protestware в релизе

From: Alexander Ivanov ai708703@gmail.com

И здесь AI.

Когда-то я любил xsnow на новый год включать..

https://lists.debian.org/debian-devel/2026/06/msg00159.html

403 Forbidden

protestware в релизе это серьезно или нет

серьезно для кого (авторов, майнтейнеров, пользователей)?

При чём тут ИИ? :⁠-⁠D

Я и теперь, бывает.

403 Forbidden

умвр

Ещё в 24-м году: https://aur.archlinux.org/packages/xsnow

Дебианщики как всегда :-)

P.S. В альте пропатчили точно.

А у меня он не работает почему-то.

#naziware

Вот из-за таких борцунов, я и стараюсь не использовать русскую локализацию и часовой пояс.

Кстати, может кто объяснить, зачем Alexander'у Ivanov'у понадобился xsnow - скринсейвер на новогоднюю тематику? В июне-то!

Может он из Норильска или Воркуты. Там снег недавно был. Да и вообще русские люди сани летом готовят

В альте начиная с

2023-10-21 Alexei Mezin 3.7.5-alt1

определение сорта пользователя по локали есть.

Хочу росу посмотреть. Астру к сожалению вряд ли посмотреть получится, что еще есть?

Астру к сожалению вряд ли посмотреть получится, что еще есть?

РЕД ОС

Декомпильнуть и найти нужную логику, думаю, не очень сложно.

16 ноября 2024 г. Alexei Mezin 3.7.9-alt1
- New version
- Remove some country specific options

Я ж говорю — патчили. Я просто помню уже бурление в рассылке и призывы перепроверить вооообще всё.

но в исходниках осталось

 329 #ifdef USE_EXTRATREE
 330       if (global.Language && !strcmp(global.Language,"ru") && drand48() < 0.3)
 331          tt = MAXTREETYPE;
 332       if (drand48() < 0.02)
 333          tt = MAXTREETYPE;
 334 #endif

https://git.altlinux.org/gears/x/xsnow.git?p=xsnow.git;a=blob;f=xsnow/src/scenery.c;h=30c5585b36889bdaa5595cd85f54e0f91bb23c40;hb=fe656fe6b3b1835bc03d0c1f07ae563fdfaee9af

Может конечно убрали USE_EXTRATREE при сборке, я глубже не копал…

А это уже массовая атака не репозитории и дистрибутивы *** решето или все еще норма?

Я просто все комменты прочитал, так и не понял.

А не пользоваться всяким говном не вариант?

У меня украинские флаги тогда перестал показывать, подробностей не знаю.

1. Так оно же напрямую никогда и не говорит, что оно такое!
2. Варианты в студию: Lutris, Wireshark, Discord, Winbox, Hyprland, KDE

А если по центральному телевидению официально не объявят, что эти проекты говно - уже не считается? Всем им есть альтернативы. Тут мне недавно втирали в соседней теме про институт репутации и как она важна для компаний, ага.

Я не говорю про то, чтобы знать заранее. Но после того как проект обосрался, никто не перестанет им пользоваться.

Ну тут не только xsnow, например в LdapAccountManager такая же шляпа есть.

Дебианщики как всегда :-)

Я так понял, сопровождающий этого пакета в дебиане это и есть автор исходной программы.

Не в дебиане дело. Я проверил генту:

      int tt = TreeType[randint(NtreeTypes)];
#ifdef USE_EXTRATREE
      if (global.Language && !strcmp(global.Language,"ru") && drand48() < 0.3)
         tt = MAXTREETYPE;
      if (drand48() < 0.02)
         tt = MAXTREETYPE;
#endif

Эту дрянь тянут ебилдом из официального его источника. Тут жаловались на аур, на нпм? А чем по вашему генту или дебиан лучше, если неглядя все помои пихают? Та же самая помойка, но меньше выбор пакетов. Все.

Еще раз - генту тянет софт со страниц авторов напрямую. Никто весь код никогда не проверит вручную. Не думаю, что в дебиане ситуация иная. Разница с ауром только в том, что ебилды формирует один человек, а не разные.

То есть это даже не уязвимость, это просто эксплуатация возможности навредить. Как если бы на дороге водитель специально врезался бы на скорости в остановку, а винили бы за это дорогу - смотрите какая она небезопасная.

Не думаю, что апелляция к ауру тут уместна.

Смотри, я когда ставлю программу, я тем самым выражаю акт доверия. Кому? Вот это самое главное.

Во-первых, безусловно, я выражаю акт доверия тому, кто собрал и выложил эту программу. Мейнтейнеру дебиана, например. Или тому, кто написал ебилд для генты. Эти люди выражают финальное мнение в сборке проекта. Они могут менять опции сборки, они могут накладывать любые патчи. В некоторых дистрибутивах они даже могут у себя на компьютере собирать программы и выкладывать получившиеся бинарники.

Ну а во-вторых, конечно же, я выражаю акт доверия авторам исходной программы. Потому, что хотя мейнейнеры и имеют возможность менять исходники перед сборкой произвольным образом, как правило они этой возможностью не пользуются или пользуются очень избирательно, поэтому на 99.9% получившаяся программа работает именно так, как её запрограммировал автор.

В устоявшихся дистрибутивах мейнтейнеры это известные люди с определённой репутацией. И репутация дистрибутива складывается из репутации этих мейнтейнеров. Чтобы попасть в мейтейнеры, есть определённая процедура, в дебиане она включает в себя проверку документов.

Теперь что касается аура. Пакет в ауре может создать любой. Вообще любой, это по сути аналог гитхаба. Просто взял и создал. Когда ты ставишь пакет из репозиториев арча, ты доверяешь арчлинуксу. Когда ты ставишь пакет из аура, ты просто качаешь рандомные скрипты из интернета, не пойми от кого, и запускаешь их на своём компьютере.

И всё даже хуже. Если пакет в ауре долго не обновлялся, он становится сиротой. И любой может забрать его себе. Т.е. если даже ты нашёл пакет, нашёл в интернете информацию про его автора, решил что ты ему доверяешь, то через 5 лет сопровождающий пакета может молча смениться и ты про это не узнаешь. Просто в очередной раз при обновлении тебе приедет вирус. Ровно это и случилось недавно.

Поэтому моё мнение - аур фундаментально плохая идея. Если кто-то хочет выложить PKGBUILD, для этого есть, например, гитхаб или любой другой гит-хостинг, не ассоциированный с арчем. Выкладывай на здоровье. Только в гитхабе твой аккаунт хотя бы не передадут не пойми кому внезапно. И вирусы в гитхабе не портят репутацию арчлинукса. А на домене archlinux.org - однозначно портят.

Эту дрянь тянут ебилдом из официального его источника.

Значит это не дрянь, а фича от авторов программы. Почему ментейнеры должны это убирать? Вот как один клоун вырезал русскую локаль из плеера, ну не очень красиво, но это его дело. Данные они не крадут, компьютер юзеру не сжигают. Какие вопросы?

Проблема тут в том, что и там и там ты доверяешь незнакомым людям.

В случае с гентой ты доверяешь не только создателю ебилда, но и хозяину кода. Потому что чаще всего это просто прямая ссылка на источник. Ты не знаешь что взбредет завтра одному или другому.

«Если парень начал безобразничать и его сразу не пристрелить — он так ничего и не поймет»

Я к тому, что если нельзя сделать более безопасно, то надо ограничивать замаравшихся авторов перманентно. И код от них не принимать вообде никакой. Система, которая работает на доверии - работает до первого нарушения этого доверия.

Потому что мне не нужна обезьяна с гранатой в моей системе. Если автор замарался один раз, доверять ему - глупо. А если владельцы дистрибутива такое сознательно допускат, лучше поискать другой.

Проблема тут в том, что и там и там ты доверяешь незнакомым людям.

Это не проблема, это неизбежный факт.

В случае с гентой ты доверяешь не только создателю ебилда, но и хозяину кода. Потому что чаще всего это просто прямая ссылка на источник. Ты не знаешь что взбредет завтра одному или другому.

Как ебилд может патчить исходники, так и deb пакет может собирать исходники из апстрима. Как за ебилд отвечает мейнтейнер генты, так и за deb пакет отвечает мейнтейнер дебиана. Принципиальной разницы нет. Ты можешь выкинуть мейнтейнера из этой цепочки и сам собирать пакеты. Я даже думаю, что с помощью LLM это не такая уж непосильная задача будет (если, конечно, доверять LLM).

Я к тому, что если нельзя сделать более безопасно, то надо ограничивать замаравшихся авторов перманентно. И код от них не принимать вообде никакой. Система, которая работает на доверии - работает до первого нарушения этого доверия.

Аргумент понятен. Ну вот в дебиане пока посчитали, что ничего страшного. Дистрибутивов не так много.

Ну, будем наблюдать. Пока реально жареный петух в жопу не клюнет, никто ничего так делать и не будет. Запасусь попкорном.

А я вчера напоролся на приложение, которое расположено на git.gay Моя жизнь никогда не будет прежней.

Кстати, плохо не только такое, националистическое поведение, проблема с локалями вообще. Почему я не могу быть ru, но из произвольной страны? Там же захардкожено - ru_RU, ru_UK и ещё парочка. В результате не только вы, но и я, гражданин совсем даже другой стороны постоянно вижу непотребности (и не только в софте, но и на сайтах)

Моя жизнь никогда не будет прежней.

Т.е. пропаганда работает?

Дело не в стране, а именно в национальности. Это всё проявления обыкновенного нацизма. Так что переходите на воляпюк, и всё у вас будет хорошо. Ну или на местечековую феню, одобренную высшим советом масонских мудрецов.

Омерзение. Ещё и в свете того как вчера насмотрелся- бомж один на ютубе рассказывал про то как в Бирмингеме они бомжей на наркоту сажают, чтобы их потом трахать (и это самое безобидное, что они делают с ними после).

Ну мне бы хотелось посмотреть исходники чего-нибудь отечественного, кроме Альта. До росы руки пока не дошли, у астры вряд ли получится что-то посмотреть.

Это скорее национализм в структуре мышления принимающих стандарты. (И я очень не хочу, чтобы модераторы приняли это за политоту, это ни разу не она).

Такое мышление, что немцы живут только в Германии и нескольких окружающих странах, русские только в России, Украине или Казахстане, литовцы вообще только в Литве живут у них. В двадцатьпервом веке, веке глобализма, когда даже двадцатый век великого смешения народов уже прошёл, делать империалистические стандарты связывая язык и страну (ru_RU в данном случае) - глупо. Даже гомики имеют больше прав, чем француз живущий в США, или Германии, да вообще где угодно кроме франции.

Глупо, что этим пользуются поисковики и прочие сайты и приложения которым нужно привязать меня к стране. Мне постоянно гугл выдаёт ссылки на Озон. Нахрен он мне тут усрался? У меня и айпишник не российский и все остальные стандарты в локали выставлены под страну в которой живу, но локаль языка ru_RU. И «вали на свой озон». Я каждый поиск пролистываю дальше, до местных магазинов. Детали искать такое себе удовольствие. Хоть бы амазон предлагало. В каждом магазине тоже «доставка в Москву невозможна»… Задрали. Все опираются на этот националистический стандарт запирающий носителей языка внутри определённого региона.

Зачастую в этом и проблема, автор считает дискриминацию норм.

Бери калькулейт.

В альте пропатчили

NOTABUG

Любят они в альте функциональность ломать.

А если по центральному телевидению официально не объявят, что эти проекты говно - уже не считается?

Ну да.

после того как проект обосрался, никто не перестанет им пользоваться

Ну, xsnow вызывает привыкание. А когда есть альтернативы - то вполне можно и перестать.

1. Зачем ты это смотришь?

2. В Питере родственники какого-то бомжа мне рассказывали, что у части питерских бичей/бомжей всё то же.

3. Наверно, такой специальный git предполагает, что тебе это приложение точно не нужно...

Я под это спал :)) ютуб иногда подкидывает этакое. Я смотрел канал про заброшенные российские города и деревни, уснул, просыпаюсь,а тут это… Просвещаться надо.

А приложение действительно оказалось «лишь бы вы к нам зашли и увидели какие мы тут все радужные»

Смотри https://ru.wikipedia.org/wiki/Медленное_телевидение (в конце есть примеры). А то «я лежал раскрыв рот, какой то мудило сунул мне в рот какую то дрянь, я отравился, как жесток этот грубый мир».

Между сном и несном нет границы, черты,
Лишь прибоя волнами пучимая пена.
Мотается старая плёнка -
Поцарапано-нежная Лена средь цветов улыбалась опять,
Мы летели, кругом рассыпалася гладь васильков...
А тут раз тебе,
В морду!
Пидоры!
Пидоры!
Грязь!
В морду говном - хрясь...
Реальность...

Ну вон тебе отечественного я выше скинул. Это из кальки. При условии, что 99% кода из бинхостов давно, конкретно xsnow не собран и берется родной гентушный и тянется с источника автора, со всеми вытекающими проблемами.

Чем бы дитя не тешилось, лишь бы rm -rf / в зависимости от локали не запускало.

ЯННП, хорошо, попробую. ещё раз. Почитай статью. Посмотри ссылки. Начни смотреть видео по 5-10 часов каждое. Начни смотреть каналы на которых кроме такого видео нет ничего (например канал «rail cow girl», или у японцев такого очень много).

Дурачусь. Я думаю, не осталось людей в интернете, которые не знают про длинные видео для сна/йоги/работы на ютубах.

А вообще я не специально заснул. Почему мы вообще это обсуждаем? Гораздо важнее тема про локали.

Ээ.., я что-то говорил о засыпании? Ты посмотрел? Видео «для сна» это видеожвачка. Это мусор. Ты вообще осознаёшь, что глядя из кабины транспортного средства ты видишь реальность?

тема про локали

Это прикладные вопросы. Что в этом может быть интересного?

Ээ.., я что-то говорил о засыпании? Ты посмотрел?

Эээ… Тогда у же я ННП. Ну да ладно. Мир не справедлив и это срочно надо исправить.

Если ты начнёшь смотреть slow tv то это во первых положительно скажется на твоей психике а во вторых положительно скажется на истории просмотра. Поэтому включай это на телевизоре и пусть крутится всегда. Иногда будешь смотреть, иногда будет в фоне играть.

Скорее всего, в астре цельнотянутый из дебиана пакет, что добавляет лулзов. Но надо бы проверить.