|
|
3.13, Аноним (13), 16:00, 24/10/2018 [^] [^^] [^^^] [ответить]
| +14 +/– |
В snap это просто квинтэссенция описанной проблемы.
От этого могут спасти только модерируемые репозитории. И спасают уже 20 лет. Только почему-то сейчас всем захотелось блобы с троянами ставить без костылей.
| |
|
4.14, Аноним (14), 16:08, 24/10/2018 [^] [^^] [^^^] [ответить]
| +/– |
Тем временем в соседней новости Федора глобально заразилась этой ересью...
| |
|
5.18, Аноним (13), 17:06, 24/10/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Решения в федору проталкивает одна конкретная компания, руководствуясь только соображениями собственной выгоды.
| |
|
4.15, Бывший скептик (?), 16:59, 24/10/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
В снапе программа только майнить может, буфер обмена она не может перехватить и системе навредить. Даже права рут не нужны для установки.
| |
|
5.17, Аноним (13), 17:04, 24/10/2018 [^] [^^] [^^^] [ответить]
| +3 +/– |
Расскажите как вы будете обёртывать каждый питоновский пакет в отдельный снап.
| |
|
|
7.22, Аноним (13), 18:10, 24/10/2018 [^] [^^] [^^^] [ответить]
| +6 +/– |
Нет-нет, вы лично расскажите как вы будете опакечивать каждый пакет, как будут работать импорты, как будет работать pyqt/pygtk, всё вот это. Кидать отписку мне не надо, я и так априори предполагаю что вы ничего больше сказать не можете.
| |
|
8.25, Oleg (??), 19:17, 24/10/2018 [^] [^^] [^^^] [ответить] | –1 +/– | В Snap расчёт на сервер Для гуйни обратитесь к Flatpak Про взаимодействие паке... текст свёрнут, показать | |
|
|
|
5.39, iPony (?), 06:42, 25/10/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
> В снапе программа только майнить может, буфер обмена она не может перехватить и системе навредить.
не обманывай
| |
|
4.24, ttr (?), 19:16, 24/10/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
В этих ваших модерируемых репах еще бы нужный софт появлялся и обновлялся, и было бы совсем хорошо. А поскольку нанять и заставить работать мы никого не можем, то имеет то что имеем. Если бы снапы делал автор софта а не дядя-доброжелатель и мог бы подтвердить свою личность, то было бы примерно как на вантузе сейчас, т е почти безопасно.
| |
|
5.41, iPony (?), 07:01, 25/10/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Если бы снапы делал автор софта а не дядя-доброжелатель и мог бы подтвердить свою личность
Так и есть. На ряду с "васянами с улиц" есть и проверенные разработчики. Они помечены зелёными галочками.
Вот от проверенных людей
https://snapcraft.io/powershell
Вот пакет от левого, который и забил на обновления. Да и вообще страшно софт такой ставить от "проходимцев".
https://snapcraft.io/electrum
| |
|
6.46, Аноним (13), 16:27, 25/10/2018 [^] [^^] [^^^] [ответить]
| +/– |
Галочки эти можно разве что на рулонах распечатывать, ибо никакого доверия они не дают. Золотые рыбки забыли уже и продолбанные (даже не говорю про похищенные) ключи и пароли (в результате чего "проверенным разработчиком" становится кто угодно. А ещё лучше - банально проданные, как с расширениями хрома. И про бинарники от автора изначально заражённые кишашей на его машине вируснёй забыли (quip из самого громкого). Да и самих нечистых на руку авторов, добавляющих если не конкретные трояны, то очень нужную им телеметрию и аналитику. Да и к тому как они проверяют аккаунты есть большие вопросы.
| |
|
|
|
|
|
|
2.3, Вадик (??), 13:56, 24/10/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
Так в питоняшке еще хуже с этим, т.к. давненько там такого небыло. NPM полагаю сейчас стали чуть лучше анализировать.
| |
2.28, Аноним (-), 19:41, 24/10/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Как же так? А все про npm рассказывали, и тут на тебе!
Подожди, скоро еще какие-нибудь растаманы с своим каргокультом отметятся. Как виндозные хипстеры содержат репы - несложно догадаться. А юзерам например линухов ВНЕЗАПНО не надо левые репы для ЯПа. Это клещится с тем что в ОС и так есть пакетный менеджер, неконтролируемо мусоря в ФС хламом который не отслеживается и за который отвечают какие-то раздолбаи вместо команды майнтайнеров с четко декларированными политиками.
| |
|
|
2.8, Аноним84701 (ok), 14:47, 24/10/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
> А вот вспомнити....
Планшеты GNOME от Групона, когда Групон использовал давно известную (но так и не исправленную, возможно умышленно, производителями законов) ошибку -- торговая марка в соотв. репозитории не защищается автоматически, а требует активных действий со стороны отделения юристов регистранта, при выявлении нарушения.
Что дает возможность атакующим с качественным и/или количественным превосхоством в юристах и финансах, как минимум на некоторое время заДОСить цель (как максимум -- по факту "отжать" марку и поплевывать на все претензии владельца).
https://www.opennet.me/opennews/art.shtml?num=41040
> компания Groupon начала продвижение программной платформы для создания планшетов ... под именем Gnome. При этом продукт Groupon является проприетарной разработкой и кроме имени никаким образом не пересекается с открытым проектом GNOME, который владеет правами на данную торговую марку.
> | |
|
1.7, Alen (??), 14:42, 24/10/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
>установки в систему скрипта на Visual Basic, активировавшийся в момент >установки пакета на платформе Windows
Да это же махровая дискриминация пользователей linux!
| |
|
2.21, Maxim (??), 17:47, 24/10/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
Появляются статьи о Windows only проблемах. Может скоро статьи о релизах Windows 10 будут?
| |
|
1.10, Аноним (10), 15:02, 24/10/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А уж сколько в докер-образах наверное такого... Для тех, кто то volume смонтируют неглядя в домашнюю директорию, то вот /dev/shm:/dev/shm примапят (автоматом из Dockerfile'а)
| |
1.12, corvuscor (ok), 15:07, 24/10/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Ну елы палы.
Делаешь бардак - получаешь бардак.
Простой поиск через pip показывает, как там дела обстоят.
Приходится каждый раз сверять, ставишь ли ты пакет от разработчика, или от совершенно левого васяна, который его перепаковал, добавив свистелок, перделок и троянов.
Нет даже элементарных вещей вроде общепринятых норм именования пакетов.
| |
|
2.16, J.L. (?), 17:04, 24/10/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Нет даже элементарных вещей вроде общепринятых норм именования пакетов.
это ещё что за зверь такой и где есть?
а, главное, чем оно помогает от того, что внутри пакета?
| |
2.19, Аноним (13), 17:10, 24/10/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Приходится каждый раз сверять, ставишь ли ты пакет от разработчика, или от совершенно левого васяна, который его перепаковал, добавив свистелок, перделок и троянов.
Если левый васян не сможет перепаковать пакет, значит никто не сможет подхватить разработку заброшенных авторами, но ещё полезных пакетов. Нужна просто модерация, обязательные подписи, прозрачность, аудит - всё то что давно успешно работает с системными пакетами.
| |
|
3.29, Аноним (-), 19:43, 24/10/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> подписи, прозрачность, аудит - всё то что давно успешно работает с
> системными пакетами.
Так поэтому нормальные люди и пользуются системными пакетами. Уже много лет. Зачем изобретать велосипед дважды? Это удел маздайных хипстеров, которых на нормальный пакетный менеджер обнесли - там только виндостор какой-то. Вот они и собирают себе аэродромы, как у белых людей. Но как и положено - из бамбука.
| |
|
4.32, Аноним (13), 20:09, 24/10/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ну для перла, питона и руби я и пользуюсь системными пакетами и буду пользоваться.
Но новоязы go и rust же с ними несовместимы напрочь.
| |
|
5.34, Аноним (-), 20:57, 24/10/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Но новоязы go и rust же с ними несовместимы напрочь.
Откуда это следует? Дебианщики что-то такое даже пакетят вроде. Впрочем, лично я заранее рассматриваю любой ЯП с встроенный пакетником как VULN. Просто по итогам смотрения на то к чему это ведет и как это содержится.
| |
|
4.35, Аноним (35), 20:58, 24/10/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Зачем изобретать велосипед дважды? Это удел маздайных хипстеров, которых на нормальный пакетный
> менеджер обнесли - там только виндостор какой-то. Вот они и собирают
> себе аэродромы, как у белых людей. Но как и положено - из бамбука.
Затем, чтобы разработчик имел возможность тасовать 100500 версий мелкой либы которая мейнтенится только скопом с еще кучей таких же или отсутствует вообще. Но самое главное -- чтобы аноним опеннета мог пафосно надувать щеки.
| |
|
5.48, Аноним (-), 23:14, 26/10/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Затем, чтобы разработчик имел возможность тасовать 100500 версий мелкой либы
А это вообще зачем? У разработчика сильно дофига времени на страдание какой-то левой фигней, никак не связанной с достижением результата, как такового?
| |
|
|
|
|
1.23, Аноним (23), 18:11, 24/10/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Нечего доверять чужому коду! Многие "программисты" даже не заглядывают в то, что используют и затем продают другим.
| |
1.36, Аноним (36), 00:06, 25/10/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
а я ведь предупреждал, что pypi - говно и что ставить надо исключительно из vcs.
| |
1.45, Аноним (45), 12:41, 25/10/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Python
Windows
цветных ANSI escape-последовательностей
Остановите планету, я сойду.
| |
|
2.47, Аноним (36), 23:18, 25/10/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
Всё прекрасно работает.
1 win 10 - из коробки.
2 win xp,7,8,8.1 - либо ставишь ansicon, либо включаешь в coloramе поспроцессинг вывода. При этом колорама переисывает коды в вызовы винапи. Колорама обрабатывает коды лучше, чем ансикон, но на некоторых сочетаниях вылетает с исключением. Ещё можно запустить mintty, там тоже коды есть. Правда всё это по возможностям уступает линуксовым эмуляторам терминала.
| |
|
|