LINUX.ORG.RU
ФорумTalks

СКАЙП ШЕРЕТО

 , ,


0

1

Ъ: https://news.softpedia.com/news/skype-for-debian-could-allow-attackers-to-com...

!Ъ: ЛОРовские истерички из софтпедии обнаружили, что помойка из левых репозиториев — это потенциальный вектор атаки на систему, в чём, конечно, виноват негрософт и лично Наделла. В пикантных подробностях описано, что вдруг случится, если приватные ключи мейнтейнеров Debian негрософт-овец вдруг утекут в чужие копыта.



Последнее исправление: Deleted (всего исправлений: 1)

что помойка из левых репозиториев — это потенциальный вектор атаки на систему

А система конечно представляет собой надутый, не починяемый, управляемый извне резинватив, фатально протыкаемый любой колючкой в любой софтине.

Napilnik ★★★★★
()

Он итак все твои разговоры и переписки на серверах мелкософта хранит, куда уж более, этого одного тебе мало?
Ще пофиг на их какие-то ключи, он никому не нужен.

fehhner ★★★★★
()

По такому принципу Chrome тоже решето. Это от него в скайпе привычка свой репозиторий прописывать.

i-rinat ★★★★★
()

Проблема, в общем-то, не в скайпе. Виноват тут APT, который позволяет любому стороннему репозитарию устанавливать любой пакет поверх системных если их номер версии выше.

В нормальных дистрах добавление сторонних репозитариев не позволяет молча заменять пакеты из других реп при апдейтах.

DawnCaster ★★
()

Следующая дыра в безопасности видимо будет обнаружена в клавиатуре. Ведь злоумышленник может подкараулить пока пользователь отойдет от компа, после чего с помощью клавиатуры получить полный доступ к системе.

morse ★★★★★
()
Ответ на: комментарий от DawnCaster

Тот же yum тоже позволяет. И emerge. И вообще любой пакетный менеджер на моей памяти.

Deleted
()
Ответ на: комментарий от DawnCaster

Единственный дистр с прикреплением софта к веткам репозиториев - это зюзя. Но ей же пользоваться невозможно без стпопиццотов репозиториев. А. есть ещё же гуикс, но они наркоманыыы...

Deleted
()

а где пруф, что они лоровские?

Deleted
()
Ответ на: комментарий от Deleted

зюзя

Её и имел ввиду. Боялся что заплюют, если начну открыто пиарить.

есть ещё же гуикс

Это который на Nix'е основан ? Он чем-то лучше официального NixOS ?

Также есть ещё QUBES. Думаю, там данной проблемы тоже нет.

DawnCaster ★★
()
Последнее исправление: DawnCaster (всего исправлений: 2)
Ответ на: комментарий от bodqhrohro_promo

Выполняются, конечно. И это тоже дыра в безопасности. Но в описанном случае - дела обстоят ещё серьезнее.

DawnCaster ★★
()
Ответ на: комментарий от Deleted

Не думаю, что в guix еще не завезли оверлеи.

t184256 ★★★★★
()
Ответ на: комментарий от pacify

Ни разу не видел спама на личный скайп, хотя он засвечен много где. (Предложения от херок за спам не считаю). Вот на рабочий буквально через месяц после создания стукнулся какой-то чат-бот, хз вообще, как.

bodqhrohro_promo
() автор топика

Так можно же перепакетить. Вот пример как можно перепакетить Skype для Магейи из .deb пакета:

$ cat skypeforlinux-64-bin.spec
Name: skypeforlinux-64-bin
Version: 9999
Release: 1%{?dist}
BuildArch: x86_64

Summary: Skype is a telecommunications application software product

License: Proprietary
Source0: skypeforlinux-64.deb

%description
Skype is a telecommunications application software product that specializes in
x providing video chat and voice calls between computers, tablets,
 mobiledevices, the Xbox One console, and smartwatches via the Internet and to
 regular telephones.

%install
cd %{buildroot}
ar x %{_sourcedir}/skypeforlinux-64.deb
rm control.tar.gz debian-binary _gpgbuilder
tar xvf data.tar.xz
rm data.tar.xz

%files
%defattr(-,root,root,-)
/usr
/opt

saahriktu ★★★★★
()
Последнее исправление: saahriktu (всего исправлений: 1)
Ответ на: комментарий от bodqhrohro_promo

Ни разу не видел спама на личный скайп, хотя он засвечен много где.

Да у меня часто было - какие-то левые люди по несколько человек за месяц тупо добавляют делают запрос авторизации, добавляя меня к себе, и молчат.

pacify ★★★★★
()
Ответ на: комментарий от DawnCaster

Это ты правильно боялся. Но заплюют за любой дистр :)

Deleted
()
Ответ на: комментарий от saahriktu

Агитиравай-агитиравай :) Я и-за тебя уже слазил, скачал Магею, завтрева попробаваим.

Deleted
()

Мне сегодня пришло письмо, что я мол использую версию 7 и пора обмазаться версией 8. Прислали письмо, что нужно обновить софт, карл! Майкрософт подозрительно неравнодушна к тому, будет ли обновляться их зонд.

goingUp ★★★★★
()
Ответ на: комментарий от DawnCaster

QUBES

Это обычная федора с нескучными обоями. А просто под виртуалкой запускать скайп можно и в дебиане, и в любом другом дистрибутиве

TheAnonymous ★★★★★
()
Ответ на: комментарий от goingUp

К потере клиентов после ВНЕЗАПНОГО отключения 7-й версии она неравнодушна. Кстати, какая ещё такая 7-я версия, ты что — виндузятник?

bodqhrohro_promo
() автор топика
Ответ на: комментарий от goingUp

Шта? После 4-й, которая на Qt, вышла 5-я, которая суть тупая обёртка для web.skype.com, то есть ненужно. После 5-й сразу вышла 8-я, которая тоже на Electron, но переписана и пытается косить под нативное приложение. А 7-ю ты где откопал?

bodqhrohro_promo
() автор топика

А причем тут именно скайп? Хромой тоже так делает (добавляет свою репу в /etc/apt/sources.list.d). Да абсолютно любой *.deb при установке может сделать неведомую хренотень с системой в preinstall/postinstall.

KennyMinigun ★★★★★
()
Ответ на: комментарий от ashot

В радио-мышах уже находили.

А что можно полезного с радиомышей взять?

С клав хоть пароли можно попробовать вытянуть.

Serg_HIS
()
Ответ на: комментарий от Serg_HIS

Предполагаю, что радио-мышь можно перехватить и подключить вместо нее свою. Отвлекаем юзера и делаем, что хотим.

hunter-12
()
Ответ на: комментарий от goingUp

они ж там сообщили заодно, что срок поддержки заканчивается и потом 7, кажется, должна перестать работать. Я обновился, чтобы потом не забыть. Но окно чата от окна контакта что-то теперь не отделяется. Да и выглядит он, что ожидаемо, как его же веб-версии.

grem ★★★★★
()
Ответ на: комментарий от burato

Предложи альтернативу.

Я над этим работаю :)

Хотя моё «шерето» туда тоже будет иметь своё отражение ;)

Serg_HIS
()
Ответ на: комментарий от Serg_HIS

А что можно полезного с радиомышей взять?

Внезапно, симулировать ввод с клавиатуры. MouseJack.

ashot ★★★★
()
Ответ на: комментарий от eternal_sorrow

Скайп по крайней мере не пиарит себя как секурный-приватный-опенсорсный-диджитал-резистенс. А телега пиарит. Хотя по всем этим параметрам она на уровне скайпа, если не хуже.

entefeed ☆☆☆
()
Ответ на: комментарий от entefeed

В шкайпе есть:

  • поддержка несистемных проксей;
  • шифрованные чаты (не, оно понятно, что GPG можно поверх любого канала коммуникаций гонять, но за такое и забанить могут);
  • открытый (не отревершенный и иногда ломающийся) протокол, на котором можно запилить заслуживающий доверия клиент

? Раз нет, то схрена ты её сравниваешь со шкайпом? Телега, конечно, говнецо попсовое, но не до такой же степени!

bodqhrohro_promo
() автор топика
Ответ на: комментарий от bodqhrohro_promo

В скайпе нет, по крайней мере не было, однозначной привязки к самой анально огороженной системе - мобилке, телефонному номеру и опсосу.

открытый

Сервера уже открыли? Я свой поднять смогу, ну чтобы в обход ушлого Пашки, который просит верить ему на слово, а сам хрен знает что делает с моими данными и неизвестно кому их выдает?

Пока эти два минуса не устранены ваш тележный кал это хонейпот для быдла, а вся разница со скайпом лишь в том, что скайп открыто заявляет что он для быдла, тогда как телега строит из себя якобы диджитал резистенс, на пиар которого купиться может только явный лох. Я все сказал.

entefeed ☆☆☆
()
Ответ на: комментарий от entefeed

к самой анально огороженной системе

Ты уж определись, о секурности говоришь или о криптоанархизме. Секурность состоит в том числе в том, чтобы аккаунт было сложнее угнать. В странах, где мобилка надёжно привязывается к пачпорту и где её нельзя просто так перевыпустить на другое лицо — вполне даже секурно, утеря симки не более страшна, чем утеря банковской карты. Волна взломов аккаунтов на ВиО в своё время задела именно лохов без 2FA — им просто сбрутили пароли.

Сервера уже открыли?

Это ничего не даст, если они выложат какие-то сырцы — нет гарантии, что на серверах то же самое. Причём эта проблема не решена в принципе, не только в телеграме.

Я свой поднять смогу

Да пожалуйста — на гейхабе где-то валяется неблохая реализация сервера на Go, натравливаешь клиент на свой DC — и усё.

скайп открыто заявляет что он для быдла

Вот, кстати, да, у них одно время на глагне были какие-то лыбящиеся латиносы с индусами, с явно не интеллектуальными рожами, у меня аж бомбануло.

на пиар которого купиться может только явный лох

Лохи на бесплатные создаваемые юзерами стикеры бегут, а ты как думал? В шкайпе вон вообще никаких нету пока, хотя много других вкусняшек уже успели навезти (цепочки сообщений, мультимедиа, меншоны, иконки позиций прочтения в групчатах).

bodqhrohro_promo
() автор топика
Ответ на: комментарий от bodqhrohro_promo

Секурность состоит в том числе в том, чтобы аккаунт было сложнее угнать.

А в том числе и не в том. Теоретически помогает от угона (на самом деле нет), в то же время дает шанс на утечку конфиденциальной инфы. Сколько уже историй про запаленные через телегу номера было. А в условиях тотальной гебни спаленный номер это считай все, приехал, и если несколько лет назад еще слышались отговорки вида «купи у бомжа и положи на полку», то сегодня они стремительно тают.

Это ничего не даст

Это по крайней мере даст возможность слепым тележным фанбоям четко говорить что телега опенсорс, и не юлить сракой как ты делаешь сейчас. Если надо реверсинижинирть все подряд то по такой логике и скайп опенсорс, а чо, зареверси клиент, потом зареверси сервер, выложи на гитхаб. Опенсорс? Опенсорс.

на гейхабе где-то валяется неблохая реализация сервера на Go

Это который с жалкими 200 звездочками, документацией на мунспике и секретными чатами в ТУДУ? Опенсорс уровня телеграма.

Лохи на бесплатные создаваемые юзерами стикеры бегут, а ты как думал?

В данном случае лохи, читай адепты диджитал резистенс, бегут на голословные заявления о приватности, секурности и надежности, даже не задумываясь а есть ли они там. Это даже худший подвид лохов чем те что бегут на стикеры.

entefeed ☆☆☆
()
Ответ на: комментарий от entefeed

на утечку конфиденциальной инфы

Так нехрен из телефона конфиденциальную инфу делать. При совке, видите ли, все в телефонных книжках светились, а сейчас в прятки играются. При том, что номера тоже брутом перебрать просто, это очень ограниченный набор циферок.

в условиях тотальной гебни

Тебя посодют, а ты не воруй. Именно всякие бандюганы, наркоторговцы и террористы дискредитируют защиту приватности. Нормальному человеку от гебни прятаться незачем, ему просто хочется, чтобы за сокровенным не подглядывали.

даст возможность слепым тележным фанбоям четко говорить

А толку? Если у тебя после пьянки болит задницу — от узнавания того, бутылку туда засовывали или HLEN, легче не станет.

по такой логике и скайп опенсорс

По такой логике ReactOS, Mono, OpenJDK и Gnash опенсорс, например.

с жалкими 200 звездочками

Вот ты и спалился, лайкодрочер.

документацией на мунспике

Англофашист? Вон у Vue.js документация на китайском.

и секретными чатами в ТУДУ

Так в шкайпе их тоже нету же.

бегут на голословные заявления о приватности, секурности и надежности

Пруф.

bodqhrohro_promo
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.