The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Атакующие получили доступ к 174 учётным записям в каталоге PyPI "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Атакующие получили доступ к 174 учётным записям в каталоге PyPI "  +/
Сообщение от opennews (??), 03-Апр-24, 20:02 
Администраторы репозитория Python-пакетов PyPI (Python Package Index) опубликовали информацию о выявлении неавторизированного доступа к 174 учётным записям пользователей сервиса. По предположению представителей  PyPI параметры аутентификации пострадавших пользователей были получены из коллекциях ранее скомпрометированных учётных данных, сформированных в результате взломов или утечек баз пользователей других сервисов. Доступ к учётным записям удалось получить из-за использования жертвами атаки одинаковых паролей на разных сайтах и неиспользования двухфакторной аутентификации в каталоге PyPI...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=60918

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +7 +/
Сообщение от Аноним (1), 03-Апр-24, 20:02 
Поэтому нужно использовать пакетный менеджер дистрибутива, а не каждый раз подтягивать непроверенные пакеты из такой помойки. Пакет должен быть собран напрямую из git разработчика, зафиксирован и проверен.
Ответить | Правка | Наверх | Cообщить модератору

2. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +12 +/
Сообщение от Аноним (2), 03-Апр-24, 20:04 
Следующая новость: Атакующие получили доступ к 174 учётным записям в каталоге GitHub/GitLab/Bitbucket/etc...
Ответить | Правка | Наверх | Cообщить модератору

4. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +4 +/
Сообщение от Аноним (1), 03-Апр-24, 20:06 
Это не меняет. Запуская pip install, получаешь самую новую версию, возможно скомпрометированную. А в пакетах дистрибутива будет завиксированная версия.
Ответить | Правка | Наверх | Cообщить модератору

6. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +5 +/
Сообщение от Аноним (6), 03-Апр-24, 20:26 
Возможно протрояненная месяцем годом раньше.
Ответить | Правка | Наверх | Cообщить модератору

7. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +1 +/
Сообщение от Аноним (7), 03-Апр-24, 20:40 
Об отказе от Python думать надо.
Ответить | Правка | Наверх | Cообщить модератору

9. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +3 +/
Сообщение от Аноним (9), 03-Апр-24, 21:05 
И заодно Си, судя по последним 50 годам бэкдоров, намеренных и случайных. Да вот хоть последний (шучу, не последний) с xz. Обошлось без PyPi как-то. Проблема точно в консерватории?
Ответить | Правка | Наверх | Cообщить модератору

27. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (27), 04-Апр-24, 01:09 
Ну заменят каким-нибудь Nim, но со времененм и там будет не менее скучная помойка.
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

30. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от penetrator (?), 04-Апр-24, 03:35 
так жээсом же ))) и он уже помойка, не надо ничего придумывать
Ответить | Правка | Наверх | Cообщить модератору

98. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (98), 05-Апр-24, 03:51 
>Об отказе от Python думать надо.

Хорошо отказываемся.

Но возникает вопрос. На что тогда переходим? Перечисли аналоги.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

101. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от microcoder (ok), 05-Апр-24, 05:13 
>>Об отказе от Python думать надо.
> Хорошо отказываемся.
> Но возникает вопрос. На что тогда переходим? Перечисли аналоги.

Аналоги будут аналогичны. Отказываться надо сразу от всего. Тушишь полностью свой ноут

Ответить | Правка | Наверх | Cообщить модератору

104. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (104), 05-Апр-24, 08:04 
На чистый СИ
Ответить | Правка | К родителю #98 | Наверх | Cообщить модератору

106. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от microcoder (ok), 05-Апр-24, 09:28 
> На чистый СИ

А либы xz не на Си ли писали?

Ответить | Правка | Наверх | Cообщить модератору

8. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +5 +/
Сообщение от oficsu (ok), 03-Апр-24, 20:55 
Да, зафиксированная. Например, зафиксированная на версии 5.6.1
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

35. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (35), 04-Апр-24, 07:37 
> Да, зафиксированная. Например, зафиксированная на версии 5.6.1

любители bleeding edge должны страдать.

Ответить | Правка | Наверх | Cообщить модератору

11. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  –2 +/
Сообщение от Аноним (9), 03-Апр-24, 21:08 
> Запуская pip install, получаешь

ту версию, которую прописал в зависимостях. По другому бывает только в Hello, world, который не интересен вообще никому.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

33. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +1 +/
Сообщение от нах. (?), 04-Апр-24, 07:33 
Наоборот - только у писателей хеловротов хватает времени и вдохновения бегать "фиксировать версии" всех стопиццот зависимостей зависимостей зависимостей. Тем более что в хеловроте их всего тридцать.

Ответить | Правка | Наверх | Cообщить модератору

3. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  –1 +/
Сообщение от scriptkiddis (?), 03-Апр-24, 20:06 
Я так думаю что именно ты и приступишь к этому? Все сотни тысячь пипок опакетишь для всех основных дистров?
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

14. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  –3 +/
Сообщение от Аноним (14), 03-Апр-24, 21:49 
Зачем сотни тысяч? Всё что кому-то нужно давно опакечено, например https://repology.org/project/python:jinja2/versions. Это нужно дурачков отучать от использования venv и pip.
Ответить | Правка | Наверх | Cообщить модератору

26. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +1 +/
Сообщение от Аноним (-), 04-Апр-24, 00:58 
> Зачем сотни тысяч? Всё что кому-то нужно давно опакечено, например
> https://repology.org/project/python:jinja2/versions. Это нужно дурачков
> отучать от использования venv и pip.

Ну так они хотели жить на bleeding edge, заодно - вот - и все минные поля разминируя прямо своими тушками. Вооооон там господа с Stable дистрами - прозрачно намекают, когда им xz-чего из бэкдоров не прилетело, в отличие от вон тех, разминировавших свежие мины своими тушками. А в stable - есть команда саперов.

Ответить | Правка | Наверх | Cообщить модератору

99. Скрыто модератором  +/
Сообщение от Аноним (98), 05-Апр-24, 04:00 
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

17. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +1 +/
Сообщение от Tron is Whistling (?), 03-Апр-24, 22:19 
rm -rf спасёт дистростроителей
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

13. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +1 +/
Сообщение от namenotfound (?), 03-Апр-24, 21:28 
"Атакующие получили доступ к 174 учетным записям CI дистрибутива X..."

ну шо за детский сад, такое можно с любым репозиторием провернуть, хоть с PyPI, хоть с каким-нибудь Ubuntu universe, хоть с Flathub

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

29. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +3 +/
Сообщение от yet another anonymous (?), 04-Апр-24, 03:17 
У питоньих разработчиков добраться до оригинального VCS можно менее чем в половине случаев.

Далее идут насквозь проверенные дистростроители/мантейнеры с накатыванием слегка подплесневевшей серии патчей поверх не-очень-понятно-какого тарболла. Не, конечно, тоже вылежавшегося и очень-очень проверенного. Сыном маминой подруги. Кажется.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

39. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +1 +/
Сообщение от pelmaniac (?), 04-Апр-24, 08:53 
>Поэтому нужно использовать пакетный менеджер дистрибутива

как понимаю, ты не прогер, а просто эксперт опеннета с широким кругозором )
что тебе мешает зафиксировать версию пакета в пип/мавен/итд ?
в дистрибах нет 99% содержимого пип/мавен

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

43. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (43), 04-Апр-24, 09:36 
Неправильно понимаешь, я прогер.
Ответить | Правка | Наверх | Cообщить модератору

73. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от n00by (ok), 04-Апр-24, 16:03 
Зачем же прогеру делать вид, что он это несколько разных Анонимов? Зачем так делает автономный сборщик пакетов в соседней теме, программирующий патчи к диффам - это понятно.
Ответить | Правка | Наверх | Cообщить модератору

46. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +1 +/
Сообщение от Аноним (46), 04-Апр-24, 10:03 
> как понимаю, ты не прогер, а просто эксперт опеннета с широким кругозором )

Те, кто использует PyPi - тоже не прогеры. Прогеры это те, кто пишет на C, на С++, на ассемблере. Те, кто пишут фирмваре для железа, кто пишет ОС, файловые системы, работает с прерываниями и DMA. А юзеры PyPi - это формошлёперы, как раньше были "программисты" на дельфи

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

52. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  –1 +/
Сообщение от Аноним (52), 04-Апр-24, 10:39 
> Прогеры это те, кто пишет на C, на С++, на ассемблере.

То есть, чем сильнее ты страдаешь, используя кривые инструменты - тем больше ты программист?

Ответить | Правка | Наверх | Cообщить модератору

54. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +2 +/
Сообщение от Аноним (54), 04-Апр-24, 10:45 
Исключение -- программисты perl.
Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

56. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +1 +/
Сообщение от Аноним (56), 04-Апр-24, 11:31 
Я бы вообще называл прогерами только тех, кто освоил компутер саенс, ну так чтобы за регистры шарить и ассемблер и прочее
Ну а те кто купил курсы на очередных слилкетори это так, операторы эвм
Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

57. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (46), 04-Апр-24, 11:41 
> ну так чтобы за регистры шарить и ассемблер и прочее

это то что не про питонистов... тоже мне прогеры

Ответить | Правка | Наверх | Cообщить модератору

60. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от anonymous (??), 04-Апр-24, 12:43 
Лол, вычисления на регистровых машинах -- это вообще только 5 глава SICP, не самая нужная, вообще говоря.

Не надо думать, что знание всяких дурацких идиосинкразий конкретных архитектур делает вас компьютерсаентистом.

Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

68. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +1 +/
Сообщение от Аноним (46), 04-Апр-24, 13:55 
Умение скачать скрипты через pip тоже не делает
Ответить | Правка | Наверх | Cообщить модератору

71. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +1 +/
Сообщение от 1 (??), 04-Апр-24, 15:47 
Чёйта это ты про операторов ЭВМ так уничижительно ?
Для справки - "В СССР программистов выпускали ПТУ. С высшим образованием были инженеры-программисты."
Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

85. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (85), 04-Апр-24, 19:56 
> В СССР программистов выпускали ПТУ

Бред.

Ответить | Правка | Наверх | Cообщить модератору

74. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от n00by (ok), 04-Апр-24, 16:05 
Так в CS курсе MIT заменили LISP как раз на Python.
Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

96. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от pelmaniac (?), 04-Апр-24, 23:32 
>Прогеры это те, кто пишет на C, на С++, на ассемблере

те самые ребята, который за что более-менее сложное ни возьмутся (smbd, httpd, cow-fs), всё дырявая вонючая кучка получается... байтики гонять и страдать от убожества анси сишечки это не элита ИТ, а дно.... недаром там все выгоревшие уже.

а на жабе прогать это каеф )

Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

53. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (52), 04-Апр-24, 10:42 
> Поэтому нужно использовать пакетный менеджер дистрибутива

А на Windows что использовать посоветуешь? Ну, на той маргинальщине, которой ползуется более 70% мира?

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

72. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от 1 (??), 04-Апр-24, 15:48 
WSL же !
Ответить | Правка | Наверх | Cообщить модератору

100. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (98), 05-Апр-24, 04:06 
Та ещё бяка.

Некоторое время использовал WSL, но вернулся к старым добрым виртуальным машинам.

Ответить | Правка | Наверх | Cообщить модератору

5. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  –1 +/
Сообщение от Аноним (5), 03-Апр-24, 20:06 
Двухфакторная аутентификация ничем в плане безопасности не лучше
Ответить | Правка | Наверх | Cообщить модератору

12. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (9), 03-Апр-24, 21:13 
Поясни почему, по пунктам. А то вот недавно в амазоновском govcloud аккаунт регистрировал для клиента, и там почему-то mandatory 2FA. Тупые пендосы, не иначе!
Ответить | Правка | Наверх | Cообщить модератору

20. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +2 +/
Сообщение от Аноним (20), 03-Апр-24, 22:39 
>Тупые пендосы, не иначе!

this

Ответить | Правка | Наверх | Cообщить модератору

48. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +1 +/
Сообщение от Аноним (48), 04-Апр-24, 10:09 
нет, там опечатка в слове индусы.
Ответить | Правка | Наверх | Cообщить модератору

23. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +2 +/
Сообщение от Аноним (23), 03-Апр-24, 23:58 
>govcloud

Не для домена gov.no, случаем, используется? В любом случае для любой сферы, связанной с сертификациями и лицензиями, важнее всего не реальное делание дел, а прикрытие жопы бумажкой.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

41. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +1 +/
Сообщение от Аноним (41), 04-Апр-24, 09:08 
Ну да, зачем вытирать, если прикрыть достаточно.
Ответить | Правка | Наверх | Cообщить модератору

47. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +1 +/
Сообщение от Аноним (56), 04-Апр-24, 10:08 
Двухфакторка по смс, если анон имел именно ее ввиду, и правда не самый безопасный вариант
Просто потому что смс никак не шифруются, и чтобы перехватить код, достаточно сдр
В 90% случаев спасает
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

19. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +2 +/
Сообщение от Аноним (19), 03-Апр-24, 22:24 
Ну вот к примеру живёт себе такой Джон Хренпокладофф.. завёл емейл john.hrenpokladoff@gmail.com и временами регистрируется на сайтах вида "Клуб любителей Лада Калина" или "Ремонт самогоннного аппарата своими руками" итд итп.. И не сильно заморачиваясь везде лепит свой емейл, и один и тот же пароль. В какой то момент идёт на курсы "программирование на петоне за 3 дня" и потом идёт и заводит себе аккаунт на Pypi. и не сильно заморачиваясь вводит те же емейл и пароль..
потом нехорошие люди ломают форум одного из клубов по интересам, где наш Джон состоит, и тырят оттуда все пароли (да пофиг что они там зашифрованные, правят код и пишут в лог открытым текстом пароли с логинами, потом лог забирают)
и эти нехорошие люди вдруг видят, ба, а этот емейл из их лога - засвечен в PyPI. пихают туда этот же пароль и чудо! их пускает..

А вот была бы двух факторка - обломались бы. К счастью сделать одинаковые OTP для разных сайтов наш Джон не сможет и смс от одного сайта не поможет в другом.

все имена вымышленные, совпадения случайны.

да, если бы дядя чуток бы напрягся и завёл себе хранилище паролей и использовал бы разные пароли на разных ресурсах, смысла с двух факторки было бы не много.. но такова селява, что народ в массово
пароль будет использовать одинаковый.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

36. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +1 +/
Сообщение от нах. (?), 04-Апр-24, 07:39 
> А вот была бы двух факторка

чуваки нажали бы кнопочку "ой, мабилка сресетилась и забыла сид - сгенерите-ка мне новый".
И нажали бы ссылочку пришедшую в ту самую john.hrenpokladoff@gmail.com с тем же самым паролем.

То ли дело вот двухфакторка в смс с привязкой к номеру. Когда восстанавливать нечего, потому что все действия снова ведут в смс с тем же номером. Ну а если ты такой л-х что зарегистрировался на одноразовую мобилу и паспорт гад не предъявил - то с тобой дел иметь незачем, твой вреднозиторий превратился в тыкву.

Ответить | Правка | Наверх | Cообщить модератору

38. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +1 +/
Сообщение от Аноним (52), 04-Апр-24, 08:42 
> Двухфакторная аутентификация ничем в плане безопасности не лучше

Казалось бы, в новости случай, который прядо говорит об обратном, но опеннетный эксперт как всегда альтернативно одарен...

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

16. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Tron is Whistling (?), 03-Апр-24, 22:18 
Ну и фиг с ним. Кто пользуется - молодец.
Ответить | Правка | Наверх | Cообщить модератору

21. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  –2 +/
Сообщение от Аноним (21), 03-Апр-24, 22:53 
Интересно, конечно, что не сделали 2FA обязательной.

А по поводу паролей - менеджер, да и +сом можно для помоек иметь один пароль и не париться, а для важного - генерить и хранить.

Так как от покражы  с "сайтов вида "Клуб любителей Лада Калина" или "Ремонт самогоннного аппарата своими руками" итд итп.." вообще ни тепло ни холодно, а во всех нужных местах пароли уникальные.

Элементарная гигиена, простите.

Ответить | Правка | Наверх | Cообщить модератору

55. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  –1 +/
Сообщение от microcoder (ok), 04-Апр-24, 11:31 
> Интересно, конечно, что не сделали 2FA обязательной.

Не у всех есть телефоны с симкой, так как они по паспорту выдаются

Ответить | Правка | Наверх | Cообщить модератору

61. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (52), 04-Апр-24, 13:00 
>> Интересно, конечно, что не сделали 2FA обязательной
> Не у всех есть телефоны с симкой, так как они по паспорту выдаются

Чел, чтобы для 2FA сгенерить TOTP даже доступ в инет не нужен...

Ответить | Правка | Наверх | Cообщить модератору

66. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от microcoder (ok), 04-Апр-24, 13:23 
>>> Интересно, конечно, что не сделали 2FA обязательной
>> Не у всех есть телефоны с симкой, так как они по паспорту выдаются
> Чел, чтобы для 2FA сгенерить TOTP даже доступ в инет не нужен...

У себя дома ты можешь что угодно генерить, только пошлёшь ты мне как? Голубем?

Ответить | Правка | Наверх | Cообщить модератору

62. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (62), 04-Апр-24, 13:03 
Open Source менеджер паролей KepassXC даёт возможность настроить TOTP.
Для его использования не требуется SIM и доступ в интернет.
Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

67. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +1 +/
Сообщение от microcoder (ok), 04-Апр-24, 13:26 
> Open Source менеджер паролей KepassXC даёт возможность настроить TOTP.
> Для его использования не требуется SIM и доступ в интернет.

Плз, поподробнее здесь. Захожу я к примеру на гитхаб, а он мне шлёт SMS, а я такой открываю KepassXC и попадаю на гитхаб?

Ответить | Правка | Наверх | Cообщить модератору

76. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +3 +/
Сообщение от Аноним (76), 04-Апр-24, 16:26 
Если там ТOTP второй фактор, то никаких СМС никто не шлёт. а ждёт 6 цифирек из ТОТП клиента (их есть разных, им может быть в том числе и кейпасс). Цифирьки меняются раз в 60 сек (на девайсе где запущен ТОТП клиент должно быть достаточно точное время, примут значение +- пару минут). на выбор начальных значений для ТОТП пользователь не влияет, соотв своими шаловливыми руками сделать значение предсказуемым не может.
Ответить | Правка | Наверх | Cообщить модератору

79. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от microcoder (ok), 04-Апр-24, 16:51 
> Если там ТOTP второй фактор, то никаких СМС никто не шлёт. а

Спасибо добрый человек! Буду разбираться!


Ответить | Правка | Наверх | Cообщить модератору

81. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (104), 04-Апр-24, 18:38 
Я тот аноним что изначально написал про KepassXC. Пояснение написал другой. Так вот, лично я пользуюсь именно KepassXC,  его советуют всём. Просто Kepass   не пользуюсь и не советую.
Ответить | Правка | Наверх | Cообщить модератору

63. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (62), 04-Апр-24, 13:05 
>Элементарная гигиена, простите.

Подавляющее большинство не хочется об этом задумываться. Когда я пытаюсь просвещать людей и объясняю необходимость использования менеджера паролей вместо таблиц Эксель, то 100% начинают объяснять что им и так хорошо. В редких случаях может быть найдется один человек который заинтересуется.

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

69. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +1 +/
Сообщение от Аноним (-), 04-Апр-24, 14:00 
А в чём преимущество по сравнению с таблицей под паролем?
Ответить | Правка | Наверх | Cообщить модератору

75. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от microcoder (ok), 04-Апр-24, 16:18 
> А в чём преимущество по сравнению с таблицей под паролем?

Автоматом подставляет логин/пасс в поля на сайтах

Ответить | Правка | Наверх | Cообщить модератору

80. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от пох. (?), 04-Апр-24, 18:01 
и не только туда. Чем и плох.

Ответить | Правка | Наверх | Cообщить модератору

82. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (104), 04-Апр-24, 18:41 
>Автоматом подставляет логин/пасс в поля на сайтах

Это какой менеджер паролей так делает? Так делают браузеры которые сохраняют логопас у себя и отдают их корпорациям, правоохранителям, а заодно и  хакерам.

Ответить | Правка | К родителю #75 | Наверх | Cообщить модератору

84. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от microcoder (ok), 04-Апр-24, 19:55 
>>Автоматом подставляет логин/пасс в поля на сайтах
> Это какой менеджер паролей так делает? Так делают браузеры которые сохраняют логопас
> у себя и отдают их корпорациям, правоохранителям, а заодно и  
> хакерам.

Так делает KeePassXC. В браузер ставится расширение и оно как-то связывается с клиентским приложением KeePassXC и забирает оттуда логин/пароль. А браузер и без KeePassXC может забрать, вы же в поля ввода на сайте так или иначе вводите данные, правильно? Что мешает браузеру собрать и тайком зааплодить на свои сервера?

Ответить | Правка | Наверх | Cообщить модератору

86. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (86), 04-Апр-24, 20:48 
>В браузер ставится расширение и оно как-то связывается с клиентским приложением KeePassXC и забирает оттуда логин/пароль.

Никогда не ставил это расширение. Всегда подозревал неладное.
>А браузер и без KeePassXC может забрать, вы же в поля ввода на сайте так или иначе вводите данные, правильно?

Одно дело Гугл Хром, а другое какой-нибудь форк Фаерфокса. Основной момент не сохранять пароли в самом браузере, чтобы их от туда нельзя было достать хакерам.
>Что мешает браузеру собрать и тайком зааплодить на свои сервера?

Не пользоваться браузером который собирает и отправляет на сервера логопасы?

Ответить | Правка | Наверх | Cообщить модератору

87. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от microcoder (ok), 04-Апр-24, 20:53 
>>Что мешает браузеру собрать и тайком зааплодить на свои сервера?
> Не пользоваться браузером который собирает и отправляет на сервера логопасы?

Об этом вы никогда не узнаете

Ответить | Правка | Наверх | Cообщить модератору

89. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (86), 04-Апр-24, 20:58 
Ну всё же доверия Фаерфоксу больше чем Хрому.
Ответить | Правка | Наверх | Cообщить модератору

91. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от microcoder (ok), 04-Апр-24, 21:17 
> Ну всё же доверия Фаерфоксу больше чем Хрому.

На чём основано? Фаерфоксу платит Гугель, и ему кушать хочецца

Ответить | Правка | Наверх | Cообщить модератору

93. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (93), 04-Апр-24, 22:55 
То что Хром шпионит о каждом чихе нам известно.
То что Фаерфокс шпионит это гипотетическое предположение.
Выбираю из двух зол меньшее.
Ответить | Правка | Наверх | Cообщить модератору

118. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (62), 05-Апр-24, 12:52 
https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi?az=p...
Ответить | Правка | К родителю #91 | Наверх | Cообщить модератору

119. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (62), 05-Апр-24, 12:53 
Тебе же уже рассказал про существование KepassXC. Просто начни им пользоваться и перестань всякие глупости про шифрование таблицы выдумывать.  
Ответить | Правка | К родителю #91 | Наверх | Cообщить модератору

121. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от microcoder (ok), 05-Апр-24, 13:09 
> Тебе же уже рассказал про существование KepassXC. Просто начни им пользоваться и
> перестань всякие глупости про шифрование таблицы выдумывать.

Режим параноика никто не отменял )))) Я то пользуюсь, но рано или поздно в нём найдут не один бэкдор )))

Ответить | Правка | Наверх | Cообщить модератору

137. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (137), 06-Апр-24, 19:11 
Я тебе рекомендую лучшие практики.
Ответить | Правка | Наверх | Cообщить модератору

83. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (104), 04-Апр-24, 18:48 
Ну Во-первых: таблица хранится в открытом доступе без шифрования. Получив доступ к таблице, доступ сразу ко всему логопасам в ней.
Во-вторых в таких таблицах хранятся простые пароли расчитаные на то чтобы их было легко запомнить.
Смысл чтобы использовать сложные длинные пароли со спецсимволаит с высокой энтропией.
Эти сложные пароли хранить в базе паролей с помощью менеджера паролей.
Доступ к базе с помощью мастер пароля который надо помнить, но он тоже сложный. Также второй фактор для базы паролей это физическая флешка, без каторой даже с мастер паролеи не откроет.
Отдельно база паролей для работы, отдельно для личного, для каждой Второй фактор.
Ответить | Правка | К родителю #69 | Наверх | Cообщить модератору

77. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (76), 04-Апр-24, 16:29 
У меня для Вас плохие новости.. даже руки после сортира не все в состоянии помыть, не то что пароли разные делать... поэтому надо както заставлять людей соблюдать гигиену.. хотябы 2ФА. ну или предложите другой способ.
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

88. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (86), 04-Апр-24, 20:56 
>У меня для Вас плохие новости.. даже руки после сортира не все в состоянии помыть

В туалете я касаюсь только своего тела. От самого себя сложно заразиться чем-то новым.
А вот сколько новой заразы будет на маховике смесителя, что бы открыть воду. Хотя сам мою руки.
>поэтому надо както заставлять людей соблюдать гигиену.. хотябы 2ФА. ну или предложите другой способ.

А как ты их заставишь. Системные администраторы, да даже руководители ИТ отделов вчерашние эникейщики, всё поголовно хранят пароли в Google Sheets. Это в не большом бизнесе. В бизнесе побольше, федеральном, где есть нормальный отдел безопасности, там используют корпоративные менеджеры пролей с отслеживанием кто какой пароль куда когда и когда изменил.

Ответить | Правка | Наверх | Cообщить модератору

90. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (86), 04-Апр-24, 21:04 
Хотя я научил пользоваться KepassXC секретаршу в небольшой конторе.
Но не смог научить руководителя ИТ отдела. Хотя в других двух конторах научил пользоваться KepassXC сисадминов и руководство. Но был один самый умный сисадмин который упорно отрицал менеджер паролей.
Вообще мне кажется сисадминов которые не используют менеджеры паролей надо увольнять за профнепригодность.
Ответить | Правка | К родителю #77 | Наверх | Cообщить модератору

92. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от microcoder (ok), 04-Апр-24, 21:25 
> Вообще мне кажется сисадминов которые не используют менеджеры паролей надо увольнять за
> профнепригодность.

А если в менеджере закладка как в недавнем xz? Что тогда? Кого надо будет "расстреливать"?

Ответить | Правка | Наверх | Cообщить модератору

94. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (93), 04-Апр-24, 22:57 
Менеджер паролей с гипотетической закладкой против хранения паролей в таблицах эксель и в браузере, я выбираю меньше зло.
Ответить | Правка | Наверх | Cообщить модератору

95. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от microcoder (ok), 04-Апр-24, 23:20 
> Менеджер паролей с гипотетической закладкой против хранения паролей в таблицах эксель и
> в браузере, я выбираю меньше зло.

И какое же меньшее? таблицу можно шифровать и вероятность там закладки почти нулевая, если использовать простой редактор

Ответить | Правка | Наверх | Cообщить модератору

97. Скрыто модератором  +/
Сообщение от Аноним (93), 04-Апр-24, 23:37 
Ответить | Правка | Наверх | Cообщить модератору

111. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (62), 05-Апр-24, 12:03 
Сколько времени у тебя будет уходить на расшифровку таблицы?
Ответить | Правка | К родителю #95 | Наверх | Cообщить модератору

116. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от microcoder (ok), 05-Апр-24, 12:35 
> Сколько времени у тебя будет уходить на расшифровку таблицы?

GPG шифрует 500 MBytes за 3.77s на Intel i7 at 2.7 GHz, 64-bit mode

https://security.stackexchange.com/questions/56167/why-is-gp...

У тебя сколько весит файл с паролями? ))))

Ответить | Правка | Наверх | Cообщить модератору

117. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (62), 05-Апр-24, 12:45 
Мне просто любопытно, ты будешь занимать ручным шифрованием и расшифрованием каждый раз когда понадобиться поставить логопас?
Ответить | Правка | Наверх | Cообщить модератору

120. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от microcoder (ok), 05-Апр-24, 13:06 
> Мне просто любопытно, ты будешь занимать ручным шифрованием и расшифрованием каждый раз
> когда понадобиться поставить логопас?

Ярлыки никто не запрещал. Создаёшь ярлык, в нём команду на дешифровку. Ввёл пароль от ключа - открылось приложение с паролями. Держишь открытым пока нужно, как это делает всё тот же KeePassXC.

При изменении файла паролей немного посложнее будет, но тоже реализовать можно скриптами.

Ответить | Правка | Наверх | Cообщить модератору

103. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (104), 05-Апр-24, 08:03 
А если не будет?
Ответить | Правка | К родителю #92 | Наверх | Cообщить модератору

105. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от microcoder (ok), 05-Апр-24, 09:27 
> А если не будет?

А кто гарантирует и чем? Где основания? А так ты милок можешь сколь угодно гадать на кофейной гуще.

Ответить | Правка | Наверх | Cообщить модератору

109. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (35), 05-Апр-24, 10:32 
>> А если не будет?
> А кто гарантирует и чем? Где основания?

Статистика.

> А так ты милок можешь сколь угодно гадать на кофейной гуще.

Напоминает анекдот от статистов про блондинку и динозавра. Так и ты с своим "а вдруг!?" :-D


Ответить | Правка | Наверх | Cообщить модератору

112. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от microcoder (ok), 05-Апр-24, 12:07 
>>> А если не будет?
>> А кто гарантирует и чем? Где основания?
> Статистика.

Это не аргумент. Статистика ничего не открывает, пока ей ничего не дадут. Гарантий нет. Тем более для одних одна статистика, а для других - другая. И даже более, у каждого своя.

XZ был в какой статистике?

Ответить | Правка | Наверх | Cообщить модератору

114. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (62), 05-Апр-24, 12:12 
Всё что ты предлагаешь это костыль вместо специализированной программы.
Где гарантия что в твоё шифровальщике нет бекдоров?
Ответить | Правка | Наверх | Cообщить модератору

113. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (62), 05-Апр-24, 12:11 
Альтернативы какие?
Шифровать таблицу?
Чем шифровать?
Откуда ты уверен что в твоём шифровальщике нет бекдоров?
Шифровать шифровальщиком это костыль менее удобный а не альтернатива менеджеру паролей который для этого придуман.
Ответить | Правка | К родителю #105 | Наверх | Cообщить модератору

22. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (22), 03-Апр-24, 23:12 
> Активность атакующих была выявлена после получения серии жалоб, в которых пользователи сообщали о получении уведомлений от PyPI об активации двухфакторной аутентификации, в то время как они не заходили в это время в свою учётную запись и сами ничего не меняли.
>  а всем остальным пользователям PyPI, у которых не была включена двухфакторная аутентификация, отправлены уведомления и инициирован процесс повторной верификации их email.

Ээээ, а перевод точно верен ?

Ответить | Правка | Наверх | Cообщить модератору

25. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (25), 04-Апр-24, 00:09 
В PyPI чтобы совершать действия с аккаунтом обязательно нужно, чтобы была включена двухфакторная аутенитификация. Поэтому злодеи после входа включили 2FA, но параметры они ещё на этой стадии не поменяли и  уведомление о включении отправилось на email пользователя.
Ответить | Правка | Наверх | Cообщить модератору

24. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  –1 +/
Сообщение от Аноним (23), 04-Апр-24, 00:04 
>Пострадавшие учётные записи были заблокированы до окончания разбирательства, а всем остальным пользователям PyPI, у которых не была включена двухфакторная аутентификация, отправлены уведомления и инициирован процесс повторной верификации их email.

То есть под предлогом мизерного процента скомпрометированных записей проблемы создают всем остальным, да ещё и на мороз выгоняют всех, у кого записи на временную почту зареганы. Да ради создания этого повода можно самим наделать 147 жалких sockpuppetов. Легитимности это всё равно хтим действиям никакой не даст, только ещё один довод не связываться с этим дерьмом и все пакеты хостить исключительно у себя на гите. Даже если это откроет "увизгвимость" с регой на pypi пакета с совпадающим именем: у кого включена загрузка с pypi - тот сам виноват и сочуствия не заслуживает.

Ответить | Правка | Наверх | Cообщить модератору

37. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +4 +/
Сообщение от Аноним (52), 04-Апр-24, 08:41 
> проблемы создают
> записи на временную почту зареганы

А ты последовательный.

Ответить | Правка | Наверх | Cообщить модератору

134. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от _kp (ok), 06-Апр-24, 02:32 
Но ведь на временную почту ничего ценного не регистрируют.
Так ли велика утеря?
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

28. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +2 +/
Сообщение от Вы забыли заполнить поле Name (?), 04-Апр-24, 01:12 
Есть только один способ решения этой проблемы: писать ВСЁ самому. Да здравствуют велосипеды с квадратными колесами.
Ответить | Правка | Наверх | Cообщить модератору

40. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +2 +/
Сообщение от Аноним (41), 04-Апр-24, 09:07 
Ну а кто заставляет делать колёса квадратными? Скопипастил пару строк из интересного проекта и норм.
Ответить | Правка | Наверх | Cообщить модератору

49. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (56), 04-Апр-24, 10:11 
База!
Ответить | Правка | Наверх | Cообщить модератору

58. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +1 +/
Сообщение от Аноним (58), 04-Апр-24, 12:12 
Колеса именно поэтому и получаются квадратными - потому что берут их из интересных проектов...
Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

64. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (62), 04-Апр-24, 13:07 
Колеса переоценены, предки ходили пешком и на лошадях сказали и ничего, выжили как-то.
Технология колес ещё не достаточно отлажена.
Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

70. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (70), 04-Апр-24, 14:25 
Хождение на двух ногах переоценено, предки прыгали по деревьям и ничего, выжили как-то.
Технология прямоходящего хождения ещё не достаточно отлажена.
Ответить | Правка | Наверх | Cообщить модератору

32. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (35), 04-Апр-24, 07:28 
174 учетки скомпрометированы. Может список пакетов дать, сказать какие из них нужно откатить, ну и тд?! Неееее, этж питон! И таааак сойдёт. Просто будьте в курсе, лол.
Ответить | Правка | Наверх | Cообщить модератору

34. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +2 +/
Сообщение от нах. (?), 04-Апр-24, 07:36 
а смысл? Пока ты этот список читаешь - скомпрометируют 140 следующих. Это ж - пихон. В его вреднозитории копаться-проверять что за тары туда пихают - некому.

Ответить | Правка | Наверх | Cообщить модератору

44. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +1 +/
Сообщение от Аноним (44), 04-Апр-24, 09:56 
Найми себе проверяльщика за деньги. Отличная идея для стартапа.
Ответить | Правка | Наверх | Cообщить модератору

50. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от нах. (?), 04-Апр-24, 10:14 
Идея мне нравится, но с таким подходом - ты этого слона не продашь.

Может чатгопоту попросим нарисовать нам промо?

Ответить | Правка | Наверх | Cообщить модератору

45. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (44), 04-Апр-24, 09:58 
В том то и дело что не надо ничего откатывать. Мошенника поймали. А названия пакетов только сделают им антирекламу.
Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

59. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +1 +/
Сообщение от Аноним (35), 04-Апр-24, 12:15 
> В том то и дело что не надо ничего откатывать.

мамой клянёшься? 170 пакетов, это не один и не два. Проверили меньше чем за день (14 часов?). Красавчики, чо уж. И чо ж я им не верю-то...

> Мошенника поймали.

за руку? а пишут что никого не поймали, заморозили акки, в общем читай новость и не выдумывай здесь.

> А названия пакетов только сделают им антирекламу.

кому? питону? пипу? пакетам? ну, счастье в неведении, ога.

Ответить | Правка | Наверх | Cообщить модератору

78. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +1 +/
Сообщение от Аноним (76), 04-Апр-24, 16:33 
Есть мнение что собственно пакеты тех обалдуев, что использовали одинаковые пароли на всех своих сайтах им не нужны были (как и вообще никому).. а вот положить потом под их аккаунтом, не новым, час как созданным, а старым аккаунтом, новый пакет с подозрительно похожим именем на какой нить популярный пакет очень даже идейка.. но спалились, не успели.
Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

42. Скрыто модератором  +/
Сообщение от 1 (??), 04-Апр-24, 09:18 
Ответить | Правка | Наверх | Cообщить модератору

51. Скрыто модератором  +/
Сообщение от нах. (?), 04-Апр-24, 10:15 
Ответить | Правка | Наверх | Cообщить модератору

107. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +1 +/
Сообщение от Илья (??), 05-Апр-24, 09:45 
Python странная технология. Есть ощущение, что он популярен только потому что однажды стал популярен и вошёл в рекурсию.

Смотрю на всё это дело со стороны, и удивляюсь, зачем его брать вообще для чего-то.

Сопровождение питон-кода крайне дорогое. Типов нет. Медленный. Многопоточки нет. Аот-компиляции нет.

Разве что только порог вхождения.

Ответить | Правка | Наверх | Cообщить модератору

108. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  –1 +/
Сообщение от microcoder (ok), 05-Апр-24, 10:29 
> Python странная технология.
> Сопровождение питон-кода крайне дорогое. Типов нет. Медленный. Многопоточки нет. Аот-компиляции
> нет.
> Разве что только порог вхождения.

А что вы хотите на нём писать, что он у вас медленный? В остальных задачах скорость на последнем месте, не все могут сразу встать с кровати и получить миллионы пользовательских запросов. А постепенно задача со скоростью также решается узлами и балансерами.

Пайтон божественнен в своей структуре и логичен. Наверное единственный полноценный язык который полностью отвечает парадигме ООП.

Типы в динамике не нужны, это ограничение. Типы нужны лишь только для неродивых пограммистов. Самой машине, компу, типы не нужны. Совершенствуйся сам в типах, для этого есть в Пайтоне хинты типов и с этим уже всё в порядке

Ответить | Правка | Наверх | Cообщить модератору

110. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (35), 05-Апр-24, 10:36 
> Типы в динамике не нужны, это ограничение. Типы нужны лишь только для
> неродивых пограммистов.


$ python3
>>> '2' + 3.14

Traceback (most recent call last):
  File "<stdin>", line 1, in <module>
TypeError: can only concatenate str (not "float") to str

типы не нужны но нужны.

Ответить | Правка | Наверх | Cообщить модератору

115. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от microcoder (ok), 05-Апр-24, 12:23 
>> Типы в динамике не нужны, это ограничение. Типы нужны лишь только для
>> неродивых пограммистов.
>
 
> $ python3
>>>> '2' + 3.14
> Traceback (most recent call last):
>   File "<stdin>", line 1, in <module>
> TypeError: can only concatenate str (not "float") to str
>

> типы не нужны но нужны.

А так? :)))

> print("Geeks" * 4)

:)))))))))))))))))))))))))

В Пайтоне есть такая штука как operator overload. Делай что хочешь. Напиши свой метакласс, переопредели метод __add__() и будет тебе без Exception'а. Просто по умолчанию решили так сделать, а с умножением как видишь, умолчание другое, никаких ошибок.

Ответить | Правка | Наверх | Cообщить модератору

122. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (76), 05-Апр-24, 13:18 
тогда уж так:
print("2" * 4)
будет совсем не 8....
Ответить | Правка | Наверх | Cообщить модератору

123. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от microcoder (ok), 05-Апр-24, 13:31 
> тогда уж так:
> print("2" * 4)
> будет совсем не 8....

Да, Python обладает строгой динамической (не статической) типизацией. Это работает, потому что переменная не имеет типа:

https://stackoverflow.com/questions/11328920/is-python-stron...

Ответить | Правка | Наверх | Cообщить модератору

124. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (35), 05-Апр-24, 16:42 
> Да, Python обладает строгой динамической (не статической) типизацией.

но ведь...

> Типы в динамике не нужны, это ограничение. Типы нужны лишь только для
> неродивых пограммистов.

м?

Ответить | Правка | Наверх | Cообщить модератору

126. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от АнонПапка (?), 05-Апр-24, 17:15 
>> Да, Python обладает строгой динамической (не статической) типизацией.
> но ведь...
>> Типы в динамике не нужны, это ограничение. Типы нужны лишь только для
>> неродивых пограммистов.
> м?

Ну статические имел ввиду типы это ограничение

Ответить | Правка | Наверх | Cообщить модератору

129. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (35), 05-Апр-24, 19:08 
>>> Да, Python обладает строгой динамической (не статической) типизацией.
>> но ведь...
>>> Типы в динамике не нужны, это ограничение. Типы нужны лишь только для
>>> неродивых пограммистов.
>> м?
> Ну статические имел ввиду типы это ограничение

и это ограничение. Правильно сделано в Perl. Если я хочу конкатенацию строк, я пишу 1 . '2', если хочу сложение чисел - 1 + '2'. Хочу сравнение строк - 1 eq '2', хочу сравнение чисел - 1 == '2'. Мне не надо думать над типами, и почему я одну overload'нутую операцию применяя к переменным x и y получаю TypeError. Зачем мне этот полумер с строгой динамической типизацией? От ошибок рантайма не спасает, лишь добавляет лишней мороки.

Ответить | Правка | Наверх | Cообщить модератору

131. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  –1 +/
Сообщение от microcoder (ok), 05-Апр-24, 19:50 
> и это ограничение. Правильно сделано в Perl. Если я хочу конкатенацию строк,
> я пишу 1 . '2', если хочу сложение чисел - 1
> + '2'. Хочу сравнение строк - 1 eq '2', хочу сравнение
> чисел - 1 == '2'. Мне не надо думать над типами,
> От ошибок рантайма не спасает, лишь добавляет лишней мороки.

А кто мешает в Python реализовать метакласс в котором переопределить операторы? Будет почти тоже самое:

1 + '2' = 3
1 + 'строка' = '1строка'
'1' + '2' = '12'
1 == '1' is true

Как хочешь...
https://docs.python.org/3/library/operator.html#mapping-oper...

Ответить | Правка | Наверх | Cообщить модератору

132. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (35), 05-Апр-24, 20:12 
> А кто мешает в Python реализовать метакласс в котором переопределить операторы? Будет
> почти тоже самое:

но зачем? :-D

Ответить | Правка | Наверх | Cообщить модератору

133. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от microcoder (ok), 05-Апр-24, 21:40 
>> А кто мешает в Python реализовать метакласс в котором переопределить операторы? Будет
>> почти тоже самое:
> но зачем? :-D

Дело ваше конечно. Просто возможность. Хотите используете - хотите нет. Почти ничего не прибито гвоздями

Ответить | Правка | Наверх | Cообщить модератору

135. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +1 +/
Сообщение от Аноним (35), 06-Апр-24, 05:25 
>>> А кто мешает в Python реализовать метакласс в котором переопределить операторы? Будет
>>> почти тоже самое:
>> но зачем? :-D
> Дело ваше конечно. Просто возможность.

возможность overloadнуть методы? ни-мо-жит-быть! только на опеннете тебе пито-няши расскажут что исключения - замена юниттестам, а перегрузка методов замена слабой типизации. Так и живём, кампутер сцаенс.

Ответить | Правка | Наверх | Cообщить модератору

141. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Илья (??), 08-Апр-24, 13:18 
> А кто мешает в Python реализовать метакласс в котором переопределить операторы? Будет почти тоже самое...

А можно не надо? Моя мысль в том, что питон требует массы усилий, чтобы с ним нормально работать. А конкурентных приемуществ 0, кроме как миллионы джунов-питонистов, которые не понимают как компьютер работает, но лезут изо всех щелей

Ответить | Правка | К родителю #131 | Наверх | Cообщить модератору

140. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Илья (??), 08-Апр-24, 13:06 
> и это ограничение. Правильно сделано в Perl. Если я хочу конкатенацию строк, я пишу 1 . '2', если хочу сложение чисел - 1 + '2'. Хочу сравнение строк - 1 eq '2', хочу сравнение чисел - 1 == '2'.

Извиняюсь, поправлю.

Ты вряд-ли пишешь "1.'2'"
Скорее всего ты пишешь $amount . $otherAmount

То есть, явного нетипобезопасного приведения в реальном коде встретить практически нельзя. А стреляет как раз неявное

Ответить | Правка | К родителю #129 | Наверх | Cообщить модератору

125. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Илья (??), 05-Апр-24, 17:07 
> А что вы хотите на нём писать, что он у вас медленный?

Обработка цен в реальном времени.

> В остальных задачах скорость на последнем месте, не все могут сразу
> встать с кровати и получить миллионы пользовательских запросов. А постепенно задача
> со скоростью также решается узлами и балансерами.

Давайте представим геймдев на питоне? Или блокчейн?

> Пайтон божественнен в своей структуре и логичен. Наверное единственный полноценный язык
> который полностью отвечает парадигме ООП.

C#, Java

> Типы в динамике не нужны, это ограничение. Типы нужны лишь только для
> неродивых пограммистов.

Вот говорят так а потом падают в рантайме и пишут тесты на то, чтобы типы совпадали.

А ещё эту информацию необходимо донести ребятам, которые каждый год изобретают новые аннотации типов в питон.

> Самой машине, компу, типы не нужны.

Типы нужны машине для того, чтобы оптимизировать код, в первую очередь инлайнить его. Но для вас, вероятно, эти слова ни о чём ни говорят. У вас скорость выполнения не важна

Ответить | Правка | К родителю #108 | Наверх | Cообщить модератору

127. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от microcoder (ok), 05-Апр-24, 17:39 
> C#, Java

На счёт C# не знаю, а вот Java не полностью объектно-ориентированная. Операторы являются объектами? Все ли операторы? А как на счёт встроенных (примитивных) типов которые не объекты?

https://stackoverflow.com/questions/974583/is-java-100-objec...

Ответить | Правка | Наверх | Cообщить модератору

139. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Илья (??), 08-Апр-24, 13:00 
> Операторы являются объектами? Все ли операторы?

А должны?

> А как на счёт встроенных (примитивных) типов которые не объекты?

А должны?

Ты же понимаешь, надеюсь, что объекты требуют выделения памяти?

Ответить | Правка | Наверх | Cообщить модератору

142. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от microcoder (ok), 14-Апр-24, 08:56 
> Ты же понимаешь, надеюсь, что объекты требуют выделения памяти?

1 Гб ОЗУ стоит меньше, чем я потратил время на то, чтобы тебе ответить

Ответить | Правка | Наверх | Cообщить модератору

143. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Илья (??), 14-Апр-24, 10:07 
окей

- добавь мне 1 гигабайт памяти в макбук, телефон или 75% продаваемых ноутбуков, где память распаяна
- добавь 1 гигабайт памяти в контейнер Amazon ECS (спойлер, цена вырастет примерно в два раза)
- удвой оперативную память в aws-лямбдах (спойлер, цена вырастет в 4 раза)


Я не устану повторять, что оперативная память крайне дорогой ресурс во всех случаях кроме домашних стационарных пк.

Поэтому в облачных вычислениях пэйфон даже не рассматривают, и используют AOT-компилированный дотнет, раст или гоу.

В мобильных приложениях и веб-фронте пэйфоном даже не пахнет. Кому нужно приложение, которое будет со сплеш-скрином висеть по несколько секунд и жрать как не в себя?

Откуда вы берётесь, розовые пони?

Ответить | Правка | Наверх | Cообщить модератору

128. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от microcoder (ok), 05-Апр-24, 17:47 
>> Типы в динамике не нужны, это ограничение. Типы нужны лишь только для
>> неродивых пограммистов.
> Вот говорят так а потом падают в рантайме и пишут тесты на
> то, чтобы типы совпадали.

Ну пусть пишут, если exception'ы не захотели писать

Ответить | Правка | К родителю #125 | Наверх | Cообщить модератору

130. "Атакующие получили доступ к 174 учётным записям в каталоге P..."  +/
Сообщение от Аноним (35), 05-Апр-24, 19:11 
>>> Типы в динамике не нужны, это ограничение. Типы нужны лишь только для
>>> неродивых пограммистов.
>> Вот говорят так а потом падают в рантайме и пишут тесты на
>> то, чтобы типы совпадали.
> Ну пусть пишут, если exception'ы не захотели писать

окей, эксепшены замена юнит-тестам, записал. опеннет познавательный.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру