The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В Ubuntu Snap Store выявлены вредоносные пакеты

30.09.2023 19:57

Компания Canonical объявила о временной приостановке использования в Snap Store автоматической системы проверки публикуемых пакетов из-за появления в репозитории пакетов с вредоносным кодом для кражи криптовалюты у пользователей. При этом непонятно, ограничивается ли инцидент публикацией вредоносных пакетов сторонними авторами или имеют место какие-то проблемы с безопасностью непосредственно репозитория, так как ситуация в официальном анонсе характеризуется как "потенциальный инцидент с безопасностью".

Подробности об инциденте обещают раскрыть после окончания разбирательства. На время разбирательства работа сервиса переведена в режим ручного рецензирования, при котором все регистрации новых snap-пакетов будет проходить ручную проверку перед публикацией. Изменение не затронет загрузку и публикацию обновлений для уже существующих snap-пакетов.

Проблемы выявлены в пакетах ledgerlive, ledger1, trezor-wallet и electrum-wallet2, опубликованных злоумышленниками под видом официальных пакетов от разработчиков отмеченных криптокошельков, но на деле не имеющих к ним никакого отношения. В настоящее время проблемные snap-пакеты уже удалены из репозитория и больше не доступны для поиска и установки при помощи утилиты snap. Инциденты с загрузкой вредоносных пакетов в Snap Store случались и ранее, например, в 2018 году в Snap Store были выявлены пакеты, включающие скрытый код для майнинга криптовалюты.

  1. Главная ссылка к новости (https://forum.snapcraft.io/t/t...)
  2. OpenNews: Root-уязвимость в инструментарии управления пакетами Snap
  3. OpenNews: Уязвимость в snapd, позволяющая получить root-привилегии в системе
  4. OpenNews: В Ubuntu Snap Store и Chrome Web Store выявлены вредоносные пакеты
  5. OpenNews: Локальные root-уязвимости в инструментарии управления пакетами Snap
  6. OpenNews: Компания Canonical опубликовала заявление, связанное с вредоносным ПО в Snap Store
Лицензия: CC BY 3.0
Наводку на новость прислал Artem S. Tashkinov
Короткая ссылка: https://opennet.ru/59849-snap
Ключевые слова: snap, malware
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (196) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 21:52, 30/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +115 +/
    > Компания Canonical объявила о временной приостановке использования в Snap Store автоматической системы проверки публикуемых пакетов

    Лучше бы объявили о прекращении существования Snap-store и Snap-пакетов.

     
     
  • 2.2, ubuntufag (?), 22:00, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • –25 +/
    На самом деле snap не так уж плох, там есть куча механизмов позволяющих изоляровать приложение от системы, как альтернатива этому тебе прийдется самому накручивать apparmor, область видимости, возможно даже отдельного юзера для приложения
     
     
  • 3.3, Аноним (3), 22:02, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • +14 +/
    > как альтернатива этому

    Flatpak

     
     
  • 4.7, ацв1110а (?), 22:13, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • –10 +/
    флетпак не канает, потому что сторонняя технология, а каноникалу и гнома хватает, ибо они постоянно его допиливают, потому что редхат не может.
     
     
  • 5.90, Легивон (?), 11:40, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Сторонняя относительно чего?
     
     
  • 6.118, Аноним (118), 15:12, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ubuntu делает Canonical, Snap тоже делает Canonical. Flatpak для них сторонняя технология
     
     
  • 7.164, Имя1 (?), 21:02, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Как и Wayland, как и systemd, как и PulseAudio. Все равно в итоге закопают, лучше раньше это сделать.
     
  • 7.200, Аноним (200), 13:13, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Как и браузер и даже само ядро линукса. Эта ваша идеология чучхе снова какая-то неполноценная. Раз уж взялись всё своё - пусть пилят всё своё. Иначе отмазка про "не своё" которая для одних частей используется, а для других нет - не канает.
     
  • 5.111, Крод (?), 14:45, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Linux тоже не помогает. Пусть откажутся
     
  • 5.140, microcoder (ok), 17:25, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > флетпак не канает, потому что сторонняя технология

    Во как! Интересно как... А ядро Linux это не сторонняя для них "технология"?

     
     
  • 6.179, ацв1110а (?), 23:49, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    не сторонняя, потому что каноникал кучу бабок и ресурсов в линукс вкладывает.
     
  • 3.5, НеАнон (?), 22:05, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Винни, возьми ложку побольше! И зачерпывай с самого низа, там где погуще!
     
  • 3.8, Аноним (8), 22:13, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > позволяющих изолировать приложение от системы

    вот и будешь изолирован вместе с вредоносным ПО от нормально работающей системы

     
     
  • 4.11, a_kusb (ok), 22:18, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тогда наверное не такая проблема, вредоносное ПО.
     
     
  • 5.15, X86 (ok), 22:23, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Да, украдет криптовалюту, зато до системы не доберётся)
     
     
  • 6.22, пох. (?), 00:15, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Почему не доберется-то? Возможности добраться - определяются сборщиком пакета.
    Юзверь ничего не видит и не контролирует. Для того и брали.

    Если пакет собирал любитель ссать в солонки - он и крипту у тебя сопрет, и в хомяк тебе нагадит.
    штоб знал!

     
     
  • 7.40, Аноним (40), 05:10, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > штоб знал!

    У этого хотя бы мотив понятен.

    Надысь один майнтайнер широкоизвестного в узких дистрибутива признал публично "что попалось, то и собираем"...

     
     
  • 8.65, пох. (?), 09:48, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вот от этого снап как раз - защитит с некоторой долей вероятности, потому что... текст свёрнут, показать
     
  • 8.116, Аноним (-), 15:04, 01/10/2023 Скрыто ботом-модератором
  • +1 +/
     
     
  • 9.201, Аноним (40), 13:15, 02/10/2023 Скрыто ботом-модератором
  • +/
     
  • 6.24, Celcion (ok), 00:22, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Да, украдет криптовалюту, зато до системы не доберётся)

    Вот это меня всегда максимально удивляло в апологетах теории "нет рута - нет проблем". Действительно, любой залётный троянец, запущенный с правами пользователя, может снести подчистую весь профиль со всеми данными - но зато сама система устоит!

     
     
  • 7.38, Аноним (40), 04:49, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> Да, украдет криптовалюту, зато до системы не доберётся)
    > Вот это меня всегда максимально удивляло в апологетах теории "нет рута -
    > нет проблем". Действительно, любой залётный троянец, запущенный с правами пользователя,
    > может снести подчистую весь профиль со всеми данными - но зато
    > сама система устоит!

    Ничего удивительного, посмотрите на вопрос шире. В начале века в ходу было определение "ламер". Ныне в тех же ситуациях употребляют "токсичный" и "душнила". Как говорится, лучший способ защиты - нападение. При этом "ламер" - по сути характеристика профессиональных качеств индивида, а "токсичный" - чистой воды ad hominem.

     
  • 7.64, пох. (?), 09:46, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну вот собственно снап и решает, помимо прочих (основная его задача вовсе не в том) и эту проблему. Снесет только те данные, которые автор пакета разрешил трогать на запись.
    А которые и читать не разрешал - не прочтет.

    Цена - падение производительности, разумеется. Ну и возможные дыры уже сразу заодно и в рута, но это неточно.

     
     
  • 8.125, Критик (?), 15:53, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Крипта крадется из буфера обмена подменой кошелька при копировании Как механизм... текст свёрнут, показать
     
     
  • 9.137, пох. (?), 16:44, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ну блин и что теперь делать с твоими 0 000002btc При таком копировании в лучшем... текст свёрнут, показать
     
  • 9.190, лютый арчешкольник... (?), 08:20, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ну вообще-то нет судя по названию это было криптанское ПО, имеющее полный досту... текст свёрнут, показать
     
  • 7.202, Аноним (200), 13:19, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Пинукс без рут прав абсолютно защищен. Ну, тут правда забывают уточнить, что это именно сам пинукс защищён. Который ты в любой момент можешь переустановить.
    А вот вся твоя /ненужная/ информация (юзердата которую ты сам насоздавал) /s - не защищена. И её можно пошифровать, своровать и т.д. Б - безопасТность. Так-то!
     
  • 7.213, voiceofreason (?), 18:54, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Угу, которая руками восстанавливается за час-два. Данным это, правда, не поможет :)

    А для защиты от бездумных действий и дрожащих рук проще и приятнее что-то типа UAC.

     
  • 3.103, _kp (ok), 13:54, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Во первых snap умудряется тормозить на современном железе...
    Этого уже достаточно, чтоб не обсуждать прочие недостатки, типа "всё в одно корытце", и последствия этого подхода.
     
     
  • 4.206, ubuntufag (?), 14:12, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Slack в snap реализации аж на 0.5 секунд запускается медленее, в остальном разницы не заметил. Firefox в версии snap тормозил пока родные nvidia дрова не поставил
     
     
  • 5.207, _kp (ok), 15:01, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > аж на 0.5 секунд запускается медленее,

    Это не нормально. И затраты времени ни на что.
    Более того, кодга туда секунду, туда секунду, а где о и сразо 30 секунд.. И в итоге лагающая система.
    Это как по цене Феррари купить Запорожец, который чуть быстрее нативного Запорожца.


    Я из любопытства смотрю и дистрибутивы, которыми не собираюсь пользоваться. В Убунте для теста устанавливал приложения с намеренным приоритетом через snap. Сказать, что результат опечалил, это не сказать ничего.

    Конечно,может можно что то настроить, оптимизировать, но я смотрел то, с чем предлагают материться обычному пользователю.

    Итого: концепция snap обсуждаема, а текущая реализация - уродлива.

     
     
  • 6.208, Аноньимъ (ok), 16:58, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > В Убунте для теста устанавливал приложения с намеренным приоритетом через snap.

    Там теперь только снап для многих приложений и по другому никак. В репах стоят заглушки для установки снап приложения.

     
  • 4.218, Аноним (-), 20:17, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да я бы не сказал, что все так плохо Может на современном железе и тормозит мо... большой текст свёрнут, показать
     
  • 3.188, scriptkiddis (?), 04:58, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да снап очень хорош для распространения вирусов.
     

     ....большая нить свёрнута, показать (33)

  • 1.4, НеАнон (?), 22:03, 30/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Никогда такого не было, и вот опять...
     
  • 1.6, Аноним (6), 22:10, 30/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    "i" in "Snap" stands for "isolation" and "s" stands for "sucker".
     
  • 1.10, Вишенка на торте (?), 22:18, 30/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Как-то не удивительно даже
     
  • 1.12, a_kusb (ok), 22:20, 30/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Вот для чего нужны сопровождающие. Типа если запаковывают они.
     
  • 1.13, Аноним (13), 22:20, 30/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +13 +/
    Snap, Flatpak - всё это шляпа. Если нет возможности ставить deb/rpm, то есть Appimage. Его по крайней мере не нужно устанавливать (пакеты открываются без установки) и каждому приложению - только 1 файл, который так же легко удаляется. Ну а вообще по возможности ставить нормальные пакеты, не изолированные
     
     
  • 2.31, Аноним (31), 00:46, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    В Убунте кроме фаерфокса, можешь ставить как хочешь. Да и сам фаерфокс можешь из репок ставить, мы просто забыли, что это линукс, который можно лепить, как хочешь, обленились, расслабились. Другой вопрос, что разработчики могут последнюю версию засунуть в снап, а в репах будет старая, но проверенная версия.
     
     
  • 3.49, Аноним (49), 07:49, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Версии в репах никто не проверяет их просто пакетят и всё.
     
  • 3.51, Аноним (51), 07:52, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > который можно лепить, как хочешь

    Ну убунту ставят как раз чтобы этого не делать

     
  • 3.57, Аноним (57), 08:31, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ubuntu утрачивает свою роль в качестве прослойки между Debian и нормальными дистрибутивами.
     
  • 2.55, Аноним (57), 08:24, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Snap, Flatpak - всё это шляпа. Если нет возможности ставить deb/rpm, то есть Appimage.

    Почему не упомянут способ установки по типу Windows (с разбрасыванием файлов по нужным папкам и прописыванием конфигурации куда необходимо). Например, с помощью InstallJammer я генерирую дистрибутив, установка и удаление которого под любой версией Linux для пользователя напоминает Windows. И весьма удобна.

     
     
  • 3.104, _kp (ok), 13:58, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Потому что обычно для подобных случаев, для приложений заведомо не входящих в дисрибутив, создают каталог в /opt, и уже там раскидывают файлы как угодно, с минимальными врезками в систему.
     
