atarionline.pl Github 2passAuth? pOcO? - Forum Atarum

Jeśli chcesz wziąć udział w dyskusjach na forum - zaloguj się. Jeżeli nie masz loginu - poproś o członkostwo.

  • :
  • :

Vanilla 1.1.4 jest produktem Lussumo. Więcej informacji: Dokumentacja, Forum.

    • 1:
       
      CommentAuthorjhusak
    • CommentTime7 Dec 2023 zmieniony
     
    Hejo, chciałem się zapytać osób, które więcej mają ode mnie informacji.

    Github (Microsoft) wprowadza na siłę (edited)2FA(/edited).
    Zerowe - nie lubię tej firmy za jej praktyki.
    Pierwsze - po co obowiązkowo? Jak komuś zależy, to niech sobie zakłada. A mi pachnie to szantażem jakimś.
    Drugie - weryfikacja przez Git Desktop albo SMS. W pierwszym przypadku instaluję być może konia trojańskiego od Microsoftu, w drugim daję im telefon, a może nie chcę (przy czym tego nie rekomendują, jako bezpieczne. To znowu -PO CO?).
    Gitlab to ma przez email.

    Kilka opcji mają w Desktopie, co nie ma na www - np squash commits.

    Bocianu używa gitlaba.

    Co Wy programiści na to, czy raczej emigrować na bardziej ludzkie miejsca typu gitlab, czy też dać im mój komputer pod tę ich aplikację, zainstalować na oddzielnym koncie wszystko i się nie przejmować (chociaż to trudne).
    • 2:
       
      CommentAuthorlaoo
    • CommentTime7 Dec 2023
     
    Nie wydaje mi się, żeby to było merytoryczne pytanie, a raczej zaproszenie do dyskusji ideologicznej. Przecież jeden rabin powie tak, drugi rabin powie nie. Ja skupiam się na "getting job done" i pogodziłem się z tym, że jeśli nie płacę, to sam jestem towarem i apkę zainstalowałem. Zawsze możesz postawić sobie prywatnego gitlaba czy cokolwiek. Możesz też przenieść się do chatki w dziczy. Jak ostatnio sprawdzałem, to wciąż panuje w Polsce dość szeroka swoboda :)
    • 3:
       
      CommentAuthorjhusak
    • CommentTime7 Dec 2023 zmieniony
     
    No właśnie ideologię odrzucamy, merytoryczne za i przeciw, a jak nie merytoryczne, to przemyślenia. Ale nie ideologie.
    • 4:
       
      CommentAuthorAlex
    • CommentTime7 Dec 2023
     
    Ja mam konto na GitHubie, ale jeszcze nic nie odważyłem się wrzuć, choć zamierzam to uczynić.

    Co do autentykacji z wykorzystaniem numeru telefonu, to jestem generalnie za. Mój numer i tak znają dziesiątki tysięcy firm i osób w tym Microsoft :) Ale jeśli komuś nie po drodze z tym, to polecam Priv App. Darmowy numer komórki w postaci apki. Obsługuje SMS-y i rozmowy.
    • 5:
       
      CommentAuthormav
    • CommentTime7 Dec 2023 zmieniony
     
    Mnie jeszcze nie pogonili, ale ja praktycznie nic nie wrzucam, więc pewnie dlatego :D
    Ale jak pogonią, to zlikwiduję konto i tyle. I tak już za dużo serwisów wymusiło na mnie podawanie danych. Chociaż już sam nie pamiętam, czy podawałem - ale raczej nie.
    A już najbardziej mnie wkurza, jak np. kupuję "głupią" etykieciarkę i apka się mnie o uprawnienia do kontaktów pyta. Albo kalkulator.
    • 6:
       
      CommentAuthorccwrc
    • CommentTime7 Dec 2023 zmieniony
     
    Nie chodzi o 2FA? ;)

    Tylko to wszystko funkcjonuje już od ponad roku (czyt. jest wymagane) o ile mnie pamięć nie myli, więc skąd nagłość?

    Ja wybrałem SMS i numer telefonu nie musi być twój - może być zapasowy jeśli masz obawy co do niechcianych wiadomości (mi się nigdy nie zdarzyło).

    Gitlab jest wygodniejszy (płacisz i wymagasz :) ), ale takich rozwiązań jest więcej, choćby bitbucket. Właściwie wystarczy wybrać to, czego najmniej się obawiasz.

    Edit: cyt. "Kilka opcji mają w Desktopie, co nie ma na www - np squash commits."
    - tego nie rozumiem. Wszystko jest dostępne z poziomu gita, wystarczy odpalić konsolę, można także zrobić ręcznie rebase.

    Edit2: do wrzucania kodu nie trzeba żadnej aplikacji. Ja wygenerowałem klucz, który podaję zamiast hasła i... i tyle.
    • 7:
       
      CommentAuthorjhusak
    • CommentTime7 Dec 2023 zmieniony
     
    O, ciekawe informacje :) Mnie gonią, bo "komituję". 15 grudnia odłączą możliwość logowania się (niby potem jeszcze 7 dni "hard naging"). Dlatego nie chce mi się z tym walczyć. 2fa rzeczywiście.

    Jest jeszcze opcja passkey, przez telefon czy coś tam innego osobistego; niby od IOsa 16.0, ale na moim chyba działa (mam 15.x). Chyba, bo protokół idzie, ale nie wrzuciłem na github klucza jeszcze, to nie jestem pewien.

    Co do gita, to jestem biegły jako programista, ale jako zarządzacz (czyli merge, rebase itp) to trochę nie rozumiem tych operacji typu rebase, nie czuję, jaki będzie efekt i czym to grozi, czy nie pogubi zmian. Pewnie dlatego, że nigdy nie musiałem tego robić i się dostatecznie nie wgryzłem. Merge spoko, jest intuicyjne. Dlatego squash dla takich jak ja może być wygodny.
    • 8: CommentAuthorjakubd
    • CommentTime7 Dec 2023
     
    Chodzi o zabezpieczenie dodatkowe przed sytuacjami przejęcia repozytoriów przez niepowołane osoby, co zaczęło zdarzać się coraz częściej i naraża coraz większe projekty na ryzyko wciągnięcia kodu z "zaatakowanych" repo.
    • 9:
       
      CommentAuthorjhusak
    • CommentTime7 Dec 2023 zmieniony
     
    To to wiem jako informację, ale jak to się dzieje w skrócie w praktyce? Jakiś scenariusz znasz? (wciągnięcia czy wyciagnięcia?)
    • 10:
       
      CommentAuthorccwrc
    • CommentTime7 Dec 2023
     
    Możliwości jest nawet zbyt wiele, skrót: ->link<-

    Żeby zalogować się na twoje konto nie trzeba nawet znać hasła, wystarczy losowy ciąg znaków, który koliduje (w sensie traktowany jako poprawnhy) z hashem twojego hasła. Mało prawdopodobne, ale zawsze mnie bawi :)
    • 11: CommentAuthorjakubd
    • CommentTime7 Dec 2023
     
    Z tego co widzę, to jako 2FA można użyć dowolnej aplikacji TOTP - kod generowany na podstawie aktualnego czasu i klucza. Nie trzeba nawet używać Microsoft authenticatora, jak nie lubisz. Kompletnie nie widzę niczego złego w tym. To mniej więcej poziom wzrostu bezpieczeństwa ogólnego sieci przez praktycznie wymuszenie używania HTTP zamiast HTTPS - tylko tutaj mamy mniej roboty i problemów.
    • 12:
       
      CommentAuthorpirx
    • CommentTime7 Dec 2023
     
    nie podawałem telefonu, mam apkę z kodami (TOTP). koledzy mają takie apki na kompie powsadzane, to w ogóle nie trzeba się do telefonu zbliżać i tylko robić copy/paste. można np. z konsoli i w nosie masz korpo shit: ->link<-
    • 13:
       
      CommentAuthorjhusak
    • CommentTime7 Dec 2023
     
    Czyli najpierw obniżają liczbę bitów hasha (żeby łatwiej złamać przez służby) a potem mają z tym problemy...
    • 14:
       
      CommentAuthorjhusak
    • CommentTime7 Dec 2023 zmieniony
     
    No i zaczyna być ciekawie, dzięki @pirx :) Jak życie konsolowca zaczyna być trudne, pojawia się inny konsolowiec, który znowu czyni życie łatwym :)
    • 15: CommentAuthorbartgo
    • CommentTime7 Dec 2023 zmieniony
     
    ...na końcu szlag trafia telefon, nie możemy znaleźć kodów jednorazowych sprzed kilku lat i nasz prywatny kod trafia do kosza...

    Najbardziej zniechęceni GH przechodzą na sourcehut. Albo hostujemy sami (ech) albo płacimy.
    • 16:
       
      CommentAuthorlaoo
    • CommentTime7 Dec 2023
     
    @jhusak Ja jestem dalki od bycia administratorem repozytoriów, ale w robocie już od dawna tam gdzie się da nie używam merge tylko robię rebase. Jedyne co to robi, to tak jakbyś zaczął commitować już na heada, z którym chcesz się zmerdżować. Dzięki temu nie ma rozdwojenia, nie ma commitu merdżującego i w ogóle jest elegancko
    • 17:
       
      CommentAuthorMq
    • CommentTime7 Dec 2023
     
    Nie wiem czy to wniesie coś do tematu, ale nadmienię tylko że są alternatywy jak by co.
    Ja osobiście używam ->link<- i do tego używam aplikacji ->link<-
    Całość za free.
    • 18:
       
      CommentAuthorlaoo
    • CommentTime7 Dec 2023
     
    Na BitBuckecie trzymamy w prywatnych repozytoriach nasze dema, bo tam prywatne były za darmo od zawsze. A Sourcetree mimo pewnych wad to jednak najlepszy klient gita z GUI jaki znalazłem i używam od lat.
    • 19: CommentAuthormcs
    • CommentTime8 Dec 2023
     
    @jhusak jako konsolowiec używam oathtool na takie wypadki ->link<-
    a dla zabawy zbudowałem sobie fizyczne urządzenie do generowania takiego kodu ;)
    • 20:
       
      CommentAuthorSantyago
    • CommentTime10 Dec 2023
     
    Merge zasadniczo wrzuca z jednej gałęzi do drugiej i tyle. Natomiast rebase (pomimo że pozornie robi to samo, czyli nanosi zmiany z jednej gałęzi do drugiej) nie tworzy nowego commita tylko scala commity z dwóch gałęzi, tworząc hronologiczną kolejność. Rebase jest ważny, jeśli chcesz mieć aktualne repo w branczu nad którym pracujesz (wyrównanie z gałęzią). Dodatkowo, gdy nad kodem pracuje kilka(naście) osób, nie zaśmiecacie sobie historii przy nadchodzącym merge. Znam takich, którzy preferują jeszcze drogę merge gałezi głóœnej (trunk/master) do brancha :) kto co lubi
    • 21:
       
      CommentAuthorSantyago
    • CommentTime10 Dec 2023
     
    A co do wątku, z kodem dawno uciekłem na gitlaba prywatnego. Niestety github też mi jest potrzebny - wiele narzędzi wymaga symbiozy z nim, np BlackFire. Więc mus trzeba było zgodzić się na 2FA - szczerze wątpię, by pisali do mnie smsy lub dzwonili.
    • 22:
       
      CommentAuthorsun
    • CommentTime12 Dec 2023
     
    Akurat jeszcze korzystam z subversion produkcyjnie, ale mają też fajny klient do GIT ->link<- niestety za $.
    • 23:
       
      CommentAuthorjhusak
    • CommentTime12 Dec 2023 zmieniony
     
    @sun Akurat subversion ma dla mnie jedną podstawową wadę - jest centralny i jak centrum padnie to padakamadafaka. Miałem tak kilka razy, a np. taki atalan przez to umarł, bo jakby każdy miał historię, to by pociągnął chociażby taki ja. Z Gitem miałem już 2 razy konieczność reperacji remote z lokalnego repo. Takie wredne, bo wszystko działało, tylko git clone nie.

    Ale to tak na marginesie.

    Poza tym nie interesują mnie klienty git, robię z konsoli.

    @Santyago - właśnie z tym rebase to rozumiem tak, że zmiany są nakładane nie w przeplocie uwzględniając czasy zmian jak przy merge, tylko najpierw 1 set, a potem drugi. Tylko nie wiem, na co zwrócić uwagę, żeby czegoś nie pogubić.
    • 24:
       
      CommentAuthorsun
    • CommentTime12 Dec 2023
     
    @jhusak - tak, to są zady i walety, ale jest też takie śmieszne rozwiązanie, kiedyś to testowałem, taki mix git+sub, najciekawsze, że wtedy klienta używasz jak chcesz, w sensie git lub sub, a ten mikser tam to jakoś żeni i nawet to działa.
    Mam to szczęście, że przez 20 lat nie zaliczyłem padu serwera z repo, ale... dmucham na zimne.