LINUX.ORG.RU
ФорумTalks

Почему вы доверяете бинарным репозиториям?

 , ,


2

1

Всегда было интересно спросить, у тех, кто постоянно уповает на всевозможные потенциальные закладки в проприетарном программном обеспечении, и у тех, кто особо рьяно относится к своей безопасности\анонимности\приватности\етк, но при этом сидит хоть и на opensource, но бинарной дистрибуции ПО

  • А почему вы собственно уверены, что бинарные пакеты программ (да и ядра) в репозиториях вашего дистрибутива соответствуют исходным кодам этого самого ПО? Ведь даже в теории, чтобы это проверить, необходимо знать полное сборочное окружение, в котором собирались пакеты, но эта информация не поставляется майнтенерами. На практике же, этого никто и никогда не проверяет.

Чем каноникал, шапка, дебиан, арч и все прочие лучше какого-нибудь майкрософта или гугла? На чем основана ваша уверенность в том, что в вашей gnu/linux ос, которую вы даже не собирали самостоятельно, нет закладок?

Почему вы доверяете…

Людям свойственно доверять чему либо, снимая с себя ответственность в виде самоличного участия в процессе (лень или недостаток квалификации, например). Это в природе человека.

vvn_black ★★★★★
()

Потому что поймать, что в бинарном пакете не то, что в исходниках в разы проще, чем проверить проприетарный софт. К примеру софтина лезет в профиль браузера и читает там файлы. Если в исходниках такого нет, то все, мы обнаружили закладку. А если софтина проприетарная, то авторы могут ответить что-то типа «мы так определяем настройки прокси» (так делал Скайп), а правда это, или нет, определить уж слишком сложно.

goingUp ★★★★★
()

Во-первых, сейчас многие дистрибутивы проповедуют воспроизводимые сборки. Соответствие бинарей исходникам проверить может каждый.

Во-вторых, никто не защищен от закладок в исходниках. Тем более даже с ядром уже были такие прецеденты.

snizovtsev ★★★★★
()
Ответ на: комментарий от vvn_black

Да это разумеется понятно. Но интересен именно этот диссонанс в позиции рьяно гоняющихся за своей безопасностью, убегающих от слежек, телеметрий, злобных корпораций, и вот этого всего, при этом порой вгоняя себя в какие-то совсем изуверские условия существования тем самым, в то же время (я уж даже не вспоминаю про закрытость аппаратных платформ), но вот хотя бы очевидная бинарность дистров. Ну как они сами себе это объясняют?

Я в целом всегда, когда читал\читаю между делом, очередного сподвижника подобных идей, хочется спросить, да все руки не доходят.

А сейчас вот просто листал старые треды, наткнулся на очередное ( Маргинальные ОС и браузеры под framebuffer (SDL)) и что-то прямо руки зачесались

В последнее время стал более задумываться о сетевой безопасности, и использовании более маргинальных систем, недоступных взлому через какие-либо популярные бекдоры и надежных в плане слива личных телеметрических данных. У меня на ноуте и компе установлен Arch Linux с шифрованием диска

Ну, вот ну что это.

javascript
() автор топика

но эта информация не поставляется майнтенерами

Чем арч лучше какого-нибудь майкрософта или гугла?

Тем, что арч поставляет инфу об окружении. Открой любой пакет и в нем будет файл .BUILDINFO со списком установленных пакетов, переменных сборки, опций makepkg, хешем, временем сборки, ментейнером и прочей инфой

SR_team ★★★★★
()
Последнее исправление: SR_team (всего исправлений: 1)

Чем каноникал, шапка, дебиан, арч и все прочие лучше какого-нибудь майкрософта или гугла?

Ну первые - это тестовые полигоны для тестирования. У них нет в бизнес модели монетизации на рекламу.

fornlr ★★★★★
()

Наш человек, правильно думаешь. Даже в исходнике могут быть обфусцироавнные закладки.

xwicked ★★☆
()

Нет уверенности. Просто если в MS Windows закладки есть совершенно точно, это даже признается официально в EULA, то в GNU/Linux дистрибутивах по их официальной политике их быть не должно.

Конечно, у них есть возможность встроить тайно их, но все равно – с реальным риском обнаружения. И пока скандалов такого рода вроде как не было.

Короче, тут выбор между заведомо плохим и возможно плохим.

Vsevolod-linuxoid ★★★★★
()
Последнее исправление: Vsevolod-linuxoid (всего исправлений: 1)

Чем каноникал, шапка, дебиан, арч и все прочие лучше какого-нибудь майкрософта или гугла?

Ничем. Майкрософту и гуглу точно так же доверяю. (ну, гуглу чуть меньше)

token_polyak ★★★★★
()
Последнее исправление: token_polyak (всего исправлений: 1)

А почему вы доверяете source based дистрибутивам? Вы таки лично прочитали все исходники и проверили их на счет наличия закладок?

Pups
()
Ответ на: комментарий от javascript

именно этот диссонанс

Правильно, диссонанс, потому что «рьяно гоняющиеся за своей безопасностью» полностью состоят из противоречий. Их же на самом деле не очень много.

Большей части достаточно компромисса между комфортом, прогнозируемыми рисками и «авось».

vvn_black ★★★★★
()

Если найдётся хотя бы одна закладка в бинарнике и несоответствие с исходником, то доверие к репозиторию будет потеряно.

X512 ★★★★★
()
Ответ на: комментарий от Korchevatel

Как мне сказать корчевателю, что мне помог гель «Дохлокс»? Вымазал только плинтус под раковиной и правую стенку под раковиной, где вентиляция и всё, 150 не было. Мебель не трогал. Они сами других заражали. 1.5 месяца сами распространяли между собой заразу и все вымерли. 10 лет уже без проблем.
Это всё гордыня, а послушал бы меня, жил бы как человек, без проблем. Я уже раза 4 упоминал про него(про дохлокс), но он принципиальный оказался, заигнорил меня и ммучался с мебелью... плак, плак, не для себя же стараюсь... :(

xwicked ★★☆
()

Почему именно бинарным? Никакой разницы между бинарными репозиториями и source-репозиториями нет, и туда и туда могут внедрить что угодно и никто не заметит. Я не доверяю.

Reset ★★★★★
()

Ведь даже в теории, чтобы это проверить, необходимо знать полное сборочное окружение, в котором собирались пакеты, но эта информация не поставляется майнтенерами. На практике же, этого никто и никогда не проверяет.

У меня NixOS, там эти тезисы неверны.

t184256 ★★★★★
()
Ответ на: комментарий от vvn_black

Попробуй думать перед тем как писать.

Даже участвуя в процессе, тебе приходится доверять остальным участникам. У тебя всей жизни не хватит, чтобы вычитать исходники всего софта в генточке.

Доверие — объективная необходимость. Вопрос только в том, на чём оно основано.

WitcherGeralt ★★
()

Я им вообще не доверяю, но вариантов нету. Вот где информация о том, как обрабатываются мои персональные данные?

elfmaid
()
Ответ на: комментарий от WitcherGeralt

В исходниках apt нету файла с названием privacy policy. Если мне самому его надо запрашивать у репозитория, то как это сделать?

elfmaid
()

Есть куча всяких софтин, которые проверяют линуксовые бинари. А в крупных конторах есть отделы, которые такими проверками и занимаются. Неожиданные подарки быстро находят. По крайней мере в дистрибах вроде рхела или центоса.

Juan-Carlos
()
Последнее исправление: Juan-Carlos (всего исправлений: 1)
Ответ на: комментарий от elfmaid

Вот когда найдёшь в исходниках пм передачу персональных данных, тогда и будет разговор.

WitcherGeralt ★★
()

все верно только айфон не забудь свой выкинуть в окно.

Чем каноникал, шапка, дебиан, арч и все прочие лучше какого-нибудь майкрософта или гугла?

можно пересобрать пакет и получить одинаковый результат.

bhfq ★★★★★
()
Последнее исправление: bhfq (всего исправлений: 1)

Astra Linux наверняка с закладками от гебни идет, бесспорно даже и исходный код они представляют не тот из которого собираются пакеты, просто в надежде, что их никто не станет перекомпилять

IvanR ★★★
()

МИЛЛИОНЫ ГЛАЗ

ПРОВЕРИЛИ НЕ РАЗ

ВСЕ КРОМЕ НАС

chenbr0
()

А мне гораздо больше волнителен тот факт, что я не понимаю, как это все работает, то есть понимаю, но на теоритическом уровне, в системе у меня щас 11гб и что это за 11 миллиардов байт, хрен знает, проще было на перфокартах или реле, поднять можно было, а, следовательно, ни испытывать паники

IvanR ★★★
()

Увереннности, конечно, никакой нет. Просто нет времени собирать себе всю систему самому. Gentoo - не выход, т.к процесс сборки ты точно также отдаёшь на откуп мейнтейнерам пакетов, просто собираются они локально.

А поэтому софт надо запихивать в песочницы насколько это возможно, и использовать другие доступные механизмы разграничения и ограничения доступа к системе.

DawnCaster ★★
()
Ответ на: комментарий от DawnCaster

А поэтому софт надо запихивать в песочницы

*васянософт

BceM_IIpuBeT ★★☆☆☆
()
Ответ на: комментарий от DawnCaster

Gentoo - не выход, т.к процесс сборки ты точно также отдаёшь на откуп мейнтейнерам пакетов, просто собираются они локально.

Гента качает сорцы пакетов не со своих реп, а прямо с сайтов разработчиков (e.g. с гитхаба), а патчи накладываемые гентой лежат отдельно. Поэтому хотя бы в плане «мейнтейнеры генты [не] добавляют дыры» это проверяется элементарно: патчи маленькие и их мало.

dimgel ★★★★★
()
Ответ на: комментарий от pacify

Потому что security thru obscurity

Никогда не понимал всего этого анти-хайпа по поводу security thru obscurity. Вообще говоря, ВСЯ security зиждется на obscurity. Не согласные могут выложить в открытый доступ все свои пароли и приватные ключи.

dimgel ★★★★★
()
Ответ на: комментарий от dimgel

Не согласные могут выложить в открытый доступ все свои пароли и приватные ключи.

Сравнил тёплое с мягким.

sudopacman ★★★★★
()
Ответ на: комментарий от sudopacman

Сравнил я всё правильно. Даже вообще не сравнивал, а констатировал факт: ключи и пароли – obscure, и как только они перестают быть obscure, вся основанная на них секьюрность машет ручкой.

dimgel ★★★★★
()
Ответ на: комментарий от dimgel

Security through obscurity — это про дизайн информационных систем. Пароли/ключи — это не obscure, а secret. Ты сравнил тёплое с мягким.

sudopacman ★★★★★
()
Ответ на: комментарий от sudopacman

Ну ок. Хотя пример такого дизайна не помешал бы. А то я за давностию лет уже не помню те времена, когда впервые услышал этот термин.

dimgel ★★★★★
()
Ответ на: комментарий от dimgel

Криптография: зашифровать матерный стишок про Сталина.

Security through obscurity: написать матерный стишок про Сталина на бумажке и убрать её не в письменный стол, а в коробку с хлопьями на кухне.

WitcherGeralt ★★
()

необходимо знать полное сборочное окружение, в котором собирались пакеты, но эта информация не поставляется майнтенерами.

Почему, у некоторых дистров на сайтах есть описание окружения сборки. Но да, толку от этого никакого. Хорошая реклама генты, в общем, молодец!

Dog ★★★
()
Ответ на: комментарий от dimgel

Security through obscurity - это когда безопасность построена не на сокрытии ключа, а на сокрытии алгоритма, в надежде, что злоумышленник не догадается, как работает защита. Настоящая защита отличается от security through obscurity тем, что злоумышленнику понятно, как именно всё защищено, но сломать он всё равно не может.

kmeaw ★★★
()
Ответ на: комментарий от kmeaw

Последнее предложение – ок, формальненько. Сенькс.

BTW я тут вспомнил про стеганографию, например кодирование сообщения в младших битах цветов картинки. Вполне себе рабочая идея, и укладывается в твоё определение obscurity. (Впрочем, я бы при этом и само сообщение шифранул бы ключом.)

dimgel ★★★★★
()
Последнее исправление: dimgel (всего исправлений: 1)

Если ты не прочитал весь код, то ты не можешь быть уверен что закладок нет. Даже если ты его написал - тоже, вдруг закладка на самом низком уровне? Вообще в железе? Даже если ты сам добыл руду и сделал всё железо, то всё равно нельзя быть уверенным, вдруг она в станок встроена который железо делал. Даже если ты делал станок, то тоже нельзя быть уверенным, вдруг ты в матрице живёшь и вообще весь мир полон закладок, как и твоя голова.

КСЖ

peregrine ★★★★★
()

А собственно на чем полагается ваша уверенность что в тех 500 МБ сорцов которые скачала ваша Гента код такой же как на официальных сайтах этого софта?

vertexua ★★★★★
()
Ответ на: комментарий от WitcherGeralt

Сталин: грохнуть тебя на всякий случай, не важное был стишок или нет, главное чтобы соседи боялись

vertexua ★★★★★
()
Ответ на: комментарий от dimgel

Впрочем, я бы при этом и само сообщение шифранул бы ключом

Так и делают.

sudopacman ★★★★★
()

Потому что на самом деле всем пох.

-Исходники? Не знаю что это. Слушай, а что тебе дают твои исходники тут? На этом, как его...

-На линуксе! Ну, я могу сам их посмотреть.

-Но зачем?

-Вдруг там вредоносный или шпионский код.

-И много ты программ уже так разобрал?

-Еще ни одной, мне лень и я не особо разбираюсь в коде.

-Но зачем тогда...

-ПОТОМУ ЧТО СВОБОДА.
windows10 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.