| |
| 2.44, Аноним (44), 15:48, 19/01/2026 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> в репозитории Snap Store не была реализована проверка актуальности доменных имён
Для начала бы мыло проверять научились...
| | |
| 2.132, Аноним (132), 00:31, 20/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
Молодой человек, лицензию на дебаггер предъявите. Что значит, у вас GCC? Вы лицензию на пользование GCC в каком отделении компиляторконтроля получали?
| | |
|
| 1.13, Аноним (13), 14:26, 19/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– | |
>доменных имён, используемых в email-адресах
Почему нельзя было использовать Gmail или Proton Mail ?
| | |
| |
| 2.17, Аноним (17), 14:48, 19/01/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
а почему каноникал получает и отправляет письма с доменов @ubuntu.com и @canonical.com? почему бы им не воспользоваться почтой от gmail или proton mail? чем enstorewise и vagueentertainment хуже? когда регились это домены, фаундеры этих "стартапов" верили что они станут богатыми и популярными, вот так вот всё бросить никто не планировал.
| | |
| |
| 3.30, Аноним (30), 15:17, 19/01/2026 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> с доменов @ubuntu.com и @canonical.com
Потому что за Каноникал стоит Шаттлворт с бабками.
> фаундеры этих "стартапов" верили что они станут богатыми и популярными
А за спиной у них висит кредит на домен и костюм, в котором они вышли, сделать красивое впечатление. То есть, как говорят на раёне - вые..сь. Поэтому не надо никогда вые..ся. Если у вас есть бабки на продление домена на следующие 50 лет - регайте. Нет - не мучайте жо..
| | |
|
| 2.18, LaunchWiskey (ok), 14:51, 19/01/2026 [^] [^^] [^^^] [ответить]
| +6 +/– |
 >>доменных имён, используемых в email-адресах
> Почему нельзя было использовать Gmail или Proton Mail ?
Почта с собственным доменом удобна тем, что её всегда можно перенести в любое другое место на другой сервер, если что. Без невероятных сказочных приключений, которые вас ожидают, как только начнёте уведомлять все организации, компании и онлайн-сервисы о том, что у вас сменился email (многие из них ещё при этом заявят, что смена почтового адреса в их системе в принципе не предусмотрена). Так что почта со своим доменом - весьма полезно в нынешнее время, когда отдельные корпорации или правительства могут внезапно сделать использование вашего прежнего почтового сервера невозможным или неприемлемым.
Я вот только не понимаю, в чем обвиняют Snap Store, ведь при захвате чужого домена к любому сервису можно попробовать получить доступ аналогичным образом?
| | |
| |
| 3.34, Аноним (30), 15:21, 19/01/2026 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> могут внезапно сделать использование вашего прежнего почтового сервера невозможным
Нука, пример в студию?
Я знаю только Протонмейл. Но это почта всегда была для per..ков, никто серьезно ее никогда не воспринимал.
Мейлру подсуетились и внушили всем, что вот сейчас точно всех забанят в Гмыле, поэтому дайте нам почитать всю вашу почту. Но шел 4-й год, а воз и ныне там.
П.С. Про то, что нельзя в определенной стране регистрироваться с иностранной почтой - не надо начинать, надо сперва закон норм почитать, никто не запрещал пользоваться gmail для регистрации.
| | |
| |
| 4.50, Аноним (44), 16:12, 19/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
Пример с Гмайлом: лет 15 назад потерял там акк. "Ваш аккаунт заблокирован из-за подозрительной активности". И всё, никакие формы восстановления доступа не работают. Почта использовалась мож раза два в месяц.
Другой пример: тоже с гуглом, Пикаса: грохнули аж все три фотки и заблокировали - пробовал выкладывать туда фотки из леса - три грибочка. "Удалены за нарушение правил ресурса". Офигеть...
| | |
|
| 3.58, NIL (?), 16:49, 19/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
Есть только один или два подводных камня, первый то что сервисы могут не принимать мыло если оно не от популярного провайдера, а второе то что домен надо брать в популярных зонах типа ком,орг,нэт... я себе купил домен в зоне .email, а оказалось половина сервисов не считают это даже мылом еще на этапе валидации, потому что скопипастили регулярку где разрешено в домене только три символа или вообще ограничение по зонам
| | |
| 3.72, Аноним (132), 17:15, 19/01/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>Я вот только не понимаю, в чем обвиняют Snap Store, ведь при захвате чужого домена к любому сервису можно попробовать получить доступ аналогичным образом?
Если раздавать appimage с прикрученным автообновлением или прокидывать по методу Jia Tan, можно сломать один appimage или один репозиторий.
Если можно ходить по списку пакетов и читать имейлы, а потом автоматически их опрашивать и перепокупать - это enumeration attack.
>в чем обвиняют Snap Store
В том, что "я забыл ключ" - это не опция для разработчиков. И раскрытый email - не опция для атаки.
| | |
|
| 2.76, 1 (??), 17:42, 19/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
Странные вы какие-то, ей богу....
Люди монетизировали уже не нужные домены ... А бабло всегда побеждает зло !
| | |
|
| 1.20, Аноним (17), 14:55, 19/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
а что мешало Canonical поступить так же как поступили в PyPI?
а что насчёт повсеместного внедрения 2FA? тогда бы потеря контроля над почтой не играла роли
короче в Canonical опять обгадились
| | |
| |
| |
| 3.82, Аноним (82), 18:44, 19/01/2026 [^] [^^] [^^^] [ответить]
| +1 +/– | |
2FA через смску на телефон - это вообще не 2FA, а фикция. Про это и было исследование.
Второй фактор должен принадлежать владельцу аккаунта, а не кому-то там.
| | |
| |
| |
| 5.134, Аноним (134), 01:58, 20/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
Ага. Утратил или обнулилось устройство-носитель — утратил идентичность.
Хорошо!
| | |
| |
| 6.136, User (??), 05:37, 20/01/2026 [^] [^^] [^^^] [ответить]
| +/– | |
Аноним 2fa в глаза не видел, но МНЕНИЕ, мнение-то вот оно! Цифровойгулаг5жычипированиемайкрософт...
Утратил устройство - достал из папОчки распечатанные одноразовые коды восстановления, зашёл - привязал новое устройство.
| | |
|
|
|
|
| 2.80, Аноним (132), 18:26, 19/01/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>а что насчёт повсеместного внедрения 2FA?
Теперь будут энумерировать не только почту, но и телефон.
| | |
| |
| 3.121, Аноним (121), 22:42, 19/01/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
Пользователи Вотсапа и телеграмма, которым не приходит смс с тебя смеются.
| | |
| |
| 4.126, Кошкажена (?), 23:08, 19/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
Выслали Вам ссылку на отправление по почте. Пожалуйста при получении у Вас будет 15 минут, чтобы проверить, что письмо с кодом не вскрывалось до Вас.
| | |
|
|
|
| 1.21, anamnez (?), 14:57, 19/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
так это проблема не конкретно snap репозитория, просто там ее нашли первыми. тоже самое можно проделать с чем угодно - с flatpack, appimage и даже с github
| | |
| |
| 2.48, Аноним (44), 15:58, 19/01/2026 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> проблема не конкретно snap репозитория
Читаем: "в репозитории Snap Store не была реализована проверка актуальности доменных имён".
| | |
| |
| 3.53, anamnez (?), 16:22, 19/01/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
99% проектов ограничиваются проверкой валидности почты. откуда уверенность, что проверка актуальности доменов есть на флатпаке? потому что об этом нет новости на опенете?
| | |
|
|
| 1.52, Аноним (52), 16:18, 19/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Вполне ожидаемо для пакетов собираемых авторами, и это не единственная их проблема. Для простоты можно считать что бинарники собираемые авторами софта - малварь. Пакеты должны собираться централизованно в дистрибутивах, из прозрачного репозитория рецептов. А в какой формат они будут собираться - снап, флатпак, rpm или deb - вообще не важно.
| | |
| |
| 2.69, mos87 (ok), 17:03, 19/01/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
 анон сказал, теперь я боюсь скачивать vlc.msi с оф сайта vlc
| | |
| 2.103, жыжа (?), 20:20, 19/01/2026 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Объективно, единственный правильный комментарий во всей теме.
Необходимость в snap/flatpack/appimage появилась потому, что "debuild сложно непонятно, от меня чото требуют, не хочу требуют, хочу фиксы релизить каждые 15 минут CI/CD боже, как я продуктивен, глупые деды заняты д***очем, а я успешен, мне некогда ждать, лучше выпущу ещё одну версию 165.5.6-rc4-beta2, что, ошибка 0х8000? Это же очень просто - нужно добавить libzlpa.8.so и выпустить фикс!"
Знаете как сделать это ещё лучше? Инсталлятор, инсталлятор ещё! Чтоб ещё удобнее, чтоб не запоминать чо там flatpak install com.fgs.fds.kpss, а прям вон с сайта копируешь прям 'curl https://... | bash'. И чтоб оно потом само обновлялось, ещё, ещё удобнее - сделать такой свой специальный юнит-обновлятор приложения под systemd!
Вон на днях чувак пофиксил баг в Wine - у него хватило мозгов разобраться в коде, и на радостях бросился пилить MR. В valve'овское зеркало репозитория на гитхабе. Без тестов. Что-то сделал? Что-то сделал. Хорошо, что сделал? Наверное. Хотели бы вы, чтоб у такого человека была возможность за 15 минут сделать "свой Wine" и заслать его в хранилище того, что в этом "хранилище" называют "пакетами"? Ну, если вы пользуетесь AUR, то понимаете, что делаете. Но если вы как те бедолаги, которые прибежали в комменты к MR из поста "ПОЧИНИЛИ ФОТОШОП 2027" с вопросами "я чайник напишите как установить?", то можно ненада?
tl;dr в официальную репу долго-сложно-непонятно *по причине*, а самодельные пакеты *с компромиссами*
| | |
| |
| 3.109, Zulu (?), 21:02, 19/01/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> хочу фиксы релизить каждые 15 минут CI/CD
CI/CD могут и пакет собрать. И собирают, песня в том порука.
| | |
| 3.129, Аноним (132), 00:24, 20/01/2026 [^] [^^] [^^^] [ответить] | +/– | Лучше нада Если бедолага или человек могут быстро сбилдить фикс и поставить, эт... большой текст свёрнут, показать | | |
| 3.135, Аноним (134), 02:08, 20/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
Всё изложенное проблема только в том случае, если альтернативы нет.
Если есть — ну так не пользуйся, и отстань от тех, для кого это приемлемо или нужно.
Не навязывай всем свою модель поведения и ценностей, это приведёт к плохому.
| | |
|
|
| 1.70, Аноним (132), 17:09, 19/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– | |
Есть один хороший формат дистронезависимых пакетов. Называется appimage. Другой хороший формат называется porg. Третий - tarball.
У flatpak и snap основная цель - это не удобство пользователя, а навар компании. Разумеется, поэтому инфраструктура будет с отсутствием секурити как таковой. Поэтому будем доверять не ключам, а имейлам.
| | |
| |
| 2.95, Аноним (67), 19:34, 19/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
держу у себя balena, appimage.
Можно держать браузеры appimage.
Но думаю лучший формат - tar.gz.
| | |
| 2.113, Аноним (114), 21:12, 19/01/2026 [^] [^^] [^^^] [ответить]
| +2 +/– |
Апимадж не гарантирует переносимость. Но этом на нём можно ставить крест.
| | |
| |
| |
| 4.124, Аноним (121), 22:47, 19/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
У него хотя бы есть попытки тащить рантайм окружения, аппимадж в таком не замечен.
| | |
| |
| 5.128, Аноним (118), 23:19, 19/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
Если эти попытки полурабочие - все равно что их нет, но сложность технологии увеличена многократно.
| | |
| 5.130, Аноним (132), 00:27, 20/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
Лучшие попытки тащить рантайм окружения замечены в стиме. Либо тянем либу x, либо юзаем натив. Тащить же по 10 копий гнома в приказном порядке излишне. RAM теперь дорогая.
| | |
|
|
|
|
| 1.127, Кошкажена (?), 23:18, 19/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> и, получив контроль над email, инициируют процесс восстановления забытого пароля для доступа к учётной записи.
Во-первых, они же могут проверить местоположение в этот момент и сравнить с обычным, запросив доп. данные для восстановления.
Во-вторых, почему они не сделали подпись пакетов по аналогии с PPA?
| | |
|
