Захват контроля над snap-пакетами, связанными с просроченными доменами

Энцефалопатия есть как заболевание. Это органическое поражение мозга вроде (ну а буквальный перевод просто заболевание мозга). Тут патия была :)

А гипоэнцефалокрания — это шуточный диагноз, именно официально его никто заболеванием не признавал.

Они тут не нужны.

У тебя тоже нет обязывающего договора с соседним домом. Но если ты разобьешь окно или украдешь чего нибудь - будут преследовать.

Писателей вирусов тоже преследуют. И тоже без договора.

Поиграются и забросят

Сколько лет оно уже работает?

Такое и с crates.io в любой момент могут провернуть, если не уже.

В сентябре пытались, вроде. Или там что-то другое было?

Ну может быть, контекст там был шуточный. Я попробую найти ролик на ютубе с первоисточником. Водовозов, кажется, в каких-то «ученых против мифов» отжог :)

Водовозов и придумал гипоэнцефалокранию ;)

На УПМ не впервые выпалил, до этого в блоге своём уже писал, если не ошибаюсь.

P.S. Мне ещё нравится слово амбисинистр — тоже его авторства. Это как амбидекстр (дословно обе правые руки), только наоборот (обе левые соответственно) — типа рукожоп :)

Ну ладно, признаю свою неправоту — https://nomen-nescio.livejournal.com/2147943.html

Хедросенс не слышал до этого :)

Хотя может просто не запомнил. Оно несколько менее «красивое» по сравнению с гипоэнцефалокранией и амбисинистром.

Кстати, как ни странно, на ЛОРе почему-то гипоэнцефалокранию, как оказалось, почти никто не употреблял. Помимо этого треда только одно упоминание нашлось, и то от меня: Тебе - тревожно? Насколько? (комментарий)

https://www.linux.org.ru/search.jsp?q=%D0%B3%D0%B8%D0%BF%D0%BE%D1%8D%D0%BD%D1%86%D0%B5%D1%84%D0%B0%D0%BB%D0%BE%D0%BA%D1%80%D0%B0%D0%BD%D0%B8%D1%8F&range=ALL&interval=ALL&user=&_usertopic=on&sort=DATE_OLD_TO_NEW&section=

Абсолютно никакого сочувствия к пользователям снапов не испытал. Наверно, это ужасно.

Да это я догадался, я медицинскую латынь еще в школе немного учил, когда в медицину идти собирался. Только посмотрел на височную кость в атласе и понял, что столько названий я не запомню. Гуманитарный стиль познания — не мое.

Как говорил Марк Твен, «я никому не желаю смерти, но с радостью читаю некоторые некрологи» :)

общепринятые технологии

это что, например?

они все решают немного разные задачи

Например снап единственный более-менее пригоден для демонов, ни флэтпак, ни аппимадж для них не годятся. Поэтому софт для биткоина упакован именно в снап[1]. Флатпак экономит зависимости и поэтому он как раз не жирнее, а тоньше, если у тебя множество пакетов, которые имеют общие зависимости. К тому же эти зависимости будут централизованно обновляться. Аппимадж будет эти все зависимости множить, и за их обновлением должен будет следить автор пакета (чего он делать естественно не будет). То есть аппимадж это такой быстрый хак скорее, зато всего один файл и теоретически везде будет работать.

В общем все они немного по-своему полезны. Но имеют и недостатки и (пока) не могут полностью друг друга заменить.

1. https://bitcoin.org/en/download

Например снап единственный более-менее пригоден для демонов, ни флэтпак, ни аппимадж для них не годятся.

надо очень сильно не дружить с головой, что делать вот это вот.

Поэтому софт для биткоина упакован именно в снап[1]

Вообще как-то до сереневой звезды как на биток так и на остальное подобного типа. Какая-то стремная сфера спекулятивная, которая не обеспечена абсолютно ни чем.

В общем все они немного по-своему полезны.

Я-бы сказал по другому. Они все го-о. Если уж хочется что-то куда-то «упаковать», чтоб потом практически где угодно запустить - уж лучше, пардон муа, использовать докер. Хотя я лично являюсь и противником такого подхода, но для потестить и проверить что и как - более чем годится. А всякую мелочевку - проще и разумнее распространять в deb или rpm

Еще от меня было, но уж в том варианте, как в памяти отложилось. Ну... чтоподелать. :( - Есть ли у вас fuck you money? (комментарий)

Надо брать на вооружение, раз уж ФГМ и бокланопоцтит канули в Лету вместе с SU.KASCHENKO.LOCAL...

Сколько лет оно уже работает?

Сколько лет они возились с юнити и апстарт?

это что, например?

Что является общепринятым для управления пакетами в Debian-derivative? Даже не знаю - возможно что-то однокоренное с Debian? Очень сложная головоломка конечно - боюсь ты не осилишь :-D

уж лучше, пардон муа, использовать докер

Чем лучше-то? Ты, что, серьёзно предлагаешь упаковывать гуй-приложения в докер, например фаерфокс, видеоредактор, видеоплеер и какой-нибудь игрушку (с доступом ко звуку, доступом к GPU, иконками, обработкой MIME, пунктом в главном десктопном меню и т.п.)? Может докер/подман как флатпак умеют шарить зависимости? А как насчёт апдейтов? Во флатпаке/снапе я просто могу сделать апдейт и установить обновления для всех пакетов, вывести список установленного и т.п.

Докер, подман, как и lxc, lxd, incus это тоже всё полезные штуки, но для другого.

проще и разумнее распространять в deb или rpm

Есть спрос на «упаковал один раз - запускается везде». Ни деб, ни рпм, ни даже они оба вместе не решают полностью эту проблему. Докер/подман не решает некоторые другие.

Да оно и понятно, не было бы спроса, не возникли бы flatpak, snap, appimage, был бы везде докер/подман или деб/рпм. Да и снап с флатпаком тоже не отвечают на все вопросы. Потому весь этот зоопарк и возник и продолжает существовать.

Я согласен, что зоопарк это плохо, но по крайней мере для него на сегодня есть объективные причины. Надеюсь со временем это всё как-то устаканится и сократится до минимума. Но пока вот так вот.

ЗЫ я сам навязывание снап не перевариваю и стараюсь им не пользоваться, но иногда проходится

Ты, что, серьёзно предлагаешь упаковывать гуй-приложения в докер

Нет конечно. А ты разве не в курсе, что мне, вообще покласть на десктоп, потому как его, в реальности - нет, а только присутсвует дикий зоопарк? Вот теперь - в курсе - гц! :)

Есть спрос на «упаковал один раз - запускается везде».

Это ты - с операционной системой ошибся, mon cher. для того, чтоб так было - нужна СТАНДАРТИЗАЦИЯ ! так называемое «сообщество», за все годы существования так называемого десктопа на линуксе - так ею и не разродилось. И не разродиться. По определению.

Я согласен, что зоопарк это плохо, но по крайней мере для него на сегодня есть объективные причины.

Нет никаких «объективных причин». есть только глупая самоуверенность людей, которые тянут, каждый на себя, одеяло этого самого десктопного линукса. А в глубине всего этого - ядро, которое НЕ ПОДХОДИТ для десктопной ОС, в силу своей монолитной архитектуры и отсутсвия стандартных интерфейсов, которые меняются в зависимости от вида звезд на небе и наличия, или отсутсвия похмелья в головах разработчиков этого самого ядра.

Сколько лет они возились с юнити

8

и апстарт?

9

Snap существует больше 12 лет — сколько точно, я не нашёл. И пока умирать не собирается.

В целом согласен.

Понятно, что снап/флатпак/аппмимадж глобальные проблемы в ОС ГНУ/Линукс не решают, так как являются по сути своей костылями. Они решают свою узкую задачу пакетирования для приложений определённых типов. Ну и попутно ещё кое-что, для их создателей…

Однако гнобить и хейтить их не совсем правильно. Конкретную пользу они приносят, хотя и маскируют тем самым реальные проблемы, которые никто пока решать не собирается.

контроль за существующей учётной записью

контроль над существующей учётной записью

Охотник за вампиров :)

Очередная говнопомойка, завязанная на пакеты в обход репозитория, которые никто не проверяет оказалась решетом. Какой сюрприз

на самом деле оно все завязано на «любителей» (на самом деле откровенных имбецилов), любящих в «зависимостях» указывать открытые промежутки версий (в т.ч. latest). То что почтовым адресам и доменам свойственно протухать - это никакой не секрет, мы в годы студенчества таким образом 6-значные ICQ получали.

Snap же еще и обновляет это все добро автоматически, да? :)

Т.е. однажды поставил, забыл, автор пакет забросил, его отжали, и к тебе прилетел уже зловред.

Ну Ubuntu она такая, да! Удивительная ОС

Профиль Аппармора можно для любого приложения написать, так что это так себе аргумент. Это больше маркетинг, а что там в профиле написано еще смотреть надо.

И пока умирать не собирается.

Именно поэтому в нём находят тривиальные дыры, давным-давно закрытые в аналогичных системах, ага. Ты хоть смотри где комментируешь-то :-D

Там оно из коробки и это хорошая практика по умолчанию, для того кто собирает не нужно специально писать профиль, чтобы приложение работало с ним. Потом профиля быстро устаревают, а тут как-бы не нужно за этим следить, так как профиль привязан к версии snap core, что позволит его запустить на другой версии ОС с другим стеком и версиями библиотек. Так что это не одно и тоже в плане удобства для мейнтенера. Более того, разраб приложения в принципе не обязан уметь писать к нему apparmor профиль, а тут профиль создается автоматически.

Я им вообще не пользуюсь, поэтому и спросил.

Это всё хорошо, а в профиле-то что написано? Он хоть от чего-то защищает?

Примерно так выглядит

Примерно так выглядит

Лаборатория касперского говорит, что туды нельзя там вредоносно)))))

Не надо мне картинки показывать, я профиля для Аппрамора сам читать и писать умею. Как бы, мне интересно не как это выглядит, а от чего профиль реально защищает.

В /var/lib/snapd/apparmor/profiles/ находятся профиля для конкретных приложений, можешь почитать

На самом деле, даже в той картинке, что ты мне прислал, профиль разрешает полный доступ к сети. А значить это может все, что угодно. И будет твоя захаченная приблуда втихую биткоин майнить :)

Понаделали себе подкроватных почтовиков, а потом слились. Поделом. Элита сразу сидит на gmail и в эти игрушки не играет.

отсутствие какого-то централизованного хаба с AppImage-пакетами

Это правильно. AppImage — это про доверять (не доверять) конкретному автору. Централизация тут не пришей козе баян.

Canonical вновь обосрались

Все они решают похожие задачи немного по-разному

Дело в том, что есть три пути решения этой задачи. На одном пики точёные, на другом нечто иное. И вот третий вариант это как раз аппимадж.

— https://nomen-nescio.livejournal.com/2147943.html

Там этот автор вроде сам на себя принял схиму, огорчённый баном за яростное стремление доносить людям правду (про других). Хотя, может, парень честный и простой, в душе, кто знает…

Что-бы «доносить людям правду (про других)», нужно обладать закаленной в фидо шкурой, непробиваемой всяческими злопыхателями и недоброжилателями. Короче - нужно быть в достаточной мере и доброжелательным и ох-шым одновременно ! :) А ЖЖ… Этож детский сад просто :)

Алан Поуп выявил как минимум два домена (enstorewise.tech и vagueentertainment.com), выкупленных злоумышленниками для захвата учётных записей, но предполагается, что таких случаев намного больше.

Любителям селфхостинга и децентрализованного интернета посвящается. Если бы почта была на популярном E-Mail сервисе вроде GMail или даже mail.ru, то такого бы не было.

Алан Пуп так же нашёл и другие уязвимости snap-пакетов:

1. Плохой пакет;
2. Протухший пакет;
3. Мэйнтейнер подзабил малость;
4. Мэйнтейнер зарегистрировался, используя 10-munite-mail, и забыл пароль, и обновлений теперь не будет;
5. Пароль «пароль».

Правительство США говорит, что Лаборатория Касперского нельзя там вредоносно)))))

Вы не о том. Мы с коллегой CrX устраняли разночтения в понятии «гипоэнцефалокрания. Я искал ссылку на первоисточник, не более того. Коллега DrRulez, к Вам это тоже относится. :)