08:51 <debnet> Ah ouais.
14:52 <discord_afpy> <pmp_p> bah je me suis meme pas loggué j'upload mon package avec un vieux token et ça passe
14:53 <discord_afpy> <pmp_p> ça sert à rien le 2FA du coup
14:53 <discord_afpy> <pmp_p> si on me pique mon ordi y a le token dans un magnifique fichier texte
14:57 <discord_afpy> <pmp_p> https://bouletcorp.com/rogatons/2024/01/30
14:59 <discord_afpy> <chadys> Bah théoriquement, on est sensé pouvoir invalider un token justement en allant sur son compte. Et la bonne pratique consiste à mettre une date de validité raisonnable à son token quand on le génère. Donc l'accès au compte reste ce qu'il y a de plus critique en terme de sécu. (après je n'ai jamais publié sur pypi donc leur fonctionnement de token est pt différent)
15:01 <debnet> Ah j'ai subi cette histoire de token quand j'ai voulu uploader mon package avec twine y a quelques jours.
15:01 <debnet> C'était un peu l'enfer à configurer.
15:01 <debnet> Mais bon au moins c'est fait.
15:19 <entwanne> je me souviens avoir entendu parler de 2FA pour les gros comptes il y a plusieurs mois, là c'est un truc plus récent qui concerne tous les comptes ?
15:20 <discord_afpy> <pmp_p> ouais c'est obligatoire a priori ( jeme suis pas loggué depuis 2 mois j'ai pas vérifié , mais j'ai pris mes codes de récupération au cazou )
15:21 <entwanne> mais c'est pour se logger sur la plateforme web ou pour pousser des paquets uniquement ? (je me souviens plus si j'ai configuré ça ou pas)
15:21 <asyd> https://github.com/pypi/support/issues/824 pas mal
15:22 <discord_afpy> <pmp_p> pour se logguer je pense je viens de recevoir un mail "Once one of these secure forms is enabled on your account, you will also need to use either Trusted Publishers (preferred) or API tokens to upload to PyPI. "
15:23 <discord_afpy> <pmp_p> api token <= ça marche je viens de push un paquet
22:18 <mdk> oui y'a une mise à jour en cours du Discourse
23:50 <debnet> :D