А кто сказал, что в бинарных дистрах нет патчей-закладок в софте?

0

1

Это в гентушечке патчи лежат отдельно от собственно сорцов пакета, скачиваемых обычно прямо с сайта/репы его авторов. А можно ли верить всяким дебианам с арчами, не говоря уже про всякие калкулейты и убунты с манжарами – это большой вопрос.

Ссылка

←	Киберпанк, который мы заслужили

Вы хотели драму, их есть у меня! Sabayon + Funtoo = ?

→

← 1 2 →

Ответ на: Неправильный вопрос от DonkeyHot 21.11.20 10:18:03 MSK

нужно спрашивать не о наличии закладок, а о выгоде их автора от злоупотребления твоими приборами.

Если закладка в дистре, то все юзеры дистра становятся уязвимы, не зависимо от того, есть автору закладки польза от конкретного юзера или нет. А во-вторых, польза есть всегда: как минимум ботнет.

dimgel ★★★★★
(21.11.20 13:34:05 MSK) автор топика

Ссылка

https://wiki.debian.org/ReproducibleBuilds
Есть вот такая тема. Ну и за почти 30 лет существования Debian закладки, добавленные мантейнерами умышленно, обнаружены не были. Впрочем как и в Слаке, Ред Хате, Сусе и прочих старых дистрибутивах.

Polugnom ★★★★★
(21.11.20 13:34:58 MSK)
Последнее исправление: Polugnom 21.11.20 13:37:23 MSK (всего исправлений: 2)

Ссылка

Короче, шансы словить закладку в апстриме в тысячу раз выше.

Polugnom ★★★★★
(21.11.20 13:37:05 MSK)

Ответ на: комментарий от Polugnom 21.11.20 13:37:05 MSK

Да не в тысячу, а поболе на самом деле… Но там закладки все ламповые, родные, от разработчика. :)

Да и на иной google-chrome найдётся ungoogled-chromium.

dimgel ★★★★★
(21.11.20 13:38:43 MSK) автор топика

Ссылка

Может я чего-то опять не понимаю - и в Debian, и в Arch, и в Void практически одна и та же схема: ссылка на tar первоисточника + свои заплатки и параметры сборки.

У кого-то больше заплаток, у кого-то меньше. Немного разные параметры сборки иногда.

Если бы мне хотелось понервничать на тему закладок - я бы наверняка нервничал не на сопровождающих, а скорее на авторов.

Могу наврать - но кажется что у Void чуть больше информации прилетает в RSS при изменении пакетов, чем в RSS Arch. У последнего, как правильно ChecngeLog типа «change upstream version». А чего там в апстирм накрутили - сам иди и смотри.

Toxo2 ★★★★
(21.11.20 13:50:03 MSK)

Ссылка

Ответ на: комментарий от grem 21.11.20 12:22:55 MSK

https://www.gentoo.org/news/2018/06/28/Github-gentoo-org-hacked.html

Вот с этого началось. в подробности я не вникал (работает и не трогай)

justin_case ★
(21.11.20 14:01:41 MSK)

Ответ на: комментарий от Reset 21.11.20 10:25:15 MSK

Может там что-то и посложнее, я хз.

justin_case ★
(21.11.20 14:02:42 MSK)

Ссылка

Ответ на: комментарий от justin_case 21.11.20 14:01:41 MSK

Так это то, о чём я написал - утечка аккаунта разработчика для зеркала гитхаба. Подпись дерева ключами с этим не связана.

А проверка подписи через rsync у меня как-то через раз работает да и то сам способ синхронизации медленный. Поэтому использую специальное зеркало github для синхронизации. Через git шустро касается, особенно если depth=1 в настройках репы указать.

grem ★★★★★
(21.11.20 14:48:13 MSK)
Последнее исправление: grem 21.11.20 14:58:24 MSK (всего исправлений: 1)

Ответ на: комментарий от WitcherGeralt 21.11.20 04:34:49 MSK

хэш тоже можно подменить

Harald ★★★★★
(21.11.20 15:22:47 MSK)

Ответ на: комментарий от Harald 21.11.20 15:22:47 MSK

Это нужно ещё получить доступ к редактированию ресурса, где лежит хеш, или хотя бы скомпрометировать его. У лорчика хотя бы https включен, в отличие от его ссылок. Впрочем, у саахрикту, скорее всего пароль аля «qwerty», так что да, подменить хеш, отредактировав его пост, не проблема.

~~WitcherGeralt~~ ★★
(21.11.20 15:28:05 MSK)
Последнее исправление: WitcherGeralt 21.11.20 15:28:30 MSK (всего исправлений: 1)

Ответ на: комментарий от WitcherGeralt 21.11.20 15:28:05 MSK

Это нужно ещё получить доступ к редактированию ресурса,

или быть провайдером на пути скачивания этого файла и хэша

Harald ★★★★★
(21.11.20 15:28:54 MSK)

Ответ на: комментарий от Harald 21.11.20 15:28:54 MSK

Чего? Я ему хеши прямо в теме на лорчике предлагал размещать. Ты смысл не улавливаешь, хеши в файлике рядом кладут для проверки целостности, а на альтеративном ресурсе для проверки подлинности.

~~WitcherGeralt~~ ★★
(21.11.20 15:42:47 MSK)

Ссылка

https://tests.reproducible-builds.org/debian/unstable/amd64/stats_pkg_state.png

Всё, что зелёное на этом графике, можно воспроизвести и убедиться в отсутствии закладок. Разработчики стараются довести этот показатель до 100%.

https://wiki.debian.org/ReproducibleBuilds

kmeaw ★★★
(21.11.20 15:56:33 MSK)

Ответ на: комментарий от Harald 21.11.20 15:28:54 MSK

Файл с хэшами подписан, набор подписей зашивается в систему в момент установки.

Правда в механизме скачивания пакетов по http тоже бывают уязвимости, например CVE-2018-1000849 и CVE-2019-3462.

kmeaw ★★★
(21.11.20 15:59:19 MSK)

Ссылка

Ответ на: комментарий от kmeaw 21.11.20 15:56:33 MSK

Угу, Polugnom уже кидал эту ссылку. Весьма неожиданная для меня картинка, но забавная.

dimgel ★★★★★
(21.11.20 23:41:11 MSK) автор топика

Ссылка

Ответ на: комментарий от grem 21.11.20 14:48:13 MSK

Подпись дерева ключами с этим не связана.

Значит была какая то другая тема, я обновляюсь редко. Помню только что в ньюсах проскакивало что-то вроде у нас случилась такая то хрень и поэтому будут ключи, сделайте emerge -1 portage. После прочтения было желание проверить «не поел ли говна лично», когда понял что это произошло после того как я обновлялся крайний на тот момент раз, отлегло и я забыл число. С тех пор однако стал более внимателен к эрор кодам emerge и да, бывало когда выдавало 1 на проверке, я тут же повторял сынк до получения нормального нуля, в таком случае (плевать на ихние этикеты-шмитикеты).

justin_case ★
(22.11.20 02:53:02 MSK)
Последнее исправление: justin_case 22.11.20 02:53:23 MSK (всего исправлений: 1)

Ссылка

Нельзя конечно, с разморозкой. Есть reproducible builds чтобы это победить, но во-первых, с ними либо ты сам всё собираешь чтобы веифицировать, либо у тебя всё равно нет 100% гарантии (если ты веришь верификации от третьих лиц). Ну и как-то оно слишком медленно внедряется.

slovazap ★★★★★
(23.11.20 04:23:22 MSK)