Asgard RC1 на том же старом ноуте

x86 не нужно

Вот — пока все ноют, человек что-то делает =)

Выложи лучше не образ, а профиль archiso, причём на гитхаб (а лучше вместе с оригинальным releng в отдельной ветке, чтобы тебе было удобнее мерджить апстримные изменения, а остальным — диффать относительно них же).

Кстати, какое-то странное субпиксельное ШГ. Не находишь?

И ещё, да, почему не адвайта? Она же милая вроде.

Понимаешь, у меня не только реленг видоизменен вместе с build.sh, но и сам archiso. Подготовка билд-скриптов, чтобы их куда-то выкладывать - совершенно отдельная песня. В принципе, завтра займусь. Но с оригинальным арчисо его уже мержить нельзя, и чем дальше, тем дальше они будут друг от друга отстоять.

Насчет шг - не наблюдается, разверни изображение на полный размер. Если в сжатом виде смотреть - да.

Адвайта проблем с унылыми скроллбарами не решает, а в остальном клиарлукс гораздо менее прожорлив.

но и сам archiso

В смысле, mkarchiso? /* Тогда я как перфекционист предлагаю сконвертировать хак в нормально оформленную фичу и засабмитить в апстрим, но это лонгтерм, да. */

Кстати, да, адвайта ж - это GTK3, а dwb собран под GTK2, так что тем более не подходит.

С самого начала развернул, наблюдается.

А, ну тогда ок.

Э, адвайта — это GTK2/3.

Да, mkarchiso, но этот патч актуален исключительно для x86-only и сделан как временное решение, пока авторы mke2fs не пофиксят свой тупняк в плане образов больше 2048 мег.

Но я так думаю, что mkarchiso будет ещё сильнее перепиливаться. Сильно уж много там лишнего (например, мне не нужен список пакетов и splash сислинукса в готовом образе, но сейчас без них нихрена не собрать)

Тогда я уже не совсем понимаю, о каком хаке идёт речь. Там же всё решается losetup'ом перед mke2fs?

splash сислинукса в готовом образе

Внутри rootfs? Если так, то решается добавлением соответствующего rm -r в root-image/root/customize_root_image.sh.

список пакетов

Который?

Решилось ограничением образа в 2047 мег, особенно когда реально задействовано (со всем мусором, который затем чистится) около 1990. Зачем mkarchiso выделяет на образ +10% от расчетной используемой памяти - лично мне непонятно.

Зачем mkarchiso выделяет на образ +10% от расчетной используемой памяти

Метаданные ФС (разнообразные таблицы, которые в ext2/3/4 имеют фиксированный размер) и прочая внутренняя фрагментация... наверное.

Который?

Сейчас не вспомню, завтра буду перепиливать - точно скажу.

Внутри rootfs? Если так, то решается добавлением соответствующего rm -r в root-image/root/customize_root_image.sh

ЕМНИП, ему нужен этот файл сплэша уже после того, как этот customize_root_image.sh отработал. Причём неважно, что в нём (я оставил пустой файл), загрузчик его уже не использует. Но без его наличия дальше сборка не идёт.

Странно. Но всё равно, было бы неплохо, если бы ты как-нибудь выложил свой профиль плюс модифицированный mkarchiso — в таком виде, в котором их можно легко сдиффать с официальными арчовскими.

Выложу профиль, в котором уже будет этот самый mkarchiso в одном каталоге с build.sh.

P.S. Хотя для 64-битников достаточно заюзать обычный mkarchiso, а из профиля взять только мой оверлей (root-image) и packages.both, модифицировать оригинальные конфиги сислинукса под моментальную загрузку без сплэша и адью. Образ, конечно, будет не 332 мега, а как минимум вдвое больше (мультиарч же), но зато не будут кукарекать «x86 не нужно». Просто я у себя это всё технически не могу воспроизвести, вот и потратил туеву хучу усилий для обеспечения x86-only сборки.

Да, что-то такое я и имел в виду.

Так можно, наоборот, сборку i686 исключить и оставить только x86_64... будет то же самое по размеру.

Почему, кстати, авторы пакета archiso этого не предусмотрели? Сделали бы три ключа для build.sh: build.sh --x86, --x64 и --multiarch. Нет же ж, шовинизм.

Напротив, толерастия — по умолчанию собирается dual =)

...ага, который по понятным причинам можно собрать только с x64-тачки.

Думаю, такие патчи в archiso они точно не примут, разве что делать форк archiso32. :)

А. Хехе, действительно.

Думаю, примут. Они же как-то сами собирают i686, x86_64 и только потом dual... (Хотя могут сказать — «имеющий руки да впилит сам» — а арч как раз для таких...)

Их официальные образы уже давно исключительно dual, может, я плохо искал, но скачать предлагают именно мультиарч.

Блин, и действительно. Я слоупок.

Как решаешь проблему с самописными SSL сертификатами у сайтов, которые отвергает dwb?

Ага, всё, разобрался. В конфиге надо поставить ssl-strict=false.

Угу и мы сразу возвращаемся к проблеме человека-по-середине, потому что в этом режиме dwb будет принимать все сертификаты подряд. А нужно чтобы была возможность доверять какому-либо конкретному сертификату.

По идее необходимо утвердить сертификат на уровень системы, закинув его в /etc/ssl/certs/, но мне так и не удалось заставить dwb доверять например https://gajim.org, поэтому я плюнул и вернулся на тормозной Firefox.

Пиши в багтрекер dwb. Во-вторых, я считаю, что самоподписанные сертификаты имеют право на жизнь.

Зачем скастовал?

[troll-mode]browser-based же[/troll-mode] А вообще, посоветуй неинтерактивный плеер трекерной музыки, чтоб не только локальные файлы читал, но и урлы (дабы не велосипедить что-то там с wget). Mikmod так вроде не умеет.

Прикольно, но смущает база арча.

Чем именно смущает? Оверлей какой угодно накатить можно.

Недоклон ChromeOS?

Иногда лучше жевать.

А знаешь, Ш действительно не Г. В скриншотах минималистичных окружений, которые тут обычно выкладывают это - редкость.

я считаю, что самоподписанные сертификаты имеют право на жизнь.

это бесспорно, только в этом случае сложнее понять, что тебя хакнули, если ты доверяешь ВСЕМ ssl-сертификатам, а не каким-то конкретным(пусть и самоподписанным).

Пример: ты зашел по https на vasya.org, тебе выкинуло предупреждение что сертификат с отпечатком foo - невалидный. Ты говоришь - окей, я доверяю этому сертификату, он точно от Васи.

А потом кто-то встроился посередине и подменил сертификат Васи на сертификат с отпечатком bar. Есть мнение, что dwb с ssl-strict=false прохавает этот сертификат и ты даже не узнаешь что тебя поимели.

Выкидывать предупреждение в стиле: «Эй, у Васи новый сертификат с отпечатком bar, это ок?» было бы неплохо

// сам dwb не пользуюсь на регулярной основе, просто мысли вслух

Ну дык ttf-droid же. В бракузере Droid Sans, в панельках бракузера - Droid Sans Mono.

Жаль что 32 bit. А так ОС для флешки иногда нужная вещь. Бубунту и т.д долго грузится, хотелось бы что-то легкое и красивое, если знаете посоветуйте. :D

Пиши в багтрекер dwb, опять же. Есть случаи успешных MITM-атак с совершенно валидными сертификатами. Есть случаи, когда для шифрования трафика вообще "традиционная" система сертификатов не нужна (man i2p). В данном конкретном случае всё, что я могу сделать - запилить несколько профилей (разных конфигураций) для dwb и тулзу для их переключения (в общем случае, переключение профиля означает не только замену активного конфига, но и запуск/останов сторонних служб, типа того же i2p), среди которых будут различные уровни параноидальности. За чем-то бОльшим - это не ко мне.

Жаль что 32 bit.

Но на 64-bit вполне себе запускается.

Лютое радужное ШГ. Лютее стандартного радужного ШГ. Возможно разный порядок субпикселей.

А в целом непонятно, но интересно, держи нас в курсе.

P.S. там в кошерную консольку доступ есть? Удобный терминал и браузер, что ещё нужно для счастья?

В кошерную нет, есть :run xterm сугубо для отладки, :procview для запуска htop в этом самом xterm, ну и :volctl для альсамиксера.

x86_64 тоже.

Не выложу. Мне не на чем его собирать, понимаешь, НЕ НА ЧЕМ.

Есть случаи успешных MITM-атак с совершенно валидными сертификатами.

Мы сейчас не рассматриваем дыру в библиотеках а-ля OpenSSL или дырявый корневой центр. Вопрос о потенциальной уязвимости в самом dwb. Потому что если она таки есть, то как бы хороши не были библиотеки и вся остальная инфраструктура - пользователя всё равно поимеют.

Есть случаи, когда для шифрования трафика вообще «традиционная» система сертификатов не нужна (man i2p).

Это лежит за пределами обсуждения работы браузера по протоколу https в обычном, большом интернете. i2p и tor безусловно интересные проекты, но речь о 90% www-интернета, который работает по обычной клиент-серверной системе без дополнительных «луково»-«чесночных» прослоек.

В данном конкретном случае всё, что я могу сделать - запилить несколько профилей (разных конфигураций) для dwb и тулзу для их переключения (в общем случае, переключение профиля означает не только замену активного конфига, но и запуск/останов сторонних служб, типа того же i2p), среди которых будут различные уровни параноидальности. За чем-то бОльшим - это не ко мне.

Идея с профилями - зачётная, да. Я к тебе претензий и не выдвигаю - тут чёткий вопрос к апстриму dwb. Я б написал на багтрекер, но я не имею привычку это делать, если я не смогу оперативно потестировать патчи, которые мне предложат разработчики - dwb, как я уже сказал, я на регулярной основе не использую...

Впилил хомячковые вещи (кодеки для HTML5 audio/video, кстати, mp3 и flac тоже, а также говнофлэш и торможабу IcedTea) - образ потяжелел до 400 мег. Блин. Но всё равно постараюсь, чтоб на полгиговую флэшку даже релизная версия уместилась.

Короче, чистый вебкит до блинка таки не дотягивает, но на табличках Audio/Video все видно.

Ну и да, флэш включается отдельно на каждой странице по клику. Так что говнобаннеры, жрущие всё и сразу, не грозят. :)

Втф оверлей в данном контексте?

По сабжу - годно, успехов.

В данном контексте оверлей - то, что помещается на корневую ФС образа непосредственно перед его окончательной сборкой, в случае чего перезаписывая те файлы, что там были до этого после установки базовой системы и всех пакетов.

Спасибо.