The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Эксперимент по получению контроля над пакетами в репозитории AUR"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Эксперимент по получению контроля над пакетами в репозитории AUR"  +/
Сообщение от opennews (??), 27-Окт-22, 14:13 
Опубликованы результаты эксперимента по захвату контроля над пакетами в репозитории AUR (Arch User Repository), применяемом для распространения  сторонними разработчиками своих пакетов без включения в основные репозитории дистрибутива Arch Linux. Исследователи подготовили скрипт, проверяющий истечение регистрации доменов, фигурирующих в файлах PKGBUILD и SRCINFO. В ходе запуска данного скрипта было выявлено 14 просроченных домена, используемых в 20 пакетах для загрузки файлов...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=57992

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Эксперимент по получению контроля над пакетами в репозитории..."  –2 +/
Сообщение от Аноним (1), 27-Окт-22, 14:13 
Проблемы AUR-помойки, не?
Ответить | Правка | Наверх | Cообщить модератору

3. "Эксперимент по получению контроля над пакетами в репозитории..."  +10 +/
Сообщение от keydon (ok), 27-Окт-22, 14:15 
Да, но хороший повод проверить свою помойку.
Ответить | Правка | Наверх | Cообщить модератору

39. "Эксперимент по получению контроля над пакетами в репозитории..."  –1 +/
Сообщение от ip1982 (ok), 27-Окт-22, 17:07 
http://apt.pashev.ru
Ответить | Правка | Наверх | Cообщить модератору

48. "Эксперимент по получению контроля над пакетами в репозитории..."  +6 +/
Сообщение от ВлезВВетку (?), 27-Окт-22, 17:25 
Они заскамили никому не нужные мертвые пакеты, которые не удалили потому что все о них забыли потому что никому не нужные мертвые пакеты, которые не удалили...
Ответить | Правка | Наверх | Cообщить модератору

101. "Эксперимент по получению контроля над пакетами в репозитории..."  +1 +/
Сообщение от Аноним (101), 27-Окт-22, 21:52 
да тут ситуация ваще вахх, прикинь из этих 20 пакетов 2 брошены и 4 удалены
mesen-s-bin         удалён
servicewall-git     удалён
kygekteampmmp4      удалён
gmedit-bin          удалён
totd                брошеный
xcursor-theme-wii   брошеный

то есть я прямо сейчас могу завладеть этими пакетами, брошеные подобрать, а удалённые завести обратно, это вообще не проблема, короче, высосали проблему из пальца
ты тока не говори этим критиканам, пусть думают что арч плохой, пусть глупцы другие дистры аккупируют

Ответить | Правка | Наверх | Cообщить модератору

11. "Эксперимент по получению контроля над пакетами в репозитории..."  –8 +/
Сообщение от лютый жабби.... (?), 27-Окт-22, 14:33 
>Проблемы AUR-помойки

лет 5-6 сидел в Арче, AUR не нужен. (а с появлением void и весь арч не нужен)

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

24. "Эксперимент по получению контроля над пакетами в репозитории..."  +3 +/
Сообщение от Аноним (24), 27-Окт-22, 15:34 
Один ты тут самый нужный(НЕТ).
Ответить | Правка | Наверх | Cообщить модератору

31. "Эксперимент по получению контроля над пакетами в репозитории..."  +8 +/
Сообщение от I.F.K. (?), 27-Окт-22, 16:51 
>>Проблемы AUR-помойки
> лет 5-6 сидел в Арче, AUR не нужен. (а с появлением void
> и весь арч не нужен)

Без AURопомойки на Арче пц как грустно, там в официальных репах пакетов кот наплакал.
Что по сабжу, печально конечно, но ожидаемо. Кто юзает Арч и не учитывает, что он может быть дыряв и наивно полагает, что качество его сборки и секурность выше, чем у промышленных систем, тот ССЗБ!

Арч это про новинки и опробывание новых фич, а не про суперсекурность, стабильность и порядок и продуманность в архитектуре системы.

Это как гараж энтузиаста-инжЫнера, в котором автомобиль быстро собирают/пересобирают, ради придавки к скорости и мощности, там некогда мастырить красивые кресла, ремни и подушки безопасности, зачастую там и дверей с креслами вообще нет, гоняют с голым кузовом, зато, почти что с самыми последними открытиями и изобретениями по улучшению возможностей железа. Это про таких людей, про изобретателей, тестировщиков, которым надо быстро собрать простой как сапог пакет и обкатать, также быстро.

Кто ожидает от Арча другого, на полном серьёзе, тот наивный, заблуждающийся человек.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

43. "Эксперимент по получению контроля над пакетами в репозитории..."  +1 +/
Сообщение от Diozan (ok), 27-Окт-22, 17:11 
Спасибо, кэп.
Ответить | Правка | Наверх | Cообщить модератору

75. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от Аноним (75), 27-Окт-22, 19:19 
>качество его сборки и секурность выше, чем у промышленных систем, тот ССЗБ!

Согласен, но аргументация в стиле "ынтыпрайз это круто и надежно, потому что это ынтырпрайз". Продуманность в арчике есть, проблема, что дикий rolling без минимальных выдержек + серьёзные претензии к ЛПРам, которые ведутся на всякое гно, типа системд.
>Арч это про новинки и опробывание новых фич,

Возможно, но лучше почитать https://wiki.archlinux.org/title/Arch_Linux#Principles
>а не про суперсекурность,

Секурность уровня ваниллы/апстрима.
>стабильность и порядок

Rolling не то чтобы подразумевает спотыкания, но неизбежно к ним приводит.
>и продуманность в архитектуре системы.

Продуманность есть (или была до затягивания поделки Лёньки).
По новости.
AUR - Arch User Repository - сборник *рецептов* для сборки пакетов, это совсем не [бинарный] репо community. Там дискляймер висит на входе для тупеньких.
>DISCLAIMER: AUR packages are user produced content. Any use of the provided files is at your own risk.

Но ещё раз, aur это не репозитарий, а каталог сборочных сценариев (от себя отмечу ну очень разного качества, хотя тут же оговорюсь, что в среднем по палате они там нормального качества).
Новость - докопка в стиле, что в pre- и post- скрипты можно положить патч Бармина в прямом виде. Можно добавить в сценарий сборки наложение патча из левого [злоумышленника] источника. Можно, как в этом примере зарегать домен (который издох), откуда тягались сорсы и подменить их, если там стоит вместо хэша skip (который следовало применять только для вытягивания исходных кодов по vcs). В конце концов можно залить пару-тройку или наоборот туеву хучу откровенных зловредительских сценариев сборки, и горделиво кричать, мол аур помойка, потому что позволяет заливать такие сценарии. Он позволяет заливать любые сценарии.
И да, любители Yaourt (и других однокнопочных хэлперов) должны страдать - собирать пакет, не прочитав сценарий сборки PKGBUILD - большая глупость, всё равно что ездить на летней резине зимой, а потом сетовать, де, дорогу не чистят, сидя в сугробе в кювете.

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

83. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от I.F.K. (?), 27-Окт-22, 20:29 
>>качество его сборки и секурность выше, чем у промышленных систем, тот ССЗБ!
> Согласен, но аргументация в стиле "ынтыпрайз это круто и надежно, потому что
> это ынтырпрайз". Продуманность в арчике есть, проблема, что дикий rolling без
> минимальных выдержек + серьёзные претензии к ЛПРам, которые ведутся на всякое
> гно, типа системд.
>>Арч это про новинки и опробывание новых фич,
> Возможно, но лучше почитать https://wiki.archlinux.org/title/Arch_Linux#Principles

Мало ли что там в принципах, декларировать - не значит исполняется всеми на практике, обещать - не значит жениться.
По факту есть достаточная доля тестировщиков, как и самих разработчиков, которым проще обкатывать свои поделия на Арче, на арчеюзерах, по ряду причин, от технических, до "мировоззренческих".
>>а не про суперсекурность,
> Секурность уровня ваниллы/апстрима.
>>стабильность и порядок

Если речь про AUR, то не только, и да, я знаю, что AUR вообще васянство неофициальное, но речь не об этом же.
В остальном, ванила - не значит секурнее версии, которую патчили в продакшон-проекте.

> Rolling не то чтобы подразумевает спотыкания, но неизбежно к ним приводит.
>>и продуманность в архитектуре системы.
> Продуманность есть (или была до затягивания поделки Лёньки).

Продуманность это относительное понятие, смотря с чем сравнивать и какие требования вы предъявляете.
На фоне других проектов Arch довольно прост, в этом сила, но из этого выходят и минусы, для кого-то они достаточно весомые, чтобы этот дистрибутив не использовать.

Systemd сломал принцип KISS, как по мне. Ну и переусложнён, а значит имеет потенциально больше проблем и возможностей натыкать туда всякой гадости. Но, если даже абстрагироваться от него, то в Арче и без него достаточно проблем, с точки зрения, как рядового пользователя, так и продакшона.

> По новости.
> AUR - Arch User Repository - сборник *рецептов* для сборки пакетов, это
> совсем не [бинарный] репо community. Там дискляймер висит на входе для
> тупеньких.
>>DISCLAIMER: AUR packages are user produced content. Any use of the provided files is at your own risk.
> Но ещё раз, aur это не репозитарий, а каталог сборочных сценариев (от
> себя отмечу ну очень разного качества, хотя тут же оговорюсь, что
> в среднем по палате они там нормального качества).

Спасибо КЭП, я не опровергал этого и не утверждал обратного, но если вы просто хотели ещё раз для аудитории, которая не в курсе, об этом сообщить, то ОК, пусть будет!

>[оверквотинг удален]
> зарегать домен (который издох), откуда тягались сорсы и подменить их, если
> там стоит вместо хэша skip (который следовало применять только для вытягивания
> исходных кодов по vcs). В конце концов можно залить пару-тройку или
> наоборот туеву хучу откровенных зловредительских сценариев сборки, и горделиво кричать,
> мол аур помойка, потому что позволяет заливать такие сценарии. Он позволяет
> заливать любые сценарии.
> И да, любители Yaourt (и других однокнопочных хэлперов) должны страдать - собирать
> пакет, не прочитав сценарий сборки PKGBUILD - большая глупость, всё равно
> что ездить на летней резине зимой, а потом сетовать, де, дорогу
> не чистят, сидя в сугробе в кювете.

Новость, как новость. Понятное дело, что официально к Арчу по этой теме не докопаться, потому что это неофициальный "нерепозиторий непакетов", однако, разумные адекватные пользователи Арча, а такие внезапно есть, и без этого знают что к чему, если логика и опыт есть, они и так ожидают возможности чего-то подобного. Скорее ЦА жертв подобных "атак", это "рачешкoлoта", которые наслушались про протухлые пакеты, и что условная бубунта нимодна и для лохов, потсоны не будут уважать..., не знаю что там сейчас из аргументов уже у них, не слежу за цирком.

Ответить | Правка | Наверх | Cообщить модератору

118. "Эксперимент по получению контроля над пакетами в репозитории..."  +1 +/
Сообщение от лютый жабби.... (?), 28-Окт-22, 08:20 
>Без AURопомойки на Арче пц как грустно, там в официальных репах пакетов кот наплакал.

ты не кэп, ты сказочник. пакетов под 10к, просто не надо зацикливаться на знакомых названиях.
ВСЕГДА, когда меняешь дистриб, возникает "блин, тут нет windowmaker (зато есть icewm). нет xlockmore, зато есть xtrlock.
нет geeqie, есть что-то другое ит итп

вот на centos + epel можно сказать что больновато на десктопе, на арче вообще нет дискомфорта. в том числе и со стабильностью.

арчешкольник - это не юзер арча, а хейтер арча )))

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

131. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от Аноним (131), 28-Окт-22, 20:55 
>пакетов под 10к

13468 шт
В переводе на дебьяновские, кстати, все 20к, ибо не разбивают пакеты на -dev -help -debug итп

Ответить | Правка | Наверх | Cообщить модератору

78. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от Аноним (78), 27-Окт-22, 19:43 
Любой достаточно популярный репозиторий (включая всякие аппсторы и снапкрафты), в который пакеты добавляются самими разработчиками, а не мейнтейнерами дистрибутива, неизбежно будет использован для распространения вредоносного кода.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

4. "Эксперимент по получению контроля над пакетами в репозитории..."  –7 +/
Сообщение от Герострат (?), 27-Окт-22, 14:16 
Поэтому aur лучше использовать по минимуму, особенно когда есть флатпак. Это не новость
Ответить | Правка | Наверх | Cообщить модератору

5. "Эксперимент по получению контроля над пакетами в репозитории..."  +4 +/
Сообщение от Аноним (5), 27-Окт-22, 14:20 
в смысле когда есть лишний десяток терабайт?
Ответить | Правка | Наверх | Cообщить модератору

71. "Эксперимент по получению контроля над пакетами в репозитории..."  –1 +/
Сообщение от Аноним (71), 27-Окт-22, 18:34 
Неужели во flatpack каждая программа занимает по террабайту?
Или у очередного эксперта обострение психоза и он путает свои фантазии с реальностью?
Ответить | Правка | Наверх | Cообщить модератору

79. "Эксперимент по получению контроля над пакетами в репозитории..."  +3 +/
Сообщение от ан (?), 27-Окт-22, 19:45 
Каждая программа во flatpack занимает примерно гиг, а если ей ещё и райнтайм свой нужен, который ещё не устанавливался, то больше 3х гиг. Как только удаляю, например, PyCharm во флэтпаке, так на /var сразу 4,5 гига освобождается.
Ответить | Правка | Наверх | Cообщить модератору

99. "Эксперимент по получению контроля над пакетами в репозитории..."  –3 +/
Сообщение от Аноним (99), 27-Окт-22, 21:42 
Сейчас 2022 года на секундочка, чисто чтобы ты был в курсе.
Ответить | Правка | Наверх | Cообщить модератору

111. "Эксперимент по получению контроля над пакетами в репозитории..."  +3 +/
Сообщение от YetAnotherOnanym (ok), 27-Окт-22, 23:28 
Канешна, точна-точна, согласно программе информационной трансформации общества, разработанной Министерством цифрового развития РФ, для хранения одного бита начиная с 2022 года предоставляется 32 байта дискового пространства, из них 24 байта предоставляются за счёт бюджета в рамках государственно-частного партнёрства. В перспективе этот показатель планируется довести до 64 байт на один бит, из них от 48 до 56 байт за счёт бюджета.
Ответить | Правка | Наверх | Cообщить модератору

123. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от Аноним (123), 28-Окт-22, 11:05 
Что ты несёшь?
Ответить | Правка | К родителю #79 | Наверх | Cообщить модератору

93. "Эксперимент по получению контроля над пакетами в репозитории..."  –2 +/
Сообщение от Michael Shigorinemail (ok), 27-Окт-22, 21:13 
Даже когда есть лишний ~десяток терабайт, ему можно найти применение получше. :)
e16c:~> lsblk | grep -Fv part
NAME        MAJ:MIN RM   SIZE RO TYPE MOUNTPOINT
sda           8:0    0 476,9G  0 disk
sdb           8:16   0   7,3T  0 disk /backup
nvme0n1     259:0    0 447,1G  0 disk

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

7. "Эксперимент по получению контроля над пакетами в репозитории..."  –4 +/
Сообщение от Мимокрокодил (?), 27-Окт-22, 14:25 
> Поэтому aur лучше использовать по минимуму, особенно когда есть флатпак. Это не
> новость

Всё много проще, Arch не продакшон дистр, лучше вообще его не использовать для серьёзных дел, а по-хорошему - вообще.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

18. "Эксперимент по получению контроля над пакетами в репозитории..."  –1 +/
Сообщение от Аноним (18), 27-Окт-22, 15:19 
Поехали по кругу почему линукс подразумевает для своей работы сборку всего мира вокруг одних версий либ от сторонних разработчиков для своей работы. При это все эти либы жестко связаны между собой в рамках версии дистрибутива.

Именно поэтому для продакшена достаточно одно единственного докера хоть в арче хоть в дебиана.

Ответить | Правка | Наверх | Cообщить модератору

32. "Эксперимент по получению контроля над пакетами в репозитории..."  +1 +/
Сообщение от Я не шучу (?), 27-Окт-22, 16:55 
> Поехали по кругу почему линукс подразумевает для своей работы сборку всего мира
> вокруг одних версий либ от сторонних разработчиков для своей работы. При
> это все эти либы жестко связаны между собой в рамках версии
> дистрибутива.
> Именно поэтому для продакшена достаточно одно единственного докера хоть в арче хоть
> в дебиана.

Вас тяжело парсить, получается один обзац идёт вразрез с другим, не надо так

Ответить | Правка | Наверх | Cообщить модератору

94. "Эксперимент по получению контроля над пакетами в репозитории..."  +1 +/
Сообщение от Michael Shigorinemail (ok), 27-Окт-22, 21:14 
> почему линукс подразумевает для своей работы сборку всего мира
> вокруг одних версий либ от сторонних разработчиков для своей работы

Нет.

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

23. "Эксперимент по получению контроля над пакетами в репозитории..."  –1 +/
Сообщение от Lost Inside (ok), 27-Окт-22, 15:30 
Ну как бы уже rolling release намекает насчет продакшена.
А на хомячий ПК, чтобы не заморачиваться с обновлением релиза, - очень даже.
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

33. "Эксперимент по получению контроля над пакетами в репозитории..."  –3 +/
Сообщение от Мимокрокодил (?), 27-Окт-22, 16:58 
> Ну как бы уже rolling release намекает насчет продакшена.
> А на хомячий ПК, чтобы не заморачиваться с обновлением релиза, - очень
> даже.

На хомячем ПК в лучшем случае стоит сорта бубна, как правило минт.
В последнее время, не без влияния всяких новоиспечённых линухоинфлюенсёрных блохиров это ещё и бамжара и с недавнего времени федора.

Но, у этой категории хомячья времени на анализ и собственые умозаключения нет, им надо поспевать за своими кумирами, которым они в рот смотрят и как бандерлоги ведутся на любые бредни со стороны их заклинателя.

Ответить | Правка | Наверх | Cообщить модератору

77. "Эксперимент по получению контроля над пакетами в репозитории..."  +1 +/
Сообщение от Timoteo Cirkla (ok), 27-Окт-22, 19:39 
Ну вот у меня хомячий комп для музыки, видео, тырнет-прокрастинации, редактуры фоток и монтажа видео. И у меня не бубунта, а суся.
Ответить | Правка | Наверх | Cообщить модератору

84. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от I.F.K. (?), 27-Окт-22, 20:35 
> Ну вот у меня хомячий комп для музыки, видео, тырнет-прокрастинации, редактуры фоток
> и монтажа видео. И у меня не бубунта, а суся.

И? Это типа аргумент против или где?
Не пугайте меня пожалуйста!

Ответить | Правка | Наверх | Cообщить модератору

95. "Эксперимент по получению контроля над пакетами в репозитории..."  –2 +/
Сообщение от Michael Shigorinemail (ok), 27-Окт-22, 21:15 
> Ну вот у меня хомячий комп для музыки, видео, тырнет-прокрастинации,
> редактуры фоток и монтажа видео. И у меня не бубунта, а суся.

Примерно аналогично, только альт (поскольку эльбрус).

Граждане, не толкаемся, проходим!  С задней площадки передавайте на перепись!

Ответить | Правка | К родителю #77 | Наверх | Cообщить модератору

19. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от iPony129412 (?), 27-Окт-22, 15:20 
Так flatpak тоже сорт того самого.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

56. "Эксперимент по получению контроля над пакетами в репозитории..."  +1 +/
Сообщение от Аноним (56), 27-Окт-22, 17:38 
Ну значит следующим номером будет "Эксперимент по получению контроля над контейнерами в репозитории Flathub". Где ты вирусню вообще охренеешь искать.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

6. "Эксперимент по получению контроля над пакетами в репозитории..."  +1 +/
Сообщение от CCs d ukfpf jmz hjcf (?), 27-Окт-22, 14:23 
"Тем не менее, оказалось, что сопровождающие около 35% пакетов в AUR используют в файле PKGBUILD параметр "SKIP" для пропуска проверки контрольной суммы (например, указывают sha256sums=('SKIP')). Из 20 пакетов с просроченными доменами параметр SKIP использовался в 4."

А мне кто-то с пеной у рта пытался доказывать, что AURопомойка это не помойка, и что пакеты не рандомные по бестолковости васяны собирают.


......
Тут самое время рачеюзерам ляпнуть что-то в духе, а в бубунте/других дистрах также/хуже или же коронное, а я всегда проверяю пакетбилды сам, если вы нет - ССЗБ! Велкам в комментах! xD

Ответить | Правка | Наверх | Cообщить модератору

26. "Эксперимент по получению контроля над пакетами в репозитории..."  +5 +/
Сообщение от lucentcode (ok), 27-Окт-22, 15:36 
Сам писал PKGBUILD для себя, и что-то даже пушил в AUR. И я проверяю PKGBUILD используемых мной пакетов. Скорее из любопытства, чем из соображений безопасности.

Что касается бубунты, как не вспомнить PPA для того, чего нет в официальных репах. И пакеты со сторонних источников, собранных в OBS? И да, левые пакеты, собранные Васяном, это беда многих дистров. Вам никогда в чужих системах с RPM пакеты не из официальных реп не попадались? Launchpad PPA, OBS, репы левых энтузиастов вроде бразильской репы от фанов Fedora, Snap, Flatpack и куча подобного добра. Да когда пакет нужен вчера, и нубу, что не может сам опакетить софт, он установит что угодно и куда угодно по первой найденной им инструкции в интернете. Даже если инструкция начинается с вариантов вроде wget -O- <что-то там> | bash -, многие запустят это, даже не проверив, что там выполняет у них bash, зачастую ещё и запущенный от рута. Удобство vs безопасность — это извечный выбор, где в 99% всегда побеждает удобство.

Да даже на Mac OS X / Windows есть подобные "помойки", как вы говорите. И это нормально.

Ответить | Правка | Наверх | Cообщить модератору

40. "Эксперимент по получению контроля над пакетами в репозитории..."  +1 +/
Сообщение от Свинкс (?), 27-Окт-22, 17:08 
>[оверквотинг удален]
> фанов Fedora, Snap, Flatpack и куча подобного добра. Да когда пакет
> нужен вчера, и нубу, что не может сам опакетить софт, он
> установит что угодно и куда угодно по первой найденной им инструкции
> в интернете. Даже если инструкция начинается с вариантов вроде wget -O-
> <что-то там> | bash -, многие запустят это, даже не проверив,
> что там выполняет у них bash, зачастую ещё и запущенный от
> рута. Удобство vs безопасность — это извечный выбор, где в 99%
> всегда побеждает удобство.
> Да даже на Mac OS X / Windows есть подобные "помойки", как
> вы говорите. И это нормально.

Скажу за себя, камень не в огорода Арча, но факт есть факт, никогда у меня не было проблем с васянопакетами из ppa, личных репозиториев из OBS, зато нередко были проблемы с пакетбилдами из AUR, которые не собирались вообще. Опустим сейчас вопрос секурности, возможных бэкдоров и прочих эксплоитов, просто банальная работа пакета.

Всё всегда у меня работало со сторонних реп, если это не AUR, там тоже по большей части были рабочие пакетбилды, но всё же. Это наверное и отличает роллинги от рядовых дистров. Хотя, я пользовался и sid и сейчас пользуюсь Сизифом, среди прочего, и за год там был только один затык, который не мог разрешить apt-get, который правился руками, это не была проблема работоспособности пакета.

Я это к тому, что каково бы ни было удобство с AUR, а я считаю, что это удобнее, чем чехарда с PPA, но сценарии сборки пакетов там бывают битые.
А мне, как пользователю, уже предельно задолбало нырять в потроха и что-то разруливать, я хочу просто поставить и чтобы всё работало. Сейчас мне пофиг на свежесть пакетов, тем более, сейчас Arch далеко не всегда самая свежая система, поэтому я ушёл от него. Да, я его уважаю, как и его пользователей и тестеров, за одну арчевику я им благодарен безмерно. Но кушать кактус мне уже надоело, старый стал.

Ответить | Правка | Наверх | Cообщить модератору

53. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от Аноним (53), 27-Окт-22, 17:33 
В Арче есть ещё неофициальные бинарные репозитории пакетов, в том числе с AUR:
https://wiki.archlinux.org/index.php/unofficial_user_reposit.../
https://archlinux.pkgs.org/
Ответить | Правка | Наверх | Cообщить модератору

69. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от Аноним (69), 27-Окт-22, 18:16 
> Что касается бубунты, как не вспомнить PPA для того, чего нет в официальных репах.

Справедливости ради, PPA не лезет за исходным кодом в интернет: пакеты там собираются из загруженного автором тарбола, да еще и с подписью.

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

91. "Эксперимент по получению контроля над пакетами в репозитории..."  –1 +/
Сообщение от Аноним (101), 27-Окт-22, 21:02 
дайте угадаю, вам не нравится github поэтому предпочитаете Microsoft Store ?
ведь АУР это по сути "github" для PKGBUILD-ав
Ответить | Правка | Наверх | Cообщить модератору

72. "Эксперимент по получению контроля над пакетами в репозитории..."  –1 +/
Сообщение от Аноним (71), 27-Окт-22, 18:42 
В Snap есть механизм подтверждения разработчика. Что idea собрана jetbrains, а не васей сидоровым под видом jetbrains
Есть сообщество snapcrafters у которых пакеты неофициальные, но какое-никакое рецензирование проходят.
>Windows есть подобные "помойки", как вы говорите. И это нормально.

Но это же плохо ставить программу из помойки. Она там наверняка с трояном.
В windows можно зайти на официальный сайт разработчика gimp, qbittorrent, paint.net и скачать программу прямо от разработчика. А для gnu/linux будет максимум исходники, ведь разработчики не знают под какой из 90000дистрибутивов с несовместимыми форматами пакетов, abi и всем остальным нужно было собрать пакет.

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

128. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от Роман (??), 28-Окт-22, 14:41 
winget в современных реалиях уже зачастую удобнее. Ну или MS Store тоже.

Из того что ставил за последний год или около того, почти всю оттуда, без всяких сайтов даже

Ответить | Правка | Наверх | Cообщить модератору

34. "Эксперимент по получению контроля над пакетами в репозитории..."  +2 +/
Сообщение от Аноним (53), 27-Окт-22, 16:58 
Судя по названиям пакетов (скриптов сборки) их пользовательская база - 1-2 человека. И даже среди столь непопулярных пакетов лишь малый процент оказался "уязвим". Так ещё и со стороны источника.
Это при том, что многие сопроводители AUR чуть ли не сами себе предоставлены. Вот это, я понимаю, профессионализм и дисциплина, горжусь арчеводами.

А что до корпоративной Убунты (а точнее её базы - продакшн-рэди Дебиана). Там есть, например, такой популярный пакет - Grub2, который стоит, пожалуй, что у каждого. И в который сопроводитель добавляет свои портянки на Си, по каким-то загадочным причинам не принятые апстримом, чтобы реализовать функциональность, которую можно добавить одной строчкой на Shell. И из-за этих патчей там (и только там) регулярно всплывают уязвимости.

Но что-то не слышно воплей опеннет-экспертов по помойкам. Наверное потому, что эти "эксперты" - суть попугаи, что услышали, то и повторяют. Своего ума нету.

А был бы ум, знали бы, что хорошо не там, где нет ошибок, ошибки есть везде, а там, где их ищут, находят и исправляют. И ситуация даже в одном дистрибутиве очень разнородная. Чему-то досталось больше внимания, что-то как-то работает - уж хорошо. Хочешь сделать хорошо, приди и сделай хорошо.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

44. "Эксперимент по получению контроля над пакетами в репозитории..."  +1 +/
Сообщение от Эксперт опеннета к эксперту опеннета (?), 27-Окт-22, 17:13 
> А что до корпоративной Убунты (а точнее её базы - продакшн-рэди Дебиана).
> Там есть, например, такой популярный пакет - Grub2, который стоит, пожалуй,
> что у каждого. И в который сопроводитель добавляет свои портянки на
> Си, по каким-то загадочным причинам не принятые апстримом, чтобы реализовать функциональность,
> которую можно добавить одной строчкой на Shell. И из-за этих патчей
> там (и только там) регулярно всплывают уязвимости.

Прошу портянку с сылками на "там и только там регулярные всплывающие уязвимости"!

Ответить | Правка | Наверх | Cообщить модератору

54. "Эксперимент по получению контроля над пакетами в репозитории..."  –1 +/
Сообщение от Аноним (53), 27-Окт-22, 17:34 
Поиск по Опеннету не работает?
Ответить | Правка | Наверх | Cообщить модератору

55. "Эксперимент по получению контроля над пакетами в репозитории..."  –1 +/
Сообщение от Аноним (53), 27-Окт-22, 17:38 
https://www.google.ru/search?q=уязвим+grub+debian site:opennet.ru
Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

85. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от Эксперт опеннета к эксперту опеннета (?), 27-Окт-22, 20:41 
> https://www.google.ru/search?q=уязвим+grub+debian site:opennet.ru

Во 1х это не испрашиваемый список, а приглашение самому искать за вас озвученное вами, что не одно и то же.
Во 2х, каким образом это доказывает утверждение о "там (и только там) регулярно всплывают уязвимости"?!

Ответить | Правка | Наверх | Cообщить модератору

8. "Эксперимент по получению контроля над пакетами в репозитории..."  +4 +/
Сообщение от Аноним (8), 27-Окт-22, 14:25 
Любой немодерируемый вручную репо - помойка и потенциальная дыра, которой, пока еще не воспользовались. Ключевое слово "пока".
Пакеты npm, pypi, плагины vim - это то, что меня лично беспокоит.
Любой, кто получит контроль над репо в github, а так же легальный владелец репо, если он вдруг решит добавить зловред в свой код - может с вашей машины что угодно увести - приватные ключи, кошельки для крипты, что угодно вообще.
То, что код открыт - это ничего не значит. Коммиты в большинстве реп никто не смотрит/проверяет, потому что нахрен не надо, другие заботы есть.
Ответить | Правка | Наверх | Cообщить модератору

12. "Эксперимент по получению контроля над пакетами в репозитории..."  +2 +/
Сообщение от Аноним (12), 27-Окт-22, 14:38 
Всё так. И мне непонятно почему об этом никто не трубит. По сути выполняется с полномочиями пользователя произвольный код.
Ответить | Правка | Наверх | Cообщить модератору

20. "Эксперимент по получению контроля над пакетами в репозитории..."  +1 +/
Сообщение от Аноним (18), 27-Окт-22, 15:21 
Потому что альтернатива уже есть. Полностью закрытый коммерческий проприетарный софт. И не понятно почему ты не хочешь за это платить.
Ответить | Правка | Наверх | Cообщить модератору

38. "Эксперимент по получению контроля над пакетами в репозитории..."  –1 +/
Сообщение от Аноним (53), 27-Окт-22, 17:07 
Закрытый коммерческий код выполняет на твоей машине всякую фигню с куда большей вероятностью, с коммерческой заинтересованностью. Какая же это альтернатива? В открытом, хотя бы, проблему когда-нибудь найдёт либо твоя пара глаза, либо одна из тысячи других.
Ответить | Правка | Наверх | Cообщить модератору

59. "Эксперимент по получению контроля над пакетами в репозитории..."  –2 +/
Сообщение от Аноним (8), 27-Окт-22, 17:52 
С них спрос есть. А с анонима на гитхабе - нет
Ответить | Правка | Наверх | Cообщить модератору

65. "Эксперимент по получению контроля над пакетами в репозитории..."  +2 +/
Сообщение от Аноним (69), 27-Окт-22, 18:07 
Святая наивность. Чел, в любом EULA сказано, что они тебе ничего не должны и ни за что не отвечают.
Ответить | Правка | Наверх | Cообщить модератору

96. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от Аноним (101), 27-Окт-22, 21:26 
ты что наивный ? с кого спрос ? тебе никто ничем не обязан, вы же поставили галочку под километровым пользовательским соглашением, верно ? вот, а теперь иди в суд и что-то там докажи.
да и вообще, твоё дело выполнять план по телеметрии, а не сомневаться в добросовестности мегакорпораций.
Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

102. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от Аноним (8), 27-Окт-22, 21:54 
Давайте-ка отделим мухи от котлет.
Я говорю о намеренном добавлении зловредного функционала в свой код с целью украсть деньги у конечного пользователя своего продукта.
Не про баги и дыры, которые у всех есть и от открытости/закрытости почти не зависят.
Так вот, в таком поведении даже MS с их виндой (которых вы наверняка первыми упомянете в качестве примера разработчика/продукта, не отвечающих ни за что), даже бездоказательно, никто никогда не обвинял.
Если кто-то из разработчиков коммерческого продукта попытается с его помощью ограбить своих пользователей - то получит колоссальный репутационный (и в свою очередь денежный) ущерб, пропорциональный популярности продукта. Навряд ли (имхо точно нет) они смогут украсть больше с от одной до десятков машин (пока не поднимется большой кипеш), чтобы сумма украденного перекрыла эти потери. И если все же да - то у них (фирм) есть названия, адреса, фамилии и т.д., которые известны всем. И никакая ЕУЛА от уголовного кодекса их не защитит.
А теперь с той же позиции посмотрим например на безымянного разработчика маленького, но очень часто загружаемого (угораздило попасть в зависимости к очень популярному проекту) npm-пакета. Что он теряет, если добавит зловред в свой код? Деньги? Нет - он на нем ничего не зарабатывает. Репутацию? Да у большинства мелких пакетов вы даже личности авторов никогда не сможете узнать, чтобы потом попытаться найти у них репутацию :)
Так что, я считаю, очень маловероятно, что коммерческий вендор попытается вас явно обокрасть. Смысла нет (объяснение выше).
И очень вероятно, что это может сделать аноним с гитхаба, который вообще ничем не рискует.
Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

105. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от Аноним (101), 27-Окт-22, 22:30 
ну вы конечно сравнили "анонима мелких пакетов" и корпорации с их мегапроектами, как-то однобоко, ненаходите ? сравнивайте уж мелкие открытые пакеты с мелкими закрытыми программами, и вот беда, у мелких закрытых программ может быть такая же болезнь с анонимностью их создателя но в добавок еще у вас черный ящик вместо открытого кода. Что касается мегапроектов то срени основных разработчиков анонимов нету и репутацией будут дорожить намного больш, как раз в силу открытости кода + git как логирование того - кто, как и когда чего добавил. Для закрытых же проектов при любой непонятной ситуации будут скрывать проблему и заниматься отписками, а чтобы доказать свою правоту у вас банально не хватит ресурсов, а судится на основании догадок это дорогое удовольствие которое простым смертным не по карману, и в лучшем случае вам скажут скачать новую версию в которой уязвимость уже закрыли, но была она намеренной или нет вы никогда не узнаете.
Ответить | Правка | Наверх | Cообщить модератору

109. "Эксперимент по получению контроля над пакетами в репозитории..."  –1 +/
Сообщение от Аноним (8), 27-Окт-22, 23:18 
Вижу, мой посыл требует уточнения.
Я не против (а даже за) открытого кода, и не топлю за закрытый.
Я против:
- использования кода от анонимов - потому что никакой ответственности и (скорее всего) никто не проверяет изменения;
- размытия ответственности (как например, установка 100500 пакетов зависимостей при установке чего-то более-менее большого с npm). тут проблема в том, что часть из 100500 пакетов будут от анонимов (с соответствующими рисками). кроме того, вероятность захвата репы злоумышленником возрастает кратно их количеству.
То есть, самое безопасное - это когда в одном продукте используется код только из одного верифицированного неанонимного источника.
Сравним:
1) Коммерческая IDE, у которой весь код написан в одном месте. Либо также поддерживаются внешние плагины, но они распространяются через их сервер, куда попадают после ручной проверки.
2) Мой vim с 20 плагинами из 20 разных реп, 5 из которых принадлежат анонимам.
Думаю, не сильно ошибусь, если скажу, что второй вариант в ~25 раз менее безопасен. Потому что реп 20, вероятность получения доступа хоть к одной из них в 20 раз выше, чем просто к одной. Плюс один из 5 анонимов может решить поиметь своих юзеров, раз уж ничем не рискует.
Ответить | Правка | Наверх | Cообщить модератору

112. "Эксперимент по получению контроля над пакетами в репозитории..."  +1 +/
Сообщение от Аноним (101), 28-Окт-22, 00:05 
ок, мы выяснили что анонимность это проблема мелкого софта, ну или периферии для крупного как-то плагины. Но разве это проблема когда у тебя есть выбор ? ведь не кто же не заставляет тебя этим пользоваться, ну вот допустим, завтра скажут что на github код можно будет выкладывать тока по паспорту, минимум половина сразу же свалит, это будет мудрое решение ?
все хотят чтобы софта было побольше и бесплатно, а риски чтобы целиком лежали на разработчике, это конечно круто, но ты сам бы желал впрягаться в такие проекты ?
Ответить | Правка | Наверх | Cообщить модератору

117. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от Аноним (8), 28-Окт-22, 08:13 
< ведь не кто же не заставляет тебя этим пользоваться
никто не заставляет, я сам хочу. но, не хочу нести такие существенные риски, какие есть. поэтому я озвучиваю проблему и начинаю размышлять в сторону того, как ее можно решить. многие ведь вообще не знают о ее существовании, или просто не хотят думать о ней.

< завтра скажут что на github код можно будет выкладывать тока по паспорту
отличная идея. только не *только*, а опционально по паспорту. а я в настройках своего менеджера плагинов vim поставлю "не устанавливать плагины от неверифицированных авторов". и все счастливы - те, кто хочет выкладывать код анонимно, и кто согласен юзать такой код - ничего не потеряют. а кто хочет чуть-чуть каких-то (ограниченных, но тем не менее) гарантий - те будут юзать только код от авторов с паспортом. и, я уверен, репы с паспортом будут популярнее, чем без, при прочих равных. и, порядочные анонимы на гитхаб поймут, что в их интересах показать паспорт, раз порядочный. а еще чуть позже в сторону кода без паспорта даже смотреть никто не захочет, кроме единиц маргиналов.

Ответить | Правка | Наверх | Cообщить модератору

127. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от Аноним (101), 28-Окт-22, 12:57 
>но, не хочу нести такие существенные риски

но разве вы не вольны использовать менее рискованный софт ? просто найдите то что вам по вкусу и пользуйтесь, а попытка загнать всех под одну гребёнку никогда ничем хорошим не заканчивалась.

>начинаю размышлять в сторону того, как ее можно решить. многие ведь вообще не знают о ее существовании, или просто не хотят думать о ней.

ну почему же, люди которые хоть немного связанные с IT довольно осознанно принимают риски и не строят из себя бабочек летящих на свет (ну или мух на г..но, каму как нравиться), а думать за блондинок то такое, дело неблагодарное.
что же до оповещений то и их хватает, взять тот же пресловутый АУР, там черным по белому написанно
на самом видном месте главной странницы да и еще выделенно жирным:
=== Отказ от ответственности: Пакеты в AUR содержат предоставленный пользователями контент. Любое использование предоставляемых файлов выполняйте на свой риск. ===
плюс еще в самом внизу каждой страницы дубль, если вдруг забыли
=== Пакеты в AUR содержат предоставленный пользователями контент. Любое использование предоставляемых файлов выполняйте на свой риск. ===
так что с информированием и осознанием проблем быть не должно

>... а еще чуть позже в сторону кода без паспорта даже смотреть никто не захочет, кроме единиц маргиналов.

то что вы предлагаете похоже на бесплатный фрилансинг да еще и при полной ответственности автора за любой косяк в его коде. Идея конечно замечательная, но вы так и не ответили на вопрос - "ты сам бы желал впрягаться в такие проекты ?", ведь от тех же ошибок никто не застрахован и кто знает что случится у многомиллионной компании из за сбоя по вине написанного тобой плагина, ты готов потом несколько лет в судах доказывать что не верблюд ? ага, потом заговорим о профсоюзах для свободных авторов которые бы защищали их интересы в судах и т.д. кроме как разбухание бюрократии и счастливых лиц адвокатских контор это мало чем сулит в будущем.
Если вы считаете что "код по паспорту" может стать популярным трендом то вперёд, организуйте стартап который приблизит это "светлое" будущее, было бы увлекательно посмотреть на заинтересованность разрабов двигаться в данном направлении.

как по мне то золотой серединой в данном вопросе является подпись пакета(пример для арча https://wiki.archlinux.org/title/Pacman/Package_signing) что позволяет верифицировать источник, но вот связывать подпись и реальное "лицо" это уже дело самого разработчика.

Ответить | Правка | Наверх | Cообщить модератору

62. "Эксперимент по получению контроля над пакетами в репозитории..."  –2 +/
Сообщение от пох. (?), 27-Окт-22, 17:58 
> Закрытый коммерческий код выполняет на твоей машине всякую фигню с куда большей
> вероятностью, с коммерческой заинтересованностью.

С куда меньшей, потому что коммерческая заинтересованность обычно вполне явная - вот код, он решает твою проблему, ты за это платишь владельцу.

Зачем ему резать курицу, несущую пусть и не золотые яйца, но регулярно?

А вот что за васян пишет код опакечивания в aur, нахрена он это делает и не придут ли ему завтра на ум идеи быстро поправить пошатнувшееся благосостояние, как ты думаешь?

> Какая же это альтернатива? В открытом,

трень-брень-хрень, секта свидетелей тысячегласса. Его никто не видит но он есть.

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

87. "Эксперимент по получению контроля над пакетами в репозитории..."  –3 +/
Сообщение от Xo (?), 27-Окт-22, 20:43 
Внеочередной бред. Особенно про aur. Зайдите на арчвики и почитайте о его сути, если умеете.
Ответить | Правка | Наверх | Cообщить модератору

68. "Эксперимент по получению контроля над пакетами в репозитории..."  –1 +/
Сообщение от Аноним (68), 27-Окт-22, 18:12 
Внезапно, запуск любого кода, написанный не _лично тобой_ — вопрос доверия. Параноики могут собирать из исходников, лично их предварительно проверив (удачи с каким-нибудь блендером). Для проприетарного софта есть дизассемблер (тоже проприетарный, лол).
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

30. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от Аноним (30), 27-Окт-22, 16:48 
Да и модерируемый тоже. От давления на модераторов до элементарных человеческих ошибок. Суть одна: ничто не является безопасным. Любое взаимодействие с внешним миром несёт определённый риск. Ну так что ж теперь, всю жизнь сидеть под кроватью и в лес не ходить?
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

41. "Эксперимент по получению контроля над пакетами в репозитории..."  –1 +/
Сообщение от Аноним (53), 27-Окт-22, 17:09 
Создавать в лесу систему доверия. Но какое доверие может быть между буржуями? Человек человеку - волк.
Ответить | Правка | Наверх | Cообщить модератору

119. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от Аноним (68), 28-Окт-22, 08:36 
Самое забавное, что это краснопузики придумали. В нормальном мире банально невыгодно друг другу волком быть.
Ответить | Правка | Наверх | Cообщить модератору

129. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от Аноним (129), 28-Окт-22, 18:25 
Так не выгодно, что ты читаешь новости про уязвимости на опеннет, запираешь дверь на два замка и прячешься под одеялом от кровавых большевиков.
Ответить | Правка | Наверх | Cообщить модератору

76. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от Ананоним (?), 27-Окт-22, 19:25 
Под кроватью тоже небезопасно, может из космоса каменюка прилететь, или кровать короед подточит, придавит.
Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

70. "Эксперимент по получению контроля над пакетами в репозитории..."  +1 +/
Сообщение от Аноним (68), 27-Окт-22, 18:18 
> Любой немодерируемый вручную репо - помойка и потенциальная дыра, которой, пока еще не воспользовались. Ключевое слово "пока".

Конечно, лучше быть здоровым и богатым, чем бедным и больным. Только где взять ресурсы на беспрерывный аудит сотен миллионов строк кода?

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

110. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от Аноним (8), 27-Окт-22, 23:22 
Не знаю.
Искать решение. Человечеству оказались по зубам и более серьезные проблемы. Верю, что и для это решение найдется.
Ответить | Правка | Наверх | Cообщить модератору

120. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от Аноним (68), 28-Окт-22, 08:44 
Ага, я не знаю, а человечество пусть решит. Без меня. Таким-то вот образом человечеству оказались не по зубам и менее серьёзные решения.
Ответить | Правка | Наверх | Cообщить модератору

10. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от Аноним (10), 27-Окт-22, 14:31 
Немодерируемые репозитории годны только тогда, когда содержимое не имеет никакого доступа к опасным функциям. Аддоны в нормальных играх, например, только апишку игры могут дергать и собственно всё
Ответить | Правка | Наверх | Cообщить модератору

21. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от Аноним (18), 27-Окт-22, 15:21 
Открой свой платный и хоть умодерируйся.
Ответить | Правка | Наверх | Cообщить модератору

45. "Эксперимент по получению контроля над пакетами в репозитории..."  +1 +/
Сообщение от Аноним (53), 27-Окт-22, 17:13 
Аддоны играх могут дергать всё, что угодно, хоть файлы из ~/.ssh в Интернет отправлять, хоть скриншоты через X-сокет делать, хоть шелл с правами пользователя открыть.

Контроль за расширениями даже в браузерах ещё вчера был не везде. Да и тот, что есть сейчас, довольно слабый. А в играх о таком вообще никто не думает.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

13. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от burik666 (ok), 27-Окт-22, 14:52 
"проблема" высосана из пальца....
Ответить | Правка | Наверх | Cообщить модератору

14. "Эксперимент по получению контроля над пакетами в репозитории..."  +1 +/
Сообщение от Аноним (14), 27-Окт-22, 14:56 
Да, согласин! Бизопасность нинужна.
Ответить | Правка | Наверх | Cообщить модератору

15. "Эксперимент по получению контроля над пакетами в репозитории..."  –3 +/
Сообщение от burik666 (ok), 27-Окт-22, 15:01 
Да с тем же успехом в AUR можно закинуть скрипт с `rm -rf /*`
Ответить | Правка | Наверх | Cообщить модератору

28. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от pfg21 (ok), 27-Окт-22, 15:56 
интересно есть ли при приеме пакетов тест на патч бармина ??
Ответить | Правка | Наверх | Cообщить модератору

25. "Эксперимент по получению контроля над пакетами в репозитории..."  +2 +/
Сообщение от Аноним (56), 27-Окт-22, 15:35 
>Для демонстрации возможности совершения атаки исследователи купили домен одного из пакетов

Могли бы просто мейнтейнеру пакета, который ему больше не нужен, заплатить.

Ответить | Правка | Наверх | Cообщить модератору

29. "Эксперимент по получению контроля над пакетами в репозитории..."  +1 +/
Сообщение от пох. (?), 27-Окт-22, 16:24 
Могли и не платить, просто попросить.

Многие майнтейнеры, давно потерявшие интерес к своим пакетам, спокойно отдадут, даже не поинтересовавшись, кто ты. Хочешь опакечивать - ну и флаг в руки.

То же самое, что характерно, и с авторами самого кода.

И все контрольные суммы - совпадут. Короче, идиоты не в ту сторону воюют.

Ответить | Правка | Наверх | Cообщить модератору

47. "Эксперимент по получению контроля над пакетами в репозитории..."  +1 +/
Сообщение от Аноним (53), 27-Окт-22, 17:17 
В AUR, если пакет заброшен, разрешение сопроводителя не требуется. Один из доверенных пользователей увидит запрос на взятие пакета и одобрит.
Ответить | Правка | Наверх | Cообщить модератору

58. "Эксперимент по получению контроля над пакетами в репозитории..."  +1 +/
Сообщение от пох. (?), 27-Окт-22, 17:49 
> В AUR, если пакет заброшен, разрешение сопроводителя не требуется. Один из доверенных
> пользователей увидит запрос на взятие пакета и одобрит.

я ж говорю - незачем тратить время на ненужное ненужно - его может и не запустит никто никогда.
Просто попроси востребованный пакет. Не первый попавшийся так второй - отдадут не глядя.

Ну это ж опенсорсе, оно так и работает.
Напомнить тебе, почему ublock - "origin" ?

Ответить | Правка | Наверх | Cообщить модератору

36. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от helloworld (?), 27-Окт-22, 17:00 
Могли бы создать свои пакеты, какие угодно.
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

60. "Эксперимент по получению контроля над пакетами в репозитории..."  +1 +/
Сообщение от пох. (?), 27-Окт-22, 17:54 
> Могли бы создать свои пакеты, какие угодно.

А как уговорить тебя их поставить?

Ответить | Правка | Наверх | Cообщить модератору

97. "Эксперимент по получению контроля над пакетами в репозитории..."  –2 +/
Сообщение от Michael Shigorinemail (ok), 27-Окт-22, 21:41 
Ну как -- социнженерия, хайп, всё как обычно.
Но это заморочиться больше надо, чем найти и прикупить бывший домен.
Ответить | Правка | Наверх | Cообщить модератору

121. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от n00by (ok), 28-Окт-22, 09:28 
А если не в теории, а на практике, то переполнение стека в RPM5 обслуживающий персонал (пользуясь случаем, передаю привет ведущему «разработчику» mikhailnov) притянул тупо скопировав из апстрима патч с очевидной ошибкой. Самое смешное случилось, когда я попросил их произвести ревью исправления -- они узнали новое слово.
Ответить | Правка | Наверх | Cообщить модератору

51. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от gumanzoyemail (?), 27-Окт-22, 17:28 
Для демонстрации можно было просто в hosts прописать, зачем покупать домен.
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

57. "Эксперимент по получению контроля над пакетами в репозитории..."  +1 +/
Сообщение от iPony129412 (?), 27-Окт-22, 17:40 
ну так интереснее, всё же реальная демонстрация сильнее
Ответить | Правка | Наверх | Cообщить модератору

27. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от pfg21 (ok), 27-Окт-22, 15:55 
норм. теперича есть набор утилит для тестинга репозитория на троянов в пакетах.  
через несколько лет найдутся еще умные и набор тестов для репозитория увеличится.  
так гайки раздолбайства и закручиваются :)
Ответить | Правка | Наверх | Cообщить модератору

37. "Эксперимент по получению контроля над пакетами в репозитории..."  +2 +/
Сообщение от Аноним (37), 27-Окт-22, 17:06 
Как минимум, стоило бы запретить дальнейший приём пакетов со "SKIP" и установить какой-то разумный срок для уже существующих, чтобы мейнтенеры это исправили, а если забьют, то выкинуть такие пакеты.
Ответить | Правка | Наверх | Cообщить модератору

49. "Эксперимент по получению контроля над пакетами в репозитории..."  +1 +/
Сообщение от Аноним (53), 27-Окт-22, 17:25 
Это не репозиторий, там нет пакетов. Это пользовательские скрипты сборки пакетов. Не поддерживаемые официально, используемые на свой страх и риск, после тщательного изучения. Такова официальная политика дистрибутива в отношении AUR. ПО из AUR, которое хотят (и могут) сопровождать официально, пакетируется доверенными пользователями в репозитории community.
Ответить | Правка | Наверх | Cообщить модератору

88. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от Твая мамка (?), 27-Окт-22, 20:44 
> Это не репозиторий, там нет пакетов. Это пользовательские скрипты сборки пакетов. Не
> поддерживаемые официально, используемые на свой страх и риск, после тщательного изучения.
> Такова официальная политика дистрибутива в отношении AUR. ПО из AUR, которое
> хотят (и могут) сопровождать официально, пакетируется доверенными пользователями в репозитории
> community.

Основную массу рачехомячья это не останавливает

Ответить | Правка | Наверх | Cообщить модератору

50. "Эксперимент по получению контроля над пакетами в репозитории..."  +1 +/
Сообщение от Аноним (131), 27-Окт-22, 17:28 
SKIP в основном используется в vcs версиях пакетов, где софтинка собирается с последнего коммита, и качается не архивом, а командой соответствующей vcs. Никакая проверка там ненужна и не особо возможна.
Ну и 95% сорцов из этих 35% лежит на гитхабе, удачи угнать.
Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

61. "Эксперимент по получению контроля над пакетами в репозитории..."  +1 +/
Сообщение от пох. (?), 27-Окт-22, 17:54 
> SKIP в основном используется в vcs версиях пакетов, где софтинка собирается с
> последнего коммита, и качается не архивом, а командой соответствующей vcs. Никакая
> проверка там ненужна и не особо возможна.
> Ну и 95% сорцов из этих 35% лежит на гитхабе, удачи угнать.

э... в чем проблема-то?! Сто раз так делали.

Ответить | Правка | Наверх | Cообщить модератору

64. "Эксперимент по получению контроля над пакетами в репозитории..."  +1 +/
Сообщение от Аноним (131), 27-Окт-22, 18:04 
Я про предложенный в новости метод с угоном доменного имени.
Зловредный форк выложить намноого проще, чем вся эта акробатика, можно хоть секурным криптоключом подписать.
Ответить | Правка | Наверх | Cообщить модератору

66. "Эксперимент по получению контроля над пакетами в репозитории..."  +1 +/
Сообщение от пох. (?), 27-Окт-22, 18:10 
Оригинал, зачем форк-то. Уж четыре оригинала без особого желания владельцев их дальше тянуть - найдешь. Я и говорю - слишком сложная многоходовочка, непонятно зачем так мучаться.

Ответить | Правка | Наверх | Cообщить модератору

82. "Эксперимент по получению контроля над пакетами в репозитории..."  –1 +/
Сообщение от Аноним (131), 27-Окт-22, 20:23 
Аудитория у заброшенных пакетов где-то 3.5 калеки, форк какой-нибудь модной штуки больше пипла схавает.
Ну и нынче все аур-хелперы диффы показывают, изменения урла и сборки ето палево.
А вот изначально зловредная софтина будет висеть до того самого тыщеглаза.
Ответить | Правка | Наверх | Cообщить модератору

42. "Эксперимент по получению контроля над пакетами в репозитории..."  +3 +/
Сообщение от Аноним (42), 27-Окт-22, 17:09 
То есть из всего AURа они нашли всего 20 пакетов, где skip исплользовался только в 4. Т.е. из ВСЕГО AURа атаке оказались подвержены всего 4 пакета? Не ну это конечно повод перестать пользоваться AURом, что тут сказать
Ответить | Правка | Наверх | Cообщить модератору

46. "Эксперимент по получению контроля над пакетами в репозитории..."  +1 +/
Сообщение от Аноним (46), 27-Окт-22, 17:16 
> То есть из всего AURа они нашли всего 20 пакетов, где skip
> исплользовался только в 4. Т.е. из ВСЕГО AURа атаке оказались подвержены
> всего 4 пакета? Не ну это конечно повод перестать пользоваться AURом,
> что тут сказать

А этого недостаточно, надо было бы, чтобы 20% от всего?

