Hallo an Alle, die an Open Source Projekten in GitHub mitarbeiten und/oder Repositorien selber dort hosten - seit Mitte dieses Jahres gilt da ja eine strikte Authentifizierungspolitik: https://github.blog/2020-12-15-token-authentication-requirements-for-git-operations/ Wenn ich das richtig verstehe, heisst das übersetzt, dass man als GitHub Contributor nun seine Identität bei einer amerikanischen(!) Drittfirma hinterlegen muss, sonst kann man nichts pushen. Als Europär ist man es ja gewohnt, dass die Datenschutzbestimmungen mir ein gewisses Recht auf Dateneigentum zugestehen. Bei amerikanischen Firmen halte ich meinen Atem nicht dafür an, dass die Daten nicht an dubiose Drittfirmen oder -organisationen weiterverkobert werden. Da ich das OS Contributen ja auf eigene Zeit und eigene Rechnung mache, sehe ich nicht wirklich ein, dass ich dafür auch noch etwas zahlen muss (entweder in Form eines security sticks für $55 oder halt in der Form meines Datenrisikos). Wie handhabt Ihr das? Schönen Dank!
GITTi schrieb: > Wenn ich das richtig verstehe, heisst das übersetzt, dass man als GitHub > Contributor nun seine Identität bei einer amerikanischen(!) Drittfirma > hinterlegen muss, sonst kann man nichts pushen. Wie kommst du denn darauf? Ich lese da nichts dergleichen. > In July 2020, we announced our intent to require the use of token-based authentication (for example, a personal access, OAuth, or GitHub App installation token) for all authenticated Git operations. Beginning August 13, 2021, we will no longer accept account passwords when authenticating Git operations on GitHub.com. Da geht es m.W. einfach darum, keine Account-Passwörter mehr zur Authentifizierung von Git-Operationen zu erlauben, sondern stattdessen zeitlich begrenzte Access tokens.
GITTi schrieb: > Wie handhabt Ihr das? Ich melde mich per 2FA bei GitHub an. Wenn ich der Meinung bin dass github meine Daten nicht haben sollte, sollte ich da keinen Account machen, gehört ja zu deren Geschäftsbedingungen.
GITTi schrieb: > Wenn ich das richtig verstehe, heisst das übersetzt, dass man als GitHub > Contributor nun seine Identität bei einer amerikanischen(!) Drittfirma > hinterlegen muss, sonst kann man nichts pushen. Diese "Identität" ist lediglich ein SSH-Key oder Authenticator-Token was aus einer Android-App kommt, also z.B. "484713". Woher weiß GitHub dann wer du bist? Es ist nur praktisch ein "Extra-Passwort". Es werden keinerlei zusätzliche Daten erhoben. GitHub weiß dadurch nicht wer du bist. Mladen G. schrieb: > Wenn ich der Meinung bin dass github meine Daten nicht haben sollte Es sind ja gar nicht mal "meine Daten". Es sind zufällig generierte Zahlenfolgen (SSH-Key oder Token). Die sagen halt nichts über dich aus. Allerhöchstens bekommt GitHub deine E-Mail-Adresse wenn du OAuth nutzt. Aber die hat GitHub ja eh schon. Kaufst du auch keine Bahntickets mehr am Automaten, wenn auf den Tickets eine Nummer drauf steht? Die Nummer sagt zwar nichts über dich aus, aber es sind ja "Daten"!
Mladen G. schrieb: > Ich melde mich per 2FA bei GitHub an. > Ja aber die 2FA heisst doch genau, sich von einem Identitätsprovider einen digitalen Identitätsnachweis zu holen? Es KANN sein, dass ich das nicht richtig verstehe; wenn diese 2FA auch hinreichend anonym ist, habe ich damit auch kein Problem. > Wenn ich der Meinung bin dass github meine Daten nicht haben sollte, > sollte ich da keinen Account machen, gehört ja zu deren > Geschäftsbedingungen. Ja aber um den eigenen account geht es mir dabei gar nicht; da habe ich in der Tat die "freie Wahl." Es geht darum, dass ein Open Source Projekt in GitHub gehostet ist, und der normale Prozeß dort ist, das Repo in seinen account zu klonen, die changes dort hinein zu pushen und einen PR abzusetzen. MaW: Wenn ich nett sein und zu dem Projekt beitragen will, muss ich meine Identität einer Firma anvertrauen, die für mich die 2FA übernimmt. Dass die Firma das nicht umsonst macht, ist auch klar, also schürft sie die Identitätsdaten. Aber für meinen Altruismus auch noch zu zahlen?... Oder gibt es eine Form der 2FA, die bei GitHub anerkannt wird, meine Identität aber trotzdem schützt? Danke schön nochmal!
Programmierer schrieb: > Diese "Identität" ist lediglich ein SSH-Key oder Authenticator-Token was > aus einer Android-App kommt, also z.B. "484713". Woher weiß GitHub dann > wer du bist? Es ist nur praktisch ein "Extra-Passwort". Es werden > keinerlei zusätzliche Daten erhoben. GitHub weiß dadurch nicht wer du > bist. Ok, der Teil fehlt mir; allerdings wird die Android App doch auch über die Mobilnummer angelegt, d.h. ein Teil des Puzzles wird trotzdem dort hinterlegt? Hast Du einen link auf einen "workflow," wie man sich einen SSH Key besorgt (entschuldigung, das ist vermutlich eine naive Frage); ich habe selber keine Anleitung dafür gefunden...
GITTi schrieb: > Ja aber die 2FA heisst doch genau, sich von einem Identitätsprovider > einen digitalen Identitätsnachweis zu holen? Nein. 2FA bedeutet dass für das Login ein zweiter Faktor benötigt wird (Dein Passwort kennst Du, und Dein Telefon besitzt Du). TOTP Tokens (die GH unterstützt) benötigen keinen separaten Provider. Für Android z.B. Authy, oder Google Authenticator.
:
Bearbeitet durch User
GITTi schrieb: > Ok, der Teil fehlt mir; allerdings wird die Android App doch auch über > die Mobilnummer angelegt, d.h. ein Teil des Puzzles wird trotzdem dort > hinterlegt? Nein, das Token ist vom Telefon unabhängig. Siehe https://de.wikipedia.org/wiki/Time-based_One-time_Password_Algorithmus > Hast Du einen link auf einen "workflow," wie man sich einen SSH Key > besorgt (entschuldigung, das ist vermutlich eine naive Frage); ich habe > selber keine Anleitung dafür gefunden... https://docs.github.com/en/authentication/connecting-to-github-with-ssh/generating-a-new-ssh-key-and-adding-it-to-the-ssh-agent , bzw. https://docs.github.com/en/authentication/connecting-to-github-with-ssh
GITTi schrieb: > wenn diese 2FA auch hinreichend anonym ist, habe > ich damit auch kein Problem. Eigentlich wollte ich genau auf das Gegenteil hinaus, dein Account bei Guthub ist nicht Anonym, die wollen deine echten Daten bei der Anmeldung. GITTi schrieb: > Aber für meinen Altruismus auch noch zu > zahlen? Naja, umsonst ist nix ;) Ich hab kein Problem damit Github meine Daten zu geben, sonst wäre ich da nicht, das ist ja auch der Deal. Oder meinst du Github/Microsoft hat nicht schon viele Daten von dir dass es jetzt darauf ankommt? Naja, muss jeder selber wissen.. Der Datenklau der mir wirklich auf den Senkel geht ist dass die GEZ vom Einwohnermeldeamt informiert wird.. einfach so. ;)
GITTi schrieb: > Ja aber die 2FA heisst doch genau, sich von einem Identitätsprovider > einen digitalen Identitätsnachweis zu holen? Es KANN sein, dass ich das > nicht richtig verstehe; wenn diese 2FA auch hinreichend anonym ist, habe > ich damit auch kein Problem. Dieser Provider kann eine Android-Authenticator-App sein. Diese weiß nichts über dich. Oder eben OAuth, das weiß deine E-Mail-Adresse. Die weiß GitHub sowieso schon. GITTi schrieb: > MaW: Wenn ich nett sein und zu dem Projekt beitragen will, > muss ich meine Identität einer Firma anvertrauen, die für mich die 2FA > übernimmt. Musst du nicht, wenn du nicht OAuth sondern 2FA über Codes nutzt. GITTi schrieb: > Dass die Firma das nicht umsonst macht, ist auch klar, also > schürft sie die Identitätsdaten. Was sollen das für Daten sein, außer deiner Mail-Adresse? GitHub wird von Microsoft betrieben. Die machen ihr Geld anders. Wenn du Windows nutzt kannst du auch GitHub vertrauen. GITTi schrieb: > Oder gibt es eine Form der 2FA, die bei GitHub anerkannt wird, meine > Identität aber trotzdem schützt? Ja, alle. Probier's doch einfach mal aus. Du wirst feststellen, dass du nirgendwo deinen echten Namen, deine Ausweisnummer o.ä. angeben musst. Allerhöchstens deine E-Mail-Adresse. GITTi schrieb: > Ok, der Teil fehlt mir; allerdings wird die Android App doch auch über > die Mobilnummer angelegt, Nein, die App kennt deine Mobilnummer nicht. Authenticator-Apps brauchen keine Android-Permissions und haben somit keinen Zugriff auf irgendwas. Was von den meisten Apps, die weit verbreitet sind (z.B. WhatsApp, Facebook, Instagram etc.) nicht gesagt werden kann... GITTi schrieb: > Hast Du einen link auf einen "workflow," wie man sich einen SSH Key > besorgt (entschuldigung, das ist vermutlich eine naive Frage) "ssh-keygen" auf deinem PC starten. Ist bei Git mit installiert. Das generiert einen zufälligen Schlüssel und speichert ihn auf dem PC. Da ist nichts an persönlichen Daten drin, höchstens eventuell der Username/Hostname vom PC, aber den kannst du trivial überschreiben.
GITTi schrieb: > Ja aber die 2FA heisst doch genau, sich von einem Identitätsprovider > einen digitalen Identitätsnachweis zu holen? Nein. Der 2FA-Code wird von einer App generiert, und der Server macht das selbe. Für 2FA wird auch der Fachbegriff "TOTP" (Time-based on-time Password, Zeitgesteuertes Einmal-Kennwort) oder "HOTP" (HMAC-based on-time Password, Ereignisgesteuertes Einmal-Kennwort) genutzt, je nach dem welches Verfahren eingesetzt wird. Der Internet-Anbieter kann das nicht beeinflussen, kann also nicht vom Code auf den Nutzer schließen. https://de.wikipedia.org/wiki/Zwei-Faktor-Authentisierung
:
Bearbeitet durch User
Ganz vielen Dank an Euch alle für die Antworten, das hat mir sehr geholfen!
Beitrag #6908829 wurde von einem Moderator gelöscht.
GITTi schrieb: > allerdings wird die Android App doch auch über > die Mobilnummer angelegt Du kannst auch einen externen Authenticator nutzen. Reiner-SCT bietet zwei Geräte an, den "Reiner Authenticator" und den "cyberJack deluxe". Diese Geräte arbeiten autark, ohne Anbindung an das Internet.
So ganz nebenbei sollte man mehrere email Adressen haben. Die kosten ja nichts. Falls ich denn mal wirklich gar nichts von mir preis geben will hole ich mir eine email bei https://www.10minutemail.com, die ist auch nur 10 minuten gueltig. Passt hier bei github zwar nicht.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.