|
|
|
4.48, ВлезВВетку (?), 17:25, 27/10/2022 [^] [^^] [^^^] [ответить]
| +6 +/– |
Они заскамили никому не нужные мертвые пакеты, которые не удалили потому что все о них забыли потому что никому не нужные мертвые пакеты, которые не удалили...
| |
|
5.101, Аноним (101), 21:52, 27/10/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
да тут ситуация ваще вахх, прикинь из этих 20 пакетов 2 брошены и 4 удалены
mesen-s-bin удалён
servicewall-git удалён
kygekteampmmp4 удалён
gmedit-bin удалён
totd брошеный
xcursor-theme-wii брошеный
то есть я прямо сейчас могу завладеть этими пакетами, брошеные подобрать, а удалённые завести обратно, это вообще не проблема, короче, высосали проблему из пальца
ты тока не говори этим критиканам, пусть думают что арч плохой, пусть глупцы другие дистры аккупируют
| |
|
|
|
2.11, лютый жабби.... (?), 14:33, 27/10/2022 [^] [^^] [^^^] [ответить]
| –8 +/– |
>Проблемы AUR-помойки
лет 5-6 сидел в Арче, AUR не нужен. (а с появлением void и весь арч не нужен)
| |
|
3.31, I.F.K. (?), 16:51, 27/10/2022 [^] [^^] [^^^] [ответить]
| +8 +/– |
>>Проблемы AUR-помойки
> лет 5-6 сидел в Арче, AUR не нужен. (а с появлением void
> и весь арч не нужен)
Без AURопомойки на Арче пц как грустно, там в официальных репах пакетов кот наплакал.
Что по сабжу, печально конечно, но ожидаемо. Кто юзает Арч и не учитывает, что он может быть дыряв и наивно полагает, что качество его сборки и секурность выше, чем у промышленных систем, тот ССЗБ!
Арч это про новинки и опробывание новых фич, а не про суперсекурность, стабильность и порядок и продуманность в архитектуре системы.
Это как гараж энтузиаста-инжЫнера, в котором автомобиль быстро собирают/пересобирают, ради придавки к скорости и мощности, там некогда мастырить красивые кресла, ремни и подушки безопасности, зачастую там и дверей с креслами вообще нет, гоняют с голым кузовом, зато, почти что с самыми последними открытиями и изобретениями по улучшению возможностей железа. Это про таких людей, про изобретателей, тестировщиков, которым надо быстро собрать простой как сапог пакет и обкатать, также быстро.
Кто ожидает от Арча другого, на полном серьёзе, тот наивный, заблуждающийся человек.
| |
|
4.75, Аноним (75), 19:19, 27/10/2022 [^] [^^] [^^^] [ответить] | +/– | Согласен, но аргументация в стиле ынтыпрайз это круто и надежно, потому что это... большой текст свёрнут, показать | |
|
5.83, I.F.K. (?), 20:29, 27/10/2022 [^] [^^] [^^^] [ответить] | +/– | Мало ли что там в принципах, декларировать - не значит исполняется всеми на прак... большой текст свёрнут, показать | |
|
4.118, лютый жабби.... (?), 08:20, 28/10/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
>Без AURопомойки на Арче пц как грустно, там в официальных репах пакетов кот наплакал.
ты не кэп, ты сказочник. пакетов под 10к, просто не надо зацикливаться на знакомых названиях.
ВСЕГДА, когда меняешь дистриб, возникает "блин, тут нет windowmaker (зато есть icewm). нет xlockmore, зато есть xtrlock.
нет geeqie, есть что-то другое ит итп
вот на centos + epel можно сказать что больновато на десктопе, на арче вообще нет дискомфорта. в том числе и со стабильностью.
арчешкольник - это не юзер арча, а хейтер арча )))
| |
|
5.131, Аноним (131), 20:55, 28/10/2022 [^] [^^] [^^^] [ответить]
| +/– |
>пакетов под 10к
13468 шт
В переводе на дебьяновские, кстати, все 20к, ибо не разбивают пакеты на -dev -help -debug итп
| |
|
|
|
2.78, Аноним (78), 19:43, 27/10/2022 [^] [^^] [^^^] [ответить]
| +/– |
Любой достаточно популярный репозиторий (включая всякие аппсторы и снапкрафты), в который пакеты добавляются самими разработчиками, а не мейнтейнерами дистрибутива, неизбежно будет использован для распространения вредоносного кода.
| |
|
1.4, Герострат (?), 14:16, 27/10/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –7 +/– |
Поэтому aur лучше использовать по минимуму, особенно когда есть флатпак. Это не новость
| |
|
|
3.71, Аноним (71), 18:34, 27/10/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
Неужели во flatpack каждая программа занимает по террабайту?
Или у очередного эксперта обострение психоза и он путает свои фантазии с реальностью?
| |
|
4.79, ан (?), 19:45, 27/10/2022 [^] [^^] [^^^] [ответить]
| +3 +/– |
Каждая программа во flatpack занимает примерно гиг, а если ей ещё и райнтайм свой нужен, который ещё не устанавливался, то больше 3х гиг. Как только удаляю, например, PyCharm во флэтпаке, так на /var сразу 4,5 гига освобождается.
| |
|
|
6.111, YetAnotherOnanym (ok), 23:28, 27/10/2022 [^] [^^] [^^^] [ответить]
| +3 +/– |
Канешна, точна-точна, согласно программе информационной трансформации общества, разработанной Министерством цифрового развития РФ, для хранения одного бита начиная с 2022 года предоставляется 32 байта дискового пространства, из них 24 байта предоставляются за счёт бюджета в рамках государственно-частного партнёрства. В перспективе этот показатель планируется довести до 64 байт на один бит, из них от 48 до 56 байт за счёт бюджета.
| |
|
|
|
3.93, Michael Shigorin (ok), 21:13, 27/10/2022 [^] [^^] [^^^] [ответить]
| –2 +/– |
Даже когда есть лишний ~десяток терабайт, ему можно найти применение получше. :)[CODE]e16c:~> lsblk | grep -Fv part
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 476,9G 0 disk
sdb 8:16 0 7,3T 0 disk /backup
nvme0n1 259:0 0 447,1G 0 disk [/CODE]
| |
|
2.7, Мимокрокодил (?), 14:25, 27/10/2022 [^] [^^] [^^^] [ответить]
| –4 +/– |
> Поэтому aur лучше использовать по минимуму, особенно когда есть флатпак. Это не
> новость
Всё много проще, Arch не продакшон дистр, лучше вообще его не использовать для серьёзных дел, а по-хорошему - вообще.
| |
|
3.18, Аноним (18), 15:19, 27/10/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
Поехали по кругу почему линукс подразумевает для своей работы сборку всего мира вокруг одних версий либ от сторонних разработчиков для своей работы. При это все эти либы жестко связаны между собой в рамках версии дистрибутива.
Именно поэтому для продакшена достаточно одно единственного докера хоть в арче хоть в дебиана.
| |
|
4.32, Я не шучу (?), 16:55, 27/10/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Поехали по кругу почему линукс подразумевает для своей работы сборку всего мира
> вокруг одних версий либ от сторонних разработчиков для своей работы. При
> это все эти либы жестко связаны между собой в рамках версии
> дистрибутива.
> Именно поэтому для продакшена достаточно одно единственного докера хоть в арче хоть
> в дебиана.
Вас тяжело парсить, получается один обзац идёт вразрез с другим, не надо так
| |
4.94, Michael Shigorin (ok), 21:14, 27/10/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
> почему линукс подразумевает для своей работы сборку всего мира
> вокруг одних версий либ от сторонних разработчиков для своей работы
Нет.
| |
|
3.23, Lost Inside (ok), 15:30, 27/10/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ну как бы уже rolling release намекает насчет продакшена.
А на хомячий ПК, чтобы не заморачиваться с обновлением релиза, - очень даже.
| |
|
4.33, Мимокрокодил (?), 16:58, 27/10/2022 [^] [^^] [^^^] [ответить]
| –3 +/– |
> Ну как бы уже rolling release намекает насчет продакшена.
> А на хомячий ПК, чтобы не заморачиваться с обновлением релиза, - очень
> даже.
На хомячем ПК в лучшем случае стоит сорта бубна, как правило минт.
В последнее время, не без влияния всяких новоиспечённых линухоинфлюенсёрных блохиров это ещё и бамжара и с недавнего времени федора.
Но, у этой категории хомячья времени на анализ и собственые умозаключения нет, им надо поспевать за своими кумирами, которым они в рот смотрят и как бандерлоги ведутся на любые бредни со стороны их заклинателя.
| |
|
5.77, Timoteo Cirkla (ok), 19:39, 27/10/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ну вот у меня хомячий комп для музыки, видео, тырнет-прокрастинации, редактуры фоток и монтажа видео. И у меня не бубунта, а суся.
| |
|
6.84, I.F.K. (?), 20:35, 27/10/2022 [^] [^^] [^^^] [ответить]
| +/– |
> Ну вот у меня хомячий комп для музыки, видео, тырнет-прокрастинации, редактуры фоток
> и монтажа видео. И у меня не бубунта, а суся.
И? Это типа аргумент против или где?
Не пугайте меня пожалуйста!
| |
6.95, Michael Shigorin (ok), 21:15, 27/10/2022 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Ну вот у меня хомячий комп для музыки, видео, тырнет-прокрастинации,
> редактуры фоток и монтажа видео. И у меня не бубунта, а суся.
Примерно аналогично, только альт (поскольку эльбрус).
Граждане, не толкаемся, проходим! С задней площадки передавайте на перепись!
| |
|
|
|
|
2.56, Аноним (56), 17:38, 27/10/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ну значит следующим номером будет "Эксперимент по получению контроля над контейнерами в репозитории Flathub". Где ты вирусню вообще охренеешь искать.
| |
|
1.6, CCs d ukfpf jmz hjcf (?), 14:23, 27/10/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
"Тем не менее, оказалось, что сопровождающие около 35% пакетов в AUR используют в файле PKGBUILD параметр "SKIP" для пропуска проверки контрольной суммы (например, указывают sha256sums=('SKIP')). Из 20 пакетов с просроченными доменами параметр SKIP использовался в 4."
А мне кто-то с пеной у рта пытался доказывать, что AURопомойка это не помойка, и что пакеты не рандомные по бестолковости васяны собирают.
......
Тут самое время рачеюзерам ляпнуть что-то в духе, а в бубунте/других дистрах также/хуже или же коронное, а я всегда проверяю пакетбилды сам, если вы нет - ССЗБ! Велкам в комментах! xD
| |
|
|
3.40, Свинкс (?), 17:08, 27/10/2022 [^] [^^] [^^^] [ответить] | +1 +/– | gt оверквотинг удален Скажу за себя, камень не в огорода Арча, но факт есть фа... большой текст свёрнут, показать | |
3.69, Аноним (69), 18:16, 27/10/2022 [^] [^^] [^^^] [ответить]
| +/– |
> Что касается бубунты, как не вспомнить PPA для того, чего нет в официальных репах.
Справедливости ради, PPA не лезет за исходным кодом в интернет: пакеты там собираются из загруженного автором тарбола, да еще и с подписью.
| |
|
4.91, Аноним (101), 21:02, 27/10/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
дайте угадаю, вам не нравится github поэтому предпочитаете Microsoft Store ?
ведь АУР это по сути "github" для PKGBUILD-ав
| |
|
3.72, Аноним (71), 18:42, 27/10/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
В Snap есть механизм подтверждения разработчика. Что idea собрана jetbrains, а не васей сидоровым под видом jetbrains
Есть сообщество snapcrafters у которых пакеты неофициальные, но какое-никакое рецензирование проходят.
>Windows есть подобные "помойки", как вы говорите. И это нормально.
Но это же плохо ставить программу из помойки. Она там наверняка с трояном.
