Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Захват контроля над snap-пакетами, связанными с просроченными доменами"	+/–
Сообщение от opennews (??), 19-Янв-26, 14:06
Алан Поуп (Alan Pope), бывший менеджер по инжинирингу и взаимодействию с сообществом в компании Canonical, обратил внимание на новую волну атак на пользователей   каталога приложений Snap Store. Вместо регистрации новых учётных записей, злоумышленники начали выкупать просроченные домены, фигурирующие в email зарегистрированных разработчиков snap-пакетов. После перекупки домена злоумышленники перенаправляют почтовый трафик на свой сервер и получив контроль над email, инициируют процесс восстановления забытого пароля для доступа к учётной записи... Подробнее: https://www.opennet.me/opennews/art.shtml?num=64641
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

2. Сообщение от Аноним (2), 19-Янв-26, 14:09	+3 +/–
Ой, щас начнул цифровой ид впаривать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #44, #132

13. Сообщение от Аноним (13), 19-Янв-26, 14:26	–2 +/–
>доменных имён, используемых в email-адресах Почему нельзя было использовать Gmail или Proton Mail ?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #18, #76

17. Сообщение от Аноним (17), 19-Янв-26, 14:48	+1 +/–
а почему каноникал получает и отправляет письма с доменов @ubuntu.com и @canonical.com? почему бы им не воспользоваться почтой от gmail или proton mail? чем enstorewise и vagueentertainment хуже? когда регились это домены, фаундеры этих "стартапов" верили что они станут богатыми и популярными, вот так вот всё бросить никто не планировал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #22, #30, #39

18. Сообщение от LaunchWiskey (ok), 19-Янв-26, 14:51	+6 +/–
>>доменных имён, используемых в email-адресах > Почему нельзя было использовать Gmail или Proton Mail ? Почта с собственным доменом удобна тем, что её всегда можно перенести в любое другое место на другой сервер, если что. Без невероятных сказочных приключений, которые вас ожидают, как только начнёте уведомлять все организации, компании и онлайн-сервисы о том, что у вас сменился email (многие из них ещё при этом заявят, что смена почтового адреса в их системе в принципе не предусмотрена). Так что почта со своим доменом - весьма полезно в нынешнее время, когда отдельные корпорации или правительства могут внезапно сделать использование вашего прежнего почтового сервера невозможным или неприемлемым. Я вот только не понимаю, в чем обвиняют Snap Store, ведь при захвате чужого домена к любому сервису можно попробовать получить доступ аналогичным образом?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #34, #58, #60, #72

20. Сообщение от Аноним (17), 19-Янв-26, 14:55	+/–
а что мешало Canonical поступить так же как поступили в PyPI? а что насчёт повсеместного внедрения 2FA? тогда бы потеря контроля над почтой не играла роли короче в Canonical опять обгадились
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #67, #73, #80

21. Сообщение от anamnez (?), 19-Янв-26, 14:57	+1 +/–
так это проблема не конкретно snap репозитория, просто там ее нашли первыми. тоже самое можно проделать с чем угодно - с flatpack, appimage и даже с github
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #43, #48

22. Сообщение от Аноним (22), 19-Янв-26, 14:57    Скрыто ботом-модератором	–1 +/–
была бы голова, а шапка будет. Эти же нетакусики решили обмазаться брендированием *до* успеха. Мол, "у взрослых дяденек свой домен, и они успешны, наверное дело в домене!" Эдакий смузи-карго-культ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

30. Сообщение от Аноним (30), 19-Янв-26, 15:17	–1 +/–
> с доменов @ubuntu.com и @canonical.com Потому что за Каноникал стоит Шаттлворт с бабками. > фаундеры этих "стартапов" верили что они станут богатыми и популярными А за спиной у них висит кредит на домен и костюм, в котором они вышли, сделать красивое впечатление. То есть, как говорят на раёне - вые..сь. Поэтому не надо никогда вые..ся. Если у вас есть бабки на продление домена на следующие 50 лет - регайте. Нет - не мучайте жо..
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #64

34. Сообщение от Аноним (30), 19-Янв-26, 15:21	–1 +/–
> могут внезапно сделать использование вашего прежнего почтового сервера невозможным Нука, пример в студию? Я знаю только Протонмейл. Но это почта всегда была для per..ков, никто серьезно ее никогда не воспринимал. Мейлру подсуетились и внушили всем, что вот сейчас точно всех забанят в Гмыле, поэтому дайте нам почитать всю вашу почту. Но шел 4-й год, а воз и ныне там. П.С. Про то, что нельзя в определенной стране регистрироваться с иностранной почтой - не надо начинать, надо сперва закон норм почитать, никто не запрещал пользоваться gmail для регистрации.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #50

39. Сообщение от Аноним (13), 19-Янв-26, 15:35	+/–
Потому, что у них есть ресурсы всё это содержать: https://opennet.ru/63481-canonical
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

43. Сообщение от soarin (ok), 19-Янв-26, 15:43	+1 +/–
Ну когда им пишешь "у вас тут криптокошельки дырявые от не пойми каких фурри пионеров". И в итоге их удаляют спустя года четыре, когда это уже совсем в треш превратилось. То тут что-то не так с модерацией. https://www.opennet.me/opennews/art.shtml?num=59849
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

44. Сообщение от Аноним (44), 19-Янв-26, 15:48	–1 +/–
> в репозитории Snap Store не была реализована проверка актуальности доменных имён Для начала бы мыло проверять научились...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

48. Сообщение от Аноним (44), 19-Янв-26, 15:58	+1 +/–
> проблема не конкретно snap репозитория Читаем: "в репозитории Snap Store не была реализована проверка актуальности доменных имён".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #53

50. Сообщение от Аноним (44), 19-Янв-26, 16:12	+/–
Пример с Гмайлом: лет 15 назад потерял там акк. "Ваш аккаунт заблокирован из-за подозрительной активности". И всё, никакие формы восстановления доступа не работают. Почта использовалась мож раза два в месяц. Другой пример: тоже с гуглом, Пикаса: грохнули аж все три фотки и заблокировали - пробовал выкладывать туда фотки из леса - три грибочка. "Удалены за нарушение правил ресурса". Офигеть...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #110

52. Сообщение от Аноним (52), 19-Янв-26, 16:18	+/–
Вполне ожидаемо для пакетов собираемых авторами, и это не единственная их проблема. Для простоты можно считать что бинарники собираемые авторами софта - малварь. Пакеты должны собираться централизованно в дистрибутивах, из прозрачного репозитория рецептов. А в какой формат они будут собираться - снап, флатпак, rpm или deb - вообще не важно.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #66, #69, #103

53. Сообщение от anamnez (?), 19-Янв-26, 16:22	–1 +/–
99% проектов ограничиваются проверкой валидности почты. откуда уверенность, что проверка актуальности доменов есть на флатпаке? потому что об этом нет новости на опенете?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #87

58. Сообщение от NIL (?), 19-Янв-26, 16:49	+/–
Есть только один или два подводных камня, первый то что сервисы могут не принимать мыло если оно не от популярного провайдера, а второе то что домен надо брать в популярных зонах типа ком,орг,нэт... я себе купил домен в зоне .email, а оказалось половина сервисов не считают это даже мылом еще на этапе валидации, потому что скопипастили регулярку где разрешено в домене только три символа или вообще ограничение по зонам
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

60. Сообщение от NIL (?), 19-Янв-26, 16:52	+/–
"где разрешено в зоне только три символа
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

64. Сообщение от Аноним (64), 19-Янв-26, 17:00	+/–
Ну не надо то настолько по себе судить о всех людях.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #133

66. Сообщение от mos87 (ok), 19-Янв-26, 17:02	–1 +/–
кому должны?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

67. Сообщение от Аноним (67), 19-Янв-26, 17:02	+/–
Не кошерно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

69. Сообщение от mos87 (ok), 19-Янв-26, 17:03	–1 +/–
анон сказал, теперь я боюсь скачивать vlc.msi с оф сайта vlc
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

70. Сообщение от Аноним (132), 19-Янв-26, 17:09	–3 +/–
Есть один хороший формат дистронезависимых пакетов. Называется appimage. Другой хороший формат называется porg. Третий - tarball. У flatpak и snap основная цель - это не удобство пользователя, а навар компании. Разумеется, поэтому инфраструктура будет с отсутствием секурити как таковой. Поэтому будем доверять не ключам, а имейлам.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #79, #95, #113

72. Сообщение от Аноним (132), 19-Янв-26, 17:15	+/–
>Я вот только не понимаю, в чем обвиняют Snap Store, ведь при захвате чужого домена к любому сервису можно попробовать получить доступ аналогичным образом? Если раздавать appimage с прикрученным автообновлением или прокидывать по методу Jia Tan, можно сломать один appimage или один репозиторий. Если можно ходить по списку пакетов и читать имейлы, а потом автоматически их опрашивать и перепокупать - это enumeration attack. >в чем обвиняют Snap Store В том, что "я забыл ключ" - это не опция для разработчиков. И раскрытый email - не опция для атаки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

