| 1.8, Аноним (-), 21:31, 14/11/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Все правильно. PGP показал свою бесполезность уже давно.
Пользоваться имеет смысл только если есть подписи с личным подтверждением.
Иначе получается что это чел, который знает чела, который бухал на PGP-пати с знакомым твоего знакомого. А кто там что понаподписывал - одному богу известно.
| | |
| |
| 2.24, нах. (?), 23:30, 14/11/2024 [^] [^^] [^^^] [ответить]
| +5 +/– | |
> Все правильно. PGP показал свою бесполезность уже давно.
для тех кто не понимает что это и для чего на самом деле используется - показал.
(кстати, вероятно, нынешние разработчики впихона именно такие, альтернативно-одаренные)
> Иначе получается что это чел, который знает чела, который бухал на PGP-пати с знакомым твоего
> знакомого.
да ты можешь лично проверить паспорт Juan Tjan - как это поможет от написанного им троянца?
Единственное, что на самом деле подтверждала pgp-подпись - это что пакет подписан тем же самым человеком что и в прошлый раз. (А дальше уже от тебя зависит, насколько ты доверяешь этому человеку и его коду. Если ты и прошлый раз в него даже не заглянул - то в общем-то, можно и не подписывать вовсе.)
| | |
| |
| 3.29, Аноним (-), 00:00, 15/11/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> да ты можешь лично проверить паспорт Juan Tjan - как это поможет от написанного им троянца?
Во-первых его можно найти)
Кто это будет делать соответсвующие органы или просто разгневанные пользователи это не столь важно.
Как писал Стив в своей книге
"Пишите код так, как будто сопровождать его будет склонный к насилию психопат, который знает, где вы живете."
А теперь про это будет знать и твой пользователь.
Во-вторых - после первого такого факапа, сомнительно, что кто-то примет его код.
А там был намеренный бекдор в несколько этапов, это тебе не за границы массива выйти.
| | |
| |
| 4.32, нах. (?), 00:06, 15/11/2024 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> Во-первых его можно найти)
и че ты ему сделаешь, он вообще в другом городе.
> Кто это будет делать соответсвующие органы
так он на них и работал.
> Во-вторых - после первого такого факапа, сомнительно, что кто-то примет его код.
после такого факапа его наверное на органы разобрали. Это ж надо быть ТАКИМ неудачником! Тщательно продуманная многоходовая операция - псу под хвост.
Но я уверен что у китайцев есть еще пара сотен тыщ Жун Тянов, готовых что угодно подписать своим ключом по первому зову. Причем у всех по пять акаунтов на шитхапе и шитляпе, существующих по десять лет, с кучей мусора в репах.
И следующему наверняка повезет больше.
| | |
| |
| 5.34, Аноним (-), 00:12, 15/11/2024 [^] [^^] [^^^] [ответить] | +/– | Поеду в гости Ты что не видел рецеп из Джей и Молчаливый Боб про комментаторо... большой текст свёрнут, показать | | |
| |
| 6.65, Аноним (55), 09:43, 15/11/2024 [^] [^^] [^^^] [ответить]
| +/– |
Отличный метод наконец-то избавиться от монополиста-конкурента. Обеими руками за.
| | |
|
| 5.81, Аноним (81), 15:26, 15/11/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> после такого факапа его наверное
скорее всего проведут 2094 Hall of Honor Ceremony :)
| | |
|
|
|
| 2.70, Аноним (70), 10:14, 15/11/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Альтернативы PGP пока нет. Да, PGP надо уметь пользоваться. PGP начинает хорошо работать только через годы. Подписывайте ключи только тех кого знаете: одноклассников, однокурсников, сотрудников.
Для приемлемой верификации разраба, следует требовать наличие более чем 3 цепочек доверия к публичному ключу разраба пакета!
Использование PGP требует организацию неких процессов. У нас использование PGP отлично организован в ALT.
С PGP отлично работают в: ALTLinux, Linux, Debian, Archlinux, Archlabslinux, Kali, Purism, Qubes. Их инструкции по работе с ключами PGP можно взять за образец.
С PGP хорошо работают в: Genoo, FreeBSD, ... В их организации работы с ключами PGP есть мелкие недочёты.
| | |
|
| 1.19, 12yoexpert (ok), 23:01, 14/11/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 тотальная централизация. отсутствие ключей на популярных серверах им не нравится, ппц
| | |
| |
| 2.23, нах. (?), 23:26, 14/11/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
"Дополнительно можно отметить выявление в каталоге PyPI вредоносного пакета "fabrice", который при помощи тайпсквотинга"
- и вот как от этого могут помочь централизованные ключи с привязкой к шитхапу? А никак. (проверки что это именно код, выложенный на шитхап, вестимо, нету) Зато мы вас всех посчитаем, а правильные пацаны еще и персональных данных пособирают, кто, куда, зачем и когда.
Ну ок, дивный новый мир стал чуточку ближе.
| | |
| |
| 3.37, 12yoexpert (ok), 00:26, 15/11/2024 [^] [^^] [^^^] [ответить]
| –2 +/– |
ладно бы только сама по себе централизация, но выкладывание (неудаляемого!) ключа на публичный сервер это конец для личного почтового сервера. этим ты как бы кричишь на весь интернет "мне вот сюда, я даже не смазывал"
| | |
| |
| 4.62, нах. (?), 09:31, 15/11/2024 [^] [^^] [^^^] [ответить]
| +/– | |
Поэтому правильные поцоны давным-давно пользуются гуглем. Чо там - телефон просит подтвердить? У Джен Тянок этих телефонов - достаточно в соседний отдел заявку дать, и еще десяток выдадут.
И почта у него на каждую такую провокацию - будет новая, незамаранная.
В общем, план надежный, как швейцарские ч... сыры. Все в дырках. Зато статистика гитхапа - улучшилась. Есть чего показать инвесторам.
| | |
|
|
| 2.30, Аноним (-), 00:03, 15/11/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
Кому им?
Разве они не вправе устанавливать правила на своей платформе?
Для справки, на опеннете тоже есть правила где-то в подвале сайта.
Никто не запрещает сделать свой удобный сервис, без проверок или модерации.
| | |
| |
| 3.36, 12yoexpert (ok), 00:21, 15/11/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Кому им?
а ты попробуй новость прочитать
> Разве они не вправе устанавливать правила на своей платформе?
кто они?
> Для справки, на опеннете тоже есть правила где-то в подвале сайта.
я знал это
> Никто не запрещает сделать свой удобный сервис, без проверок или модерации.
нужно больше очевидных фактов: дерево из дерева, вода мокрая. так полностью опровергнем сами не знаем что
| | |
| |
| 4.38, Аноним (38), 00:30, 15/11/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> Разве они не вправе устанавливать правила на своей платформе?
> кто они?
а ты попробуй новость прочитать
>> Никто не запрещает сделать свой удобный сервис, без проверок или модерации.
> нужно больше очевидных фактов: дерево из дерева, вода мокрая. так полностью опровергнем сами не знаем что
А кто говорит про опровержение?
Ладно если твой уровень не позволяет понять, то скажу прямо - каждый кому не нравится PyPI, может сделать свой сервис с блекджеком и щво6одькой.
| | |
|
|
| 2.60, Аноним (60), 09:25, 15/11/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> тотальная централизация.
Ну как бы смысл PyPi как раз в том, чтобы быть единственным, централизированным местом для загрузки пакетов. Не нравиться - загружай пакеты ручками по всему интернету. В чем проблема?
| | |
| |
| 3.79, Аноним (-), 15:01, 15/11/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
> централизированным местом для загрузки пакетов. Не нравиться - загружай пакеты ручками
> по всему интернету. В чем проблема?
"Those who would give up essential liberty to obtain little temporary safety, deserve neither" (с) Беня Ф.
| | |
| |
| 4.83, Аноним (83), 18:05, 15/11/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Хорошо бы цитирующие ещё и контекстом владели. Или хотя бы понимали значение слов, которые повторяют.
> essential liberty
Публиковать пакеты на PyPi — это essential liberty? IT-инфантилы такие забавные. Когда мамка запрещает конфеты жрать без меры — тоже, небось, на essential liberty посягает, а?
| | |
| |
| 5.85, Аноним (-), 18:48, 15/11/2024 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Публиковать пакеты на PyPi — это essential liberty? IT-инфантилы такие забавные.
> Когда мамка запрещает конфеты жрать без меры — тоже, небось, на essential liberty посягает, а?
Потуги сделать 1 центральную репу - с околовендорлокскими практиками - это, имхо, оно.
| | |
| |
| 6.87, Аноним (60), 20:07, 15/11/2024 [^] [^^] [^^^] [ответить]
| +/– |
>> Публиковать пакеты на PyPi — это essential liberty?
> Потуги сделать 1 центральную репу - с околовендорлокскими практиками - это, имхо, оно
Ну что за бред? Какие базовые свободы тебе защемили, если тебя никто не заставляет публиковать свои пакеты на PyPi? Я даже на деньги готов поспорить, что ты этого не делаешь, как и 100% здесь возмутившихся.
Те же люди, кто действительно публикует полезные пакеты на нем - они лишь будут рады усиленной безопасности. Не говоря уже о пользователях этих пакетов.
| | |
|
|
|
|
|
| 1.26, Аноним (26), 23:48, 14/11/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Лучше бы они с тайпсквоттингом боролись, и вообще с мусором который там тоннами регистрируют, что прекрасно видно если их фиды обрабатывать. А уж как защищать свой код мы сами разберёмся без сопливых. Так, их "обязательная" 2FA у меня на гитхабе в README свободно выложено, потому что я не считаю что должен тратить время и рисковать доступом к изменению своих пакетов ради гипотетической безопасности потребителей этих пакетов.
| | |
| |
| 2.33, Аноним (-), 00:06, 15/11/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> А уж как защищать свой код мы сами разберёмся без сопливых
Да-да, Jia Tan может подтвердить.
> их "обязательная" 2FA у меня на гитхабе в README свободно выложено
А зачем ты вообще пользуешься гитхабом, если он такой плохой?
Добавляешь им популярности и пользователей.
| | |
| |
| 3.46, Аноним (46), 02:39, 15/11/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Научись читать, и различать гитхаб и пупи, для начала. А потом попробуй понять что и с пупи нет никакого противоречия в том чтобы им пользоваться и продвигать, и чтобы при этом сpать с высокой колокольни на и саботировать их механизмы безопасности.
| | |
| 3.58, Аноним (58), 08:48, 15/11/2024 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> Да-да, Jia Tan может подтвердить.
И теперь 1 м...к будет использоваться как предлог? Где-то я такое видел уже. В 1930х такие предлоги очень далеко пошли, помнится.
> А зачем ты вообще пользуешься гитхабом, если он такой плохой?
А вот хорошая мысль. Я как раз свалил оттуда. Пусть сами с своими toto и 2FA и е...ся! Вам же "такие" разработчики не нужны? Ну вот и круто, тусите в своем кoнцлaгeрe имени майкрософта сами и дергайтесь под все их totoлитарные загоны и что там завтра их манагерам еще приспичит :)
| | |
|
| 2.41, Аноним (83), 01:03, 15/11/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Учитывая, что кроме самого ридми там ничего ценного нет и быть не может, то вреда от тебя ровно столько же, сколько и пользы.
| | |
| 2.61, Аноним (60), 09:30, 15/11/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Так, их "обязательная" 2FA у меня на гитхабе в README свободно выложено, потому что я не считаю что должен тратить время и рисковать доступом к изменению своих пакетов ради гипотетической безопасности потребителей этих пакетов.
Дашь ссылочку на свой Гитхаб?
| | |
| |
| 3.73, Аноним (-), 11:42, 15/11/2024 [^] [^^] [^^^] [ответить]
| +/– |
Конечно не даст - это же были просто фантазии анона.
Он сначала бредит про РИДМИ, а потом пишет "Я как раз свалил оттуда"))
| | |
|
|
| 1.43, Аноним (43), 01:15, 15/11/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Это лютая дичь. По сути pypi предлагает доверить безопасность пакетов gitlab или github.
Это не только не этично, но просто меганебезопасно. По сути это бекдор в экосистему питона (0.5% со своими зеркалами можно не учитывать).
| | |
| |
| 2.45, Вы забыли заполнить поле Name (?), 02:22, 15/11/2024 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> По сути pypi предлагает доверить безопасность пакетов github
Где работает Гвидо и кто владелец github? Дальше думаю ясно.
> Это не только не этично, но просто меганебезопасно. По сути это бекдор в экосистему питона
Не можешь победить - возглавь.
| | |
| |
| 3.50, Аноним (50), 06:25, 15/11/2024 [^] [^^] [^^^] [ответить]
| –2 +/– |
Linux, python, rust (лоббирование запретов его не использовать), с++ (пропихивают в стандарт мусор вроде модулей, чтобы убить с++), система загрузки пк уже под майками, кто следующий?
| | |
| |
| |
| 5.78, Аноним (-), 14:59, 15/11/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> А что будет если Майкрософт купить Интел?
"Two turkeys do not make an eagle" (с) Google.
| | |
|
| 4.91, Аноним (91), 20:52, 15/11/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> с++ (пропихивают в стандарт мусор вроде модулей, чтобы убить с++)
Лол. Соразу видно эксперта, который на C++ не пишет, но мнение имеет.
Чтобы ты знал, модули - это одна из самых долгожданных фич плюсов.
| | |
|
| 3.64, нах. (?), 09:33, 15/11/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Где работает Гвидо и кто владелец github? Дальше думаю ясно.
и кстати, да. Улыбается и машет. И никто его к табурету не приковывал. Саааам пришел. Для виду даже корону снял.
> Не можешь победить - возглавь.
так он и так...
| | |
| 3.86, Аноним (-), 18:50, 15/11/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Где работает Гвидо и кто владелец github? Дальше думаю ясно.
А, вот оно что, теперь питонистов заставят облизать все майрософтовские подметки до блеска?!
| | |
| 3.92, Аноним (91), 20:53, 15/11/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Где работает Гвидо и кто владелец github? Дальше думаю ясно.
Думаю, чсно, что ты новость задницей читал, ибо GitHub привели лишь как пример использования OpenID.
| | |
|
| 2.75, Аноним (60), 11:54, 15/11/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> По сути pypi предлагает доверить безопасность пакетов gitlab или github.
Нет, не предлагает. Черным по белому же написано, что оно работает через OpenID Connect. Гитлаб с Гитхабом привели лишь в качестве примера.
Вы когда-нибудь научитесь не пятой точкой читать?
| | |
| |
| 3.76, Аноним (-), 12:25, 15/11/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Вы когда-нибудь научитесь не пятой точкой читать?
Неа)
"Статью не читай - коментарий писай" (с) девиз анонов с пенька
Как только видят слова Гитхаб, майкрософт, и тд - то кровь от мозга приливает к горящей пятой точке.
Ну и возможностью набросить свое мнение на вентилятор нельзя не воспользоваться.
| | |
| |
| 4.89, Аноним (91), 20:45, 15/11/2024 [^] [^^] [^^^] [ответить]
| +/– |
Ну зато плюсиков набрал от собратьев по разуму. Хоть какая-то победа в жизни.
| | |
|
| 3.80, Аноним (26), 15:26, 15/11/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Черным по белому же написано, что оно работает через OpenID Connect
Ok, можно будет воспользоваться сторонним сервисом OpenID Connect который отдаёт токены безо всяких проверок кому ни попадя?
| | |
| |
| 4.84, Аноним (83), 18:09, 15/11/2024 [^] [^^] [^^^] [ответить]
| +/– |
Можно, до поры до времени, пока этот сервис не забанят как вредителей. Благо все полоумные заняты нытьём в комментариях «он и меня посчитал», да и скиллов такое организовать у них нет, а настоящих буйных мало и они уже трудоустроены.
| | |
|
|
|
| 1.44, Вы забыли заполнить поле Name (?), 02:20, 15/11/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
* оверинжиниринг
* завязка на сторонние сервисы в кол-ве 2 штук
Осуждаю.
> который при помощи тайпсквотинга
Запретитие общие имена. Просто зафиксируйте текущие, а новые пусть будут username/package-name. Для регистрации нового пользователя введите проверку на похожесть.
| | |
| |
| 2.52, Аноним (50), 06:27, 15/11/2024 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> оверинжиниринг
это цель майков - сделать невозможным разработку малыми силами. код должны пилить только компании, а платить они будут майкам
| | |
| |
| 3.57, Аноним (58), 08:45, 15/11/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
> это цель майков - сделать невозможным разработку малыми силами. код должны
> пилить только компании, а платить они будут майкам
В результате - майки стали еще на один шаг ближе к истории CodePlex'а.
| | |
| 3.72, Аноним (-), 11:40, 15/11/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> это цель майков - сделать невозможным разработку малыми силами
Чиво?!
Открываешь опеннет и читаешь "чувак в одно лицо пилит какое-то ядро", "три калеки делают редокс", "чел из н̶е̶б̶р̶а̶с̶к̶и̶ швеции пилит КУРЛ уже 30 лет", "мелкие групы васянов пишут 100500 композиторов к вяленому"...
Небольшие проекты вполне пилятся хоть в одиночку.
Или ты думаешь что в этой ПиПе хостятся что-то больше лефтпада?
> код должны пилить только компании
Так уже - 80% кода ядра пишут программеры на зарплате корпов.
Как бы не пыжились какиры-щво6одовцы.
> а платить они будут майкам
кто они? много уже заплатили?
| | |
|
| 2.90, Аноним (91), 20:48, 15/11/2024 [^] [^^] [^^^] [ответить]
| +/– |
> * завязка на сторонние сервисы в кол-ве 2 штук
> Осуждаю.
А что за два сервиса-то? Github с Gitlab привели лишь в качестве примера использования OpenID Connect.
| | |
|
| 1.47, Аноним (46), 02:42, 15/11/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А что, если сделать вид что исходники пакета у меня на sr.ht, они это проглотят и не будут мне свои сраные механизмы аутентификации навязывать, или откажут мне в публикации пакета после чего можно будет поднять вонь в соцсетях?
| | |
| |
| 2.48, Аноним (48), 03:29, 15/11/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Если твоя игрушка поддерживает индустриальный стандарт OpenID — без проблем, публикуйся там. А если нет, то и суда нет. Точно так же тебя пошлют лесом если ты попробуешь через GEMINI публиковать или ещё каким-нибудь технически несовместимым способом. Хороший фильтр тех, кто даже учётку на популярном хостинге сорцов открыть не может. Такие девелоперы нам точно не нужны.
| | |
|
| 1.49, Аноним (49), 04:52, 15/11/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Ну и монстра же породили. Диды на своих сайтах релизы софта выкладывают, не требуют ни регистрации ни смс.
| | |
| |
| 2.51, Аноним (51), 06:26, 15/11/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Потому что на SourceForge, а не где попало. Всё правильно сделал.
| | |
|
| 1.53, test (??), 06:39, 15/11/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Не понятно как вообще работает тайпсквотинг ?
Если это require то там имена четко прописаны, если ты это качаешь сам ручками то после поиска он выдает тебе лист похожих приложений и сам видишь (обычно первый) это нужный.
| | |
| 1.56, Аноним (58), 08:43, 15/11/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> проверки, что публикуемый пакет соотносится со связанным
> с ним репозиторием на GitHub или GitLab).
Добро пожаловать в вендорлок...
| | |
| |
| 2.88, Аноним (91), 20:43, 15/11/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Добро пожаловать в вендорлок...
Какой вендорлок, если там OpenID Connect?
| | |
|
| 1.66, Аноним (-), 09:46, 15/11/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>которая пришла на смену верификации с использованием PGP-подписей. Ключевым отличием аттестации является то, что публикация пакета заверяется не разработчиком, а третьим лицом (каталогом пакетов) после подтверждения достоверности публикации через внешнего провайдера OpenID Connect (например, после проверки, что публикуемый пакет соотносится со связанным с ним репозиторием на GitHub или GitLab).
Верификация для людей объявлена устаревшей. Теперь верификация - она кого надо верификация.
Собственно, это всё, что надо знать о питоне.
| | |
| 1.77, YetAnotherOnanym (ok), 13:49, 15/11/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Гы... Учитывая, что ЕСИА под капотом - это тот же OIDC, только слегка подрихтованный (чтобы понравиться товарищу майору), выходит, что Гвидо сотоварищи выполнили основную часть работы по созданию суверенного скрепного репозитория с авторизацией через Госуслуги.
| | |
|
