4 de Febrero, 2013

»Firmar paquetes · Ruby y su comunidad están pasando un mal trago, con un par de problemas de seguridad, incluyendo una intrusión en rubygems.org (que es como el equivalente a PyPI en Python). Esto ha llevado a muchos a darse cuenta (de nuevo) que usamos pip para instalar paquetes obtenidos desde la web de una forma un tanto insegura: sin usar SSL, sin verificar su integridad, ni firmar paquetes, ni nada parecido. Hay un hilo bastante interesante en GitHub al respecto, con propuestas para solucionar este tema, empezando por firmar/verificar paquetes.

Anotación por Juan J. Martínez, clasificada en: python, security.

Hay 2 comentarios

Gravatar

Pues no te quiero ni contar, me acaba de llegar un correo de PyPI de la siguiente guisa:

_You may be aware that the wiki.python.org host was compromised. Since we must
assume that all passwords stored in that system are also compromised, and we
also assume that some users share passwords between python.org systems, I will
be performing a password reset of all PyPI accounts in one week’s time, at
2013-02-22 00:00 UTC._

A ver hacia dónde se mueve la comunidad ahora

por r0sk, en 2013-02-15 07:48:19

Gravatar

Sí, a mi también me ha llegado. Yo no tengo cuenta en el wiki, así que a mi no me afecta -aunque me toca cambiar la contraseña igual- (además cree la cuenta con launchpad y openid, así que :D).

Está bien, todo lo que sea mejorar la seguridad es buena noticia (aunque resulte incómodo o inconveniente).

El parche en pip para soportar SSL y validación de certificados está casi listo, así que las cosas van a estar mucho mejor que hace dos semanas :)

por Juanjo, en 2013-02-15 08:09:04

Los comentarios están cerrados: los comentarios se cierran automáticamente una vez pasados 30 días. Si quieres comentar algo acerca de la anotación, puedes hacerlo por e-mail.

Algunas anotaciones relacionadas: