Questo è un comportamento intenzionale nella loro applicazione Web, il motivo è che PyPI è il repository software di terze parti ufficiale di Python. È come il catalogo di tutti i pacchetti Python open source. Le opzioni .htaccess -Indexes non sono il problema qui, dato che si tratta di pacchetti Open Source ed è pubblico in modo tale che chiunque può accedere manualmente al sito e al download, se non che potrei cercare lo stesso dal mio terminale di pip search twitter per esempio e mi elencherà lo stesso numero di pacchetti di parole chiave di twitter che ha pypi.python.org/simple.
L'Opensource si occupa in questo modo, se noti che Ubuntu Repo, i repository Debian non hanno .htaccess e puoi facilmente leggere tutte le cartelle e sottocartelle del repository. La maggior parte dei fornitori di software e della comunità open source funziona allo stesso modo, perché non vi è alcuna divulgazione di informazioni dannose di un open source in quanto sono già aperti !! Un altro motivo è che possono MIRROR tutto il contenuto dei pacchetti del sito e possono essere utilizzati per il download se persiste un problema in Repo principale.
Suppongo che tu ti stia riferendo al programma Bug Bug di Internet di Python di Hackerone, e se riporti questo bug sicuramente è un N / A lì a causa di un comportamento intenzionale