Ответить | Правка | Наверх | Cообщить модератору

63. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от пох. (?), 27-Окт-22, 18:00 
>> То есть из всего AURа они нашли всего 20 пакетов, где skip
>> исплользовался только в 4. Т.е. из ВСЕГО AURа атаке оказались подвержены
>> всего 4 пакета? Не ну это конечно повод перестать пользоваться AURом,
>> что тут сказать
> А этого недостаточно, надо было бы, чтобы 20% от всего?

четырех доменов на всех желающих не хватит, конечно. Тем более один уже купили.


Ответить | Правка | Наверх | Cообщить модератору

90. "Эксперимент по получению контроля над пакетами в репозитории..."  –1 +/
Сообщение от Аноним (101), 27-Окт-22, 20:51 
ну вот смотри, в АУРе лежет порядка 80 тысяч рецептов для сборки пакетов и только у 20 прострочен домен из них тока к 4-м можно придолбаться, ну ок, допустим, злой Вася решил всем навредить и купил  на последние карманные деньги эти домены, но и тут у него выходит облом, так как этими пакетами никто не пользуется, то есть смысла целый ноль
вот статистика по этим двадцати пакетам согласно сайту https://pkgstats.archlinux.de/

$ pkgstats show firefox-vacuum gvim-checkpath wine-pixi2 xcursor-theme-wii lightzone-free scalafmt-native coolq-pro-bin gmedit-bin mesen-s-bin polly-b-gone erwiz totd kygekteampmmp4 servicewall-git amuletml-bin etherdump nap-bin iscfpc iscfpc-aarch64 iscfpcx
lightzone-free     0.04
firefox-vacuum     0.00
erwiz              0.00
mesen-s-bin        0.00
servicewall-git    0.00
nap-bin            0.00
etherdump          0.00
totd               0.00
iscfpcx            0.00
wine-pixi2         0.00
iscfpc-aarch64     0.00
amuletml-bin       0.00
gmedit-bin         0.00
iscfpc             0.00
polly-b-gone       0.00
scalafmt-native    0.00
kygekteampmmp4     0.00
coolq-pro-bin      0.00
gvim-checkpath     0.00
xcursor-theme-wii  0.00

Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

98. "Эксперимент по получению контроля над пакетами в репозитории..."  –1 +/
Сообщение от Аноним (101), 27-Окт-22, 21:41 
кстати, посмотрел сам статус этих пакетов в АУРе этих 20-ти пакетов
4 удалены и 2 брошены, хаха, брошены это значит что не нужно даже возиться с покупкой каких-то доменов, эти пакеты может подхватить любой желающий, хах хах, опять тугомыслящих анонимов на опеннете развели на полыхание пятых точек в сторону арча

lightzone-free     0.04
firefox-vacuum     0.00
erwiz              0.00
mesen-s-bin        0.00 удалён
servicewall-git    0.00 удалён
nap-bin            0.00
etherdump          0.00
totd               0.00 брошеный
iscfpcx            0.00
wine-pixi2         0.00
iscfpc-aarch64     0.00
amuletml-bin       0.00
gmedit-bin         0.00 удалён
iscfpc             0.00
polly-b-gone       0.00
scalafmt-native    0.00
kygekteampmmp4     0.00 удалён
coolq-pro-bin      0.00
gvim-checkpath     0.00
xcursor-theme-wii  0.00 брошеный

Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

104. "Эксперимент по получению контроля над пакетами в репозитории..."  –1 +/
Сообщение от пох. (?), 27-Окт-22, 22:22 
> 4 удалены и 2 брошены, хаха, брошены это значит что не нужно
> даже возиться с покупкой каких-то доменов, эти пакеты может подхватить любой

да, но это вызовет ненужное внимание тысячеглазов - чойта брошенный пакет вдруг зашевелился. Могут и увидеть чего.

В этом плане многоходовочка верная, смотри - в пакете - ничегошеньки не поменялось, как лежал мусором присыпанный так и лежит. Опа, а код - поменялся.

Но гораздо эффективнее и проще взять живой пакет а еще лучше живой проект и просто забрать у автора - за деньги или по доброй воле, потому что автор работу наконец нашел. С этим вот самым "собирается из гитхапа и гитляпа и поэтому каждый день новый" - никто и ничего не заметит никогда.

Можно даже первое время полезные патчи делать. Хотя не нужно.

Ответить | Правка | Наверх | Cообщить модератору

107. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от Аноним (101), 27-Окт-22, 22:56 
это похоже из разряда - вложить на рубль а получить на копейку.
ну или каждому анониму выделить по майору, и тогда преступность в мире исчезнет )))
Ответить | Правка | Наверх | Cообщить модератору

67. "Эксперимент по получению контроля над пакетами в репозитории..."  +1 +/
Сообщение от Аноним (69), 27-Окт-22, 18:12 
Чтай внимательно:

> Тем не менее, оказалось, что сопровождающие около 35% пакетов в AUR используют в файле PKGBUILD параметр "SKIP"

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

86. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от Аноним (101), 27-Окт-22, 20:42 
и ? ты в курсе для чего используют SKIP ? не ? по большей часте для пакетов типа ИМЯ-git, догадался  почему ? еще нет ?
Ответить | Правка | Наверх | Cообщить модератору

74. "Эксперимент по получению контроля над пакетами в репозитории..."  –3 +/
Сообщение от Аноним (71), 27-Окт-22, 18:50 
В Snap и flatpak программы хотабы в изолированном окружении выполняются.
в snap еще и подтверждение автора есть.

И к тому же с бинарной совместимостью между разными дистрибутивами и их версиями.

Ответить | Правка | Наверх | Cообщить модератору

81. "Эксперимент по получению контроля над пакетами в репозитории..."  +2 +/
Сообщение от Аноним (81), 27-Окт-22, 20:06 
Эта "изоляция" де факто миф.
Ответить | Правка | Наверх | Cообщить модератору

100. "Эксперимент по получению контроля над пакетами в репозитории..."  –2 +/
Сообщение от Michael Shigorinemail (ok), 27-Окт-22, 21:44 
...поскольку сделана не из синей изоленты вроде openvz, угу.  Скорее оградка вокруг песочницы.
Ответить | Правка | Наверх | Cообщить модератору

108. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от Аноним (108), 27-Окт-22, 23:02 
Миф это наличие коллективного или индивидуального разума на опеннет, на самом деле здесь коллективное отсутствие любого намека на разум
Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

113. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от Аноним (101), 28-Окт-22, 00:18 
можно взглянуть под другим углом
мы здесь генерируем данные для тренировки будущей нейронной сети для ИР который станет богом преодолев время и пространство, то есть по сути ты уже являешься его адептом и предвестником который находится на одной из стадий принятия.
Ответить | Правка | Наверх | Cообщить модератору

132. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от Аноним (108), 30-Окт-22, 07:25 
Если ИР прочитает комментарии на opennet, он решит что люди являются не разумными существами и их надо уничтожить
Ответить | Правка | Наверх | Cообщить модератору

89. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от Аноним (89), 27-Окт-22, 20:46 
ну так опенсорс про то, что любой, кто умеет, может модифицировать код, и любой может сделать аудит..
Ответить | Правка | Наверх | Cообщить модератору

122. "Эксперимент по получению контроля над пакетами в репозитории..."  +1 +/
Сообщение от n00by (ok), 28-Окт-22, 09:41 
Любой может упаковать в пакетик трендовый сет иконок и сделать свой дистрибутив, а для аудита нужен, как минимум, мозг.
Ответить | Правка | Наверх | Cообщить модератору

92. "Эксперимент по получению контроля над пакетами в репозитории..."  +1 +/
Сообщение от Аноним (92), 27-Окт-22, 21:08 
Хакер и солонка
Ответить | Правка | Наверх | Cообщить модератору

125. "Эксперимент по получению контроля над пакетами в репозитории..."  +/
Сообщение от Аноним (68), 28-Окт-22, 11:39 
Странно, что про солонки никто ещё не вспомнил.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру