Компания Canonical объявила о временной приостановке использования в Snap Store автоматической системы проверки публикуемых пакетов из-за появления в репозитории пакетов с вредоносным кодом для кражи криптовалюты у пользователей. При этом непонятно ограничивается ли инцидент публикацией вредоносных пакетов сторонними авторами или имеют место какие-то проблемы с безопасностью непосредственно репозитория, так как ситуация в официальном анонсе характеризуется как "потенциальный инцидент с безопасностью"...Подробнее: https://www.opennet.me/opennews/art.shtml?num=59849
> Компания Canonical объявила о временной приостановке использования в Snap Store автоматической системы проверки публикуемых пакетовЛучше бы объявили о прекращении существования Snap-store и Snap-пакетов.
На самом деле snap не так уж плох, там есть куча механизмов позволяющих изоляровать приложение от системы, как альтернатива этому тебе прийдется самому накручивать apparmor, область видимости, возможно даже отдельного юзера для приложения
> как альтернатива этомуFlatpak
флетпак не канает, потому что сторонняя технология, а каноникалу и гнома хватает, ибо они постоянно его допиливают, потому что редхат не может.
Сторонняя относительно чего?
Ubuntu делает Canonical, Snap тоже делает Canonical. Flatpak для них сторонняя технология
Как и Wayland, как и systemd, как и PulseAudio. Все равно в итоге закопают, лучше раньше это сделать.
Как и браузер и даже само ядро линукса. Эта ваша идеология чучхе снова какая-то неполноценная. Раз уж взялись всё своё - пусть пилят всё своё. Иначе отмазка про "не своё" которая для одних частей используется, а для других нет - не канает.
Linux тоже не помогает. Пусть откажутся
> флетпак не канает, потому что сторонняя технологияВо как! Интересно как... А ядро Linux это не сторонняя для них "технология"?
не сторонняя, потому что каноникал кучу бабок и ресурсов в линукс вкладывает.
Винни, возьми ложку побольше! И зачерпывай с самого низа, там где погуще!
> позволяющих изолировать приложение от системывот и будешь изолирован вместе с вредоносным ПО от нормально работающей системы
Тогда наверное не такая проблема, вредоносное ПО.
Да, украдет криптовалюту, зато до системы не доберётся)
Почему не доберется-то? Возможности добраться - определяются сборщиком пакета.
Юзверь ничего не видит и не контролирует. Для того и брали.Если пакет собирал любитель ссать в солонки - он и крипту у тебя сопрет, и в хомяк тебе нагадит.
штоб знал!
> штоб знал!У этого хотя бы мотив понятен.
Надысь один майнтайнер широкоизвестного в узких дистрибутива признал публично "что попалось, то и собираем"...
> "что попалось, то и собираем"Вот от этого снап как раз - защитит... с некоторой долей вероятности, потому что это все те же неймспейсы.
И других разработчиков и других программ у меня для вас уже нет. Увы.
Убунта в общем и целом сделала все правильно - из того, что вообще могла. Проверять весь мильен ненужных пакетов - увы, не сможет, сколько нибудь долго.
Это какого?
Отвечу уклончиво: а где наш друг Михаил?
> Да, украдет криптовалюту, зато до системы не доберётся)Вот это меня всегда максимально удивляло в апологетах теории "нет рута - нет проблем". Действительно, любой залётный троянец, запущенный с правами пользователя, может снести подчистую весь профиль со всеми данными - но зато сама система устоит!
>> Да, украдет криптовалюту, зато до системы не доберётся)
> Вот это меня всегда максимально удивляло в апологетах теории "нет рута -
> нет проблем". Действительно, любой залётный троянец, запущенный с правами пользователя,
> может снести подчистую весь профиль со всеми данными - но зато
> сама система устоит!Ничего удивительного, посмотрите на вопрос шире. В начале века в ходу было определение "ламер". Ныне в тех же ситуациях употребляют "токсичный" и "душнила". Как говорится, лучший способ защиты - нападение. При этом "ламер" - по сути характеристика профессиональных качеств индивида, а "токсичный" - чистой воды ad hominem.
Ну вот собственно снап и решает, помимо прочих (основная его задача вовсе не в том) и эту проблему. Снесет только те данные, которые автор пакета разрешил трогать на запись.
А которые и читать не разрешал - не прочтет.Цена - падение производительности, разумеется. Ну и возможные дыры уже сразу заодно и в рута, но это неточно.
Крипта крадется из буфера обмена подменой кошелька при копировании. Как механизмы безопасности помогут здесь? Да никак! Полное дно вся эта ваша хваленая псевдобезопасность, только иллюзию контроля создает.
ну блин и что теперь делать с твоими 0.000002btc? При таком копировании в лучшем случае удастся спереть ту сумму, которой ты собирался распорядиться прямщас.И то если ты не заметишь и не насторожишься прям сразу, что копировал одну галиматью, а в форме оказалась другая. А человек ведь трудился, время свое тратил.
А тут ребятушки подошли к делу с чувством, с толком, и тигидамкнули ВСЕ, вообще ВСЕ нажитое твоим непосильным трудом. Да и софтина получилась несложная.
>Крипта крадется из буфера обмена подменой кошелька при копированиину вообще-то нет. судя по названию это было криптанское ПО, имеющее полный доступ к кошельку.
Пинукс без рут прав абсолютно защищен. Ну, тут правда забывают уточнить, что это именно сам пинукс защищён. Который ты в любой момент можешь переустановить.
А вот вся твоя /ненужная/ информация (юзердата которую ты сам насоздавал) /s - не защищена. И её можно пошифровать, своровать и т.д. Б - безопасТность. Так-то!
Угу, которая руками восстанавливается за час-два. Данным это, правда, не поможет :)А для защиты от бездумных действий и дрожащих рук проще и приятнее что-то типа UAC.
