豆瓣 pypi 源被污染

2016-12-25 22:45:46 +08:00
 VicYu
今天突然脑出血,试试豆瓣源,发现有 https 了,挺好

但是,进去一下,吓死宝宝了!!

豆瓣 pypi 源被污染

图片: https://ooo.0o0.ooo/2016/12/25/585fdb3710f62.png

前面全是卖数据的,围观一下

https://pypi.doubanio.com/simple/
8286 次点击
所在节点    Python
32 条回复
RqPS6rhmP3Nyn3Tm
2016-12-26 03:56:14 +08:00
全球都被污染了,应该是官方源的问题
用了这么久 PyPi 我竟然还不清楚验证完整性的方式…如果是 Linux 源 GPG 信任链很严密那么丝毫不用担心。
谁能给我解答一下呢?关于 PyPi 和 homebrew 的验证方式
janxin
2016-12-26 05:30:14 +08:00
@BXIA homebrew 是 sha256 hash ,不过最开始的 rb 文件不对就没办法。 pypi 没仔细看过,好像也是类似 hash ,但使用第三方源都是没保证的
binux
2016-12-26 06:11:00 +08:00
@BXIA 这和完整性没什么关系啊, pypi 不审核包,你随时可以新建一个这样的包啊

而且这个明显是上游的问题, https://twitter.com/search?f=tweets&q=1-844-291-6706&src=typd pypi twitter bot 都有这些包的历史,只是上游删除了,下游同步没有跟着删除罢了
codeDreamfy
2016-12-26 09:03:16 +08:00
厉害了我的哥
whwq2012
2016-12-26 09:11:38 +08:00
这尼玛真是超级大的新闻啊,坐等新闻报道
monburan
2016-12-26 09:19:13 +08:00
坐等后续。。。
dudukee
2016-12-26 09:30:03 +08:00
已经清理掉了
50vip
2016-12-26 09:31:54 +08:00
围观~
est
2016-12-26 09:46:11 +08:00
pypi 官方被污染了吧。

其实注册 pypi 很容易。
everpcpc
2016-12-26 10:51:39 +08:00
https://pypi.doubanio.com/simple/ 已经强制重新同步了。
wlwood
2016-12-26 12:59:57 +08:00
我滴妈呀,一直使用豆瓣源,好像,昨天是有问题,我还以为是我网络出问题了
tairan2006
2016-12-26 15:45:34 +08:00
官方源出问题了吧=_=

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/330092

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX