<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On 2 June 2017 at 18:05, Nick Coghlan <span dir="ltr"><<a href="mailto:ncoghlan@gmail.com" target="_blank">ncoghlan@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-">On 2 June 2017 at 09:00, Nick Timkovich <<a href="mailto:prometheus235@gmail.com">prometheus235@gmail.com</a>> wrote:<br>
</span><span class="gmail-">> This issue was also brought up in January at<br>
> <a href="https://github.com/pypa/pypi-legacy/issues/585" rel="noreferrer" target="_blank">https://github.com/pypa/pypi-<wbr>legacy/issues/585</a> then just as after the<br>
> initial "typosquatting PyPI" report (June 2016) it's met with resounding<br>
> silence. Attacking the messenger doesn't seem like a winning move from a<br>
> security standpoint.<br>
><br>
> Can we come up with a plan to address the underlying issue and protect<br>
> users?<br>
<br>
</span>I like the suggestion of an auto-generated "common 404" blacklist,<br>
where regularly queried-but-nonexistent names can't be registered<br>
without prior approval by the PyPI admins or the PSF.<br></blockquote><div><br></div><div>I like it also, but it adds an additional administration burden on top of that which is not being coped with at the moment.</div><div><br></div><div>117 open issues in <a href="https://github.com/pypa/pypi-legacy/issues">https://github.com/pypa/pypi-legacy/issues</a></div><div>219 open support tickets in <a href="https://sourceforge.net/p/pypi/support-requests/">https://sourceforge.net/p/pypi/support-requests/</a></div><div><br></div><div><br></div><div>    Richard</div><div><br></div></div></div></div>