Vlákno názorů k článku
Podvržené knihovny v PyPI od jano - Vypada to na nejake testovanie, za ako dlho...

Vypada to na nejake testovanie, za ako dlho sa da nejaka lotrovina odhalit (adresa je kdesi z Ciny). Zrejme bude treba definovat nejake kontrolne a verifikacne mechanizmy pre PyPI (a ine podobne distribucne kanaly), aby nedoslo k tomu, ze nejaky puko stiahne daco, doplni si tam nejaku prasaren a nahra to nazad.

<quote>Vypada to na nejake testovanie, za ako dlho sa da nejaka lotrovina odhalit (adresa je kdesi z Ciny)</quote>

To je len zasterka pre naivnych. Hlasilo to username + hostname + verejnu IP, takze keby sa cinanovi v logoch objavilo nieco zaujimave, tak by asi aktualizoval svoj balik. Zaujimave mozu byt gov, banky, internetovi giganti a dalsi.

To sa mi nezdá, tie fake baliky použili asi len tí, čo zrovna začali s niečím novým a nechali sa oblafnúť názvom, pokiaľ už niekto používa nejakú pôvodnú knižnicu - z minulosti, tak sa k tomu vlastne dostane len vtedy, ak si to naťahá natvrdo ručne (poskúšať a pod.). Ten čínsky web je inak ďalej živý a pripadá mi to skôr na dielo nejakého sopliaka, čo prišiel na to, že na PyPI sa dá (resp. dalo) uploadnúť kde-čo, ako na nejakú serióznu akciu. Pokiaľ by chcel ucapkať naozaj dačo poriadne, tak si vyrobí dobre zamaskovanú nejakú dieru do knižnice, ktorá má bežať kdesi pod rootom, takto tam má len dáke info, čo posiela každý druhý program pod Win (vrátane)...