| 1.1, Аноним (1), 10:22, 11/07/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –13 +/– | |
>учётная запись разработчика xeactor заблокирована
Как-то нетолерантно.
| | |
| |
| 2.6, Atterratio (ok), 10:45, 11/07/2018 [^] [^^] [^^^] [ответить]
| +26 +/– |
 А что отвайхетил то? Все и так знали, что AUR это помойка, в которую любой мог загрузить что угодно.
| | |
| |
| |
| 4.28, Аноним (28), 12:22, 11/07/2018 [^] [^^] [^^^] [ответить]
| +12 +/– |
За какую науку? Все и так знали, что AUR это помойка, в которую любой мог загрузить что угодно.
| | |
| |
| 5.103, Джон Ленин (?), 00:13, 12/07/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
AUR полностью аналогичен PPA, и цели для которых он предназначен конвертация чужих пакетов и git clone со сборкой всяких патченых мез и вайнов.
Просто нефиг из аура собирать системные компоненты и ставить осиротелый софт. Плюс к тому, никто тебя и не принуждает пользоваться всякими PPA/AURами.
| | |
|
|
| 3.23, Аноним (23), 11:49, 11/07/2018 [^] [^^] [^^^] [ответить]
| +8 +/– | |
> А что отвайхетил то? Все и так знали, что AUR это помойка, в которую любой мог загрузить что угодно.
"Я не я, и лошадь не моя!" - это в таких вот новостях.
А вот когда речь идет о количестве софта в репе, то арчеводы почему-то любят ходить гоголями и гордо кивать на АУР:
https://repology.org/statistics/total
;)
| | |
| |
| 4.56, Аноним (56), 15:49, 11/07/2018 [^] [^^] [^^^] [ответить]
| +/– |
в связи с этим случаем я даже видел заявление, что AUR (Arch User Repository) никакого отношения к арчу не имеет
| | |
| 4.104, Аноним (104), 00:14, 12/07/2018 [^] [^^] [^^^] [ответить] | +2 +/– | Объясняю для танкистов Момент первый В АУРе примерно 25-40 поддерживаемых сбо... большой текст свёрнут, показать | | |
| |
| 5.111, Аноним (23), 03:12, 12/07/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> С помощью этих скриптов с пол пинка создаётся пакет, который потом под контролем пакетного менеджера (а не бардак, как у адептов configure && make && make install)
checkinstall? Не, не слышали!
> Да в текущем виде подобных атак можно провести вагон и тележку -
> в постинстальные скрипты добавить патч Бармина, например. Отсюда и всякие "Any
> use of the provided files is at your own risk", который
> болдом висит на главной странице АУРа, отсюда и манёвры с Trusted
> Users, отсюда и голосовалка, чтобы откровенная дрянь или мало кому нужная
> херня не попала в community.
Отсюда и полная неуместность сравнения с нормальными репами того же дебиана, о чем собственно и речь.
| | |
|
| 4.105, Джон Ленин (?), 00:19, 12/07/2018 [^] [^^] [^^^] [ответить]
| +/– | |
То, что скрипт сборки умеет лазить в репозитории дебианов и федор, тягать оттуда их пакеты и конвертить в свои, это конечно фатальный недостаток, да.
И то, что он из git умеет собирать бинарный пакет, - это тоже страхъ, да.
| | |
| 4.112, лютый охохоня... (?), 05:03, 12/07/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>А вот когда речь идет о количестве софта в репе, то арчеводы почему-то
Вапщта в Арче пакетов много даже БЕЗ aur.
Плюс, в целом ситуация - когда обнаружили подставу всего через 7 часов показывает высокий уровень подготовки Арчеводов. :D Ты лучше убунтуям в PPA троян положи и посмотрим сколько лет он там пролежит незамеченным.
| | |
| |
| 5.120, Аноним (23), 12:10, 12/07/2018 [^] [^^] [^^^] [ответить]
| +/– |
>>А вот когда речь идет о количестве софта в репе, то арчеводы почему-то
> Вапщта в Арче пакетов много даже БЕЗ aur.
Вапщта нет. И количество пакетов != количество софта.
| | |
|
|
|
| 2.77, crypt (ok), 18:57, 11/07/2018 [^] [^^] [^^^] [ответить]
| +/– |
 > По сути от'whitehat'ил...
да, но скорее тестировали, как пройдет.
| | |
|
| 1.3, Аноним (3), 10:35, 11/07/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Отсюда вывод: никаких бинарных пакетов от людей не являющихся официальными разработчиками дистрибутива. Нужно что-то, чего нет в официальном репозитории, собирайте пакет сами из исходников, скачанных с официального сайта соответствующего проекта.
| | |
| |
| 2.4, Atterratio (ok), 10:42, 11/07/2018 [^] [^^] [^^^] [ответить]
| +10 +/– |
Мда... Я смотрю кто то не знает что такое AUR... Там нет этих ваших бинарных пакетов как в Ubuntu PPA, там только простые(за все не поручусь но офф документация рекомендует обходиться буквально в несколько строк) скрипты для сборки того или иного пакета из исходников.
| | |
| |
| |
| 4.13, Аноним (13), 11:01, 11/07/2018 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> Серьезно? А "-bin" пакеты - это что?
А где лежат сами пакеты без подсказки догадаетесь?
| | |
| |
| 5.15, Celcion (ok), 11:02, 11/07/2018 [^] [^^] [^^^] [ответить]
| –8 +/– |
 >> Серьезно? А "-bin" пакеты - это что?
> А где лежат сами пакеты без подсказки догадаетесь?
Можно раскрыть мысль - а как это отменяет факт, что бинарные пакеты в AUR таки есть, о чем и было сказано?
| | |
| |
| 6.36, Аноним (36), 13:17, 11/07/2018 [^] [^^] [^^^] [ответить]
| +3 +/– |
В аур есть бинарные пакеты, а аур нету самих бинарников. Нельзя там бинарники хостить, блин. Что-за недалёкий народ, не знают сути вопроса но спорить лезут не по делу.
| | |
| |
| 7.70, Celcion (ok), 17:35, 11/07/2018 [^] [^^] [^^^] [ответить]
| –5 +/– | |
> В аур есть бинарные пакеты, а аур нету самих бинарников. Нельзя там бинарники хостить, блин. Что-за недалёкий народ, не знают сути вопроса но спорить лезут не по делу.
Действительно, такие как ты очень любят настойчиво не понимать, с чем идет спор и настаивать на чем-то, с чем никто не спорил.
Предыдущий оратор говорил, что в AUR все собирается из исходников и нет бинарей и спор был именно с этим. Я не утверждал, что бинари лежат прямо в AUR. Но тебе ведь наплевать. Тебе поспорить надо.
| | |
| 7.92, Аноним (92), 20:37, 11/07/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
Так это ещё хуже, чем если бы они там были. Тупо в любой момент можно бинарник подменить.
| | |
|
|
| 5.44, анонимус (??), 14:14, 11/07/2018 [^] [^^] [^^^] [ответить]
| +/– |
Серьезно что ли?
Откройте PKGBUILD, не поленитесь. Там в строчке source указано, где лежит бинарь
| | |
| |
| 6.133, Джон Ленин (?), 01:27, 14/07/2018 [^] [^^] [^^^] [ответить]
| +/– | |
...и к нему контрольная сумма прилагается.
Так например проприетарный торрент-клиент Tixati качается с официального сайта и конвертируется в родной пакет.
...если контрольная сумма не совпадает (программа подменена или обновлена) — сборка и установка пакета не происходит.
| | |
| |
| 7.140, Celcion (ok), 10:24, 16/07/2018 [^] [^^] [^^^] [ответить]
| +/– |
> ...и к нему контрольная сумма прилагается.
> ...если контрольная сумма не совпадает (программа подменена или обновлена) — сборка и установка пакета не происходит.
Верно. Но кто сможет поручиться за то, что в бинарном пакете, лежащем на этом самом внешнем сайте, даже если он проходит валидацию - не запихали в одном из релизов вошек? Какой-то неизвестный Вася, собиравший PGKBUILD, тебе за это поручится?
Понятно, что это не будет проблемой AUR-а как таковой, но сам по себе AUR никто и не обвинял. Вопрос в том, что установка бинарных пакетов - есть. Со всеми из этого вытекающими потенциальными проблемами. Какой смысл с этим спорить, дескать, "а бинари не на самом AUR-е лежат!" - я фиг знает.
| | |
|
|
|
| 4.16, Амнон (?), 11:05, 11/07/2018 [^] [^^] [^^^] [ответить]
| +9 +/– | |
> Серьезно? А "-bin" пакеты - это что?
Тебе ещё раз повторяют: в самом AUR'е не содержится никаких пакетов, тем более бинарных. AUR - это сборник PKGBUILD'ов, скриптов сборки пакетов. Но в AUR'е присутствуют скрипты для установки бинарников, это да.
| | |
| |
| 5.30, виндотролль (ok), 12:25, 11/07/2018 [^] [^^] [^^^] [ответить]
| +/– |
 В аур, думаю, можно коммитнуть бинарник (головой не ручаюсь, может быть у них там какие-то хуки стоят на пуш, а пробовать не приходилось) и добавить его в sources
| | |
| |
| |
| 7.55, виндотролль (ok), 15:47, 11/07/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
Почему?
Точно можно всякие .desktop коммитить. И кажется, где-то даже видел .xpm в сорцах, что есть бинарник.
| | |
|
|
| 5.72, Celcion (ok), 17:36, 11/07/2018 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> Но в AUR'е присутствуют скрипты для установки бинарников, это да.
Именно про это и говорилось, и ничего не говорилось про то, где бинарные пакеты расположены. Но зачем включать голову, напрягать зрение чтением, когда желание поспорить на пустом месте уже сформировалось, правда?
| | |
|
| 4.87, axredneck (?), 20:17, 11/07/2018 [^] [^^] [^^^] [ответить]
| +/– |
Ну да, они есть. Но достаточно скачать такой PKGBUILD и глянуть в нем, откуда качается бинарь, чтобы понять, стоит это ставить или нет.
| | |
|
| 3.33, Vitaliy Blats (?), 12:29, 11/07/2018 [^] [^^] [^^^] [ответить]
| –6 +/– |
 > Мда... Я смотрю кто то не знает что такое AUR... Там нет этих ваших бинарных пакетов как в Ubuntu PPA, там только простые(за все не поручусь но офф документация рекомендует обходиться буквально в несколько строк) скрипты для сборки того или иного пакета из исходников.
Наркоманштoле ? Каким образом ты думаешь устанавливается софт по типу вайбера ?
Нее, с официального сайта качается deb-файл, оттуда вытягивается бинарник и ставится согласно окружению.
Прости что разрушил твой уютный мирок.
| | |
| |
| |
| 5.54, Vitaliy Blats (?), 15:34, 11/07/2018 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> вот только в AUR-е от этого бинарников не появилось
Это каким-то образом отменяет установку бинарника ?
| | |
|
|
|
| 2.5, rand (?), 10:45, 11/07/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
Этот вывод не отсюда. В данном случае хватило бы просто прочесть скрипт сборки.
| | |
| 2.8, виндотролль (ok), 10:45, 11/07/2018 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> собирайте пакет сами из исходников, скачанных с официального сайта соответствующего проекта
AUR это и делает. Выкачать PKGBUILD из AUR и проверить 20-строчный скрипт на предмет закладок гораздо проще, чем этот самый скрипт написать.
AUR FTW, ArchLinux one love, ну и там всякое такое...
| | |
| |
| 3.27, Аноним (27), 12:19, 11/07/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
О да, для каждого пакета просматривать скрипт установки то еще удовольствие.
| | |
| |
| 4.35, Shatur (ok), 12:59, 11/07/2018 [^] [^^] [^^^] [ответить]
| +5 +/– |
 Ну да, проще каждый раз свой велосипед городить, чем посмотреть на готовый скрипт сборки.
| | |
| |
| 5.59, J.L. (?), 16:15, 11/07/2018 [^] [^^] [^^^] [ответить]
| +/– |
 > Ну да, проще каждый раз свой велосипед городить, чем посмотреть на готовый
> скрипт сборки.
кстати а при обновлении из AURа пакетный манагер обновляет или говорит что низя и надо смотреть?
| | |
| |
| 6.62, Аноним (62), 16:41, 11/07/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Смотря какой манагер. yaourt обновляет, но отдельно от бинарных реп, и предлагает каждый pkgbuild посмотреть.
| | |
| |
| 7.86, axredneck (?), 20:13, 11/07/2018 [^] [^^] [^^^] [ответить]
| +/– |
Более того, он может обновлять через git и предлагать проверить не весь PKGBUILD, а только изменения в нем.
| | |
|
| 6.64, анан (?), 16:43, 11/07/2018 [^] [^^] [^^^] [ответить]
| +/– |
при каждой установке или обновлении пакета предлагает посмотреть
| | |
|
|
|
|
|
| 1.7, odity (ok), 10:45, 11/07/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 В скрипте не видно,что он создает в usr/lib/systemd/system что-то
| | |
| 1.9, Аноним (-), 10:47, 11/07/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
ну, учитывая что в аур даже варез заливают, заголовок желтоват. "Доверяй, но проверяй"
| | |
| 1.12, виндотролль (ok), 10:53, 11/07/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
мне видится 1 потенциально удачный сценарий атаки на AUR — сделать вредоносный патч на сишечке, а лучше перле к какому-нибудь сложному софту (чтоб нелегко было разобраться) с аргументацией, что патч что-то улучшает (Arch позволяет делать патчи частью пакета). Лучше если будет много патчей, да чтоб часть из них правда делала что-то полезное, а без некоторых сборка на арче была невозможна.
Тогда — высока вероятность, что вредоносный патч заметят очень не сразу.
| | |
| |
| 2.17, emaName (?), 11:09, 11/07/2018 [^] [^^] [^^^] [ответить]
| +/– |
 И что это за мегапопулярный пакет будет, что кто-то будет этим заморачиваться?
| | |
| |
| 3.22, Аноним (22), 11:44, 11/07/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
Навскидку - гуглохром подойдёт. Особенно пикантно, если патчи будут чистить гуглозонды. Параноики же должны страдать, правда?
| | |
| |
| |
| 5.32, nrv (ok), 12:26, 11/07/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
 К основному Хрому да.
А к какой-нибудь патченной в ауре, которая типа буз гуглозондов (вообще, есть хромиум, но, с другой стороны, хром не только зондами отличется, но это так, лирика).
Концепция видится мне рабочей, не обяхательно хром, пример не слишком удачный.
Но много народу не заразить таким образом, наверное.
| | |
|
| 4.25, emaName (?), 11:51, 11/07/2018 [^] [^^] [^^^] [ответить]
| +/– |
Куча народа мониторят изменения в PKGBUILD в таких популярных пакетах.
| | |
| |
| |
| 6.65, анан (?), 16:46, 11/07/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
там у каждого файла по рекомендациям должна быть хеш, если изменить файлы то хеш не сойдется, но в принципе я думаю никто не следит за тем что хеши обновляются
| | |
| |
| 7.76, виндотролль (ok), 18:33, 11/07/2018 [^] [^^] [^^^] [ответить]
| +/– |
> там у каждого файла по рекомендациям должна быть хеш, если изменить файлы
> то хеш не сойдется, но в принципе я думаю никто не
> следит за тем что хеши обновляются
блин, это ж естественно, что хеши обновляются. Код меняется, патчи адаптируются под новый код.
Тут все только не доверии. Кажется, кстати, можно пакеты в AUR подписывать gpg ключом (не уверен, но вроде бы встречалось такое).
| | |
| |
| 8.80, пох (?), 19:42, 11/07/2018 [^] [^^] [^^^] [ответить] | +/– | а смыл-то в чем Вот подпишу я тебе своим ключом пакет, создающий у тебя в хомяк... текст свёрнут, показать | | |
|
|
|
|
|
|
|
| |
| |
| 3.89, axredneck (?), 20:25, 11/07/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
Можно make -j1 в фоне в /tmp. Если в /tmp места нет, то BFQ. Но опять же приходится доверять тому, что в оверлеях.
| | |
| 3.138, FSA (??), 13:22, 15/07/2018 [^] [^^] [^^^] [ответить] | –1 +/– | Вот реально в фоне бывает крутится сборка какого-то крупного обновления Из неуд... большой текст свёрнут, показать | | |
|
|
| |
| 2.21, iPony (?), 11:38, 11/07/2018 [^] [^^] [^^^] [ответить]
| +8 +/– |
Новость наверно в том, что раньше не находили.
Это немного удивительно.
| | |
| |
| 3.29, рачевод (?), 12:25, 11/07/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Новость наверно в том, что раньше не находили.
> Это немного удивительно.
удивительно, что никто не хотел рыться в свалке, чтобы убедиться ? ;-)
Ну вот, нашлись какие-то бомжи, может рассчитывали озолотиться на сдаче во вторсырье.
| | |
| 3.49, Андрей (??), 14:53, 11/07/2018 [^] [^^] [^^^] [ответить]
| +/– |
Так, может, там такого добра ещё много. Но только один чел взял и намеренно создал файлик ваш.archlinux.скомпрометирован.txt, так что не заметить было просто нельзя.
| | |
|
| 2.42, anonimm (?), 14:08, 11/07/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Эта новость, наверное, больше удивила тех, кто с миром Arch не знаком (в частности, меня): оказывается, у них там принято копаться по помойкам!
| | |
|
| 1.34, Аноним (34), 12:39, 11/07/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Почалось! Я давно уже ждал когда начнется распространение заразы со всяких ppa помоек, по которым любят шарится фанаты пакетных дистров. Давно пора.
| | |
| |
| 2.50, Андрей (??), 14:55, 11/07/2018 [^] [^^] [^^^] [ответить]
| +/– |
А типа в ядро или другой проект не может попасть вредоносный код. Мэйнтейнеры только код от новичков отфутболивают. Так что достаточно попасть на ПК не новичка или его учётку, чтобы увеличить шансы прохождения.
| | |
| |
| 3.115, Аноним (115), 08:40, 12/07/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
Достаточно не новичку захотеть реальных денег за свои труды. Что такое доверие, если ты не знаешь всех этих людей и ответственности у них нет кроме позора в маргинальной среде и удаления учетки?
Пока выходят программы, которых нет ни в дистрах, ни в официальных репах разработчика весь этот бред и будет твоирться. Софт можно найти только в ненадежных источниках. Какая туту безопасность?
| | |
|
|
| |
| 2.40, Аноним (-), 14:06, 11/07/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
Мое любимое место, столько хaлявной тухлятинки, мммм... обожаю. ;)
| | |
| |
| |
| 4.134, Джон Ленин (?), 01:33, 14/07/2018 [^] [^^] [^^^] [ответить]
| +/– | |
Если ты хочешь из аура mesa-git собрать, то сначала надо подключить неофициальную репу llvm-svn
Там такая логика, что без одного ты не соберёшь другое, а собирать всё из сорцов — жизни не хватит чтоб разобраться с еггогами.
| | |
|
|
|
| 1.46, Совсем другой Аноним (?), 14:18, 11/07/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Забавные они там все.
Вот просто так валяется хлам и каждый может ещё сверху нагадить.
Не у всех видимо есть ресурсы на создание чего-то по типу Suse build service.
| | |
| |
| 2.47, нах (?), 14:25, 11/07/2018 [^] [^^] [^^^] [ответить]
| +/– |
так вроде сузя его уже тоже - тогось, остался урезанный и с фейс-контролем на входе (что с одной стороны - как-то и уменьшает количество троянов, а с другой - сводит и количество полезных пакетов к околонулю)
| | |
| |
| 3.52, sergey (??), 15:17, 11/07/2018 [^] [^^] [^^^] [ответить]
| +/– |
Вроде, нет. Любой желающий может собирать пакеты, как и раньше.
| | |
|
|
| 1.51, J.L. (?), 14:55, 11/07/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
аааааяяя говорииииииил!!!!
линукс надо защищать по дефолту и юзера от программ и программы от программ
в винде в силу контингента иди^W пользователей оной с этим сейчас лучше чем в линуксе
| | |
| |
| |
| |
| 4.69, нах (?), 17:34, 11/07/2018 [^] [^^] [^^^] [ответить]
| +/– | |
в windows store - пока не замечено ни того, ни другого.
В том числе да, и потому, что надо заплатить денег за сертификат. Пусть копеечных.
| | |
| |
| 5.74, Клыкастый (ok), 17:55, 11/07/2018 [^] [^^] [^^^] [ответить]
| +3 +/– |
 > в windows store - пока не замечено ни того, ни другого.
так там и софта не замечено
| | |
| |
| 6.78, пох (?), 19:37, 11/07/2018 [^] [^^] [^^^] [ответить]
| +/– | |
патамуштанадазаплатитьзасертификат, ага. Ну то есть - помоечного софта незамечено, а непомоечного - так его и в гуглоплее днем с фонарем (и не вздумайте тот фонарь что первым нашелся поиском, и вторым, и третьим, где-то с пятнадцатого начинаются работающие, без требований доступа к sms и телефонной книжке)
а казалось бы - бери и эксплойть миллионы виндохомячков (думаю, их все еще даже больше, чем владельцев андроедов, молчу уж про какой-то там рач и его полтора юзера, да еще и тянущих что попало с aur). Но нет, копеечная преграда - и никого на горизонте.
P.S. месяц назад был изумлен, обнаружив там UBO. В общих чертах - вполне работающий. Казалось бы, где имение, а где вода?
| | |
| |
| 7.81, username (??), 19:47, 11/07/2018 [^] [^^] [^^^] [ответить]
| +/– |
В маке как то решают, все живы. Там сертификат подписи с оперативным отзывом со стороны apple и ревью приложения перед публикацией.
| | |
| |
| 8.84, soarin (ok), 19:59, 11/07/2018 [^] [^^] [^^^] [ответить] | +/– |  Не все Многие от туда просто свалили И распространяют свой софт не через AppSt... текст свёрнут, показать | | |
| 8.116, . (?), 09:31, 12/07/2018 [^] [^^] [^^^] [ответить] | +/– | идея та же что у MS, но уже не годится первый попавшийся code signing сертификат... текст свёрнут, показать | | |
|
|
|
|
|
| |
| 4.128, нах (?), 17:27, 12/07/2018 [^] [^^] [^^^] [ответить]
| +/– |
вот и не ставь всякой фигни с васян-сайтов, и под виндой тоже не.
Хакнули-то cdn avast, а не microsoft store.
| | |
|
|
|
| 1.61, Аноним (62), 16:36, 11/07/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Внезапно, в AUR'е и гентушных оверлеях можно хоть скрипт сборочный почитать, что он делает. В отличие от PPA и всяких васянских помоек с уже собранными бинарниками, которыми так любят обмазыватся убунтуи и редхатоиды.
| | |
| |
| 2.67, нах (?), 17:33, 11/07/2018 [^] [^^] [^^^] [ответить]
| +/– | |
ты не поверишь, в большинстве этих помоек есть source repo. Но из него никто никогда не ставит, как и рачеводы никогда не читают свои сборочные скрипты, а гентушники все ждут и ждут ебилдов, не умея написать свой.
Пока кто-то добрый не создаст им прямо в хомяке файл с именем PWNED!!! , тогда, может быть, замечают что что-то не так.
разумеется, есть редкие исключения, но они тоже есть везде.
| | |
| |
| 3.114, Аноним (62), 08:34, 12/07/2018 [^] [^^] [^^^] [ответить]
| +/– | |
>ты не поверишь, в большинстве этих помоек есть source repo.
В больших, типа epel'я есть, а в мелких, на пять-десять пакетов пару раз только видел, и то оне были копроративные, а васяны подобными тонкими материями не заморачиваются.
>рачеводы никогда не читают свои сборочные скрипты, а гентушники все ждут и ждут ебилдов, не умея написать свой.
Я и ебилд могу написать, и deb/rpm пакет собрать, но зачем, если кто-то уже сделал? Тот, кто этим пакетом давно занимается, по-любому лучше меня знает всякие нюансы, из-за которых пакет может не собраться или собраться с косяками. А еще его поддерживать надо, апдейтить и с другими пакетами стыковать.
| | |
| 3.117, Daemon (??), 09:31, 12/07/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
а при чем тут source repo? пакет (как минимум deb, за rpm не ручаюсь) - это архив, который можно распаковать, а в нем и находятся скрипты, которые выполняются во время установки или удаления пакета (preinst, postinst, prerm, postrm) их можно посмотреть перед установкой.
в добавок apt перед установкой какого-нибудь пакета сразу говорит что собирается ставить и ожидает подтверждения. Список этот можно сохранить, вместо install выполнить download (чтобы загрузить пакеты без установки), и дальше архиватором пройтись по загруженным архивам на поиск трояна.
Да, долго, да неудобно, но возможно же.
| | |
|
|
| 1.85, lucentcode (ok), 20:06, 11/07/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Эка невидаль. А PKGBUILD на что yaourt каждый раз заботливо предлагает читать? Большинство из них очень простенькие. Есть пакеты с патчсетами, где диффы прямо с пакетом идут, но их мало и патчи как правило тоже маленькие. Для важных мне пакетов я не ленюсь каждый раз просматривать PKGBUILD, ну и изучать остальные задействованные при сборке файлы, если они вызывают пусть и слабые, но подозрения. Зная как работает AUR, нужно просто им правильно пользоваться. А от бяки никто не застрахован. Вот недавно в snap-пакетах майнеры находили. Не удивлюсь, если и в пакетах какого-то не очень популярного дистра(или хотя-бы в ppa популярного) найдут подобные "подарки". А пацику, что отвайтхейтил неосторожных пользователей AUR спасибо сказать нужно - он ничем деструктивным не побаловался на их тачках, и при этом преподал им ценный урок. Будут читать PKGBUILD-ы теперь.
| | |
| |
| 2.95, axredneck (?), 20:51, 11/07/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> А PKGBUILD на что yaourt каждый раз заботливо предлагает читать
Есть, правда, еще pacaur, который, если не ошибаюсь, молча качает и ставит.
| | |
| 2.123, J.L. (?), 12:57, 12/07/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Для важных мне пакетов я не ленюсь каждый раз просматривать PKGBUILD
а не важные для вас пакеты значит хомяк не овнят?
с остальным согласен
просто не метод всё глазами и руками делать, так можно дойти до самостоятельного написания нужных лично программ
тут скорее нужны наработки "защищённых андройдов" с песочницами, подстановкой виртуальных данных вместо реальных и тд
| | |
| |
| 3.142, lucentcode (ok), 23:49, 29/07/2018 [^] [^^] [^^^] [ответить]
| +/– |
> просто не метод всё глазами и руками делать, так можно дойти до
> самостоятельного написания нужных лично программ
> тут скорее нужны наработки "защищённых андройдов" с песочницами, подстановкой виртуальных
> данных вместо реальных и тд
Согласен, только пока ничего подобного не видел. И не факт что кто-то вообще возьмётся подобное пилить. Больше надежды что кто-то допилит песочницу для flatpack, и отсутствующее в репах ПО будут ставить из хаба с пакетами flatpack.
| | |
|
|
| 1.99, Sluggard (ok), 21:22, 11/07/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
 Как-то не удивляет и не пугает такое. AUR в Арче, юзерские PPA в Убунту, репы home:user в Сусе — это всегда неизвестно что и на свой страх и риск.
| | |
| 1.101, ы (?), 21:29, 11/07/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
большинство пипла, судя по комментам, не в курсе с чем едят aur, а с чем нет, но, чсх, мнение имеют.
| | |
| 1.110, Аноним (110), 01:48, 12/07/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> В данные пакеты был добавлен код для загрузки и запуска скрипта...
Типичный линуксоидно-школотронский стиль - засунем в билды всяких примочек, скриптов, картинок! Пусть дыры зияют, главное - можно запускать свои идиотские скрипты. Хотя казалось бы, это СБОРКА - пиши программу так, чтобы в ней не приходилось ничего "шаманить" со средой, файлами и т.п. Просто скомпили *.c - чего тебе ещё надо??
| | |
| |
| 2.113, Аноним (62), 08:27, 12/07/2018 [^] [^^] [^^^] [ответить]
| +/– |
Внизaпна, унутре твоих любимых .exe тоже есть скрипты, но тебе их не покажут, чтоб не травмировать нежную хипсторскую психику.
| | |
|
| 1.119, Аноним (119), 10:59, 12/07/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Та норм тема аур. Все кто его хейтят просто завидуют, что в их дистре нет подобной штуки. Понятно дело во всем есть свои минусы и плюсы, но плюсы аура перевешивают минусы. От установки говна никакая ос не застрахована.
| | |
| |
| 2.121, Аноним (23), 12:30, 12/07/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Все кто его хейтят просто завидуют,
Перевод с арчеводного на русский:
"хейтить" - не любить, не восторгаться, непочтительно и неуважительно отзываться о проекте
Т.е. на самом деле все, кто не пользуется аркой - люто завидуют!
| | |
|
| 1.124, Аноним (124), 14:13, 12/07/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> В скрипте u.sh присутствовал код для отправки сведений о системе и установленных пакетах через сервис pastebin.com
Проделки космонафта. Хочет сравнить с результаты с бубунтой.
| | |
| |
| 2.125, нах (?), 16:46, 12/07/2018 [^] [^^] [^^^] [ответить]
| +/– |
плюсадын (выпиливает apport - еще один троянец, помимо "contest"а)
| | |
|
| 1.135, Аноним (136), 20:50, 14/07/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>В AUR-репозитории Arch Linux найдено вредоносное ПО
А сколько ещё не выявлено.)
Зато модно стильно и молодёжно.
| | |
|
