это один из векторов атаки) можно сделать пакет с именем djando и отзеркалировать официальный Django, с добавлением своего бэкдора или с отправкой какой-либо информации на свой сервер или сделать ботнет на Djando))

например, раз в сутки запрашивает "апдейты" с сервера хакера и выполняет полученный внутри апдейта код согласно инструкциям

или можно подложить свою middleware и получать пароли и имейлы пользователей чтобы потом эти данные использовать для взлома аккаунтов этих пользователей на других сервисах) многие используют 1 пароль на всё)

то есть вот 1 разработчик ошибся или "ошибся" и поставил не тот пакет, потом на этот сайт зашёл не очень продвинутый пользователь и в итоге слил свой пароль, по которому условный хакер может зайти в любой его аккаунт где угодно)

фактически, 1 опечатка такого рода делает систему 100% уязвимой для всего)

вот когда релизят Django, там пишут в новостях "You can get Django 2.2 from our downloads page or from the Python Package Index. The PGP key ID used for this release is Carlton Gibson: E17DF5C82B4F9D00."

при скачивании файла можно проверить его подпись и убедиться, что это действительно то самое, оно подписано тем самым ключом...

проблема в том, что у PyPi нет ничего, связанного с проверкой автора, можно проверять целостность пакетов, да, но не принадлежность к автору

то есть если ставишь Django из официальных репозиториев Ubuntu, ты понимаешь, что там все пакеты проверенные, нет ничего такого подозрительного, опечатка может сломать что-то, но не поставит заражённый пакет

в случае с PyPi всё хуже

по идее, нужен некий центр сертификации, который ставил бы approve на все популярные пакеты, а в случае не очень популярных пакетов, разработчик добавлял бы исключения вручную, тем самым обозначая своё доверие тем или иным авторам малоизвестных пакетов

и если pip/pipenv/... натыкается на пакет, который не был обозначен как доверенный центром сертификации популярных пакетов и ключ автора не был помечен как доверенный вручную, то тогда ошибка

и вот с этим вот нужна интеграция с IDE, чтобы открыл условный requirements.txt, а PyCharm бы поставил галочки слева от каждой строчки, обозначая, что такие пакеты на PyPi есть и они в списке доверенных согласно каким-то правилам (списку доверенных центров сертификации пакетов и списку доверенных ключей автора пакетов)

Всем привет. Как лучше связать django с телегой? Есть батарейки?

Смотря какая связь нужна)

Если случшать то тогда сделай просто веб хуки

всем привет, такой вопрос. На данный момент нужно сделать какой-то словарь (если точнее список данных, который будут заводиться с админ страницы) и в целом этот словарь будет для одной модели, который лежит в неком аппе. и суть вопроса: для словаря лучше всего создать отдельный апп, чтобы было какой-то разделение в алмин странице и отделить от остальных моделей или же ближе держать к модели к которой они будут привязываться ?

как будет правильнее

можно было бы подготовить спсиок один, но его будут постоянно редактировать и нужно чтобы это делали с админ страницы

или же можно в одноим аппе но разделить как-то в админ странице

#какбудетправильно

В каком формате мне передавать через DJango REST Api время? В модели стандартное field DateTimeField

@dantyan, извини, что пингую, но можешь помочь?