| 1.1, Клыкастый (ok), 18:45, 14/02/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 пааанеслась. год назад ещё писал, что при усилении позиций опенсорса собсвенно эксплуатация уязвимостей будет применяться реже, а вот атаки на "первоисточник" - гораздо чаще. там - ахиллесова пята. разработчикам - терпения и внимательности.
| | |
| |
| 2.3, Аноним (-), 18:47, 14/02/2012 [^] [^^] [^^^] [ответить]
| +5 +/– |
Ну нет же проблем если дистрибостроители верифицируют сорцы используя ЭЦП.
| | |
| |
| 3.4, rusty_angel (ok), 19:01, 14/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
 А откуда дистростроители берут исходники? С уже скомпрометированных серверов проектов. Вот если все будут вместе с архивами выкладывать контрольные суммы…
| | |
| |
| 4.6, arisu (ok), 19:05, 14/02/2012 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > А откуда дистростроители берут исходники?
из окаменелостей. ну что стоит девелоперам перестать раздавать окаменелости и вместо этого просто публиковать sha релизного коммита?
| | |
| 4.9, Аноним (-), 19:31, 14/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
Во люди. Пишут же про ЭЦП. Контрольную сумму легко подделать, ЭЦП - нет (если рядом приватные ключи не раскидывать). И ничего страшного нет в том чтобы публиковать релиз. Да хоть патчи (с ЭЦП) публикуйте в таком случае.
| | |
| |
| 5.23, klalafuda (?), 21:35, 14/02/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> Во люди. Пишут же про ЭЦП. Контрольную сумму легко подделать, ЭЦП - нет (если рядом приватные ключи не раскидывать). И ничего страшного нет в том чтобы публиковать релиз. Да хоть патчи (с ЭЦП) публикуйте в таком случае.
А если приватный ключ лежит рядом с password.txt из которого по всей видимости и увели аки на FTP?
| | |
|
| 4.44, Аноним (-), 15:17, 15/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
А что мешает подменить запись о контрольной сумме на странице проекта?
| | |
| |
| 5.46, Аноним (-), 15:45, 15/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
Речь не о контрольной сумме, а о подписывании кода личной подписью разработчика, и последующей верификации авторами дистрибутивов.
| | |
|
| 4.49, Клыкастый (ok), 16:06, 15/02/2012 [^] [^^] [^^^] [ответить]
| –1 +/– |
Я предлагаю посмотреть в общем и целом. Проблема стоит так, что опенсорс более уязвим именно на стадии написания и распространения исходников. И контрольные суммы - это даже не тень решения проблемы в целом.
- в проект надо набирать людей. надо как-то проверять их самих и требования к рабочему месту. это раз.
- разработчик должен иметь подпись.
- проект должен уметь работать с подписями и проверять валидность кода.
- должна быть секурити тим.
- тот, кто код берёт, должен иметь возможность проверить его аутентичность.
в общем и целом это уже совсем не пионэрство "пишу для удовольствия", это очень серьёзно. и требует слаженного взаимодействия между всеми участниками. но этим заниматься не хочется, хочется же побегать босиком за Столлманом и покидаться какашками в BSD.
| | |
| |
| 5.55, Анон (?), 14:21, 16/02/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> в общем и целом это уже совсем не пионэрство "пишу для удовольствия", это очень серьёзно. и требует слаженного взаимодействия между всеми участниками. но этим заниматься не хочется, хочется же побегать босиком за Столлманом и покидаться какашками в BSD.
Вообще-то, базарная разработка - это Торвальдс как популяризатор и Реймонд как теоретик. Столлман же описывает модель распространения, а не разработки.
| | |
| |
| 6.56, Клыкастый (ok), 22:47, 16/02/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> Вообще-то, базарная разработка - это Торвальдс как популяризатор и Реймонд как теоретик.
тем не менее именно линукс паровоз опенсорса.
> Столлман же описывает модель распространения, а не разработки.
описал он её уже давно, и за это ему спасибо гигантское. сейчас он описывает, как все должны жить. это не модель разработки, это проповедь.
| | |
|
|
|
| 3.47, Аноним (-), 15:46, 15/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
В таком случае все есть вероятность заражения исходников на машине разработчика, до подписывания.
| | |
|
|
| 1.5, arisu (ok), 19:04, 14/02/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
поэтому порочную практику «публикования релизов» давно пора отменить. вместо этого указывать на сайте команду для гита, которая вытащит именно то, что девелоперы назвали релизом.
| | |
| |
| 2.8, skJ (?), 19:29, 14/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
а всем желающим попользоватся активно ставить себе бегом клиента для коннекта к очередной _cvs_system_, ню ню
| | |
| |
| 3.12, arisu (ok), 19:51, 14/02/2012 [^] [^^] [^^^] [ответить]
| +1 +/– |
> а всем желающим попользоватся активно ставить себе бегом клиента для коннекта к
> очередной _cvs_system_, ню ню
скажи мне, милый друг: сколько этих самых желающих таки тащат тарболы с офсайта, а не берут из репозиториев своих дистрибутивов? и если уж они таки тащат тарболы, то для них не составит труда взять не тарбол, а срез гита.
но ты вряд ли об этом подумал, у тебя типичная психология диванного мыслителя: «я-то, конечно, понимаю, как это и что, но вот люди — люди, увы, не поймут…»
| | |
| 3.50, Клыкастый (ok), 16:15, 15/02/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> а всем желающим попользоватся активно ставить себе бегом клиента для коннекта
apt-get отказывается ставить такие страшные вещи?
> к очередной _cvs_system_, ню ню
cvs, svn, git, mercurial. нет, я понимаю, что для рая на земле надо только apt-get, но у нас, обитателей мрачных лабиринтов соурс-бейзед, оно уже стоит. да. и я больше скажу. не будучи программистом как таковым приходится знать все четыре. хотя бы на уровне терминологии и общих принципов. и ты знаешь, ещё никто не умер. хотя я понимаю, проблема не в apt-get install mercurial, проблема потом разбираться. может случиться переполнение памяти ;)
| | |
|
| 2.10, Crazy Alex (ok), 19:35, 14/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
 А в чем принципиальная разница? Ну поломают сервер с репозиторием - результат тот же. Ну ладно, при взломе гит почует, что контрольные суммы изменились, а остальные версионники? Навскидку еще штук пять вспомнить можно (svn, mercurial, bazaar, fossil, darcs) - из них хоть половина целостность проверяет?
| | |
| |
| 3.11, анон (?), 19:39, 14/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
пользуйтесь гитом - и будет безопасно :)
а также гораздо более удобно и функционально (имхо)
| | |
| 3.13, arisu (ok), 19:55, 14/02/2012 [^] [^^] [^^^] [ответить]
| +2 +/– | |
(задумчиво) значит, надо переходить на те, которые проверяют. или допиливать проверки в любимые. то, что где-то фичи нет — не причина сидеть и плакать, это повод допилить фичу туда, где её нет. ну право, пора уже что-то с окаменелыми тарболами делать. ну, то есть, не «что-то», а «забыть о них в большинстве случаев».
p.s. централизованые системы я вообще тут не рассматриваю: это такая же окаменелая фигня, как и тарболы.
| | |
| |
| 4.52, Клыкастый (ok), 20:24, 15/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
> (задумчиво) значит, надо переходить на те, которые проверяют. или допиливать проверки в
> любимые. то, что где-то фичи нет — не причина сидеть и
> плакать, это повод допилить фичу туда, где её нет.
истинно так. но легко свести лошадь к воде, но невозможно заставить её пить. фичи напишут, ещё бы на них не забивали.
| | |
|
| 3.20, Аноним (-), 20:32, 14/02/2012 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> А в чем принципиальная разница? Ну поломают сервер с репозиторием - результат тот же.
Ага, иди разломай гит так чтобы потом 100500 разработчиков не заметило этого. Удачи.
| | |
| |
| 4.24, Crazy Alex (ok), 21:38, 14/02/2012 [^] [^^] [^^^] [ответить]
| +1 +/– |
Да довольно легко на самом деле - если больше одного человека имеет право на пуш лишний коммит с большой вероятностью даже замечен особо не будет. Ну обновилось что-то. Для достаточно большого проекта - пройдёт со свистом.
| | |
|
|
| 2.26, Аноним (-), 22:56, 14/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
> поэтому порочную практику «публикования релизов» давно пора отменить. вместо
> этого указывать на сайте команду для гита, которая вытащит именно то,
> что девелоперы назвали релизом.
Сравним:
Вы предлагаете скачивать из $VCSNAME. При этом это может быть git, svn, cvs, ...
Нужно всегда знать, как проверять "релиз" в очередной VCS. Хорошо, если это всегда git.
Тарболл можно подписать. Чем этот вариант вам не понравился? Обычно подписывают с помощью gpg. Способ проверки всегда одинаков, будь это хоть бинарник. Вы предлагаете мне заочно стать разработчиком, хотя я ничего и не разрабатываю обычно?
| | |
| |
| 3.31, arisu (ok), 23:05, 14/02/2012 [^] [^^] [^^^] [ответить]
| –1 +/– | |
(пожимает плечами) о боги, человек, ну что же вы такие линейные-то? вроде бы и скрипты давно придумали — а толку ноль… для этих ваших разных scs и билд-контролей можно скрипт написать. один раз. положить к себе в репозиторий. и больше не мучаться. попутно получив возможность проверять не только тарбол, который авторы выложить соизволили.
дала природа мозг, а зачем — пояснить забыла…
| | |
| |
| 4.34, Аноним (-), 00:02, 15/02/2012 [^] [^^] [^^^] [ответить]
| +1 +/– |
> (пожимает плечами) о боги, человек, ну что же вы такие линейные-то? вроде
> бы и скрипты давно придумали — а толку ноль… для этих
> ваших разных scs и билд-контролей можно скрипт написать. один раз. положить
> к себе в репозиторий. и больше не мучаться. попутно получив возможность
> проверять не только тарбол, который авторы выложить соизволили.
> дала природа мозг, а зачем — пояснить забыла…
Я совершенно не понял вашего возмущения. Наверное, мы с разными окружениями работаем.
| | |
|
| 3.53, Клыкастый (ok), 20:32, 15/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
>> поэтому порочную практику «публикования релизов» давно пора отменить. вместо
>> этого указывать на сайте команду для гита, которая вытащит именно то,
>> что девелоперы назвали релизом.
> Сравним:
> Вы предлагаете скачивать из $VCSNAME. При этом это может быть git, svn,
> cvs, ...
> Нужно всегда знать, как проверять "релиз" в очередной VCS. Хорошо, если это
> всегда git.
в упор не вижу проблемы. md5/sha в портах/портежах проверяются, никто не парится. так же можно и подпись проверять.
> Вы предлагаете мне заочно стать разработчиком, хотя я ничего и не разрабатываю обычно?
исходники вам зачем тогда? если нужны - нет же проблем разобраться?
| | |
|
| 2.29, Michael Shigorin (ok), 23:00, 14/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
 > поэтому порочную практику «публикования релизов» давно пора отменить.
Да ну, тарболы порой лучше полной истории.
> вместо этого указывать на сайте команду для гита, которая вытащит именно то,
> что девелоперы назвали релизом.
Бишь аннотированный и (крайне желательно) подписанный тег.
| | |
| |
| 3.32, arisu (ok), 23:08, 14/02/2012 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> поэтому порочную практику «публикования релизов» давно пора отменить.
> Да ну, тарболы порой лучше полной истории.
по-моему, у всех нормальных scs есть возможность не качать полную историю. зато — в отличие от тарбола — можно взять и проверить любой интересный срез, а не только то, что на сайте положили.
>> вместо этого указывать на сайте команду для гита, которая вытащит именно то,
>> что девелоперы назвали релизом.
> Бишь аннотированный и (крайне желательно) подписанный тег.
ну да. это уже частности организации конкретного процесса.
впрочем, «релизы» как таковые — тоже пережитки прошлого. зачем? «коммит xyz — стабильный коммит». чего ради релизы выпускать, номерами заморачиваться?
| | |
|
|
| 1.15, _Vitaly_ (ok), 20:11, 14/02/2012 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 google "%myvcs% sign commit"
git/mercurial/bazaar точно умеют коммиты подписывать. И на сервисах типа гитхаба генерация архивов интегрирована. C выкладыванием на ftp пацаны реально от жизни отстали. Так не делают.
| | |
| 1.35, Аноним (-), 08:23, 15/02/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Почему на kernel.org все исходники имеют свои цифровые подписи, а тут никто не позаботился? Чеще делать,чаще проверять - вот и все !)
| | |
| |
| 2.40, Аноним (-), 13:01, 15/02/2012 [^] [^^] [^^^] [ответить]
| +/– | |
Почему ты считаешь, что цифровая подпись хоть что-то гарантирует?
В концепции PKI важна не цифровая подпись сама по себе, а то, кто ее ставит. И доверяешь ли ты тому, кто подписывает. Причем лично я считаю, что понятия "доверие" и "безопасность" ортогональны. Нет доверия. Есть знание.
| | |
| |
| |
| 4.43, arisu (ok), 14:26, 15/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
>> Нет доверия.
>> Есть знание.
> Сколько будет два плюс два?
например, 11.
| | |
| 4.54, R (?), 20:36, 15/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
>> Нет доверия.
>> Есть знание.
> Сколько будет два плюс два?
А сколько Вам надо? (С) ;)
| | |
|
|
|
|
