「‘-‘ という名前の、中身が無いのに70万回ダウンロードされてる謎のnpmパッケージ – 秋元@サイボウズラボ・プログラマー・ブログ」
…なにこれ怖い。
TDLみたいに(TDLのrfcにそんな規約は無いと思うが) (TDLは東京ディズニーランド。正しくはTLD(top-level domain)でした。完全に頭がバグっている気がする)3文字以上の英単語と記号であること…みたいなルールを課した方がいいのでは?
これ同様に-iみたいなよく打ちそうでnpmのオプションにないパッケージを作ってもインストールされる気がする。-だけだとコマンド・オプションに認識されないからインストールされるだけで-iはコマンドオプション扱いになるのかもしれませんが。
…で、バックドアにされたりするような気もする。
あとはよくありそうなstartとかgetsとかpassとかpasswordみたいな単語もこの手の間違いインストールを誘発するような気がする。
…全部憶測だけど。他のパッケージ系ツールでも、似たようないらずらを考える人が増えるのではないか???
(追伸 2021/08/04)TLDに限らずRFCはどうなっているか?
「ドメイン名:実装と仕様」ググって出てきたドメイン文字数について書かれていそうなRFC1035には文字数上限が書かれているが下限は書かれていないように見える。
コメント