Хакир и AUR

Ой, в очередной помойке пакетов от Васяна нашли малварю, какие новости. Ну а то что сломато то — эт не удивительно, арчешкольники жеж...

Ну так и написано:

I’m surprised that this type of silly package takeover and malware introduction doesn’t happen more often.

This is why we insist users always download the PKGBUILD from the AUR, inspect it and build it themselves. Helpers that do everything automatically and users that don’t pay attention, *will* have issues. You should use helpers even more so at your risk than the AUR itself.

Что ж, арч становится популярней. Ещё лет пяток назад (а может и меньше) даже пакеты в основных репах не подписывались, обходились md5.

Крупные слабомодерируемые площадки вообще зло: гугл просто рассадник, убунту тут на лоре спалили с майнеров в магазине, вот и арч, репы для разрабов тоже зашкварены...

Ещё лет пяток назад (а может и меньше) даже пакеты в основных репах не подписывались, обходились md5.

А тут подписи всё же перестраховка, хоть и не лишняя (привет гента, азаза) — доступ к репе имеет ограниченный круг лиц и права там выдают все же не всем мимокрокодилам с каким-то мутным пакетом наперевес.

Есть куча зеркал, которые скомпрометировать уже легче.

Согласен. Однако пока мы имеем кучу зловредов на «народных» площадках и единицы случаев оперативно замеченной компрометации официальных зеркал реп (хоть это радует).

Смешно =))

Типичный арчлинукс КУЛЛХАКИР. LUL

С таким же успехом можно какой-то левый dep/rpm поставить... Правда кто это будет делать?

Почему ещё не сделали бинарник с судо рм-рф, замаскировав под популярную игру и не выложили на какой нибудь популярный торрент трекер? Сразу столько юзеров с линукса свалило бы)

яндекс похожее пару раз делал. Не помогает.

AUR к Арчу не имеет никакого отношения.

Совсем?

Угу, прям совсем-совсем. Да и ни кто не кричит на каждом углу что в арче пакетов больше чем в убунте, т.к. аур есть.

Всё же аур для арча больше, чем для той же бубунты какие-то левые ппа или деб-репы для дебилиана, которые правда совсем левые.

Ну а то что сломато то — эт не удивительно, арчешкольники жеж...

Вижу уточнение что не не сломано, а просто шпион. Ну значить у школьника таки не плохой препод или кумир, а не ололо-кулхацкер.

рм-рф

Современные школьники плохо знают историю и ни чего не читали про чернобыль.

На то, что AUR — хранилище скриптов ... непонятно откуда ... почти никто из пользователей сего внимание не обращает.

И наличие этого AUR преподносится как преимущество. Особо упоротые ещё и морщатся при упоминании PPA-реп, среди которых хотя бы просто официальные от разработчиков софта есть.

AUR к Арчу не имеет никакого отношения.

Но это киллер-фича арча, без которого использование арча не имеет смысла.

привет гента

подловил :) Я попытался в генте настроить проверку подписи при emerge --sync, но не до конца уверен, что она в итоге работает. Через протокол rsync она практически всё время заканчивается как failed. Насколько понял, хоть как-то работает через «протокол» webrsync.

Как вариант синхронизироваться можно с одного зеркала, а пакеты качать с другого. Тогда если что не так контрольные суммы не сойдутся сразу.


С другой стороны, если ресурс с репой взломан, то что мешает злоумышленику добавить свою подпись и переподписать подправленные им пакеты в любой репе любого дистрибутива.

вот-вот, как и fedora, centos, redhat без разных epel, rpmfusion, rpmforge :(

Почему ещё не сделали бинарник с судо рм-рф, замаскировав под популярную игру и не выложили на какой нибудь популярный торрент трекер?

Шифровальщик с отложенным временем был бы красивее. Работы то для студента первого курса (на механизм расшифровки можно забить 🔨, тупо зашифровать и вывести сообщение об отправки денежек куда надо)

Федоры и убунты, даже со сторонними репами даже и близко не содержат в себе того, что есть в аур. Если нет в аур, то нет нигде. Поэтому пользователи других дистров, если они любят эксперименты, должны быть готовы поработать руками. Т.е. убунту ставят не из-за репов. Но вот лично меня на арче держит именно аур. Без него я не вижу смысла в арче для себя.

А смысл? Ну есть что-то в АУР, но оно гомно по сути нерабочее — это всё равно идёт в зачёт, что ну есть же?

В смысле говно не рабочее? Есть конечно что-то нерабочее и заброшенное, но большая часть отлично обновляется и стабильно работает. Пользователи других дистров почему-то думают, что в ауре каждый второй пакет нерабочий, а каждый третий с ШИРУСАМИ. Это мягко говоря не так, мой опыт подсказывает, что аур стабилен так же, как и обычные репы.

Что сказать то хотел?

AUR — Пользовательский репозиторий Arch (Arch User Repository)

ЗЫ: а так всегда те же фанатики будут вопить про бедных пользователей дырявой венды, при выходе какой-то очередной зверюшки. А тут сразу надо политкорректно заметить, что это не официальный репозиторий. А как будто вирусы под венду официальные 🤣

о мотивации (комментарий)

Странно, что подобное начало появляться только в последний год

>Правда кто это будет делать?

Юбунту КУЛХАКИР ;)

Ну как-то профита особо от линуксоидов не получишь. Разве что майнингом. А эта тема не так давно пошла.

А так https://www.omgubuntu.co.uk/2009/12/malware-found-in-screensaver-for-ubuntu

Это диверсия убунтят. Помните вирусню в их магазине? Тогда еще начали бухтеть, что мол везде такое может быть, кивали и на аур. В репы к большим дистрам им пока трудновато залезть, решили на ауре потренироваться.

С той лишь разницей, что все PKGBUILD'ы у тебя перед глазами, и ты *обязан* их читать перед тем, как использовать.

все PKGBUILD'ы у тебя перед глазами, и ты *обязан* их читать перед тем, как использовать

This. При обновлении все актуальные хэлперы к ауру показывают удобные диффы к пекабилдам. Бампы версий обычно отличаются на две строчки - собственно версия и хэшсуммы - и обрабатываются мозгом за долю секунды. ССЗБ, короче.

Ты писал, что он никакого отношения к Арч не имеет.

Это враньё, ибо AUR банально хоститься на рачной инфраструктуре, а к тому же АУРная дребедень при определённых условиях отбора проходит в официальные Comunity репозитории.

Все, что не входит в дистр, не имеет к нему отношения, очевидно. Аур это просто хранилище рецептов, мало ли где оно хостится. С начала времен всех предупреждают, что ставить из аур небезопасно, это риск юзера. Так что все нормально. А вот залет бубунты с официальным хомячковым магазином, это эпично.

привет гента, азаза

это ты про тот случай, когда они сами себя хакнули что бы хоть кто-то о них вспомнил?

Ну я и правда вспомнил, но вспомнил про подписи.

А сколько залетов у гугла? От первого залета фсевшоке, от второго только бугуртят, послке пятого не обращают внимания.

Главное, что не mesa-git или llvm-svn!

Я всё это знаю.

Заявление «AUR не имеет никакого отношения к ARCH» — это бесспорное враньё.

Стало быть, нет ничего безопаснее ./configure && make install.

Смотрел PKGBUILD, там так и написано.

Я всегда думал, что аур модерируется и пкгбилды и скрипты там проверяют перед тем как поместить.

Новые возможно просматриваются более внимательно. А тут обновление, ни каких ресурсов не хватит все изменения проверять.

Стоп, это же вроде как 146 и 273. И желание наказать пиратов — не оправдание с точки зрения закона.

Или ты в переносном смысле?

Ну, это все же троян, а не вирус. От троянов куда легче защититься, особенно на Linux с репозиториями — не использовать никаких, кроме официальных.

AUR банально хоститься на рачной инфраструктуре

А GitLab хоститься на M$/Google, например. Так что?

АУРная дребедень при определённых условиях отбора проходит в официальные Comunity репозитории

Для этого нужно стать TU, т.е. перестать быть безымянным мамкиным какиром.

А GitLab хоститься на M$/Google, например. Так что?

А ничего — это провайдеры. А AUR — это пионерский неофициальный проект РАЧа.

Поэтому слово «никакого отношения» не уместно.

Емнип патч Бармина был в облачном клиенте, вполне бесплатном и официальном. Только у яндекса, или мейлрушников? Забыл.

Для этого нужно стать TU, т.е. перестать быть безымянным мамкиным какиром.

Практически никакой связи. Да, маинтейнер в [community] — всегда TU. Но для того, что бы пакет туда попал, достаточно его (пакета) популярности и заинтересованности конкретного маинтейнера из [community] в поддержке этого пакета.

мейлрушников

this, с тех пор у меня в их диске в подарок 1ТБ перманентно

Сочуствую. И много они тебе грохнули?