О, сейчас все форумы выдают мне, у кого старые не обновляемые ОС подложкой. Ещё не полночь, а они меня полчаса как спамят

Нераспарсил чего ты сообщить хотел

Нераспарсил чего ты сообщить хотел

То что есть куча ОС со старыми таймзонами. Навалили мне кучу спама до полуночи

Таймзоны заебали обновляться :)

Я недавно импортировал новый tzdata из дебиана поновее в нашу репу потому что в новосибе (кажись) поменялась таймзона

Таймзоны заебали обновляться :)

с таймзонами раньше был прикол прекрасный

если выставить UTC+4 (или чо там ща в МСК?) и прогнать допустим в mysql'е (можно и чистый си код) localtime дернуть 1000 раз, а потом поставить московкую зону, то будет разница в скорости выполнения кода

в 3-8 раз

зависит от цпу

в пользу UTC+4

посоны а как можно два nginx в докере повесить на один порт?

через LB?

Например, через еще один nginx

look up stream module

понял

посоны а как можно два nginx в докере повесить на один порт?

Никак

https://www.thoughtworks.com/radar/tools/jenkins-as-a-deployment-pipeline

https://teamcity.jetbrains.com/project.html?projectId=MPS&tab=projectBuildChains

ой

оказывается в тимсити ваша свистоперделка тоже есть!

ажо с 6 версии

шо за свистоперделка?

pipeline

никрасива!

и нимаргает!

и кривых соплей нет

это дело разве?

это

а группы по безопасности есть?

у меня тут куча вопросов про paswordless аутентификацию юзеров

пиши тут или создай

у меня тут куча вопросов про paswordless аутентификацию юзеров

группы есть, но они либо general и не ответят на вопрос, либо более узконаправленные и не подскажут продакшеновых бест практис

я бы задал их сюда и в девопс

и может быть сюда: https://telegram.me/secinfosec

http://blog.reportchef.com/2016/08/23/the-ultimate-list-of-300-slack-communities/ (не к телеграму конечно, но может кому будет интересно)

Приветики

Не могу найти нормальных исследований на тему безопасности passwordless аутентификации с TOTP, в частности как единственного фактора.

Ткните лицом, я не верю что нет :(

(это про сюда)

На вики есть ссылки на парочку статей

там почти везде в разрезе 2FA

Не то шоб исследования конечно.

Это тоже уже видел? http://security.stackexchange.com/questions/37203/what-are-the-security-implications-of-using-totp-for-single-factor-authenticatio

йеп

на SE я уже там по тегу TOTP пролистал все топики

там тоже народ в основном про 2FA

А в чем интерес, кстати, кроме исто теоретического?

практический интерес

Чувак в том топике прав, любой человек имеющий сид/хэш будет иметь и доступ. Несколько инсекурно.

любая аутентификация на секретах так работает :)

любой человек имеющий пароль, будет иметь доступ

ну да, так а в чем тогда смысл делать TOTP? :)

без второго фактора

в чём смысл в пароле, как в первом факторе?

95% пользователей туда введут говно

которое у них введено ещё на сотне сайтов

ну… :) тада проще генерить и не давать менять на самопридуманные

его никто не будет запомнать

и будут пользоваться «восстановить пароль»

что приводит нас к TOTP :D

у нас сейчас именно схема «генерить» была реализована

мы генерируем 6 значний пасскод

проблема в том, что мы присылаем его по почте

а это значит что он не обеспечивает ретроспективной защиты

ресетить его сразу после логина :)

что приводит нас к TOTP :D

^^^

ага ага. извратненько, но…

а че не сделать 2ФА и не мучаться?

потому что в пароле как факторе смысла нет?

я исхожу из того что 95% людей срали на пароли

https://haveibeenpwned.com меня в этом поддерживает

как следствие, зачем лишний фактор, если он говно? :)

я пока вижу несколько векторов атаки

если TOTP передаётся по почте, это незащищённый канал

так-же как и смс

ну так привяжи просто authenticator какой-нить и все.

без паролей

но заставлять ставить TOTP софт — жлобство

зависит от целевой аудитории

по этому надо дать выбор

кратко объяснив чо не так с каждым из способов