Por protekti kontraŭ atakoj pri transpreno de kontoj celantaj akiri kontrolon de dependecoj, la pakaĵdeponejo RubyGems anoncis, ke ĝi moviĝas al deviga dufaktora aŭtentigo por kontoj konservantaj la 100 plej popularajn pakaĵojn (per elŝutoj), same kiel pakaĵojn kun pli ol 165. milionoj da elŝutoj. Uzi dufaktoran aŭtentikigon multe pli malfacilas akiri aliron se la akreditaĵoj de la programisto estas endanĝerigitaj, ekzemple per reuzo de pasvorto en kompromitita retejo, uzante antaŭvideblajn pasvortojn aŭ kaptado de akreditaĵoj kiel rezulto de malware-agado sur la retejo. sistemo de programisto.
En la unua etapo, kiam vi uzas komandliniajn utilecojn aŭ la retejon rubygems.org, prizorgantoj de popularaj pakaĵoj montros averton pri la bezono ebligi dufaktoran aŭtentikigon. La 15-an de aŭgusto, la rekomendo estos anstataŭigita per deviga postulo por ebligi dufaktoran aŭtentikigon, sen kiu aliro ne estos donita. Prizorgantoj ankaŭ ricevos retpoŝtajn sciigojn unu monaton kaj unu semajnon antaŭ ebligi dufaktoran aŭtentikigon.
En la 4-a trimonato de 2022, estas planite pligrandigi la postulon por la uzo de dufaktora aŭtentigo por aliaj kategorioj de RubyGems-uzantoj (la kriterioj ankoraŭ ne estas aprobitaj; verŝajne, kiel en la kazo de NPM, la kovrado estos vastigita al la 500 plej popularaj pakaĵoj).
fonto: opennet.ru