В windows можно зайти на официальный сайт разработчика gimp, qbittorrent, paint.net и скачать программу прямо от разработчика. А для gnu/linux будет максимум исходники, ведь разработчики не знают под какой из 90000дистрибутивов с несовместимыми форматами пакетов, abi и всем остальным нужно было собрать пакет.
| |
|
4.128, Роман (??), 14:41, 28/10/2022 [^] [^^] [^^^] [ответить]
| +/– |
winget в современных реалиях уже зачастую удобнее. Ну или MS Store тоже.
Из того что ставил за последний год или около того, почти всю оттуда, без всяких сайтов даже
| |
|
|
2.34, Аноним (53), 16:58, 27/10/2022 [^] [^^] [^^^] [ответить] | +2 +/– | Судя по названиям пакетов скриптов сборки их пользовательская база - 1-2 челов... большой текст свёрнут, показать | |
|
3.44, Эксперт опеннета к эксперту опеннета (?), 17:13, 27/10/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
> А что до корпоративной Убунты (а точнее её базы - продакшн-рэди Дебиана).
> Там есть, например, такой популярный пакет - Grub2, который стоит, пожалуй,
> что у каждого. И в который сопроводитель добавляет свои портянки на
> Си, по каким-то загадочным причинам не принятые апстримом, чтобы реализовать функциональность,
> которую можно добавить одной строчкой на Shell. И из-за этих патчей
> там (и только там) регулярно всплывают уязвимости.
Прошу портянку с сылками на "там и только там регулярные всплывающие уязвимости"!
| |
|
|
1.8, Аноним (8), 14:25, 27/10/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Любой немодерируемый вручную репо - помойка и потенциальная дыра, которой, пока еще не воспользовались. Ключевое слово "пока".
Пакеты npm, pypi, плагины vim - это то, что меня лично беспокоит.
Любой, кто получит контроль над репо в github, а так же легальный владелец репо, если он вдруг решит добавить зловред в свой код - может с вашей машины что угодно увести - приватные ключи, кошельки для крипты, что угодно вообще.
То, что код открыт - это ничего не значит. Коммиты в большинстве реп никто не смотрит/проверяет, потому что нахрен не надо, другие заботы есть.
| |
|
2.12, Аноним (12), 14:38, 27/10/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
Всё так. И мне непонятно почему об этом никто не трубит. По сути выполняется с полномочиями пользователя произвольный код.
| |
|
3.20, Аноним (18), 15:21, 27/10/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Потому что альтернатива уже есть. Полностью закрытый коммерческий проприетарный софт. И не понятно почему ты не хочешь за это платить.
| |
|
4.38, Аноним (53), 17:07, 27/10/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
Закрытый коммерческий код выполняет на твоей машине всякую фигню с куда большей вероятностью, с коммерческой заинтересованностью. Какая же это альтернатива? В открытом, хотя бы, проблему когда-нибудь найдёт либо твоя пара глаза, либо одна из тысячи других.
| |
|
|
6.65, Аноним (69), 18:07, 27/10/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
Святая наивность. Чел, в любом EULA сказано, что они тебе ничего не должны и ни за что не отвечают.
| |
6.96, Аноним (101), 21:26, 27/10/2022 [^] [^^] [^^^] [ответить]
| +/– |
ты что наивный ? с кого спрос ? тебе никто ничем не обязан, вы же поставили галочку под километровым пользовательским соглашением, верно ? вот, а теперь иди в суд и что-то там докажи.
да и вообще, твоё дело выполнять план по телеметрии, а не сомневаться в добросовестности мегакорпораций.
| |
6.102, Аноним (8), 21:54, 27/10/2022 [^] [^^] [^^^] [ответить] | +/– | Давайте-ка отделим мухи от котлет Я говорю о намеренном добавлении зловредного ... большой текст свёрнут, показать | |
|
7.105, Аноним (101), 22:30, 27/10/2022 [^] [^^] [^^^] [ответить] | +/– | ну вы конечно сравнили анонима мелких пакетов и корпорации с их мегапроектами,... большой текст свёрнут, показать | |
|
8.109, Аноним (8), 23:18, 27/10/2022 [^] [^^] [^^^] [ответить] | –1 +/– | Вижу, мой посыл требует уточнения Я не против а даже за открытого кода, и не ... большой текст свёрнут, показать | |
|
9.112, Аноним (101), 00:05, 28/10/2022 [^] [^^] [^^^] [ответить] | +1 +/– | ок, мы выяснили что анонимность это проблема мелкого софта, ну или периферии для... текст свёрнут, показать | |
|
10.117, Аноним (8), 08:13, 28/10/2022 [^] [^^] [^^^] [ответить] | +/– | ведь не кто же не заставляет тебя этим пользоваться никто не заставляет, я сам... большой текст свёрнут, показать | |
|
11.127, Аноним (101), 12:57, 28/10/2022 [^] [^^] [^^^] [ответить] | +/– | но разве вы не вольны использовать менее рискованный софт просто найдите то чт... большой текст свёрнут, показать | |
|
|
|
|
|
|
5.62, пох. (?), 17:58, 27/10/2022 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Закрытый коммерческий код выполняет на твоей машине всякую фигню с куда большей
> вероятностью, с коммерческой заинтересованностью.
С куда меньшей, потому что коммерческая заинтересованность обычно вполне явная - вот код, он решает твою проблему, ты за это платишь владельцу.
Зачем ему резать курицу, несущую пусть и не золотые яйца, но регулярно?
А вот что за васян пишет код опакечивания в aur, нахрена он это делает и не придут ли ему завтра на ум идеи быстро поправить пошатнувшееся благосостояние, как ты думаешь?
> Какая же это альтернатива? В открытом,
трень-брень-хрень, секта свидетелей тысячегласса. Его никто не видит но он есть.
| |
|
6.87, Xo (?), 20:43, 27/10/2022 [^] [^^] [^^^] [ответить]
| –3 +/– |
Внеочередной бред. Особенно про aur. Зайдите на арчвики и почитайте о его сути, если умеете.
| |
|
|
|
3.68, Аноним (68), 18:12, 27/10/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
Внезапно, запуск любого кода, написанный не _лично тобой_ — вопрос доверия. Параноики могут собирать из исходников, лично их предварительно проверив (удачи с каким-нибудь блендером). Для проприетарного софта есть дизассемблер (тоже проприетарный, лол).
| |
|
2.30, Аноним (30), 16:48, 27/10/2022 [^] [^^] [^^^] [ответить]
| +/– |
Да и модерируемый тоже. От давления на модераторов до элементарных человеческих ошибок. Суть одна: ничто не является безопасным. Любое взаимодействие с внешним миром несёт определённый риск. Ну так что ж теперь, всю жизнь сидеть под кроватью и в лес не ходить?
| |
|
3.41, Аноним (53), 17:09, 27/10/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
Создавать в лесу систему доверия. Но какое доверие может быть между буржуями? Человек человеку - волк.
| |
|
4.119, Аноним (68), 08:36, 28/10/2022 [^] [^^] [^^^] [ответить]
| +/– |
Самое забавное, что это краснопузики придумали. В нормальном мире банально невыгодно друг другу волком быть.
| |
|
5.129, Аноним (129), 18:25, 28/10/2022 [^] [^^] [^^^] [ответить]
| +/– |
Так не выгодно, что ты читаешь новости про уязвимости на опеннет, запираешь дверь на два замка и прячешься под одеялом от кровавых большевиков.
| |
|
|
3.76, Ананоним (?), 19:25, 27/10/2022 [^] [^^] [^^^] [ответить]
| +/– |
Под кроватью тоже небезопасно, может из космоса каменюка прилететь, или кровать короед подточит, придавит.
| |
|
2.70, Аноним (68), 18:18, 27/10/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Любой немодерируемый вручную репо - помойка и потенциальная дыра, которой, пока еще не воспользовались. Ключевое слово "пока".
Конечно, лучше быть здоровым и богатым, чем бедным и больным. Только где взять ресурсы на беспрерывный аудит сотен миллионов строк кода?
| |
|
3.110, Аноним (8), 23:22, 27/10/2022 [^] [^^] [^^^] [ответить]
| +/– |
Не знаю.
Искать решение. Человечеству оказались по зубам и более серьезные проблемы. Верю, что и для это решение найдется.
| |
|
4.120, Аноним (68), 08:44, 28/10/2022 [^] [^^] [^^^] [ответить]
| +/– |
Ага, я не знаю, а человечество пусть решит. Без меня. Таким-то вот образом человечеству оказались не по зубам и менее серьёзные решения.
| |
|
|
|
1.10, Аноним (10), 14:31, 27/10/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Немодерируемые репозитории годны только тогда, когда содержимое не имеет никакого доступа к опасным функциям. Аддоны в нормальных играх, например, только апишку игры могут дергать и собственно всё
| |
|
2.45, Аноним (53), 17:13, 27/10/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Аддоны играх могут дергать всё, что угодно, хоть файлы из ~/.ssh в Интернет отправлять, хоть скриншоты через X-сокет делать, хоть шелл с правами пользователя открыть.
Контроль за расширениями даже в браузерах ещё вчера был не везде. Да и тот, что есть сейчас, довольно слабый. А в играх о таком вообще никто не думает.
| |
|
|
|
|
4.28, pfg21 (ok), 15:56, 27/10/2022 [^] [^^] [^^^] [ответить]
| +/– |
интересно есть ли при приеме пакетов тест на патч бармина ??
| |
|
|
|
1.25, Аноним (56), 15:35, 27/10/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
>Для демонстрации возможности совершения атаки исследователи купили домен одного из пакетов
Могли бы просто мейнтейнеру пакета, который ему больше не нужен, заплатить.
| |
|
2.29, пох. (?), 16:24, 27/10/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Могли и не платить, просто попросить.
Многие майнтейнеры, давно потерявшие интерес к своим пакетам, спокойно отдадут, даже не поинтересовавшись, кто ты. Хочешь опакечивать - ну и флаг в руки.
То же самое, что характерно, и с авторами самого кода.
И все контрольные суммы - совпадут. Короче, идиоты не в ту сторону воюют.
| |
|
3.47, Аноним (53), 17:17, 27/10/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
В AUR, если пакет заброшен, разрешение сопроводителя не требуется. Один из доверенных пользователей увидит запрос на взятие пакета и одобрит.
| |
|
4.58, пох. (?), 17:49, 27/10/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
> В AUR, если пакет заброшен, разрешение сопроводителя не требуется. Один из доверенных
> пользователей увидит запрос на взятие пакета и одобрит.
я ж говорю - незачем тратить время на ненужное ненужно - его может и не запустит никто никогда.
Просто попроси востребованный пакет. Не первый попавшийся так второй - отдадут не глядя.
Ну это ж опенсорсе, оно так и работает.
Напомнить тебе, почему ublock - "origin" ?
| |
|
|
|
3.60, пох. (?), 17:54, 27/10/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Могли бы создать свои пакеты, какие угодно.
А как уговорить тебя их поставить?
| |
|
4.97, Michael Shigorin (ok), 21:41, 27/10/2022 [^] [^^] [^^^] [ответить]
| –2 +/– |
Ну как -- социнженерия, хайп, всё как обычно.
Но это заморочиться больше надо, чем найти и прикупить бывший домен.
| |
|
5.121, n00by (ok), 09:28, 28/10/2022 [^] [^^] [^^^] [ответить]
| +/– |
А если не в теории, а на практике, то переполнение стека в RPM5 обслуживающий персонал (пользуясь случаем, передаю привет ведущему «разработчику» mikhailnov) притянул тупо скопировав из апстрима патч с очевидной ошибкой. Самое смешное случилось, когда я попросил их произвести ревью исправления -- они узнали новое слово.
| |
|
|
|
2.51, gumanzoy (?), 17:28, 27/10/2022 [^] [^^] [^^^] [ответить]
| +/– |
Для демонстрации можно было просто в hosts прописать, зачем покупать домен.
| |
|
1.27, pfg21 (ok), 15:55, 27/10/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
норм. теперича есть набор утилит для тестинга репозитория на троянов в пакетах.
через несколько лет найдутся еще умные и набор тестов для репозитория увеличится.
так гайки раздолбайства и закручиваются :)
| |
1.37, Аноним (37), 17:06, 27/10/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Как минимум, стоило бы запретить дальнейший приём пакетов со "SKIP" и установить какой-то разумный срок для уже существующих, чтобы мейнтенеры это исправили, а если забьют, то выкинуть такие пакеты.
| |
|
2.49, Аноним (53), 17:25, 27/10/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Это не репозиторий, там нет пакетов. Это пользовательские скрипты сборки пакетов. Не поддерживаемые официально, используемые на свой страх и риск, после тщательного изучения. Такова официальная политика дистрибутива в отношении AUR. ПО из AUR, которое хотят (и могут) сопровождать официально, пакетируется доверенными пользователями в репозитории community.
| |
|
3.88, Твая мамка (?), 20:44, 27/10/2022 [^] [^^] [^^^] [ответить]
| +/– |
> Это не репозиторий, там нет пакетов. Это пользовательские скрипты сборки пакетов. Не
> поддерживаемые официально, используемые на свой страх и риск, после тщательного изучения.
> Такова официальная политика дистрибутива в отношении AUR. ПО из AUR, которое
> хотят (и могут) сопровождать официально, пакетируется доверенными пользователями в репозитории
> community.
Основную массу рачехомячья это не останавливает
| |
|
2.50, Аноним (131), 17:28, 27/10/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
SKIP в основном используется в vcs версиях пакетов, где софтинка собирается с последнего коммита, и качается не архивом, а командой соответствующей vcs. Никакая проверка там ненужна и не особо возможна.
Ну и 95% сорцов из этих 35% лежит на гитхабе, удачи угнать.
| |
|
3.61, пох. (?), 17:54, 27/10/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
> SKIP в основном используется в vcs версиях пакетов, где софтинка собирается с
> последнего коммита, и качается не архивом, а командой соответствующей vcs. Никакая
> проверка там ненужна и не особо возможна.
> Ну и 95% сорцов из этих 35% лежит на гитхабе, удачи угнать.
э... в чем проблема-то?! Сто раз так делали.
| |
|
4.64, Аноним (131), 18:04, 27/10/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Я про предложенный в новости метод с угоном доменного имени.
Зловредный форк выложить намноого проще, чем вся эта акробатика, можно хоть секурным криптоключом подписать.
| |
|
5.66, пох. (?), 18:10, 27/10/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Оригинал, зачем форк-то. Уж четыре оригинала без особого желания владельцев их дальше тянуть - найдешь. Я и говорю - слишком сложная многоходовочка, непонятно зачем так мучаться.
| |
|
6.82, Аноним (131), 20:23, 27/10/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
Аудитория у заброшенных пакетов где-то 3.5 калеки, форк какой-нибудь модной штуки больше пипла схавает.
Ну и нынче все аур-хелперы диффы показывают, изменения урла и сборки ето палево.
А вот изначально зловредная софтина будет висеть до того самого тыщеглаза.
| |
|
|
|
|
|
1.42, Аноним (42), 17:09, 27/10/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
То есть из всего AURа они нашли всего 20 пакетов, где skip исплользовался только в 4. Т.е. из ВСЕГО AURа атаке оказались подвержены всего 4 пакета? Не ну это конечно повод перестать пользоваться AURом, что тут сказать
| |
|
2.46, Аноним (46), 17:16, 27/10/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
> То есть из всего AURа они нашли всего 20 пакетов, где skip
> исплользовался только в 4. Т.е. из ВСЕГО AURа атаке оказались подвержены
> всего 4 пакета? Не ну это конечно повод перестать пользоваться AURом,
> что тут сказать
А этого недостаточно, надо было бы, чтобы 20% от всего?
| |
|
3.63, пох. (?), 18:00, 27/10/2022 [^] [^^] [^^^] [ответить]
| +/– |
>> То есть из всего AURа они нашли всего 20 пакетов, где skip
>> исплользовался только в 4. Т.е. из ВСЕГО AURа атаке оказались подвержены
>> всего 4 пакета? Не ну это конечно повод перестать пользоваться AURом,
>> что тут сказать
> А этого недостаточно, надо было бы, чтобы 20% от всего?
четырех доменов на всех желающих не хватит, конечно. Тем более один уже купили.
| |
3.90, Аноним (101), 20:51, 27/10/2022 [^] [^^] [^^^] [ответить] | –1 +/– | ну вот смотри, в АУРе лежет порядка 80 тысяч рецептов для сборки пакетов и тольк... большой текст свёрнут, показать | |
3.98, Аноним (101), 21:41, 27/10/2022 [^] [^^] [^^^] [ответить] | –1 +/– | кстати, посмотрел сам статус этих пакетов в АУРе этих 20-ти пакетов 4 удалены и ... большой текст свёрнут, показать | |
|
4.104, пох. (?), 22:22, 27/10/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
> 4 удалены и 2 брошены, хаха, брошены это значит что не нужно
> даже возиться с покупкой каких-то доменов, эти пакеты может подхватить любой
да, но это вызовет ненужное внимание тысячеглазов - чойта брошенный пакет вдруг зашевелился. Могут и увидеть чего.
В этом плане многоходовочка верная, смотри - в пакете - ничегошеньки не поменялось, как лежал мусором присыпанный так и лежит. Опа, а код - поменялся.
Но гораздо эффективнее и проще взять живой пакет а еще лучше живой проект и просто забрать у автора - за деньги или по доброй воле, потому что автор работу наконец нашел. С этим вот самым "собирается из гитхапа и гитляпа и поэтому каждый день новый" - никто и ничего не заметит никогда.
Можно даже первое время полезные патчи делать. Хотя не нужно.
| |
|
5.107, Аноним (101), 22:56, 27/10/2022 [^] [^^] [^^^] [ответить]
| +/– |
это похоже из разряда - вложить на рубль а получить на копейку.
ну или каждому анониму выделить по майору, и тогда преступность в мире исчезнет )))
| |
|
|
|
2.67, Аноним (69), 18:12, 27/10/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Чтай внимательно:
> Тем не менее, оказалось, что сопровождающие около 35% пакетов в AUR используют в файле PKGBUILD параметр "SKIP" | |
|
3.86, Аноним (101), 20:42, 27/10/2022 [^] [^^] [^^^] [ответить]
| +/– |
и ? ты в курсе для чего используют SKIP ? не ? по большей часте для пакетов типа ИМЯ-git, догадался почему ? еще нет ?
| |
|
|
1.74, Аноним (71), 18:50, 27/10/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
В Snap и flatpak программы хотабы в изолированном окружении выполняются.
в snap еще и подтверждение автора есть.
И к тому же с бинарной совместимостью между разными дистрибутивами и их версиями.
| |
|
|
3.108, Аноним (108), 23:02, 27/10/2022 [^] [^^] [^^^] [ответить]
| +/– |
Миф это наличие коллективного или индивидуального разума на опеннет, на самом деле здесь коллективное отсутствие любого намека на разум
| |
|
4.113, Аноним (101), 00:18, 28/10/2022 [^] [^^] [^^^] [ответить]
| +/– |
можно взглянуть под другим углом
мы здесь генерируем данные для тренировки будущей нейронной сети для ИР который станет богом преодолев время и пространство, то есть по сути ты уже являешься его адептом и предвестником который находится на одной из стадий принятия.
| |
|
5.132, Аноним (108), 07:25, 30/10/2022 [^] [^^] [^^^] [ответить]
| +/– |
Если ИР прочитает комментарии на opennet, он решит что люди являются не разумными существами и их надо уничтожить
| |
|
|
|
|
1.89, Аноним (89), 20:46, 27/10/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
ну так опенсорс про то, что любой, кто умеет, может модифицировать код, и любой может сделать аудит..
| |
|
2.122, n00by (ok), 09:41, 28/10/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Любой может упаковать в пакетик трендовый сет иконок и сделать свой дистрибутив, а для аудита нужен, как минимум, мозг.
| |
|
|