Hacker News Digest

Guideline была приобретена Gusto, поставщиком решений по расчету зарплаты, льготам и HR для малого бизнеса. Слияние позволит предоставить более интегрированные услуги по расчету зарплаты и 401(k), а в будущем пользователи смогут получать доступ к пенсионному счету через Gusto с помощью единого входа (SSO). Все текущие услуги, включая мобильное приложение, выписки и образовательные ресурсы, останутся без изменений, а исторические документы останутся доступными.

Никаких немедленных действий от пользователей не требуется - текущие настройки 401(k) остаются прежними, все взносы продолжаются как обычно. Планируемых изменений в ценах нет, инвестиции и распределения активов останутся неизменными, а все транзакции будут обрабатываться своевременно. Команды поддержки Guideline не меняются, вопросы по пенсионным планам можно продолжать направлять на существующие адреса электронной почты.

• Пользователи обсуждают, что приобретение Guideline компанией Gusto может быть связано с недавним судебным разбирательством, обвиняющим Guideline в корпоративном шпионаже, и что это может быть причиной того, что обсуждение происходило именно сейчас.
• Участники обсуждения высказывают мнение, что обе компании имеют плохую репутацию в отношении обращения с клиентами и их деньгами, и что это может быть причиной для беспокойства.
• Участники обсуждения также обсуждают, что обе компании имеют плохую репутацию в отношении обращения с клиентами и их деньгами, и что это может быть причиной для беспокойства.
• Участники обсуждения также обсуждают, что обе компании имеют плохую репутацию в отношении обращения с клиентами и их деньгами, и что это может быть причиной для беспокойства.

• На этой неделе после атаки на npm целью стал crates.io.
• Рассылается письмо «Инцидент безопасности: взлом инфраструктуры».
• Просят перейти по ссылке и войти через «внутренний SSO» — это фейк.
• Сайт копирует GitHub-авторизацию, крадёт токены.
• Подделка заметна по домену, отсутствию HTTPS и странному URL.
• Настоящий crates.io никогда не просит войти через сторонние формы.
• Получили письмо — удалите, не кликайте; включите 2FA и проверьте токены.

• Фишинг снова в тренде: мошенники массово атакуют разработчиков через «сломанные» пакеты (npm, crates.io), подделывают e-mail от PayPal и GitHub.
• Самые опасные письма подписываются реальным доменом (paypal.com, github.rustfoundation.dev) и ведут на поддельный «внутренний» логин; звонки «от банка» тоже подменяют номер.
• Правило «ноль доверия»: не кликайте, не звоните по указанным ссылкам/номерам; заходите на сайт вручную или набираете официальный номер из надежного источника.
• Даже опытные разработчики чуть не ведутся: письмо выглядит срочным, без опечаток, с корректным логотипом и SSL, но просит «подтвердить» учётку на стороннем домене.
• Защита: включайте passkey / 2FA, не вводите пароль на незнакомых доменах, после любого изменения безопасности временно блокируйте публикацию пакетов.

SSO Wall of Shame — список вендоров, считающих SSO роскошью, а не базовой безопасностью.

SSO позволяет компании управлять доступом через собственный поставщик идентификации (Google, Okta, Azure AD), централизованно создавать/удалять аккаунты и мгновенно отключать уволенных сотрудников. Для любой организации >5 человек это критично.

Однако вендоры прячут SSO за «Enterprise»-тарифами, где цена выше в 2–4 раза или привязана к большому пакету ненужных функций. Это тормозит внедрение безопасности.

Примеры завышенных надбавок

Вендор	Базовая цена	SSO-цена	Рост
Airtable	$10/польз./мес	$60	+500 %
Appsmith	$15	$2 500	+16 567 %
Coursera	$399/польз./год	$49 875/год	+12 400 %
Cloudflare	$20/домен/мес	$1 000	+4 900 %
Breezy HR	$171/мес	$1 500	+777 %
DatoCMS	$100/мес	$667	+567 %
Canva	$10/польз./мес	$40	+300 %
Figma	$12	$45	+275 %
Bitrise	$90	$270	+200 %
Box	$5	$15	+200 %

(и ещё ~30 компаний с ростом 15–167 %).

Вывод: если вендор «серьёзно относится к безопасности», SSO должен быть либо в базе, либо за умеренную доплату.

• «SSO-налог» — это не техническая, а ценовая сегментация: крупные клиенты обязаны иметь SSO (SOC2), поэтому за него платят.
• Поддержка SSO действительно дорога: множество тикетов, сложные интеграции, вызовы инженеров, особенно при частных IdP.
• Часть вендоров всё же даёт базовый SSO через Google/GitHub/Microsoft, но «частный IdP» остаётся маркером Enterprise.
• Малым компаниям SSO тоже нужен по контрактам, но высокие цены отталкивают; кто-то предлагает субсидии или прокси-решения.
• Итог: SSO = не «фича», а показатель зрелости клиента и объём его кошелька.

Кратко о PR #3899
Добавлена поддержка SSO через OpenID Connect (OIDC) в Vaultwarden.

• Что нового

  • Авторизация через внешний OIDC-провайдер (Keycloak, Azure AD, Google и др.).
  • Автоматическое создание/обновление пользователей при первом входе.
  • Настройка через переменные окружения: SSO_ENABLED, SSO_AUTHORITY, SSO_CLIENT_ID, SSO_CLIENT_SECRET.
  • Поддержка PKCE и offline_access для refresh-токенов.

• Как использовать

  1. Указать параметры OIDC в .env.
  2. Включить SSO в админ-панели.
  3. Пользователи входят кнопкой «Login with SSO».

• Ограничения

  • Только веб-клиент; мобильные/CLI пока без SSO.
  • Не работает с двухфакторной аутентификацией Vaultwarden (используйте MFA у провайдера).

• Проверено

  • Keycloak, Auth0, Azure AD, Google Workspace.

PR готов к слиянию; дальнейшие улучшения (SAML, группы) в roadmap.

• Внедрённый SSO в Vaultwarden в первую очередь нужен корпоративным и командным средам, где упрощает автоматическое добавление/удаление пользователей и управление доступом к коллекциям паролей.
• Для личного или семейного использования польза минимальна: мастер-пароль всё равно требуется, а SSO не заменяет шифрование.
• Многие админы некоммерческих и малых организаций рады возможности подключить единый OIDC-провайдер вместо ручного приглашения и отслеживания активных волонтёров/сотрудников.
• Часть пользователей обеспокоена безопасностью: просят аудитов, контроля образов Docker и зависимостей.
• SSO не отменяет мастер-пароль: он по-прежнему нужен для расшифровки хранилища, а SSO лишь аутентифицирует пользователя.