Захват контроля над snap-пакетами, связанными с просроченными доменами

Очередная говнопомойка, завязанная на пакеты в обход репозитория, которые никто не проверяет оказалась решетом. Какой сюрприз

Ответ на вопрос, на который я не успел ответить

Это тематическая картинка, сгенерированная ИИ, с неправильным значком ubuntu one и неправильно написанным «undid it» / «undo it» (отменить), в виде кнопки на клавиатуре :-)

Поделом эту клоаку.

тут впору цитировать анекдот про «зоркий глаз» :-)

потому-что атака стара как DNS.

@dataman, а можно убрать этот мусор или заменить на какой-нибудь логотип Snap и т.п.? (есть же у него какой-то логотип?)

@dataman, а можно убрать этот мусор или заменить на какой-нибудь логотип Snap и т.п.? (есть же у него какой-то логотип?)

Я сначала так и пытался сделать, но там глазу совсем не за что зацепится, что-то типа белой «u» на синем квадратике, есть еще убогий логотип снап-крафт, короче безыдейное все какое-то и не в тему, так что решил просто сделать большую кнопку отмены неправильных снап-пакетов ))))

атака стара как мир. сам как-то учетку в твиттере на себя переделывал ради спортивного интереса (там заброшенный акк был).

защита от такого вектора атаки не сильно сложная - на момент регистрации аккаунта не только валидировать емейл, но смотреть срок годности домена с последущей ревалидацией аккаунта (проверять если домен продлили, то все хорошо, если заново регистрировали - фризить акк)

Ну и зря. Конечно, можно этот логотип в гимпе нанести на пылающий мусорный контейнер, но лучше постить без картинки вообще, чем с таким слопом.

Ну и зря. Конечно, можно этот логотип в гимпе нанести на пылающий мусорный контейнер, но лучше постить без картинки вообще, чем с таким слопом.

Я рисовать не умею, а без картинки или в пэйнте - это некрасиво, а тут идеально мне кажется сошлось качество и тематика картинки с ИИшностью и содержанием новости. Как говорится «минус на минус» мне кажется «дал плюс»)))

контроль за существующей учётной записью

контроль над существующей учётной записью

Что за загагулина на картинке? o_0

Что за загагулина на картинке? o_0

Это тематическая картинка, сгенерированная ИИ, с неправильным значком ubuntu one (предположительно, а также похоже обозначается снап-крафт) и неправильно написанным «undid it» / «undo it» (отменить), в виде кнопки на клавиатуре :-)

Спрашивайте ИИ короче, но он сам не сильно в курсе что нагенерил)))

ЗЫ я его молил сгенерировать что-то вменяемое, это лудшее что вышло)))

Snap не нужен.

заменить на какой-нибудь логотип Snap

Заменил на Википедийный.
Я, кстати, удалил мой первый комментарий тут. Зря, оказывается. :)

Я, кстати, удалил мой первый комментарий тут. Зря, оказывается. :)

А я все равно ответил на него)))

это лудшее что вышло)))

Пожалуйста, больше так не делай.

Не повод тащить нейрослоп в новость.

Туда этому убунтовскому NIH и дорога. Поиграются и забросят как и предыдущие попытки быть нетакусиками. Очередной эффективный менеджер получит премию за «достижения», свалит в другую контору, пришедший на его место выкинет бессмысленное говно (потому что 2 раза за одно и то же премию не дадут) и перейдут на общепринятые технологии.

Я, кстати, удалил мой первый комментарий тут. Зря, оказывается. :)

Ага =)

Туда этому убунтовскому NIH и дорога. Поиграются и забросят как и предыдущие попытки быть нетакусиками. Очередной эффективный менеджер получит премию за «достижения», свалит в другую контору, пришедший на его место выкинет бессмысленное говно (потому что 2 раза за одно и то же премию не дадут) и перейдут на общепринятые технологии.

Ну да, этот же достигатор не в той фирме работает.

Вот работал бы он в правильной фирме - бессмысленное говно бы водрузилось авторитарным способом, часть пользователей перешла бы на него потому что на него завязано другое смысленное говно, а остальные б свернули по течению, после чего все пели бы хвалебные оды.

Квод лицет лови - нон лицет бови, не так ли?

Блин, «комменты не читай, сразу правь» у меня получилось. В общем, я удалил картинку. Не нужна она тут вообще, никакая. Но да, твоя была получше изначальной. Но тоже не нужна ;)

Теперь вектор атаки сместился в сторону перекупки просроченных доменов, так как в репозитории Snap Store не была реализована проверка актуальности доменных имён, используемых в email-адресах.

Отличная идея, кстати. А почему в репозитории Snap Store не была реализована проверка? Про переписывание и внедрение основных утилит на хрен-знает-чём они озаботиться не забыли. И люди есть, и ресурсы выделены.

snap и flatpak не нужны. AppImage ещё куда ни шло

Зачем фризить акк? Можно предупреждение выдать что почта испортилась и для восстановления больше не годится. А если предупреждение не требуется то вообще можно проверять в момент попытки восстановления (что дата регистрации домена старая).

Чтобы качать snap-пакеты нужно регистрироваться что-ле?! Помойка…

Такое и с crates.io в любой момент могут провернуть, если не уже.

Совершенно справедливо. В минте его вот вырезают, например. Ибо сказано:

God hates Snaps
and Snap enablers

Не качать, а заливать.

Запретить регаться с подкроватными серверами, разрешить только outlook.com, например

Чем аппимадж сильно лучше? Все они решают похожие задачи немного по-разному, все трое пригодны для одного лучше, для другого хуже.

Для меня основной недостаток снапа это завязанность на системдэ, в отличие от флэтпака и аппимаджа.

Решето!

не в той фирме работает

windows10 ★★★★★ (19.01.26 16:45:11 MSK)

Проблемы виндузятников линуксоидов не волнуют.

Не «лови», «йови». От Iupiter, Юпитер. И кроме «лицет» можно так же «ликет» или «личет» – в разные века буква C по-разному читалась, в самом первом варианте как «к».

Получается довольно серьезная нагрузка на инфраструктуру. На каждый аккаунт заводить какой-то вотчдог на время годности домена?

А еще домен могут отозвать раньше срока, или вообще это был частный домен и его DNS перестал отвечать по причине перебоев с электричеством :)

И периодически проверять живость домена тоже не вариант, как минимум надо на стороне проверяющего вести историю владения. Домен может быть жив, да его владелец сменился. Тогда домену можно доверять?

Это была концепция, а не детальная логика. Разумеется, там пачка корнер кейсов. Но оно выруливается и вполне решит большинство сценариев для такой атаки

Для организации атаки — да, а вот защита от такой атаки, — дело довольно безнадежное в общем случае. Тут кроме какого-то тотального контроля софта со стороны ответственного за точку распространения пакетов (см. Appstore), или обязательной подписи, как в случае драйверов для windows, решений что-то не просматривается.

Тут кроме какого-то тотального контроля софта со стороны ответственного за точку распространения пакетов (см. Appstore), или обязательной подписи, как в случае драйверов для windows, решений что-то не просматривается.

Так именно так и должно быть. Иначе какой смысл во всех этих snapstore?

Во первых, проверяют, а во вторых, кто мешает тоже самое делать в репозитории? Это ещё проще, потому что в реках, как раз ничего и не проверяют.

Flatpak и snap сильно жирные, да и тянут за собой слишком большое число всякого оверхеда (особенно могу это сказать про Flatpak, так как пользовался им куда чаще). По поводу недостатка snap согласен - я загружаюсь с внешнего SSD (USB Type-C 3.0 -> SATA 3), и какая-то условная Ubuntu с кучей уже предустановленных snap-пакетов загружается минуты за 2-2.5, в то время как Debian, в котором этого ужаса нет, стартует за 13-15 секунд…

AppImage в целом лучше тем, что работает везде и ото всюду, из зависимостей разве что fuse. Но есть и минус (скорее не AppImage как такового, а криворуких мейнтейнеров) - некоторые особо умные разработчики не кладут в AppImage всех зависимостей, так что не все пакеты будут работать на некоторых дистрибутивах без необходимых пакетов. А некоторые и вовсе ничего, кроме самой программы туда не кладут.

Я бы ещё выделил отсутствие какого-то централизованного хаба с AppImage-пакетами. Не знаю, плюс это или минус. Скорее 50/50.

А зачем доверять доменам? Добавь второй фактор potp и все. Домен забрали, а пароль не заберут.

Ну вот и мне так кажется, иначе это какой-то тупой ведорлок получается, да и тот дырявый.

Да тут не доменам надо доверять или не доверять, а разработчикам. Тут проблеиа шире. Нужна какая-то обязывающая юридическая ответственность за умышленные деструктивные действия.

надо было ставить виндоус

snap-пакетами

Тут другое интересно, что должно быть в голове, чтобы этим пользоваться?

И очередной кривой апдейт нахрен разнесет всю систему! :)

Ну, как сказал один хороший доктор — гипокраниоэнцефалопатия, сиречь недостаток мозга в черепе.

-патия лишнее…

Гипоэнцефалокрания.

Энцефалопатия, кстати, тоже существует, причём реальный термин, не ироничный.

А как у вас — это получается недостаток заболеваний мозга в черепе. Не то, наоборот же, мозга не достаёт, а не болезней оного…

Да тут не доменам надо доверять или не доверять, а разработчикам.

Ну так их аутентифицировать надо. И обеспечить защиту от третьих лиц. Можно по номеру телефона. И второй фактор под защиту.

Тут проблеиа шире. Нужна какая-то обязывающая юридическая ответственность за умышленные деструктивные действия.

Ты шутишь? Она давно уже есть. И гражданская и уголовная.

Я не знаю, есть ли какието обязывающие договоры между Канониклом и разоаботчиками снапов.

Весь цимес в том, что snap позиционируется как более безопасная замена благодаря ограничениям через apparmor, а многие приложения без --classic не работают. Поэтому по умолчанию юзер будет считать snap’ы, более безопасными. А тут такое решето с контролем.

Патия там точно была, поскольку доктор таки признал это заболеванием. Из профдеформации, наверное.