ProHoster > بلاگ > انٹرنیٹ کی خبریں > PyPI پاس ورڈز اور API ٹوکنز سے منسلک کیے بغیر پیکجز کو شائع کرنے کی صلاحیت کو نافذ کرتا ہے۔

PyPI پاس ورڈز اور API ٹوکنز سے منسلک کیے بغیر پیکجز کو شائع کرنے کی صلاحیت کو نافذ کرتا ہے۔

PyPI (Python Package Index) Python پیکجز کا ذخیرہ پیکجوں کی اشاعت کے لیے ایک نیا محفوظ طریقہ استعمال کرنے کی صلاحیت فراہم کرتا ہے، جو آپ کو بیرونی سسٹمز پر فکسڈ پاس ورڈز اور API رسائی ٹوکنز کو ذخیرہ کرنے سے بچنے کی اجازت دیتا ہے (مثال کے طور پر GitHub ایکشنز میں)۔ تصدیق کا نیا طریقہ 'ٹرسٹڈ پبلشرز' کہلاتا ہے اور اسے نقصان دہ اپ ڈیٹس شائع کرنے کے مسئلے کو حل کرنے کے لیے ڈیزائن کیا گیا ہے جو کہ بیرونی سسٹمز اور پہلے سے طے شدہ پاس ورڈز یا ٹوکن حملہ آوروں کے ہاتھ لگ جانے کے نتیجے میں کیے جاتے ہیں۔

تصدیق کا نیا طریقہ اوپن آئی ڈی کنیکٹ (OIDC) کے معیار پر مبنی ہے، جو روایتی لاگ ان/پاس ورڈز یا دستی طور پر تیار کردہ مستقل API رسائی کے بجائے پیکیج پبلش آپریشن کی توثیق کرنے کے لیے بیرونی سروسز اور PyPI ڈائرکٹری کے درمیان تبادلے کے وقت محدود تصدیقی ٹوکنز کا استعمال کرتا ہے۔ ٹوکن GitHub ایکشنز میں شروع کیے گئے ہینڈلرز کے لیے ٹرسٹڈ پبلشرز کے طریقہ کار کو استعمال کرنے کی صلاحیت پہلے ہی لاگو کر دی گئی ہے۔ دیگر بیرونی خدمات کے لیے بھروسہ مند پبلشرز کی حمایت مستقبل میں لاگو ہونے کی امید ہے۔

مینٹینرز بیرونی OpenID فراہم کنندگان (IdP, OpenID Connect Identity Provider) کو فراہم کردہ شناخت کنندگان کے لیے PyPI طرف اعتماد قائم کر سکتے ہیں، جسے بیرونی سروس PyPI سے مختصر مدت کے ٹوکنز کی درخواست کرنے کے لیے استعمال کرے گی۔ تیار کردہ OpenID کنیکٹ ٹوکنز پروجیکٹ اور ہینڈلر کے درمیان تعلق کی تصدیق کرتے ہیں، جو PyPI کو اضافی میٹا ڈیٹا کی توثیق کرنے کی اجازت دیتا ہے، جیسا کہ اس بات کی تصدیق کرنا کہ شائع شدہ پیکج ایک مخصوص ریپوزٹری سے وابستہ ہے۔ ٹوکنز کو ذخیرہ نہیں کیا جاتا ہے، مخصوص APIs سے منسلک ہوتے ہیں، اور مختصر زندگی کے بعد خود بخود ختم ہو جاتے ہیں۔

مزید برآں، آپ مارچ 2023 میں PyPI کیٹلاگ میں 6933 بدنیتی پر مبنی پیکیجز کی شناخت کے بارے میں معلومات کے ساتھ سوناٹائپ کی رپورٹ کو نوٹ کر سکتے ہیں۔ مجموعی طور پر، 2019 کے بعد سے، PyPI میں شناخت شدہ نقصان دہ پیکجوں کی تعداد 115 ہزار سے تجاوز کر گئی ہے۔ زیادہ تر بدنیتی پر مبنی پیکجز ٹائپوسکوٹنگ کا استعمال کرتے ہوئے مقبول لائبریریوں کے طور پر چھپے ہوئے ہیں (مثلا نام تفویض کرنا جو انفرادی حروف میں مختلف ہوں، مثال کے طور پر، مثال کے طور پر، مثال کے بجائے djangoo، python کی بجائے pyhton، وغیرہ) - حملہ آور ایسے صارفین پر بھروسہ کرتے ہیں جنہوں نے ایک دھیان نہیں دیا۔ ٹائپنگ کی غلطی یا جس نے تلاش کرتے وقت نام میں فرق محسوس کیا۔ بدنیتی پر مبنی کارروائیاں عام طور پر پاس ورڈز، ایکسیس کیز، کریپٹو والٹس، ٹوکنز، سیشن کوکیز اور دیگر خفیہ معلومات کے ساتھ عام فائلوں کی شناخت کے نتیجے میں مقامی سسٹم پر پائے جانے والے خفیہ ڈیٹا کو بھیجنے پر آتی ہیں۔

ماخذ: opennet.ru

نیا تبصرہ شامل کریں