  • 2.67, pic (?), 09:51, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    С "нормальными", это с которыми 1 мейнтейнер на 100 пакетов или хуже, и каждому надо заглядывать в исходники, чтобы не обделаться, сомнительное оправдание. Во-вторых, с "нормальными" беда в плане выбора, либо древние версии, либо роллинг-релиз из-за ада зависимостей.
    Выбирать худшее из двух зол?
     
     
  • 3.72, Аноним (72), 10:12, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Если дистрибутив, как положено, релизиться от силы раз в год - это вообще не про... большой текст свёрнут, показать
     
     
  • 4.77, pic (?), 10:32, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    1,2. Людей нет, даже одному мейнтейнеру тяжело, выгорание. А местами не дают лезть в исходники не сменив бренда, Firefox был примером, он же Iceweasel в Debian. Менять платформу (версий основных компонентов) каждый год из-за релиза дистрибутива как-то глупо. Для этого есть LTS и весь ворох соответствующих проблем, замкнутый круг.

    3,4. Вы не получаете _новейший стабильный_ релиз с новыми функциями, замкнуты на цикличности релиза дистрибутива.

    5. Выбрать можно всё что угодно, а вот собрать в рамках такого дистрибутива - вряд ли, ждите новый релиз.

     
     
  • 5.78, pic (?), 10:37, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    5. Мейнтейнер - не святой. Можно апеллировать к редкости таких предательств, но жизнь есть жизнь.
    Лучше пусть сборщиком пакета (snap, flatpak, appimage) будет сам разработчик софта, в случае его предательства - его софт вышибут из репозитория магазина и он потеряет всё, а мейнтейнер просто прокладка, мавр сделал своё дело и ушёл, как с гуся вода.

    Сегодня мейнтейнер должен собирать только образ с базовой системой, а не прикладной софт.

     
     
  • 6.113, Аноним (40), 14:47, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    6. Майнтайнер зачастую не обладает квалификацией для понимания исходных текстов. Таких можно играть втёмную, подсунув "исправление".
     
  • 6.244, Аноним (244), 01:18, 07/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Мантейнер - не святой. Но человек которому доверяют другие. Как только доверие потеряет - уберут.
    Разработчик - от потери доверия не меняется. Вот был один разработчик, на его место пришел другой. Кто решит, стоит брать от него исходники, или лучше взять старую версию?

    Кто заметит, что разработчик поехал крышей?

     
  • 5.105, Аноним (105), 13:58, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Вы не получаете _новейший стабильный_ релиз с новыми функциями

    А что за функции Вам такие нужны, что постоянно и позарез требуются самые свежие - настолько, что вы готовы даже безопасностью своих денег поступиться из-за них?

     
     
  • 6.109, pic (?), 14:26, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >_новейший стабильный_ релиз
    >позарез требуются самые свежие - настолько, что вы готовы даже безопасностью своих денег поступиться из-за них?

    Почему так скучно перевираешь?

     
     
  • 7.240, Аноним (240), 00:18, 05/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Верь, что "_новейшем стабильном_ релизе" не бывает новейших стабильных багов, чмoня
     
  • 7.241, Аноним (240), 00:19, 05/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Слово "новейший" видишь?
    А оно там есть
     
  • 4.85, pic (?), 10:55, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    У классических дистрибутивов есть _только один выход_, договориться с разработчиками софта синхронно выпускать новый релиз (простите за каламбур), скажем, раз в 2 года. Но это невозможно по понятным причинам в принципе.
     
  • 4.92, iPony129412 (?), 11:55, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Да, это как раз именно один из плюсов пакетов из официальных реп: что левый человек не вкатит туда троян, как в Snap Store, и что софт там проверяется как положено, а не "автоматически" с последующей кражей ваших денег.

    Нет особой разницы в подходах, дело в ресурсах.
    Если делать на пять копеек голодными студентами, то хорошо не выйдет.

    Так же и с репами. Мейетейнер может бомбу присунуть по типу как в дебиан сделал с xscreensaver.
    Ну или дырявый Chromium бомбанёт у пользовтеля в том же Debian, потому что нет ресурсов поддерживать актуальный.

     
     
  • 5.97, pic (?), 12:32, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Абсолютно верно.
     
  • 5.117, Аноним (-), 15:10, 01/10/2023 Скрыто ботом-модератором
  • +1 +/
     
  • 4.110, Аноним (40), 14:36, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> каждому надо заглядывать в исходники, чтобы не обделаться
    > Да, это как раз именно один из плюсов пакетов из официальных реп:
    > что левый человек не вкатит туда троян, как в Snap Store,

    Откуда только берутся такие эксперты?

    Левый человек вкатит тебе паяльник.
    И ты сам всё за него сделаешь.

    Ой, извини. Ты же ничего не пишешь. К тебе не придут.

     
  • 3.191, лютый арчешкольник... (?), 08:22, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >это с которыми 1 мейнтейнер на 100 пакетов или хуже, и каждому надо заглядывать в исходники

    вообще-то мейнтейнер не должен аудитить исходники. он должен собирать пакет из ОРИГИНАЛЬНЫХ исходников, без собственных троянчиков. ВСЁ.

     
     
  • 4.204, Аноним (200), 13:35, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > вообще-то мейнтейнер не должен аудитить исходники. он должен собирать пакет из ОРИГИНАЛЬНЫХ исходников, без собственных троянчиков. ВСЁ.

    Автоматическая система бубунты это и делала: не аудитила, а собирала из исходников в снапы. Только вот там проги с троянами были.
    И, кстати, мейнтейнер в твоём сценарии вообще не нужен - полупокер который просто компиляет сорцы не нужон и вообще представляет собой доп.риск (и прецеденты были).

     
     
  • 5.230, лютый арчешкольник... (?), 13:08, 03/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Автоматическая система бубунты это и делала: не аудитила, а собирала из исходников в снапы

    ты новость то читал?

    Проблемы выявлены в пакетах ledgerlive, ledger1, trezor-wallet и electrum-wallet2, опубликованных злоумышленниками под видом официальных пакетов от разработчиков отмеченных криптокошельков, но на деле не имеющих к ним никакого отношения.

     
  • 4.210, voiceofreason (?), 18:13, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > он должен собирать пакет из ОРИГИНАЛЬНЫХ исходников

    В 2023 найти бы ещё дистр, где на полном серьёзе собирают ванильщину с гитхаба без патчей. Кроме слаквари что-то осталось?

     
  • 2.135, ИмяЯми (?), 16:32, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Appimage - это медленное и неповоротливое говно без механизма обновлений
     
     
  • 3.189, Аноним (189), 07:59, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет и нет.
     
  • 2.163, Аноним. (?), 20:47, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А обновлять дрянь по типу zoom, бум бум и т.д, руками потом не шляпа? И потом иди ищи, что оно по папке пользователя "размазало". У flatpak, как правило одна папка в ~/.var/app
     
  • 2.209, voiceofreason (?), 18:09, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    "Нормальные" пакеты не спасут от таких вещей вот вообще никак. Мейнтейнер код каждой софтины 100% не изучает, и я даже не уверен, что он хотя бы пробует свой результат запускать.

    Для крупных приложений подход с классическими пакетами и репами забуксовал и умер. Это МОГЛО БЫ быть красиво всё, но достаточное количество мейнтейнеров в каждый дистр не напасёшься. Те, кто имеют такие возможности - шапка, космонавт - от этого подхода на десктопе первые и отворачиваются.

     
  • 2.211, voiceofreason (?), 18:18, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Большинство разрабов пилить будут по очевидным причинам именно снэпы и флэтпаки, сделать с этим ничего нельзя. Примерно, как невозможно заставить мозиллу пилить пакеты для void linux какого-нибудь.
     
  • 2.239, Андрей04091977 (ok), 23:15, 04/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Appimage работает только на иксах, монтируется через FUSE, поэтому тормоз, это мёртвый формат
     

     ....большая нить свёрнута, показать (31)

  • 1.17, Bonbon (?), 22:52, 30/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    А как на флатхабе проверяются на вредоносность загружаемые приложения? Вычитывают ли бородатые дядьки в свитерах код?
     
     
  • 2.20, Аноним (20), 23:47, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Устанавливают, а потом проверяют кошельки, на месте ли крипта
     
     
  • 3.23, пох. (?), 00:17, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    приложением из установленного пакета? Вот затейники!
     
     
  • 4.41, Аноним (40), 05:12, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Из другого альтернативного - свободные люди и знают про bisect.
     
  • 2.101, Аноним (101), 13:41, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тот же механизм изоляции. Проприетарщина и на флатхабе присутствует
     
  • 2.141, microcoder (ok), 17:36, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Посохом пробивают и заклинаниями бесов выгоняют!
     

  • 1.18, Moebius (ok), 23:02, 30/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > На время разбирательства работа сервиса переведена в режим ручного рецензирования, при котором все регистрации новых snap-пакетов будет проходить ручную проверку перед публикацией.

    То есть раньше "ручной" проверки не было. Всё равно что не было никакой.

     
     
  • 2.50, Аноним (49), 07:50, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Ну это тебе не апстор.
     

  • 1.19, Moebius (ok), 23:14, 30/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Snap не то что бы плохой пакетный менеджер, используется не по назначению. Если кто-то помнит, snap создавался как универсальный пакетный менеджер. Ради универсальности пожертвовали всем. Жирные пакеты с дублированием библиотек? — Неизбежное зло, без которого не сделать универсальный пакетный менеджер. Долго и медленно запускаются программы? — Ради универсальности потерпим. В качестве универсального пакетного менеджера snap не удался, даже на производных ubuntu не очень используется.

    А вот Snap Store — дно.

     
     
  • 2.32, Аноним (31), 00:47, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Там никто не тестирует снапы на старых 40-гигабайтных хдд. Увы!
     
     
  • 3.54, Аноним (51), 08:01, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Так проблема не только в размере хдд. Я вот помню в шаражке моей задание что-то там сделать в убунте, а это чего-то там было доступно только в снап сторе. Пока весь этот мусор на несколько гигов и нужный пакет тянулись по медленному шаражному инету мы успели покурить 2 раза, сходить на обед, вернуться, выйти покурить еще раз и только тогда приступать к самому заданию
     
  • 2.36, r2d0 (?), 03:39, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как бы перешедшие на lzo снапы запускаются сравнимо с установленными deb.
    https://snapcraft.io/blog/snap-speed-improvements-with-new-compression-algorit
     

  • 1.25, Аноним (25), 00:25, 01/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что там про Линукс Минт?
     
     
  • 2.33, Аноним (3), 01:38, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Они используют Flatpak, а Snap там под корень вырезан
     
     
  • 3.42, Аноним (42), 05:59, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    То есть некоторые пропагандируют Mint linux без Snap как альтернативу для Ubuntu. Но выясняется что Mint Linux использует Flatpack и это ни чем не лучше. Наглядный пример когда нам недоговаривают всей правды и это похоже на лошь.
     
     
  • 4.56, Аноним (57), 08:28, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    По этим причинам я взял Runtu.
     
     
  • 5.68, pic (?), 09:54, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    До тех пор пока в Ubuntu не будут пропадать классические пакеты. Ещё 4 релиза осталось.
     
     
  • 6.93, АнонимКо (?), 12:11, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > До тех пор пока в Ubuntu не будут пропадать классические пакеты. Ещё
    > 4 релиза осталось.

    А откуда инфа про 4 релиза, есть какой-то роадмап каноникловый в свободном доступе, где это упомянуто?

     
     
  • 7.94, pic (?), 12:31, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Речь пока только об Ubuntu, которая на GNOME, её spin'ы в этот план не входят, по крайней мере пока.
     
  • 5.100, Аноним (100), 13:08, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И чем она лучше?
     
  • 4.162, Аноним (3), 20:43, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну, в отличии от Ubuntu, где уже системное ПО встраивают в виде Snap, в Linux Mint вся система в .deb пакетах поставляется, а через Flatpak предлагается устанавливать последние версии стороннего ПО через их менеджер приложений. Но можно в нём выбрать и .deb без проблем, принуждать никто не будет, правда в пакетах много софта на год-другой по версиям отстают
     

  • 1.35, Аноним (72), 03:27, 01/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Мдэ, это просто фантастика. Так сладенько пели про безопасность и изоляцию в Snap, а на практике у нас теперь в Линуксе трояны, тырящие деньги, в один клик ставятся прямо из *официального* Snap Store.

    Лол, переплюнули сам мастдай: сейчас, в 2023 году, даже на Винде такого трэшака нет. Да даже если в обход Microsoft Store тупо загрузить установщик с официального сайта - это будет и то безопаснее, чем *официальный* магазин Canonical с изолированными горе-снэпами.

    Господи, в какой же убогий цирк превращают линуксячий десктоп, который и без всей этой дичи вызывал только сочувствие...

