V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
推荐学习书目
Learn Python the Hard Way
Python Sites
PyPI - Python Package Index
http://diveintopython.org/toc/index.html
Pocoo
值得关注的项目
PyPy
Celery
Jinja2
Read the Docs
gevent
pyenv
virtualenv
Stackless Python
Beautiful Soup
结巴中文分词
Green Unicorn
Sentry
Shovel
Pyflakes
pytest
Python 编程
pep8 Checker
Styles
PEP 8
Google Python Style Guide
Code Style from The Hitchhiker's Guide
VicYu
V2EX  ›  Python

豆瓣 pypi 源被污染

  •  4
     
  •   VicYu ·
    Vic020 · 2016-12-25 22:45:46 +08:00 · 8288 次点击
    这是一个创建于 2921 天前的主题,其中的信息可能已经有所发展或是发生改变。
    今天突然脑出血,试试豆瓣源,发现有 https 了,挺好

    但是,进去一下,吓死宝宝了!!

    豆瓣 pypi 源被污染

    图片: https://ooo.0o0.ooo/2016/12/25/585fdb3710f62.png

    前面全是卖数据的,围观一下

    https://pypi.doubanio.com/simple/
    32 条回复    2016-12-26 15:45:34 +08:00
    RyuZheng
        1
    RyuZheng  
       2016-12-25 22:48:26 +08:00 via Android
    真的有问题吗?我一直用的豆瓣的源,不会有问题吧!
    VicYu
        2
    VicYu  
    OP
       2016-12-25 22:52:40 +08:00
    @RyuZheng https://pypi.python.org/simple/ 对比官方源,前面的几个电话号码开头的太明显了
    RyuZheng
        3
    RyuZheng  
       2016-12-25 22:56:22 +08:00
    @VicYu 那我使用的其他包,会有被加入恶意代码的可能吗
    virusdefender
        4
    virusdefender  
       2016-12-25 22:58:51 +08:00
    tuna 的也这样了,上游的问题?但是官方源没问题
    phrack
        5
    phrack  
       2016-12-25 23:00:24 +08:00
    这是要搞大新闻了?

    我用过一段时间的豆瓣源呢,后来换的清华的。
    phrack
        6
    phrack  
       2016-12-25 23:01:16 +08:00
    @RyuZheng 如果确认是被污染的话很有可能哦~
    everpcpc
        7
    everpcpc  
       2016-12-25 23:03:15 +08:00
    https://pypi.tuna.tsinghua.edu.cn/simple/
    http://pypi.pubyun.com/simple/
    都是这样,感觉官方的上游被污染过
    everpcpc
        8
    everpcpc  
       2016-12-25 23:04:25 +08:00
    VicYu
        9
    VicYu  
    OP
       2016-12-25 23:05:03 +08:00
    @everpcpc 感觉像是 cn mirror 上游被污染了
    changwei
        10
    changwei  
       2016-12-25 23:07:21 +08:00 via Android
    我也看到了,和截图一毛一样,他们是怎么污染的呢?
    everpcpc
        11
    everpcpc  
       2016-12-25 23:08:08 +08:00
    @VicYu https://pypi.python.org/simple/0-.-.-.-.-.-.-.-.-.-.-.-.-0/ 官方上游还留有被污染过的痕迹
    VicYu
        12
    VicYu  
    OP
       2016-12-25 23:10:17 +08:00
    @everpcpc 这个包老早就有了
    everpcpc
        13
    everpcpc  
       2016-12-25 23:12:17 +08:00
    @VicYu ==
    aihimmel
        14
    aihimmel  
       2016-12-25 23:12:54 +08:00 via Android
    aihimmel
        15
    aihimmel  
       2016-12-25 23:13:12 +08:00 via Android
    去 tuna 报了
    tatsuteng
        16
    tatsuteng  
       2016-12-25 23:21:17 +08:00
    https://www.pypi-mirrors.org/ 看了一圈发现全球都这样。。
    aihimmel
        17
    aihimmel  
       2016-12-25 23:28:30 +08:00 via Android
    @tatsuteng 官方已经没有了,估计要等到下一次同步才会清除了
    aihimmel
        18
    aihimmel  
       2016-12-25 23:30:07 +08:00 via Android
    用三方库还得要小心啊, mirrors 只负责同步准确不负责内容安全
    mingyun
        19
    mingyun  
       2016-12-25 23:51:29 +08:00
    这。。。
    zsj950618
        20
    zsj950618  
       2016-12-26 03:40:53 +08:00 via Android
    动不动就想搞什么大新闻,现在的年轻人就是图样图森破,不如多读点书。
    RqPS6rhmP3Nyn3Tm
        21
    RqPS6rhmP3Nyn3Tm  
       2016-12-26 03:56:14 +08:00 via iPhone
    全球都被污染了,应该是官方源的问题
    用了这么久 PyPi 我竟然还不清楚验证完整性的方式…如果是 Linux 源 GPG 信任链很严密那么丝毫不用担心。
    谁能给我解答一下呢?关于 PyPi 和 homebrew 的验证方式
    janxin
        22
    janxin  
       2016-12-26 05:30:14 +08:00 via iPhone
    @BXIA homebrew 是 sha256 hash ,不过最开始的 rb 文件不对就没办法。 pypi 没仔细看过,好像也是类似 hash ,但使用第三方源都是没保证的
    binux
        23
    binux  
       2016-12-26 06:11:00 +08:00
    @BXIA 这和完整性没什么关系啊, pypi 不审核包,你随时可以新建一个这样的包啊

    而且这个明显是上游的问题, https://twitter.com/search?f=tweets&q=1-844-291-6706&src=typd pypi twitter bot 都有这些包的历史,只是上游删除了,下游同步没有跟着删除罢了
    codeDreamfy
        24
    codeDreamfy  
       2016-12-26 09:03:16 +08:00
    厉害了我的哥
    whwq2012
        25
    whwq2012  
       2016-12-26 09:11:38 +08:00 via Android
    这尼玛真是超级大的新闻啊,坐等新闻报道
    monburan
        26
    monburan  
       2016-12-26 09:19:13 +08:00
    坐等后续。。。
    dudukee
        27
    dudukee  
       2016-12-26 09:30:03 +08:00
    已经清理掉了
    50vip
        28
    50vip  
       2016-12-26 09:31:54 +08:00
    围观~
    est
        29
    est  
       2016-12-26 09:46:11 +08:00
    pypi 官方被污染了吧。

    其实注册 pypi 很容易。
    everpcpc
        30
    everpcpc  
       2016-12-26 10:51:39 +08:00
    https://pypi.doubanio.com/simple/ 已经强制重新同步了。
    wlwood
        31
    wlwood  
       2016-12-26 12:59:57 +08:00
    我滴妈呀,一直使用豆瓣源,好像,昨天是有问题,我还以为是我网络出问题了
    tairan2006
        32
    tairan2006  
       2016-12-26 15:45:34 +08:00
    官方源出问题了吧=_=
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5386 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 08:37 · PVG 16:37 · LAX 00:37 · JFK 03:37
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.