История изменений

у арча все так работает:

• загрузочный образ содержит доверенные ключи
• пакман при установке пакетов проверяет их подписи
• ты можешь собственоручно добавить эти ключи, ты можешь их удалить, сами они содержатся в пакете arch keyring.

таким образом:

• тебя могут похекаить через iso-образ арча, изначально скопроментированный, ведь мало кто хеши сравнивает скаченного файла и того что на основном сайте
• тебе могут впарить пакет, который ты поставишь, отключив проверку подписи сам
• ты можешь всякое говно поставить без задней мысли из аура. весь мусор что там валяется, никем не проверяется. там строго говоря не пакеты, а просто pkgbuild’ы, в которых команды баша типа склонировать через git такой-то репозиторий и запустить make. одному богу известно, что тебе поставят в итоге

отсюда рекомендации:

• не использовать российские зеркала
• не ставить ничего из aur, используя вместо него flatpak. там все в контейнерах запускается, те нагадить системе оно не может, но важно понимать, что в хомяке тоже чувствительные данные можно украсть, те же незапароленные ssh-ключи. дебилы на них пароли не ставят, хотя kdewallet/gnome-keyring эти пароли запомнит и будет вводить автоматом, но у них и валеты с кейрингами отключены (тут постоянно эксперты советуют их вырубать), чтобы было можно куки браузера украсть
• если пакет не ставится, потому как подпись неверная, то лучше не ставить его, а зайти на главную арча и почитать новости, может добавили новый ключ (тогда нужно arch keyring переустановить, а пото поставить пакет)… а может тебя хотят похекать

у арча все так работает:

• загрузочный образ содержит доверенные ключи
• пакман при установке пакетов проверяет их подписи
• ты можешь собственоручно добавить эти ключи, ты можешь их удалить, сами они содержатся в пакете arch keyring.

таким образом:

• тебя могут похекаить через iso-образ арча, изначально скопроментированный, ведь мало кто хеши сравнивает скаченного файла и того что на основном сайте
• тебе могут впарить пакет, который ты поставишь, отключив проверку подписи сам
• ты можешь всякое говно поставить без задней мысли из аура. весь мусор что там валяется, никем не проверяется. там строго говоря не пакеты, а просто pkgbuild’ы, в которых команды баша типа склонировать через git такой-то репозиторий и запустить make. одному богу известно, что тебе поставят в итоге

отсюда рекомендации:

• не использовать российские зеркала
• не ставить ничего из aur, используя вместо него flatpak. там все в контейнерах запускается, те нагадить системе оно не может, но важно понимать, что в хомяке тоже чувствительные данные можно украсть, те же незапароленные ssh-ключи. дебилы на них пароли не ставят, хотя kdewallet/gnome-keyring эти пароли запомнит и будет вводить автоматом, но у них и валеты с кейрингами отключены (тут постоянно эксперты советуют их вырубать), чтобы было можно куки браузера украсть
• если пакет не ставится, потому как подпись неверная, то лучше не ставить его, а зайти на главную арча и почитать новости, может добавили новый ключ… а может тебя хотят похекать

у арча все так работает:

• загрузочный образ содержит доверенные ключи
• пакман при установке пакетов проверяет их подписи
• ты можешь собственоручно добавить эти ключи, ты можешь их удалить, сами они содержатся в пакете arch keyring.

таким образом:

• тебя могут похекаить через iso-образ арча, изначально скопроментированный, ведь мало кто хеши сравнивает скаченного файла и того что на основном сайте
• тебе могут впарить пакет, который ты поставишь, отключив проверку подписи сам
• ты можешь всякое говно поставить без задней мысли из аура. весь мусор что там валяется никем не проверяется. там строго говоря не пакеты, а просто pkgbuild’ы, в которых команды баша типа склонировать через git такой-то репозиторий и запустить make. одному богу известно, что тебе поставят в итоге

у арча все так работает:

• загрузочный образ содержит доверенные ключи
• пакман при установке пакетов проверяет их подписи
• ты можешь собственоручно добавить эти ключи, ты можешь их удалить, сами они содержатся в пакете arch keyring.

таким образом:

• тебя могут похекаить через iso-образ арча, изначально скопроментированный, ведь мало кто хеши сравнивает скаченного файла и того что на основном сайте
• тебе могут впарить пакет, который ты поставишь, отключив проверку подписи сам
• ты можешь всякое говно поставить без задней мысли из аура. весь мусор что там валяется никем не проверяется

у арча все так работает:

• загрузочный образ содержит доверенные ключи
• пакман при установке пакетов проверяет их подписи
• ты можешь собственоручно добавить эти ключи, ты можешь их удалить, сами они содержатся в пакете arch keyring.

таким образом:

• тебя могут похекаить через iso-образ арча, изначально скопроментированный, ведь мало кто хеши сравнивает скаченного файла и того что на основном сайте
• тебе могут впарить пакет, который ты поставишь, отключив проверку подписи сам
• ты можешь всякое говно поставить без задней мысли из аура

у арча все так работает:

• загрузочный образ содержит доверенные ключи
• пакман при установке пакетов проверяет их подписи
• ты можешь собственоручно добавить эти ключи, ты можешь их удалить, сами они содержатся в пакете arch keyring.

таким образом:

• тебя могут похекаить через iso-образ арча, изначально скопроментированный, ведь мало кто хеши сравнивает скаченного файла и те что на основном сайте
• тебе могут впарить пакет, который ты поставишь, отключив проверку подписи сам
• ты можешь всякое говно поставить без задней мысли из аура

у арча все так работает:

• загрузочный образ содержит доверенные ключи
• пакман при установке пакетов проверяет их подписи
• ты можешь собственоручно добавить эти ключи, ты можешь их удалить, сами они содержатся в пакете arch keyring.

то образом:

• тебя могут похекаить через iso-образ арча, изначально скопроментированный, ведь мало кто хеши сравнивает скаченного файла и те что на основном сайте
• тебе могут впарить пакет, который ты поставишь, отключив проверку подписи сам
• ты можешь всякое говно поставить без задней мысли из аура