Популярность имеет свои минусы. Чем популярней язык программирования, тем выше его распространённость, а значит найдутся те кто поспешит воспользоваться этим.
С ростом популярности Python всё больше на PyPi появляется вредоносных пакетов. Трояны, стиллеры и доставщики более опасных вредоносов.
Команда PyPi постоянно мониторит подобные случаи но и их возможности достигли предела. В результате сервис временно закрывает возможность заливки новых пакетов и регистрации юзеров.
PyPI new user and new project registrations temporarily suspended
Возможно одной из причин большого наплыва вредоносов является резко возросшая доступность их создания. Сегодня любой, даже не программист, может попросить у ChatGPT написать необходимый код и все инструкции для атаки.
Основной тип атаки - рассчёт на опечатку в названии пакета. Если невнимательный программист случайно установит pilow или djangoo, считай что вредонос уже в системе.
Чтобы избежать подобных факапов я рекомендую:
▫️ Всегда работайте в виртуальном окружении, неизвестные проекты устанавливайте внутри контейнеров.
▫️ Используйте файл requirements.txt вместо ручной установки пакетов
▫️ Очень внимательно пишите названия пакетов, а после написания проверьте еще раз. Сверьте с названием из документации.
▫️ После успешных тестов всегда фиксируйте версию пакета. Бывали случаи когда опасный код добавляли в новые версии. К тому же и без этой опасности не рекомендуется ставить по умолчанию последнюю версию.
▫️ Используйте вспомогательные инструменты для проверки безопасности, например https://pyup.io/safety или https://github.com/PyCQA/bandit. Они помогут не только найти опасный код в чужих пакетах, но и ваш код проверит на уязвимости.
Будем надеяться что PyPi переосмыслит методы борьбы с вредоносами, например внедрит ИИ для проверки как симметричный шаг.
#offtop
❄️Telegram qish mavsumi uchun chatlarga qor parchalari animatsiyasini qo‘shibdi
Bu chiroyli ko‘rinsa ham, xabar yozish jarayonida foydalanuvchini chalg‘itadi. Profil qismida bu unchalik sezilmas edi, chat ichida esa ortiqcha bo‘lib qolgan.
Shunga o‘xshash holat premiumda kanal fonini almashtirish imkoniyatida ham bor. Ba’zi kanal adminlari kontrastsiz rasmlarni fon qilib qo‘yishadi va zaharli ranglar koʻzni charchatadi, oʻqish noqulay boʻladi.
Har qanday feature'ni “qulaylik” deb foydalanuvchiga topshirib qo‘yish ham to‘g‘ri emas. Chunki, userlar dizayn yoki UX mutaxassisi emas, o‘ziga yoqqan, ammo boshqalar uchun noqulay variantlarni qoʻllash ehtimollari juda yuqori...
@suxrobblog
#UX#Usability#ProductDesign
💣 Когда стремление «упростить» путь пользователя приводит к его усложнению и кое к чему похуже
Часто мы пытаемся упростить пользователю жизнь сократив количество кликов, но иногда это «упрощение» идет вразрез с предсказуемостью интерфейса и приводит к потере данных. Я столкнулся именно с таким кейсом в Яндекс Картах...
Суть проблемы в поведении кнопки «сохранить в список». В ней одновременно существует две противоположные логики. Я назвал это «Кнопкой Шрёдингера»:
1️⃣ Если вы добавили место на карте только в один список, то повторное нажатие на кнопку закладки мгновенно удаляет её (без предупреждения... вместе с написанной заметкой).
2️⃣ Но если место сохранено в два и более списков, то система ведет себя иначе и открывает модальное окно выбора, позволяя выбрать другой список и переписать описание
Я сначала я думал, что это просто баг.
Потом нащупал закономерность, и понял, что это всё-таки осознанный (и очень спорный) UX-паттерн...
@Apollosvg ⋅ #bad#practice ⋅ #ux#ui#productdesign#usability
200M for Email Simplification App!
In 2013, a startup created a user-friendly email app to combine personal and work emails, reducing clicks to complete tasks. Microsoft acquired the app for $200 million after 18 months. Initially, it reached 3 million users at launch, soaring to hundreds of millions three years later. The founder emphasized a goal to simplify, not reinvent, email—echoing Dropbox's approach of enhancing existing solutions. Glassnode notes a 49.6% increase in new investors controlling bitcoin supply, with long-term holders redistributing assets, though it's not seen as a bearish signal. Insights from tech analyst Ali Martinez suggest declining hype around AI agents, affecting specific token prices. Polymarket users estimate a 12% chance the US government will sell seized BTC before Trump's inauguration, with $6.5 billion at stake.
#Email#Microsoft#Startup#Acquisition#Usability#Glassnode#Bitcoin#Investors#Crypto#AI#MarketTrends#Polymarket#BTC#Trading#Innovation#TechNews#VC#Fundraising#TechAnalytics#Distribution