Захват контроля над snap-пакетами, связанными с просроченными доменами

Очередная говнопомойка, завязанная на пакеты в обход репозитория, которые никто не проверяет оказалась решетом. Какой сюрприз

Ответ на вопрос, на который я не успел ответить

Это тематическая картинка, сгенерированная ИИ, с неправильным значком ubuntu one и неправильно написанным «undid it» / «undo it» (отменить), в виде кнопки на клавиатуре :-)

Поделом эту клоаку.

тут впору цитировать анекдот про «зоркий глаз» :-)

потому-что атака стара как DNS.

dataman, а можно убрать этот мусор или заменить на какой-нибудь логотип Snap и т.п.? (есть же у него какой-то логотип?)

dataman, а можно убрать этот мусор или заменить на какой-нибудь логотип Snap и т.п.? (есть же у него какой-то логотип?)

Я сначала так и пытался сделать, но там глазу совсем не за что зацепится, что-то типа белой «u» на синем квадратике, есть еще убогий логотип снап-крафт, короче безыдейное все какое-то и не в тему, так что решил просто сделать большую кнопку отмены неправильных снап-пакетов ))))

атака стара как мир. сам как-то учетку в твиттере на себя переделывал ради спортивного интереса (там заброшенный акк был).

защита от такого вектора атаки не сильно сложная - на момент регистрации аккаунта не только валидировать емейл, но смотреть срок годности домена с последущей ревалидацией аккаунта (проверять если домен продлили, то все хорошо, если заново регистрировали - фризить акк)

Ну и зря. Конечно, можно этот логотип в гимпе нанести на пылающий мусорный контейнер, но лучше постить без картинки вообще, чем с таким слопом.

Ну и зря. Конечно, можно этот логотип в гимпе нанести на пылающий мусорный контейнер, но лучше постить без картинки вообще, чем с таким слопом.

Я рисовать не умею, а без картинки или в пэйнте - это некрасиво, а тут идеально мне кажется сошлось качество и тематика картинки с ИИшностью и содержанием новости. Как говорится «минус на минус» мне кажется «дал плюс»)))

контроль за существующей учётной записью

контроль над существующей учётной записью

Что за загагулина на картинке? o_0

Что за загагулина на картинке? o_0

Это тематическая картинка, сгенерированная ИИ, с неправильным значком ubuntu one (предположительно, а также похоже обозначается снап-крафт) и неправильно написанным «undid it» / «undo it» (отменить), в виде кнопки на клавиатуре :-)

Спрашивайте ИИ короче, но он сам не сильно в курсе что нагенерил)))

ЗЫ я его молил сгенерировать что-то вменяемое, это лудшее что вышло)))

Snap не нужен.

заменить на какой-нибудь логотип Snap

Заменил на Википедийный.
Я, кстати, удалил мой первый комментарий тут. Зря, оказывается. :)

Я, кстати, удалил мой первый комментарий тут. Зря, оказывается. :)

А я все равно ответил на него)))

это лудшее что вышло)))

Пожалуйста, больше так не делай.

Не повод тащить нейрослоп в новость.

Туда этому убунтовскому NIH и дорога. Поиграются и забросят как и предыдущие попытки быть нетакусиками. Очередной эффективный менеджер получит премию за «достижения», свалит в другую контору, пришедший на его место выкинет бессмысленное говно (потому что 2 раза за одно и то же премию не дадут) и перейдут на общепринятые технологии.

Я, кстати, удалил мой первый комментарий тут. Зря, оказывается. :)

Ага =)

Туда этому убунтовскому NIH и дорога. Поиграются и забросят как и предыдущие попытки быть нетакусиками. Очередной эффективный менеджер получит премию за «достижения», свалит в другую контору, пришедший на его место выкинет бессмысленное говно (потому что 2 раза за одно и то же премию не дадут) и перейдут на общепринятые технологии.

Ну да, этот же достигатор не в той фирме работает.

Вот работал бы он в правильной фирме - бессмысленное говно бы водрузилось авторитарным способом, часть пользователей перешла бы на него потому что на него завязано другое смысленное говно, а остальные б свернули по течению, после чего все пели бы хвалебные оды.

Квод лицет лови - нон лицет бови, не так ли?

Блин, «комменты не читай, сразу правь» у меня получилось. В общем, я удалил картинку. Не нужна она тут вообще, никакая. Но да, твоя была получше изначальной. Но тоже не нужна ;)

Теперь вектор атаки сместился в сторону перекупки просроченных доменов, так как в репозитории Snap Store не была реализована проверка актуальности доменных имён, используемых в email-адресах.

Отличная идея, кстати. А почему в репозитории Snap Store не была реализована проверка? Про переписывание и внедрение основных утилит на хрен-знает-чём они озаботиться не забыли. И люди есть, и ресурсы выделены.

snap и flatpak не нужны. AppImage ещё куда ни шло

Зачем фризить акк? Можно предупреждение выдать что почта испортилась и для восстановления больше не годится. А если предупреждение не требуется то вообще можно проверять в момент попытки восстановления (что дата регистрации домена старая).

Чтобы качать snap-пакеты нужно регистрироваться что-ле?! Помойка…

Такое и с crates.io в любой момент могут провернуть, если не уже.

Совершенно справедливо. В минте его вот вырезают, например. Ибо сказано:

God hates Snaps
and Snap enablers

Не качать, а заливать.

Запретить регаться с подкроватными серверами, разрешить только outlook.com, например

Чем аппимадж сильно лучше? Все они решают похожие задачи немного по-разному, все трое пригодны для одного лучше, для другого хуже.

Для меня основной недостаток снапа это завязанность на системдэ, в отличие от флэтпака и аппимаджа.