Разработчики репозитория Python-пакетов PyPI (Python Package Index) реализовали защиту от захвата проектов путём покупки освобождённых доменов, указанных в параметрах учётных записей. Атака сводится к тому, что атакующие выискивают учётные записи, привязанные к email с просроченными доменами, после чего регистрируют освобождённый домен на себя, перенаправляют почтовый трафик на свой сервер и, получив контроль над email, инициируют процесс восстановления забытого пароля. В 2022 году данным способом был получен контроль за Python-пакетом ctx...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63753
Вердикт: те, кто делают свой нескучный домен в почтовых адресах, являются ССЗБ. Нет ведь по-человечески использовать gmail и прочие надежные провайдеры. Надо обязательно чтобы было нескучно и нетакусечно.
Господин майор послал DHL'ем вам пакет печенек и талон на три гамбургера и милкшейк за счёт Фонда Защиты Карликовых Японских Минипигов.
Товарищ майор уже попросил курьера на рефрижераторе с надписью "ХЛЕБ" доставить вам три пачки "Примы", бутылку "Талки" и продуктовый набор за хорошую службу.
Товарищ майор АлиЭспресс послать бесплатно Новый почти как настоящий кошка жена, джинса отверстие залом ноги на лямках и рис бурый Хайнань упаковка 10pcs.
Смысл почты в децентрализации не независимости от корпораций. Вот только корпорации понаделали своих бесплатных почт и начали банить независимые почтовые ящики, чтобы захватить рынок почты. И скажите что это не картельный сговор и не заговор рептилоидов.
> Смысл почты в децентрализации не независимости от корпорацийЭто кто придумал? Васяны?
> Вот только корпорации понаделали своих бесплатных почт
Какие меpзaвцы! Предоставили бесплатный сервис без необходимости прдлинга со своим серваком!
> и начали банить независимые почтовые ящики
которые были рассадником спама. И правильно сделали.
> чтобы захватить рынок почты.
У них и так был рынок. Как можно захватить то, что ты уже контролируешь?
> И скажите что это не картельный сговор и не заговор рептилоидов.
Нет конечно. А где вы тут рептилоидов увидели?))
> начали банить независимые почтовые ящикиОпять вранье
Никаких проблем со своими серверами нет
Настрой DKIM, пропиши SPF, пропиши DMARC, не забудь прописать PTR и все прекрасно работает, письма отмечаются как доверенные для твоего домена и не попадают в спам. Чудо? Нет, просто игра по общим для всех правилам
> Настрой DKIM, пропиши SPF, пропиши DMARC, не забудь прописать PTRно на твоей помойке в DO раньше сидел тор экзит (вариант - не на твоей, в том же блоке /19), поэтому купи себе для начала колло в приличном цоде, желательно чтоб там был PI коммерческой компании (а не ALLOCATED PA).
Но нет, твоя почта все равно отправляется прямиком в ящик spam, потому что твои три письма в месяц не создали тебе репутацию учитываемую гуглем, и к тому же ты пишешь без уважения, плейнтекстом, без "корпоративного дизайна переписки", поэтому "самообучающийся робот" тоже выбросит твою писанину снова туда же, ведь она совершенно непохожа на содержимое почтового ящика типичного гуглоюзера (откуда роботу знать что это и есть спам).А то что у всех спаммеров давным-давно уже есть dkim, spf, все прочие ненужно, и да, таки колло в приличном цоде с корпоративным блоком а не этимвотвасянским массхостинговым - гуглю совершенно пофигу.
> Нет, просто игра по общим для всех правилам
правила описаны в rfc 822. А это - понятия.
Чувак, а ты как определяешь какие rfc это правила, а какие «понятия»?7208 — spf
6376 — dkim
7489 — dmarcВсе в rfc, все описано и все является общими правилами
А про твои фантазии мне писать лень
Если ты выполняешь все правила, то все прекрасно работает, а твои сказки это просто сказки чувака который ничего не пробовал, ничего не знает, только умеет тут воздух газифицировать
держу свои почтовики с 2008 года и подтвеждаю всё сказанное похом, нахом и прочими. если у тебя всё внезапно работает и письма не падают в спам, то> это просто сказки чувака который ничего не пробовал, ничего не знает, только умеет тут воздух газифицировать
ну или ты хостишься в датацентре гугла, раз он "своих" пропускает.
> Смысл почты в децентрализации не независимости от корпораций.Разве?
Ты почитай, хотя бы на википедии, кто и когда создавал email.
Подсказка, это были не подзаборные б0мжи борцуны с корпорациями, а университеты вроде MIT, вояки со своим ARPANET и корпорации IBM, CompuServe, DEC, Xerox.> Вот только корпорации понаделали своих бесплатных почт
Более того, они еще и платных почт понаделали!
> и начали банить независимые почтовые ящики
А как реагировать на письмо от подкроватного сервака васяна?
Вдруг это спам))?> И скажите что это не картельный сговор и не заговор рептилоидов.
Ну.. раз ты попросил...
"это не картельный сговор и не заговор рептилоидов" твердо и ч0тко))
В целом как бы вроде всё оно и так, но
> начали банить независимые почтовые ящикия в 2000х, когда был админом, просто зае#$%лся бороться с входящим спамом на нашем корпоративном qmail'е. Спам в те времена был настоящей эпидемией планетарного масштаба. И мало кто знал и главное умел из этих админов бороться с этим спамом как на стороне получитателя, так и те пострадавшие, из чьих сетей вирусы рассылали спам. Всякие костыли вроде greylisting и/или банить целые подсети через общедоступные списки в Инете - имхо делало только хуже. Например, приходилось писать ваще какому-то незнакому человеку чтоб он нас удалил из своего списка, потому что наш директор не может отправить письмо партнерам. А использовать личный ящик он не мог по репутационным соображениям. Короче, я рад, что это всё закончилось
Да вообще пофиг на pypi. Ставлю всё исключительно из гита + из релизов гихаба + из пакетного менеджера ОС.
Обновлять как собираешься. Ставить из гита надо только когда тебе нужен мастер.
> Ставить из гита надо только когда тебе нужен мастер.Кому надо?
> Обновлять как собираешься.
А pip не умеет тащить нужный тэг или коммит? Вчера, вроде бы, умел...
Так откуда без pypi ты узнаешь, что обновить надо?
На гитхабе безопасно? Там почту перехватить не смогут?
Только стоит проверять и лочить не учетки с истекшими доменами, а с теми которые вот-вот рюистекут. Так-то идея говно, потому что это много запросов каждые n времени для пакетов, которые брошены владельцами и с которыми нет и не будет связи.
если все сделать правильно - это ровно один запрос раз в год на каждый домен. (но я сильно сомневаюсь что ЭТИ сделают правильно. И не полочат тебе учетку потому что gtld задолбали ежесекундные проверки с их адреса и он не ввел рейтлимит или просто не отправил его в бан)
ну то есть если жертва вендорлока проспала оплату домена на один день и не знает пароль - про акк можно забыть
ну если ты прое...л ключи от квартиры, и не озаботился запасным под ковриком - то в общем и целом внутрь попасть можно, но придется доказывать полицаям что ты это ты, так всеми нелюбимыми паспортными данными и пропиской. И еще и дверь менять.Долбоклюй, одновременно не помнящий паролей и проспавший свой домен - должен страдать.
В конце-концов, заведет себе новую учетку, все равно его лефтпад нафиг был никому не нужен.P.S. как вам удается забывать пароль a123456789A)_+ - понятия не имею. И да, эта глупость проходит большинство "крайне строгих" проверок.
P.P.S. в следующей серии я расскажу вам как обойти идиотское требование еще и менять его каждые три дня.
Скорее всего в основном это брошенные лефтпады, на которые их ваятели уже давно забили.
Но на помойке - как на помойке, и тонны лефтпадостроителей привычно тянут эти лефтпады.
> Долбоклюй"Microsoft чуть не прошляпил Hotmail"
"Аргентинец купил домен Google за $3"
"Бывший сотрудник случайно купил домен Google.com за $12"
> ну то есть если жертва вендорлока проспала оплату домена на один день
> и не знает пароль - про акк можно забытьРебенок, ну ты бы хоть узнал, что нет никакого «на один день»
Если ты просpал оплату домена, то у тебя есть еще 30 дней грейс-периода, когда ты его можешь оплатить, в эти 30 дней домен не функционален, но ты и только ты можешь за него заплатить и тем вернуть его к жизниПри этом все регистраторы начинают слать письма «скоро надо заплатить» минимум за месяц, потом присылают, что срок закончился и начался грейс-период и так далее
А еще нормальные зоны можно оплатить сразу на 10 лет. Платишь и 10 лет домен твой, а через 10 лет либо продляешь, либо ты мертв и тебе уже пофигу на домен и на учетку в pypi