» »

(Ne)varna neuradna skladišča programskih paketov?

(Ne)varna neuradna skladišča programskih paketov?

Slo-Tech - Ena izmed dobro poznanih prednosti Debiana in na njem temelječih Linux distribucij je uporaba orodja apt, ki omogoča iskanje, nameščanje in odstranjevanje programske opreme s spletnih skladišč (repository), ki je lično zapakirana v tako imenovane pakete. Vendar je lahko nepremišljena uporaba neuradnih spletnih skladišč paketov, zelo nevarna, česar pa se očitno ne zaveda prav veliko uporabnikov.

Pred kratkim se je na določenem blogu pojavil paketek, ki na sistem namesti veliko število neuradnih skladišč paketov. Takšna nekritična uporaba vsega programja, ki ga na internetu ponujajo ne vedno dobro misleči posamezniki, pa je lahko seveda tudi zelo nevarna. To pa očitno ni zmotilo lastnika bloga, da ne bi seznama objavil, kot očitno tudi ne kopice nekritičnih uporabnikov, ki so paket namestili. Je pa zmotilo lastnika nekega eksperimentalnega skladišča, ki se je odločil opozoriti na problem na zelo zanimiv način. Z namestitvijo paketka iz njegovega skladišča se namreč na sistemu pojavi posebno ozadje namizja (glej sliko) in onemogoči možnost menjave slike ozadja. Reakcije?



Večina uporabnikov je bila jeznih, ker se je nekdo z njimi tako grdo poigral. Očitno jim ni jasno, da se je v prihodnje boljše natančno informirati, kateri viri so varni. In da je neškodljiva lekcija še vedno boljša, kot odkrivanje in odstranjevanje rootkita, nameščenega zaradi lastne neumnosti.

19 komentarjev

jlpktnst ::

Lepo od njega...

Je pa to dejstvo ja :P Večina linux uporabnikov so še večji "suckerji" kot windows uporabniki. Pa gre tudi za (nekatere) power userje, hekerje... Enostavno preveč slepo se zaupa paketom.

Poldi112 ::

Jaz kot Gentoo user nimam problema zaupati paketkom v Portage. Tam je skoraj vse kar rabim in vse požegnano od uradnih gentoo developerjev.

Glede zgornjega komentarja pa samo lol. Niso debian / linux userji znani po tem da zalaufajo vsak exe. Tudi če imaš čudne repositorije pač ne instaliraš kar vsega. Se pa tudi meni zdi da ideja mnozice različnih repositorijev zgresena.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

jlpktnst ::

Dobro, torej popravljam komentar - večina linux userjev bo slepo sledila navodilom. Večinoma so navodila sicer dobra, samo ni pa zelo težko vtihotapit karkoli. Če pa vržeš nek rootkit paketič na repozitorij pa itak dobi to dol masa ljudi. Pa saj lahko napišeš svoj rootkit ki ne bo tako očiten in ga bo težko odkrit.

Kaj je problem? Zakaj ljudje dodajajo repozitorije? Ker v glavnih repozitorijih manjkajo paketi. ZELO pomembni paketi. Recimo nimaš kodekov, nimaš mplayerja, hudiča pa pol manjka. Potem pač uporabnik sledi navodilom in se nategne. Sploh ker je dodajanje repozitorija tak pain in the ass - se pa sploh pojavljajo takšni paketi. Itak da vsak Janezek zagrabi paket in si "olajša" življenje.

Ti kot gentoo user nimaš problema zaupat developerjem. Sej jim vsi MORAMO zaupat, ni neke izbire. Pa tudi bi se takoj vedelo če bi blo kaj narobe. Druga reč so pa dodatni paketi. Nevem no, gentoo ima vse kar rabiš v repozitoriju? Nekako ne verjamem. Developerji tega ne bi dovolili. Preveč simpl je.

jure1825 ::

Poldi112:
Tudi če imaš čudne repositorije pač ne instaliraš kar vsega.


ja samo pomoje je tam isto kakšna fora kot pri portage, če imaš več repositorijev potem apt/portage ko upgradeaš vse pobere najnovejšo verzijo in če dam jaz v moj overlay npr sysvinit verzijo 100 ki ne obstaja bo vsem ki imajo moj overlay upgradealo na to.

Za npr gentoo sem videl večkrat na raznih howtojih kar napisano da dodaš raznorazne overlaye v stilu kot da so to samo ukazi ki jih moraš pasteat v konzolo, noben pa zraven ne napiše kakšni problemi so lahko če to kar tako počez delaš.

Thomas ::

Super tole, super ...
Man muss immer generalisieren - Carl Jacobi

MrStein ::

Broken link v članku !
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Poldi112 ::

V glavnem so resitve pri gentoo nestabilni paketki in ne overlay. Verjamem pa da bereva različne vire :)

In ja, za gentoo imam vse kar potrebujem. Od raznih kodekov, playerjev, sistemskih, grafičnih, pisarniških aplikacij, ... Nekje 10 aplikacij je iz nestabilne veje, ker potrebujem novejše verzije oz. ker imam x64 in stabilne še ni. Edino enkrat sem razmišljaj da bi ročno prevajal en torrent client, pa sem potem raje instaliral Azureusa.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

christooss ::

A mi lahko ob tem dogodku eden pove kako za en paketek preveriš vse odvisnosti. Ker če grem npr. apt-cache show paketek pokaže samo odvisnost direktno za paketek nič pa kaj vse se bo inštaliralo?

Mal je čudn, da ko dap apt-get install paketek inštalira 200 MB prej so bli pa samo trije paketki zlistani slučajno je bil seveda mes kšn kde meta package pol pa maš
Zakaj je nebo modro? Da imamo lahko sladoled Modro Nebo

svencbir ::

Ce bi kdo pozorno prebral spisek repozitorijev bi lahko opazil da je celo eden slovenski med njimi - Kiberpipa. In sicer točneje za program Cinelerra.

3p ::

Ta tip je pa brihten. Na koncu ga bo nekdo tožil za avtorstvo škodljivega programa (neke vrste trojanca).

Pithlit ::

Popolnoma OffTopic: Zakaj zaboga _vsako_ sliko slotechovci resizate na neberljivo velikost?!? Resno... čist brezveze tole. Tolk majhne pipce pa spet nimate.
Life is as complicated as we make it...

;-) ::

Pipica moderatorjev je v resnici manjša kot si lahko misliš:D

Bedede v prenesenem pomenu ali.....?

Azrael ::

@Pithlit:

Slika v vsej svoji lepoti na S-T strežniku:
Problem z velikostjo je zaradi avtomatične skripte, ki prenaša slike na strežnik. Ročno (ni mišljeno dobesedno) pa včasih tudi ne uspe najbolje ali sploh ne uspe (operacija je časovno omejena) in kdor se je pri tem nasmolil, se ročnemu prenašanju izogiba.

Še izvorna slika.

p.s. Kot je rekel EWEER ročni prenos slike je lahko neizvedljiv (time-out) zaradi počasne internetne pipice (UL), moderatorja ali pisca, ki bi sliko rad prenesel na strežnik. Zato prosimo za razumevanje, nimamo vsi optike ali vsaj 20/20 paketov...
Nekoč je bil Slo-tech.

Zgodovina sprememb…

  • spremenil: Azrael ()

Pithlit ::

Hvala Azrael. Dvomim sicer, da jekrivec fizična velikost slike, če pa že imamo na voljo 3 workaround-e: 1.) sliko se ponovno skompresira pri čemer se izgubi malček na kvaliteti; 2.) poveča se timeout (saj ni tako težko... ali pač?); 3.) linka se na izvorno sliko.

Resize ponavadi sicer ni problematičen, problem nastane, ko je na sliki tekst, ki s tem postane neberljiv. Ni prvič, da se to dogaja. Postaja nadležno.

83kB pa ne sme biti problem. Ne za server ne za pisca. Tudi na dialup.
Life is as complicated as we make it...

christooss ::

Kater paketeg morš pa naložit da dobiš tale wallpaper?
Zakaj je nebo modro? Da imamo lahko sladoled Modro Nebo

MrStein ::

Kaka maloumna skripta pa je, da prekine upload, ki je v toku ?

if (time>timeout) go_fck_the_user() ? ;((
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

grex ::

Ti kot gentoo user nimaš problema zaupat developerjem. Sej jim vsi MORAMO zaupat, ni neke izbire. Pa tudi bi se takoj vedelo če bi blo kaj narobe. Druga reč so pa dodatni paketi. Nevem no, gentoo ima vse kar rabiš v repozitoriju? Nekako ne verjamem. Developerji tega ne bi dovolili. Preveč simpl je.


Vse kar si zgoraj naštel, dejansko je tudi v portage-u. Jaz nimam nič izven portagea, sem pa videl eno stvar, ki je res ni notri (avast antivirus f/ linux>:D ).

Mi je pa čudno, da mplayerja pa kodekov ni...v uradnih repozitorijih.

Za moje potrebe ima gentoo portage čisto vse. Poglej sicer na gentoo-portage - me prav zanima, če česa zelo uporabnega ni notri.

Poldi112 ::

Razlog pri Debian je verjetno njihova licenca, ki je precej restriktivna.
edit: Licenca verjetno ni pravi izraz. Mislil sem na tist njihov odnos do svobode.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Zgodovina sprememb…

  • spremenil: Poldi112 ()

MrStein ::

Najbrz mislis Debian Social Contract.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Ali je Linux dobra stvar in za kaj se uporablja? (strani: 1 2 )

Oddelek: Operacijski sistemi
635197 (4053) bluefish
»

Kje dobiti instalacijski linux?

Oddelek: Operacijski sistemi
253797 (2959) maticm
»

Java v GNOME v Iceweasel

Oddelek: Programska oprema
10970 (970) dunda
»

Novo KDE namizje

Oddelek: Novice / Ostala programska oprema
273451 (2438) M.B.
»

Uradno izšel Ubuntu 5.10 - Breezy Badger (strani: 1 2 )

Oddelek: Novice / Operacijski sistemi
526491 (4828) 64202

Več podobnih tem