Menéame: comentarios [3223463]

#19 Consiguen infiltrar dos librerías maliciosas en el repositorio oficial de Python

--622452-- — Wed, 11 Dec 2019 10:25:58 +0000

La verdad es que ha sido una cagada gorda, pero se me ocurren dos soluciones:

- Que las claves estén cifradas con una contraseña maestra, buena suerte rompiendo un AES.
- Utilizar un token hardware. Yo me compré un Yubikey y estoy encantado, es muy fácil de utilizar y extraer la clave privada es imposible.

» autor: --622452--

#18 Consiguen infiltrar dos librerías maliciosas en el repositorio oficial de Python

--544691-- — Wed, 11 Dec 2019 07:35:26 +0000

#16 Pero si es que no se trata de llevar razón o no. Estoy dando ideas que no tienen que ver contigo y tú sin embargo estás atacándome a nivel personal. Si no se trata de mí, miope, estábamos hablando de la noticia.

Según tú uso Windows, administro mal mi Debian, etc etc. ¿No te das cuenta que yo no hice lo mismo contigo? ¿No te das cuenta que yo no hablaba de mí?

» autor: --544691--

#17 Consiguen infiltrar dos librerías maliciosas en el repositorio oficial de Python

lectorcritico — Tue, 10 Dec 2019 20:49:22 +0000

#13 Efectivamente, simplifica mucho la seguridad en caso de que el usuario tenga una minima voluntad.

Es como si un coche tiene testigo de exceso de temperatura. El conductor puede ignorar el aviso. El testigo noo puede impedir que siga conduciendo hasta romper el motor, pero lo normal es que tome medidas.

Que no sea absolutamente imposible de evitar todos los riesgos, no quiere decir que no sirva para nada.

» autor: lectorcritico

#16 Consiguen infiltrar dos librerías maliciosas en el repositorio oficial de Python

--122466-- — Tue, 10 Dec 2019 19:23:53 +0000

[Usuario deshabilitado]

» autor: --122466--

#15 Consiguen infiltrar dos librerías maliciosas en el repositorio oficial de Python

--544691-- — Tue, 10 Dec 2019 19:16:55 +0000

#14 Que vaya bien

» autor: --544691--

#14 Consiguen infiltrar dos librerías maliciosas en el repositorio oficial de Python

--122466-- — Tue, 10 Dec 2019 19:14:41 +0000

[Usuario deshabilitado]

» autor: --122466--

#13 Consiguen infiltrar dos librerías maliciosas en el repositorio oficial de Python

--544691-- — Tue, 10 Dec 2019 18:28:16 +0000

#12 Sobre 0:
Linux skynet 4.19.0-6-amd64 #1 SMP Debian 4.19.67-2+deb10u2 (2019-11-11) x86_64 GNU/Linux

1 y 2, estás hablando de teléfonos móviles? Yo en Linux si ejecuto un script en Python, Perl o compilado de C, puedo acceder a casi todo el sistema de ficheros para leer.

3. Se autoconfigure no, conocerás el AndroidManifest.xml o Info.plist de iOS. No entiendo por qué no ha de ser igual en apps de escritorio. Si uno es gilipollas y autoriza algo que no debe que se joda, pero es que no se pregunta.

4.- Sí necesitaría el componente B si no quiere implementarlo él mismo. Se ahorran tiempos de desarrollo.

» autor: --544691--

#12 Consiguen infiltrar dos librerías maliciosas en el repositorio oficial de Python

--122466-- — Tue, 10 Dec 2019 17:03:35 +0000

[Usuario deshabilitado]

» autor: --122466--

#11 Consiguen infiltrar dos librerías maliciosas en el repositorio oficial de Python

lectorcritico — Tue, 10 Dec 2019 14:42:24 +0000

#9 Gracias, Me alegra que se haya entendido.
A veces hay que tener un poco de voluntad por entender las cosas.

» autor: lectorcritico

#10 Consiguen infiltrar dos librerías maliciosas en el repositorio oficial de Python

derp — Tue, 10 Dec 2019 14:28:24 +0000

Enésima consecuencia de la libreriítis de los tiempos modernos. Con lo bonito que es programar, no sé en qué momento pasamos a ser montadores del Ikea

Ahora meten un bicho en jQuery y revienta Internet. Y todo porque no querer escribir una petición Ajax o acceder a un elemento a través de la API del DOM de forma nativa

» autor: derp

#9 Consiguen infiltrar dos librerías maliciosas en el repositorio oficial de Python

--544691-- — Tue, 10 Dec 2019 14:07:46 +0000

#7 En tu primer lugar, él se refiere a que la inmensísima mayoría de programas necesitan un directorio concreto para almacenar sus mierdas, no acceso lectura a TODO tu disco duro.

En tu segundo lugar, ¿y qué? todo pasa por el kernel y sus syscalls. Si un determinado componente necesita ser registrado con una serie de funciones, no se le deja hacer nada más que lo que se le permitió.

En tu tercer lugar, por supuesto que sí, pero ya que estamos imaginando, ¿por qué no limitar que un determinado componente sólo acceda al rango 12.6.203.0/24? ¿Necesita descargar y/o subir? Si necesita actualizar alguna hez, tendrá que descargar, no tiene por qué subir nada local a la red. Con iptables o cualquier otro firewall ya se puede hacer, pero la cosa es que esto sea manejado por el SO automáticamente, que cada componente tenga que especificar qué va a realizar.

En tu cuarto lugar, si el componente A tiene n permisos y quiere hacer uso de B el cual tiene n2 permisos, A sólo tiene permiso a la intersección entre n y n2.

» autor: --544691--

#8 Consiguen infiltrar dos librerías maliciosas en el repositorio oficial de Python

--628231-- — Tue, 10 Dec 2019 13:21:15 +0000

El uso de librerías de terceros no debería hacerse a la ligera. Es evidente que hoy no puedes construirte aplicaciones en un tiempo razonable sin acudir a ellas pero eso es como decían en la película de Spider-Man: un gran poder implica una gran responsabilidad.

Así que más testear lo que se hace y elegir bien las piezas que usamos en nuestro software y menos abusar de corta pega de stack overflow

» autor: --628231--

#7 Consiguen infiltrar dos librerías maliciosas en el repositorio oficial de Python

--122466-- — Tue, 10 Dec 2019 12:55:16 +0000

[Usuario deshabilitado]

» autor: --122466--

#6 Consiguen infiltrar dos librerías maliciosas en el repositorio oficial de Python

lectorcritico — Tue, 10 Dec 2019 11:49:25 +0000

Cada vez mas veo que los permisos de usuario son escasos. Deberia haber mas restricciones por programas.
Casi todos los programas necesitan un espacio para cosas temporales suya y luego se guarda el trabajo con un ventana emergente y no necesitan fisgar por el ordenador o guardar ficheros por debajo del conocimiento del usuario.

Otros muchos no necesitan acceder a internet para nada mas que actulizarse. Se delega la actualizacion en otro programa y si accede a internet es sospechoso. Tampoco para enviar datos pueden ser inocuos o no.

Hay programas que pueden recopilar datos utiles para la comunidad de desarrollo. Tambien pienso que se deberia delegar en otro programa y enviar unos datos legibles y con un formato concreto.

Yo creo que este caso se evitaria que una libreria accediese a un sitio que no tiene ver con su funcion. Para prevenir el acceso a contraseñas se podria poner un gestor de contraseñas que solo de contraseñas asignadas al programa que lo pida.

En el caso de Firefox, un programa con acceso poco restringido a internet. Se podria restringir el uso a sus temporales y cuango necesite guardar algun archivo o pagina, se lanza ventana de guardar archivos. Si pilla un malware, es dificil que afecte a todo el ordenador, salvo que lo guarde uno mismo, pero por lo menos no hace cosas por debajo de la vista del usuario.

» autor: lectorcritico

#5 Consiguen infiltrar dos librerías maliciosas en el repositorio oficial de Python

Mr.Bug — Tue, 10 Dec 2019 11:40:46 +0000

Nunca hay que bajar la guardia incluso cuando usas repositorios oficiales.

» autor: Mr.Bug

#4 Consiguen infiltrar dos librerías maliciosas en el repositorio oficial de Python

--49228-- — Tue, 10 Dec 2019 11:40:06 +0000

[Usuario deshabilitado]

» autor: --49228--

#3 Consiguen infiltrar dos librerías maliciosas en el repositorio oficial de Python

--122466-- — Tue, 10 Dec 2019 11:27:07 +0000

[Usuario deshabilitado]

» autor: --122466--

#2 Consiguen infiltrar dos librerías maliciosas en el repositorio oficial de Python

llorencs — Tue, 10 Dec 2019 11:26:26 +0000

Pero están en Pypi. Que es el repositorio oficial y que tiene bastante buena fama por sus controles. Pero entiendo que algo se pueda pasar.

» autor: llorencs

#1 Consiguen infiltrar dos librerías maliciosas en el repositorio oficial de Python

snowdenknows — Tue, 10 Dec 2019 10:57:57 +0000

Entiendo que es al instalarlas y que no vienen por defecto con python

» autor: snowdenknows