Zum Schutz vor Account-Takeover-Angriffen, die darauf abzielen, die Kontrolle über Abhängigkeiten zu erlangen, hat das RubyGems-Paket-Repository angekündigt, dass es zur obligatorischen Zwei-Faktor-Authentifizierung für Konten übergeht, die die 100 beliebtesten Pakete (nach Downloads) sowie Pakete mit mehr als 165 verwalten Millionen Downloads. Durch die Verwendung der Zwei-Faktor-Authentifizierung wird es deutlich schwieriger, Zugriff zu erhalten, wenn die Anmeldedaten des Entwicklers kompromittiert sind, etwa durch die Wiederverwendung eines Passworts auf einer kompromittierten Website, die Verwendung vorhersehbarer Passwörter oder das Abfangen von Anmeldedaten aufgrund von Malware-Aktivitäten auf der Entwicklersystem.
In der ersten Phase, wenn Befehlszeilen-Dienstprogramme oder die Website rubygems.org verwendet werden, zeigen Betreuer beliebter Pakete eine Warnung an, dass die Zwei-Faktor-Authentifizierung aktiviert werden muss. Am 15. August wird die Empfehlung durch eine zwingende Anforderung ersetzt, eine Zwei-Faktor-Authentifizierung zu ermöglichen, ohne die kein Zugang gewährt wird. Betreuer erhalten außerdem einen Monat und eine Woche vor der Aktivierung der Zwei-Faktor-Authentifizierung E-Mail-Benachrichtigungen.
Im 4. Quartal 2022 ist geplant, die Anforderung für die Verwendung der Zwei-Faktor-Authentifizierung auf andere Kategorien von RubyGems-Benutzern auszuweiten (die Kriterien wurden noch nicht genehmigt; wahrscheinlich wird dies, wie im Fall von NPM, der Fall sein). erweitert auf die 500 beliebtesten Pakete).
Source: opennet.ru