73. Сообщение от Аноним (73), 19-Янв-26, 17:33	+/–
Было же исследование, которое показало, что 2FA не безопасно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #82

76. Сообщение от 1 (??), 19-Янв-26, 17:42	+/–
Странные вы какие-то, ей богу.... Люди монетизировали уже не нужные домены ... А бабло всегда побеждает зло !
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

79. Сообщение от Аноним (73), 19-Янв-26, 18:09	–1 +/–
Интересно, не знал. Где об этом почитать подробнее?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #114

80. Сообщение от Аноним (132), 19-Янв-26, 18:26	+/–
>а что насчёт повсеместного внедрения 2FA? Теперь будут энумерировать не только почту, но и телефон.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #111, #121

82. Сообщение от Аноним (82), 19-Янв-26, 18:44	+1 +/–
2FA через смску на телефон - это вообще не 2FA, а фикция. Про это и было исследование. Второй фактор должен принадлежать владельцу аккаунта, а не кому-то там.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #102

87. Сообщение от Аноним (87), 19-Янв-26, 18:54	+/–
очевидно же - пока не вскрылось вскроется - напишут
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #122

95. Сообщение от Аноним (67), 19-Янв-26, 19:34	+/–
держу у себя balena, appimage. Можно держать браузеры appimage. Но думаю лучший формат - tar.gz.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

102. Сообщение от Аноним (102), 19-Янв-26, 19:59	+/–
Так PyPI вроде используют TOTP, что есть хорошо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82 Ответы: #134

103. Сообщение от жыжа (?), 19-Янв-26, 20:20	+1 +/–
Объективно, единственный правильный комментарий во всей теме. Необходимость в snap/flatpack/appimage появилась потому, что "debuild сложно непонятно, от меня чото требуют, не хочу требуют, хочу фиксы релизить каждые 15 минут CI/CD боже, как я продуктивен, глупые деды заняты д***очем, а я успешен, мне некогда ждать, лучше выпущу ещё одну версию 165.5.6-rc4-beta2, что, ошибка 0х8000? Это же очень просто - нужно добавить libzlpa.8.so и выпустить фикс!" Знаете как сделать это ещё лучше? Инсталлятор, инсталлятор ещё! Чтоб ещё удобнее, чтоб не запоминать чо там flatpak install com.fgs.fds.kpss, а прям вон с сайта копируешь прям `curl https://... | bash`. И чтоб оно потом само обновлялось, ещё, ещё удобнее - сделать такой свой специальный юнит-обновлятор приложения под systemd! Вон на днях чувак пофиксил баг в Wine - у него хватило мозгов разобраться в коде, и на радостях бросился пилить MR. В valve'овское зеркало репозитория на гитхабе. Без тестов.  Что-то сделал? Что-то сделал. Хорошо, что сделал? Наверное. Хотели бы вы, чтоб у такого человека была возможность за 15 минут сделать "свой Wine" и заслать его в хранилище того, что в этом "хранилище" называют "пакетами"? Ну, если вы пользуетесь AUR, то понимаете, что делаете. Но если вы как те бедолаги, которые прибежали в комменты к MR из поста "ПОЧИНИЛИ ФОТОШОП 2027" с вопросами "я чайник напишите как установить?", то можно ненада? tl;dr в официальную репу долго-сложно-непонятно *по причине*, а самодельные пакеты *с компромиссами*
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #109, #129, #135

109. Сообщение от Zulu (?), 19-Янв-26, 21:02	+/–
> хочу фиксы релизить каждые 15 минут CI/CD CI/CD могут и пакет собрать. И собирают, песня в том порука.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103

110. Сообщение от Аноним (110), 19-Янв-26, 21:06	+/–
Грибочки не галюциногенные были?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

111. Сообщение от Аноним (110), 19-Янв-26, 21:10	+1 +/–
Всем пользователям срочно сдать свой IMEI !
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80

113. Сообщение от Аноним (114), 19-Янв-26, 21:12	+2 +/–
Апимадж не гарантирует переносимость. Но этом на нём можно ставить крест.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #118

114. Сообщение от Аноним (114), 19-Янв-26, 21:12	+1 +/–
В Гугле.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

118. Сообщение от Аноним (118), 19-Янв-26, 21:33	+1 +/–
Флатпак тоже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113 Ответы: #124

121. Сообщение от Аноним (121), 19-Янв-26, 22:42	+1 +/–
Пользователи Вотсапа и телеграмма, которым не приходит смс с тебя смеются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80 Ответы: #126

122. Сообщение от Аноним (121), 19-Янв-26, 22:45	+/–
Совершенно не очевидно, может они не будут ничего вскрывать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87

124. Сообщение от Аноним (121), 19-Янв-26, 22:47	+/–
У него хотя бы есть попытки тащить рантайм окружения, аппимадж в таком не замечен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #118 Ответы: #128, #130

125. Сообщение от Кошкажена (?), 19-Янв-26, 23:03	+/–
Сanonical просто нужно обязать заводить почту на их сервере.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #131

126. Сообщение от Кошкажена (?), 19-Янв-26, 23:08	+/–
Выслали Вам ссылку на отправление по почте. Пожалуйста при получении у Вас будет 15 минут, чтобы проверить, что письмо с кодом не вскрывалось до Вас.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #121

127. Сообщение от Кошкажена (?), 19-Янв-26, 23:18	+1 +/–
> и, получив контроль над email, инициируют процесс восстановления забытого пароля для доступа к учётной записи. Во-первых, они же могут проверить местоположение в этот момент и сравнить с обычным, запросив доп. данные для восстановления. Во-вторых, почему они не сделали подпись пакетов по аналогии с PPA?
Ответить | Правка | Наверх | Cообщить модератору

128. Сообщение от Аноним (118), 19-Янв-26, 23:19	+/–
Если эти попытки полурабочие - все равно что их нет, но сложность технологии увеличена многократно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #124

129. Сообщение от Аноним (132), 20-Янв-26, 00:24	+/–
>Но если вы как те бедолаги, которые прибежали в комменты к MR из поста "ПОЧИНИЛИ ФОТОШОП 2027" с вопросами "я чайник напишите как установить?", то можно ненада? Лучше нада. Если бедолага или человек могут быстро сбилдить фикс и поставить, это упрощение деплоя и проблемы бедолаги и автора патча. Если посылать всё это куда-то на сервера редхата, то все патчи к фотошопу 2027^W^W xephyr с поддержкой dri passthrough так и будут мертвы по причине выпила автора с флэтхаба за антиваксерство. >прям вон с сайта копируешь прям `curl https://... | bash`. И чтоб оно потом само обновлялось, ещё, ещё удобнее - сделать такой свой специальный юнит-обновлятор приложения под systemd! Приделать фронтенд к porg/appimage. С возможностью парсить хранилища артефактов. Т.е. не обязательно разбираться с манифестами фиксированного формата, а либо парсить выхлоп апача, либо парсить гитшляп, либо дженкинс.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103

130. Сообщение от Аноним (132), 20-Янв-26, 00:27	+/–
Лучшие попытки тащить рантайм окружения замечены в стиме. Либо тянем либу x, либо юзаем натив. Тащить же по 10 копий гнома в приказном порядке излишне. RAM теперь дорогая.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #124

131. Сообщение от Аноним (132), 20-Янв-26, 00:28    Скрыто ботом-модератором	–1 +/–
И CLA заставлять подписывать. И договор на дарение квартиры за бутылку водки. Ради дисциплины.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #125

132. Сообщение от Аноним (132), 20-Янв-26, 00:31	+/–
Молодой человек, лицензию на дебаггер предъявите. Что значит, у вас GCC? Вы лицензию на пользование GCC в каком отделении компиляторконтроля получали?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

133. Сообщение от Аноним (133), 20-Янв-26, 00:37	+/–
Звонили из нулевых, просили тебя вернуть этот тейк
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

134. Сообщение от Аноним (134), 20-Янв-26, 01:58	+/–
Ага. Утратил или обнулилось устройство-носитель — утратил идентичность. Хорошо!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102 Ответы: #136

135. Сообщение от Аноним (134), 20-Янв-26, 02:08	+/–
Всё изложенное проблема только в том случае, если альтернативы нет. Если есть — ну так не пользуйся, и отстань от тех, для кого это приемлемо или нужно. Не навязывай всем свою модель поведения и ценностей, это приведёт к плохому.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103

136. Сообщение от User (??), 20-Янв-26, 05:37	+/–
Аноним 2fa в глаза не видел, но МНЕНИЕ, мнение-то вот оно! Цифровойгулаг5жычипированиемайкрософт... Утратил устройство - достал из папОчки распечатанные одноразовые коды восстановления, зашёл - привязал новое устройство.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #134

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема