forum.opennet.ru - "PyPI пересмотрит политику в отношении персональных данных и прекратит поддержку PGP-подписей" (44)

"PyPI пересмотрит политику в отношении персональных данных и прекратит поддержку PGP-подписей"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"PyPI пересмотрит политику в отношении персональных данных и прекратит поддержку PGP-подписей"	+/–
Сообщение от opennews (??), 24-Май-23, 23:24
Директор по инфраструктуре организации Python Software Foundation опубликовал отчёт о выполнении требований по раскрытию персональных данных пользователей репозитория PyPI (Python Package Index). В марте и апреле Министерство юстиции США направило в PyPI требования о раскрытии данных 5 пользователей, которые после консультаций с юристами были выполнены. Переданные данные включали имена, адресную информацию, списки загруженных пакетов и сведения о сеансах и IP-адресах... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59191
Ответить \| Правка \| Cообщить модератору

Оглавление

показательно нужности PGP, Аноним (2), 23:36 , 24-Май-23, (2) –2

Ставлю сотку против металлической копейки, что эти 0 3 - разрабы старой школы р, Dzen Python (ok), 23:41 , 24-Май-23, (5) +9
Но лучше варианта ты же все равно не предложишь , Аноним (8), 00:27 , 25-Май-23, (8) +7

Скрыто модератором, Аноним (-), 20:09 , 25-Май-23, (37) +1

Чтобы OpenPGP заработал, как надо, необходимо соблюдать несколько условий 1 Защ, Аноним (21), 08:34 , 25-Май-23, (21) +5

Создавать ключи без строка действия, или ставить 1000 лет Размер ключа делать ма, Аноним (21), 08:49 , 25-Май-23, (22) +1
Не, ну ты скажешь тоже , YetAnotherOnanym (ok), 09:13 , 25-Май-23, (24) +8
Цифровизация в РФ под угрозой или все пункты соблюдены ИФНС во всю выдают сертиф, Аноним (30), 14:21 , 25-Май-23, (30)

Лично мне в Законе не нравится пункт о уничтожении публичных ключей Моё мнение , Аноним (34), 15:33 , 25-Май-23, (34) +1
Всё идет строго по пунктам их их плана 1 https www opennet ru openforum vsluh, Аноним (50), 15:44 , 27-Май-23, (50)

Пока нет достоверной верификации независиммым третьим лицом , - PGP подписи, OpenEcho (?), 15:12 , 25-Май-23, (31)

Есть п 2 Верификация, достоверность зависит от лица проверяющего паспорт и E-ma, Аноним (34), 15:46 , 25-Май-23, (35)

Где эти 5 человек И кто они, и почему я им должен верить что это не один и то, OpenEcho (?), 00:26 , 26-Май-23, (38)

Желательно обмен проводитьсреди грамотных людей, личности которых ты хорошо знае, Аноним (41), 07:14 , 26-Май-23, (41)

Точно, у меня завтра с хорошим кентом, Линусом Торвальдосом встреча, а после зав, OpenEcho (?), 14:32 , 26-Май-23, (43)

Подписывай ключи тех кого хорошо знаешь одноклассников, однокурсников, сотрудни, Аноним (49), 13:38 , 27-Май-23, (49)

2 Как только человек начинает говорить про WoT в контексте подписи артефактов, , нона (?), 01:09 , 29-Май-23, (51) +1

Не использование подписанных ключей при подписи программ, ISO, есть баг Это, Аноним (53), 09:57 , 10-Июн-23, (53)

Хм Об этих 5 пользователях по 3м запросам, значит, не смогли бы правдоподобно н, Dzen Python (ok), 23:38 , 24-Май-23, (3) –1
но номер телефона то возьмут причём с проверкой , Аноним (4), 23:40 , 24-Май-23, (4) +3
Зачем тогда принимать такие пакеты, непонятно , Аноним357 (?), 23:57 , 24-Май-23, (7)

Хуже, я как-то столкнулся с разработчиком, который старательно подписывал свои п, timur.davletshin (ok), 08:09 , 25-Май-23, (20) +1

наверное можно было хотя-бы отпечаток ключа предоставить , Аноним357 (?), 01:42 , 26-Май-23, (40)

Логическая ошибка, Аноним (10), 01:52 , 25-Май-23, (10) +2

Где 29 ключей хрен пойми откуда взялись и проверить их принципиально невозможн, Аноним (15), 03:22 , 25-Май-23, (15) +2

Не хрен пойми откуда, а 1 от разработчика, чей другой пакет уже использовали , Аноним (16), 05:17 , 25-Май-23, (16) +4

экспертиза опеннета Дальше в общем можно не читать То есть местные д-лы даже н, пох. (?), 09:44 , 25-Май-23, (25) –1

Любая собака может опубликовать ключ на крупных публичных серверах ключей , но , Аноним (17), 07:28 , 25-Май-23, (17) +2

по крайней мере можно будет быть уверенным что новая версия того же самого пакет, пох. (?), 09:48 , 25-Май-23, (26)

Разработчики не умеют использовать и проверять подписанные ключи Что сделаем А, fuggy (ok), 01:58 , 25-Май-23, (11) +2

да-да, придёт тов майор и сразу по ушам, Аноним (12), 02:08 , 25-Май-23, (12)
Абсолютно верно Сталкивался не раз с тем, что банально приватные ключи выкладыв, timur.davletshin (ok), 08:00 , 25-Май-23, (18)
Для того чтоб проверить, надо сперва верить, что публичный ключ и правда принадл, OpenEcho (?), 15:22 , 25-Май-23, (32)

во всех - это перфекционизм но в некоторых есть https tails boum org instal, ivan_erohin (?), 17:58 , 25-Май-23, (36)

И где гарантия, что эти сайты не взломаны, показывающие эти подписи Т е просто , OpenEcho (?), 00:33 , 26-Май-23, (39)

ГАРАНТИЮ дает только страховой полис и то за страховое возмещение придется судит, ivan_erohin (?), 10:49 , 26-Май-23, (42)

А зачем тогда вообще вся эта лапша с ПГП По разному, если платить за EV верифика, OpenEcho (?), 14:41 , 26-Май-23, (44)

Централизую децентрализованное Недорого Гарантия , Алексей (??), 02:31 , 25-Май-23, (13) +6

С публичными серверами некоторое время произошёл факап из-за атаки при помощи чр, timur.davletshin (ok), 08:07 , 25-Май-23, (19)

Лучше бы они хоть какой-то модерацией пакетов занимались чем этим , Аноним (27), 10:13 , 25-Май-23, (27)
Разработчкик выкладывет свой код в любой публичный репозиторий кода с отказом об, Абц (?), 12:40 , 25-Май-23, (28) –1
То есть, из разработчиков PyPI ушли люди, действительно умевшие в PGP и пришли л, Аноним (-), 13:09 , 25-Май-23, (29)

Таких нет, - в принципе, т к за столько десятилетий так и не появились верифици, OpenEcho (?), 15:29 , 25-Май-23, (33) –2

Задача подписи в том, чтобы определить, что у пакета не поменялся автор Критери, Аноним (46), 19:40 , 26-Май-23, (46)

Сообщения [Сортировка по времени | RSS]

2. "PyPI пересмотрит политику в отношении персональных данных и ..." –2 +/–

Сообщение от Аноним (2), 24-Май-23, 23:36

> достоверные подписи охватывали лишь 0.3% от всех файлов
показательно нужности PGP

Ответить | Правка | Наверх | Cообщить модератору

5. "PyPI пересмотрит политику в отношении персональных данных и ..." +9 +/–

Сообщение от Dzen Python (ok), 24-Май-23, 23:41

Ставлю сотку против металлической копейки, что эти 0.3% - разрабы старой школы/разрабы из копрораций и просто смогли/повезло недавно занести подпись в *доверенные* УЦ с пруфами. А не как смуззи-самоудовлетворение через самоподписанное самоподписанным.

Ответить | Правка | Наверх | Cообщить модератору

8. "PyPI пересмотрит политику в отношении персональных данных и ..." +7 +/–

Сообщение от Аноним (8), 25-Май-23, 00:27

Но лучше варианта ты же все равно не предложишь?

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

37. Скрыто модератором +1 +/–

Сообщение от Аноним (-), 25-Май-23, 20:09

Вон уже предложили. Раз секурно не получается то делать несекурно. Гениальное же решение.

Ответить | Правка | Наверх | Cообщить модератору

21. "PyPI пересмотрит политику в отношении персональных данных и ..." +5 +/–

Сообщение от Аноним (21), 25-Май-23, 08:34

Чтобы OpenPGP заработал, как надо, необходимо соблюдать несколько условий:
1. Защита секретного ключа.
Безопасность самой OS с которой осуществляется подпись: https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin...
Защита ключей с помощью аппаратных хранилищ:
https://www.nitrokey.com/news/2018/nitrokey-partners-linux-f...
https://www.nitrokey.com/news/2019/nitrokey-partners-gentoo-...
https://www.nitrokey.com/news/2021/nitrokey-equips-arch-linu...
2. Работа с подписями.
Необходимо подписывать чужие публичные ключи, сверять по буквам Ф.И.О. и фотографию, верифицировать контроль над E-mail, которые указаны в идентефикаторе публичного ключа. Загружать свои публичные ключи и подписи на сервера ключей OpenPGP. Обмен ключами можно проводить в универе среди однокурсников, на работе среди сотрудников, ...
3. Понимать как работает PGP, прочесть документацию:
https://www.opennet.ru/docs/282.shtml
https://www.altlinux.org/%D0%A0%D0%B0�...

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

22. "PyPI пересмотрит политику в отношении персональных данных и ..." +1 +/–

Сообщение от Аноним (21), 25-Май-23, 08:49

Создавать ключи без строка действия, или ставить 1000 лет.
Размер ключа делать максимально большим.
Обязательно, при создании нового ключа, подписывать его своим старым ключём.

Ответить | Правка | Наверх | Cообщить модератору

24. "PyPI пересмотрит политику в отношении персональных данных и ..." +8 +/–

Сообщение от YetAnotherOnanym (ok), 25-Май-23, 09:13

> прочесть документацию
Не, ну ты скажешь тоже...

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

30. "PyPI пересмотрит политику в отношении персональных данных и ..." +/–

Сообщение от Аноним (30), 25-Май-23, 14:21

Цифровизация в РФ под угрозой или все пункты соблюдены?
ИФНС во всю выдают сертификаты, а тема то незащищенная вовсе

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

34. "PyPI пересмотрит политику в отношении персональных данных и ..." +1 +/–

Сообщение от Аноним (34), 25-Май-23, 15:33

Лично мне в Законе не нравится пункт о уничтожении публичных ключей. Моё мнение подписаные в УЦ ключи должны хранится вечно. Если нет, то с этого мало пользы.
Также не нравится отсутствие централизированных публичных серверов со всеми ключами. Как найти ключ Васи Пупкина?
Не нравится требование о установки блоба для работы с ключами. Ключ должен создавать пользователь, а УЦ только подписывать публичную часть.

Ответить | Правка | Наверх | Cообщить модератору

50. "PyPI пересмотрит политику в отношении персональных данных и ..." +/–

Сообщение от Аноним (50), 27-Май-23, 15:44

> Цифровизация в РФ под угрозой или все пункты соблюдены?
Всё идет строго по пунктам их их плана:
1. https://www.opennet.ru/openforum/vsluhforumID10/5567.html
2. https://www.opennet.ru/openforum/vsluhforumID10/5564.html
3. Следующим пунктом плана всех чипировать: https://nauka.tass.ru/nauka/17848123

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

31. "PyPI пересмотрит политику в отношении персональных данных и ..." +/–

Сообщение от OpenEcho (?), 25-Май-23, 15:12

> Чтобы OpenPGP заработал
Пока нет **достоверной** верификации независиммым "третьим лицом", - PGP подписи само/всех-обман. И этого, самого главного пункта нет в перечисленном выше

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

35. "PyPI пересмотрит политику в отношении персональных данных и ..." +/–

Сообщение от Аноним (34), 25-Май-23, 15:46

Есть п. 2 Верификация, достоверность зависит от лица проверяющего паспорт и E-mail, более 5 человек вполне достаточно.
https://www.linux.org.ru/forum/security/16839105?cid=16840324

Ответить | Правка | Наверх | Cообщить модератору

38. "PyPI пересмотрит политику в отношении персональных данных и ..." +/–

Сообщение от OpenEcho (?), 26-Май-23, 00:26

> Есть п. 2 Верификация, достоверность зависит от лица проверяющего паспорт и E-mail,
> более 5 человек вполне достаточно.
> https://www.linux.org.ru/forum/security/16839105?cid=16840324
Где эти 5 человек??? И кто они, и почему я им должен верить что это не один и тот-же человек подписавший себя тремя вымышленнами анонимами? Где те проекты используюшие услуги этих 5 человек подписывающих чужие ключи ? Линух? А может секьюрити офицеры из Фряхи? Как проверить, что эти 5-ро не афереисты, которые слизали паспортные данные чтоб провернуть гнилое дело вместо подписывания твоего сертификата?
И т.д. и т.п.

Ответить | Правка | Наверх | Cообщить модератору

41. "PyPI пересмотрит политику в отношении персональных данных и ..." +/–

Сообщение от Аноним (41), 26-Май-23, 07:14

>> Обмен ключами можно проводить в универе среди однокурсников, на работе среди сотрудников, ...
Желательно обмен проводитьсреди грамотных людей, личности которых ты хорошо знаешь.
> Как проверить, что эти 5-ро не аферисты, которые слизали паспортные данные чтоб провернуть гнилое дело вместо подписывания твоего сертификата?
>> https://www.linux.org.ru/forum/security/16839105?cid=16840324
Цепочка доверия. Если к интересующему тебя ключу есть ~5 разных цепочек доверия, то с высокой вероятностью ключ принадлежит собственнику.
Да можно, создать 5 фиктивных ключей, чтобы подписать ключ мошенника. Но очень сложно чтобы эти 5 фиктивных ключей подписали реальные люди для образования цепочек доверия между тобой и ключом мошенника.
Делаю акцент на аккуратную проверку паспортных данных Ф.И.О., фотографии и верификацию E-mail, подавляющим числом пользователей OpenPGP при подписании чужих ID ключей. Пару неаккуратных пользователей, подписывающих всё что попадает им в руки, включая ключи аферистов, WOT выдержит.

Ответить | Правка | Наверх | Cообщить модератору

43. "PyPI пересмотрит политику в отношении персональных данных и ..." +/–

Сообщение от OpenEcho (?), 26-Май-23, 14:32

> Желательно обмен проводитьсреди грамотных людей, личности которых ты хорошо знаешь.
Точно, у меня завтра с хорошим кентом, Линусом Торвальдосом встреча, а после завтра с Вовкой Путиным, заодно ключами обменяемся, подпишем их там друг другу...
> Цепочка доверия. Если к интересующему тебя ключу есть ~5 разных цепочек доверия,
> то с высокой вероятностью ключ принадлежит собственнику.
дорогой друг, я очень рад, правда, что ты понял как мог бы работать этот концепт, но как показывает десятилетия  практики, WOT не работает за исключением нескольких чудаков на планете, но вот массы свято верят в подписанные кем-то и чем-то ключи и думают они очень круты, т.к. научились в одну строчку запустить верификацию хер знает чего

> WOT выдержит.
Ты как покажешь цепочку доверия того же Торвальдаса, которую я могу проверить, лично и по паспортным данным, ну не его, ну хотя-бы тех 5 пацанов, вот тогда и поговорим как твой вебо-траст выдержит

Ответить | Правка | Наверх | Cообщить модератору

49. "PyPI пересмотрит политику в отношении персональных данных и ..." +/–

Сообщение от Аноним (49), 27-Май-23, 13:38

> Точно, у меня завтра с хорошим кентом, Линусом Торвальдосом встреча ...
Подписывай ключи тех кого хорошо знаешь: одноклассников, однокурсников, сотрудников.
>> Цепочка доверия. Если к интересующему тебя ключу есть ~5 разных цепочек доверия,
>> то с высокой вероятностью ключ принадлежит собственнику.
> но как показывает десятилетия  практики, WOT не
> работает за исключением...
Работает у тех кто прилагает усилия. Надо всего-то подписать ключи тех людей кого знаешь.
https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/tree/...
https://archlinux.org/master-keys
https://git.altlinux.org/gears/a/alt-gpgkeys.git?p=alt-gpgke...
>> WOT выдержит.
> Ты как покажешь цепочку доверия того же Торвальдаса, которую я могу проверить, лично и по паспортным данным, ну не его, ну хотя-бы тех 5 пацанов, вот тогда и поговорим как твой вебо-траст выдержит
Ты можешь проверить только паспорта тех чьи ключи лично подписываешь. После того как подпишет некоторое количество ключей можно посмотреть цепочки доверия от твоего ключа к торвальдсу, например: https://www.opennet.ru/openforum/vsluhforumID3/130597.html#43

Ответить | Правка | Наверх | Cообщить модератору

51. "PyPI пересмотрит политику в отношении персональных данных и ..." +1 +/–

Сообщение от нона (?), 29-Май-23, 01:09

2. Как только человек начинает говорить про WoT в контексте подписи артефактов, можно сразу дальше не читать — просто шалунишка в штанишках. Атака организуется на раз-два-три. Как пример: ни один из дистров не использует WoT для управления ключами для подписи пакетов.

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

53. "PyPI пересмотрит политику в отношении персональных данных и ..." +/–

Сообщение от Аноним (53), 10-Июн-23, 09:57

> Как пример: ни один из дистров не использует WoT для управления ключами для подписи пакетов.
Не использование подписанных ключей при подписи программ, ISO, ... есть баг. Это неверное использование PGP.
Раньше (до Сновдена и Осанджа) так не было.
Лучше, чтобы пакет с прогой, ISO, ... был подписан сразу несколькими подписями его разработчиков, а не одной. Как это делается, например
https://gnupg.org/ftp/gcrypt/gnupg/gnupg-2.2.14.tar.bz2.sig
https://gnupg.org/ftp/gcrypt/gnupg/gnupg-2.2.14.tar.bz2

Ответить | Правка | Наверх | Cообщить модератору

3. "PyPI пересмотрит политику в отношении персональных данных и ..." –1 +/–

Сообщение от Dzen Python (ok), 24-Май-23, 23:38

> Министерство юстиции США направило в PyPI требования о раскрытии данных 5 пользователей, которые [...] были выполнены.
>The data request was:
>    "Names (including subscriber names, user names, and screen names);"
>    "Addresses (including mailing, residential addresses, business addresses, and email addresses);"
>    "Telephone or instrument numbers (including the registration Internet Protocol address);"
>    "Means and source of payment of any such services (including any credit card or bank account number) and billing records;"
Хм. Об этих 5 пользователях по 3м запросам, значит, не смогли бы правдоподобно ничего отрицать? Или просто выставили равное оффициальному число (много меньшее реального) ради успокоения и наших, и ваших, и ихних?
> We have waited for the string of subpoenas to subside, though we were committed from the beginning to write and publish this post as a matter of transparency, and as allowed by the lack of a non-disclosure order associated with the subpoenas received in March and April 2023.
*Голосом Станиславского:*
- Браток, НЕ-ВЕ-РЮ! НЕ. ВЕРЮ.
Соломку подстелили, значится, и теперь потенциальный скандал можно зарубить будет на корню ходом "на нас надавили!". Банально, но все равно действенно.

Ответить | Правка | Наверх | Cообщить модератору

4. "PyPI пересмотрит политику в отношении персональных данных и ..." +3 +/–

Сообщение от Аноним (4), 24-Май-23, 23:40

>  В честности, планируется минимизировать хранимые и получаемые от пользователей персональные данные
но номер телефона то возьмут ? (причём с проверкой..)

Ответить | Правка | Наверх | Cообщить модератору

7. "PyPI пересмотрит политику в отношении персональных данных и ..." +/–

Сообщение от Аноним357 (?), 24-Май-23, 23:57

> За последние три года вместе с пакетами в PyPI было загружено около 50 тысяч цифровых подписей, связанных с 1069 PGP-ключами. 29% ключей отсутствуют на крупных публичных серверах ключей, т.е. не могут рассматриваться как заслуживающие доверия.
Зачем тогда принимать такие пакеты, непонятно.

Ответить | Правка | Наверх | Cообщить модератору

20. "PyPI пересмотрит политику в отношении персональных данных и ..." +1 +/–

Сообщение от timur.davletshin (ok), 25-Май-23, 08:09

Хуже, я как-то столкнулся с разработчиком, который старательно подписывал свои пакеты, почту и прочее, но отказывался предоставить публичный ключ. Порядочное "ЧО" я тогда получил )))

Ответить | Правка | Наверх | Cообщить модератору

40. "PyPI пересмотрит политику в отношении персональных данных и ..." +/–

Сообщение от Аноним357 (?), 26-Май-23, 01:42

наверное можно было хотя-бы отпечаток ключа предоставить ...

Ответить | Правка | Наверх | Cообщить модератору

10. "PyPI пересмотрит политику в отношении персональных данных и ..." +2 +/–

Сообщение от Аноним (10), 25-Май-23, 01:52

> 29% ключей отсутствуют на крупных публичных серверах ключей, т.е. не могут рассматриваться как заслуживающие доверия.
Логическая ошибка

Ответить | Правка | Наверх | Cообщить модератору

15. "PyPI пересмотрит политику в отношении персональных данных и ..." +2 +/–

Сообщение от Аноним (15), 25-Май-23, 03:22

Где? 29% ключей хрен пойми откуда взялись и проверить их принципиально невозможно. Ну ок. Эдак и похова собака тебе подписать может что угодно: лапы, хвост и усы имеются!

Ответить | Правка | Наверх | Cообщить модератору

16. "PyPI пересмотрит политику в отношении персональных данных и ..." +4 +/–

Сообщение от Аноним (16), 25-Май-23, 05:17

> 29% ключей хрен пойми откуда взялись
Не хрен пойми откуда, а:
1. от разработчика, чей (другой) пакет уже использовали и проблем с ним замечено не было,
2. от предыдущей версии пакета, код которой верифицировали,
3. мой собственный пакет, подписанный моим ключом (или пакет компании, где я работаю, подписанный её ключом),
4. из мелкого публичного сервера ключей, или крупного, о существовании которого создатели пипей не слышали,
5. из другого источника, которому можно доверять:
5.2. общался с разработчиком по почте лично, просил прислать его ключ,
5.3. брат жены друга, который прошёл один из предыдущих пунктов
> и проверить их принципиально невозможно
После того, как их поддержку выпилили, проверить их стало возможно, да?

Ответить | Правка | Наверх | Cообщить модератору

25. "PyPI пересмотрит политику в отношении персональных данных и ..." –1 +/–

Сообщение от пох. (?), 25-Май-23, 09:44

> Не хрен пойми откуда, а:
> 1. от разработчика, чей (другой) пакет уже использовали и проблем с ним замечено не было,
экспертиза опеннета. Дальше в общем можно не читать. То есть местные д-лы даже не понимают, как работает pgp.
> После того, как их поддержку выпилили, проверить их стало возможно, да?
да, твоим методом номер пять - "из другого источника, которому можно доверять". Если бы он существовал не только в твоих фантазиях, ты бы вполне мог попросить у него подписанную хэш-сумму пакета - раз уж ты даже смог где-то взять его публичный ключ.
Но скорее всего фантазии так и останутся фантазиями, потому что разработчики там примерно такие же.

Ответить | Правка | Наверх | Cообщить модератору

17. "PyPI пересмотрит политику в отношении персональных данных и ..." +2 +/–

Сообщение от Аноним (17), 25-Май-23, 07:28

Любая собака может опубликовать ключ на "крупных публичных серверах ключей", но он не станет от этого "доверенным"

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

26. "PyPI пересмотрит политику в отношении персональных данных и ..." +/–

Сообщение от пох. (?), 25-Май-23, 09:48

по крайней мере можно будет быть уверенным что новая версия того же самого пакета или другой от того же автора - действительно подписаны его ключом. Что, разумеется, тоже ровным счетом ничего не означает, подписаны, его ключом - и - вот что? Но кому-то возможно так спокойнее.
С тем же успехом можно просто публичный ключ класть рядом с кодом, как во времена ftp.gnu.org и делали. Параноики могли параноить, для остальных это был просто ненужный файл.

Ответить | Правка | Наверх | Cообщить модератору

11. "PyPI пересмотрит политику в отношении персональных данных и ..." +2 +/–

Сообщение от fuggy (ok), 25-Май-23, 01:58

Разработчики не умеют использовать и проверять подписанные ключи. Что сделаем? А давайте совсем выпилим отображение ключей подписей.
Надеюсь у кого-нибудь отвалится сборка и PyPI надают по ушам. Вон гитхаб хеш у архивов поменял, так такой вой поднялся на весь интернет, а тут.

Ответить | Правка | Наверх | Cообщить модератору

12. "PyPI пересмотрит политику в отношении персональных данных и ..." +/–

Сообщение от Аноним (12), 25-Май-23, 02:08

да-да, придёт тов.майор и сразу по ушам

Ответить | Правка | Наверх | Cообщить модератору

18. "PyPI пересмотрит политику в отношении персональных данных и ..." +/–

Сообщение от timur.davletshin (ok), 25-Май-23, 08:00

> Разработчики не умеют использовать и проверять подписанные ключи.
Абсолютно верно. Сталкивался не раз с тем, что банально приватные ключи выкладывали в открытый доступ или просто высылали их. Увы, но информ. безопасность идёт с некоторым обременением и этот порог вхождения не могут преодолеть зачастую даже представители целевой аудитории.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

32. "PyPI пересмотрит политику в отношении персональных данных и ..." +/–

Сообщение от OpenEcho (?), 25-Май-23, 15:22

> Разработчики не умеют использовать и проверять подписанные ключи.
Для того чтоб проверить, надо сперва верить, что публичный ключ и правда принадлежит тому, кого он идентифицирует. Пока каждый может безплатно и без проверки пушнуть в кейсторадж свои ключи переписав любого, - это фуфло. Так же как и коммунистическая вера в группы добровольных общин подписывающих(?) других людей. Где они, верящие в святой ПГП? Где они, кросс-подписи во всех популярных проектах? А, да, - вы просто верьте то что на нашем сайте (взломанном? да вы что?! не бывает такого!) можете сверить с нашим ключом. Если бы это фуфло работало, то каждый бы мог сам себе выписывать паспорт, водительские права и т.д и т.п.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

36. "PyPI пересмотрит политику в отношении персональных данных и ..." +/–

Сообщение от ivan_erohin (?), 25-Май-23, 17:58

> Где они, кросс-подписи во всех популярных проектах?
"во всех" - это перфекционизм. но в некоторых есть:
https://tails.boum.org/install/expert/index.en.html
https://kernel.org/category/signatures.html

Ответить | Правка | Наверх | Cообщить модератору

39. "PyPI пересмотрит политику в отношении персональных данных и ..." +/–

Сообщение от OpenEcho (?), 26-Май-23, 00:33

>> Где они, кросс-подписи во всех популярных проектах?
> "во всех" - это перфекционизм. но в некоторых есть:
> https://tails.boum.org/install/expert/index.en.html
> https://kernel.org/category/signatures.html
И где гарантия, что эти сайты не взломаны, показывающие эти подписи?
Т.е. просто верьте на слово, - "мы крутая пацанва, нас все знают и нас никто и никогда не ломал..."

Ответить | Правка | Наверх | Cообщить модератору

42. "PyPI пересмотрит политику в отношении персональных данных и ..." +/–

Сообщение от ivan_erohin (?), 26-Май-23, 10:49

> И где гарантия, что эти сайты не взломаны
ГАРАНТИЮ дает только страховой полис.
и то за страховое возмещение придется судиться (по опыту с ОСАГО),
страховщики очень жадные и жлобные.
// интересно, сколько будет стоить застраховать сайт (ключ) от взлома на год ?
> Т.е. просто верьте на слово, - "мы крутая пацанва, нас все знают
в конечном счете да.
> и нас никто и никогда не ломал..."
если бы ломали, то поднялся бы такой хай в интернетах,
что заметили бы даже самые придонные ламеры и нубы.

Ответить | Правка | Наверх | Cообщить модератору

44. "PyPI пересмотрит политику в отношении персональных данных и ..." +/–

Сообщение от OpenEcho (?), 26-Май-23, 14:41

> ГАРАНТИЮ дает только страховой полис.
> и то за страховое возмещение придется судиться (по опыту с ОСАГО),
> страховщики очень жадные и жлобные.
А зачем тогда вообще вся эта лапша с ПГП?

> // интересно, сколько будет стоить застраховать сайт (ключ) от взлома на год
> ?
По разному, если платить за EV верификацию, то можно под пол лимона зелени застраховаться, но только не с ПГП, а с SSL

>> Т.е. просто верьте на слово, - "мы крутая пацанва, нас все знают
> в конечном счете да.
А нах тогда вообще этот самобман с ПГП, где самое главное - **доверие** подписи, - не проверяемое ?

>> и нас никто и никогда не ломал..."
> если бы ломали, то поднялся бы такой хай в интернетах,
> что заметили бы даже самые придонные ламеры и нубы.
Так переодически именно это и случается :))))
Потому как строить охеренно крутые , беттонно-чугунные ворота с неломаемым в принципе замком, но... без забора, в открытом поле - нет никакого смысла

Ответить | Правка | Наверх | Cообщить модератору

13. "PyPI пересмотрит политику в отношении персональных данных и ..." +6 +/–

Сообщение от Алексей (??), 25-Май-23, 02:31

> 29% ключей отсутствуют на крупных публичных серверах ключей, т.е. не могут рассматриваться как заслуживающие доверия.
Централизую децентрализованное. Недорого. Гарантия.

Ответить | Правка | Наверх | Cообщить модератору

19. "PyPI пересмотрит политику в отношении персональных данных и ..." +/–

Сообщение от timur.davletshin (ok), 25-Май-23, 08:07

С публичными серверами некоторое время произошёл факап из-за атаки при помощи чрезвычайно длинных цепочек доверия, так что даже дефолтные SKS пришлось в GnuPG менять. После этого запара с публичными ключами только усугубилась. Зато теперь придумали зоопарк с p=p и более экзотичными способами втулить подписи во вложение к email.

Ответить | Правка | Наверх | Cообщить модератору

27. "PyPI пересмотрит политику в отношении персональных данных и ..." +/–

Сообщение от Аноним (27), 25-Май-23, 10:13

Лучше бы они хоть какой-то модерацией пакетов занимались чем этим.

Ответить | Правка | Наверх | Cообщить модератору

28. "PyPI пересмотрит политику в отношении персональных данных и ..." –1 +/–

Сообщение от Абц (?), 25-Май-23, 12:40

Разработчкик выкладывет свой код в любой публичный репозиторий кода с отказом об ответственности.
Далее, если оно надо разрабу, выдвинуть на рассмотрение для влючения в каталог pypi.org.
Владельцы pypi определяют степень нужности, проводят код ревью, берут на себя ответственность, за то, что они кладут в свой каталог и у них не будет никаких персональных данных разработчика.
Т.е. разраб запушил свое творчество в открытый мир, забыв о подтверждениях телефона, сдаче отпечатков пальцев и анализов. Все равно это  не гарантирует, что учетку или инфраструктуру проктаа не взломают и от твоего имени не вкомитят что угодно.
Можно на pypi показывать пакеты уже загруженные и кандидатов на включение, но скачиваются кандидаты из внешних реп без гарантий.

Ответить | Правка | Наверх | Cообщить модератору

29. "PyPI пересмотрит политику в отношении персональных данных и ..." +/–

Сообщение от Аноним (-), 25-Май-23, 13:09

>Кроме того, разработчики PyPI объявили о решении прекратить поддержку PGP-подписей для верификации пакетов, так как они не решают возложенные на них задачи и в текущем виде бесполезны.
То есть, из разработчиков PyPI ушли люди, действительно умевшие в PGP и пришли любители аутентификации по радужке из московского метро и сбербанка. Ну вы поняли, чем это пахнет.

Ответить | Правка | Наверх | Cообщить модератору

33. "PyPI пересмотрит политику в отношении персональных данных и ..." –2 +/–

Сообщение от OpenEcho (?), 25-Май-23, 15:29

> действительно умевшие в PGP
Таких нет, - в принципе, т.к. за столько десятилетий так и не появились верифицирющие/удостоверяющие люди/центры и как результат сама идея изпользования ПГП как **публичного** удостоверяющего инструмента - нет. ПГП как и любая ассинхронная криптография работает исключительно только когда публичными ключами обменялись из рук в руки (под подпись и с проверкой по пасспорту) или существует **доверенный, верефицирюющий, независсимый** центр, которого в ПГП инфраструктуре - нет.

Ответить | Правка | Наверх | Cообщить модератору

46. "PyPI пересмотрит политику в отношении персональных данных и ..." +/–

Сообщение от Аноним (46), 26-Май-23, 19:40

Задача подписи в том, чтобы определить, что у пакета не поменялся автор. Критерий вида "ключи не зарегистрированы на крупных серверах с ключами" ни о чем абсолютно. Не пытайтесь завести и в pgp сертификационные центры и просрачиваемость, тут хоть и есть видимость подобного, но все работает совершенно иначе, ключи можно продлевать или ставить им вечные сроки, и работать они не перестают если просрочены.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. "PyPI пересмотрит политику в отношении персональных данных и ..."	–2 +/–
Сообщение от Аноним (2), 24-Май-23, 23:36
> достоверные подписи охватывали лишь 0.3% от всех файлов показательно нужности PGP
Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "PyPI пересмотрит политику в отношении персональных данных и ..."	+9 +/–
	Сообщение от Dzen Python (ok), 24-Май-23, 23:41
	Ставлю сотку против металлической копейки, что эти 0.3% - разрабы старой школы/разрабы из копрораций и просто смогли/повезло недавно занести подпись в доверенные УЦ с пруфами. А не как смуззи-самоудовлетворение через самоподписанное самоподписанным.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "PyPI пересмотрит политику в отношении персональных данных и ..."	+7 +/–
	Сообщение от Аноним (8), 25-Май-23, 00:27
	Но лучше варианта ты же все равно не предложишь?
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	37. Скрыто модератором	+1 +/–
	Сообщение от Аноним (-), 25-Май-23, 20:09
	Вон уже предложили. Раз секурно не получается то делать несекурно. Гениальное же решение.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "PyPI пересмотрит политику в отношении персональных данных и ..."	+5 +/–
	Сообщение от Аноним (21), 25-Май-23, 08:34
	Чтобы OpenPGP заработал, как надо, необходимо соблюдать несколько условий: 1. Защита секретного ключа. Безопасность самой OS с которой осуществляется подпись: https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin... Защита ключей с помощью аппаратных хранилищ: https://www.nitrokey.com/news/2018/nitrokey-partners-linux-f... https://www.nitrokey.com/news/2019/nitrokey-partners-gentoo-... https://www.nitrokey.com/news/2021/nitrokey-equips-arch-linu... 2. Работа с подписями. Необходимо подписывать чужие публичные ключи, сверять по буквам Ф.И.О. и фотографию, верифицировать контроль над E-mail, которые указаны в идентефикаторе публичного ключа. Загружать свои публичные ключи и подписи на сервера ключей OpenPGP. Обмен ключами можно проводить в универе среди однокурсников, на работе среди сотрудников, ... 3. Понимать как работает PGP, прочесть документацию: https://www.opennet.ru/docs/282.shtml https://www.altlinux.org/%D0%A0%D0%B0�...
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	22. "PyPI пересмотрит политику в отношении персональных данных и ..."	+1 +/–
	Сообщение от Аноним (21), 25-Май-23, 08:49
	Создавать ключи без строка действия, или ставить 1000 лет. Размер ключа делать максимально большим. Обязательно, при создании нового ключа, подписывать его своим старым ключём.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "PyPI пересмотрит политику в отношении персональных данных и ..."	+8 +/–
	Сообщение от YetAnotherOnanym (ok), 25-Май-23, 09:13
	> прочесть документацию Не, ну ты скажешь тоже...
	Ответить \| Правка \| К родителю #21 \| Наверх \| Cообщить модератору


	30. "PyPI пересмотрит политику в отношении персональных данных и ..."	+/–
	Сообщение от Аноним (30), 25-Май-23, 14:21
	Цифровизация в РФ под угрозой или все пункты соблюдены? ИФНС во всю выдают сертификаты, а тема то незащищенная вовсе
	Ответить \| Правка \| К родителю #21 \| Наверх \| Cообщить модератору


	34. "PyPI пересмотрит политику в отношении персональных данных и ..."	+1 +/–
	Сообщение от Аноним (34), 25-Май-23, 15:33
	Лично мне в Законе не нравится пункт о уничтожении публичных ключей. Моё мнение подписаные в УЦ ключи должны хранится вечно. Если нет, то с этого мало пользы. Также не нравится отсутствие централизированных публичных серверов со всеми ключами. Как найти ключ Васи Пупкина? Не нравится требование о установки блоба для работы с ключами. Ключ должен создавать пользователь, а УЦ только подписывать публичную часть.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	50. "PyPI пересмотрит политику в отношении персональных данных и ..."	+/–
	Сообщение от Аноним (50), 27-Май-23, 15:44
	> Цифровизация в РФ под угрозой или все пункты соблюдены? Всё идет строго по пунктам их их плана: 1. https://www.opennet.ru/openforum/vsluhforumID10/5567.html 2. https://www.opennet.ru/openforum/vsluhforumID10/5564.html 3. Следующим пунктом плана всех чипировать: https://nauka.tass.ru/nauka/17848123
	Ответить \| Правка \| К родителю #30 \| Наверх \| Cообщить модератору


	31. "PyPI пересмотрит политику в отношении персональных данных и ..."	+/–
	Сообщение от OpenEcho (?), 25-Май-23, 15:12
	> Чтобы OpenPGP заработал Пока нет достоверной верификации независиммым "третьим лицом", - PGP подписи само/всех-обман. И этого, самого главного пункта нет в перечисленном выше
	Ответить \| Правка \| К родителю #21 \| Наверх \| Cообщить модератору


	35. "PyPI пересмотрит политику в отношении персональных данных и ..."	+/–
	Сообщение от Аноним (34), 25-Май-23, 15:46
	Есть п. 2 Верификация, достоверность зависит от лица проверяющего паспорт и E-mail, более 5 человек вполне достаточно. https://www.linux.org.ru/forum/security/16839105?cid=16840324
	Ответить \| Правка \| Наверх \| Cообщить модератору


	38. "PyPI пересмотрит политику в отношении персональных данных и ..."	+/–
	Сообщение от OpenEcho (?), 26-Май-23, 00:26
	> Есть п. 2 Верификация, достоверность зависит от лица проверяющего паспорт и E-mail, > более 5 человек вполне достаточно. > https://www.linux.org.ru/forum/security/16839105?cid=16840324 Где эти 5 человек??? И кто они, и почему я им должен верить что это не один и тот-же человек подписавший себя тремя вымышленнами анонимами? Где те проекты используюшие услуги этих 5 человек подписывающих чужие ключи ? Линух? А может секьюрити офицеры из Фряхи? Как проверить, что эти 5-ро не афереисты, которые слизали паспортные данные чтоб провернуть гнилое дело вместо подписывания твоего сертификата? И т.д. и т.п.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	41. "PyPI пересмотрит политику в отношении персональных данных и ..."	+/–
	Сообщение от Аноним (41), 26-Май-23, 07:14
	>> Обмен ключами можно проводить в универе среди однокурсников, на работе среди сотрудников, ... Желательно обмен проводитьсреди грамотных людей, личности которых ты хорошо знаешь. > Как проверить, что эти 5-ро не аферисты, которые слизали паспортные данные чтоб провернуть гнилое дело вместо подписывания твоего сертификата? >> https://www.linux.org.ru/forum/security/16839105?cid=16840324 Цепочка доверия. Если к интересующему тебя ключу есть ~5 разных цепочек доверия, то с высокой вероятностью ключ принадлежит собственнику. Да можно, создать 5 фиктивных ключей, чтобы подписать ключ мошенника. Но очень сложно чтобы эти 5 фиктивных ключей подписали реальные люди для образования цепочек доверия между тобой и ключом мошенника. Делаю акцент на аккуратную проверку паспортных данных Ф.И.О., фотографии и верификацию E-mail, подавляющим числом пользователей OpenPGP при подписании чужих ID ключей. Пару неаккуратных пользователей, подписывающих всё что попадает им в руки, включая ключи аферистов, WOT выдержит.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	43. "PyPI пересмотрит политику в отношении персональных данных и ..."	+/–
	Сообщение от OpenEcho (?), 26-Май-23, 14:32
	> Желательно обмен проводитьсреди грамотных людей, личности которых ты хорошо знаешь. Точно, у меня завтра с хорошим кентом, Линусом Торвальдосом встреча, а после завтра с Вовкой Путиным, заодно ключами обменяемся, подпишем их там друг другу... > Цепочка доверия. Если к интересующему тебя ключу есть ~5 разных цепочек доверия, > то с высокой вероятностью ключ принадлежит собственнику. дорогой друг, я очень рад, правда, что ты понял как мог бы работать этот концепт, но как показывает десятилетия практики, WOT не работает за исключением нескольких чудаков на планете, но вот массы свято верят в подписанные кем-то и чем-то ключи и думают они очень круты, т.к. научились в одну строчку запустить верификацию хер знает чего > WOT выдержит. Ты как покажешь цепочку доверия того же Торвальдаса, которую я могу проверить, лично и по паспортным данным, ну не его, ну хотя-бы тех 5 пацанов, вот тогда и поговорим как твой вебо-траст выдержит
	Ответить \| Правка \| Наверх \| Cообщить модератору


	49. "PyPI пересмотрит политику в отношении персональных данных и ..."	+/–
	Сообщение от Аноним (49), 27-Май-23, 13:38
	> Точно, у меня завтра с хорошим кентом, Линусом Торвальдосом встреча ... Подписывай ключи тех кого хорошо знаешь: одноклассников, однокурсников, сотрудников. >> Цепочка доверия. Если к интересующему тебя ключу есть ~5 разных цепочек доверия, >> то с высокой вероятностью ключ принадлежит собственнику. > но как показывает десятилетия практики, WOT не > работает за исключением... Работает у тех кто прилагает усилия. Надо всего-то подписать ключи тех людей кого знаешь. https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/tree/... https://archlinux.org/master-keys https://git.altlinux.org/gears/a/alt-gpgkeys.git?p=alt-gpgke... >> WOT выдержит. > Ты как покажешь цепочку доверия того же Торвальдаса, которую я могу проверить, лично и по паспортным данным, ну не его, ну хотя-бы тех 5 пацанов, вот тогда и поговорим как твой вебо-траст выдержит Ты можешь проверить только паспорта тех чьи ключи лично подписываешь. После того как подпишет некоторое количество ключей можно посмотреть цепочки доверия от твоего ключа к торвальдсу, например: https://www.opennet.ru/openforum/vsluhforumID3/130597.html#43
	Ответить \| Правка \| Наверх \| Cообщить модератору


	51. "PyPI пересмотрит политику в отношении персональных данных и ..."	+1 +/–
	Сообщение от нона (?), 29-Май-23, 01:09
	2. Как только человек начинает говорить про WoT в контексте подписи артефактов, можно сразу дальше не читать — просто шалунишка в штанишках. Атака организуется на раз-два-три. Как пример: ни один из дистров не использует WoT для управления ключами для подписи пакетов.
	Ответить \| Правка \| К родителю #21 \| Наверх \| Cообщить модератору


	53. "PyPI пересмотрит политику в отношении персональных данных и ..."	+/–
	Сообщение от Аноним (53), 10-Июн-23, 09:57
	> Как пример: ни один из дистров не использует WoT для управления ключами для подписи пакетов. Не использование подписанных ключей при подписи программ, ISO, ... есть баг. Это неверное использование PGP. Раньше (до Сновдена и Осанджа) так не было. Лучше, чтобы пакет с прогой, ISO, ... был подписан сразу несколькими подписями его разработчиков, а не одной. Как это делается, например https://gnupg.org/ftp/gcrypt/gnupg/gnupg-2.2.14.tar.bz2.sig https://gnupg.org/ftp/gcrypt/gnupg/gnupg-2.2.14.tar.bz2
	Ответить \| Правка \| Наверх \| Cообщить модератору

3. "PyPI пересмотрит политику в отношении персональных данных и ..."	–1 +/–
Сообщение от Dzen Python (ok), 24-Май-23, 23:38
> Министерство юстиции США направило в PyPI требования о раскрытии данных 5 пользователей, которые [...] были выполнены. >The data request was: > "Names (including subscriber names, user names, and screen names);" > "Addresses (including mailing, residential addresses, business addresses, and email addresses);" > "Telephone or instrument numbers (including the registration Internet Protocol address);" > "Means and source of payment of any such services (including any credit card or bank account number) and billing records;" Хм. Об этих 5 пользователях по 3м запросам, значит, не смогли бы правдоподобно ничего отрицать? Или просто выставили равное оффициальному число (много меньшее реального) ради успокоения и наших, и ваших, и ихних? > We have waited for the string of subpoenas to subside, though we were committed from the beginning to write and publish this post as a matter of transparency, and as allowed by the lack of a non-disclosure order associated with the subpoenas received in March and April 2023. Голосом Станиславского: - Браток, НЕ-ВЕ-РЮ! НЕ. ВЕРЮ. Соломку подстелили, значится, и теперь потенциальный скандал можно зарубить будет на корню ходом "на нас надавили!". Банально, но все равно действенно.
Ответить \| Правка \| Наверх \| Cообщить модератору

4. "PyPI пересмотрит политику в отношении персональных данных и ..."	+3 +/–
Сообщение от Аноним (4), 24-Май-23, 23:40
> В честности, планируется минимизировать хранимые и получаемые от пользователей персональные данные но номер телефона то возьмут ? (причём с проверкой..)
Ответить \| Правка \| Наверх \| Cообщить модератору

7. "PyPI пересмотрит политику в отношении персональных данных и ..."	+/–
Сообщение от Аноним357 (?), 24-Май-23, 23:57
> За последние три года вместе с пакетами в PyPI было загружено около 50 тысяч цифровых подписей, связанных с 1069 PGP-ключами. 29% ключей отсутствуют на крупных публичных серверах ключей, т.е. не могут рассматриваться как заслуживающие доверия. Зачем тогда принимать такие пакеты, непонятно.
Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "PyPI пересмотрит политику в отношении персональных данных и ..."	+1 +/–
	Сообщение от timur.davletshin (ok), 25-Май-23, 08:09
	Хуже, я как-то столкнулся с разработчиком, который старательно подписывал свои пакеты, почту и прочее, но отказывался предоставить публичный ключ. Порядочное "ЧО" я тогда получил )))
	Ответить \| Правка \| Наверх \| Cообщить модератору


	40. "PyPI пересмотрит политику в отношении персональных данных и ..."	+/–
	Сообщение от Аноним357 (?), 26-Май-23, 01:42
	наверное можно было хотя-бы отпечаток ключа предоставить ...
	Ответить \| Правка \| Наверх \| Cообщить модератору

10. "PyPI пересмотрит политику в отношении персональных данных и ..."	+2 +/–
Сообщение от Аноним (10), 25-Май-23, 01:52
> 29% ключей отсутствуют на крупных публичных серверах ключей, т.е. не могут рассматриваться как заслуживающие доверия. Логическая ошибка
Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "PyPI пересмотрит политику в отношении персональных данных и ..."	+2 +/–
	Сообщение от Аноним (15), 25-Май-23, 03:22
	Где? 29% ключей хрен пойми откуда взялись и проверить их принципиально невозможно. Ну ок. Эдак и похова собака тебе подписать может что угодно: лапы, хвост и усы имеются!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "PyPI пересмотрит политику в отношении персональных данных и ..."	+4 +/–
	Сообщение от Аноним (16), 25-Май-23, 05:17
	> 29% ключей хрен пойми откуда взялись Не хрен пойми откуда, а: 1. от разработчика, чей (другой) пакет уже использовали и проблем с ним замечено не было, 2. от предыдущей версии пакета, код которой верифицировали, 3. мой собственный пакет, подписанный моим ключом (или пакет компании, где я работаю, подписанный её ключом), 4. из мелкого публичного сервера ключей, или крупного, о существовании которого создатели пипей не слышали, 5. из другого источника, которому можно доверять: 5.2. общался с разработчиком по почте лично, просил прислать его ключ, 5.3. брат жены друга, который прошёл один из предыдущих пунктов > и проверить их принципиально невозможно После того, как их поддержку выпилили, проверить их стало возможно, да?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "PyPI пересмотрит политику в отношении персональных данных и ..."	–1 +/–
	Сообщение от пох. (?), 25-Май-23, 09:44
	> Не хрен пойми откуда, а: > 1. от разработчика, чей (другой) пакет уже использовали и проблем с ним замечено не было, экспертиза опеннета. Дальше в общем можно не читать. То есть местные д-лы даже не понимают, как работает pgp. > После того, как их поддержку выпилили, проверить их стало возможно, да? да, твоим методом номер пять - "из другого источника, которому можно доверять". Если бы он существовал не только в твоих фантазиях, ты бы вполне мог попросить у него подписанную хэш-сумму пакета - раз уж ты даже смог где-то взять его публичный ключ. Но скорее всего фантазии так и останутся фантазиями, потому что разработчики там примерно такие же.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "PyPI пересмотрит политику в отношении персональных данных и ..."	+2 +/–
	Сообщение от Аноним (17), 25-Май-23, 07:28
	Любая собака может опубликовать ключ на "крупных публичных серверах ключей", но он не станет от этого "доверенным"
	Ответить \| Правка \| К родителю #15 \| Наверх \| Cообщить модератору


	26. "PyPI пересмотрит политику в отношении персональных данных и ..."	+/–
	Сообщение от пох. (?), 25-Май-23, 09:48
	по крайней мере можно будет быть уверенным что новая версия того же самого пакета или другой от того же автора - действительно подписаны его ключом. Что, разумеется, тоже ровным счетом ничего не означает, подписаны, его ключом - и - вот что? Но кому-то возможно так спокойнее. С тем же успехом можно просто публичный ключ класть рядом с кодом, как во времена ftp.gnu.org и делали. Параноики могли параноить, для остальных это был просто ненужный файл.
	Ответить \| Правка \| Наверх \| Cообщить модератору

11. "PyPI пересмотрит политику в отношении персональных данных и ..."	+2 +/–
Сообщение от fuggy (ok), 25-Май-23, 01:58
Разработчики не умеют использовать и проверять подписанные ключи. Что сделаем? А давайте совсем выпилим отображение ключей подписей. Надеюсь у кого-нибудь отвалится сборка и PyPI надают по ушам. Вон гитхаб хеш у архивов поменял, так такой вой поднялся на весь интернет, а тут.
Ответить \| Правка \| Наверх \| Cообщить модератору