Во первых snap умудряется тормозить на современном железе...
Этого уже достаточно, чтоб не обсуждать прочие недостатки, типа "всё в одно корытце", и последствия этого подхода.
Slack в snap реализации аж на 0.5 секунд запускается медленее, в остальном разницы не заметил. Firefox в версии snap тормозил пока родные nvidia дрова не поставил
> аж на 0.5 секунд запускается медленее,Это не нормально. И затраты времени ни на что.
Более того, кодга туда секунду, туда секунду, а где о и сразо 30 секунд.. И в итоге лагающая система.
Это как по цене Феррари купить Запорожец, который чуть быстрее нативного Запорожца.
Я из любопытства смотрю и дистрибутивы, которыми не собираюсь пользоваться. В Убунте для теста устанавливал приложения с намеренным приоритетом через snap. Сказать, что результат опечалил, это не сказать ничего.Конечно,может можно что то настроить, оптимизировать, но я смотрел то, с чем предлагают материться обычному пользователю.
Итого: концепция snap обсуждаема, а текущая реализация - уродлива.
> В Убунте для теста устанавливал приложения с намеренным приоритетом через snap.Там теперь только снап для многих приложений и по другому никак. В репах стоят заглушки для установки снап приложения.
Да я бы не сказал, что все так плохо.
Может на современном железе и тормозит (может в снапы новые версии пакетов для драйверов завозить не успевают), но на старом работает, на удивление, хорошо. Да, запускается первый раз несколько секунд, что напрягать может, но в остальном - мое почтение!. На двухядерном ноутбучном сенди бридж и встройке от него 10% нагрузка на видео в фуллхд на ютьюбе (хоть и с h264 кодеком). Для сравнения - нативный файрфокс и флетпаковский лис жрут уже 16%.
Правда тестил я только на убунте, которую ставил на отдельный ссд и быстро снес. Сам на арч и флатпак юзаю. Он по перфомансу ничем не отличается от оригинала, дает плюшки, связанные с безопасностью, полноценный вайленд и еще приложения оттуда можно легко ограничить для других юзеров через malcontent gnome (привет прокрастинаторам, юзающим другие учетки для работы).
Да снап очень хорош для распространения вирусов.
Никогда такого не было, и вот опять...
"i" in "Snap" stands for "isolation" and "s" stands for "sucker".
Как-то не удивительно даже
Вот для чего нужны сопровождающие. Типа если запаковывают они.
Snap, Flatpak - всё это шляпа. Если нет возможности ставить deb/rpm, то есть Appimage. Его по крайней мере не нужно устанавливать (пакеты открываются без установки) и каждому приложению - только 1 файл, который так же легко удаляется. Ну а вообще по возможности ставить нормальные пакеты, не изолированные
В Убунте кроме фаерфокса, можешь ставить как хочешь. Да и сам фаерфокс можешь из репок ставить, мы просто забыли, что это линукс, который можно лепить, как хочешь, обленились, расслабились. Другой вопрос, что разработчики могут последнюю версию засунуть в снап, а в репах будет старая, но проверенная версия.
Версии в репах никто не проверяет их просто пакетят и всё.
> который можно лепить, как хочешьНу убунту ставят как раз чтобы этого не делать
Ubuntu утрачивает свою роль в качестве прослойки между Debian и нормальными дистрибутивами.
> Snap, Flatpak - всё это шляпа. Если нет возможности ставить deb/rpm, то есть Appimage.Почему не упомянут способ установки по типу Windows (с разбрасыванием файлов по нужным папкам и прописыванием конфигурации куда необходимо). Например, с помощью InstallJammer я генерирую дистрибутив, установка и удаление которого под любой версией Linux для пользователя напоминает Windows. И весьма удобна.
Потому что обычно для подобных случаев, для приложений заведомо не входящих в дисрибутив, создают каталог в /opt, и уже там раскидывают файлы как угодно, с минимальными врезками в систему.
С "нормальными", это с которыми 1 мейнтейнер на 100 пакетов или хуже, и каждому надо заглядывать в исходники, чтобы не обделаться, сомнительное оправдание. Во-вторых, с "нормальными" беда в плане выбора, либо древние версии, либо роллинг-релиз из-за ада зависимостей.
Выбирать худшее из двух зол?
> С "нормальными", это с которыми 1 мейнтейнер на 100 пакетов или хуже, иЕсли дистрибутив, как положено, релизиться от силы раз в год - это вообще не проблема.
> каждому надо заглядывать в исходники, чтобы не обделаться
Да, это как раз именно один из плюсов пакетов из официальных реп: что левый человек не вкатит туда троян, как в Snap Store, и что софт там проверяется как положено, а не "автоматически" с последующей кражей ваших денег.
> Во-вторых, с "нормальными" беда в плане выбора, либо древние версии
Обновления безопасности всегда накатываются, пока дистр поддерживаемой версии.
> либо древние версии, либо роллинг-релиз из-за ада зависимостей.
> Выбирать худшее из двух зол?А в чем именно здесь заключается зло? В том, что можно выбрать между стабильными и самами последними версиями? Зло в новости: софт из официального магазина приложений крадет деньги.
1,2. Людей нет, даже одному мейнтейнеру тяжело, выгорание. А местами не дают лезть в исходники не сменив бренда, Firefox был примером, он же Iceweasel в Debian. Менять платформу (версий основных компонентов) каждый год из-за релиза дистрибутива как-то глупо. Для этого есть LTS и весь ворох соответствующих проблем, замкнутый круг.3,4. Вы не получаете _новейший стабильный_ релиз с новыми функциями, замкнуты на цикличности релиза дистрибутива.
5. Выбрать можно всё что угодно, а вот собрать в рамках такого дистрибутива - вряд ли, ждите новый релиз.
5. Мейнтейнер - не святой. Можно апеллировать к редкости таких предательств, но жизнь есть жизнь.
Лучше пусть сборщиком пакета (snap, flatpak, appimage) будет сам разработчик софта, в случае его предательства - его софт вышибут из репозитория магазина и он потеряет всё, а мейнтейнер просто прокладка, мавр сделал своё дело и ушёл, как с гуся вода.Сегодня мейнтейнер должен собирать только образ с базовой системой, а не прикладной софт.
6. Майнтайнер зачастую не обладает квалификацией для понимания исходных текстов. Таких можно играть втёмную, подсунув "исправление".
Мантейнер - не святой. Но человек которому доверяют другие. Как только доверие потеряет - уберут.
Разработчик - от потери доверия не меняется. Вот был один разработчик, на его место пришел другой. Кто решит, стоит брать от него исходники, или лучше взять старую версию?Кто заметит, что разработчик поехал крышей?
> Вы не получаете _новейший стабильный_ релиз с новыми функциямиА что за функции Вам такие нужны, что постоянно и позарез требуются самые свежие - настолько, что вы готовы даже безопасностью своих денег поступиться из-за них?
>_новейший стабильный_ релиз
>позарез требуются самые свежие - настолько, что вы готовы даже безопасностью своих денег поступиться из-за них?Почему так скучно перевираешь?
Верь, что "_новейшем стабильном_ релизе" не бывает новейших стабильных багов, чмoня
Слово "новейший" видишь?
А оно там есть
У классических дистрибутивов есть _только один выход_, договориться с разработчиками софта синхронно выпускать новый релиз (простите за каламбур), скажем, раз в 2 года. Но это невозможно по понятным причинам в принципе.
> Да, это как раз именно один из плюсов пакетов из официальных реп: что левый человек не вкатит туда троян, как в Snap Store, и что софт там проверяется как положено, а не "автоматически" с последующей кражей ваших денег.Нет особой разницы в подходах, дело в ресурсах.
Если делать на пять копеек голодными студентами, то хорошо не выйдет.Так же и с репами. Мейетейнер может бомбу присунуть по типу как в дебиан сделал с xscreensaver.
Ну или дырявый Chromium бомбанёт у пользовтеля в том же Debian, потому что нет ресурсов поддерживать актуальный.
Абсолютно верно.
Что за бомба?
>> каждому надо заглядывать в исходники, чтобы не обделаться
> Да, это как раз именно один из плюсов пакетов из официальных реп:
> что левый человек не вкатит туда троян, как в Snap Store,Откуда только берутся такие эксперты?
Левый человек вкатит тебе паяльник.
И ты сам всё за него сделаешь.Ой, извини. Ты же ничего не пишешь. К тебе не придут.
>это с которыми 1 мейнтейнер на 100 пакетов или хуже, и каждому надо заглядывать в исходникивообще-то мейнтейнер не должен аудитить исходники. он должен собирать пакет из ОРИГИНАЛЬНЫХ исходников, без собственных троянчиков. ВСЁ.
> вообще-то мейнтейнер не должен аудитить исходники. он должен собирать пакет из ОРИГИНАЛЬНЫХ исходников, без собственных троянчиков. ВСЁ.Автоматическая система бубунты это и делала: не аудитила, а собирала из исходников в снапы. Только вот там проги с троянами были.
И, кстати, мейнтейнер в твоём сценарии вообще не нужен - полупокер который просто компиляет сорцы не нужон и вообще представляет собой доп.риск (и прецеденты были).
>Автоматическая система бубунты это и делала: не аудитила, а собирала из исходников в снапыты новость то читал?
Проблемы выявлены в пакетах ledgerlive, ledger1, trezor-wallet и electrum-wallet2, опубликованных злоумышленниками под видом официальных пакетов от разработчиков отмеченных криптокошельков, но на деле не имеющих к ним никакого отношения.
> он должен собирать пакет из ОРИГИНАЛЬНЫХ исходниковВ 2023 найти бы ещё дистр, где на полном серьёзе собирают ванильщину с гитхаба без патчей. Кроме слаквари что-то осталось?
Appimage - это медленное и неповоротливое говно без механизма обновлений
Нет и нет.
А обновлять дрянь по типу zoom, бум бум и т.д, руками потом не шляпа? И потом иди ищи, что оно по папке пользователя "размазало". У flatpak, как правило одна папка в ~/.var/app
"Нормальные" пакеты не спасут от таких вещей вот вообще никак. Мейнтейнер код каждой софтины 100% не изучает, и я даже не уверен, что он хотя бы пробует свой результат запускать.Для крупных приложений подход с классическими пакетами и репами забуксовал и умер. Это МОГЛО БЫ быть красиво всё, но достаточное количество мейнтейнеров в каждый дистр не напасёшься. Те, кто имеют такие возможности - шапка, космонавт - от этого подхода на десктопе первые и отворачиваются.
Большинство разрабов пилить будут по очевидным причинам именно снэпы и флэтпаки, сделать с этим ничего нельзя. Примерно, как невозможно заставить мозиллу пилить пакеты для void linux какого-нибудь.
Appimage работает только на иксах, монтируется через FUSE, поэтому тормоз, это мёртвый формат
А как на флатхабе проверяются на вредоносность загружаемые приложения? Вычитывают ли бородатые дядьки в свитерах код?
Устанавливают, а потом проверяют кошельки, на месте ли крипта
приложением из установленного пакета? Вот затейники!
Из другого альтернативного - свободные люди и знают про bisect.
Тот же механизм изоляции. Проприетарщина и на флатхабе присутствует
Посохом пробивают и заклинаниями бесов выгоняют!
> На время разбирательства работа сервиса переведена в режим ручного рецензирования, при котором все регистрации новых snap-пакетов будет проходить ручную проверку перед публикацией.То есть раньше "ручной" проверки не было. Всё равно что не было никакой.
Ну это тебе не апстор.
Snap не то что бы плохой пакетный менеджер, используется не по назначению. Если кто-то помнит, snap создавался как универсальный пакетный менеджер. Ради универсальности пожертвовали всем. Жирные пакеты с дублированием библиотек? — Неизбежное зло, без которого не сделать универсальный пакетный менеджер. Долго и медленно запускаются программы? — Ради универсальности потерпим. В качестве универсального пакетного менеджера snap не удался, даже на производных ubuntu не очень используется.А вот Snap Store — дно.
Там никто не тестирует снапы на старых 40-гигабайтных хдд. Увы!
Так проблема не только в размере хдд. Я вот помню в шаражке моей задание что-то там сделать в убунте, а это чего-то там было доступно только в снап сторе. Пока весь этот мусор на несколько гигов и нужный пакет тянулись по медленному шаражному инету мы успели покурить 2 раза, сходить на обед, вернуться, выйти покурить еще раз и только тогда приступать к самому заданию
Как бы перешедшие на lzo снапы запускаются сравнимо с установленными deb.
https://snapcraft.io/blog/snap-speed-improvements-with-new-c...
Что там про Линукс Минт?
Они используют Flatpak, а Snap там под корень вырезан
То есть некоторые пропагандируют Mint linux без Snap как альтернативу для Ubuntu. Но выясняется что Mint Linux использует Flatpack и это ни чем не лучше. Наглядный пример когда нам недоговаривают всей правды и это похоже на лошь.
По этим причинам я взял Runtu.
До тех пор пока в Ubuntu не будут пропадать классические пакеты. Ещё 4 релиза осталось.
> До тех пор пока в Ubuntu не будут пропадать классические пакеты. Ещё
> 4 релиза осталось.А откуда инфа про 4 релиза, есть какой-то роадмап каноникловый в свободном доступе, где это упомянуто?
Речь пока только об Ubuntu, которая на GNOME, её spin'ы в этот план не входят, по крайней мере пока.
И чем она лучше?
Ну, в отличии от Ubuntu, где уже системное ПО встраивают в виде Snap, в Linux Mint вся система в .deb пакетах поставляется, а через Flatpak предлагается устанавливать последние версии стороннего ПО через их менеджер приложений. Но можно в нём выбрать и .deb без проблем, принуждать никто не будет, правда в пакетах много софта на год-другой по версиям отстают
Мдэ, это просто фантастика. Так сладенько пели про безопасность и изоляцию в Snap, а на практике у нас теперь в Линуксе трояны, тырящие деньги, в один клик ставятся прямо из *официального* Snap Store.Лол, переплюнули сам мастдай: сейчас, в 2023 году, даже на Винде такого трэшака нет. Да даже если в обход Microsoft Store тупо загрузить установщик с официального сайта - это будет и то безопаснее, чем *официальный* магазин Canonical с изолированными горе-снэпами.
Господи, в какой же убогий цирк превращают линуксячий десктоп, который и без всей этой дичи вызывал только сочувствие...
>а на практике у нас теперь в Линуксе трояны, тырящие деньги, в один клик ставятся прямо из *официального* Snap StoreНедавно на до мной пытались издеваться анонимы в комментариях, когда рассказал что на собеседовании встал и ушел после слов их админа что использует на сервере Ubuntu, и не использует менеджер паролей.
Так тебе про десктоп говорят, а не сервер. Хорошо что ты с собеса ушел для компании ты бесполезен.
Я бы в кошмарном сне не представил что придется админить парк машин на Убунту. Знакомый работал в конторе где Убунту использовали, спасибо не надо.
не, ну че ты как этот вот. Платишь (!) за убунтин landscape (точнее за убунтопро, он входит в подписку), и наслаждаешься поинтандклик интерфейсом. Потом тебя, правда, увольняют, потому что менеджер тоже можешь кликать свою верную мыш и ты как бы и не нужен.Ну так для того и брали.
Их вендорская автоматизация такая вендорская.
(для серверов можешь, конечно, пострадать с cloud-init, autoinstall, subiqiuty каждый со своим новым нескучным конфигом, но через определенный промежуток времени все равно пойдешь за ландскейпом, только помрешь - уставшим)
Что скажешь на то, что знаю контору, у которой сервер на Windows. Там же лежит и официальный сайт конторы
Перепись подвальных снова открыта.
Windows хотя бы стабильная система, в отличие от игрушечной поделки (затянувшегося дипломного проекта под видом ОС) под названием Linux которая до сих пор зависает при недостатке памяти или вместо автоматической запуски проверки диска (fsck) просто вываливается в консоль и просит набрать эту команду вручную (!)
После всего этого я не удивляюсь что роутеры на Linux внезапно виснут и приходится их перезагружать... Или после выключения света роутеры не загружаются и приходится бегать и их вручную выключать-включать. И так далее.
А Ubuntu Server - лютое убожество, кстати. Один раз ставил поиграться, так чуть не стошнило.
> Windows хотя бы стабильная система
> После всего этого я не удивляюсь что роутеры на Linux внезапно виснутКак будто Window вообще на роутере запустится. Да и на суперкомпьютеры ее тоже не ставят, как и на телефоны. "Стабильная" такая система, которую все избегают, и занимает wbndows ~5% от рынка, по привычке доминируя только на съежившемся рынке десктопа, где отказоустойчивость и стабильность не важна, лишь бы игрушечки запускались. Создатели контента и те на MacOS мигрировали.
> на съежившемся рынке десктопа, где отказоустойчивость и стабильность не важна, лишь бы игрушечки запускались.Справедливости ради, как раз на десктопе стабильность важна - стабильность интерфейсов и, как следствие, обратной совместимости. И у Винды с ней лучше, чем у кого-либо: даже софт начала нулевых, включая драйвера на древнюю периферию, работает без проблем.
> на съежившемся рынке десктопа, где отказоустойчивость и стабильность не важна, лишь бы игрушечки запускалисьДядя Петя, Вы о крышку люка ударились? )
Тем временем у десктопа уже меньше трети от рынка осталось, а учитывая, что форточки больше никуда не ставят...
> Windows хотя бы стабильная система, в отличие от игрушечной поделки (затянувшегося дипломного проекта под видом ОС) под названием LinuxДа, игрушки - Все самые мощные системы искусственного интеллекта в мире работают на Linux. ))))
> Все системы искусственного интеллекта в мире работают на Linux.Поправил.
И это заметно. Говорят, Ф-35 выбросил лётчика и улетел 17-го прямо в сердце производсвтва линуксов, в США, полетать. )
> Linux которая до сих пор зависает при недостатке памятиЧто нибудь слышал про консоль, не виртуальную? То-то же! Админ неудачник!
А ты используешь менеджер паролей? Тогда получи сапогом под зад.
А что использовать? Таблицу Эксель?
Бумажку! Ведущие специалисты по безопасности не дадут соврать: https://www.schneier.com/blog/archives/2005/06/write_down_yo...
мои пароли. распечатай и повесь на стену. https://www.passwordcard.org/ru/mobile?number=f35c1e7fc08835cc
Если ты ими пользуешься раз в год-два, может быть, но если у тебя куча паролей от кучи разлчиных серверов, активного сетевого оборудования, ПО и т.д. и нужно каждый день вводить много раз, такой вариант не подходит. Сразу видно, что ты просто не понимаешь о чем говоришь. Ламеры, которые ещё и пытается выдавать свой ламерский взгляд за единственно верный это и есть местные эксперты.
> Если ты ими пользуешься раз в год-два, может быть, но если у
> тебя куча паролей от кучи разлчиных серверов, активного сетевого оборудования, ПО
> и т.д. и нужно каждый день вводить много раз, такой вариант
> не подходит.знаешь, если у тебя реально куча паролей от всего перечисленного, которые нужно вводить каждый день - не хотел бы тебя огорчать - но вот все что ниже - это про тебя:
> говоришь. Ламеры, которые ещё и пытается выдавать свой ламерский взгляд за
> единственно верный это и есть местные эксперты.Это даже уже не подвальный уровень, это вот что-то вообще за гранью добра и зла.
Вся суть экспертизы от поха. Я давно понял, что если умничать, то наивные анонимы могут подумать что ты действительно что-то понимаешь, но иногда ты несешь такую откровенную чушь, что становится понятен твой реальный уровень экспертизы.
> Вся суть экспертизы от поха.вся суть подобных тебе. Вы настолько феноменальные .... что бесполезно вам пытаться объяснить что вы это самое.
Мильены паролей от всего на свете - вводимые каждый день, при рутинной работе. Ах-еть...
Когда по сути сказать нечего, переходят на личности. Если лично ты с этим не сталкиваешь, не значит что другие не имеют такой необходимости.
Воистину, иногда лучше жевать чем говорить, молчание золото и т.д.
> Когда по сути сказать нечего, переходят на личности.ну так отойди от зеркала.
Говоришь на меня - переводишь на себя!
Даже если нет необходимости каждый день использовать пароли, то хранить их каким то иным способом как в менеджере паролей, это признак сисадмина в захолустной конторе который про основы кибербеза даже не слышал.
> Даже если нет необходимости каждый день использовать пароли, то хранить их каким
> то иным способом как в менеджере паролей, это признак сисадмина в
> захолустной конторе который про основы кибербеза даже не слышал.Кибербез: "менеджер паролей" (== файлик с характерным расширением) где все пароли от всего уютно уложены кучкой. Осталось слямзить суперкрутойпарольотвсего (что таки не бином ньютона, тем более что дятел вводит его по писят раз на дню чтобы добраться до остальных) и прихватить сам файлик.
Что еще сегодня услышим от подвальных гениев опеннета?
Перед тем как писать своё экспертное мнение, ты хотя бы дай себе работу погуглить что такое корпоративные менеджеры паролей.
А главное погугли структуру ИТ департаментов. Есть такое понятие - разделение труда. Если ты сетевой инженер тебе никто не даст доступ к паролям от серверов. Если ты системный администратор, тебе никто не даст доступ от видео наблюдения. Это только админы в заштатных конторах и активное сетевое оборудование настраивают и сервека админят и видео наблюдение админят и поломавшиеся чайники паяют и мебель двигают.
Представь себе, в конторах, где больше одного заштатного сиадмина, используют корпоративные менеджеры паролей с отслеживанием всех изменений. А для удаленного доступа используют не Anydesk а что-нибудь увроня Citrix DaaS.
> Перед тем как писать своё экспертное мнение, ты хотя бы дай себе
> работу погуглить что такое корпоративные менеджеры паролей.это когда все пароли от всего даже не в файлике (который хотя бы условно-надежно зашифрован, но это если б еще его и не трогали) а вообще в облачке, да? С отслеживанием изменений, чтоб горе-хакеру было удобней.
> А главное погугли структуру ИТ департаментов. Есть такое понятие - разделение труда.
> Если ты сетевой инженер тебе никто не даст доступ к
> паролям от серверов. Если ты системный администратор, тебе никто не дастой блжад...
подвальные мне тут будут рассказывать, как им из подвала видится работа корпоративных ит департаментов.
Про single-signon, авторизационные серверы и прочую ерунду при этом, они, из подвала, разумеется даже и не слышали, у них сто мильенов суперсекретных паролей на каждый чих.
> Сразу видно, что ты просто не понимаешь о чем
> говоришь. Ламеры, которые ещё и пытается выдавать свой ламерский взгляд за
> единственно верный это и есть местные эксперты.Мы знаем много способов и умеем использовать их все, каждый по отдельности и/или в комбинации с другим.
какое ограничение в твоей голове заставляет тебя признавать исключительно один "единственно верный" и запрещает другие я не знаю.
но то, что ты признаешь себя ламером, дает надежду на исцеление.
попробуй обратится к психоаналитику.
Что? Что? Что за глупые вопросы? Стикеры на мониторах использовать! На них пароли записывать!
А под монитором уложить спать вот этого, например: https://imgbox.com/CVHjva1T
И я посмотрю на того, кто рискнет разглядывать что там на стикерах.(и да, не быть тем самым м-ком с незапоминаемыми паролями от ненужно по 23 буквы-цифры-спецсимволы-я-у-мамы-дол6ое6)
А "мастер-пароль" в обозревателе?
> А "мастер-пароль" в обозревателе?ну уж 123-то я запоминаю и так.
Чет очень толстый троллинг
> Чет очень толстый троллингда нет, все правильно (кроме того, конечно, что у нормального Браузера в нормальной ОС нет никакого мастерпароля, стор зашифрован штатным битлокером - и ХРЕН ты, между нами, оттуда чего достанешь)
- в браузерной свалке хранятся пароли 123йцукенГГ!даотсьжеж для какого-нибудь папажонса или еще чего супернужного, важного, полезного, но нет. Непременно требующего вот такой пароль чтобы ознакомиться со списком пицц которые я сожрал за последние пол-года.Вот такому и правда самое место в пасворд манателе, но, разумеется, встроенном в сам браузер. Э... Браузер, а не браузер. Не спрашивающий дурацких мастерпаролей каждый раз как мне хочется пожрать.
Зачем хранить пароли в браузере, если можно не хранить?
> Зачем хранить пароли в браузере, если можно не хранить?ну и сиди голодный. Как ты пиццу-то закажешь не создав себе учетку с паролем большиемаленькиенепременноспецсимволыицифрыинеменее20символов?
Кстати, я на днях прогадил пароль от озона. Как восстанавливать - неизвестно. Хотят оппу, унитаз и днк-материалы. И все это за 2000 ржублей застрявших на левой озон-карте. У того корпо-противного наверное такая же безопастность.
>у нас теперь в Линуксе трояны, тырящие деньги, в один клик ставятся прямо из *официального* Snap Store.тыж линуксоед, мозги должны быть. я лично и из дебиана не ставлю bitcoind, только с официального сайта. потому что да, мало ли что там за васян пакеты собирает.
Единственная вменяемая альтернатива снэпам и флэтпакам это забить на нативные приложения под линукс вообще и пилить усерднее wine сотоварищи.
>например, в 2018 году в Snap Store были выявлены пакеты, включающие скрытый код для майнинга криптовалюты.<Так всё закономерно. Теперь пришло время украсть то, что намайнили с 2018 года :)))
Через npm этих майнеров каждому фронтендеру пришло куда больше. За это время.
да ну, много ты в браузерах намайнишь...фулшмякерам еще может чего и обломилось, но тоже вряд ли много.
1. Придумываем технологию "изоляции".
2. Уповая на "изоляяцию", устраиваем помойку г-нокода и малвари.
3. Удивляемся.
ты не в ту сторону воюешь, дятел. технология изоляции там - от приложения. И не потому что это троянец, а потому что в приложениях бывают дыры. А в таких приложениях, которым необходим снап - друшлаг.А вовсе не от автора самого снап-пакета. Ты бы еще от авторов ядра линукса изолировался.
> ты не в ту сторону воюешь, дятел. технология изоляции там - от
> приложения. И не потому что это троянец, а потому что в
> приложениях бывают дыры. А в таких приложениях, которым необходим снап -
> друшлаг.
> А вовсе не от автора самого снап-пакета. Ты бы еще от авторов
> ядра линукса изолировался.Как раз ситуация эта именно потому, что подход: а давайте-ка мы сделаем как Google Play и все вacяны понесут к нам наСнап-Снапанные пакеты, а мы с себя сбросим бремя мейнтейнинга всякого в deb.
C таким же успехом, заведя вacянский левый репозиторий с таким же подходом можно было закономерно получить схожий результат уже с deb-пакетами.
Но справедливости ради, с гораздо меньшим количеством зловредов, потому что практика показала, что даже мaмкины девопсы не умеют собирать deb-пакеты, так что смyзи-коддеры и подавно, они только флатпакоснапы и осилили, отчего "итог был немного предсказуем".
> C таким же успехом, заведя вacянский левый репозиторий с таким же подходом можно было закономерно получить схожий результат уже с deb-пакетами.Справедливости ради, по-настоящему левых репозиториев в природе мало: как правило, сторонняя репа поддерживается самими разработчиками конкретного софта, и ссылочка не нее публикуется на официальном сайте этого самого софта. Так что даже этот подход куда безопаснее.
> Так что даже этот подход куда безопаснее.Т.е. всё строится на доверии, я правильно понял?
Тогда доверие к Доктору Вебу у меня больше, чем к прикладному софту, которым пользуюсь.
Ну у них-то софт хорошо упакован. Ставится гладко. Работает без глупостей. И функционал неплох. Они первые заходили на Linux площадку. И у них хорошо делали.
> Т.е. всё строится на доверии, я правильно понял?Установка любых бинарей извне строится на доверии. И даже компиляция вручную, ибо исходники вы не прверяете.
Пэтому дело не в доверии, а в том, что один способ распространения куда легче скомпрометировать, чем другой. И вот тот, что описывается в новости - это абсолютный финиш.
А в случае классического сообщества и дистрибутива, в репо приложены все исходники, из которых можно пересобрать пакет без очень глубоких погружений. Блобы бывают внутри, но это тоже видно в сырцах.А Снэп - ни разу не так. Одно из заявленных вендором назначений: не зависеть в запуске софта от неизвестно чьих неизвестно откуда блобов, никем не обновляемых.
Что репозиторий с .deb, что репозиторий с flatpak пакетами, они все подписываются.
Вопрос уже не в доверии, а в проверке, т.е. контроле. Формат пакетов не важен. В данном случае пакеты были размещены не разработчиками конкретного софта, а злоумышленниками, что говорит о качестве администрирования и премодерации контента магазина.
И в данном случае ,если нужно было организовывать эвристический анализ, то надо было его и внедрять, а не трястить от страха быть отвергнутыми opensource-сообществом.
так с Flatpak всё тоже самое, только принцип Джо работает сильнее.
> что даже мaмкины девопсы не умеют собирать deb-пакетыСобрать жирный DEB пакет куда проще, чем SNAP.
Кроме автора сырцов, сложно и долго выяснить все детали, для короткого, ясного, надёжного конфига для SELinux или для изоляции в контейнер. А конфиги SELinux, что-то, мало кто прикладывает.Если идти по пути Ведроида, то надо переделывать всю обвязку ядра вообще. Может Системда, кстати, была попыткой увода от таких переделок...
> ты не в ту сторону воюешь, дятел. технология изоляции там - от приложения. И не потому что это троянец, а потому что в приложениях бывают дыры. А в таких приложениях, которым необходим снап - друшлаг.
> А вовсе не от автора самого снап-пакета.И в чем разница для конечного пользователя?
И, похоже, ты не в курсе, что все эти сандбоксы не только о сишных дырах, но и вообще про доступ к периферии, содержимому экрана, к файловой системе и т.п. Как раз чтобы защищать систему от злонамеренных программ.
> И в чем разница для конечного пользователя?в том что очередной webp с сиcьк@ми и пиcьк@ми не сопрет его криптокошелек. Если он поставил мразилу из официального убунтина снапа а не васянского.
ВСЬО.Остальное там - не для конченных пользователей, а для сборщиков. Которые теперь могут собрать пакет не с теми версиями всего, что в операционке под ним, а с только что из под хвоста, как требуют альтернативно-одаренные разработчики.
P.S. список запрещенных на запрещено называть слов не перестает поражать, удивлять, и даже в чем-то фраппировать...
Что за чушь... Уязвимости в софте сами по себе деньги не тырят, а лишь могут дать такую возможность. А в новости буквально готовый софт для этих целей ставится прямо из официального магазина в один клик.И для конечного пользователя воторой вариант даже хуже.
А изоляция как раз в первую очередь и нужна для ограничения возможностей приложения в случае, если оно зловредно. В начале ветки человек все правильно написал "Уповая на "изоляяцию", устраиваем помойку г-нокода и малвари". Вот, почитай, что это такое:
https://snapcraft.io/docs/snap-confinement
Раньше ведь толдычили "не запускай левую дрянь - ставь софт из пакетного менеджера". А теперь, из-за рассчета на защиту изоляции, трояны ставятся в один клик прямо из официального магазина.
Повторяю, т-пой ты дятел - snap предназначен для изоляции именно от проблемы, описаной тобой первой - а не от проблемы что сам пакет собирал жулик.И с первой задачей - справляется, все у него в общем и целом если не хорошо то хоть приемлемо.
А вторая нерешаема никаким чудо-софтом вообще - ты вот кодить не умеешь, а те кто умеют - норовят не мир делать лучше, а кошелечек твой прихватить.> А изоляция как раз в первую очередь и нужна для ограничения возможностей приложения в случае,
> если оно зловредно.в твоем мирке розовых поней - вероятно, да, но снап писали люди из реального мира.
И решили в нем - решаемую задачу.
> Раньше ведь толдычили "не запускай левую дрянь - ставь софт из пакетного менеджера".
ты там эти снапы не сохранил, случайно? Давай, соберу тебе из них православный deb. Сможешь поставить пакетным менеджером. Тоже в один клик.
Что магазин "официальный" - и находится под контролем кого надо - ну вот, помогло сразу заблокировать как нашли. А васянский ppa ты еще потрахался бы выискивать и блокировать.
А поставиться с него - опять же, в пару кликов.
Я в курсе, какая "изоляции" там имеется в виду.
А вот когда ответственные за репу расслабляются и пропускают в репу малварь из-за того, что сами поверили в басни о безопасности снапа - это и есть "устраивать помойку г-нокода и малвари".
тысячегласс же ж.А на деле - через неделю будем читать такую же новость и про дебиановские пакеты. Или не будем, потому что в свалке universe никто никогда троянца и не найдет.
> тысячегласс же ж.
> А на деле - через неделю будем читать такую же новость и
> про дебиановские пакеты. Или не будем, потому что в свалке universe
> никто никогда троянца и не найдет.
> про дебиановские пакеты.
> в свалке universeВсё, что нам нужно знать о познаниях поха в Дебиане xD
то есть опять дое...ся до мышей. По сути возражений нет, троянский deb пакет из единственноверного репо ты поставишь без раздумий.
Т.е. кроме самого ничего не подключать?
> Т.е. кроме самого ничего не подключать?Если я правильно понял твою опечатку - все равно что ты там подключаешь. Троянец вполне может оказаться в единственноверном репо единственноверного дистрибутива - ну просто потому что есть солонка - можно туда и наccать.
Понятно что с новыми-модными технологиями ccaть интересней, поэтому вероятность огрести выше именно там, но существенной разницы, увы, нет.Пользуйтесь дистрибутивом рхбм - там индуса за такое выпорют, а может даже и сдерут шкуру живьем (если он прям из бангалора своего пашет - там обычаи грубые). При этом он на зарплате, и заинтересован чтоб шкура и зарплата пробыли с ним как можно дольше. Ой... но там нет половины нужных и полезных вашему PMу пакетов? Ну тогда даже и не знаю...
Т.е. выход во входе, т.с. его нет, замкнутый цикл. )
Это было неизбежно. Вяс суть Шнапса в тмо чтобы возню с упаковкой и поддержкой переложить с дистра на разработчика-распространителя, автоматизация - чтобы поменьше возни руками. Минимум проверок, фигак-фигак и в продакшин.
Ну вот и получили.
У Мозиллы была та же проблема, либо проверка дополнений вручную и очередь на месяцы на обновление (если ты не блатной вроде разработчика NoScript) либо автоматизация и полный каталог малвари.
Да даже переложить дальше чем на автоматизатора. Сразу на конечного пользака падает много работы по контролю безопасности внутренностей пакета.Вендор от этой работу отскочил, да.
Что и говорилось:У вендора нулевое желание контроля репо.
Без вендора сообщество заинтересовано не-коммерческом высоком качестве. И положительный контроль при приёмке в репо. А у вендора в снэпе всё изолировано от вендорской операционки и потому не волнует. Очень слабо волнутет вендора что пользак, что пользацкие данные.
И снэп изоляция и пакеты - способ переложить на пользака контроль за качеством в репо. Ну, может деградирует до уровня замусоренности в Pip или Node.
> Без вендора сообщество заинтересовано не-коммерческом высоком качестве.без вендора сообщество заинтересовано в клубничном смузи. С ним, собственно, тоже, но есть те кто на зарплате.
Для этого у них есть возможность Мак. Что они и делают.
маком сыт не будешь :-(
Что-то дела у Каноникал в последнее время плохо идут
хорошо идут - у их ло...клиентов есть крипта! По богатому живут.
Как мне, устанавливая snap-пакет, проверить, что он из надежного источника и не содержит вредоносов? Вот в случае с тем же AUR я могу (да и должен) открыть и почитать PKGBUILD.
И что бы ты вычитал в случае такого вот trezor-wallet, аккуратно выложенного в aur?(даже если предположить что ты на самом деле читаешь PKGBUILD на каждый из тыщи поставленных тобой пакетов и при этом у тебя еще и есть что-то в кошельке, а не одни фантазии на заданную тему)
> читаешь PKGBUILD на каждый из тыщи поставленных тобой пакетовИз какой еще тыщи?
> И что бы ты вычитал в случае такого вот trezor-walletНу как минимум вычитал бы ссылку, откуда исходники качаются, и сравнил бы ее со ссылкой на скачивание на официальном сайте.
серьезно?И ты даже знаешь, где у него - официальный сайт, а не возьмешь его там же, в описании пакета?
И так - с каждым из тысячи установленых.
Ага, поверил я.
Увидеть зеленую галочку напротив SNAP пакета
> Увидеть зеленую галочку напротив SNAP пакетаэ... где в snap install зеленая галочка - не вижу?
А если ты даже работаешь через гомощель - ну не увидел ты галочку. И чего, другого-то пакета ведь нет.
snap info adguard-home
name: adguard-home
summary: Network-wide ads & trackers blocking DNS server
publisher: AdGuard (ameshkov✓)При установке она тоже светится.
> И чего, другого-то пакета ведь нет.
Ну всё. Мир не справедлив и всё такое, ты в линуксе – "блеск и нищета", "иди собери сам", "тебе никто не должен"...
Ещё: Смотри как смешно получилось. Хотя можно ещё смешнее.
Ну вот видите, набирает популярность. А вы ныли, что не взлетит.
Распостранённость не есть популярность.
Это про Винду?
Да кто бы сомневался, блин. Нам не нужны мантейнеры, говорили они, нам нужно чтобы любая шваль могла собрать блоб с любой малварью вы выложить его в "магазин".
Самый сок в том, что вот прямо здесь в комментариях находятся защитники, которые на серьезных щах втирают, что пакеты из официальных репозиториев ничем не лучше :)
Если мейнтейнер не аудитит код (а он не аудитит примерно нигде), то действительно ничем не лучше. Ну, лежал бы в репах в deb'е тот же самый trezor-wallet и что поменялось бы?
Условия приёма в репо разные.Лежать может, но будет ли принят. Это ж публичный FTP с постмодерацией, а другие правила.
публичный = непубличный
так тут примерно выбор между сам знаешь чем...
хотя в реальности между серыми пакетами в SNAP и отсутствием подобных вообще в официальных репозиториях.
Скорее новостью было бы, если не выявили.
> в 2018 году в Snap Store были выявлены пакеты, включающие скрытый код для майнинга криптовалюты.за 5 лет не исправили. Наоборот! Стали внедрять snap куда не надо.
Серьёзная причина держаться подальше от ubuntu.
Итого успех очередной хипстерской модели очевиден.
причём тут какие-то хипстеры?
если что-то делать с минимальным количеством ресурсов и на ошибись, то так и получится. Всё просто.
Помойкосорсинг в пакетостроении.
Результат примерно тот же что и с лефтпадами.
Что ещё могло быть у людей, решивших в переписке про размер /boot, что у человека не должно быть установлено больше трёх версий ядра, а размер /boot надо задавать маленький.Вам Каноникл ещё раскажет, расскажет, что Вам делать, как делать, а не иначе.
у меня флетпак телегу каждый день обновляет, по 80 мегов притаскивает, это нормально?)))
Касперский в дискуссии уже участвовал?
> Подробности об инциденте обещают раскрыть после окончания разбирательства.Даже интересно.
Скажем в debian у каждого пакета есть ответственный. Он может накосячить и пропустить от разработчиков пургу - тогда будет считаться недостойным вести пакет. Может сам упаковать пургу - тут сразу дело заводить можно и сажать.
Как со snap store? Кто за эти пакеты понесет наказание?