Package 钓鱼

2017-06-01 21:53:48 +08:00
 fate0

前几天,我在 PyPI 上投放了 20+ 个 evil package,用于统计随意安装 package 同学的信息。

详细的记录在 http://blog.fatezero.org/2017/06/01/package-fishing/

4997 次点击
所在节点    Python
36 条回复
ic3z
2017-06-01 22:30:19 +08:00
如何防范?
sobigfish
2017-06-01 22:49:46 +08:00
除非每个新 package 新上 pypi 时大家 review vote (或者专人审核)
Kilerd
2017-06-01 22:52:11 +08:00
原来都是你们这些人把好名字都注册了。

浪费。 (这里就不骂人了,简直污染社区
nujabse
2017-06-01 23:50:53 +08:00
想起了 Arch Linux AUR 仓库的 vote 和 comment 机制
voocel
2017-06-01 23:50:57 +08:00
会玩
0915240
2017-06-01 23:53:53 +08:00
前几页看到了 baidu \ stanford \ jd 的 ?
66CCFF
2017-06-02 00:17:42 +08:00
不如提供一下完整的数据包?大家爬起来也很费事啊。
Shura
2017-06-02 00:24:18 +08:00
npm 应该也有类似的问题吧?
RqPS6rhmP3Nyn3Tm
2017-06-02 00:35:40 +08:00
@Kilerd 删除会释放名字
Kirscheis
2017-06-02 01:57:26 +08:00
好奇有没有人测试过 homebrew cask
anoymoux
2017-06-02 02:21:16 +08:00
@66CCFF
apt-get install jq
for i in `seq 0 20 10685`; do curl -s 'http://evilpackage.fatezero.org/json?order=asc&offset='$i |jq -r '.rows|map([.ip,.username,.hostname,.language,.package]|join(","))|join("\r\n")'; done
Trim21
2017-06-02 03:26:46 +08:00
暴露 ip 有点过了。。
zhangneww
2017-06-02 07:13:02 +08:00
希望可以引起官方和用户的重视
laike9m
2017-06-02 08:24:33 +08:00
之前写了两个库,结果最开始想的名字全都被占了,不过好歹别人先来的也就不说啥了,不过楼主这种做法确定不是恶意扰乱社区?
wormcy
2017-06-02 08:36:52 +08:00
有意思
xiaket
2017-06-02 08:39:31 +08:00
之前就觉得 PyPI 这种放任上传的方式有点太懒散了,可能会出事. 个人觉得这个锅作者背一半, PyPI 也应该背一半.
imlonghao673
2017-06-02 09:27:52 +08:00
那大概就是网络实名制和专人审核制的原因?

光荣榜列出 pypi 的用户名和 ip ?你是会玩的
prasanta
2017-06-02 09:36:59 +08:00
这些 ip 可以利用起来
7654
2017-06-02 09:48:09 +08:00
让我想起最近知乎上看到的,还有这种操作的帖子
只想说楼主会玩
pypi 已经发生过这样的事了,为什么不补救
Jacky001
2017-06-02 10:01:17 +08:00
@ic3z 防不慎防,尤其是这种陶瓷名字的,很多人真的会不注意

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/365318

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX