The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В PyPI введено подтверждение смены устройства, с которого осуществляется вход

15.11.2025 22:10

Разработчики репозитория Python-пакетов PyPI (Python Package Index) внедрили дополнительный этап проверки во время входа, требующий подтверждения операции по email в случае подключения с устройства или браузера, с которого раннее не производился вход. Подтверждение требуется в дополнение к имеющейся двухфакторной аутентификации, требующей ввод одноразового кода (TOTP - Time-based One-Time Password) помимо обычных учётных данных. При использовании в качестве второго фактора аутентификации ключей на базе технологий WebAuthn или Passkeys, дополнительное подтверждение по email не требуется.

В качестве причины добавления новой проверки называется усиление защиты от фишинга. С недавних пор для обхода защиты при помощи двухфакторной аутентификации атакующие перешли к применению прозрачного проксирования трафика с фишинговых сайтов на реальный сайт pypi.org, из-за чего у пользователя создаётся ощущение работы с реальным каталогом PyPI. Страница входа также проксируется и атакующие контролируют не только изначально введённый пароль входа, но и ответ на проверочный запрос второго фактора аутентификации.

Дополнительный запрос подтверждения полномочий с предупреждением о попытке входа с нового устройства предотвратит компрометацию в случае перехвата TOTP-кода и пароля, а также насторожит разработчиков, не менявших оборудование. В ходе проксирования атакующие могут перехватить параметры учётной записи и введённый одноразовый код TOTP, но не могут повлиять на подтверждение по еmail, требующее клика на указанной внутри письма ссылке.

Если пользователь получил проверочное письмо, но не пытался войти в каталог PyPI, то не следует переходить по ссылке. Если попытка входа была, но устройство не менялось, следует проверить не была ли попытка входа через фишинговый сайт и в случае выявления атаки срочно поменять пароль и проверить активность в учётной записи.

  1. Главная ссылка к новости (https://blog.pypi.org/posts/20...)
  2. OpenNews: Проект Python отказался от гранта в 1.5 млн долларов на повышение защищённости PyPI
  3. OpenNews: PyPI, Сrates.io, Packagist и Maven подняли вопрос сохранения устойчивости инфраструктуры
  4. OpenNews: В репозитории PyPI реализована блокировка email с освобождёнными доменами
  5. OpenNews: Перехвачены 4 учётные записи в PyPI и выпущены вредоносные релизы num2words
  6. OpenNews: Фишинг-атака на сопровождающих Python-пакеты в репозитории PyPI
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/64257-pypi
Ключевые слова: pypi
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (12) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 22:42, 15/11/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Подтверждаю, ввели!
     
     
  • 2.5, кек (?), 00:37, 16/11/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    СЛОВНО
     

  • 1.6, Аноним (6), 00:43, 16/11/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Этого мало, за то что их братия допустила взломы npm, pypi и прочих крэйтев, разрабов надо только по физическому паспорту пускать, с устройства, занесенного в список.
     
     
  • 2.18, Аноним (-), 16:22, 16/11/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    > Этого мало, за то что их братия допустила взломы npm, pypi и
    > прочих крэйтев, разрабов надо только по физическому паспорту пускать, с устройства,
    > занесенного в список.

    Да, еще в конкретной локации. С охраной на вышками, злыми овчарками, и колючей проволокой "для вашей же безопасности". Правда вот сколько в итоге майнтайнеров на такое подпишется и какое качество майнтенанса в итоге получится?

     
     
  • 3.20, пох. (?), 17:38, 17/11/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    дык вон жеж - добровольно и с песнями, ни один из-за этого нового ненужного и бесполезного геморроя не отказался работать.

    Охрана и вышки - дело наживное, будут, лагеря тоже не сразу строились.

    Все во имя шва60дки и безопастносте, конечно же.

     

  • 1.7, dir320 (?), 00:49, 16/11/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Не пользуюь. По старинке качаю файлы через wget, как с гитхабач так и с прочих помоек типа этой и npm.
     
  • 1.12, Кошкажена (?), 04:17, 16/11/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Скоро заставят лично с паспортом приходить. Свернули куда-то не туда.
     
     
  • 2.14, Аноним (14), 10:48, 16/11/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    > Скоро заставят лично с паспортом приходить. Свернули куда-то не туда.

    О, путешественник во времени, а расскажите, какими скоро будут курс доллара и евро?

     

  • 1.15, Аноним (-), 13:27, 16/11/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    > требующий подтверждения операции по email в случае подключения с устройства
    > или браузера, с которого раннее не производился

    Правильно, давайте сделаем эту питонодрашу максимально долбучей, чтоб майнтайнеры и девы насладидись всеми прелестями корпоративного булшита... даже не получая зарплату?! Эврика!! :D

    И тут вдруг через некоторое время - опа, майнтайнить крап в этом пипи совсем некому?! Он и так то с средним периодом полураспада пару лет. А сейчас вообще будет отличненько, ибо еще делания мозга подвалило на ровном месте.

     
     
  • 2.16, User (??), 15:38, 16/11/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Запомните этот твит (с) забыл!
     

  • 1.17, Аноним (17), 16:20, 16/11/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    >>с устройства или браузера, с которого раннее не производился вход.

    А можно поточнее, что именно определяется на устройстве и браузере?
    И как это помогает от проксирования?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2025 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру