推荐学习书目 Learn Python the Hard Way Python Sites PyPI - Python Package Index http://diveintopython.org/toc/index.html Pocoo 值得关注的项目 PyPy Celery Jinja2 Read the Docs gevent pyenv virtualenv Stackless Python Beautiful Soup 结巴中文分词 Green Unicorn Sentry Shovel Pyflakes pytest Python 编程 pep8 Checker Styles PEP 8 Google Python Style Guide Code Style from The Hitchhiker's Guide
这是一个创建于 3211 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天突然脑出血,试试豆瓣源,发现有 https 了,挺好
但是,进去一下,吓死宝宝了!!
豆瓣 pypi 源被污染
图片: https://ooo.0o0.ooo/2016/12/25/585fdb3710f62.png
前面全是卖数据的,围观一下
https://pypi.doubanio.com/simple/
但是,进去一下,吓死宝宝了!!
豆瓣 pypi 源被污染
图片: https://ooo.0o0.ooo/2016/12/25/585fdb3710f62.png
前面全是卖数据的,围观一下
https://pypi.doubanio.com/simple/
 | 1 RyuZheng 2016-12-25 22:48:26 +08:00 via Android 真的有问题吗?我一直用的豆瓣的源,不会有问题吧! |
 | 2 VicYu OP @RyuZheng https://pypi.python.org/simple/ 对比官方源,前面的几个电话号码开头的太明显了 |
 | 4 virusdefender 2016-12-25 22:58:51 +08:00 tuna 的也这样了,上游的问题?但是官方源没问题 |
 | 5 phrack 2016-12-25 23:00:24 +08:00 这是要搞大新闻了? 我用过一段时间的豆瓣源呢,后来换的清华的。 |
 | 7 everpcpc 2016-12-25 23:03:15 +08:00 |
| 8 everpcpc 2016-12-25 23:04:25 +08:00 |
 | 10 changwei 2016-12-25 23:07:21 +08:00 via Android 我也看到了,和截图一毛一样,他们是怎么污染的呢? |
| 11 everpcpc 2016-12-25 23:08:08 +08:00 @VicYu https://pypi.python.org/simple/0-.-.-.-.-.-.-.-.-.-.-.-.-0/ 官方上游还留有被污染过的痕迹 |
 | 14 aihimmel 2016-12-25 23:12:54 +08:00 via Android |
| 15 aihimmel 2016-12-25 23:13:12 +08:00 via Android 去 tuna 报了 |
 | 16 tatsuteng 2016-12-25 23:21:17 +08:00 去 https://www.pypi-mirrors.org/ 看了一圈发现全球都这样。。 |
| 18 aihimmel 2016-12-25 23:30:07 +08:00 via Android 用三方库还得要小心啊, mirrors 只负责同步准确不负责内容安全 |
 | 19 mingyun 2016-12-25 23:51:29 +08:00 这。。。 |
 | 20 zsj950618 2016-12-26 03:40:53 +08:00 via Android 动不动就想搞什么大新闻,现在的年轻人就是图样图森破,不如多读点书。 |
 | 21 RqPS6rhmP3Nyn3Tm 2016-12-26 03:56:14 +08:00 via iPhone 全球都被污染了,应该是官方源的问题 用了这么久 PyPi 我竟然还不清楚验证完整性的方式…如果是 Linux 源 GPG 信任链很严密那么丝毫不用担心。 谁能给我解答一下呢?关于 PyPi 和 homebrew 的验证方式 |
 | 22 janxin 2016-12-26 05:30:14 +08:00 via iPhone @BXIA homebrew 是 sha256 hash ,不过最开始的 rb 文件不对就没办法。 pypi 没仔细看过,好像也是类似 hash ,但使用第三方源都是没保证的 |
 | 23 binux 2016-12-26 06:11:00 +08:00 @BXIA 这和完整性没什么关系啊, pypi 不审核包,你随时可以新建一个这样的包啊 而且这个明显是上游的问题, https://twitter.com/search?f=tweets&q=1-844-291-6706&src=typd pypi twitter bot 都有这些包的历史,只是上游删除了,下游同步没有跟着删除罢了 |
 | 24 codeDreamfy 2016-12-26 09:03:16 +08:00 厉害了我的哥 |
 | 25 syahd 2016-12-26 09:11:38 +08:00 via Android 这尼玛真是超级大的新闻啊,坐等新闻报道 |
 | 26 monburan 2016-12-26 09:19:13 +08:00 坐等后续。。。 |
 | 27 dudukee 2016-12-26 09:30:03 +08:00 已经清理掉了 |
 | 28 50vip 2016-12-26 09:31:54 +08:00 围观~ |
 | 29 est 2016-12-26 09:46:11 +08:00 pypi 官方被污染了吧。 其实注册 pypi 很容易。 |
| 30 everpcpc 2016-12-26 10:51:39 +08:00 https://pypi.doubanio.com/simple/ 已经强制重新同步了。 |
 | 31 wlwood 2016-12-26 12:59:57 +08:00 我滴妈呀,一直使用豆瓣源,好像,昨天是有问题,我还以为是我网络出问题了 |
 | 32 tairan2006 2016-12-26 15:45:34 +08:00 官方源出问题了吧=_= |
Select Language