»Firmar paquetes · Ruby
y su comunidad están pasando un mal trago, con un par de problemas de seguridad, incluyendo una intrusión en rubygems.org (que es como el equivalente a PyPI en Python
). Esto ha llevado a muchos a darse cuenta (de nuevo) que usamos pip para instalar paquetes obtenidos desde la web de una forma un tanto insegura: sin usar SSL
, sin verificar su integridad, ni firmar paquetes, ni nada parecido. Hay un hilo bastante interesante en GitHub al respecto, con propuestas para solucionar este tema, empezando por firmar/verificar paquetes.
Hay 2 comentarios
Sí, a mi también me ha llegado. Yo no tengo cuenta en el wiki, así que a mi no me afecta -aunque me toca cambiar la contraseña igual- (además cree la cuenta con launchpad y openid, así que :D).
Está bien, todo lo que sea mejorar la seguridad es buena noticia (aunque resulte incómodo o inconveniente).
El parche en pip para soportar SSL y validación de certificados está casi listo, así que las cosas van a estar mucho mejor que hace dos semanas :)
Los comentarios están cerrados: los comentarios se cierran automáticamente una vez pasados 30 días. Si quieres comentar algo acerca de la anotación, puedes hacerlo por e-mail.
por r0sk, en 2013-02-15 07:48:19 ∞