forum.opennet.ru - "Каталог PyPI внедрил новую систему проверки подлинности пакетов" (38)

"Каталог PyPI внедрил новую систему проверки подлинности пакетов"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Каталог PyPI внедрил новую систему проверки подлинности пакетов"	+/–
Сообщение от opennews (??), 14-Ноя-24, 20:52
Разработчики репозитория Python-пакетов PyPI (Python Package Index) объявили о внедрении поддержки механизма цифровой аттестации для проверки подлинности опубликованных пакетов, которая пришла на смену верификации с использованием PGP-подписей. Ключевым отличием аттестации является то, что публикация пакета заверяется не разработчиком, а третьим лицом (каталогом пакетов) после подтверждения достоверности публикации через внешнего провайдера OpenID Connect (например, после проверки, что публикуемый пакет соотносится со связанным с ним репозиторием на GitHub или GitLab)... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62234
Ответить \| Правка \| Cообщить модератору

Оглавление

Вот поэтому всё нужно писать с нуля самостоятельно Это быстрее и надёжнее, чем , Аноним (-), 20:52 , 14-Ноя-24, (1) –2

Ок, будь последователен - начинай новый проект с написания tcp-стека Ой, нет, в, Аноним (6), 21:27 , 14-Ноя-24, (6) +3

Обычно tcp уже реализован в самой системе, так что придумай что-то более остроум, Аноним (12), 22:00 , 14-Ноя-24, (12) +1

Ну значится систему надо обязательно свою иметь, самописанную И чтоб ни строчки, ОШИБКА Отсутствуют данные в поле Name (?), 22:32 , 14-Ноя-24, (16) +3

Так то он прав Нужно определиться с какого момента мы начинаем полагаться на чу, Аноним (21), 23:15 , 14-Ноя-24, (21) +1

Скрыто модератором, Аноним (-), 22:33 , 14-Ноя-24, (17)

Скрыто модератором, Аноним (22), 23:26 , 14-Ноя-24, (22) +1

Скрыто модератором, Аноним (25), 23:44 , 14-Ноя-24, (25) +2
Особенно криптографические функции , foo (?), 00:04 , 15-Ноя-24, (31)

Я пишу крипту сам реализации имеющихся алгоритмов , ничего плохого в этом нет , Ivan_83 (ok), 00:18 , 15-Ноя-24, (35) –1

где можно посмотреть на твои творения , Аноним (42), 01:14 , 15-Ноя-24, (42) +1

Скрыто модератором, Аноним (4), 21:12 , 14-Ноя-24, (4) +1

Скрыто модератором, Аноним (-), 21:51 , 14-Ноя-24, (10) –3

Скрыто модератором, Аноним (4), 21:58 , 14-Ноя-24, (11) +1

Скрыто модератором, Аноним (-), 22:25 , 14-Ноя-24, (14) –1

Скрыто модератором, Аноним (20), 23:05 , 14-Ноя-24, (20)

Все правильно PGP показал свою бесполезность уже давно Пользоваться имеет смысл, Аноним (-), 21:31 , 14-Ноя-24, (8) –1

для тех кто не понимает что это и для чего на самом деле используется - показал , нах. (?), 23:30 , 14-Ноя-24, (24) +1

Во-первых его можно найти Кто это будет делать соответсвующие органы или просто , Аноним (-), 00:00 , 15-Ноя-24, (29)

и че ты ему сделаешь, он вообще в другом городе так он на них и работал после та, нах. (?), 00:06 , 15-Ноя-24, (32)

Поеду в гости Ты что не видел рецеп из Джей и Молчаливый Боб про комментаторов, Аноним (-), 00:12 , 15-Ноя-24, (34)

тотальная централизация отсутствие ключей на популярных серверах им не нравится, 12yoexpert (ok), 23:01 , 14-Ноя-24, (19) +3

Дополнительно можно отметить выявление в каталоге PyPI вредоносного пакета fab, нах. (?), 23:26 , 14-Ноя-24, (23) +1

ладно бы только сама по себе централизация, но выкладывание неудаляемого ключ, 12yoexpert (ok), 00:26 , 15-Ноя-24, (37)

Кому им Разве они не вправе устанавливать правила на своей платформе Для справки, Аноним (-), 00:03 , 15-Ноя-24, (30)

а ты попробуй новость прочитатькто они я знал этонужно больше очевидных фактов , 12yoexpert (ok), 00:21 , 15-Ноя-24, (36)

а ты попробуй новость прочитатьА кто говорит про опровержение Ладно если твой ур, Аноним (38), 00:30 , 15-Ноя-24, (38) –1

ещё один познавательный факт от нашего вассермана, жжош, 12yoexpert (ok), 00:37 , 15-Ноя-24, (39)

Лучше бы они с тайпсквоттингом боролись, и вообще с мусором который там тоннами , Аноним (22), 23:48 , 14-Ноя-24, (26) +2

Да-да, Jia Tan может подтвердить А зачем ты вообще пользуешься гитхабом, если он, Аноним (-), 00:06 , 15-Ноя-24, (33)

Научись читать, и различать гитхаб и пупи, для начала А потом попробуй понять ч, Аноним (46), 02:39 , 15-Ноя-24, (46)

Учитывая, что кроме самого ридми там ничего ценного нет и быть не может, то вред, Аноним (41), 01:03 , 15-Ноя-24, (41)

Это лютая дичь По сути pypi предлагает доверить безопасность пакетов gitlab или, Аноним (43), 01:15 , 15-Ноя-24, (43) +1

Где работает Гвидо и кто владелец github Дальше думаю ясно Не можешь победить -, Вы забыли заполнить поле Name (?), 02:22 , 15-Ноя-24, (45)

оверинжиниринг завязка на сторонние сервисы в кол-ве 2 штукОсуждаю Запретитие, Вы забыли заполнить поле Name (?), 02:20 , 15-Ноя-24, (44)
А что, если сделать вид что исходники пакета у меня на sr ht, они это проглотят , Аноним (46), 02:42 , 15-Ноя-24, (47)

Если твоя игрушка поддерживает индустриальный стандарт OpenID 8212 без пробле, Аноним (48), 03:29 , 15-Ноя-24, (48)

Ну и монстра же породили Диды на своих сайтах релизы софта выкладывают, не треб, Аноним (49), 04:52 , 15-Ноя-24, (49)

Сообщения [Сортировка по времени | RSS]

1. "Каталог PyPI внедрил новую систему проверки подлинности паке..." –2 +/–

Сообщение от Аноним (-), 14-Ноя-24, 20:52

Вот поэтому всё нужно писать с нуля самостоятельно. Это быстрее и надёжнее, чем качать 100500 надстроек и прослоек, которые написаны не пойми кем и вполне себе могут быть напичканы бэкдорами. Любители фреймворков можете критиковать, но в таком случае задумайтесь, чем вы отличаетесь от ф///шистов, который точно так же нетерпимы ко всему, что не вписывается в их мировоззрение.

Ответить | Правка | Наверх | Cообщить модератору

6. "Каталог PyPI внедрил новую систему проверки подлинности паке..." +3 +/–

Сообщение от Аноним (6), 14-Ноя-24, 21:27

>Вот поэтому всё нужно писать с нуля самостоятельно
Ок, будь последователен - начинай новый проект с написания tcp-стека. Ой, нет, в эзернете же тоже может быть что-то плохое. Так, погоди, а с физикой что будем делать? Наверняка там китайцы свои китайские фотоны гоняют. Придется паять своё. Возвращайся лет через 10, расскажешь как всё быстро и надёжно.

Ответить | Правка | Наверх | Cообщить модератору

12. "Каталог PyPI внедрил новую систему проверки подлинности паке..." +1 +/–

Сообщение от Аноним (12), 14-Ноя-24, 22:00

Обычно tcp уже реализован в самой системе, так что придумай что-то более остроумное, если уж так хочется выступать в роли вaньки бaлaгaнного.

Ответить | Правка | Наверх | Cообщить модератору

16. "Каталог PyPI внедрил новую систему проверки подлинности паке..." +3 +/–

Сообщение от ОШИБКА Отсутствуют данные в поле Name (?), 14-Ноя-24, 22:32

Ну значится систему надо обязательно свою иметь, самописанную. И чтоб ни строчки чужого кода.

Ответить | Правка | Наверх | Cообщить модератору

21. "Каталог PyPI внедрил новую систему проверки подлинности паке..." +1 +/–

Сообщение от Аноним (21), 14-Ноя-24, 23:15

Так то он прав. Нужно определиться с какого момента мы начинаем полагаться на чужой код? С ОС, драйверов, ЯП?

Ответить | Правка | Наверх | Cообщить модератору

17. Скрыто модератором +/–

Сообщение от Аноним (-), 14-Ноя-24, 22:33

> задумайтесь, чем вы отличаетесь от ф///шистов
Это какой-то вопрос с подвохом? Если мы возьмём, например, определение фашизма отсюда: https://acoup.blog/2024/10/25/new-acquisitions-1933-and-the-.../
и пробежимся по пунктам:
1. The Cult of Tradition, particularly a syncretic traditionalism that latches on to various iterations of an idealized past, even mutually incompatible ones.
Очевидно к нам неприменимо. Мы противники традиций, мы хипстеры, нам подавай что-нибудь новое и блестящее. Применимо к нам на 0%.
2. The Rejection of Modernism, specifically, in Eco’s mind, a rejection of “the Enlightenment, the Age of Reason…seen as the beginning of modern depravity.”
Мы технари, мы высоко ценим разум. С ценностями Просвещения сложнее, но большинству на них наплевать, потому что большинство нас даже не знает, что это за ценности. 25% применимости.
3. The Cult of Action for Action’s Sake, which for Eco is really a rejection of intellectualism, thinking or consideration, a despising of experts, intellectuals and universities: don’t think, just do, and hate the thinkers.
Вот он пункт, который к нам часто применим. Мы часто ставим в приоритет работающий результат труда, а не академически идеальный код. И да, некоторых заносит в презрение к академии в целом. Но тем не менее подавляющее большинство училось в университетах и довольно тепло относится к альмаматер. Пускай будет 75% применимости.
4. Disagreement is Treason.
Это близко к тому, о чём ты говоришь, но всё ж мимо. Мы не объявляем таких как ты предателями. (Предателями чего?). 0%
5. Fear of Difference.
Боимся ли мы людей, кто не такие как мы? Кто-то, конечно же, но это не какой-то определяющий трейт любителей фреймворков. 0%
6. Appeal to a Frustrated Middle Class.
Это не про нас абсолютно. 0%
7. The Obsession with a Plot.
Мне кажется, что в наших рядах конспирология выражена ниже среднего по популяции, и я уверен что не выше. 0%
8. The Deceptively Strong/Weak Eternal Opponent. This one is complicated, but fascism conjures an ‘enemy’ who is at once too strong (thus requiring the power of the fascist strongman to defeat and whose continued existence can justify continued mobilization and authoritarianism) and yet also degenerate and weak.
У нас нет такого оппонента. Такие как ты не считаются, потому что вы не eternal. Можно помахать шашками в интернете с такими как ты, а потом пойти и помахать шашками с кем-нибудь другим на совершенно другую тему. 0%
9. Life is Permanent Warfare, as Eco puts it, “there is no struggle for life, but rather, life is lived for struggle.”
Мимо. Жизнь -- это зарабатывание денег, а не война. И зарабатывание денег для того, чтобы жить как минимум комфортно, а максимум роскошно. 0%
10. Contempt for the Weak.
Не знаю, что на это сказать. Я не вижу какого-то общего презрения к слабым. Хотя если считать слабыми тех, кто не может зарабатывать денег на фреймворках, то может быть. 25%
11. The Cult of Heroism.
Нет. Среди нас нет героев, и уж тем более культа этих героев. 0%
12. Machismo, which as Eco notes, encompasses both “disdain for women” and “condemnation of nonstandard sexual habits.”
Первое -- это bro культура, и она довольно распространена в наших рядах. Второе же, я б сказал, скорее мимо. 50%
13. Selective Populism: fascism claims to speak for ‘the People,’ but in reality only some of the people and not through democratic, majority-rules systems; rather the Leader channels the Common Will which is taken as the Voice of the People, even when it contradicts the actual votes of the people.
Опять же мимо. Нет никакого the Leader, который бы говорил от нашего лица. 0%
14. Newspeak, which Eco identifies both in changing the meaning of words, often inverting them
Не упомню ничего такого. Хотя, если взять историю Agile и Scrum, которые начались как способ более эффективно разрабатывать код, а превратились в ритуалы убивающие эффективность на корню, то может быть. Хотя я не уверен, что это оно, но пускай будет 25%.
9/14 - 0%
3/14 - 25%
1/14 - 50%
1/14 - 75%
Ни одного попадания в яблочко, и больше половины совершенно мимо. Я ответил на твой вопрос, чем мы отличаемся от ф///шистов?

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

22. Скрыто модератором +1 +/–

Сообщение от Аноним (22), 14-Ноя-24, 23:26

Я не тот аноним которому ты отвечал, но думаю что только фашист может провести такой подробный анализ чтобы доказать что к нему определение фашизма неприменимо :)

Ответить | Правка | Наверх | Cообщить модератору

25. Скрыто модератором +2 +/–

Сообщение от Аноним (25), 14-Ноя-24, 23:44

> Вот поэтому всё нужно писать с нуля самостоятельно. Это быстрее и надёжнее, чем качать 100500 надстроек и прослоек, которые написаны не пойми кем и вполне себе могут быть напичканы бэкдорами.
Здорово ты придумал. Ну вот не доверяешь ты чужому коду и всё пишешь сам. А почему кто-то должен доверять твоему коду чтобы его переиспользовать? Не должен, должен писать всё сам. В итоге каждый пишет весь код сам, без какого либо переиспользования. Я не знаю что нужно в башке иметь чтобы язык повернулся назвать это быстрым и надёжным, ибо для одного человека это колоссальная задача, а её нужно повторить каждому человеку касающемуся IT.
В общем можешь писать всё IT с нуля, но мы как-нибудь уж будем тебя не спросив максимально переиспользовать уже написанный код, попутно доводя его до идеала. И ты будешь этим пользоваться как миленький.
> Любители фреймворков можете критиковать, но в таком случае задумайтесь, чем вы отличаетесь от ф///шистов, который точно так же нетерпимы ко всему, что не вписывается в их мировоззрение.
То есть ты "в домике"? Это аргумент, конечно. Знаешь, мне вообще не страшно что меня назовут фашистом за то я максимально жестоко, цинично и безжалостно втаптываю в грязь берцами невежество, некомпетентность, мракобесие и отсутствие логики.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

31. "Каталог PyPI внедрил новую систему проверки подлинности паке..." +/–

Сообщение от foo (?), 15-Ноя-24, 00:04

>Вот поэтому всё нужно писать с нуля самостоятельно.
Особенно криптографические функции.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

35. "Каталог PyPI внедрил новую систему проверки подлинности паке..." –1 +/–

Сообщение от Ivan_83 (ok), 15-Ноя-24, 00:18

Я пишу крипту сам (реализации имеющихся алгоритмов), ничего плохого в этом нет.

Ответить | Правка | Наверх | Cообщить модератору

42. "Каталог PyPI внедрил новую систему проверки подлинности паке..." +1 +/–

Сообщение от Аноним (42), 15-Ноя-24, 01:14

где можно посмотреть на твои творения?

Ответить | Правка | Наверх | Cообщить модератору

4. Скрыто модератором +1 +/–

Сообщение от Аноним (4), 14-Ноя-24, 21:12

Правильный заголовок новости:
>Pypi внедрил систему энфорсинга лояльности Micro$oft и его проприетарной платформе
Не за горами внедрение системы проверки лояльности Micro$oft и его копирастическим (Pluton) и биометрическим (Windows Hello) технологиям в сам интерпретатор. Всё-таки у каждого разработчика есть фамилия, имя, отчество, номер  сотового телефона (у кого нет - тот вылетел с GitHubа как пробка из бутылки, и бальше не разработчик) и вектор лица, а использовать какой-либо код без разрешения "правообладателя" по Бернской конвенци - вообще нарушение копирайта! Логично в рамках "supply chain security" внедрить проверку того, что конкретный разработчик (или конкретное ответственное лицо в структуре ко(рп|пр)орации) предоставило разрешение на использование конкретного модуля путём генерации подписи на GitHub.

Ответить | Правка | Наверх | Cообщить модератору

10. Скрыто модератором –3 +/–

Сообщение от Аноним (-), 14-Ноя-24, 21:51

О нет! Владелец площадки не хочет, чтобы к нему ходи какие-то аноны!
Как он посмел!!
У тебя даже в ближайшем КиБ спросят паспорт.
Я уже молчу про приличный бар.
А если ты хочешь без доков - то будешь пить в рßгалøвке, с бµчами и школотой.
> Логично в рамках "supply chain security" внедрить проверку
Конечно логично. Особенно с учетом последних событий с ХЗ библиотекой.
Тебе не нравятся условия? Можешь идти на торрент, в гемини или хоть на двач.

Ответить | Правка | Наверх | Cообщить модератору

11. Скрыто модератором +1 +/–

Сообщение от Аноним (4), 14-Ноя-24, 21:58

>Можешь идти на торрент
Никогда с него и не уходил. Рабам не понять.
>в гемини
гемини не зря так называется... Даже HTML + HTTP образца 90х - и то лучше. HTML5 ничем не испорчен. Не нравится полнофункциональный - никто не заставляет поддержить всё множество, ни один браузерный вендор на самом деле стандарт полностью не поддерживает.

>или хоть на двач.
Двач помер, с пробуждением из криокамеры!

Ответить | Правка | Наверх | Cообщить модератору

14. Скрыто модератором –1 +/–

Сообщение от Аноним (-), 14-Ноя-24, 22:25

> Никогда с него и не уходил. Рабам не понять.
Надеюсь в автобусе ты тоже зайцем ездишь?
Ну и в кинотеатр прокрадываешься?
Вижу что бы-ло любит называть рабами всех, кто не живет по их понятиям.
> гемини не зря так называется... Даже HTML + HTTP образца 90х - и то лучше.
А чего ты тут забыл?
На опеннете между прочем есть такое
<script>
  (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
  (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
  m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
  })(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
</script>
ї
О ужас! гугл тебя посчитает!
> Двач помер, с пробуждением из криокамеры!
Ну сорян, я не слишком слежу за тем, где сейчас битарды обитают.

Ответить | Правка | Наверх | Cообщить модератору

20. Скрыто модератором +/–

Сообщение от Аноним (20), 14-Ноя-24, 23:05

> На опеннете между прочем есть такое
Вы забыли отквотить , выставленные вокруг того кода. Google Analytic на opennet лет десять как отключён.

Ответить | Правка | Наверх | Cообщить модератору

8. "Каталог PyPI внедрил новую систему проверки подлинности паке..." –1 +/–

Сообщение от Аноним (-), 14-Ноя-24, 21:31

Все правильно. PGP показал свою бесполезность уже давно.
Пользоваться имеет смысл только если есть подписи с личным подтверждением.
Иначе получается что это чел, который знает чела, который бухал на PGP-пати с знакомым твоего знакомого. А кто там что понаподписывал - одному богу известно.

Ответить | Правка | Наверх | Cообщить модератору

24. "Каталог PyPI внедрил новую систему проверки подлинности паке..." +1 +/–

Сообщение от нах. (?), 14-Ноя-24, 23:30

> Все правильно. PGP показал свою бесполезность уже давно.
для тех кто не понимает что это и для чего на самом деле используется - показал.
(кстати, вероятно, нынешние разработчики впихона именно такие, альтернативно-одаренные)
> Иначе получается что это чел, который знает чела, который бухал на PGP-пати с знакомым твоего
> знакомого.
да ты можешь лично проверить паспорт Juan Tjan - как это поможет от написанного им троянца?
Единственное, что на самом деле подтверждала pgp-подпись - это что пакет подписан тем же самым человеком что и в прошлый раз. (А дальше уже от тебя зависит, насколько ты доверяешь этому человеку и его коду. Если ты и прошлый раз в него даже не заглянул - то в общем-то, можно и не подписывать вовсе.)

Ответить | Правка | Наверх | Cообщить модератору

29. "Каталог PyPI внедрил новую систему проверки подлинности паке..." +/–

Сообщение от Аноним (-), 15-Ноя-24, 00:00

> да ты можешь лично проверить паспорт Juan Tjan - как это поможет от написанного им троянца?
Во-первых его можно найти)
Кто это будет делать соответсвующие органы или просто разгневанные пользователи это не столь важно.
Как писал Стив в своей книге
"Пишите код так, как будто сопровождать его будет склонный к насилию психопат, который знает, где вы живете."
А теперь про это будет знать и твой пользователь.
Во-вторых - после первого такого факапа, сомнительно, что кто-то примет его код.
А там был намеренный бекдор в несколько этапов, это тебе не за границы массива выйти.

Ответить | Правка | Наверх | Cообщить модератору

32. "Каталог PyPI внедрил новую систему проверки подлинности паке..." +/–

Сообщение от нах. (?), 15-Ноя-24, 00:06

> Во-первых его можно найти)
и че ты ему сделаешь, он вообще в другом городе.
> Кто это будет делать соответсвующие органы
так он на них и работал.
> Во-вторых - после первого такого факапа, сомнительно, что кто-то примет его код.
после такого факапа его наверное на органы разобрали. Это ж надо быть ТАКИМ неудачником! Тщательно продуманная многоходовая операция - псу под хвост.
Но я уверен что у китайцев есть еще пара сотен тыщ Жун Тянов, готовых что угодно подписать своим ключом по первому зову. Причем у всех по пять акаунтов на шитхапе и шитляпе, существующих по десять лет, с кучей мусора в репах.
И следующему наверняка повезет больше.

Ответить | Правка | Наверх | Cообщить модератору

34. "Каталог PyPI внедрил новую систему проверки подлинности паке..." +/–

Сообщение от Аноним (-), 15-Ноя-24, 00:12

> и че ты ему сделаешь, он вообще в другом городе.
Поеду в гости?
Ты что не видел рецеп из "Джей и Молчаливый Боб" про комментаторов в интернете?
> так он на них и работал.
Значит будет заруба нашего майора и не-нашего.
"Нашесть" каждый выбирает в зависиммости от предпочтений, пачпорта.
Непричасные могут запасаться попкорном.
> Но я уверен что у китайцев есть еще пара сотен тыщ Жун Тянов, готовых что угодно подписать своим ключом по первому зову. Причем у всех по пять акаунтов на шитхапе и шитляпе, существующих по десять лет, с кучей мусора в репах.
Отлично, а теперь мы не смотрим на кол-во мусорных аккаунтов, а сразу просим пасспорт.
Желательно вместе с видосом.
Уже проглядывается отличная практика неправильный-пасспорт-значит-нах, почему такого нельзя сделать и для других?
А чтобы не было спукареков про ущемления - сделать для всех!

Ответить | Правка | Наверх | Cообщить модератору

19. "Каталог PyPI внедрил новую систему проверки подлинности паке..." +3 +/–

Сообщение от 12yoexpert (ok), 14-Ноя-24, 23:01

тотальная централизация. отсутствие ключей на популярных серверах им не нравится, ппц

Ответить | Правка | Наверх | Cообщить модератору

23. "Каталог PyPI внедрил новую систему проверки подлинности паке..." +1 +/–

Сообщение от нах. (?), 14-Ноя-24, 23:26

"Дополнительно можно отметить выявление в каталоге PyPI вредоносного пакета "fabrice", который при помощи тайпсквотинга"
- и вот как от этого могут помочь централизованные ключи с привязкой к шитхапу? А никак. (проверки что это именно код, выложенный на шитхап, вестимо, нету) Зато мы вас всех посчитаем, а правильные пацаны еще и персональных данных пособирают, кто, куда, зачем и когда.
Ну ок, дивный новый мир стал чуточку ближе.

Ответить | Правка | Наверх | Cообщить модератору

37. "Каталог PyPI внедрил новую систему проверки подлинности паке..." +/–

Сообщение от 12yoexpert (ok), 15-Ноя-24, 00:26

ладно бы только сама по себе централизация, но выкладывание (неудаляемого!) ключа на публичный сервер это конец для личного почтового сервера. этим ты как бы кричишь на весь интернет "мне вот сюда, я даже не смазывал"

Ответить | Правка | Наверх | Cообщить модератору

30. "Каталог PyPI внедрил новую систему проверки подлинности паке..." +/–

Сообщение от Аноним (-), 15-Ноя-24, 00:03

Кому им?
Разве они не вправе устанавливать правила на своей платформе?
Для справки, на опеннете тоже есть правила где-то в подвале сайта.
Никто не запрещает сделать свой удобный сервис, без проверок или модерации.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

36. "Каталог PyPI внедрил новую систему проверки подлинности паке..." +/–

Сообщение от 12yoexpert (ok), 15-Ноя-24, 00:21

> Кому им?
а ты попробуй новость прочитать
> Разве они не вправе устанавливать правила на своей платформе?
кто они?
> Для справки, на опеннете тоже есть правила где-то в подвале сайта.
я знал это
> Никто не запрещает сделать свой удобный сервис, без проверок или модерации.
нужно больше очевидных фактов: дерево из дерева, вода мокрая. так полностью опровергнем сами не знаем что

Ответить | Правка | Наверх | Cообщить модератору

38. "Каталог PyPI внедрил новую систему проверки подлинности паке..." –1 +/–

Сообщение от Аноним (38), 15-Ноя-24, 00:30

>> Разве они не вправе устанавливать правила на своей платформе?
> кто они?
а ты попробуй новость прочитать
>> Никто не запрещает сделать свой удобный сервис, без проверок или модерации.
> нужно больше очевидных фактов: дерево из дерева, вода мокрая. так полностью опровергнем сами не знаем что
А кто говорит про опровержение?
Ладно если твой уровень не позволяет понять, то скажу прямо - каждый кому не нравится PyPI, может сделать свой сервис с блекджеком и щво6одькой.

Ответить | Правка | Наверх | Cообщить модератору

39. "Каталог PyPI внедрил новую систему проверки подлинности паке..." +/–

Сообщение от 12yoexpert (ok), 15-Ноя-24, 00:37

> каждый кому не нравится PyPI, может сделать свой сервис с блекджеком и щво6одькой.
ещё один познавательный факт от нашего вассермана, жжош

Ответить | Правка | Наверх | Cообщить модератору

26. "Каталог PyPI внедрил новую систему проверки подлинности паке..." +2 +/–

Сообщение от Аноним (22), 14-Ноя-24, 23:48

Лучше бы они с тайпсквоттингом боролись, и вообще с мусором который там тоннами регистрируют, что прекрасно видно если их фиды обрабатывать. А уж как защищать свой код мы сами разберёмся без сопливых. Так, их "обязательная" 2FA у меня на гитхабе в README свободно выложено, потому что я не считаю что должен тратить время и рисковать доступом к изменению своих пакетов ради гипотетической безопасности потребителей этих пакетов.

Ответить | Правка | Наверх | Cообщить модератору

33. "Каталог PyPI внедрил новую систему проверки подлинности паке..." +/–

Сообщение от Аноним (-), 15-Ноя-24, 00:06

> А уж как защищать свой код мы сами разберёмся без сопливых
Да-да, Jia Tan может подтвердить.
> их "обязательная" 2FA у меня на гитхабе в README свободно выложено
А зачем ты вообще пользуешься гитхабом, если он такой плохой?
Добавляешь им популярности и пользователей.

Ответить | Правка | Наверх | Cообщить модератору

46. "Каталог PyPI внедрил новую систему проверки подлинности паке..." +/–

Сообщение от Аноним (46), 15-Ноя-24, 02:39

Научись читать, и различать гитхаб и пупи, для начала. А потом попробуй понять что и с пупи нет никакого противоречия в том чтобы им пользоваться и продвигать, и чтобы при этом сpать с высокой колокольни на и саботировать их механизмы безопасности.

Ответить | Правка | Наверх | Cообщить модератору

41. "Каталог PyPI внедрил новую систему проверки подлинности паке..." +/–

Сообщение от Аноним (41), 15-Ноя-24, 01:03

Учитывая, что кроме самого ридми там ничего ценного нет и быть не может, то вреда от тебя ровно столько же, сколько и пользы.

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

43. "Каталог PyPI внедрил новую систему проверки подлинности паке..." +1 +/–

Сообщение от Аноним (43), 15-Ноя-24, 01:15

Это лютая дичь. По сути pypi предлагает доверить безопасность пакетов gitlab или github.
Это не только не этично, но просто меганебезопасно. По сути это бекдор в экосистему питона (0.5% со своими зеркалами можно не учитывать).

Ответить | Правка | Наверх | Cообщить модератору

45. "Каталог PyPI внедрил новую систему проверки подлинности паке..." +/–

Сообщение от Вы забыли заполнить поле Name (?), 15-Ноя-24, 02:22

> По сути pypi предлагает доверить безопасность пакетов github
Где работает Гвидо и кто владелец github? Дальше думаю ясно.
> Это не только не этично, но просто меганебезопасно. По сути это бекдор в экосистему питона
Не можешь победить - возглавь.

Ответить | Правка | Наверх | Cообщить модератору

44. "Каталог PyPI внедрил новую систему проверки подлинности паке..." +/–

Сообщение от Вы забыли заполнить поле Name (?), 15-Ноя-24, 02:20

* оверинжиниринг
* завязка на сторонние сервисы в кол-ве 2 штук
Осуждаю.
> который при помощи тайпсквотинга
Запретитие общие имена. Просто зафиксируйте текущие, а новые пусть будут username/package-name. Для регистрации нового пользователя введите проверку на похожесть.

Ответить | Правка | Наверх | Cообщить модератору

47. "Каталог PyPI внедрил новую систему проверки подлинности паке..." +/–

Сообщение от Аноним (46), 15-Ноя-24, 02:42

А что, если сделать вид что исходники пакета у меня на sr.ht, они это проглотят и не будут мне свои сраные механизмы аутентификации навязывать, или откажут мне в публикации пакета после чего можно будет поднять вонь в соцсетях?

Ответить | Правка | Наверх | Cообщить модератору

48. "Каталог PyPI внедрил новую систему проверки подлинности паке..." +/–

Сообщение от Аноним (48), 15-Ноя-24, 03:29

Если твоя игрушка поддерживает индустриальный стандарт OpenID — без проблем, публикуйся там. А если нет, то и суда нет. Точно так же тебя пошлют лесом если ты попробуешь через GEMINI публиковать или ещё каким-нибудь технически несовместимым способом. Хороший фильтр тех, кто даже учётку на популярном хостинге сорцов открыть не может. Такие девелоперы нам точно не нужны.

Ответить | Правка | Наверх | Cообщить модератору

49. "Каталог PyPI внедрил новую систему проверки подлинности паке..." +/–

Сообщение от Аноним (49), 15-Ноя-24, 04:52

Ну и монстра же породили. Диды на своих сайтах релизы софта выкладывают, не требуют ни регистрации ни смс.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Каталог PyPI внедрил новую систему проверки подлинности паке..."	–2 +/–
Сообщение от Аноним (-), 14-Ноя-24, 20:52
Вот поэтому всё нужно писать с нуля самостоятельно. Это быстрее и надёжнее, чем качать 100500 надстроек и прослоек, которые написаны не пойми кем и вполне себе могут быть напичканы бэкдорами. Любители фреймворков можете критиковать, но в таком случае задумайтесь, чем вы отличаетесь от ф///шистов, который точно так же нетерпимы ко всему, что не вписывается в их мировоззрение.
Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Каталог PyPI внедрил новую систему проверки подлинности паке..."	+3 +/–
	Сообщение от Аноним (6), 14-Ноя-24, 21:27
	>Вот поэтому всё нужно писать с нуля самостоятельно Ок, будь последователен - начинай новый проект с написания tcp-стека. Ой, нет, в эзернете же тоже может быть что-то плохое. Так, погоди, а с физикой что будем делать? Наверняка там китайцы свои китайские фотоны гоняют. Придется паять своё. Возвращайся лет через 10, расскажешь как всё быстро и надёжно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Каталог PyPI внедрил новую систему проверки подлинности паке..."	+1 +/–
	Сообщение от Аноним (12), 14-Ноя-24, 22:00
	Обычно tcp уже реализован в самой системе, так что придумай что-то более остроумное, если уж так хочется выступать в роли вaньки бaлaгaнного.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Каталог PyPI внедрил новую систему проверки подлинности паке..."	+3 +/–
	Сообщение от ОШИБКА Отсутствуют данные в поле Name (?), 14-Ноя-24, 22:32
	Ну значится систему надо обязательно свою иметь, самописанную. И чтоб ни строчки чужого кода.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Каталог PyPI внедрил новую систему проверки подлинности паке..."	+1 +/–
	Сообщение от Аноним (21), 14-Ноя-24, 23:15
	Так то он прав. Нужно определиться с какого момента мы начинаем полагаться на чужой код? С ОС, драйверов, ЯП?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. Скрыто модератором	+/–
	Сообщение от Аноним (-), 14-Ноя-24, 22:33
	> задумайтесь, чем вы отличаетесь от ф///шистов Это какой-то вопрос с подвохом? Если мы возьмём, например, определение фашизма отсюда: https://acoup.blog/2024/10/25/new-acquisitions-1933-and-the-.../ и пробежимся по пунктам: 1. The Cult of Tradition, particularly a syncretic traditionalism that latches on to various iterations of an idealized past, even mutually incompatible ones. Очевидно к нам неприменимо. Мы противники традиций, мы хипстеры, нам подавай что-нибудь новое и блестящее. Применимо к нам на 0%. 2. The Rejection of Modernism, specifically, in Eco’s mind, a rejection of “the Enlightenment, the Age of Reason…seen as the beginning of modern depravity.” Мы технари, мы высоко ценим разум. С ценностями Просвещения сложнее, но большинству на них наплевать, потому что большинство нас даже не знает, что это за ценности. 25% применимости. 3. The Cult of Action for Action’s Sake, which for Eco is really a rejection of intellectualism, thinking or consideration, a despising of experts, intellectuals and universities: don’t think, just do, and hate the thinkers. Вот он пункт, который к нам часто применим. Мы часто ставим в приоритет работающий результат труда, а не академически идеальный код. И да, некоторых заносит в презрение к академии в целом. Но тем не менее подавляющее большинство училось в университетах и довольно тепло относится к альмаматер. Пускай будет 75% применимости. 4. Disagreement is Treason. Это близко к тому, о чём ты говоришь, но всё ж мимо. Мы не объявляем таких как ты предателями. (Предателями чего?). 0% 5. Fear of Difference. Боимся ли мы людей, кто не такие как мы? Кто-то, конечно же, но это не какой-то определяющий трейт любителей фреймворков. 0% 6. Appeal to a Frustrated Middle Class. Это не про нас абсолютно. 0% 7. The Obsession with a Plot. Мне кажется, что в наших рядах конспирология выражена ниже среднего по популяции, и я уверен что не выше. 0% 8. The Deceptively Strong/Weak Eternal Opponent. This one is complicated, but fascism conjures an ‘enemy’ who is at once too strong (thus requiring the power of the fascist strongman to defeat and whose continued existence can justify continued mobilization and authoritarianism) and yet also degenerate and weak. У нас нет такого оппонента. Такие как ты не считаются, потому что вы не eternal. Можно помахать шашками в интернете с такими как ты, а потом пойти и помахать шашками с кем-нибудь другим на совершенно другую тему. 0% 9. Life is Permanent Warfare, as Eco puts it, “there is no struggle for life, but rather, life is lived for struggle.” Мимо. Жизнь -- это зарабатывание денег, а не война. И зарабатывание денег для того, чтобы жить как минимум комфортно, а максимум роскошно. 0% 10. Contempt for the Weak. Не знаю, что на это сказать. Я не вижу какого-то общего презрения к слабым. Хотя если считать слабыми тех, кто не может зарабатывать денег на фреймворках, то может быть. 25% 11. The Cult of Heroism. Нет. Среди нас нет героев, и уж тем более культа этих героев. 0% 12. Machismo, which as Eco notes, encompasses both “disdain for women” and “condemnation of nonstandard sexual habits.” Первое -- это bro культура, и она довольно распространена в наших рядах. Второе же, я б сказал, скорее мимо. 50% 13. Selective Populism: fascism claims to speak for ‘the People,’ but in reality only some of the people and not through democratic, majority-rules systems; rather the Leader channels the Common Will which is taken as the Voice of the People, even when it contradicts the actual votes of the people. Опять же мимо. Нет никакого the Leader, который бы говорил от нашего лица. 0% 14. Newspeak, which Eco identifies both in changing the meaning of words, often inverting them Не упомню ничего такого. Хотя, если взять историю Agile и Scrum, которые начались как способ более эффективно разрабатывать код, а превратились в ритуалы убивающие эффективность на корню, то может быть. Хотя я не уверен, что это оно, но пускай будет 25%. 9/14 - 0% 3/14 - 25% 1/14 - 50% 1/14 - 75% Ни одного попадания в яблочко, и больше половины совершенно мимо. Я ответил на твой вопрос, чем мы отличаемся от ф///шистов?
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	22. Скрыто модератором	+1 +/–
	Сообщение от Аноним (22), 14-Ноя-24, 23:26
	Я не тот аноним которому ты отвечал, но думаю что только фашист может провести такой подробный анализ чтобы доказать что к нему определение фашизма неприменимо :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. Скрыто модератором	+2 +/–
	Сообщение от Аноним (25), 14-Ноя-24, 23:44
	> Вот поэтому всё нужно писать с нуля самостоятельно. Это быстрее и надёжнее, чем качать 100500 надстроек и прослоек, которые написаны не пойми кем и вполне себе могут быть напичканы бэкдорами. Здорово ты придумал. Ну вот не доверяешь ты чужому коду и всё пишешь сам. А почему кто-то должен доверять твоему коду чтобы его переиспользовать? Не должен, должен писать всё сам. В итоге каждый пишет весь код сам, без какого либо переиспользования. Я не знаю что нужно в башке иметь чтобы язык повернулся назвать это быстрым и надёжным, ибо для одного человека это колоссальная задача, а её нужно повторить каждому человеку касающемуся IT. В общем можешь писать всё IT с нуля, но мы как-нибудь уж будем тебя не спросив максимально переиспользовать уже написанный код, попутно доводя его до идеала. И ты будешь этим пользоваться как миленький. > Любители фреймворков можете критиковать, но в таком случае задумайтесь, чем вы отличаетесь от ф///шистов, который точно так же нетерпимы ко всему, что не вписывается в их мировоззрение. То есть ты "в домике"? Это аргумент, конечно. Знаешь, мне вообще не страшно что меня назовут фашистом за то я максимально жестоко, цинично и безжалостно втаптываю в грязь берцами невежество, некомпетентность, мракобесие и отсутствие логики.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	31. "Каталог PyPI внедрил новую систему проверки подлинности паке..."	+/–
	Сообщение от foo (?), 15-Ноя-24, 00:04
	>Вот поэтому всё нужно писать с нуля самостоятельно. Особенно криптографические функции.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	35. "Каталог PyPI внедрил новую систему проверки подлинности паке..."	–1 +/–
	Сообщение от Ivan_83 (ok), 15-Ноя-24, 00:18
	Я пишу крипту сам (реализации имеющихся алгоритмов), ничего плохого в этом нет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	42. "Каталог PyPI внедрил новую систему проверки подлинности паке..."	+1 +/–
	Сообщение от Аноним (42), 15-Ноя-24, 01:14
	где можно посмотреть на твои творения?
	Ответить \| Правка \| Наверх \| Cообщить модератору

4. Скрыто модератором	+1 +/–
Сообщение от Аноним (4), 14-Ноя-24, 21:12
Правильный заголовок новости: >Pypi внедрил систему энфорсинга лояльности Micro$oft и его проприетарной платформе Не за горами внедрение системы проверки лояльности Micro$oft и его копирастическим (Pluton) и биометрическим (Windows Hello) технологиям в сам интерпретатор. Всё-таки у каждого разработчика есть фамилия, имя, отчество, номер сотового телефона (у кого нет - тот вылетел с GitHubа как пробка из бутылки, и бальше не разработчик) и вектор лица, а использовать какой-либо код без разрешения "правообладателя" по Бернской конвенци - вообще нарушение копирайта! Логично в рамках "supply chain security" внедрить проверку того, что конкретный разработчик (или конкретное ответственное лицо в структуре ко(рп\|пр)орации) предоставило разрешение на использование конкретного модуля путём генерации подписи на GitHub.
Ответить \| Правка \| Наверх \| Cообщить модератору


	10. Скрыто модератором	–3 +/–
	Сообщение от Аноним (-), 14-Ноя-24, 21:51
	О нет! Владелец площадки не хочет, чтобы к нему ходи какие-то аноны! Как он посмел!! У тебя даже в ближайшем КиБ спросят паспорт. Я уже молчу про приличный бар. А если ты хочешь без доков - то будешь пить в рßгалøвке, с бµчами и школотой. > Логично в рамках "supply chain security" внедрить проверку Конечно логично. Особенно с учетом последних событий с ХЗ библиотекой. Тебе не нравятся условия? Можешь идти на торрент, в гемини или хоть на двач.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. Скрыто модератором	+1 +/–
	Сообщение от Аноним (4), 14-Ноя-24, 21:58
	>Можешь идти на торрент Никогда с него и не уходил. Рабам не понять. >в гемини гемини не зря так называется... Даже HTML + HTTP образца 90х - и то лучше. HTML5 ничем не испорчен. Не нравится полнофункциональный - никто не заставляет поддержить всё множество, ни один браузерный вендор на самом деле стандарт полностью не поддерживает. >или хоть на двач. Двач помер, с пробуждением из криокамеры!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. Скрыто модератором	–1 +/–
	Сообщение от Аноним (-), 14-Ноя-24, 22:25
	> Никогда с него и не уходил. Рабам не понять. Надеюсь в автобусе ты тоже зайцем ездишь? Ну и в кинотеатр прокрадываешься? Вижу что бы-ло любит называть рабами всех, кто не живет по их понятиям. > гемини не зря так называется... Даже HTML + HTTP образца 90х - и то лучше. А чего ты тут забыл? На опеннете между прочем есть такое <script> (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]\|\|function(){ (i[r].q=i[r].q\|\|[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o), m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m) })(window,document,'script','https://www.google-analytics.com/analytics.js','ga'); </script> ї О ужас! гугл тебя посчитает! > Двач помер, с пробуждением из криокамеры! Ну сорян, я не слишком слежу за тем, где сейчас битарды обитают.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. Скрыто модератором	+/–
	Сообщение от Аноним (20), 14-Ноя-24, 23:05
	> На опеннете между прочем есть такое Вы забыли отквотить <!-- -->, выставленные вокруг того кода. Google Analytic на opennet лет десять как отключён.
	Ответить \| Правка \| Наверх \| Cообщить модератору

8. "Каталог PyPI внедрил новую систему проверки подлинности паке..."	–1 +/–
Сообщение от Аноним (-), 14-Ноя-24, 21:31
Все правильно. PGP показал свою бесполезность уже давно. Пользоваться имеет смысл только если есть подписи с личным подтверждением. Иначе получается что это чел, который знает чела, который бухал на PGP-пати с знакомым твоего знакомого. А кто там что понаподписывал - одному богу известно.
Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Каталог PyPI внедрил новую систему проверки подлинности паке..."	+1 +/–
	Сообщение от нах. (?), 14-Ноя-24, 23:30
	> Все правильно. PGP показал свою бесполезность уже давно. для тех кто не понимает что это и для чего на самом деле используется - показал. (кстати, вероятно, нынешние разработчики впихона именно такие, альтернативно-одаренные) > Иначе получается что это чел, который знает чела, который бухал на PGP-пати с знакомым твоего > знакомого. да ты можешь лично проверить паспорт Juan Tjan - как это поможет от написанного им троянца? Единственное, что на самом деле подтверждала pgp-подпись - это что пакет подписан тем же самым человеком что и в прошлый раз. (А дальше уже от тебя зависит, насколько ты доверяешь этому человеку и его коду. Если ты и прошлый раз в него даже не заглянул - то в общем-то, можно и не подписывать вовсе.)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Каталог PyPI внедрил новую систему проверки подлинности паке..."	+/–
	Сообщение от Аноним (-), 15-Ноя-24, 00:00
	> да ты можешь лично проверить паспорт Juan Tjan - как это поможет от написанного им троянца? Во-первых его можно найти) Кто это будет делать соответсвующие органы или просто разгневанные пользователи это не столь важно. Как писал Стив в своей книге "Пишите код так, как будто сопровождать его будет склонный к насилию психопат, который знает, где вы живете." А теперь про это будет знать и твой пользователь. Во-вторых - после первого такого факапа, сомнительно, что кто-то примет его код. А там был намеренный бекдор в несколько этапов, это тебе не за границы массива выйти.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "Каталог PyPI внедрил новую систему проверки подлинности паке..."	+/–
	Сообщение от нах. (?), 15-Ноя-24, 00:06
	> Во-первых его можно найти) и че ты ему сделаешь, он вообще в другом городе. > Кто это будет делать соответсвующие органы так он на них и работал. > Во-вторых - после первого такого факапа, сомнительно, что кто-то примет его код. после такого факапа его наверное на органы разобрали. Это ж надо быть ТАКИМ неудачником! Тщательно продуманная многоходовая операция - псу под хвост. Но я уверен что у китайцев есть еще пара сотен тыщ Жун Тянов, готовых что угодно подписать своим ключом по первому зову. Причем у всех по пять акаунтов на шитхапе и шитляпе, существующих по десять лет, с кучей мусора в репах. И следующему наверняка повезет больше.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "Каталог PyPI внедрил новую систему проверки подлинности паке..."	+/–
	Сообщение от Аноним (-), 15-Ноя-24, 00:12
	> и че ты ему сделаешь, он вообще в другом городе. Поеду в гости? Ты что не видел рецеп из "Джей и Молчаливый Боб" про комментаторов в интернете? > так он на них и работал. Значит будет заруба нашего майора и не-нашего. "Нашесть" каждый выбирает в зависиммости от предпочтений, пачпорта. Непричасные могут запасаться попкорном. > Но я уверен что у китайцев есть еще пара сотен тыщ Жун Тянов, готовых что угодно подписать своим ключом по первому зову. Причем у всех по пять акаунтов на шитхапе и шитляпе, существующих по десять лет, с кучей мусора в репах. Отлично, а теперь мы не смотрим на кол-во мусорных аккаунтов, а сразу просим пасспорт. Желательно вместе с видосом. Уже проглядывается отличная практика неправильный-пасспорт-значит-нах, почему такого нельзя сделать и для других? А чтобы не было спукареков про ущемления - сделать для всех!
	Ответить \| Правка \| Наверх \| Cообщить модератору

19. "Каталог PyPI внедрил новую систему проверки подлинности паке..."	+3 +/–
Сообщение от 12yoexpert (ok), 14-Ноя-24, 23:01
тотальная централизация. отсутствие ключей на популярных серверах им не нравится, ппц
Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Каталог PyPI внедрил новую систему проверки подлинности паке..."	+1 +/–
	Сообщение от нах. (?), 14-Ноя-24, 23:26
	"Дополнительно можно отметить выявление в каталоге PyPI вредоносного пакета "fabrice", который при помощи тайпсквотинга" - и вот как от этого могут помочь централизованные ключи с привязкой к шитхапу? А никак. (проверки что это именно код, выложенный на шитхап, вестимо, нету) Зато мы вас всех посчитаем, а правильные пацаны еще и персональных данных пособирают, кто, куда, зачем и когда. Ну ок, дивный новый мир стал чуточку ближе.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "Каталог PyPI внедрил новую систему проверки подлинности паке..."	+/–
	Сообщение от 12yoexpert (ok), 15-Ноя-24, 00:26
	ладно бы только сама по себе централизация, но выкладывание (неудаляемого!) ключа на публичный сервер это конец для личного почтового сервера. этим ты как бы кричишь на весь интернет "мне вот сюда, я даже не смазывал"
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "Каталог PyPI внедрил новую систему проверки подлинности паке..."	+/–
	Сообщение от Аноним (-), 15-Ноя-24, 00:03
	Кому им? Разве они не вправе устанавливать правила на своей платформе? Для справки, на опеннете тоже есть правила где-то в подвале сайта. Никто не запрещает сделать свой удобный сервис, без проверок или модерации.
	Ответить \| Правка \| К родителю #19 \| Наверх \| Cообщить модератору


	36. "Каталог PyPI внедрил новую систему проверки подлинности паке..."	+/–
	Сообщение от 12yoexpert (ok), 15-Ноя-24, 00:21
	> Кому им? а ты попробуй новость прочитать > Разве они не вправе устанавливать правила на своей платформе? кто они? > Для справки, на опеннете тоже есть правила где-то в подвале сайта. я знал это > Никто не запрещает сделать свой удобный сервис, без проверок или модерации. нужно больше очевидных фактов: дерево из дерева, вода мокрая. так полностью опровергнем сами не знаем что
	Ответить \| Правка \| Наверх \| Cообщить модератору


	38. "Каталог PyPI внедрил новую систему проверки подлинности паке..."	–1 +/–
	Сообщение от Аноним (38), 15-Ноя-24, 00:30
	>> Разве они не вправе устанавливать правила на своей платформе? > кто они? а ты попробуй новость прочитать >> Никто не запрещает сделать свой удобный сервис, без проверок или модерации. > нужно больше очевидных фактов: дерево из дерева, вода мокрая. так полностью опровергнем сами не знаем что А кто говорит про опровержение? Ладно если твой уровень не позволяет понять, то скажу прямо - каждый кому не нравится PyPI, может сделать свой сервис с блекджеком и щво6одькой.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Каталог PyPI внедрил новую систему проверки подлинности паке..."	+/–
	Сообщение от 12yoexpert (ok), 15-Ноя-24, 00:37
	> каждый кому не нравится PyPI, может сделать свой сервис с блекджеком и щво6одькой. ещё один познавательный факт от нашего вассермана, жжош
	Ответить \| Правка \| Наверх \| Cообщить модератору

26. "Каталог PyPI внедрил новую систему проверки подлинности паке..."	+2 +/–
Сообщение от Аноним (22), 14-Ноя-24, 23:48
Лучше бы они с тайпсквоттингом боролись, и вообще с мусором который там тоннами регистрируют, что прекрасно видно если их фиды обрабатывать. А уж как защищать свой код мы сами разберёмся без сопливых. Так, их "обязательная" 2FA у меня на гитхабе в README свободно выложено, потому что я не считаю что должен тратить время и рисковать доступом к изменению своих пакетов ради гипотетической безопасности потребителей этих пакетов.
Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "Каталог PyPI внедрил новую систему проверки подлинности паке..."	+/–
	Сообщение от Аноним (-), 15-Ноя-24, 00:06
	> А уж как защищать свой код мы сами разберёмся без сопливых Да-да, Jia Tan может подтвердить. > их "обязательная" 2FA у меня на гитхабе в README свободно выложено А зачем ты вообще пользуешься гитхабом, если он такой плохой? Добавляешь им популярности и пользователей.
	Ответить \| Правка \| Наверх \| Cообщить модератору