forum.opennet.ru

"46% Python-пакетов в репозитории PyPI содержат потенциально небезопасный код"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."	+/–
Сообщение от Аноним (185), 02-Авг-21, 13:46
>непроверенные пользовательские данные мои непроверенные пользовательские данные это медиафайлы. И там уязвимостей в нижележащих библиотеках столько, что RCE рано или поздно случится хоть eval отключай, хоть capabilities по самый корень режь. >W^X как это остановит importlib? Модуль это не динамическая библиотека, а тот же скрипт, который будет выполняться уже запущенным интерпретатором.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

46% Python-пакетов в репозитории PyPI содержат потенциально небезопасный код, opennews, 30-Июл-21, 14:39 [смотреть все]

Никогда такого не было, и вот опять, Noname, 30-Июл-21, 14:39 (1) //
- ну тут просто на расте питон надо переписать и все проблемы сами собой решатся , ХрюХрю, 31-Июл-21, 15:24 (132) //
  - https github com RustPython RustPython, Аноним, 01-Авг-21, 00:19 (142) //
    - Они все сделали через Должен же быть пыхтонраст , Аноним, 02-Авг-21, 08:27 (180)
Очередное британское исследование , Аноним, 30-Июл-21, 14:42 (2) //
- Пускай и финское , Аноним, 30-Июл-21, 14:43 (3) //
  - Британским ученым ровно ничего не мешает проводить исследования в Финляндии , Аноним, 30-Июл-21, 17:19 (39) //
    - Brexit все дела, Хан, 30-Июл-21, 20:35 (66)
    - Британский ученый - это призвание , Аноним, 30-Июл-21, 22:02 (76)
      - Скорее диагноз PS не, ну некоторые из ботоводов достаточно откровенны и сразу, Michael Shigorin, 01-Авг-21, 22:33 (165)
Какой бред Сам факт использования этих функций не является чем-то плохим А вот, Аноним, 30-Июл-21, 14:43 (4) //
- Там больше половины пунктов такой же бред Их послушать - вообще дышать не надо , Аноним, 30-Июл-21, 17:33 (42) //
  - Дык пишут же что потенциально Потенциально и бабушка это дедушка Потенциально , Амоним, 30-Июл-21, 18:09 (49)
- Любое хеширование предполагает, что вероятность появления двух одинаковых хешей , Аноним, 31-Июл-21, 04:59 (89) //
  - Ммм crc32 вроде весьма вероятно, популярный алгоритм , Аноним, 31-Июл-21, 05:20 (93) //
    - Этот только для проверки целостности годится для случаев случайного повреждения , Аноним, 31-Июл-21, 05:27 (96)
      - Т е CRC32 на что-то все-таки годится А MD5, для этих же целей - почему-то нет , Аноним, 31-Июл-21, 13:36 (127)
        
        Для тех целей, для которых пригоден crc32 остальные избыточны Слишком высокая д, Аноним, 31-Июл-21, 13:51 (129)
        
        Rsync md4 выбрал, например Недавно обновили до md5 и теперь xxhash с xxh3 sha-, Аноним, 31-Июл-21, 15:34 (134)
        
        В случае MD4 5 они с одной стороны пытались быть криптостойкими, что неизбежн, Аноним, 01-Авг-21, 05:23 (145)
- Эти функции протухли и не имеют вменяемого применения Если криптостойкость не н, Аноним, 31-Июл-21, 05:36 (99) //
  - Твои данные про сха1 протухли на шесть лет Сейчас оно хакается фпга асиком за па, GG, 01-Авг-21, 21:07 (163) //
    - на AWS инстансе с FPGA оно хакается дешевле 10 за хеш , Анон123амм, 02-Авг-21, 11:06 (182)
      - Oh no, прогресс движется быстрее чем мои знания о нём, GG, 02-Авг-21, 11:49 (183)
Python всегда был и останется рассадником мелких и крупных мерзостей , Гога, 30-Июл-21, 14:45 (5) //
- Это да, говнокодеров на питоне хоть отбавляй , Аноним, 30-Июл-21, 14:57 (10) //
  - Самое интересное, позже выяснится, что среди каргокультуристов их будет не меньш, Аноним, 30-Июл-21, 16:58 (35) //
    - Их уже больше , нах.., 30-Июл-21, 21:17 (67)
    - Культистов-самолётников среди питонистов тоже, к сожалению, очень-очень много, GG, 01-Авг-21, 21:09 (164)
      - Чуть менее чем все , Аноним, 06-Авг-21, 06:44 (197)
  - И ни одного который бы мог писать вменяемый код , Аноним, 30-Июл-21, 17:40 (45) //
    - Самое страшное, что понимают это единицы приешдшие из других языков Я в свое вре, Аноним, 01-Авг-21, 00:23 (143)
    - Неправда , Michael Shigorin, 01-Авг-21, 22:34 (166)
- Это да И то ли дело код на труЪ-ЯП https www opennet ru opennews art shtml nu, Аноним, 30-Июл-21, 16:50 (33) //
  - Так то был саботаж явный с целью оставить бэкдор , Аноним, 30-Июл-21, 16:55 (34) //
    - Угу, можно отметить, обнаружение в каталоге PyPI 8 вредоносных пакетов загрузи, Аноним, 30-Июл-21, 17:25 (41)
    - А у питонистов саботаж - в каждом первом пакете, при том не специально Прогают , Аноним, 31-Июл-21, 08:00 (105)
      - судя по ЧСВ, словесному недержанию и бессмысленому пафосу - балабол294 опять с , Аноним, 31-Июл-21, 12:56 (125)
  - Там же в новости ссылка на сам инцидент https www opennet ru opennews art sht, Урри, 02-Авг-21, 19:13 (189) //
    - А теперь попробуй читать глазами, а не жопой и заодно думать головой, а не т, Аноним, 03-Авг-21, 12:33 (192)
- По сравнению с js и php Сомневаюсь , Аноним, 30-Июл-21, 17:38 (43)
А давайте запретим eval , Annoynymous, 30-Июл-21, 14:48 (6) //
- Вообще eval давно пора вынести из пыха, пинота, и где он там ещё есть Можно не , Онаним, 30-Июл-21, 14:55 (9) //
  - ещё eval есть в bash, меня устраивает, не надо его никуда выносить, заминированный тапок, 30-Июл-21, 15:01 (12)
  - В пыхе оно не так часто встречается Но да, она губительна Отключить её через ко, fernandos, 30-Июл-21, 15:21 (15) //
    - Не, я имею в виду что-то типа --disable-eval по умолчанию , Онаним, 30-Июл-21, 20:22 (62)
      - Радикально, но да, так даже лучше , fernandos, 01-Авг-21, 18:52 (160)
      - Радикально, но да, так даже лучше , fernandos, 01-Авг-21, 18:52 (161)
    - asking the , InuYasha, 31-Июл-21, 10:29 (119)
      - the wrong question было в оригинале , Аноним, 31-Июл-21, 15:25 (133)
  - В js Самое большое зло - в js , Annoynymous, 30-Июл-21, 16:32 (29)
- 1 , Аноним, 30-Июл-21, 14:58 (11)
- Вообще-то это было бы очень удачной идеей, ибо эти господа быкуют на сишников и , Аноним, 31-Июл-21, 08:01 (106) //
  - Да не поимели Там явный бэкдор был , Аноним, 31-Июл-21, 10:28 (118) //
    - Да черт его разберет Вон тут рядом некто exec втулить в свой код предлагает, мн, Аноним, 01-Авг-21, 05:31 (147)
- А представь, что запретили Я напишу свой eval через дочерний интерпретатор, тебе, Аноним, 01-Авг-21, 03:01 (144) //
  - 1 Это больше приседаний, случайно, для своего удобства это уже все же никто дел, Аноним, 01-Авг-21, 05:38 (148) //
    - Конечно же, чем написать копеечную обертку над процессами, побегу переписывать в, Аноним, 01-Авг-21, 15:59 (159)
      - Побежишь, куда денешься Потому что иначе твоё поделие больше не запустится, и п, Онаним, 01-Авг-21, 19:12 (162)
        
        А ты кому нужен Девопсы деплоят то, что написали разработчики, а не разработчик, Аноним, 02-Авг-21, 13:29 (184)
        
        Вот девопсам это и объясняй, а не мне DЯ в т ч общую системную полиси генерю, , Онаним, 02-Авг-21, 22:03 (190)
        
        не, ты можешь конечно, никому не сказав, но при разборе полётов в случае дыры в, Онаним, 02-Авг-21, 22:05 (191)
      - Ну как бы я по подобным причинам и не собираюсь питонятиной пользоваться, больно, Аноним, 02-Авг-21, 04:52 (175)
        
        мои непроверенные пользовательские данные это медиафайлы И там уязвимостей в ни , Аноним, 02-Авг-21, 13:46 (185)
        
        Отличный аргумент за то чтобы их в sandbox по максимуму А то и пересобрать с as, Аноним, 06-Авг-21, 07:02 (198)
Но ведь 46 не большинство Всё нормально , Аноним, 30-Июл-21, 14:50 (7) //
- Это они просто процент считать не умели Питонисты, что с них взять Если посчит, Аноним, 31-Июл-21, 05:37 (100)
А что-нибудь реальное нашли вообще , Аноним, 30-Июл-21, 15:18 (14) //
- студенты получили зачёт - реальный практический результат, Нанобот, 30-Июл-21, 16:02 (24)
По порядку 1 try-except-pass - это нормальное использование обработки исключени, Аноним, 30-Июл-21, 15:43 (20) //
- С тобой прям совмем все понятно , нах.., 30-Июл-21, 21:41 (71)
- Интересно, как выглядит вменяемая реакция на все это А, стоп, это же питоняша , Аноним, 31-Июл-21, 08:11 (107)
- На своем локалхосту ты можешь даже иметь права root-а А вот там, где злой дядя, myhand, 31-Июл-21, 10:48 (121) //
  - Судя по былинному оптимизму насчёт ключей, он этого всего ещё просто не понимает, Michael Shigorin, 01-Авг-21, 22:38 (167)
- Это надо было выделить в пункт 0, потому что всё остальное на фоне сего громкого, Онаним, 31-Июл-21, 13:44 (128)
уверен, это число 46 может меняться в очень широких пределах скажем, где-то от, Нанобот, 30-Июл-21, 16:01 (23) //
- для кого-то просто летная погода, а студенту финскому - зачёт за летнюю практи, пох., 30-Июл-21, 16:02 (25) //
  - У Торвальдса надо спросить, он знает , Annoynymous, 31-Июл-21, 03:50 (84)
Это проблема всех центральных репозиториев Там будет все, что угодно Начиная от, Аноним, 30-Июл-21, 16:09 (26) //
- Backstabber 8217 s Knife Collection A Review ofOpen Source Software Supply Cha, Аноним, 30-Июл-21, 16:12 (27)
Кто бы сомневался, Аноним, 30-Июл-21, 16:22 (28)
Считала ЦИК 442 749 100 59 , Аноним, 30-Июл-21, 16:45 (32) //
- Машин-лёрнеры, они долю со среднеквадратичной функцией перепутали 100 749-442 , commiethebeastie, 30-Июл-21, 17:09 (37) //
  - Просто в смузи были неправильные грибы , Аноним, 30-Июл-21, 17:19 (40)
- Всего лишь питонисты , Аноним, 31-Июл-21, 05:23 (95)
- Нет, про ЦИК попытался сшутнуть тот, кто если был бы умным -- выяснил бы уже для, Michael Shigorin, 01-Авг-21, 22:43 (168) //
  - Сколько лживую гопоту не выгораживай, легитимнее не станет А этот мем всего лиш, Аноним, 02-Авг-21, 04:57 (176)
Потому что смузихлёбы Значительная часть разрабов, особенно в машобе и академии,, Аноним, 30-Июл-21, 17:03 (36) //
- Я не понимаю, какое отношение сериализация или шелл имеют к безопасности Сериал, Аноним, 30-Июл-21, 17:17 (38) //
  - Pickle - это не сериализация, это сериализация исполнение произвольного кода , Аноним, 30-Июл-21, 18:22 (51) //
    - Потому что авторы sklearn - тоже смузихлёбы, и другую сериализацию моделей им бы, Аноним, 30-Июл-21, 18:24 (52)
      - P S Сам смузихлёб В хорошем смысле Прямо сейчас хлебаю смузи из малины , Аноним, 30-Июл-21, 18:25 (53)
        
        Локап твоему гироскутеру , Аноним, 31-Июл-21, 08:14 (108)
    - А ещё можно скачать пакет с пупи и с ней тоже приходит код А еще можно скачать , Аноним, 30-Июл-21, 18:36 (55)
      - Пакет - код по определению Модель в смысле машоба - по определению - данные - , Аноним, 30-Июл-21, 18:43 (57)
      - По первой части них не понял, но к требованию присоединяюсь , Онаним, 31-Июл-21, 09:00 (113)
    - Воообще тогда не вижу смысла в вашем пистоне , нах.., 30-Июл-21, 21:46 (74)
  - Главное не логические связи и какие-то там аргументы, главное назвать группу Х , Аноним, 30-Июл-21, 18:32 (54)
  - Shell имеет прямое отношение к безопасности из за кривых разрабов не проверяющих, Хан, 30-Июл-21, 20:32 (63) //
    - Пользовательский ввод нужно проверять всегда И его нужно экранировать Мои люби, Аноним, 30-Июл-21, 21:18 (68)
      - Клауд спайварь налетела на соседнем баге - ничтоже сомневаясь распаковывая всяки, Аноним, 31-Июл-21, 08:17 (109)
    - Почему вы решили что там подразумевался пользовательский ввод во входящих данных, Аноним, 30-Июл-21, 21:25 (70)
      - Любые другие данные у софта доверенные Если там написано rm -rf, значит, так и , Аноним, 30-Июл-21, 21:42 (72)
        
        На ту же тему в основном около -print0 ---Использование find при работе с ката, Michael Shigorin, 01-Авг-21, 22:50 (169)
- Смузи тут не при чём Питон ещё используют как продвинутую замену для bash, из-з, Аноним, 30-Июл-21, 18:06 (48) //
  - Unix way program does one thing and does it well Python way does everything, w, Аноним, 31-Июл-21, 08:18 (110)
Да нормально Только добавьте анализатору поддержку других языков Я свой диванн, Аноним, 30-Июл-21, 17:50 (46)
А они при своем великом исследовании игнорировали код из попочек tests Похоже ч, Volodya, 30-Июл-21, 17:59 (47) //
- Открою тебе страшную тайну у питоняш половина логинов-паролей-ключей из попоче, Аноним, 31-Июл-21, 08:19 (111)
А это точно группа исследователей, а не курсач студентов , Аноним, 30-Июл-21, 18:10 (50)
о, да, людлю небезопасный код , Аноним, 30-Июл-21, 18:38 (56)
Хмык Жаль, что исследователей из университета не интересуют не-университетск, YetAnotherOnanym, 30-Июл-21, 19:37 (58)
Может быть и мне начать проводить подобные исследования простым шелл-скриптом по, Dzen Python, 30-Июл-21, 20:08 (61) //
- Ключевые пакеты C доступные через nuget очень ладно скроены самой Microsoft, Хан, 30-Июл-21, 20:34 (64) //
  - Прогиб засчитан, но если заменть C на любой другой язык - суть не изменится Ва, Аноним, 30-Июл-21, 22:05 (78)
Вот плата за то, что в язык привлекаются толпы остолопов , Gogi, 30-Июл-21, 20:35 (65) //
- Это ты про утечки в С С , Аноним, 30-Июл-21, 21:44 (73) //
  - А ты про вот это вот в Rust https cve mitre org cgi-bin cvekey cgi keyword rus, Аноним, 30-Июл-21, 22:02 (75) //
    - А прикольно, они уже таки научились стрелять в пятки довольно метко Или вот еще , Аноним, 31-Июл-21, 05:32 (97)
  - Более того, учи матчасть маленький В C C утечек нет внезапно В отличии от тв, Аноним, 30-Июл-21, 22:02 (77)
  - если голова из жопы ростот то да Не используй указатели, или пользуйся исключит, СССР, 30-Июл-21, 23:11 (80) //
    - Да и динамическое выделение памяти можно не использовать А вот в хрусте с всем , Аноним, 31-Июл-21, 05:33 (98)
      - но с другой стороны, как без динамики это тоже что сказать себе нет, бегать я, СССР, 31-Июл-21, 08:27 (112)
        
        Да нормально вполне Особенно в всяких фирмварях микроконтроллеров Да и даже в , Аноним, 01-Авг-21, 05:47 (149)
        
        если у обоих опыта по пол года, курсы закончили которые то оба косячить будут,, СССР, 04-Авг-21, 00:18 (194)
  - Эти для совсем уж остолопов неудобные Первый при бытье остолопом задолбает А в, Аноним, 31-Июл-21, 05:21 (94)
Не удивлен, библиотеки для питона написаны любителями , Skullnet, 30-Июл-21, 21:23 (69) //
- numpy, pandas, srapy, flask и еще 319 тыс либ написаны любителями Хороши люб, economist, 30-Июл-21, 23:25 (81) //
  - Тогда им двойной позор за такое качество кода, значит гамнякали вполне сознатель, Аноним, 31-Июл-21, 05:19 (92) //
    - Тогда тройной, они еще и на пипу гордо выставили это, на всеобщее , нах.., 31-Июл-21, 06:41 (103)
  - Не надо путать обертки для питона с языком, на котором написана библиотека numpy, Аноним, 31-Июл-21, 09:37 (117) //
    - На гитхаб ссылки дать, или сами найдете процентовка кода по ЯП указана справа, , economist, 31-Июл-21, 14:46 (130)
      - А причем тут процентовка И как это отменяет тот факт, что, например, питоновска, Аноним, 31-Июл-21, 18:48 (138)
        
        https github com numpy numpyтам написано черным по белому на светлой теме Pyt, economist, 31-Июл-21, 19:37 (139)
  - Про научный код -- что на питоне, что на плюсах, сях или фортране -- вот выйдет , Michael Shigorin, 01-Авг-21, 22:54 (170)
потому что питон изначально полюбился математикам для быстрого наброса формулы, , СССР, 30-Июл-21, 23:09 (79)
начало конца Грядет кончина IT сферы, какой мы ее знаем Еще лет 30 в средне, нитрол, 31-Июл-21, 02:32 (82) //
- Как обычно, самое время осваивать си и асм Это был популярный тренд 20 лет наза, Аноним, 31-Июл-21, 03:10 (83) //
  - было фотопленка - взгляд фотографа - фотографиястало телефон - сэлфи палка - и, СССР, 31-Июл-21, 04:34 (86) //
    - Музыка стала лучше, техничнее, кинематограф взлетел как никогда, фотография пере, Аноним, 31-Июл-21, 04:50 (87)
      - Музыка лучше не стала, почти все легенды - это лет 30 назад Зато вылупилась то, Аноним, 31-Июл-21, 05:18 (91)
        
        Это и есть взлёт Взлёт индустрии, а не качества кода Экспансия в ширь, из-за к, Аноним, 31-Июл-21, 09:23 (114)
        
        Больше всего этот взлет напоминает, вот реально, современных российских строит, Аноним, 01-Авг-21, 05:59 (150)
        
        Кмк, перепутаны причина и следствие Треш 30-летней давности уже никто не помнит, Аноним, 31-Июл-21, 10:30 (120)
        
        Кмк да, согласен Впрочем в музыке я с удовольствием кушаю свеженькое, поэтому л, Онаним, 31-Июл-21, 10:55 (122)
        
        Ну да - закономерный процесс, а не начало конца И, кстати новые, более новые , Аноним, 31-Июл-21, 13:30 (126)
        
        Появилась некая теория какие звуки нравятся людям И довольно много этого добра , Аноним, 02-Авг-21, 08:24 (179)
        
        Очень интересно Хотя-бы десяток музыкальных произведений и их создателей 3000-л, Аноним, 01-Авг-21, 06:17 (151)
        
        Все херово, а раньше было лучше Спасибо , Аноним, 01-Авг-21, 12:40 (158)
        
        Это было к слову о тысячелетиях и молодёжи, которая хлещет неразбавленное вино , Michael Shigorin, 01-Авг-21, 23:16 (174)
        К тому есть некие предпосылки Пока нечто сложно и challenge, хреново это делать, Аноним, 02-Авг-21, 05:03 (177)
        
        Вы всё проморгали Ливарюция в синематографе таки случилась -- по крайней мере , Michael Shigorin, 01-Авг-21, 23:14 (173)
        
        Я это уже читал Прикольная штука И, КМК, вы среди его букв не увидели то что о, Аноним, 02-Авг-21, 08:12 (178)
      - Лучше или техничнее Лет двадцать назад хорошему приятелю, собравшему своими рука, Michael Shigorin, 01-Авг-21, 23:04 (171)
        
        Да, какой-нибудь Anal Cunt, пожалуй, только вживую и заходит Но, есть же там He, Аноним, 02-Авг-21, 15:58 (188)
      - музыка стала квадратная, кино содержит максимум насилия, фотография стала не иск, СССР, 04-Авг-21, 00:05 (193)
        
        Ну как бы твоё мировосприятие тоже построено только на самых поверхностных вещах, Аноним, 04-Авг-21, 00:41 (195)
        
        совершенству нет предела и естественно и мне и тем кто мудрее меня в разы и им т, СССР, 05-Авг-21, 08:14 (196)
Несмотря что у Питона и ниша применения далеко не всегда требует вообще задумыва, _kp, 31-Июл-21, 04:33 (85)
инструмент недалеко ушёл от такого for n in ls py doecho n уязвим done, бедный буратино, 31-Июл-21, 04:58 (88)
Какой сюрприз, оказывается на питоне в основном г внокодят , Аноним, 31-Июл-21, 05:13 (90) //
- Вы упускаете существенную разницу между созданием и публикацией, думаю , Michael Shigorin, 01-Авг-21, 23:07 (172)
интересный тест, эта страница так же содержит небезопасный код,так как присутств, Аноним, 31-Июл-21, 07:56 (104)
в результате любой крупный проект использующтй стронние либы на любом ЯП будетвс, Аноним, 31-Июл-21, 09:28 (115) //
- Да Любой крупный проект всегда будет уязвим, идеальных писателей нет , Онаним, 31-Июл-21, 10:58 (123)
- Другое дело, что крупный проект на пистонах - это обычно 99 стороннего кода, , Онаним, 31-Июл-21, 10:58 (124)
ну почти весь код потенциально опасен , Аноним, 31-Июл-21, 09:37 (116) //
- значит, любой программист потенциально опасен кровожадный рёв роскомнадзиллы , InuYasha, 31-Июл-21, 17:29 (136)
- Не ну, и не почти А всегда и везде В отличии от презумции невиновности человека, Брат Анон, 01-Авг-21, 08:55 (155)
Уязвимости ОС, протоколов WiFi, железа - гораздо опаснее чем какие-то try except, economist, 31-Июл-21, 15:14 (131) //
- Экономист прав Питон не чмырите Язык хороший в свой нише , Аноним, 31-Июл-21, 17:25 (135) //
  - в своей днише , InuYasha, 31-Июл-21, 17:30 (137)
- Расскажите это кулхацкерам которых поимели через bitmessage, да еще распиарив си, Аноним, 01-Авг-21, 06:30 (152)
Какое это имеет значение, если программы все равно выполняются на небезопасном п, Аноним, 31-Июл-21, 23:10 (140) //
- Да, процессор опасный а не небезопасный -- безопасность пока никто не доказал, , Брат Анон, 01-Авг-21, 08:57 (156)
Библиотека bandit которой проводился анализ выдает очень посредственные результа, Mikhail, 01-Авг-21, 07:54 (153) //
- Начну с конца 1 Это не сайт специалистов 2 bandit если память не отшибло вкл, Брат Анон, 01-Авг-21, 09:02 (157)
А почему не 146 , Анон1212, 02-Авг-21, 15:02 (187)
Надо было на расте писать , Аноним, 09-Авг-21, 20:44 (199)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру