Пользователи Ubuntu обратили внимание (https://www.reddit.com/r/linux/comments/8iupdz/caution_the_a.../) на наличие в snap-пакете 2048buntu, распространяемом через Ubuntu Snap Store, встроенного кода для майнинга криптовалюты. Дальнейшее разбирательство (https://github.com/canonical-websites/snapcraft.io/issues/651) показало, что аналогичный вредоносный код присутствует и в других пакетах автора Nicolas Tomb (https://uappexplorer.com/snaps?q=author%3ANicolas+Tomb), в частности проблема присутствует в пакете hextris.
После поступления сообщения о проблеме вредоносные пакеты были удалены (https://github.com/canonical-websites/snapcraft.io/issues/65...) из репозитория. Инициировано проведение расследования инцидента, результаты которого и сделанные выводы пока не опубликованы. Ожидается, что случай с вредоносными пакетами заставит Canonical пересмотреть политику включения и рецензирования программ в Ubuntu Snap Store. Сейчас разместить пакет в каталоге может любой желающий.Код майнинга был камуфлирован под процесс systemd и поставлялся как /snap/$name/current/systemd. На системах с более чем 4 ядрами CPU процесс майнинга запускался в 2 потока, на остальных системах в однопоточном режиме. Интересно, что пакет 2048buntu поставлялся (https://webcache.googleusercontent.com/search?source=hp&ei=B...) как проприетарное ПО, в то время как распространяемая в нём игра 2048 распространяется (https://github.com/gabrielecirulli/2048) под лицензией MIT (мошенник, создавший вредоносный пакт, не связан с разработчиками игры).
Тем временем в каталоге Chrome Web Store выявлено (https://blog.radware.com/security/2018/05/nigelthorn-malware.../) семь вредоносных дополнений к браузеру Chrome, общая пользовательская база которых превышает 100 тысяч установок. Для защиты от удаления с систем пользователя вредоносные дополнения автоматически закрывали вкладку со списком дополнений сразу после попытки её открытия и заносили в локальный чёрный список связанные с безопасностью утилиты и инструменты Facebook и Google для выявления вредоносной активности. Для распространения дополнений среди пользователей применялись методы социальной инжинерии - в Facebook распространялась ссылка на фиктивный ролик в YouTube, при клике на который запрашивалась установка дополнения.После установки вредоносных дополнений системы пользователей подключались к ботнету. Интегрированный в дополнения вредоносный код позволял перехватывает параметры учётных записей в Facebook и Instagram, собирал конфеденциальные данных из Facebook, выполнял майнинг криптовалют, совершал подмену ссылок при кликах в YuoTube и рассылал друзьям в Facebook ссылки на фиктивные ролики, требующие установки вредоносных дополнений (создавалась цепочка для привлечения новых жертв). В ходе работы встроенного майнера злоумышленникам за неделю удалось заработать около $1000 (преимущественно применялась криптовалюта monero).
Проблемы присутствуют в дополнениях Alt-j, Nigelify, PwnerLike, Fix-case, Divinity 2 Original Sin: Wiki Skill Popup, Keeprivate и iHabno. Спустя несколько часов после их выявления компания Google удалила проблемные дополнения из каталога Chrome Web Store и инициировала (https://arstechnica.com/information-technology/2018/05/malic.../) процесс удаления с систем пользователей.
URL: https://www.reddit.com/r/linux/comments/8iupdz/caution_the_a.../
Новость: https://www.opennet.me/opennews/art.shtml?num=48592
> вредоносные пакетыЭх, вот раньше вредоносные программы были - то биос затрут, то MBR...а это...от него и вреда то почти никакого, даже систему не тормозит, разве что аккумулятор быстрее разрядится
>Эх, вот раньше вредоносные программы были - то биос затрут, то MBR...а это...от него и вреда то почти никакого, даже систему не тормозит, разве что аккумулятор быстрее разрядитсяКакой-то странный страпёр.
Кто-то использует мои вычислительные мощности без моего разрешения.
>> Кто-то использует мои вычислительные мощности без моего разрешения.Да все кому не лень, не стройте иллюзий на этот счет. Открыл браузер - значит должен страдать. Или вы сначала все скрипты изучаете на предмет их безопасности и заявленного функционала?
Зачем - они просто рубятся по дефолту, включаются только там и тогда, когда нужны.
> Зачем - они просто рубятся по дефолту, включаются только там и тогда,
> когда нужны.Но вы же все равно не знаете что там майниться в этот момент. Или верите что не майниться, если сами включили?
Если майнер не создаёт заметную нагрузку, он не сможет заработать заметных денег.
А всё этот ваш гипертекстовый векторный фидонет. Интернет должен быть - текст на фоне и все, ну маскимум картинка и видео. Выпастили монстра.
> Открыл браузер - значит должен страдать.В Интранете "Чебурашка" из броузера "Спутник" такого шалтая-болтая не будет.
>> вредоносные пакеты
> Эх, вот раньше вредоносные программы были - то биос затрутПредварительно вежливо попросив пользователя переключиь джампер на материнке? :)
>>> вредоносные пакеты
>> Эх, вот раньше вредоносные программы были - то биос затрут
> Предварительно вежливо попросив пользователя переключиь джампер на материнке? :)да если бы, чувак, если бы те джамперы были к тому времени
уже в 98 было сложновато найти такие материнки как помню
>>>> вредоносные пакеты
>>> Эх, вот раньше вредоносные программы были - то биос затрут
>> Предварительно вежливо попросив пользователя переключиь джампер на материнке? :)
> да если бы, чувак, если бы те джамперы были к тому времени
> уже в 98 было сложновато найти такие материнки как помнюНу да, тут вы правы.
*Порылся в ящике и нашел юзерман к m577 (как раз где-то 1998) - там перемычек все еще куча, но конкретно на заливку нового биоса уже "соптимизировали" *
Либре замыкатели и либре размыкатели нам в помощь.
"Элвис разомкнул цепь".
> Эх, вот раньше вредоносные программы были - то биос затрут, то MBR...Или засрут файловую систему папками в папках в папках в папках. Ну или для эстетов - исполнят какую-нибудь композицию лотком привода. Хотя бы фантазия была, а не просто бизнес и ничего личного.
>папками в папках в папках в папках.прям опричная гусеница
Раньше зловреды делали из хулиганских побуждений, теперь это криминальный бизнес.
А как с этим делом в AUR борются?
Там же тоже каждый встречный|поперечный может что угодно залить.
> А как с этим делом в AUR борются?
> Там же тоже каждый встречный|поперечный может что угодно залить.отсутствием популярности и большой красной надписью "аур - это свалка, подобраные на ней бомжы на вашей ответственности"
Я так думаю, надо провести показательную порку, чтоб к вопросу безопасности подошли с нужной стороны.
А также тем, что в ауре лежит всего лишь PKGBUILD, который по сути своей простенький bash-скрипт, и источники того, что ты себе поставишь, видны невооружённым глазом. Ну конечно при условии, что ты хоть немного смотришь, что ставишь (возвращаемся к непопулярности и гикам-пользователям).
Пример со сборкой:
https://aur.archlinux.org/cgit/aur.git/tree/PKGBUILD?h=palemoon
Пример с бинарём, оборачиваемым в пакет:
https://aur.archlinux.org/cgit/aur.git/tree/PKGBUILD?h=palem...
Весь софт из аура качается с гитхаба и собирается на твоём компе?
> и источники того, что ты себе поставишь, видны невооружённым глазом.Милорд умеет по имени хоста определять его вредоносность? Или мальварь можно заливать только на хосты со словом malware в названии?
> Милорд умеет по имени хоста определять его вредоносность?Вредоносность — вряд ли, но узнать домен FSF/Videolan/etc или посмотреть список контрибуторов на Гитхабе — вполне
>> Милорд умеет по имени хоста определять его вредоносность?
> Вредоносность — вряд ли, но узнать домен FSF/Videolan/etc или посмотреть список контрибуторов
> на Гитхабе — вполнепродемонстрируйте, пожалуйста, ваш подход на примере 2048buntu
зы: про блобы в видео- и вайфай-дровах я и не упоминаю, а так же игрульки на электроне+обфусцированных жс-майнерах поставляемых "в исходных кодах"
Давай PKGBUILD, я продемонстрирую.
Всё прост — ставлю незнакомые/малознакомые пакеты (не только с аура) в контейнере. Не только с т. з. безопасности, но и с т. з. засирания системы конфигами, кешами и логами приложений, которыми возможно не буду пользоваться в дальнейшем. А то потом вычищай руками из хомяка весь мусор, чини поломанные тупым скриптом файлы в /usr/ и удивляйся, что за MINER TRACKER отожрал у тебя со старта 6 гигов и все ядра аааа это какое-то гномоприложение притащило за собой свой шлак ну понятно.А вот когда со всем разобрался, убедился в безвредности/полезности — можно и в систему ставить.
> Всё прост — ставлю незнакомые/малознакомые пакеты (не только с аура) в контейнере.
> Не только с т. з. безопасности, но и с т. з.
> засирания системы конфигами, кешами и логами приложений, которыми возможно не буду
> пользоваться в дальнейшем. А то потом вычищай руками из хомяка весь
> мусор, чини поломанные тупым скриптом файлы в /usr/ и удивляйся, что
> за MINER TRACKER отожрал у тебя со старта 6 гигов и
> все ядра аааа это какое-то гномоприложение притащило за собой свой шлак
> ну понятно.
> А вот когда со всем разобрался, убедился в безвредности/полезности — можно и
> в систему ставить.makepkg, запущенный под юзером, не даст тому волшебным образом, в обход прав доступа, писать в /usr. Он соберет, как завещано в PKGBUILD, все файлы в отдельную иерархию (по образу и подобию системной), из которой уже pacman, запущенный под рутом, перенесет их в систему (/usr и т.п.). Причем pacman проверит все конфликты с файлами ранее установленных пакетов. А также, при необходимости, легко удалит всё, что наустанавливал (кроме зависимостей, пожалуй).
А если пускать makepkg под отдельным пользователем, тогда и свой хомяк можно обезопасить на время сборки пакета. Короче, устанавливать приложения в Arch-е можно почти безболезненно даже штатными средствами. А вот запускать их да, лучше в презервативах.
Понял только, что у тебя гном что-то майнит.
> Всё прост — ставлю незнакомые/малознакомые пакеты (не только с аура) в контейнере.Стоит ли говорить, что от малвари-майнера тебя это не спасёт?
Проверяют PKGBUILD и источники ПО на предмет вредоносности (git diff при обновлении), собирают пакет под пользователем, устанавливают под рутом, запускают в изолированном окружении (грамотно настроенный firejail тоже сойдет). Лично я запускаю в песочнице даже те программы, которые сам пакетировал и собирал из сорцов. Потому что проанализировать исходники каждой программулины жизни не хватит. Их нынче на каких только брейнфаках не пишут, какими только вебкитами не обмажутся - за всем не уследишь. И уж очень модно стало даже в калькулятор стучалку в Интернет засунуть (привет, Гном!). Никому верить нельзя. Так и живем.
> Пользователи Ubuntu обратили внимание на наличие в snap-пакете 2048buntu, распространяемом через Ubuntu Snap Store, встроенного кода для майнинга криптовалюты.Мало того, что они вредоносные - так они ещё и нелегальные. CS бесплатно распространяли.
На ЛОРе это тоже заметили: https://www.linux.org.ru/forum/linux-hardware/14205296
Я сильно удивлён безрассудству автора. Нужно стартовать майнер не всегда, а только когда юзер долго не пользуется мышкой с клавой (и геймпадом). А также когда он не смотрит фильм (код проверки на фильм можно взять в скрипте lightsOn.sh)
>На ЛОРе это тоже заметили
>Запостил на Reddit. Возможно, пост наберет популярность и мейнтейнеры что-нибудь предпримут.
>Пост уже вышел в популярные. Так что на проблему точно должны обратить внимание.Один и тот же человек.
>камуфлирован под процесс systemdу некоторых пользователей systemd маскируется под init и ест ресурсы
А правда, а что если у юзера Devuan? Как-то подозрительно будет выглядеть systemd в топе процессов...
> А правда, а что если у юзера Devuan? Как-то подозрительно будет выглядеть systemd в топе процессов...Что-то не сильно верится, что пользователь девуана вообще будет ставить себе проприетарную игрушку-клона из бубунтовского снапстора, вместо того же "2048-qt"/"2048-gnome" из оф. репы.
Пользователи Devuan загружают систему взглядом и ведут логи в голове по памяти.
Devuan юзабльно?
Нет.
Теоретика ответ.
>Chrome
>Для защиты от удаления с систем пользователя вредоносные дополнения автоматически закрывали вкладку со списком дополнений сразу после попытки её открытия и заносили в локальный чёрный список связанные с безопасностью утилиты и инструменты Facebook и Google для выявления вредоносной активности.
>It can: read and change all your data on the websites you visit"Это шедевр".
половине дополнений нужно это для работы, включая всякие там хипстерские magic actions и switchyomega без которых с браузером невозможно работать
Плохо что этот снаф сделали частью системы в последней Ubuntu, и поставляют часть софта через него.
А толку от него все равно нет, софт там старый, не поддерживаемый, какая-то свалка Аля windows store
даже хуже чем виндоус стор, надо сказать..
> даже хуже чем виндоус стор, надо сказать..По крайней мере софт там не кастрированный и не плиточный как виндоус стор.
с разморозкой. В виндоус сторе уже давно есть не только плиточный софт. Например, официальный клиент телеграма
Ольгино и сюда добралось со своим пиаром фсбшных зондов. Если обычный десктопный софт появился в сторе, то скоро можно будет устанавливать всё только через стор как в айфонах.
Таки уже есть Windows 10 S, где проги ставятся только из стора
Скоро и остальные версии десятки подтянутся.
Ежедневный конкурс на опнетике - "Кто больше нафантазирует про виндовз?".
Так только фантазии и остаются, после того, как МС закрыло подразделение по разработке Окошек.
Приз ваш!
Уже нет
> Если обычный десктопный софт появился в сторе, то скоро можно будет устанавливать всё только через стор как в айфонах.Причём тут политота, если ты просто фантазируешь?
Как бэ и десктопный App Store есть ой как давно, и там всегда была возможность ставить в обход пакеты (хоть brew обмазывайся, хоть руками качай пакет DMG и ставь).
А в Windows Store давно есть десктопные приложения. Вон Krita есть за 624 рубля :) В описании написано "Это свободный проект, покупкой поддержите его, хотя если жалко вот наш сайт, там бесплатно можете взять"
> с разморозкой. В виндоус сторе уже давно есть не только плиточный софт.
> Например, официальный клиент телеграма//оффтоп
а почему его не выпилили оттуда в недавней заварушке с телеграмом?
и кто в курсе что там с эплстором и гуглплеем и телеграмом? почему он там так и остался то, если закон нарушает?
Не было официального запроса. Все угрозы были только в СМИ чтоб хомячки поверили что телеграм безопасный и неподконтрольный властям.
То есть ркн для виду переблочил половину инета? а отжатый у дурова вк ничему его не научил? может, да наверняка он подкролен, но точно не властям рашки.
ну пусть вводят звристический анализ
Свалка та еще, и фиг знает сколько там еще малвари. Майнеры-то ладно, легко вычисляются по высокой загрузке CPU. Остальные типы малвари так просто не вычислишь.
> Свалка та еще, и фиг знает сколько там еще малвари. Майнеры-то ладно,
> легко вычисляются по высокой загрузке CPU. Остальные типы малвари так просто
> не вычислишь.Snap вроде тоже в контейнере запускается?
> Snap вроде тоже в контейнере запускается?Ну как бэ там даются права.
Если есть сложный десктопный софт (VLC) и ему нужен доступ к домашней папке (да, к папке - ну там видео открыть) и к сети (ну поточное видео смотреть), то он будет дан.
Понятно, что с теми же привилегиями можно уже сделать весьма нехорошие вещи.
например, зашифровать данные и попросить денег
>сделали частью системы в последней Ubuntu, и поставляют часть софта через негоНе более, чем эксперимент, и об этом все, кто в теме, знают. ВСЕ snap-пакеты, поставляемые по дефолту в 18 LTS-ке могут быть абсолютно безболезненно снесены и ВМЕСТО них могут быть установлены apt-ом обычные пакеты из стандартной репы, которые обновляться будут как всегда, как обычно. Нельзя одним щелчком Enter'а при sudo snap remove снести только core, который обеспечивает возможность в принципе снапы ставить в Убунте. Его сносят по-другому, если внезапно появилась потребность.
Вот пусть и стоит через apt, а кому надо - поставят snap
И увидят что снап не нужен
Продакшины софт нужный в docker запускают, а не в этом хипстерском угребище
Так вот для чего многоядерность процессоров.
Одно ядро пользователю, в лучшем случае два.
Остальные спецслужбам, рекламщикам, майнерам.
Да. А ты сиди на своём пентиуме/атлоне и гордись собою.
PPA, snap, flatpak и т.д., всё что вне основного репозитория уже подозрительно, именно поэтому не альтернатива. Да, кошмар зависимостей при росте числа пакетов крупнее, но всё же.
> После установки вредоносных дополнений системы пользователей подключались к ботнету.Они уже к нему подключились когда установили Google Chrome.
> snapГоворил же я вам... А впрочем, что уже.
Вот только снапы куда безопаснее AUR, сторонних реп с deb пакетами и flatpack-а.
это, собственно, чем? за счёт веры в кoсмoнавта?
Сендбоксингом. Ты видишь к чему приложение имеет доступ и отрубаешь лишнее.
Не очень.
Для десктопного софта за частую ты можешь только дать очень многие привилегии, а иначе он работать не будет.
Во snap нету магии, которая могла бы без проблем чикать привилегии, и чтоб приложение, в котором естественно нету всех этих обработок, работало корректно.
А так есть и всякие AppArmor (а не на него опирается?), SELinux (он вроде в ведройде) для ограничений. Но и они само собой готового решения на палочке не дадут для произвольного с балды приложения.
Майнер в снап-пакете был найден ЛОР-овцами 11.05.18Пруф: https://www.linux.org.ru/forum/linux-hardware/14205296?cid=1...
Так...Хром уже оприходовали.
Теперь главное, чтоб за ФФ не взялись!
Так давно уже...
Сейчас правда с падением рыночной доли у Firefox таких случаи перестали иметь место - не интересно злоумышленникам.
В Firefox нельзя установить дополнения без подписи. Вот и весь секрет.
> В Firefox нельзя установить дополнения без подписи. Вот и весь секрет.Ну нет, конечно. Речь то в сабже про установку приложения из оф магазина. Тоесть этот вектор совсем не причём.
Поздно спохватились! Скромно напомню, что рецензирование дополнений в FF отменили с вводом квантума. Теперь там такая же зондо- и майнеропомойка, как и в гугловском вебсторе.
А если вспомнить историю с продажей stylish, то помойка началась еще за полгода-год до квантума.
А ведь не даром я это у.г. выпиливаю сразу из системы после установки..
> А ведь не даром я это у.г. выпиливаю сразу из системы после
> установки..Которое?
(Подставить название дистрибутива) Linux.
> (Подставить название дистрибутива) Linux.Выпиливает Linux сразу после установки?
которое snap
Если Canonical не изменит курс, можно начинать говорить убунтукапец...
Что? опять?
Ура! "Вирусы" в линуксе. Мы дожили до этого момента, господа!
Снобствующие технари, конечно же, начнут нам рассказывать о том, что вирус -- это не то, вирус -- это не так, но, как все мы с вами знаем, юзеры на эти тонкости кладут с прибором.
Осталось теперь запилить антивирус, чтобы у пользователя был бы выбор, кто будет пожирать его ресурсы: майнеры криптовалют или антивирус. B тогда линукс будет, наконец, готов к десктопу.
Наконец-то пришло признание?
На каждом сервере виртуального хостинга по 100500 вирусов. Такие обычно на линуксе. По этому все это миф фанатов линукоидов о том что на линуксе нет вирусов. На самом деле на линуксе вирусов почти столько же сколько на винде."Осталось теперь запилить антивирус"
Запилили уже http://ru.lmgtfy.com/?q=linux+antivirus
> На каждом сервере виртуального хостинга по 100500 вирусовНа всяких сетевых устройствах типа насов и роутеров тоже гуляет всякое.
А про десктопы разве что можно вспомнить 2009 год https://www.omgubuntu.co.uk/2009/12/malware-found-in-screens...
Качать снапы с официальных сайтов разработчиков и нет проблем, имхо.
Кстати сказать, автор поста в Reddit сидит под схожим ником на LORe, где и была впервые обнаружена эта проблема: https://www.linux.org.ru/forum/linux-hardware/14205296
Вот же автор треда на реддит
https://www.linux.org.ru/forum/linux-hardware/14205296#comme...
> Сейчас разместить пакет в каталоге может любой желающий.Это трындец какой-то... т.е. многочисленные истории фейлов гугла и эппла их вообще ничему не научили? Решили пройти по тем же граблям, авось пока пакетов мало, непопулярно - пронесет?
Какие там многочисленные фейлы были у Эппл? В руках отродясь не держали, но хоть пофантазируете?
> Какие там многочисленные фейлы были у Эппл? В руках отродясь не держали, но хоть пофантазируете?Cмотрите дети, избирательное восприятие реальности яблофанатами - это вот так:
http://researchcenter.paloaltonetworks.com/2015/09/malware-x.../
> Malware XcodeGhost Infects 39 iOS Apps, Including WeChat, Affecting Hundreds of Millions of Usershttp://www.bbc.com/news/technology-34338362
> Apple App Store malware 'infected 4,000 apps'https://threatpost.com/scareware-campaign-targets-mac-os-x-m.../
> A unique scareware campaign targeting Mac OS X machines has been discovered, and it’s likely the developer behind the malware has been at it a while since the installer that drops the scareware is signed with a legitimate Apple developer certificate.
> Провалы AppleПо сути два примера:
> XcodeGhost
Разработчики скачивали не пойми откуда поддельную IDE, которая создавала вредоносные приложения. Которые в итоге даже проникли в Apple магазин.
А тут уже явно - "то самое случается". Из разряда всё проверить трудно.
Пример хороший, да вот только на практике найти что-то такого масштаба (как магазин Apple) без осечек нереально (аналог от Android по размеру сопоставим, но вот качество...).> https://threatpost.com/scareware-campaign-targets-mac-os-x-m... A unique scareware campaign targeting Mac OS X machines has been discovered, and it’s likely the developer behind the malware has been at it a while since the installer that drops the scareware is signed with a legitimate Apple developer certificate.
Ерунда какая-то... Под macOS можно самому скачать не пойми откуда и запустить троян! Ужас и кошмар. Ну а сертификаты - то такое, это предохранитель. Он не может работать на опережение. Если сертификат замечен в плохих делах, то его отзывают. Наоборот не получится :D Так же как не получится загипнотизировать разработчика при выдаче им сертификата - "делайте только хорошо".
Принципы то общие.
PS: и кто бы говорил про избирательно восприятие реальности?
> По сути два примера:
> Apple не виноват, виноваты разработчики и пользователи!В общем, понятно.
А вот так:
http://i.zdnet.com/blogs/apple-macdefender-investigation-may...
> About "Mac Defender" malware
> Apple internal use only
> You should not confirm or deny whether custormes's Mac is infected or not[...]
> Important: Do not confirm or deny that any such software has been installedhttp://bgr.com/2017/06/12/app-store-scamware-apple/
> The App Store has a scamware problem and Apple needs to fix it ASAP
> [... ]which relays that once the 7-day trial period expires, a recurring 7-day subscription to the tune of $99.99 will commence.
> [...] For instance, Lin notes that a search for Wi-Fi yields an app that promises to generate random passwords for you for the low low price of just $50/month
> [...] Turns out, scammers are abusing Apple’s relatively new and immature App Store Search Ads product. They’re taking advantage of the fact that there’s no filtering or approval process for ads, and that ads look almost indistinguishable from real results, and some ads take up the entire search result’s first page.https://medium.com/@johnnylin/how-to-make-80-000-per-mo...
> [...] All these red flags — and I haven’t even downloaded the app yet. I check the Reviews tab to find some vague, fake-looking 5-star reviews:
> Seeing the dates on these reviews brought up another question. How long has this app been up? Well, according to Sensor Tower, “Mobile protection :Clean & Security VPN” has been a top 20 grossing Productivity app since at least April 20th (almost 2 months now).только четыре примера (вместо минимум сотни-другой, с деталями и разбором), да и scam не мальварь и вообще, тут опять пользователи сами виноваты - смотреть ведь нужно, что устанавливаешь!
> PS: и кто бы говорил про избирательно восприятие реальности?
Интересно, в чем оно заключается? Я ведь не утвержаю, что Ябл "фейлит без перерыва" или что Яблостор хуже чем Гуглостор. Но и у Ябла совсем не все так радужно, как любят описывать фанаты и почитатели ;)
До сих пор помню бoмбический баг, когда при многократных нажатиях ENTER на пустом поле окошка логина в MacOS позволяло зайти в систему. Ни разу не фейл. :)
Я, кстати, читал о таком. Но также, если не ошибаюсь, была схожая проблема с башем.
> Я, кстати, читал о таком. Но также, если не ошибаюсь, была схожая проблема с башем.Я помню про GRUB и LightDM с подобными багами по обходу. А в баше то как вообще...
Фейл прикольный был. Но привираешь.
С логина входа ничего нельзя было сделать. А только из окошка запроса системных привилегий.
> Это трындец какой-то... т.е. многочисленные истории фейлов гугла и эппла их вообще ничему не научили?Ну про Apple я уже написал ниже. Вообще при такой долгой истории, и таком реальном малом количестве - это очень хороший показатель.
И у них весьма жёсткий контроль, обратная медаль которого в том, что иногда и хорошим разработчикам тоже достаётся.
Корпорация добра заботится о нас и удаляет установленные нами вырусы прямо с наших компьютеров. Ура!
Вот так и происходит эрозия пакетной экосистемы. Сначала ppa, затем снапы и флэтпаки.
> Сначала ppaА в других дистрибутивах подключить сторонние/частные/комьюнити репозитории конечно же невозможно, да? RPM Fusion, EPEL, Nux - тысячи их.
Не бывает ничего совершенного.
"Google удалила проблемные дополнения из каталога Chrome Web Store и инициировала процесс удаления с систем пользователей."Инициировала что? Google Chrome может по велению google что-то удалять на компе пользователя?! Ай какой нехороший - просто мечта тоталитарного режима.
Гугал - герой на белом коне! Он прийдет и решит все наши проблемы!
Сколько раз было сказано что блобьё от третьих лиц - рассадник троянов, так нет - flatpack, appimage, хотим обмазываться.
snap/flatpak/appimage может быть и не от третьих лиц, а от разработчиков
