PyPI บริการโฮสต์แพ็กเกจไลบรารีภาษาไพธอนประกาศปรับปรุงความปลอดภัยด้วยการบังคับให้โครงการที่เข้าข่ายสำคัญยิ่งยวด จำนวน 3,500 โครงการ ต้องใช้กุญแจล็อกอิน FIDO U2F ในการล็อกอินแบบ WebAuthn พร้อมกันนี้ทีมงาน Google Open Source Security ก็สปอนเซอร์กุญแจ Titan พร้อมค่าส่งฟรี

โครงการที่เข้าข่ายสำคัญยิ่งยวดจะคำนวณจากโครงการที่มียอดดาวน์โหลดสูงสุด 1% แรกจากโครงการบน PyPI ทั้งหมด 350,000 โครงการในห้วงเวลา 6 เดือน ดังนั้นจึงมีโครงการชุดแรกเข้าข่าย 3,500 โครงการ แต่รายชื่อโครงการจะคำนวณใหม่ทุกวัน และโครงการที่หลุดจาก 1% แรกก็ยังได้สถานะสำคัญยิ่งยวดต่อไป ทำให้โดยรวมจะมีโครงการที่เข้าข่ายเกิน 1% และทางกูเกิลก็เตรียมคูปองสำหรับสั่งซื้อกุญแจไว้ให้ทั้งหมด 4,000 ชุด

การโจมตีผ่านทางไลบรารีต่างๆ ด้วยการแทรกโค้ดมุ่งร้ายผ่านทางบริการโฮสต์แพ็กเกจ (supply-chain attack) เกิดขึ้นบ่อยขึ้นเรื่อยๆ ในช่วงหลัง ก่อนหน้านี้ npm ก็บังคับผู้ดูแลแพ็กเกจยอดนิยม 100 อันดับแรกต้องล็อกอินแบบสองขั้นตอนไปก่อนแล้ว

WebAuthn นับเป็นการยืนยันตัวตนที่ปลอดภัยสูงสุดในตอนนี้ โดยสามารถป้องกันเหตุในกรณีรหัสผ่านรั่วไหล และการโจมตีด้วยเว็บปลอม (phishing) ได้เพราะเบราว์เซอร์และกุญแจจะล็อกกระบวนการยืนยันตัวตนเข้ากับโดเมนโดยตรง

ที่มา - PyPI