Google как бы не дремлет, $USERNAME!

А что так нервничать? Два зонда не помещаются что ли? :)

Ты бы поснифал, что они шлют.
Потому что если это только обновления - то и хорошо, что оно так есть.

При установке любого яблочного продукта на винду предлагают установить службу обновлений. При отказе - она все равно ставится и запускается.

какой там два, когда я открыл список правил фаервола и обнаружил несколько десятков правил с именем ksfetch (deny all connections, deny dns resolving, deny filesystem operations) сразу появились смутные подозрения, что здесь что-то не так. а ты пробовал засунуть больше одного зонда себе в попку?

Я даже один не пробовал ни разу, а что, если больше одного и разных фирм, то кайф не тот?

Даже если на момент сниффа они шлют только обновления, где гарантия, что в нужный момент это не будет что-то другое?

Даже если на момент сниффа они шлют только обновления, где гарантия, что в нужный момент это не будет что-то другое?

Такая же гарантия, как и во все остальных обновлениях ;)

В обновлении софта через пакетный менеджер гарантия — код пакетного менеджера. Если бы был исходник этого ksfetch, тогда можно было бы сказать точно. Если конечно он не состоит из вытягивания бинарника с гуглосервера, который мы проверить не можем :)

поснифать-то поснифаю... но почему оно ведет себя как троян? Хорошее дело браком не назовут! А вдруг ОДНАЖДЫ оно решит само поснифать что-нибудь на компе, и отправить в NSA? Тут уже дизассемблер-фу надобно иметь :-(

Кроме того, популярные фаерволы (которых аж два: little snitch и hands off) умеют блокировать только экзешники с постоянным расположением, т.ч. если уйти от компьютера на часик-другой в сортир, то по возвращении весь экран будет загажен сообщениями от фаервола «приложение хочет dns, приложение хочет доступ в сеть, приложение хочет писать и читать файлы, разрешить?». (до твоего ответа фаервол не разрешит ksfetch'у делать ничего, хром сделает еще один ksfetch в другой директории, фаервол опять не разрешит ему ничего и опять сделает диалоговое окно с подтверждением... итп в течение всего времени пока ты не подойдешь к монитору и не прокликаешь добавление правил)

Таким образом, гугл пичкает компьютер аппами, ведущими себя как типичный троян.

Вот это неожиданность!

Если конечно он не состоит из вытягивания бинарника с гуглосервера, который мы проверить не можем :)

в этом он и состоит :) Правда, если юзверь не добавлен в @wheel или другую группу с беспарольным sudo (у меня добавлен, лол), ОС все равно будет надрывно кричать по поводу запуска этого бинарника с рутовыми привилегиями, да и фаерволы, наверное, тоже.

Ну тогда однозначно выпиливать, увы.

популярные фаерволы (которых аж два: little snitch и hands off)

А на этих ваших линуксах есть что-то похожее и гуёвое?

Тут один поинтересовался уже, заклевали и сказали «ко-ко-ко нинужно».

А шо, фаерволы под яблось не умеют режим, запрещено всё, что не разрешено?

умеют конечно. Но как тогда пользователь догадается, что какому-то из нужных приложений внезапно захотелось в сеть? В линуксе та же проблема, жутко бесит, хочу гуй. Может быть, под линуксом хромиум тоже плодит тыщи этих самых ksfetch'ей, а никто с политикой «разрешено все» и не знает об этом.

Теперь мы знаем имена сразу двух компаний, продуктами которых лучше не пользоваться:)

А шо таки хромиума нет под макось?

Я помню, что тоже где-то интересовался. А тема-то была актуальна ещё в 2005.

яблочные проблемы

Cgroups. В крайнем параноидальном случае - отдельная виртуалка.

ваш К.О.

ахха-ха, оно еще и порты меняет!

Это ты нам щас про венду рассказал или про всё?

включая Хромиум

Что-то не наблюдал у дебиановского хромиума.

поснифать-то поснифаю... но почему оно ведет себя как троян? Хорошее дело браком не назовут! А вдруг ОДНАЖДЫ оно решит само поснифать что-нибудь на компе, и отправить в NSA? Тут уже дизассемблер-фу надобно иметь :-(
Кроме того, популярные фаерволы (которых аж два: little snitch и hands off) умеют блокировать только экзешники с постоянным расположением, т.ч. если уйти от компьютера на часик-другой в сортир, то по возвращении весь экран будет загажен сообщениями от фаервола «приложение хочет dns, приложение хочет доступ в сеть, приложение хочет писать и читать файлы, разрешить?». (до твоего ответа фаервол не разрешит ksfetch'у делать ничего, хром сделает еще один ksfetch в другой директории, фаервол опять не разрешит ему ничего и опять сделает диалоговое окно с подтверждением... итп в течение всего времени пока ты не подойдешь к монитору и не прокликаешь добавление правил)

Енжой ер мак ос.

ахха-ха, оно еще и порты меняет!

Внезапно, любое клиентское приложение биндится к рандомному порту как правило. Посмотри на браузеры и прочие аськи.

Потому что если это только обновления - то и хорошо, что оно так есть.

Даже если только обновления нехорошо, когда они ведут себя как трояны.

В обновлении софта через пакетный менеджер гарантия — код пакетного менеджера.

который непонятно кем и какой национальности написанные файлы тянет с сервера. гарантия так гарантия

Пакеты подписаны известно кем, можно посмотреть другие его пакеты. В source-based дистрах тянутся исходники, которые еще и собираются в sandbox-окружении для безопасности.

$ echo $USERNAME

На %хабр%.

и при чем тут пакетный менеджер? одновления гугла подписаны гуглом, можешь посмотреть другие его программы.

Где я могу достать подпись гугла чтобы сверить? Ну и да, гугл как бы известен своей подлостью, ему нет смысла доверять.

Где я могу достать подпись гугла чтобы сверить?

http://dl-ssl.google.com/linux/linux_signing_key.pub

подлость гугла вообще не имеет никакого отношения к пакетному менеджеру. я бы вот не особо доверял людям, которые продолжают дело человека, порешившего собственную жену, и чо?

которые продолжают дело человека, порешившего собственную жену, и чо?

Можешь запретить ПМ ставить пакеты с их подписью. А теперь попробуй сделать так же с гуглом.

Где сказано, что троян?

Доказательство воровства данных?

Как так нет?

Пустозвон.

ты не передергивай, а объясни мне чем, кроме твоих религиозных взглядов, пакеты гугла отличаются от пакетов васи пупкина.
при чем не просто так, а настолько что «в обновлении софта через пакетный менеджер гарантия — код пакетного менеджера»

Повторюсь. Пакеты не отличаются. Отличается подход к обновлениям. Код пакетного менеджера гарантирует, что будет производиться только установка обновлений, а не отправка статистики, rm -rf / или еще что-то. Плюс пакетный менеджер позволяет тебе явно указать, какие (и чьи) обновления ты хочешь получать, а какие нет.

Повторюсь. Пакеты не отличаются. Отличается подход к обновлениям. Код пакетного менеджера гарантирует, что будет производиться только установка обновлений, а не отправка статистики, rm -rf / или еще что-то. Плюс пакетный менеджер позволяет тебе явно указать, какие (и чьи) обновления ты хочешь получать, а какие нет.

Чего он гарантирует? В пакете любой скрипт можно написать, и пакетный менеджер его запустить, да ещё и с правами рута. И в загрузку что-нибудь может прописать.

Linux ни разу не безопаснее Винды.

В пакете любой скрипт можно написать

Для кого я про подписи рассказывал? Есть мейнтейнеры, к ним есть доверие. Если кто-нибудь пропустит такой скрипт, его выгонят исусьими тряпками оттуда.

и пакетный менеджер его запустить, да ещё и с правами рута

Про sandbox я тоже видимо стенке говорил.

Для кого я про подписи рассказывал? Есть мейнтейнеры, к ним есть доверие. Если кто-нибудь пропустит такой скрипт, его выгонят исусьими тряпками оттуда.

я у тебя просил кроме религии. ну выгонят васю пупкина - сильно тебе это поможет когда будешь с забитым мусором винтом и угнанными паролями сидеть?

Каким мусором? Его выгнали, пакет в репозитории не попал. Ну разве что ты из тестеров, которые проверяют его в нестабильной ветке, но им терять нечего.

ну выгонят васю пупкина - сильно тебе это поможет когда будешь с забитым мусором винтом и угнанными паролями сидеть?

Если там будет забивание винтов и угон паролей, то васю не выгонят, вася отправится на нары со скоростью света - никого искать не надо, улики все уже собраны, ни один следак от такого подарка не откажется, заодно раскрыв жестокое убийство в 1666 году и завтрашнее изнасилование.

то, что ты поехавший и уверен, будто гуглу выгоднее терять репутацию из-за обнаруженного в их софте трояна, чем какому-нить свихнувшемуся автору ppa или мейнтейнеру какого-нибудь мажорного репозитория, ни капли не приближает тебя к твоему первоначальному высеру про пакетный менеджер-контрацептив со стопороцентной гарантией.

еще раз: во всех репозиториях абсолютно все упирается в людей. в случае опенсорса - в людей, которые тебе ничего не обещали, ничего не должны, и о которых ты в 99.9% случаем ничего не знаешь. пакетный менеджер схавает все, что они туда напихают, и не подавится.

ИТТ явно демонстрирует конфликт зондов в условиях нерезинового отверстия.

Гуглу терять нечего, у него и так репутация одного большого трояна. И таких обнаружений уже было не одно и не два.

во всех репозиториях абсолютно все упирается в людей

Именно. Люди пишут код, другие люди его собирают и подписывают, третьи тестируют. И только потом код попадает к тебе. А не с первой инстанции в случае гугла, в этом и смысл. Конечно, теоретически возможен сговор автора пакета, мейнтейнера и всех кто тестирует нестабильную ветку дистрибутива. Но на такой риск можно пойти.

во всех репозиториях абсолютно все упирается в людей

А чего ты хотел. Если включить мозг, есть только 3 варианта.

1. Ты все проверяешь сам (генту например может качать исходники прямо у автора, при тебе патчить и собирать).
2. Ты доверяешь людям, тому что они положили в репозитории и как потестировали.
3. Ты расслабляешься и получаешь удовольствие в случае проприетарного софта.

Невозможно получать удовольствие, пользуясь проприетарным ПО.

Невозможно получать удовольствие, пользуясь проприетарным ПО.

неправда. виндузятники смотрят на тебя с непониманием.

Ну я же за себя говорил.

Для кого я про подписи рассказывал? Есть мейнтейнеры, к ним есть доверие. Если кто-нибудь пропустит такой скрипт, его выгонят исусьими тряпками оттуда.

Если заметят. А есть ещё куча сторонних реп, и хомячки, которые их подключают не глядя.

Про sandbox я тоже видимо стенке говорил.

Sandbox в иксах невозможен до тех пор, пока иксы работают под рутом.