Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В репозитории PyPI реализована блокировка email с освобождёнными доменами"	+/–
Сообщение от opennews (??), 21-Авг-25, 11:42
Разработчики репозитория Python-пакетов PyPI (Python Package Index) реализовали защиту от захвата проектов путём покупки освобождённых доменов, указанных в параметрах учётных записей. Атака сводится к тому, что атакующие выискивают учётные записи, привязанные к email с просроченными доменами, после чего регистрируют освобождённый домен на себя, перенаправляют почтовый трафик на свой сервер и, получив контроль над email, инициируют процесс восстановления забытого пароля. В 2022 году данным способом был получен контроль за Python-пакетом  ctx... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63753
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

2. Сообщение от Аноним (2), 21-Авг-25, 11:44	–11 +/–
Вердикт: те, кто делают свой нескучный домен в почтовых адресах, являются ССЗБ. Нет ведь по-человечески использовать gmail и прочие надежные провайдеры. Надо обязательно чтобы было нескучно и нетакусечно.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #5

3. Сообщение от Аноним (3), 21-Авг-25, 12:00	+/–
Да вообще пофиг на pypi. Ставлю всё исключительно из гита + из релизов гихаба + из пакетного менеджера ОС.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #10

4. Сообщение от Жироватт (ok), 21-Авг-25, 12:03	+5 +/–
Господин майор послал DHL'ем вам пакет печенек и талон на три гамбургера и милкшейк за счёт Фонда Защиты Карликовых Японских Минипигов. Товарищ майор уже попросил курьера на рефрижераторе с надписью "ХЛЕБ" доставить вам три пачки "Примы", бутылку "Талки" и продуктовый набор за хорошую службу. Товарищ майор АлиЭспресс послать бесплатно Новый почти как настоящий кошка жена, джинса отверстие залом ноги на лямках и рис бурый Хайнань упаковка 10pcs.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

5. Сообщение от Аноним (5), 21-Авг-25, 12:04	+10 +/–
Смысл почты в децентрализации не независимости от корпораций. Вот только корпорации понаделали своих бесплатных почт и начали банить независимые почтовые ящики, чтобы захватить рынок почты. И скажите что это не картельный сговор и не заговор рептилоидов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #8, #11, #14, #18

7. Сообщение от Аноним (7), 21-Авг-25, 12:09	+/–
Обновлять как собираешься. Ставить из гита надо только когда тебе нужен мастер.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #24

8. Сообщение от Аноним (-), 21-Авг-25, 12:33	–4 +/–
> Смысл почты в децентрализации не независимости от корпораций Это кто придумал? Васяны? > Вот только корпорации понаделали своих бесплатных почт Какие меpзaвцы! Предоставили бесплатный сервис без необходимости прдлинга со своим серваком! > и начали банить независимые почтовые ящики которые были рассадником спама. И правильно сделали. > чтобы захватить рынок почты. У них и так был рынок. Как можно захватить то, что ты уже контролируешь? > И скажите что это не картельный сговор и не заговор рептилоидов. Нет конечно. А где вы тут рептилоидов увидели?))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

10. Сообщение от старшина (?), 21-Авг-25, 12:37	+2 +/–
На гитхабе безопасно? Там почту перехватить не смогут?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

11. Сообщение от Эксконтрибутор FreeBSD (?), 21-Авг-25, 13:10	+/–
> начали банить независимые почтовые ящики Опять вранье Никаких проблем со своими серверами нет Настрой DKIM, пропиши SPF, пропиши DMARC, не забудь прописать PTR и все прекрасно работает, письма отмечаются как доверенные для твоего домена и не попадают в спам. Чудо? Нет, просто игра по общим для всех правилам
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #15

12. Сообщение от Аноним (12), 21-Авг-25, 13:22	+/–
Только стоит проверять и лочить не учетки с истекшими доменами, а с теми которые вот-вот рюистекут. Так-то идея говно, потому что это много запросов каждые n времени для пакетов, которые брошены владельцами и с которыми нет и не будет связи.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17

13. Сообщение от 12yoexpert (ok), 21-Авг-25, 13:30	+/–
ну то есть если жертва вендорлока проспала оплату домена на один день и не знает пароль - про акк можно забыть
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16

14. Сообщение от Аноним (-), 21-Авг-25, 14:13	–1 +/–
> Смысл почты в децентрализации не независимости от корпораций. Разве? Ты почитай, хотя бы на википедии, кто и когда создавал email. Подсказка, это были не подзаборные б0мжи борцуны с корпорациями, а университеты вроде MIT, вояки со своим ARPANET и корпорации IBM, CompuServe, DEC, Xerox. > Вот только корпорации понаделали своих бесплатных почт Более того, они еще и платных почт понаделали! > и начали банить независимые почтовые ящики А как реагировать на письмо от подкроватного сервака васяна? Вдруг это спам))? > И скажите что это не картельный сговор и не заговор рептилоидов. Ну.. раз ты попросил... "это не картельный сговор и не заговор рептилоидов" твердо и ч0тко))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #36

15. Сообщение от нах. (?), 21-Авг-25, 14:38	+1 +/–
> Настрой DKIM, пропиши SPF, пропиши DMARC, не забудь прописать PTR но на твоей помойке в DO раньше сидел тор экзит (вариант - не на твоей, в том же блоке /19), поэтому купи себе для начала колло в приличном цоде, желательно чтоб там был PI коммерческой компании (а не ALLOCATED PA). Но нет, твоя почта все равно отправляется прямиком в ящик spam, потому что твои три письма в месяц не создали тебе репутацию учитываемую гуглем, и к тому же ты пишешь без уважения, плейнтекстом, без "корпоративного дизайна переписки", поэтому "самообучающийся робот" тоже выбросит твою писанину снова туда же, ведь она совершенно непохожа на содержимое почтового ящика типичного гуглоюзера (откуда роботу знать что это и есть спам). А то что у всех спаммеров давным-давно уже есть dkim, spf, все прочие ненужно, и да, таки колло в приличном цоде с корпоративным блоком а не этимвотвасянским массхостинговым - гуглю совершенно пофигу. > Нет, просто игра по общим для всех правилам правила описаны в rfc 822. А это - понятия.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #20

16. Сообщение от нах. (?), 21-Авг-25, 14:48	+2 +/–
ну если ты прое...л ключи от квартиры, и не озаботился запасным под ковриком - то в общем и целом внутрь попасть можно, но придется доказывать полицаям что ты это ты, так всеми нелюбимыми паспортными данными и пропиской. И еще и дверь менять. Долбоклюй, одновременно не помнящий паролей и проспавший свой домен - должен страдать. В конце-концов, заведет себе новую учетку, все равно его лефтпад нафиг был никому не нужен. P.S. как вам удается забывать пароль a123456789A)_+ - понятия не имею. И да, эта глупость проходит большинство "крайне строгих" проверок. P.P.S. в следующей серии  я расскажу вам как обойти идиотское требование еще и менять его каждые три дня.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #19, #26

17. Сообщение от нах. (?), 21-Авг-25, 14:51	+/–
если все сделать правильно - это ровно один запрос раз в год на каждый домен. (но я сильно сомневаюсь что ЭТИ сделают правильно. И не полочат тебе учетку потому что gtld задолбали ежесекундные проверки с их адреса и он не ввел рейтлимит или просто не отправил его в бан)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

18. Сообщение от Аноним (18), 21-Авг-25, 14:55	+/–
В целом как бы вроде всё оно и так, но > начали банить независимые почтовые ящики я в 2000х, когда был админом, просто зае#$%лся бороться с входящим спамом на нашем корпоративном qmail'е. Спам в те времена был настоящей эпидемией планетарного масштаба. И мало кто знал и главное умел из этих админов бороться с этим спамом как на стороне получитателя, так и те пострадавшие, из чьих сетей вирусы рассылали спам. Всякие костыли вроде greylisting и/или банить целые подсети через общедоступные списки в Инете - имхо делало только хуже. Например, приходилось писать ваще какому-то незнакому человеку чтоб он нас удалил из своего списка, потому что наш директор не может отправить письмо партнерам. А использовать личный ящик он не мог по репутационным соображениям. Короче, я рад, что это всё закончилось
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

19. Сообщение от Tron is Whistling (?), 21-Авг-25, 16:11	+/–
Скорее всего в основном это брошенные лефтпады, на которые их ваятели уже давно забили. Но на помойке - как на помойке, и тонны лефтпадостроителей привычно тянут эти лефтпады.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

20. Сообщение от Эксконтрибутор FreeBSD (?), 21-Авг-25, 16:15	+1 +/–
Чувак, а ты как определяешь какие rfc это правила, а какие «понятия»? 7208 — spf 6376 — dkim 7489 — dmarc Все в rfc, все описано и все является общими правилами А про твои фантазии мне писать лень Если ты выполняешь все правила, то все прекрасно работает, а твои сказки это просто сказки чувака который ничего не пробовал, ничего не знает, только умеет тут воздух газифицировать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #27

24. Сообщение от Аноним (24), 21-Авг-25, 16:38	+/–
> Ставить из гита надо только когда тебе нужен мастер. Кому надо? > Обновлять как собираешься. А pip не умеет тащить нужный тэг или коммит? Вчера, вроде бы, умел...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #25

25. Сообщение от Аноним (7), 21-Авг-25, 16:40	+/–
Так откуда без pypi ты узнаешь, что обновить надо?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #35

26. Сообщение от Аноним (24), 21-Авг-25, 16:42	+/–
> Долбоклюй "Microsoft чуть не прошляпил Hotmail" "Аргентинец купил домен Google за $3" "Бывший сотрудник случайно купил домен Google.com за $12"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

27. Сообщение от onanim (?), 21-Авг-25, 17:12	–2 +/–
держу свои почтовики с 2008 года и подтвеждаю всё сказанное похом, нахом и прочими. если у тебя всё внезапно работает и письма не падают в спам, то > это просто сказки чувака который ничего не пробовал, ничего не знает, только умеет тут воздух газифицировать ну или ты хостишься в датацентре гугла, раз он "своих" пропускает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

28. Сообщение от Аноним (-), 21-Авг-25, 17:37	+/–
Мне на днях gmail прислали письмо на резервный ящик, что если я в течении месяца не зайду на их почту, то они, в целях моей безопасности, её удалят.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31, #32, #34

31. Сообщение от Аноним (31), 21-Авг-25, 18:23	+/–
и правильно сделают! давно пора!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

32. Сообщение от Аноним (32), 21-Авг-25, 19:41	+/–
Угозы, они всегда такие.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

34. Сообщение от Аноним (34), 21-Авг-25, 20:10	+/–
Надо немедленно уходить с площадок, которые занимаются угрозами и вымогательством.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

35. Сообщение от Аноним (36), 21-Авг-25, 20:13	+/–
> Так откуда без pypi ты узнаешь Зайду на веб-страницу проекта? Не? Так-то на github еще и rss рассылка есть для каждой репы. > надо Опять таки, ты всё время не уточняешь - кому надо? Тем, кто ворует репы и встраивает трояны, это надо? Разрабам, которым шифер срывает, и они бегут вреднокод встраивать в свои библиотеки? Когда мне это надо будет - когда добавят нужную мне фичу или пофиксят мешающий мне баг, тогда и обновлю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

36. Сообщение от Аноним (36), 21-Авг-25, 20:23	+/–
> университеты вроде MIT > вояки со своим ARPANET Это нормальные ребята. > и корпорации IBM, <...>, Xerox А это вообще прекрасные компании были. Столько всего хорошего сделали. Жаль, что их злые корпораты сожрали. Нет их больше, одни вывески остались. > А как реагировать на письмо от подкроватного сервака васяна? Реагировать не их задача. Их задача принимать и отправлять. Если пришло, значит так надо. > Вдруг это спам))? Вдруг бывает только пук. Надо у тебя нож с кухни забрать, вдруг ты кого порежешь. А ежели чо приготовить надо, то только пластиковый... выдавать... под чутким наблюдением тов. майора. > твердо и ч0тко Ельцина любишь, значит. Понятненько, так в деле и запишем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема