forum.opennet.ru

"Атакующие получили доступ к 174 учётным записям в каталоге PyPI "

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Есть идеи по улучшению форума и сайта ? Пишите.

. "Атакующие получили доступ к 174 учётным записям в каталоге P..."	–1 +/–
Сообщение от Аноним (24), 04-Апр-24, 00:04
>Пострадавшие учётные записи были заблокированы до окончания разбирательства, а всем остальным пользователям PyPI, у которых не была включена двухфакторная аутентификация, отправлены уведомления и инициирован процесс повторной верификации их email. То есть под предлогом мизерного процента скомпрометированных записей проблемы создают всем остальным, да ещё и на мороз выгоняют всех, у кого записи на временную почту зареганы. Да ради создания этого повода можно самим наделать 147 жалких sockpuppetов. Легитимности это всё равно хтим действиям никакой не даст, только ещё один довод не связываться с этим дерьмом и все пакеты хостить исключительно у себя на гите. Даже если это откроет "увизгвимость" с регой на pypi пакета с совпадающим именем: у кого включена загрузка с pypi - тот сам виноват и сочуствия не заслуживает.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Атакующие получили доступ к 174 учётным записям в каталоге PyPI , opennews, 03-Апр-24, 20:02 [смотреть все]

Поэтому нужно использовать пакетный менеджер дистрибутива, а не каждый раз подтя, Аноним, 03-Апр-24, 20:02 (1) //
- Следующая новость Атакующие получили доступ к 174 учётным записям в каталоге Gi, Аноним, 03-Апр-24, 20:04 (2) //
  - Это не меняет Запуская pip install, получаешь самую новую версию, возможно ском, Аноним, 03-Апр-24, 20:06 (4) //
    - Возможно протрояненная месяцем годом раньше , Аноним, 03-Апр-24, 20:26 (6)
      - Об отказе от Python думать надо , Аноним, 03-Апр-24, 20:40 (7)
        
        И заодно Си, судя по последним 50 годам бэкдоров, намеренных и случайных Да вот, Аноним, 03-Апр-24, 21:05 (9)
        Ну заменят каким-нибудь Nim, но со времененм и там будет не менее скучная помойк, Аноним, 04-Апр-24, 01:09 (27)
        
        так жээсом же и он уже помойка, не надо ничего придумывать, penetrator, 04-Апр-24, 03:35 (30)
        
        Хорошо отказываемся Но возникает вопрос На что тогда переходим Перечисли анало, Аноним, 05-Апр-24, 03:51 (98)
        
        Аналоги будут аналогичны Отказываться надо сразу от всего Тушишь полностью сво, microcoder, 05-Апр-24, 05:13 (101)
        На чистый СИ, Аноним, 05-Апр-24, 08:04 (104)
        
        А либы xz не на Си ли писали , microcoder, 05-Апр-24, 09:28 (106)
    - Да, зафиксированная Например, зафиксированная на версии 5 6 1, oficsu, 03-Апр-24, 20:55 (8)
      - любители bleeding edge должны страдать , Аноним, 04-Апр-24, 07:37 (35)
    - ту версию, которую прописал в зависимостях По другому бывает только в Hello, wo, Аноним, 03-Апр-24, 21:08 (11)
      - Наоборот - только у писателей хеловротов хватает времени и вдохновения бегать ф, нах., 04-Апр-24, 07:33 (33)
- Я так думаю что именно ты и приступишь к этому Все сотни тысячь пипок опакетишь, scriptkiddis, 03-Апр-24, 20:06 (3) //
  - Зачем сотни тысяч Всё что кому-то нужно давно опакечено, например https repol, Аноним, 03-Апр-24, 21:49 (14) //
    - Ну так они хотели жить на bleeding edge, заодно - вот - и все минные поля размин, Аноним, 04-Апр-24, 00:58 (26)
    - Очередной гореадмин локалхоста venv и pip отличные инструменты, но не для горе, Аноним, 05-Апр-24, 04:00 (99)
  - rm -rf спасёт дистростроителей, Tron is Whistling, 03-Апр-24, 22:19 (17)
- Атакующие получили доступ к 174 учетным записям CI дистрибутива X ну шо за д, namenotfound, 03-Апр-24, 21:28 (13)
- У питоньих разработчиков добраться до оригинального VCS можно менее чем в полови, yet another anonymous, 04-Апр-24, 03:17 (29)
- как понимаю, ты не прогер, а просто эксперт опеннета с широким кругозором что т, pelmaniac, 04-Апр-24, 08:53 (39) //
  - Неправильно понимаешь, я прогер , Аноним, 04-Апр-24, 09:36 (43) //
    - Зачем же прогеру делать вид, что он это несколько разных Анонимов Зачем так дел, n00by, 04-Апр-24, 16:03 (73)
  - Те, кто использует PyPi - тоже не прогеры Прогеры это те, кто пишет на C, на С , Аноним, 04-Апр-24, 10:03 (46) //
    - То есть, чем сильнее ты страдаешь, используя кривые инструменты - тем больше ты , Аноним, 04-Апр-24, 10:39 (52)
    - Исключение -- программисты perl , Аноним, 04-Апр-24, 10:45 (54)
    - Я бы вообще называл прогерами только тех, кто освоил компутер саенс, ну так чтоб, Аноним, 04-Апр-24, 11:31 (56)
      - это то что не про питонистов тоже мне прогеры, Аноним, 04-Апр-24, 11:41 (57)
      - Лол, вычисления на регистровых машинах -- это вообще только 5 глава SICP, не сам, anonymous, 04-Апр-24, 12:43 (60)
        
        Умение скачать скрипты через pip тоже не делает, Аноним, 04-Апр-24, 13:55 (68)
      - Чёйта это ты про операторов ЭВМ так уничижительно Для справки - В СССР програм, 1, 04-Апр-24, 15:47 (71)
        
        Бред , Аноним, 04-Апр-24, 19:56 (85)
      - Так в CS курсе MIT заменили LISP как раз на Python , n00by, 04-Апр-24, 16:05 (74)
    - те самые ребята, который за что более-менее сложное ни возьмутся smbd, httpd, c, pelmaniac, 04-Апр-24, 23:32 (96)
- А на Windows что использовать посоветуешь Ну, на той маргинальщине, которой пол, Аноним, 04-Апр-24, 10:42 (53) //
  - WSL же , 1, 04-Апр-24, 15:48 (72) //
    - Та ещё бяка Некоторое время использовал WSL, но вернулся к старым добрым виртуал, Аноним, 05-Апр-24, 04:06 (100)
Двухфакторная аутентификация ничем в плане безопасности не лучше, Аноним, 03-Апр-24, 20:06 (5) //
- Поясни почему, по пунктам А то вот недавно в амазоновском govcloud аккаунт реги, Аноним, 03-Апр-24, 21:13 (12) //
  - this, Аноним, 03-Апр-24, 22:39 (20) //
    - нет, там опечатка в слове индусы , Аноним, 04-Апр-24, 10:09 (48)
  - Не для домена gov no, случаем, используется В любом случае для любой сферы, свя, Аноним, 03-Апр-24, 23:58 (23) //
    - Ну да, зачем вытирать, если прикрыть достаточно , Аноним, 04-Апр-24, 09:08 (41)
  - Двухфакторка по смс, если анон имел именно ее ввиду, и правда не самый безопасны, Аноним, 04-Апр-24, 10:08 (47)
- Ну вот к примеру живёт себе такой Джон Хренпокладофф завёл емейл john hrenpokl, Аноним, 03-Апр-24, 22:24 (19) //
  - чуваки нажали бы кнопочку ой, мабилка сресетилась и забыла сид - сгенерите-ка м, нах., 04-Апр-24, 07:39 (36)
- Казалось бы, в новости случай, который прядо говорит об обратном, но опеннетный , Аноним, 04-Апр-24, 08:42 (38)
Ну и фиг с ним Кто пользуется - молодец , Tron is Whistling, 03-Апр-24, 22:18 (16)
Интересно, конечно, что не сделали 2FA обязательной А по поводу паролей - менедж, Аноним, 03-Апр-24, 22:53 (21) //
- Не у всех есть телефоны с симкой, так как они по паспорту выдаются, microcoder, 04-Апр-24, 11:31 (55) //
  - Чел, чтобы для 2FA сгенерить TOTP даже доступ в инет не нужен , Аноним, 04-Апр-24, 13:00 (61) //
    - У себя дома ты можешь что угодно генерить, только пошлёшь ты мне как Голубем , microcoder, 04-Апр-24, 13:23 (66)
  - Open Source менеджер паролей KepassXC даёт возможность настроить TOTP Для его ис, Аноним, 04-Апр-24, 13:03 (62) //
    - Плз, поподробнее здесь Захожу я к примеру на гитхаб, а он мне шлёт SMS, а я так, microcoder, 04-Апр-24, 13:26 (67)
      - Если там ТOTP второй фактор, то никаких СМС никто не шлёт а ждёт 6 цифирек из Т, Аноним, 04-Апр-24, 16:26 (76)
        
        Спасибо добрый человек Буду разбираться , microcoder, 04-Апр-24, 16:51 (79)
        
        Я тот аноним что изначально написал про KepassXC Пояснение написал другой Так , Аноним, 04-Апр-24, 18:38 (81)
- Подавляющее большинство не хочется об этом задумываться Когда я пытаюсь просвещ, Аноним, 04-Апр-24, 13:05 (63) //
  - А в чём преимущество по сравнению с таблицей под паролем , Аноним, 04-Апр-24, 14:00 (69) //
    - Автоматом подставляет логин пасс в поля на сайтах, microcoder, 04-Апр-24, 16:18 (75)
      - и не только туда Чем и плох , пох., 04-Апр-24, 18:01 (80)
      - Это какой менеджер паролей так делает Так делают браузеры которые сохраняют лог, Аноним, 04-Апр-24, 18:41 (82)
        
        Так делает KeePassXC В браузер ставится расширение и оно как-то связывается с к, microcoder, 04-Апр-24, 19:55 (84)
        
        Никогда не ставил это расширение Всегда подозревал неладное Одно дело Гугл Хро, Аноним, 04-Апр-24, 20:48 (86)
        
        Об этом вы никогда не узнаете, microcoder, 04-Апр-24, 20:53 (87)
        
        Ну всё же доверия Фаерфоксу больше чем Хрому , Аноним, 04-Апр-24, 20:58 (89)
        
        На чём основано Фаерфоксу платит Гугель, и ему кушать хочецца, microcoder, 04-Апр-24, 21:17 (91)
        
        То что Хром шпионит о каждом чихе нам известно То что Фаерфокс шпионит это гипо, Аноним, 04-Апр-24, 22:55 (93)
        https www opennet ru cgi-bin openforum vsluhboard cgi az post om 133302 forum , Аноним, 05-Апр-24, 12:52 (118)
        Тебе же уже рассказал про существование KepassXC Просто начни им пользоваться и, Аноним, 05-Апр-24, 12:53 (119)
        
        Режим параноика никто не отменял Я то пользуюсь, но рано или поздно в нём н, microcoder, 05-Апр-24, 13:09 (121)
        Я тебе рекомендую лучшие практики , Аноним, 06-Апр-24, 19:11 (137)
    - Ну Во-первых таблица хранится в открытом доступе без шифрования Получив доступ, Аноним, 04-Апр-24, 18:48 (83)
- У меня для Вас плохие новости даже руки после сортира не все в состоянии помыт, Аноним, 04-Апр-24, 16:29 (77) //
  - В туалете я касаюсь только своего тела От самого себя сложно заразиться чем-то , Аноним, 04-Апр-24, 20:56 (88)
  - Хотя я научил пользоваться KepassXC секретаршу в небольшой конторе Но не смог н, Аноним, 04-Апр-24, 21:04 (90) //
    - А если в менеджере закладка как в недавнем xz Что тогда Кого надо будет расст, microcoder, 04-Апр-24, 21:25 (92)
      - Менеджер паролей с гипотетической закладкой против хранения паролей в таблицах э, Аноним, 04-Апр-24, 22:57 (94)
        
        И какое же меньшее таблицу можно шифровать и вероятность там закладки почти нул, microcoder, 04-Апр-24, 23:20 (95)
        
        Это даже не смешно , Аноним, 04-Апр-24, 23:37 (97)
        Сколько времени у тебя будет уходить на расшифровку таблицы , Аноним, 05-Апр-24, 12:03 (111)
        
        GPG шифрует 500 MBytes за 3 77s на Intel i7 at 2 7 GHz, 64-bit modehttps secur, microcoder, 05-Апр-24, 12:35 (116)
        
        Мне просто любопытно, ты будешь занимать ручным шифрованием и расшифрованием каж, Аноним, 05-Апр-24, 12:45 (117)
        
        Ярлыки никто не запрещал Создаёшь ярлык, в нём команду на дешифровку Ввёл паро, microcoder, 05-Апр-24, 13:06 (120)
      - А если не будет , Аноним, 05-Апр-24, 08:03 (103)
        
        А кто гарантирует и чем Где основания А так ты милок можешь сколь угодно гадат, microcoder, 05-Апр-24, 09:27 (105)
        
        Статистика Напоминает анекдот от статистов про блондинку и динозавра Так и ты с, Аноним, 05-Апр-24, 10:32 (109)
        
        Это не аргумент Статистика ничего не открывает, пока ей ничего не дадут Гарант, microcoder, 05-Апр-24, 12:07 (112)
        
        Всё что ты предлагаешь это костыль вместо специализированной программы Где гара, Аноним, 05-Апр-24, 12:12 (114)
        
        Альтернативы какие Шифровать таблицу Чем шифровать Откуда ты уверен что в твоё, Аноним, 05-Апр-24, 12:11 (113)
Ээээ, а перевод точно верен , Аноним, 03-Апр-24, 23:12 (22) //
- В PyPI чтобы совершать действия с аккаунтом обязательно нужно, чтобы была включе, Аноним, 04-Апр-24, 00:09 (25)
То есть под предлогом мизерного процента скомпрометированных записей проблемы со , Аноним, 04-Апр-24, 00:04 (24) //
- А ты последовательный , Аноним, 04-Апр-24, 08:41 (37)
- Но ведь на временную почту ничего ценного не регистрируют Так ли велика утеря , _kp, 06-Апр-24, 02:32 (134)
Есть только один способ решения этой проблемы писать ВСЁ самому Да здравствуют, Вы забыли заполнить поле Name, 04-Апр-24, 01:12 (28) //
- Ну а кто заставляет делать колёса квадратными Скопипастил пару строк из интерес, Аноним, 04-Апр-24, 09:07 (40) //
  - База , Аноним, 04-Апр-24, 10:11 (49)
  - Колеса именно поэтому и получаются квадратными - потому что берут их из интересн, Аноним, 04-Апр-24, 12:12 (58)
- Колеса переоценены, предки ходили пешком и на лошадях сказали и ничего, выжили к, Аноним, 04-Апр-24, 13:07 (64) //
  - Хождение на двух ногах переоценено, предки прыгали по деревьям и ничего, выжили , Аноним, 04-Апр-24, 14:25 (70)
174 учетки скомпрометированы Может список пакетов дать, сказать какие из них ну, Аноним, 04-Апр-24, 07:28 (32) //
- а смысл Пока ты этот список читаешь - скомпрометируют 140 следующих Это ж - пи, нах., 04-Апр-24, 07:36 (34) //
  - Найми себе проверяльщика за деньги Отличная идея для стартапа , Аноним, 04-Апр-24, 09:56 (44) //
    - Идея мне нравится, но с таким подходом - ты этого слона не продашь Может чатгопо, нах., 04-Апр-24, 10:14 (50)
- В том то и дело что не надо ничего откатывать Мошенника поймали А названия пак, Аноним, 04-Апр-24, 09:58 (45) //
  - мамой клянёшься 170 пакетов, это не один и не два Проверили меньше чем за день, Аноним, 04-Апр-24, 12:15 (59)
- Есть мнение что собственно пакеты тех обалдуев, что использовали одинаковые паро, Аноним, 04-Апр-24, 16:33 (78)
Ничего, скоро код на пятоне будет генерировать на лету GPT И не надо будет ника, 1, 04-Апр-24, 09:18 (42) //
- а поскольку он учился на примерах лучших из худших - он затолкает в них зависимо, нах., 04-Апр-24, 10:15 (51)
Python странная технология Есть ощущение, что он популярен только потому что од, Илья, 05-Апр-24, 09:45 (107) //
- А что вы хотите на нём писать, что он у вас медленный В остальных задачах скоро, microcoder, 05-Апр-24, 10:29 (108) //
  - code python3Traceback most recent call last File stdin , line 1, in m, Аноним, 05-Апр-24, 10:36 (110) //
    - А так В Пайтоне есть такая штука как operator ove, microcoder, 05-Апр-24, 12:23 (115)
      - тогда уж так print 2 4 будет совсем не 8 , Аноним, 05-Апр-24, 13:18 (122)
        
        Да, Python обладает строгой динамической не статической типизацией Это работа, microcoder, 05-Апр-24, 13:31 (123)
        
        но ведь м , Аноним, 05-Апр-24, 16:42 (124)
        
        Ну статические имел ввиду типы это ограничение, АнонПапка, 05-Апр-24, 17:15 (126)
        
        и это ограничение Правильно сделано в Perl Если я хочу конкатенацию строк, я п, Аноним, 05-Апр-24, 19:08 (129)
        
        А кто мешает в Python реализовать метакласс в котором переопределить операторы , microcoder, 05-Апр-24, 19:50 (131)
        
        но зачем -D, Аноним, 05-Апр-24, 20:12 (132)
        
        Дело ваше конечно Просто возможность Хотите используете - хотите нет Почти ни, microcoder, 05-Апр-24, 21:40 (133)
        возможность overloadнуть методы ни-мо-жит-быть только на опеннете тебе пито-ня, Аноним, 06-Апр-24, 05:25 (135)
        
        А можно не надо Моя мысль в том, что питон требует массы усилий, чтобы с ним но, Илья, 08-Апр-24, 13:18 (141)
        
        Извиняюсь, поправлю Ты вряд-ли пишешь 1 2 Скорее всего ты пишешь amount , Илья, 08-Апр-24, 13:06 (140)
  - Обработка цен в реальном времени Давайте представим геймдев на питоне Или блокч, Илья, 05-Апр-24, 17:07 (125) //
    - На счёт C не знаю, а вот Java не полностью объектно-ориентированная Операторы , microcoder, 05-Апр-24, 17:39 (127)
      - А должны А должны Ты же понимаешь, надеюсь, что объекты требуют выделения памя, Илья, 08-Апр-24, 13:00 (139)
        
        1 Гб ОЗУ стоит меньше, чем я потратил время на то, чтобы тебе ответить, microcoder, 14-Апр-24, 08:56 (142)
        
        окей- добавь мне 1 гигабайт памяти в макбук, телефон или 75 продаваемых ноутбук, Илья, 14-Апр-24, 10:07 (143)
    - Ну пусть пишут, если exception ы не захотели писать, microcoder, 05-Апр-24, 17:47 (128)
      - окей, эксепшены замена юнит-тестам, записал опеннет познавательный , Аноним, 05-Апр-24, 19:11 (130)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру