EDICIóN GENERAL

Consiguen infiltrar dos librerías maliciosas en el repositorio oficial de Python

Entiendo que es al instalarlas y que no vienen por defecto con python
#1 Están en el repositorio oficial de extensiones, no en la distribución de Python.

La putada es que tienen nombres muy similares a extensiones que la gente suele utilizar.
#12 Sobre 0:
Linux skynet 4.19.0-6-amd64 #1 SMP Debian 4.19.67-2+deb10u2 (2019-11-11) x86_64 GNU/Linux

1 y 2, estás hablando de teléfonos móviles? Yo en Linux si ejecuto un script en Python, Perl o compilado de C, puedo acceder a casi todo el sistema de ficheros para leer.

3. Se autoconfigure no, conocerás el AndroidManifest.xml o Info.plist de iOS. No entiendo por qué no ha de ser igual en apps de escritorio. Si uno es gilipollas y autoriza algo que no debe que se joda, pero es que no se pregunta.

4.- Sí necesitaría el componente B si no quiere implementarlo él mismo. Se ahorran tiempos de desarrollo.
#13

1. y 2. Si ejecutas programas con un usuario que tiene acceso a partes del sistema que no quieres que esos programas accedan, ¿en serio pretendes echarle la culpa al programa? Si tienen acceso a esos recursos es porque TÚ se lo permites, tío.

En un sistema bien configurado, un programa sólo va a tener acceso de lectura a los binarios y librerías dinámicas instalados, al directorio temporal, y a SUS bases de datos, SUS ficheros de configuración y SUS logs.

3. Tú proponías un proxy de recursos accesibles, no un manifiesto de privilegios. No me cambies los palos de la portería de sitio cada vez que contesto.

4. Estamos hablando de componentes maliciosos. ¿Crees que se programan pensando en ahorrar tiempo de desarrollo?
#14 Que vaya bien
#15 Chato, no te hagas el ofendidito porque no te dan la razón. Especialmente si no la tienes.

Y lo de ejecutar programas utilizando un usuario con más privilegios de los requeridos es una deformación de ”windowsero”, te pongas como te pongas. Si de verdad usas Debian, que es bastante seguro, cúrratelo y pon un poquito de tu parte en esa seguridad, que ningún sistema es inmune a ser mal administrado.
#16 Pero si es que no se trata de llevar razón o no. Estoy dando ideas que no tienen que ver contigo y tú sin embargo estás atacándome a nivel personal. Si no se trata de mí, miope, estábamos hablando de la noticia.

Según tú uso Windows, administro mal mi Debian, etc etc. ¿No te das cuenta que yo no hice lo mismo contigo? ¿No te das cuenta que yo no hablaba de mí?
#13 Efectivamente, simplifica mucho la seguridad en caso de que el usuario tenga una minima voluntad.

Es como si un coche tiene testigo de exceso de temperatura. El conductor puede ignorar el aviso. El testigo noo puede impedir que siga conduciendo hasta romper el motor, pero lo normal es que tome medidas.

Que no sea absolutamente imposible de evitar todos los riesgos, no quiere decir que no sirva para nada.

menéame