Pentru a se proteja împotriva atacurilor de preluare a conturilor care vizează obținerea controlului asupra dependențelor, depozitul de pachete RubyGems a anunțat că trece la autentificarea obligatorie cu doi factori pentru conturile care mențin cele mai populare 100 de pachete (prin descărcări), precum și pachetele cu peste 165 de pachete. milioane de descărcări. Folosirea autentificării în doi factori va face mult mai dificilă obținerea accesului în cazul în care acreditările dezvoltatorului sunt compromise, cum ar fi prin reutilizarea unei parole pe un site compromis, utilizarea parolelor previzibile sau interceptarea acreditărilor ca urmare a activității programelor malware pe site. sistemul dezvoltatorului.
În prima etapă, atunci când utilizați utilitarele din linia de comandă sau site-ul web rubygems.org, întreținerii pachetelor populare vor afișa un avertisment despre necesitatea de a activa autentificarea cu doi factori. Pe 15 august, recomandarea va fi înlocuită cu o cerință obligatorie de a permite autentificarea cu doi factori, fără de care accesul nu va fi acordat. De asemenea, întreținătorii vor primi notificări prin e-mail cu o lună și o săptămână înainte de a activa autentificarea cu doi factori.
În trimestrul 4 al anului 2022, se preconizează extinderea cerinței de utilizare a autentificării cu doi factori pentru alte categorii de utilizatori RubyGems (criteriile nu au fost încă aprobate; probabil, ca și în cazul NPM, acoperirea va fi extins la cele 500 cele mai populare pachete).
Sursa: opennet.ru