PyPI 删除具有安全问题的-低调大师

PyPI 删除具有安全问题的

2021-10-13 459

PyPI 仓库删除了一个名为 "mitmproxy2" 的 Python 包，该包是官方 "mitmproxy" 包的副本，但存在一些 "人为引入" 的代码漏洞。

官方的 "mitmproxy" Python 包是一个免费和开源的交互式 HTTPS 代理，每周有超过 40000 次下载。而 "mitmproxy2" 本质上与 "mitmproxy" 完全相同，但删除了 HTTP API 中的所有保护措施，该行为会导致同一网络中的所有人都可以通过一个 HTTP 请求在运行 mitmproxy2 的机器上执行代码。

此外，"mitmproxy" 的官方开发人员表示，现在还不清楚山寨版 "mitmproxy2" 包的发布者是出于恶意还是仅仅出于不安全的编码行为。因为在误导用户下载 "mitmproxy2" 这一 "新版本" 后，添加恶意代码并在安装时立即执行显然更有 "效果"。

而在 PyPI 删除了 "mitmproxy2" 包后，该包的发布者在几个小时后又上传了一个 "mitmproxy-iframe" 包，其与 "mitmproxy2" 完全相同，复制了官方的 "mitmproxy"，但在 "app.py" 文件中删除了相关保护措施。其发布者的行为愈发引人怀疑。

目前，"mitmproxy-iframe" 包也已被 PyPI 删除。

微信关注我们

原文链接：https://www.oschina.net/news/163807/pypi-remove-mitmproxy2

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Forest v1.5.8 版本发布，轻量级 HTTP 客户端框架

v1.5.8 版本发布，该版本主要解决以下BUG： fix: 使用@DownloadFile下载文件时，在某些环境下会发送阻塞 (#I4DLBI:使用@DownloadFile下载文件，在某些环境下会发送阻塞) fix: response对google protobuf包依赖 (#I4DKQW:forest-spring-boot-starter 1.5.6缺少protobuf-java的jar包) 项目介绍： Forest是一个高层的、极简的轻量级HTTP调用API框架。相比于直接使用Httpclient您不再用写一大堆重复的代码了，而是像调用本地方法一样去发送HTTP请求。文档和示例：项目主页中文文档 JavaDoc Demo工程 Forest有哪些特性？以Httpclient和OkHttp为后端框架通过调用本地方法的方式去发送Http请求, 实现了业务逻辑与Http协议之间的解耦因为针对第三方接口，所以不需要依赖Spring Cloud和任何注册中心支持所有请求方法：GET, HEAD, OPTIONS, TRACE, POST, DELETE, PUT, PAT...

2021-10-13

894

Windows 11 已在上周正式发布，就在同一天，自由软件基金会 (FSF) 的官方博客发表了一篇批评 Windows 11 并呼吁大众放弃使用 Windows 的文章。文章作者 Greg Farough 认为，新版本操作系统 Windows 11 并没有做任何事情来为 Windows 长期以来剥夺用户自由和数字自主权的黑历史“洗白”。虽然微软有许多关于社区和团结的鼓舞人心的口号，但在用户自由方面，Windows 11 却仍在错误的方向上迈进。 Greg Farough 在文章中指出，Windows 11 现在需要一个微软帐号来连接每个用户帐号，并允许微软将用户行为和个人身份信息关联起来。对此他表示，即使那些认为没有什么需要隐藏的人也应该对这种行为——与任何公司分享其潜在的所有计算活动保持警惕，更不用说像微软这种有“滥用信息”记录在身的公司。对于升级至 Windows 11 的要求之一 ——TPM 2.0 安全处理器，Greg Farough 同样抱着悲观的看法。他表示，虽然 TPM 被称为“可信平台模块”，但当它被一家专有软件公司部署时，它与用户的关系不是信任，而是背叛。当 T...

2021-10-13

531

资源下载

更多资源

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。