forum.opennet.ru - "В репозитории PyPI реализована блокировка email с освобождёнными доменами" (15)

"В репозитории PyPI реализована блокировка email с освобождёнными доменами"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"В репозитории PyPI реализована блокировка email с освобождёнными доменами"	+/–
Сообщение от opennews (??), 21-Авг-25, 11:42
Разработчики репозитория Python-пакетов PyPI (Python Package Index) реализовали защиту от захвата проектов путём покупки освобождённых доменов, указанных в параметрах учётных записей. Атака сводится к тому, что атакующие выискивают учётные записи, привязанные к email с просроченными доменами, после чего регистрируют освобождённый домен на себя, перенаправляют почтовый трафик на свой сервер и, получив контроль над email, инициируют процесс восстановления забытого пароля. В 2022 году данным способом был получен контроль за Python-пакетом ctx... Подробнее: https://www.opennet.me/opennews/art.shtml?num=63753
Ответить \| Правка \| Cообщить модератору

Оглавление

Вердикт те, кто делают свой нескучный домен в почтовых адресах, являются ССЗБ , Аноним (2), 11:44 , 21-Авг-25, (2) –6

Господин майор послал DHL ем вам пакет печенек и талон на три гамбургера и милкш, Жироватт (ok), 12:03 , 21-Авг-25, (4) +3
Смысл почты в децентрализации не независимости от корпораций Вот только корпора, Аноним (5), 12:04 , 21-Авг-25, (5) +8

Это кто придумал Васяны Какие меpзaвцы Предоставили бесплатный сервис без необ, Аноним (-), 12:33 , 21-Авг-25, (8) –2
Опять враньеНикаких проблем со своими серверами нетНастрой DKIM, пропиши SPF, пр, Эксконтрибутор FreeBSD (?), 13:10 , 21-Авг-25, (11) –1

но на твоей помойке в DO раньше сидел тор экзит вариант - не на твоей, в том же, нах. (?), 14:38 , 21-Авг-25, (15)

Разве Ты почитай, хотя бы на википедии, кто и когда создавал email Подсказка, эт, Аноним (-), 14:13 , 21-Авг-25, (14) –1
В целом как бы вроде всё оно и так, ноя в 2000х, когда был админом, просто зае , Аноним (18), 14:55 , 21-Авг-25, (18)

Да вообще пофиг на pypi Ставлю всё исключительно из гита из релизов гихаба , Аноним (3), 12:00 , 21-Авг-25, (3)

Обновлять как собираешься Ставить из гита надо только когда тебе нужен мастер , Аноним (7), 12:09 , 21-Авг-25, (7)
На гитхабе безопасно Там почту перехватить не смогут , старшина (?), 12:37 , 21-Авг-25, (10) +1

Только стоит проверять и лочить не учетки с истекшими доменами, а с теми которые, Аноним (12), 13:22 , 21-Авг-25, (12)

если все сделать правильно - это ровно один запрос раз в год на каждый домен н, нах. (?), 14:51 , 21-Авг-25, (17)

ну то есть если жертва вендорлока проспала оплату домена на один день и не знает, 12yoexpert (ok), 13:30 , 21-Авг-25, (13)

ну если ты прое л ключи от квартиры, и не озаботился запасным под ковриком - т, нах. (?), 14:48 , 21-Авг-25, (16)

Сообщения [Сортировка по ответам | RSS]

2. Сообщение от Аноним (2), 21-Авг-25, 11:44 –6 +/–

Вердикт: те, кто делают свой нескучный домен в почтовых адресах, являются ССЗБ. Нет ведь по-человечески использовать gmail и прочие надежные провайдеры. Надо обязательно чтобы было нескучно и нетакусечно.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #5

3. Сообщение от Аноним (3), 21-Авг-25, 12:00 +/–

Да вообще пофиг на pypi. Ставлю всё исключительно из гита + из релизов гихаба + из пакетного менеджера ОС.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #10

4. Сообщение от Жироватт (ok), 21-Авг-25, 12:03 +3 +/–

Господин майор послал DHL'ем вам пакет печенек и талон на три гамбургера и милкшейк за счёт Фонда Защиты Карликовых Японских Минипигов.
Товарищ майор уже попросил курьера на рефрижераторе с надписью "ХЛЕБ" доставить вам три пачки "Примы", бутылку "Талки" и продуктовый набор за хорошую службу.
Товарищ майор АлиЭспресс послать бесплатно Новый почти как настоящий кошка жена, джинса отверстие залом ноги на лямках и рис бурый Хайнань упаковка 10pcs.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

5. Сообщение от Аноним (5), 21-Авг-25, 12:04 +8 +/–

Смысл почты в децентрализации не независимости от корпораций. Вот только корпорации понаделали своих бесплатных почт и начали банить независимые почтовые ящики, чтобы захватить рынок почты. И скажите что это не картельный сговор и не заговор рептилоидов.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #8, #11, #14, #18

7. Сообщение от Аноним (7), 21-Авг-25, 12:09 +/–

Обновлять как собираешься. Ставить из гита надо только когда тебе нужен мастер.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

8. Сообщение от Аноним (-), 21-Авг-25, 12:33 –2 +/–

> Смысл почты в децентрализации не независимости от корпораций
Это кто придумал? Васяны?
> Вот только корпорации понаделали своих бесплатных почт
Какие меpзaвцы! Предоставили бесплатный сервис без необходимости прдлинга со своим серваком!
> и начали банить независимые почтовые ящики
которые были рассадником спама. И правильно сделали.
> чтобы захватить рынок почты.
У них и так был рынок. Как можно захватить то, что ты уже контролируешь?
> И скажите что это не картельный сговор и не заговор рептилоидов.
Нет конечно. А где вы тут рептилоидов увидели?))

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

10. Сообщение от старшина (?), 21-Авг-25, 12:37 +1 +/–

На гитхабе безопасно? Там почту перехватить не смогут?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

11. Сообщение от Эксконтрибутор FreeBSD (?), 21-Авг-25, 13:10 –1 +/–

> начали банить независимые почтовые ящики
Опять вранье
Никаких проблем со своими серверами нет
Настрой DKIM, пропиши SPF, пропиши DMARC, не забудь прописать PTR и все прекрасно работает, письма отмечаются как доверенные для твоего домена и не попадают в спам. Чудо? Нет, просто игра по общим для всех правилам

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #15

12. Сообщение от Аноним (12), 21-Авг-25, 13:22 +/–

Только стоит проверять и лочить не учетки с истекшими доменами, а с теми которые вот-вот рюистекут. Так-то идея говно, потому что это много запросов каждые n времени для пакетов, которые брошены владельцами и с которыми нет и не будет связи.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17

13. Сообщение от 12yoexpert (ok), 21-Авг-25, 13:30 +/–

ну то есть если жертва вендорлока проспала оплату домена на один день и не знает пароль - про акк можно забыть

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16

14. Сообщение от Аноним (-), 21-Авг-25, 14:13 –1 +/–

> Смысл почты в децентрализации не независимости от корпораций.
Разве?
Ты почитай, хотя бы на википедии, кто и когда создавал email.
Подсказка, это были не подзаборные б0мжи борцуны с корпорациями, а университеты вроде MIT, вояки со своим ARPANET и корпорации IBM, CompuServe, DEC, Xerox.
> Вот только корпорации понаделали своих бесплатных почт
Более того, они еще и платных почт понаделали!
> и начали банить независимые почтовые ящики
А как реагировать на письмо от подкроватного сервака васяна?
Вдруг это спам))?
> И скажите что это не картельный сговор и не заговор рептилоидов.
Ну.. раз ты попросил...
"это не картельный сговор и не заговор рептилоидов" твердо и ч0тко))

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

15. Сообщение от нах. (?), 21-Авг-25, 14:38 +/–

> Настрой DKIM, пропиши SPF, пропиши DMARC, не забудь прописать PTR
но на твоей помойке в DO раньше сидел тор экзит (вариант - не на твоей, в том же блоке /19), поэтому купи себе для начала колло в приличном цоде, желательно чтоб там был PI коммерческой компании (а не ALLOCATED PA).
Но нет, твоя почта все равно отправляется прямиком в ящик spam, потому что твои три письма в месяц не создали тебе репутацию учитываемую гуглем, и к тому же ты пишешь без уважения, плейнтекстом, без "корпоративного дизайна переписки", поэтому "самообучающийся робот" тоже выбросит твою писанину снова туда же, ведь она совершенно непохожа на содержимое почтового ящика типичного гуглоюзера (откуда роботу знать что это и есть спам).
А то что у всех спаммеров давным-давно уже есть dkim, spf, все прочие ненужно, и да, таки колло в приличном цоде с корпоративным блоком а не этимвотвасянским массхостинговым - гуглю совершенно пофигу.
> Нет, просто игра по общим для всех правилам
правила описаны в rfc 822. А это - понятия.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

16. Сообщение от нах. (?), 21-Авг-25, 14:48 +/–

ну если ты прое...л ключи от квартиры, и не озаботился запасным под ковриком - то в общем и целом внутрь попасть можно, но придется доказывать полицаям что ты это ты, так всеми нелюбимыми паспортными данными и пропиской. И еще и дверь менять.
Долбоклюй, одновременно не помнящий паролей и проспавший свой домен - должен страдать.
В конце-концов, заведет себе новую учетку, все равно его лефтпад нафиг был никому не нужен.
P.S. как вам удается забывать пароль a123456789A)_+ - понятия не имею. И да, эта глупость проходит большинство "крайне строгих" проверок.
P.P.S. в следующей серии я расскажу вам как обойти идиотское требование еще и менять его каждые три дня.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

17. Сообщение от нах. (?), 21-Авг-25, 14:51 +/–

если все сделать правильно - это ровно один запрос раз в год на каждый домен. (но я сильно сомневаюсь что ЭТИ сделают правильно. И не полочат тебе учетку потому что gtld задолбали ежесекундные проверки с их адреса и он не ввел рейтлимит или просто не отправил его в бан)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

18. Сообщение от Аноним (18), 21-Авг-25, 14:55 +/–

В целом как бы вроде всё оно и так, но
> начали банить независимые почтовые ящики
я в 2000х, когда был админом, просто зае#$%лся бороться с входящим спамом на нашем корпоративном qmail'е. Спам в те времена был настоящей эпидемией планетарного масштаба. И мало кто знал и главное умел из этих админов бороться с этим спамом как на стороне получитателя, так и те пострадавшие, из чьих сетей вирусы рассылали спам. Всякие костыли вроде greylisting и/или банить целые подсети через общедоступные списки в Инете - имхо делало только хуже. Например, приходилось писать ваще какому-то незнакому человеку чтоб он нас удалил из своего списка, потому что наш директор не может отправить письмо партнерам. А использовать личный ящик он не мог по репутационным соображениям. Короче, я рад, что это всё закончилось

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. Сообщение от Аноним (2), 21-Авг-25, 11:44	–6 +/–
Вердикт: те, кто делают свой нескучный домен в почтовых адресах, являются ССЗБ. Нет ведь по-человечески использовать gmail и прочие надежные провайдеры. Надо обязательно чтобы было нескучно и нетакусечно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #4, #5

3. Сообщение от Аноним (3), 21-Авг-25, 12:00	+/–
Да вообще пофиг на pypi. Ставлю всё исключительно из гита + из релизов гихаба + из пакетного менеджера ОС.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #7, #10

4. Сообщение от Жироватт (ok), 21-Авг-25, 12:03	+3 +/–
Господин майор послал DHL'ем вам пакет печенек и талон на три гамбургера и милкшейк за счёт Фонда Защиты Карликовых Японских Минипигов. Товарищ майор уже попросил курьера на рефрижераторе с надписью "ХЛЕБ" доставить вам три пачки "Примы", бутылку "Талки" и продуктовый набор за хорошую службу. Товарищ майор АлиЭспресс послать бесплатно Новый почти как настоящий кошка жена, джинса отверстие залом ноги на лямках и рис бурый Хайнань упаковка 10pcs.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2

5. Сообщение от Аноним (5), 21-Авг-25, 12:04	+8 +/–
Смысл почты в децентрализации не независимости от корпораций. Вот только корпорации понаделали своих бесплатных почт и начали банить независимые почтовые ящики, чтобы захватить рынок почты. И скажите что это не картельный сговор и не заговор рептилоидов.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #8, #11, #14, #18

7. Сообщение от Аноним (7), 21-Авг-25, 12:09	+/–
Обновлять как собираешься. Ставить из гита надо только когда тебе нужен мастер.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3

8. Сообщение от Аноним (-), 21-Авг-25, 12:33	–2 +/–
> Смысл почты в децентрализации не независимости от корпораций Это кто придумал? Васяны? > Вот только корпорации понаделали своих бесплатных почт Какие меpзaвцы! Предоставили бесплатный сервис без необходимости прдлинга со своим серваком! > и начали банить независимые почтовые ящики которые были рассадником спама. И правильно сделали. > чтобы захватить рынок почты. У них и так был рынок. Как можно захватить то, что ты уже контролируешь? > И скажите что это не картельный сговор и не заговор рептилоидов. Нет конечно. А где вы тут рептилоидов увидели?))
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5

10. Сообщение от старшина (?), 21-Авг-25, 12:37	+1 +/–
На гитхабе безопасно? Там почту перехватить не смогут?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3

11. Сообщение от Эксконтрибутор FreeBSD (?), 21-Авг-25, 13:10	–1 +/–
> начали банить независимые почтовые ящики Опять вранье Никаких проблем со своими серверами нет Настрой DKIM, пропиши SPF, пропиши DMARC, не забудь прописать PTR и все прекрасно работает, письма отмечаются как доверенные для твоего домена и не попадают в спам. Чудо? Нет, просто игра по общим для всех правилам
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #15

12. Сообщение от Аноним (12), 21-Авг-25, 13:22	+/–
Только стоит проверять и лочить не учетки с истекшими доменами, а с теми которые вот-вот рюистекут. Так-то идея говно, потому что это много запросов каждые n времени для пакетов, которые брошены владельцами и с которыми нет и не будет связи.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #17

13. Сообщение от 12yoexpert (ok), 21-Авг-25, 13:30	+/–
ну то есть если жертва вендорлока проспала оплату домена на один день и не знает пароль - про акк можно забыть
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #16

14. Сообщение от Аноним (-), 21-Авг-25, 14:13	–1 +/–
> Смысл почты в децентрализации не независимости от корпораций. Разве? Ты почитай, хотя бы на википедии, кто и когда создавал email. Подсказка, это были не подзаборные б0мжи борцуны с корпорациями, а университеты вроде MIT, вояки со своим ARPANET и корпорации IBM, CompuServe, DEC, Xerox. > Вот только корпорации понаделали своих бесплатных почт Более того, они еще и платных почт понаделали! > и начали банить независимые почтовые ящики А как реагировать на письмо от подкроватного сервака васяна? Вдруг это спам))? > И скажите что это не картельный сговор и не заговор рептилоидов. Ну.. раз ты попросил... "это не картельный сговор и не заговор рептилоидов" твердо и ч0тко))
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5

15. Сообщение от нах. (?), 21-Авг-25, 14:38	+/–
> Настрой DKIM, пропиши SPF, пропиши DMARC, не забудь прописать PTR но на твоей помойке в DO раньше сидел тор экзит (вариант - не на твоей, в том же блоке /19), поэтому купи себе для начала колло в приличном цоде, желательно чтоб там был PI коммерческой компании (а не ALLOCATED PA). Но нет, твоя почта все равно отправляется прямиком в ящик spam, потому что твои три письма в месяц не создали тебе репутацию учитываемую гуглем, и к тому же ты пишешь без уважения, плейнтекстом, без "корпоративного дизайна переписки", поэтому "самообучающийся робот" тоже выбросит твою писанину снова туда же, ведь она совершенно непохожа на содержимое почтового ящика типичного гуглоюзера (откуда роботу знать что это и есть спам). А то что у всех спаммеров давным-давно уже есть dkim, spf, все прочие ненужно, и да, таки колло в приличном цоде с корпоративным блоком а не этимвотвасянским массхостинговым - гуглю совершенно пофигу. > Нет, просто игра по общим для всех правилам правила описаны в rfc 822. А это - понятия.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11

16. Сообщение от нах. (?), 21-Авг-25, 14:48	+/–
ну если ты прое...л ключи от квартиры, и не озаботился запасным под ковриком - то в общем и целом внутрь попасть можно, но придется доказывать полицаям что ты это ты, так всеми нелюбимыми паспортными данными и пропиской. И еще и дверь менять. Долбоклюй, одновременно не помнящий паролей и проспавший свой домен - должен страдать. В конце-концов, заведет себе новую учетку, все равно его лефтпад нафиг был никому не нужен. P.S. как вам удается забывать пароль a123456789A)_+ - понятия не имею. И да, эта глупость проходит большинство "крайне строгих" проверок. P.P.S. в следующей серии я расскажу вам как обойти идиотское требование еще и менять его каждые три дня.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13

17. Сообщение от нах. (?), 21-Авг-25, 14:51	+/–
если все сделать правильно - это ровно один запрос раз в год на каждый домен. (но я сильно сомневаюсь что ЭТИ сделают правильно. И не полочат тебе учетку потому что gtld задолбали ежесекундные проверки с их адреса и он не ввел рейтлимит или просто не отправил его в бан)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12

18. Сообщение от Аноним (18), 21-Авг-25, 14:55	+/–
В целом как бы вроде всё оно и так, но > начали банить независимые почтовые ящики я в 2000х, когда был админом, просто зае#$%лся бороться с входящим спамом на нашем корпоративном qmail'е. Спам в те времена был настоящей эпидемией планетарного масштаба. И мало кто знал и главное умел из этих админов бороться с этим спамом как на стороне получитателя, так и те пострадавшие, из чьих сетей вирусы рассылали спам. Всякие костыли вроде greylisting и/или банить целые подсети через общедоступные списки в Инете - имхо делало только хуже. Например, приходилось писать ваще какому-то незнакому человеку чтоб он нас удалил из своего списка, потому что наш директор не может отправить письмо партнерам. А использовать личный ящик он не мог по репутационным соображениям. Короче, я рад, что это всё закончилось
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5