Den Auteur vu mitmproxy, e Tool fir den HTTP / HTTPS Traffic ze analyséieren, huet op d'Erscheinung vun enger Gabel vu sengem Projet am PyPI (Python Package Index) Verzeechnes vu Python Packagen opmierksam gemaach. D'Gabel gouf ënner dem ähnlechen Numm mitmproxy2 verdeelt an déi net existent Versioun 8.0.1 (aktuell Verëffentlechung mitmproxy 7.0.4) mat der Erwaardung datt onopmerksam Benotzer de Package als eng nei Editioun vum Haaptprojet (typesquatting) géife gesinn a wëllen fir déi nei Versioun ze probéieren.
A senger Zesummesetzung war mitmproxy2 ähnlech wéi mitmproxy, mat Ausnam vun Ännerungen mat der Ëmsetzung vu béiswëlleger Funktionalitéit. D'Ännerunge bestinn aus dem Stoppen vum HTTP Header "X-Frame-Options: DENY" ze setzen, wat d'Veraarbechtung vum Inhalt am iframe verbitt, de Schutz géint XSRF Attacken auszeschalten an d'Header "Access-Control-Allow-Origin: *" ze setzen, "Access-Control-Allow-Headers: *" an "Access-Control-Allow-Methods: POST, GET, DELETE, OPTIONS".
Dës Ännerungen hunn d'Restriktiounen op den Zougang zu der HTTP-API ewechgeholl, déi benotzt gëtt fir mitmproxy iwwer d'Web-Interface ze verwalten, wat all Ugräifer am selwechte lokalen Netzwierk erlaabt huet, d'Ausféierung vun hirem Code um System vum Benotzer z'organiséieren andeems en HTTP-Ufro schéckt.
D'Verzeechnesverwaltung huet d'accord datt d'Ännerungen, déi gemaach goufen, als béiswëlleg interpretéiert kënne ginn, an de Package selwer als Versuch fir en anert Produkt ënner dem Deckmantel vum Haaptprojet ze promoten (d'Beschreiwung vum Package huet uginn datt dëst eng nei Versioun vu mitmproxy war, net eng Forschett). Nodeems de Package aus dem Katalog ewechgeholl gouf, gouf den nächsten Dag en neie Package, mitmproxy-iframe, op PyPI gepost, d'Beschreiwung vun deem och komplett mam offiziellen Package passt. De mitmproxy-iframe Package ass och elo aus dem PyPI Verzeichnis geläscht ginn.
Source: opennet.ru