PyPI Preventing Domain Resurrection Attacks
Кратко
PyPI теперь ежедневно отслеживает, не истёк ли домен, к которому привязан e-mail пользователя. Если домен переходит в «период искупления» (redemption), адрес автоматически становится «неподтверждённым», что блокирует атаку «воскрешения» домена и захват аккаунта через восстановление пароля. С июня 2025 г. таким образом аннулировано более 1 800 адресов.
Как работает атака
- Владелец забывает продлить домен.
- Злоумышленник выкупает домен, поднимает почту, запрашивает сброс пароля PyPI.
- До внедрения 2FA (до 1 янв 2024) это давало полный доступ; теперь нужно ещё обойти второй фактор, но риск остаётся.
Жизненный цикл домена
Активен → дата окончания → льготный период (до 45 дней) → redemption (30 дней, высокая цена) → 5 дней «pending delete» → освобождение. PyPI проверяет статус раз в 30 дней через API Domainr и действует до момента смены владельца.
Что делает PyPI
- С апреля 2025 ежедневный мониторинг.
- При переходе в redemption статус e-mail меняется на «unverified».
- Пользователю приходит уведомление; повторное подтверждение возможно только после продления домена.
Совет пользователям
- Продлевайте домены заранее.
- Используйте надёжный почтовый сервис с авто-продлением.
- Добавьте резервный подтверждённый адрес на стабильном домене.
Комментарии (37)
- Проблема повторного использования email-адресов после удаления аккаунтов ставит под угрозу цифровую идентичность и безопасность пакетов (Maven, Go).
- Google и Microsoft по-разному подходят к блокировке «мертвых» доменов и email, но единого стандарта нет.
- URI-импорты и доменные namespace кажутся хрупкими: домен может истечь, а пакет — подмениться.
- Сильная криптографическая идентичность (PGP, Keybase, SigSum) технически решена, но не взлетела из-за UX, потери ключей и репутационных проблем крипто-мира.
- Участники сходятся во мнении: нужно что-то простое, децентрализованное и без единой точки отказа, но пока нет рабочего массового решения.
Комментарии (49)
I’ve used the reverse. When making a new module I’ve let the llm make up an api and I’ve used the names suggested as inspiration of what might come natural to others, to make the use more intuitive. > LLMs hallucinated a package named "huggingface-cli" [...] it is not the name of
Комментарии (87)
With the rise of these retro-looking websites, I feel it's possible again to start using a browser from the '90s. Someone should make a static-site social media platform for full compatibility. Argh, Yahoo is happening again!(For the youth, this is basically what Yahoo was, origi