Package 钓鱼

前几天，我在 PyPI 上投放了 20+ 个 evil package，用于统计随意安装 package 同学的信息。

sobigfish

2017-06-01 22:49:46 +08:00

除非每个新 package 新上 pypi 时大家 review vote （或者专人审核）

Kilerd

2017-06-01 22:52:11 +08:00

原来都是你们这些人把好名字都注册了。

浪费。（这里就不骂人了，简直污染社区

nujabse

2017-06-01 23:50:53 +08:00

想起了 Arch Linux AUR 仓库的 vote 和 comment 机制

0915240

2017-06-01 23:53:53 +08:00

前几页看到了 baidu \ stanford \ jd 的 ?

66CCFF

2017-06-02 00:17:42 +08:00

不如提供一下完整的数据包？大家爬起来也很费事啊。

RqPS6rhmP3Nyn3Tm

2017-06-02 00:35:40 +08:00

@Kilerd 删除会释放名字

Kirscheis

2017-06-02 01:57:26 +08:00

好奇有没有人测试过 homebrew cask

anoymoux

2017-06-02 02:21:16 +08:00

@66CCFF
apt-get install jq
for i in `seq 0 20 10685`; do curl -s 'http://evilpackage.fatezero.org/json?order=asc&offset='$i |jq -r '.rows|map([.ip,.username,.hostname,.language,.package]|join(","))|join("\r\n")'; done

zhangneww

2017-06-02 07:13:02 +08:00

希望可以引起官方和用户的重视

laike9m

2017-06-02 08:24:33 +08:00

之前写了两个库，结果最开始想的名字全都被占了，不过好歹别人先来的也就不说啥了，不过楼主这种做法确定不是恶意扰乱社区？

xiaket

2017-06-02 08:39:31 +08:00

之前就觉得 PyPI 这种放任上传的方式有点太懒散了，可能会出事. 个人觉得这个锅作者背一半, PyPI 也应该背一半.

imlonghao673

2017-06-02 09:27:52 +08:00

那大概就是网络实名制和专人审核制的原因？

光荣榜列出 pypi 的用户名和 ip ？你是会玩的

7654

2017-06-02 09:48:09 +08:00

让我想起最近知乎上看到的，还有这种操作的帖子
只想说楼主会玩
pypi 已经发生过这样的事了，为什么不补救

Jacky001

2017-06-02 10:01:17 +08:00

@ic3z 防不慎防，尤其是这种陶瓷名字的，很多人真的会不注意

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.