Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Каталог PyPI внедрил новую систему проверки подлинности пакетов" | +/– | |
Сообщение от opennews (??), 14-Ноя-24, 20:52 | ||
Разработчики репозитория Python-пакетов PyPI (Python Package Index) объявили о внедрении поддержки механизма цифровой аттестации для проверки подлинности опубликованных пакетов, которая пришла на смену верификации с использованием PGP-подписей. Ключевым отличием аттестации является то, что публикация пакета заверяется не разработчиком, а третьим лицом (каталогом пакетов) после подтверждения достоверности публикации через внешнего провайдера OpenID Connect (например, после проверки, что публикуемый пакет соотносится со связанным с ним репозиторием на GitHub или GitLab)... | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения | [Сортировка по времени | RSS] |
1. "Каталог PyPI внедрил новую систему проверки подлинности паке..." | –1 +/– | |
Сообщение от Аноним (-), 14-Ноя-24, 20:52 | ||
Вот поэтому всё нужно писать с нуля самостоятельно. Это быстрее и надёжнее, чем качать 100500 надстроек и прослоек, которые написаны не пойми кем и вполне себе могут быть напичканы бэкдорами. Любители фреймворков можете критиковать, но в таком случае задумайтесь, чем вы отличаетесь от ф///шистов, который точно так же нетерпимы ко всему, что не вписывается в их мировоззрение. | ||
Ответить | Правка | Наверх | Cообщить модератору |
6. "Каталог PyPI внедрил новую систему проверки подлинности паке..." | +3 +/– | |
Сообщение от Аноним (6), 14-Ноя-24, 21:27 | ||
>Вот поэтому всё нужно писать с нуля самостоятельно | ||
Ответить | Правка | Наверх | Cообщить модератору |
12. "Каталог PyPI внедрил новую систему проверки подлинности паке..." | +/– | |
Сообщение от Аноним (12), 14-Ноя-24, 22:00 | ||
Обычно tcp уже реализован в самой системе, так что придумай что-то более остроумное, если уж так хочется выступать в роли вaньки бaлaгaнного. | ||
Ответить | Правка | Наверх | Cообщить модератору |
16. "Каталог PyPI внедрил новую систему проверки подлинности паке..." | +2 +/– | |
Сообщение от ОШИБКА Отсутствуют данные в поле Name (?), 14-Ноя-24, 22:32 | ||
Ну значится систему надо обязательно свою иметь, самописанную. И чтоб ни строчки чужого кода. | ||
Ответить | Правка | Наверх | Cообщить модератору |
21. "Каталог PyPI внедрил новую систему проверки подлинности паке..." | +/– | |
Сообщение от Аноним (21), 14-Ноя-24, 23:15 | ||
Так то он прав. Нужно определиться с какого момента мы начинаем полагаться на чужой код? С ОС, драйверов, ЯП? | ||
Ответить | Правка | Наверх | Cообщить модератору |
17. Скрыто модератором | +/– | |
Сообщение от Аноним (-), 14-Ноя-24, 22:33 | ||
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору |
22. Скрыто модератором | +/– | |
Сообщение от Аноним (22), 14-Ноя-24, 23:26 | ||
Ответить | Правка | Наверх | Cообщить модератору |
25. Скрыто модератором | +1 +/– | |
Сообщение от Аноним (25), 14-Ноя-24, 23:44 | ||
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору |
31. "Каталог PyPI внедрил новую систему проверки подлинности паке..." | +/– | |
Сообщение от foo (?), 15-Ноя-24, 00:04 | ||
>Вот поэтому всё нужно писать с нуля самостоятельно. | ||
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору |
35. "Каталог PyPI внедрил новую систему проверки подлинности паке..." | +/– | |
Сообщение от Ivan_83 (ok), 15-Ноя-24, 00:18 | ||
Я пишу крипту сам (реализации имеющихся алгоритмов), ничего плохого в этом нет. | ||
Ответить | Правка | Наверх | Cообщить модератору |
42. "Каталог PyPI внедрил новую систему проверки подлинности паке..." | +/– | |
Сообщение от Аноним (42), 15-Ноя-24, 01:14 | ||
где можно посмотреть на твои творения? | ||
Ответить | Правка | Наверх | Cообщить модератору |
4. Скрыто модератором | +1 +/– | |
Сообщение от Аноним (4), 14-Ноя-24, 21:12 | ||
Ответить | Правка | Наверх | Cообщить модератору |
10. Скрыто модератором | –3 +/– | |
Сообщение от Аноним (-), 14-Ноя-24, 21:51 | ||
Ответить | Правка | Наверх | Cообщить модератору |
11. Скрыто модератором | +1 +/– | |
Сообщение от Аноним (4), 14-Ноя-24, 21:58 | ||
Ответить | Правка | Наверх | Cообщить модератору |
14. Скрыто модератором | –1 +/– | |
Сообщение от Аноним (-), 14-Ноя-24, 22:25 | ||
Ответить | Правка | Наверх | Cообщить модератору |
20. Скрыто модератором | +/– | |
Сообщение от Аноним (20), 14-Ноя-24, 23:05 | ||
Ответить | Правка | Наверх | Cообщить модератору |
8. "Каталог PyPI внедрил новую систему проверки подлинности паке..." | –1 +/– | |
Сообщение от Аноним (-), 14-Ноя-24, 21:31 | ||
Все правильно. PGP показал свою бесполезность уже давно. | ||
Ответить | Правка | Наверх | Cообщить модератору |
24. "Каталог PyPI внедрил новую систему проверки подлинности паке..." | +/– | |
Сообщение от нах. (?), 14-Ноя-24, 23:30 | ||
> Все правильно. PGP показал свою бесполезность уже давно. | ||
Ответить | Правка | Наверх | Cообщить модератору |
29. "Каталог PyPI внедрил новую систему проверки подлинности паке..." | +/– | |
Сообщение от Аноним (-), 15-Ноя-24, 00:00 | ||
> да ты можешь лично проверить паспорт Juan Tjan - как это поможет от написанного им троянца? | ||
Ответить | Правка | Наверх | Cообщить модератору |
32. "Каталог PyPI внедрил новую систему проверки подлинности паке..." | +/– | |
Сообщение от нах. (?), 15-Ноя-24, 00:06 | ||
> Во-первых его можно найти) | ||
Ответить | Правка | Наверх | Cообщить модератору |
34. "Каталог PyPI внедрил новую систему проверки подлинности паке..." | +/– | |
Сообщение от Аноним (-), 15-Ноя-24, 00:12 | ||
> и че ты ему сделаешь, он вообще в другом городе. | ||
Ответить | Правка | Наверх | Cообщить модератору |
19. "Каталог PyPI внедрил новую систему проверки подлинности паке..." | +2 +/– | |
Сообщение от 12yoexpert (ok), 14-Ноя-24, 23:01 | ||
тотальная централизация. отсутствие ключей на популярных серверах им не нравится, ппц | ||
Ответить | Правка | Наверх | Cообщить модератору |
23. "Каталог PyPI внедрил новую систему проверки подлинности паке..." | +/– | |
Сообщение от нах. (?), 14-Ноя-24, 23:26 | ||
"Дополнительно можно отметить выявление в каталоге PyPI вредоносного пакета "fabrice", который при помощи тайпсквотинга" | ||
Ответить | Правка | Наверх | Cообщить модератору |
37. "Каталог PyPI внедрил новую систему проверки подлинности паке..." | +/– | |
Сообщение от 12yoexpert (ok), 15-Ноя-24, 00:26 | ||
ладно бы только сама по себе централизация, но выкладывание (неудаляемого!) ключа на публичный сервер это конец для личного почтового сервера. этим ты как бы кричишь на весь интернет "мне вот сюда, я даже не смазывал" | ||
Ответить | Правка | Наверх | Cообщить модератору |
30. "Каталог PyPI внедрил новую систему проверки подлинности паке..." | +/– | |
Сообщение от Аноним (-), 15-Ноя-24, 00:03 | ||
Кому им? | ||
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору |
36. "Каталог PyPI внедрил новую систему проверки подлинности паке..." | +/– | |
Сообщение от 12yoexpert (ok), 15-Ноя-24, 00:21 | ||
> Кому им? | ||
Ответить | Правка | Наверх | Cообщить модератору |
38. "Каталог PyPI внедрил новую систему проверки подлинности паке..." | –1 +/– | |
Сообщение от Аноним (38), 15-Ноя-24, 00:30 | ||
>> Разве они не вправе устанавливать правила на своей платформе? | ||
Ответить | Правка | Наверх | Cообщить модератору |
39. "Каталог PyPI внедрил новую систему проверки подлинности паке..." | +/– | |
Сообщение от 12yoexpert (ok), 15-Ноя-24, 00:37 | ||
> каждый кому не нравится PyPI, может сделать свой сервис с блекджеком и щво6одькой. | ||
Ответить | Правка | Наверх | Cообщить модератору |
26. "Каталог PyPI внедрил новую систему проверки подлинности паке..." | +1 +/– | |
Сообщение от Аноним (22), 14-Ноя-24, 23:48 | ||
Лучше бы они с тайпсквоттингом боролись, и вообще с мусором который там тоннами регистрируют, что прекрасно видно если их фиды обрабатывать. А уж как защищать свой код мы сами разберёмся без сопливых. Так, их "обязательная" 2FA у меня на гитхабе в README свободно выложено, потому что я не считаю что должен тратить время и рисковать доступом к изменению своих пакетов ради гипотетической безопасности потребителей этих пакетов. | ||
Ответить | Правка | Наверх | Cообщить модератору |
33. "Каталог PyPI внедрил новую систему проверки подлинности паке..." | +/– | |
Сообщение от Аноним (-), 15-Ноя-24, 00:06 | ||
> А уж как защищать свой код мы сами разберёмся без сопливых | ||
Ответить | Правка | Наверх | Cообщить модератору |
41. "Каталог PyPI внедрил новую систему проверки подлинности паке..." | +/– | |
Сообщение от Аноним (41), 15-Ноя-24, 01:03 | ||
Учитывая, что кроме самого ридми там ничего ценного нет и быть не может, то вреда от тебя ровно столько же, сколько и пользы. | ||
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору |
43. "Каталог PyPI внедрил новую систему проверки подлинности паке..." | +1 +/– | |
Сообщение от Аноним (43), 15-Ноя-24, 01:15 | ||
Это лютая дичь. По сути pypi предлагает доверить безопасность пакетов gitlab или github. | ||
Ответить | Правка | Наверх | Cообщить модератору |
45. "Каталог PyPI внедрил новую систему проверки подлинности паке..." | +/– | |
Сообщение от Вы забыли заполнить поле Name (?), 15-Ноя-24, 02:22 | ||
> По сути pypi предлагает доверить безопасность пакетов github | ||
Ответить | Правка | Наверх | Cообщить модератору |
44. "Каталог PyPI внедрил новую систему проверки подлинности паке..." | +/– | |
Сообщение от Вы забыли заполнить поле Name (?), 15-Ноя-24, 02:20 | ||
* оверинжиниринг | ||
Ответить | Правка | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |