<div dir="ltr"><div dir="ltr">On Wed, Oct 26, 2022 at 1:32 AM Christoph Cullmann (<a href="http://cullmann.io">cullmann.io</a>) <<a href="mailto:christoph@cullmann.io">christoph@cullmann.io</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 2022-10-25 13:52, Ahmad Samir wrote:<br>
> On 25/10/22 13:29, Harald Sitter wrote:<br>
>> On Tue, Oct 25, 2022 at 1:22 PM Ahmad Samir <<a href="mailto:a.samirh78@gmail.com" target="_blank">a.samirh78@gmail.com</a>> <br>
>> wrote:<br>
>>> <br>
>>> Can a first time contributor create a fork, create multiple/100 MR's <br>
>>> and spin up CI jobs? if yes,<br>
>>> then, first time contributors can disrupt the system.<br>
>>> <br>
>>> Weren't there some suspicious accounts that were using our gitlab <br>
>>> instance for bitcoin mining (I<br>
>>> could be wrong, I vaguely remember someone from Sysadmin team talking <br>
>>> about something like that)?<br>
>>> were these first time contributors or ones with developer accounts?<br>
>> <br>
>> I'm sure 2fa doesn't help with that (:<br>
> <br>
> I am not a cyber security expert, but isn't 2FA comparable to captcha <br>
> stuff? it's not hard, but it takes some extra time. Which forum would a <br>
> spammer target? the one with the "create account and login immediately" <br>
> or the one with "create account, verify captcha hell, verify email <br>
> address"?<br>
<br>
That is true, but did we have concrete issues with spam accounts?<br></blockquote><div><br></div><div>2FA and CAPTCHA's try to solve two totally different problems.</div><div>Please do not try to conflate them with each other.</div><div><br></div><div>CAPTCHA's are designed to prevent bots (and more recently other suspicious actors) from taking specific actions, such as registering accounts.</div><div>Often CAPTCHA's are intended to block spammers.</div><div><br></div><div>2FA is designed to verify that a user is who they say they are - through confirming they are in possession of something (whether that be a TOTP Secret, or a Webauthn hardware token).</div><div>It is intended to defeat phishing, where legitimate and innocent user accounts are compromised and abused by bad actors.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
And if yes, a one time captcha solving is a lot lower barrier the to <br>
need to do 2fa auth for a trivial issue<br>
Comment or merge request.<br>
<br>
At least for any part I work on in KDE the issue is manpower.<br>
<br>
Any step to make it more easier to help is good.<br>
Any step to make it harder is bad.<br>
<br>
I see the point why we not work on GitHub,<br>
I don't like to be dependent on some random company<br>
that in worst case can randomly pull the plug.<br>
<br>
But I somehow don't understand why we need to enforce<br>
this now even for new accounts without rights.<br>
<br>
I must confess I would like it even more if 2fa<br>
would only be required on doing some action that<br>
Is problematic and not just on any issue or merge<br>
request comment. But I assume that is not feasible.<br></blockquote><div><br></div><div>You are correct. </div><div><br></div><div>2FA forms part of the process of authentication - that is confirming the user is who they say they are.</div><div>It therefore can only be applied at the time of login.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
Greetings<br>
Christoph<br>
<br>
-- <br>
Ignorance is bliss...<br>
<a href="https://cullmann.io" rel="noreferrer" target="_blank">https://cullmann.io</a> | <a href="https://kate-editor.org" rel="noreferrer" target="_blank">https://kate-editor.org</a></blockquote><div><br></div><div>Regards,</div><div>Ben </div></div></div>