     
     
  • 2.45, Аноним (42), 06:08, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • –4 +/
    >а на практике у нас теперь в Линуксе трояны, тырящие деньги, в один клик ставятся прямо из *официального* Snap Store

    Недавно на до мной пытались издеваться анонимы в комментариях, когда рассказал что на собеседовании встал и ушел после слов их админа что использует на сервере Ubuntu, и не использует менеджер паролей.

     
     
  • 3.52, Аноним (49), 07:53, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Так тебе про десктоп говорят, а не сервер. Хорошо что ты с собеса ушел для компании ты бесполезен.
     
     
  • 4.99, Аноним (100), 13:06, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я бы в кошмарном сне не представил что придется админить парк машин на Убунту. Знакомый работал в конторе где Убунту использовали, спасибо не надо.
     
     
  • 5.136, пох. (?), 16:35, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    не, ну че ты как этот вот. Платишь (!) за убунтин landscape (точнее за убунтопро, он входит в подписку), и наслаждаешься поинтандклик интерфейсом. Потом тебя, правда, увольняют, потому что менеджер тоже можешь кликать свою верную мыш и ты как бы и не нужен.

    Ну так для того и брали.

    Их вендорская автоматизация такая вендорская.

    (для серверов можешь, конечно, пострадать с cloud-init, autoinstall, subiqiuty каждый со своим новым нескучным конфигом, но через определенный промежуток времени все равно пойдешь за ландскейпом, только помрешь - уставшим)

     
  • 3.61, Аноним (61), 09:22, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Что скажешь на то, что знаю контору, у которой сервер на Windows. Там же лежит и официальный сайт конторы
     
     
  • 4.66, пох. (?), 09:50, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Перепись подвальных снова открыта.
     
  • 4.80, Аноним (80), 10:44, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Windows хотя бы стабильная система, в отличие от игрушечной поделки (затянувшегося дипломного проекта под видом ОС) под названием Linux которая до сих пор зависает при недостатке памяти или вместо автоматической запуски проверки диска (fsck) просто вываливается в консоль и просит набрать эту команду вручную (!)
    После всего этого я не удивляюсь что роутеры на Linux внезапно виснут и приходится их перезагружать... Или после выключения света роутеры не загружаются и приходится бегать и их вручную выключать-включать. И так далее.
    А Ubuntu Server - лютое убожество, кстати. Один раз ставил поиграться, так чуть не стошнило.
     
     
  • 5.124, Аноним (124), 15:50, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Windows хотя бы стабильная система
    > После всего этого я не удивляюсь что роутеры на Linux внезапно виснут

    Как будто Window вообще на роутере запустится. Да и на суперкомпьютеры ее тоже не ставят, как и на телефоны. "Стабильная" такая система, которую все избегают, и занимает wbndows ~5% от рынка, по привычке доминируя только на съежившемся рынке десктопа, где отказоустойчивость и стабильность не важна, лишь бы игрушечки запускались. Создатели контента и те на MacOS мигрировали.

     
     
  • 6.138, Аноним (72), 16:47, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > на съежившемся рынке десктопа, где отказоустойчивость и стабильность не важна, лишь бы игрушечки запускались.

    Справедливости ради, как раз на десктопе стабильность важна - стабильность интерфейсов и, как следствие, обратной совместимости. И у Винды с ней лучше, чем у кого-либо: даже софт начала нулевых, включая драйвера на древнюю периферию, работает без проблем.

     
  • 6.232, Аноним (232), 20:45, 03/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > на съежившемся рынке десктопа, где отказоустойчивость и стабильность не важна, лишь бы игрушечки запускались

    Дядя Петя, Вы о крышку люка ударились? )

     
     
  • 7.234, Аноним (124), 20:54, 03/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тем временем у десктопа уже меньше трети от рынка осталось, а учитывая, что форточки больше никуда не ставят...

    https://www.similarweb.com/ru/platforms/

     
  • 5.142, microcoder (ok), 17:49, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Windows хотя бы стабильная система, в отличие от игрушечной поделки (затянувшегося дипломного проекта под видом ОС) под названием Linux

    Да, игрушки - Все самые мощные системы искусственного интеллекта в мире работают на Linux. ))))

     
     
  • 6.168, Аноним (57), 22:08, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Все системы искусственного интеллекта в мире работают на Linux.

    Поправил.

     
     
  • 7.233, Аноним (232), 20:48, 03/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И это заметно. Говорят, Ф-35 выбросил лётчика и улетел 17-го прямо в сердце производсвтва линуксов, в США, полетать. )
     
  • 5.143, microcoder (ok), 17:51, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Linux которая до сих пор зависает при недостатке памяти

    Что нибудь слышал про консоль, не виртуальную? То-то же! Админ неудачник!

     
  • 3.75, Аноним (75), 10:21, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А ты используешь менеджер паролей? Тогда получи сапогом под зад.
     
     
  • 4.98, Аноним (100), 13:01, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А что использовать? Таблицу Эксель?
     
     
  • 5.106, Аноним (80), 14:08, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Бумажку! Ведущие специалисты по безопасности не дадут соврать: https://www.schneier.com/blog/archives/2005/06/write_down_your.html
     
     
  • 6.161, Атон (?), 20:38, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    мои пароли. распечатай и повесь на стену. https://www.passwordcard.org/ru/mobile?number=f35c1e7fc08835cc


    https://www.passwordcard.org/ru

     
     
  • 7.165, Аноним (165), 21:15, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если ты ими пользуешься раз в год-два, может быть, но если у тебя куча паролей от кучи разлчиных серверов, активного сетевого оборудования, ПО и т.д. и нужно каждый день вводить много раз, такой вариант не подходит. Сразу видно, что ты просто не понимаешь о чем говоришь. Ламеры, которые ещё и пытается выдавать свой ламерский взгляд за единственно верный это и есть местные эксперты.
     
     
  • 8.170, пох. (?), 22:48, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    знаешь, если у тебя реально куча паролей от всего перечисленного, которые нужно ... текст свёрнут, показать
     
     
  • 9.172, Аноним (165), 23:30, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вся суть экспертизы от поха Я давно понял, что если умничать, то наивные аноним... текст свёрнут, показать
     
     
  • 10.173, пох. (?), 23:34, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    вся суть подобных тебе Вы настолько феноменальные что бесполезно вам пытат... текст свёрнут, показать
     
     
  • 11.175, Аноним (165), 23:38, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Когда по сути сказать нечего, переходят на личности Если лично ты с этим не ста... текст свёрнут, показать
     
     
  • 12.177, пох. (?), 23:43, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ну так отойди от зеркала ... текст свёрнут, показать
     
     
  • 13.182, Аноним (165), 00:09, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Говоришь на меня - переводишь на себя ... текст свёрнут, показать
     
  • 9.174, Аноним (165), 23:36, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Даже если нет необходимости каждый день использовать пароли, то хранить их каким... текст свёрнут, показать
     
     
  • 10.178, пох. (?), 23:47, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Кибербез менеджер паролей файлик с характерным расширением где все парол... текст свёрнут, показать
     
     
  • 11.181, Аноним (165), 00:06, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Перед тем как писать своё экспертное мнение, ты хотя бы дай себе работу погуглит... текст свёрнут, показать
     
     
  • 12.186, пох. (?), 01:18, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    это когда все пароли от всего даже не в файлике который хотя бы условно-надежно... большой текст свёрнут, показать
     
  • 8.242, Атон (?), 19:56, 05/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Мы знаем много способов и умеем использовать их все, каждый по отдельности и или... текст свёрнут, показать
     
  • 5.144, microcoder (ok), 17:53, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Что? Что? Что за глупые вопросы? Стикеры на мониторах использовать! На них пароли записывать!
     
     
  • 6.147, пох. (?), 18:44, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А под монитором уложить спать вот этого, например: https://imgbox.com/CVHjva1T
    И я посмотрю на того, кто рискнет разглядывать что там на стикерах.

    (и да, не быть тем самым м-ком с незапоминаемыми паролями от ненужно по 23 буквы-цифры-спецсимволы-я-у-мамы-дол6ое6)

     
     
  • 7.156, Аноним (156), 19:50, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А "мастер-пароль" в обозревателе?
     
     
  • 8.159, пох. (?), 20:35, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну уж 123-то я запоминаю и так ... текст свёрнут, показать
     
  • 8.166, Аноним (165), 21:17, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Чет очень толстый троллинг ... текст свёрнут, показать
     
     
  • 9.180, пох. (?), 23:53, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    да нет, все правильно кроме того, конечно, что у нормального Браузера в нормаль... текст свёрнут, показать
     
     
  • 10.184, Аноним (165), 00:11, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем хранить пароли в браузере, если можно не хранить ... текст свёрнут, показать
     
     
  • 11.187, пох. (?), 01:20, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ну и сиди голодный Как ты пиццу-то закажешь не создав себе учетку с паролем бол... текст свёрнут, показать
     
  • 2.192, лютый арчешкольник... (?), 08:28, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >у нас теперь в Линуксе трояны, тырящие деньги, в один клик ставятся прямо из *официального* Snap Store.

    тыж линуксоед, мозги должны быть. я лично и из дебиана не ставлю bitcoind, только с официального сайта. потому что да, мало ли что там за васян пакеты собирает.

     
  • 2.212, voiceofreason (?), 18:24, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Единственная вменяемая альтернатива снэпам и флэтпакам это забить на нативные приложения под линукс вообще и пилить усерднее wine сотоварищи.
     

     ....большая нить свёрнута, показать (41)

  • 1.47, Djoe Ellusive (?), 06:19, 01/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >например, в 2018 году в Snap Store были выявлены пакеты, включающие скрытый код для майнинга криптовалюты.<

    Так всё закономерно. Теперь пришло время украсть то, что намайнили с 2018 года :)))

     
     
  • 2.53, Аноним (49), 07:55, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Через npm этих майнеров каждому фронтендеру пришло куда больше. За это время.
     
     
  • 3.63, пох. (?), 09:43, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    да ну, много ты в браузерах намайнишь...

    фулшмякерам еще может чего и обломилось, но тоже вряд ли много.

     

  • 1.59, YetAnotherOnanym (ok), 08:41, 01/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    1. Придумываем технологию "изоляции".
    2. Уповая на "изоляяцию", устраиваем помойку г-нокода и малвари.
    3. Удивляемся.
     
     
  • 2.62, пох. (?), 09:42, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    ты не в ту сторону воюешь, дятел. технология изоляции там - от приложения. И не потому что это троянец, а потому что в приложениях бывают дыры. А в таких приложениях, которым необходим снап - друшлаг.

    А вовсе не от автора самого снап-пакета. Ты бы еще от авторов ядра линукса изолировался.

     
     
  • 3.70, Местный Эксперт (?), 10:04, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Как раз ситуация эта именно потому, что подход а давайте-ка мы сделаем как Goog... большой текст свёрнут, показать
     
     
  • 4.74, Аноним (72), 10:20, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > C таким же успехом, заведя вacянский левый репозиторий с таким же подходом можно было закономерно получить схожий результат уже с deb-пакетами.

    Справедливости ради, по-настоящему левых репозиториев в природе мало: как правило, сторонняя репа поддерживается самими разработчиками конкретного софта, и ссылочка не нее публикуется на официальном сайте этого самого софта. Так что даже этот подход куда безопаснее.

     
     
  • 5.82, pic (?), 10:46, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Так что даже этот подход куда безопаснее.

    Т.е. всё строится на доверии, я правильно понял?

     
     
  • 6.83, pic (?), 10:47, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тогда доверие к Доктору Вебу у меня больше, чем к прикладному софту, которым пользуюсь.
     
     
  • 7.126, Аноним (126), 15:54, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну у них-то софт хорошо упакован. Ставится гладко. Работает без глупостей. И функционал неплох. Они первые заходили на Linux площадку. И у них хорошо делали.
     
  • 6.114, Аноним (72), 14:55, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Т.е. всё строится на доверии, я правильно понял?

    Установка любых бинарей извне строится на доверии. И даже компиляция вручную, ибо исходники вы не прверяете.

    Пэтому дело не в доверии, а в том, что один способ распространения куда легче скомпрометировать, чем другой. И вот тот, что описывается в новости - это абсолютный финиш.

     
     
  • 7.127, Аноним (126), 15:58, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А в случае классического сообщества и дистрибутива, в репо приложены все исходники, из которых можно пересобрать пакет без очень глубоких погружений. Блобы бывают внутри, но это тоже видно в сырцах.

    А Снэп - ни разу не так. Одно из заявленных вендором назначений: не зависеть в запуске софта от неизвестно чьих неизвестно откуда блобов, никем не обновляемых.

     
  • 7.128, pic (?), 16:05, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Что репозиторий с .deb, что репозиторий с flatpak пакетами, они все подписываются.
    Вопрос уже не в доверии, а в проверке, т.е. контроле. Формат пакетов не важен. В данном случае пакеты были размещены не разработчиками конкретного софта, а злоумышленниками, что говорит о качестве администрирования и премодерации контента магазина.  
     
     
  • 8.129, pic (?), 16:08, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И в данном случае ,если нужно было организовывать эвристический анализ, то надо ... текст свёрнут, показать
     
  • 8.214, soarin (ok), 19:59, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    так с Flatpak всё тоже самое, только принцип Джо работает сильнее ... текст свёрнут, показать
     
  • 4.91, iPony129412 (?), 11:44, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > что даже мaмкины девопсы не умеют собирать deb-пакеты

    Собрать жирный DEB пакет куда проще, чем SNAP.

     
     
  • 5.133, Аноним (126), 16:26, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Кроме автора сырцов, сложно и долго выяснить все детали, для короткого, ясного, надёжного конфига для SELinux или для изоляции в контейнер. А конфиги SELinux, что-то, мало кто прикладывает.

    Если идти по пути Ведроида, то надо переделывать всю обвязку ядра вообще. Может Системда, кстати, была попыткой увода от таких переделок...

     
  • 3.76, Аноним (72), 10:28, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > ты не в ту сторону воюешь, дятел. технология изоляции там - от приложения. И не потому что это троянец, а потому что в приложениях бывают дыры. А в таких приложениях, которым необходим снап - друшлаг.
    > А вовсе не от автора самого снап-пакета.

    И в чем разница для конечного пользователя?

    И, похоже, ты не в курсе, что все эти сандбоксы не только о сишных дырах, но и вообще про доступ к периферии, содержимому экрана, к файловой системе и т.п. Как раз чтобы защищать систему от злонамеренных программ.

     
     
  • 4.89, пох. (?), 11:31, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > И в чем разница для конечного пользователя?

    в том что очередной webp с сиcьк@ми и пиcьк@ми не сопрет его криптокошелек. Если он поставил мразилу из официального убунтина снапа а не васянского.
    ВСЬО.

    Остальное там - не для конченных пользователей, а для сборщиков. Которые теперь могут собрать пакет не с теми версиями всего, что в операционке под ним, а с только что из под хвоста, как требуют альтернативно-одаренные разработчики.

    P.S. список запрещенных на запрещено называть слов не перестает поражать, удивлять, и даже в чем-то фраппировать...

     
     
  • 5.112, Аноним (72), 14:45, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Что за чушь... Уязвимости в софте сами по себе деньги не тырят, а лишь могут дать такую возможность. А в новости буквально готовый софт для этих целей ставится прямо из официального магазина в один клик.

    И для конечного пользователя воторой вариант даже хуже.

    А изоляция как раз в первую очередь и нужна для ограничения возможностей приложения в случае, если оно зловредно. В начале ветки человек все правильно написал "Уповая на "изоляяцию", устраиваем помойку г-нокода и малвари". Вот, почитай, что это такое:

    https://snapcraft.io/docs/snap-confinement

    Раньше ведь толдычили "не запускай левую дрянь - ставь софт из пакетного менеджера". А теперь, из-за рассчета на защиту изоляции, трояны ставятся в один клик прямо из официального магазина.

     
     
  • 6.149, пох. (?), 18:54, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Повторяю, т-пой ты дятел - snap предназначен для изоляции именно от проблемы, оп... большой текст свёрнут, показать
     
  • 3.107, YetAnotherOnanym (ok), 14:23, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я в курсе, какая "изоляции" там имеется в виду.
    А вот когда ответственные за репу расслабляются и пропускают в репу малварь из-за того, что сами поверили в басни о безопасности снапа - это и есть "устраивать помойку г-нокода и малвари".
     
     
  • 4.132, пох. (?), 16:25, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    тысячегласс же ж.

    А на деле - через неделю будем читать такую же новость и про дебиановские пакеты. Или не будем, потому что в свалке universe никто никогда троянца и не найдет.

     
     
  • 5.146, Долой безграмотность и аматорство (?), 18:43, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > тысячегласс же ж.
    > А на деле - через неделю будем читать такую же новость и
    > про дебиановские пакеты. Или не будем, потому что в свалке universe
    > никто никогда троянца и не найдет.
    > про дебиановские пакеты.
    > в свалке universe

    Всё, что нам нужно знать о познаниях поха в Дебиане xD

     
     
  • 6.150, пох. (?), 18:55, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    то есть опять дое...ся до мышей. По сути возражений нет, троянский deb пакет из единственноверного репо ты поставишь без раздумий.

     
     
  • 7.152, Аноним (156), 19:34, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Т.е. кроме самого ничего не подключать?
     
     
  • 8.154, пох. (?), 19:45, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если я правильно понял твою опечатку - все равно что ты там подключаешь Троянец... текст свёрнут, показать
     
     
  • 9.194, Аноним (156), 09:28, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Т е выход во входе, т с его нет, замкнутый цикл ... текст свёрнут, показать
     

     ....большая нить свёрнута, показать (24)

  • 1.121, Kuromi (ok), 15:42, 01/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это было неизбежно. Вяс суть Шнапса в тмо чтобы возню с упаковкой и поддержкой переложить с дистра на разработчика-распространителя, автоматизация - чтобы поменьше возни руками. Минимум проверок, фигак-фигак и в продакшин.
    Ну вот и получили.
    У Мозиллы была та же проблема, либо проверка дополнений вручную и очередь на месяцы на обновление (если ты не блатной вроде разработчика NoScript) либо автоматизация и полный каталог малвари.
     
     
  • 2.123, Аноним (126), 15:48, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да даже переложить дальше чем на автоматизатора. Сразу на конечного пользака падает много работы по контролю безопасности внутренностей пакета.

    Вендор от этой работу отскочил, да.

     

  • 1.122, Аноним (126), 15:47, 01/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что и говорилось:

    У вендора нулевое желание контроля репо.

    Без вендора сообщество заинтересовано не-коммерческом высоком качестве. И положительный контроль при приёмке в репо. А у вендора в снэпе всё изолировано от вендорской операционки и потому не волнует. Очень слабо волнутет вендора что пользак, что пользацкие данные.

    И снэп изоляция и пакеты - способ переложить на пользака контроль за качеством в репо. Ну, может деградирует до уровня замусоренности в Pip или Node.

     
     
  • 2.148, пох. (?), 18:46, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Без вендора сообщество заинтересовано не-коммерческом высоком качестве.

    без вендора сообщество заинтересовано в клубничном смузи. С ним, собственно, тоже, но есть те кто на зарплате.

     
     
  • 3.151, Аноним (126), 19:28, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Для этого у них есть возможность Мак. Что они и делают.
     
     
  • 4.153, пох. (?), 19:38, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    маком сыт не будешь :-(
     

  • 1.139, microcoder (ok), 17:22, 01/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что-то дела у Каноникал в последнее время плохо идут
     
     
  • 2.145, пох. (?), 18:37, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    хорошо идут - у их ло...клиентов есть крипта! По богатому живут.
     

  • 1.167, Саркофандр (?), 21:45, 01/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как мне, устанавливая snap-пакет, проверить, что он из надежного источника и не содержит вредоносов? Вот в случае с тем же AUR я могу (да и должен) открыть и почитать PKGBUILD.
     
     
  • 2.169, пох. (?), 22:24, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И что бы ты вычитал в случае такого вот trezor-wallet, аккуратно выложенного в aur?

    (даже если предположить что ты на самом деле читаешь PKGBUILD на каждый из тыщи поставленных тобой пакетов и при этом у тебя еще и есть что-то в кошельке, а не одни фантазии на заданную тему)

     
     
  • 3.219, Саркофандр (?), 20:52, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > читаешь PKGBUILD на каждый из тыщи поставленных тобой пакетов

    Из какой еще тыщи?

     
  • 3.220, Саркофандр (?), 20:54, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > И что бы ты вычитал в случае такого вот trezor-wallet

    Ну как минимум вычитал бы ссылку, откуда исходники качаются, и сравнил бы ее со ссылкой на скачивание на официальном сайте.

     
     
  • 4.222, пох. (?), 23:40, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    серьезно?

    И ты даже знаешь, где у него - официальный сайт, а не возьмешь его там же, в описании пакета?

    И так - с каждым из тысячи установленых.

    Ага, поверил я.

     
  • 2.215, soarin (ok), 20:03, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Увидеть зеленую галочку напротив SNAP пакета

     
     
  • 3.223, пох. (?), 23:46, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Увидеть зеленую галочку напротив SNAP пакета

    э... где в snap install зеленая галочка - не вижу?

    А если ты даже работаешь через гомощель - ну не увидел ты галочку. И чего, другого-то пакета ведь нет.


     
     
  • 4.224, soarin (ok), 05:47, 03/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    snap info adguard-home
    name:      adguard-home
    summary:   Network-wide ads & trackers blocking DNS server
    publisher: AdGuard (ameshkov✓)

    При установке она тоже светится.

    > И чего, другого-то пакета ведь нет.

    Ну всё. Мир не справедлив и всё такое, ты в линуксе – "блеск и нищета", "иди собери сам", "тебе никто не должен"...

     
     
  • 5.236, Аноним (236), 10:30, 04/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ещё: Смотри как смешно получилось. Хотя можно ещё смешнее.
     

  • 1.171, Менеджер Антона Алексеевича (?), 22:58, 01/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Ну вот видите, набирает популярность. А вы ныли, что не взлетит.
     
     
  • 2.226, Аноним (126), 09:01, 03/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Распостранённость не есть популярность.
     
     
  • 3.235, Аноним (236), 10:28, 04/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это про Винду?
     

  • 1.176, Аноним (176), 23:39, 01/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Да кто бы сомневался, блин. Нам не нужны мантейнеры, говорили они, нам нужно чтобы любая шваль могла собрать блоб с любой малварью вы выложить его в "магазин".
     
     
  • 2.183, Аноним (72), 00:09, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Самый сок в том, что вот прямо здесь в комментариях находятся защитники, которые на серьезных щах втирают, что пакеты из официальных репозиториев ничем не лучше :)
     
     
  • 3.205, Аноним (200), 14:06, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если мейнтейнер не аудитит код (а он не аудитит примерно нигде), то действительно ничем не лучше. Ну, лежал бы в репах в deb'е тот же самый trezor-wallet и что поменялось бы?
     
     
  • 4.227, Аноним (126), 09:03, 03/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Условия приёма в репо разные.

    Лежать может, но будет ли принят. Это ж публичный FTP с постмодерацией, а другие правила.

     
     
  • 5.228, Аноним (126), 09:04, 03/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    публичный = непубличный
     
  • 3.216, soarin (ok), 20:05, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    так тут примерно выбор между сам знаешь чем...
    хотя в реальности между серыми пакетами в SNAP и отсутствием подобных вообще в официальных репозиториях.
     

  • 1.195, Пряник (?), 09:38, 02/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Скорее новостью было бы, если не выявили.
     
  • 1.199, Аноним (199), 12:49, 02/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > в 2018 году в Snap Store были выявлены пакеты, включающие скрытый код для майнинга криптовалюты.

    за 5 лет не исправили. Наоборот! Стали внедрять snap куда не надо.
    Серьёзная причина держаться подальше от ubuntu.

     
  • 1.203, Tron is Whistling (?), 13:32, 02/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Итого успех очередной хипстерской модели очевиден.
     
     
  • 2.217, soarin (ok), 20:07, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    причём тут какие-то хипстеры?
    если что-то делать с минимальным количеством ресурсов и на ошибись, то так и получится. Всё просто.

     
  • 2.221, Tron is Whistling (?), 21:33, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Помойкосорсинг в пакетостроении.
    Результат примерно тот же что и с лефтпадами.
     

  • 1.225, Аноним (126), 09:00, 03/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что ещё могло быть у людей, решивших в переписке про размер /boot, что у человека не должно быть установлено больше трёх версий ядра, а размер /boot надо задавать маленький.

    Вам Каноникл ещё раскажет, расскажет, что Вам делать, как делать, а не иначе.

     
  • 1.231, Аноним (-), 20:36, 03/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    у меня флетпак телегу каждый день обновляет, по 80 мегов притаскивает, это нормально?)))
     
  • 1.243, benu (ok), 15:14, 06/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Касперский в дискуссии уже участвовал?
     
  • 1.245, Аноним (244), 01:43, 07/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Подробности об инциденте обещают раскрыть после окончания разбирательства.

    Даже интересно.

    Скажем в debian у каждого пакета есть ответственный. Он может накосячить и пропустить от разработчиков пургу - тогда будет считаться недостойным вести пакет. Может сам упаковать пургу - тут сразу дело заводить можно и сажать.

    Как со snap store? Кто за эти пакеты понесет наказание?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру