Size: a a a

Django [ru] #STAY HOME

2019 April 16

AO

Alexander Ovchinnikov 🦁 in Django [ru] #STAY HOME
Mckelvie
Что это?
это один из векторов атаки) можно сделать пакет с именем djando и отзеркалировать официальный Django, с добавлением своего бэкдора или с отправкой какой-либо информации на свой сервер или сделать ботнет на Djando))
источник

AO

Alexander Ovchinnikov 🦁 in Django [ru] #STAY HOME
например, раз в сутки запрашивает "апдейты" с сервера хакера и выполняет полученный внутри апдейта код согласно инструкциям
источник

AO

Alexander Ovchinnikov 🦁 in Django [ru] #STAY HOME
или можно подложить свою middleware и получать пароли и имейлы пользователей чтобы потом эти данные использовать для взлома аккаунтов этих пользователей на других сервисах) многие используют 1 пароль на всё)
источник

AO

Alexander Ovchinnikov 🦁 in Django [ru] #STAY HOME
то есть вот 1 разработчик ошибся или "ошибся" и поставил не тот пакет, потом на этот сайт зашёл не очень продвинутый пользователь и в итоге слил свой пароль, по которому условный хакер может зайти в любой его аккаунт где угодно)
источник

AO

Alexander Ovchinnikov 🦁 in Django [ru] #STAY HOME
фактически, 1 опечатка такого рода делает систему 100% уязвимой для всего)
источник

AO

Alexander Ovchinnikov 🦁 in Django [ru] #STAY HOME
вот когда релизят Django, там пишут в новостях "You can get Django 2.2 from our downloads page or from the Python Package Index. The PGP key ID used for this release is Carlton Gibson: E17DF5C82B4F9D00."

при скачивании файла можно проверить его подпись и убедиться, что это действительно то самое, оно подписано тем самым ключом...

проблема в том, что у PyPi нет ничего, связанного с проверкой автора, можно проверять целостность пакетов, да, но не принадлежность к автору
источник

AO

Alexander Ovchinnikov 🦁 in Django [ru] #STAY HOME
то есть если ставишь Django из официальных репозиториев Ubuntu, ты понимаешь, что там все пакеты проверенные, нет ничего такого подозрительного, опечатка может сломать что-то, но не поставит заражённый пакет
источник

AO

Alexander Ovchinnikov 🦁 in Django [ru] #STAY HOME
в случае с PyPi всё хуже
источник

AO

Alexander Ovchinnikov 🦁 in Django [ru] #STAY HOME
по идее, нужен некий центр сертификации, который ставил бы approve на все популярные пакеты, а в случае не очень популярных пакетов, разработчик добавлял бы исключения вручную, тем самым обозначая своё доверие тем или иным авторам малоизвестных пакетов

и если pip/pipenv/... натыкается на пакет, который не был обозначен как доверенный центром сертификации популярных пакетов и ключ автора не был помечен как доверенный вручную, то тогда ошибка

и вот с этим вот нужна интеграция с IDE, чтобы открыл условный requirements.txt, а PyCharm бы поставил галочки слева от каждой строчки, обозначая, что такие пакеты на PyPi есть и они в списке доверенных согласно каким-то правилам (списку доверенных центров сертификации пакетов и списку доверенных ключей автора пакетов)
источник

IK

Ihor Kypeshchuk in Django [ru] #STAY HOME
Всем привет. Как лучше связать django с телегой? Есть батарейки?
источник

AE

Alexander Edakin in Django [ru] #STAY HOME
Ihor Kypeshchuk
Всем привет. Как лучше связать django с телегой? Есть батарейки?
Смотря какая связь нужна)
источник

AE

Alexander Edakin in Django [ru] #STAY HOME
Если случшать то тогда сделай просто веб хуки
источник

A

Ahmed in Django [ru] #STAY HOME
Ihor Kypeshchuk
Всем привет. Как лучше связать django с телегой? Есть батарейки?
источник

BB

Baktiyar Bekbergen in Django [ru] #STAY HOME
всем привет, такой вопрос. На данный момент нужно сделать какой-то словарь (если точнее список данных, который будут заводиться с админ страницы) и в целом этот словарь будет для одной модели, который лежит в неком аппе. и суть вопроса: для словаря лучше всего создать отдельный апп, чтобы было какой-то разделение в алмин странице и отделить от остальных моделей или же ближе держать к модели к которой они будут привязываться ?
источник

BB

Baktiyar Bekbergen in Django [ru] #STAY HOME
как будет правильнее
источник

BB

Baktiyar Bekbergen in Django [ru] #STAY HOME
можно было бы подготовить спсиок один, но его будут постоянно редактировать и нужно чтобы это делали с админ страницы
источник

BB

Baktiyar Bekbergen in Django [ru] #STAY HOME
или же можно в одноим аппе но разделить как-то в админ странице
источник

BB

Baktiyar Bekbergen in Django [ru] #STAY HOME
#какбудетправильно
источник

P

Pooh in Django [ru] #STAY HOME
В каком формате мне передавать через DJango REST Api время? В модели стандартное field DateTimeField
источник

P

Pooh in Django [ru] #STAY HOME
@dantyan, извини, что пингую, но можешь помочь?
источник