forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

PyPI пересмотрит политику в отношении персональных данных и прекратит поддержку PGP-подписей, opennews (??), 24-Май-23, (0) [смотреть все]

показательно нужности PGP, Аноним (2), 23:36 , 24-Май-23, (2) –2 //

Ставлю сотку против металлической копейки, что эти 0 3 - разрабы старой школы р, Dzen Python (ok), 23:41 , 24-Май-23, (5) +9
Но лучше варианта ты же все равно не предложишь , Аноним (8), 00:27 , 25-Май-23, (8) +7 //

Скрыто модератором, Аноним (-), 20:09 , 25-Май-23, (37) +1

Чтобы OpenPGP заработал, как надо, необходимо соблюдать несколько условий 1 Защ, Аноним (21), 08:34 , 25-Май-23, (21) +5 //

Создавать ключи без строка действия, или ставить 1000 лет Размер ключа делать ма, Аноним (21), 08:49 , 25-Май-23, (22) +1
Не, ну ты скажешь тоже , YetAnotherOnanym (ok), 09:13 , 25-Май-23, (24) +8
Цифровизация в РФ под угрозой или все пункты соблюдены ИФНС во всю выдают сертиф, Аноним (30), 14:21 , 25-Май-23, (30) //

Лично мне в Законе не нравится пункт о уничтожении публичных ключей Моё мнение , Аноним (34), 15:33 , 25-Май-23, (34) +1
Всё идет строго по пунктам их их плана 1 https www opennet ru openforum vsluh, Аноним (50), 15:44 , 27-Май-23, (50)

Пока нет достоверной верификации независиммым третьим лицом , - PGP подписи, OpenEcho (?), 15:12 , 25-Май-23, (31) //

Есть п 2 Верификация, достоверность зависит от лица проверяющего паспорт и E-ma, Аноним (34), 15:46 , 25-Май-23, (35)

Где эти 5 человек И кто они, и почему я им должен верить что это не один и то, OpenEcho (?), 00:26 , 26-Май-23, (38)

Желательно обмен проводитьсреди грамотных людей, личности которых ты хорошо знае, Аноним (41), 07:14 , 26-Май-23, (41)

Точно, у меня завтра с хорошим кентом, Линусом Торвальдосом встреча, а после зав, OpenEcho (?), 14:32 , 26-Май-23, (43)

Подписывай ключи тех кого хорошо знаешь одноклассников, однокурсников, сотрудни, Аноним (49), 13:38 , 27-Май-23, (49)

2 Как только человек начинает говорить про WoT в контексте подписи артефактов, , нона (?), 01:09 , 29-Май-23, (51) +1 //

Не использование подписанных ключей при подписи программ, ISO, есть баг Это, Аноним (53), 09:57 , 10-Июн-23, (53)

Хм Об этих 5 пользователях по 3м запросам, значит, не смогли бы правдоподобно н, Dzen Python (ok), 23:38 , 24-Май-23, (3) –1
но номер телефона то возьмут причём с проверкой , Аноним (4), 23:40 , 24-Май-23, (4) +3
Зачем тогда принимать такие пакеты, непонятно , Аноним357 (?), 23:57 , 24-Май-23, (7) //

Хуже, я как-то столкнулся с разработчиком, который старательно подписывал свои п, timur.davletshin (ok), 08:09 , 25-Май-23, (20) +1 //

наверное можно было хотя-бы отпечаток ключа предоставить , Аноним357 (?), 01:42 , 26-Май-23, (40)

Логическая ошибка, Аноним (10), 01:52 , 25-Май-23, (10) +2 //

Где 29 ключей хрен пойми откуда взялись и проверить их принципиально невозможн, Аноним (15), 03:22 , 25-Май-23, (15) +2 //

Не хрен пойми откуда, а 1 от разработчика, чей другой пакет уже использовали , Аноним (16), 05:17 , 25-Май-23, (16) +4 //

экспертиза опеннета Дальше в общем можно не читать То есть местные д-лы даже н, пох. (?), 09:44 , 25-Май-23, (25) –1

Любая собака может опубликовать ключ на крупных публичных серверах ключей , но , Аноним (17), 07:28 , 25-Май-23, (17) +2 //

по крайней мере можно будет быть уверенным что новая версия того же самого пакет, пох. (?), 09:48 , 25-Май-23, (26)

Разработчики не умеют использовать и проверять подписанные ключи Что сделаем А, fuggy (ok), 01:58 , 25-Май-23, (11) +2 //

да-да, придёт тов майор и сразу по ушам, Аноним (12), 02:08 , 25-Май-23, (12)
Абсолютно верно Сталкивался не раз с тем, что банально приватные ключи выкладыв, timur.davletshin (ok), 08:00 , 25-Май-23, (18)
Для того чтоб проверить, надо сперва верить, что публичный ключ и правда принадл, OpenEcho (?), 15:22 , 25-Май-23, (32) //

во всех - это перфекционизм но в некоторых есть https tails boum org instal, ivan_erohin (?), 17:58 , 25-Май-23, (36) //

И где гарантия, что эти сайты не взломаны, показывающие эти подписи Т е просто , OpenEcho (?), 00:33 , 26-Май-23, (39)

ГАРАНТИЮ дает только страховой полис и то за страховое возмещение придется судит, ivan_erohin (?), 10:49 , 26-Май-23, (42)

А зачем тогда вообще вся эта лапша с ПГП По разному, если платить за EV верифика, OpenEcho (?), 14:41 , 26-Май-23, (44)

Централизую децентрализованное Недорого Гарантия , Алексей (??), 02:31 , 25-Май-23, (13) +6 //

С публичными серверами некоторое время произошёл факап из-за атаки при помощи чр, timur.davletshin (ok), 08:07 , 25-Май-23, (19)

Лучше бы они хоть какой-то модерацией пакетов занимались чем этим , Аноним (27), 10:13 , 25-Май-23, (27)
Разработчкик выкладывет свой код в любой публичный репозиторий кода с отказом об, Абц (?), 12:40 , 25-Май-23, (28) –1
То есть, из разработчиков PyPI ушли люди, действительно умевшие в PGP и пришли л, Аноним (-), 13:09 , 25-Май-23, (29) //

Таких нет, - в принципе, т к за столько десятилетий так и не появились верифици, OpenEcho (?), 15:29 , 25-Май-23, (33) –2

Задача подписи в том, чтобы определить, что у пакета не поменялся автор Критери, Аноним (46), 19:40 , 26-Май-23, (46)

Сообщения [Сортировка по времени | RSS]

16. "PyPI пересмотрит политику в отношении персональных данных и ..." +4 +/–

Сообщение от Аноним (16), 25-Май-23, 05:17

> 29% ключей хрен пойми откуда взялись
Не хрен пойми откуда, а:
1. от разработчика, чей (другой) пакет уже использовали и проблем с ним замечено не было,
2. от предыдущей версии пакета, код которой верифицировали,
3. мой собственный пакет, подписанный моим ключом (или пакет компании, где я работаю, подписанный её ключом),
4. из мелкого публичного сервера ключей, или крупного, о существовании которого создатели пипей не слышали,
5. из другого источника, которому можно доверять:
5.2. общался с разработчиком по почте лично, просил прислать его ключ,
5.3. брат жены друга, который прошёл один из предыдущих пунктов
> и проверить их принципиально невозможно
После того, как их поддержку выпилили, проверить их стало возможно, да?

Ответить | Правка | Наверх | Cообщить модератору

25. "PyPI пересмотрит политику в отношении персональных данных и ..." –1 +/–

Сообщение от пох. (?), 25-Май-23, 09:44

> Не хрен пойми откуда, а:
> 1. от разработчика, чей (другой) пакет уже использовали и проблем с ним замечено не было,
экспертиза опеннета. Дальше в общем можно не читать. То есть местные д-лы даже не понимают, как работает pgp.
> После того, как их поддержку выпилили, проверить их стало возможно, да?
да, твоим методом номер пять - "из другого источника, которому можно доверять". Если бы он существовал не только в твоих фантазиях, ты бы вполне мог попросить у него подписанную хэш-сумму пакета - раз уж ты даже смог где-то взять его публичный ключ.
Но скорее всего фантазии так и останутся фантазиями, потому что разработчики там примерно такие же.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	16. "PyPI пересмотрит политику в отношении персональных данных и ..."	+4 +/–
	Сообщение от Аноним (16), 25-Май-23, 05:17
	> 29% ключей хрен пойми откуда взялись Не хрен пойми откуда, а: 1. от разработчика, чей (другой) пакет уже использовали и проблем с ним замечено не было, 2. от предыдущей версии пакета, код которой верифицировали, 3. мой собственный пакет, подписанный моим ключом (или пакет компании, где я работаю, подписанный её ключом), 4. из мелкого публичного сервера ключей, или крупного, о существовании которого создатели пипей не слышали, 5. из другого источника, которому можно доверять: 5.2. общался с разработчиком по почте лично, просил прислать его ключ, 5.3. брат жены друга, который прошёл один из предыдущих пунктов > и проверить их принципиально невозможно После того, как их поддержку выпилили, проверить их стало возможно, да?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "PyPI пересмотрит политику в отношении персональных данных и ..."	–1 +/–
	Сообщение от пох. (?), 25-Май-23, 09:44
	> Не хрен пойми откуда, а: > 1. от разработчика, чей (другой) пакет уже использовали и проблем с ним замечено не было, экспертиза опеннета. Дальше в общем можно не читать. То есть местные д-лы даже не понимают, как работает pgp. > После того, как их поддержку выпилили, проверить их стало возможно, да? да, твоим методом номер пять - "из другого источника, которому можно доверять". Если бы он существовал не только в твоих фантазиях, ты бы вполне мог попросить у него подписанную хэш-сумму пакета - раз уж ты даже смог где-то взять его публичный ключ. Но скорее всего фантазии так и останутся фантазиями, потому что разработчики там примерно такие же.
	Ответить \| Правка \| Наверх \| Cообщить модератору