4

Например, проверяют ли они цифровую подпись (например, apt-get и Windows Update), или им может потребоваться использование SSL? Если нет, я немного обеспокоен тем, что загруженные пакеты могут быть троянскими.

3 ответа3

3

Пип был обновлен:

Проверка SSL сертификата

Начиная с версии 1.3, pip обеспечивает проверку SSL-сертификата по протоколу https, чтобы предотвратить атаки типа «человек посередине» против загрузок PyPI.

Версия 8.0 также имеет функциональность для проверки на локальные хеши.

2

Все пакеты Python не размещены на pypi.python.org, но easy_install будет искать на странице PyPi ссылки для скачивания. Многие распространенные пакеты, такие как PIL и lxml, используют свой собственный сервер распространения (который на самом деле часто вызывает проблемы у потребителей пакетов). Пример: http://pypi.python.org/pypi/PIL/

Кажется, сам pypi.python.org не предлагает никакой поддержки HTTPS.

Если вы хотите обеспечить безопасную среду easy_install / pip, я предлагаю вам зеркалировать необходимые пакеты на сервер, где вы сами поддерживаете HTTPS, а затем ограничить загрузку на этот сервер, используя параметр --allow-hosts :

http://packages.python.org/distribute/easy_install.html#restricting-downloads-with-allow-hosts

1

Там, где это возможно, следует добавить информацию MD5 для загрузки URL-адресов, добавив идентификатор фрагмента в форме # md5 = ..., где ... - это шестнадцатеричный дайджест MD5 из 32 символов. EasyInstall проверит, соответствует ли дайджест MD5 загруженного файла указанному значению.

http://packages.python.org/distribute/easy_install.html

Кажется , easy_install делает некоторые проверки, но, кажется , он только проверяет , если репозиторий пакетов предоставляет ключ MD5.

Раздел будущих планов на той же странице дополнительно освещает это:

Планы на будущее:
- Проверка подписи? SSL? Возможность подавить поиск PyPI?

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .