Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

PyPI пересмотрит политику в отношении персональных данных и прекратит поддержку PGP-подписей, opennews (??), 24-Май-23, (0) [смотреть все] показательно нужности PGP, Аноним (2), 23:36 , 24-Май-23, (2) –2 // Ставлю сотку против металлической копейки, что эти 0 3 - разрабы старой школы р, Dzen Python (ok), 23:41 , 24-Май-23, (5) +9 Но лучше варианта ты же все равно не предложишь , Аноним (8), 00:27 , 25-Май-23, (8) +7 // Скрыто модератором, Аноним (-), 20:09 , 25-Май-23, (37) +1 Чтобы OpenPGP заработал, как надо, необходимо соблюдать несколько условий 1 Защ, Аноним (21), 08:34 , 25-Май-23, (21) +5 // Создавать ключи без строка действия, или ставить 1000 лет Размер ключа делать ма, Аноним (21), 08:49 , 25-Май-23, (22) +1 Не, ну ты скажешь тоже , YetAnotherOnanym (ok), 09:13 , 25-Май-23, (24) +8 Цифровизация в РФ под угрозой или все пункты соблюдены ИФНС во всю выдают сертиф, Аноним (30), 14:21 , 25-Май-23, (30) // Лично мне в Законе не нравится пункт о уничтожении публичных ключей Моё мнение , Аноним (34), 15:33 , 25-Май-23, (34) +1 Всё идет строго по пунктам их их плана 1 https www opennet ru openforum vsluh, Аноним (50), 15:44 , 27-Май-23, (50) Пока нет достоверной верификации независиммым третьим лицом , - PGP подписи, OpenEcho (?), 15:12 , 25-Май-23, (31) // Есть п 2 Верификация, достоверность зависит от лица проверяющего паспорт и E-ma, Аноним (34), 15:46 , 25-Май-23, (35) Где эти 5 человек И кто они, и почему я им должен верить что это не один и то, OpenEcho (?), 00:26 , 26-Май-23, (38) Желательно обмен проводитьсреди грамотных людей, личности которых ты хорошо знае, Аноним (41), 07:14 , 26-Май-23, (41) Точно, у меня завтра с хорошим кентом, Линусом Торвальдосом встреча, а после зав, OpenEcho (?), 14:32 , 26-Май-23, (43) Подписывай ключи тех кого хорошо знаешь одноклассников, однокурсников, сотрудни, Аноним (49), 13:38 , 27-Май-23, (49) 2 Как только человек начинает говорить про WoT в контексте подписи артефактов, , нона (?), 01:09 , 29-Май-23, (51) +1 // Не использование подписанных ключей при подписи программ, ISO, есть баг Это, Аноним (53), 09:57 , 10-Июн-23, (53) Хм Об этих 5 пользователях по 3м запросам, значит, не смогли бы правдоподобно н, Dzen Python (ok), 23:38 , 24-Май-23, (3) –1 но номер телефона то возьмут причём с проверкой , Аноним (4), 23:40 , 24-Май-23, (4) +3 Зачем тогда принимать такие пакеты, непонятно , Аноним357 (?), 23:57 , 24-Май-23, (7) // Хуже, я как-то столкнулся с разработчиком, который старательно подписывал свои п, timur.davletshin (ok), 08:09 , 25-Май-23, (20) +1 // наверное можно было хотя-бы отпечаток ключа предоставить , Аноним357 (?), 01:42 , 26-Май-23, (40) Логическая ошибка, Аноним (10), 01:52 , 25-Май-23, (10) +2 // Где 29 ключей хрен пойми откуда взялись и проверить их принципиально невозможн, Аноним (15), 03:22 , 25-Май-23, (15) +2 // Не хрен пойми откуда, а 1 от разработчика, чей другой пакет уже использовали , Аноним (16), 05:17 , 25-Май-23, (16) +4 // экспертиза опеннета Дальше в общем можно не читать То есть местные д-лы даже н, пох. (?), 09:44 , 25-Май-23, (25) –1 Любая собака может опубликовать ключ на крупных публичных серверах ключей , но , Аноним (17), 07:28 , 25-Май-23, (17) +2 // по крайней мере можно будет быть уверенным что новая версия того же самого пакет, пох. (?), 09:48 , 25-Май-23, (26) Разработчики не умеют использовать и проверять подписанные ключи Что сделаем А, fuggy (ok), 01:58 , 25-Май-23, (11) +2   // да-да, придёт тов майор и сразу по ушам, Аноним (12), 02:08 , 25-Май-23, (12)   Абсолютно верно Сталкивался не раз с тем, что банально приватные ключи выкладыв, timur.davletshin (ok), 08:00 , 25-Май-23, (18)   Для того чтоб проверить, надо сперва верить, что публичный ключ и правда принадл, OpenEcho (?), 15:22 , 25-Май-23, (32)   // во всех - это перфекционизм но в некоторых есть https tails boum org instal, ivan_erohin (?), 17:58 , 25-Май-23, (36)   // И где гарантия, что эти сайты не взломаны, показывающие эти подписи Т е просто , OpenEcho (?), 00:33 , 26-Май-23, (39)   ГАРАНТИЮ дает только страховой полис и то за страховое возмещение придется судит, ivan_erohin (?), 10:49 , 26-Май-23, (42)   А зачем тогда вообще вся эта лапша с ПГП По разному, если платить за EV верифика, OpenEcho (?), 14:41 , 26-Май-23, (44)   Централизую децентрализованное Недорого Гарантия , Алексей (??), 02:31 , 25-Май-23, (13) +6 // С публичными серверами некоторое время произошёл факап из-за атаки при помощи чр, timur.davletshin (ok), 08:07 , 25-Май-23, (19) Лучше бы они хоть какой-то модерацией пакетов занимались чем этим , Аноним (27), 10:13 , 25-Май-23, (27) Разработчкик выкладывет свой код в любой публичный репозиторий кода с отказом об, Абц (?), 12:40 , 25-Май-23, (28) –1 То есть, из разработчиков PyPI ушли люди, действительно умевшие в PGP и пришли л, Аноним (-), 13:09 , 25-Май-23, (29) // Таких нет, - в принципе, т к за столько десятилетий так и не появились верифици, OpenEcho (?), 15:29 , 25-Май-23, (33) –2 Задача подписи в том, чтобы определить, что у пакета не поменялся автор Критери, Аноним (46), 19:40 , 26-Май-23, (46) 2,3,4,7,10,11,13,27,28,29,46

Сообщения

[Сортировка по времени | RSS]

11. "PyPI пересмотрит политику в отношении персональных данных и ..."	+2 +/–
Сообщение от fuggy (ok), 25-Май-23, 01:58
Разработчики не умеют использовать и проверять подписанные ключи. Что сделаем? А давайте совсем выпилим отображение ключей подписей. Надеюсь у кого-нибудь отвалится сборка и PyPI надают по ушам. Вон гитхаб хеш у архивов поменял, так такой вой поднялся на весь интернет, а тут.
Ответить | Правка | Наверх | Cообщить модератору

	12. "PyPI пересмотрит политику в отношении персональных данных и ..."	+/–
	Сообщение от Аноним (12), 25-Май-23, 02:08
	да-да, придёт тов.майор и сразу по ушам
	Ответить | Правка | Наверх | Cообщить модератору

	18. "PyPI пересмотрит политику в отношении персональных данных и ..."	+/–
	Сообщение от timur.davletshin (ok), 25-Май-23, 08:00
	> Разработчики не умеют использовать и проверять подписанные ключи. Абсолютно верно. Сталкивался не раз с тем, что банально приватные ключи выкладывали в открытый доступ или просто высылали их. Увы, но информ. безопасность идёт с некоторым обременением и этот порог вхождения не могут преодолеть зачастую даже представители целевой аудитории.
	Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

	32. "PyPI пересмотрит политику в отношении персональных данных и ..."	+/–
	Сообщение от OpenEcho (?), 25-Май-23, 15:22
	> Разработчики не умеют использовать и проверять подписанные ключи. Для того чтоб проверить, надо сперва верить, что публичный ключ и правда принадлежит тому, кого он идентифицирует. Пока каждый может безплатно и без проверки пушнуть в кейсторадж свои ключи переписав любого, - это фуфло. Так же как и коммунистическая вера в группы добровольных общин подписывающих(?) других людей. Где они, верящие в святой ПГП? Где они, кросс-подписи во всех популярных проектах? А, да, - вы просто верьте то что на нашем сайте (взломанном? да вы что?! не бывает такого!) можете сверить с нашим ключом. Если бы это фуфло работало, то каждый бы мог сам себе выписывать паспорт, водительские права и т.д и т.п.
	Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

	36. "PyPI пересмотрит политику в отношении персональных данных и ..."	+/–
	Сообщение от ivan_erohin (?), 25-Май-23, 17:58
	> Где они, кросс-подписи во всех популярных проектах? "во всех" - это перфекционизм. но в некоторых есть: https://tails.boum.org/install/expert/index.en.html https://kernel.org/category/signatures.html
	Ответить | Правка | Наверх | Cообщить модератору

	39. "PyPI пересмотрит политику в отношении персональных данных и ..."	+/–
	Сообщение от OpenEcho (?), 26-Май-23, 00:33
	>> Где они, кросс-подписи во всех популярных проектах? > "во всех" - это перфекционизм. но в некоторых есть: > https://tails.boum.org/install/expert/index.en.html > https://kernel.org/category/signatures.html И где гарантия, что эти сайты не взломаны, показывающие эти подписи? Т.е. просто верьте на слово, - "мы крутая пацанва, нас все знают и нас никто и никогда не ломал..."
	Ответить | Правка | Наверх | Cообщить модератору

	42. "PyPI пересмотрит политику в отношении персональных данных и ..."	+/–
	Сообщение от ivan_erohin (?), 26-Май-23, 10:49
	> И где гарантия, что эти сайты не взломаны ГАРАНТИЮ дает только страховой полис. и то за страховое возмещение придется судиться (по опыту с ОСАГО), страховщики очень жадные и жлобные. // интересно, сколько будет стоить застраховать сайт (ключ) от взлома на год ? > Т.е. просто верьте на слово, - "мы крутая пацанва, нас все знают в конечном счете да. > и нас никто и никогда не ломал..." если бы ломали, то поднялся бы такой хай в интернетах, что заметили бы даже самые придонные ламеры и нубы.
	Ответить | Правка | Наверх | Cообщить модератору

	44. "PyPI пересмотрит политику в отношении персональных данных и ..."	+/–
	Сообщение от OpenEcho (?), 26-Май-23, 14:41
	> ГАРАНТИЮ дает только страховой полис. > и то за страховое возмещение придется судиться (по опыту с ОСАГО), > страховщики очень жадные и жлобные. А зачем тогда вообще вся эта лапша с ПГП? > // интересно, сколько будет стоить застраховать сайт (ключ) от взлома на год > ? По разному, если платить за EV верификацию, то можно под пол лимона зелени застраховаться, но только не с ПГП, а с SSL >> Т.е. просто верьте на слово, - "мы крутая пацанва, нас все знают > в конечном счете да. А нах тогда вообще этот самобман с ПГП, где самое главное - **доверие** подписи, - не проверяемое ? >> и нас никто и никогда не ломал..." > если бы ломали, то поднялся бы такой хай в интернетах, > что заметили бы даже самые придонные ламеры и нубы. Так переодически именно это и случается :)))) Потому как строить охеренно крутые , беттонно-чугунные ворота с неломаемым в принципе замком, но... без забора, в открытом поле - нет никакого смысла
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема