benutzerkonten zu schützen, die darauf abzielen, Kontrolle über Abhängigkeiten zu erlangen, hat das RubyGems-Paketrepository angekündigt, dass die verpflichtende Verwendung von Zwei-Faktor-Authentifizierung für Konten, die die 100 beliebtesten Pakete (basiert auf Downloads) betreuen, sowie für Pakete mit über 165 Millionen Downloads eingeführt wird. Die Einführung der Zwei-Faktor-Authentifizierung wird den Zugriff im Falle einer Kompromittierung der Entwicklerinformationen erheblich erschweren, zum Beispiel wenn Passwörter auf einer kompromittierten Website wiederverwendet werden, vorhersehbare Passwörter verwendet werden oder Anmeldedaten durch schadhafte Software auf dem System des Entwicklers abgefangen werden.

In der ersten Phase werden beim Einsatz von Kommandozeilen-Tools oder der Website rubygems.org Warnhinweise angezeigt, dass die Aktivierung der Zwei-Faktor-Authentifizierung erforderlich ist. Am 15. August wird diese Empfehlung in eine verbindliche Anforderung umgewandelt, ohne die kein Zugriff gewährt wird. Einen Monat und eine Woche vor der obligatorischen Aktivierung der Zwei-Faktor-Authentifizierung werden außerdem Benachrichtigungen per E-Mail an die Betreuer gesendet.

Im vierten Quartal 2022 wird erwartet, dass die Anforderungen an die Anwendung der Zwei-Faktor-Authentifizierung auch auf andere Benutzerkategorien von RubyGems ausgeweitet werden (die Kriterien sind noch nicht festgelegt, wahrscheinlich wird der Umfang wie im Fall von NPM auf die 500 beliebtesten Pakete erweitert).

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster