forum.opennet.ru

Составление сообщения

Исходное сообщение

"Разработчики GNOME собираются реализовать самодостаточные па..."
Отправлено zy, 07-Фев-13 02:14

>Могут, конечно. Люди могут ошибаться. Но! Я более чем уверен, что никто по злому умыслу это делать не будет. Если это даже и случится по ошибке или недосмотру, то "троян" будет достаточно скоро обнаружен и удален средствами штатного обновления дистрибутива. Никто посторонний не сможет "подложить" трояна в пакет, поскольку в современных дистрибутивах установочные пакеты как правило имеют цифровую подпись.
Почему вы решили что самодостаточные пакеты не могут быть так же подписаны?
Кроме того обратите внимание на то что даже если мейнтейнер такого самодостаточного пакета соберёт его с трояном(не важно в своей программе или в зависимой библиотеке), то этот троян будет только в этом пакете который, на минутку, выполняется в сэндбоксе, в то время как если мейнтейнер libc решит завтра подложить вам трояна или бекдор какой, у вас вся система будет как одна большая дыра.
>Ну почему не верю - верю. Только вот доверять "левому" источнику пакетов не могу, поскольку не могу быть уверен в том, что в процесс упаковки программы в пакет не вмешался кто-то еще кроме "майнтейнера самодостаточной программы".
Левому? А как вы делили источники на левые и правые, мне казалось мы уже решили что репозиторий с самодостаточными макетами может иметь все те же механизмы обеспечения безопасности что и традиционные репозитории
>ну не захотел "майнтейнер самодостаточной программы" поправить в своей "самодостаточной программе" пять строчек и вместо этого упаковал древнющую дрявую libastral, которую уже никто никогда не обновит и не исправит
Точно так же мейнтейнер вашего пакета не захотел подправлять эти несколько строчек, и сегодня этого пакета вообще уже нет в репах, в то время как самодостаточный пакет вы поставили и видите что ага, в нём libastral уязвимой версии, надо бы не работать просто в этой программе с важными данными, а остальное не важно, ведь она, на минуточку, выполняется в сэндбоксе
> В одной системе ("Не проти ночі згадуючи") уже есть "библиотечный ад", давайте и в нормальных системах разведем, а то не солидно как-то...
Не солидно будет если реально из этого сделают то же что в той системе, но если сделать всё грамотно, то идея самодостаточных пакетов очень даже не плоха, и решает многие проблемы которые стоят перед мейнтейнерами дистрибутивов

Исходное сообщение
"Разработчики GNOME собираются реализовать самодостаточные па..." Отправлено zy, 07-Фев-13 02:14
>Могут, конечно. Люди могут ошибаться. Но! Я более чем уверен, что никто по злому умыслу это делать не будет. Если это даже и случится по ошибке или недосмотру, то "троян" будет достаточно скоро обнаружен и удален средствами штатного обновления дистрибутива. Никто посторонний не сможет "подложить" трояна в пакет, поскольку в современных дистрибутивах установочные пакеты как правило имеют цифровую подпись. Почему вы решили что самодостаточные пакеты не могут быть так же подписаны? Кроме того обратите внимание на то что даже если мейнтейнер такого самодостаточного пакета соберёт его с трояном(не важно в своей программе или в зависимой библиотеке), то этот троян будет только в этом пакете который, на минутку, выполняется в сэндбоксе, в то время как если мейнтейнер libc решит завтра подложить вам трояна или бекдор какой, у вас вся система будет как одна большая дыра. >Ну почему не верю - верю. Только вот доверять "левому" источнику пакетов не могу, поскольку не могу быть уверен в том, что в процесс упаковки программы в пакет не вмешался кто-то еще кроме "майнтейнера самодостаточной программы". Левому? А как вы делили источники на левые и правые, мне казалось мы уже решили что репозиторий с самодостаточными макетами может иметь все те же механизмы обеспечения безопасности что и традиционные репозитории >ну не захотел "майнтейнер самодостаточной программы" поправить в своей "самодостаточной программе" пять строчек и вместо этого упаковал древнющую дрявую libastral, которую уже никто никогда не обновит и не исправит Точно так же мейнтейнер вашего пакета не захотел подправлять эти несколько строчек, и сегодня этого пакета вообще уже нет в репах, в то время как самодостаточный пакет вы поставили и видите что ага, в нём libastral уязвимой версии, надо бы не работать просто в этой программе с важными данными, а остальное не важно, ведь она, на минуточку, выполняется в сэндбоксе > В одной системе ("Не проти ночі згадуючи") уже есть "библиотечный ад", давайте и в нормальных системах разведем, а то не солидно как-то... Не солидно будет если реально из этого сделают то же что в той системе, но если сделать всё грамотно, то идея самодостаточных пакетов очень даже не плоха, и решает многие проблемы которые стоят перед мейнтейнерами дистрибутивов

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>>Могут, конечно. Люди могут ошибаться. Но! Я более чем уверен, что никто по злому умыслу это делать не будет. Если это даже и случится по ошибке или недосмотру, то "троян" будет достаточно скоро обнаружен и удален средствами штатного обновления дистрибутива. Никто посторонний не сможет "подложить" трояна в пакет, поскольку в современных дистрибутивах установочные пакеты как правило имеют цифровую подпись.

> Почему вы решили что самодостаточные пакеты не могут быть так же подписаны? 
 
> Кроме того обратите внимание на то что даже если мейнтейнер такого самодостаточного 
> пакета соберёт его с трояном(не важно в своей программе или в 
> зависимой библиотеке), то этот троян будет только в этом пакете который, 
> на минутку, выполняется в сэндбоксе, в то время как если мейнтейнер 
> libc решит завтра подложить вам трояна или бекдор какой, у вас 
> вся система будет как одна большая дыра.

>>Ну почему не верю - верю. Только вот доверять "левому" источнику пакетов не могу, поскольку не могу быть уверен в том, что в процесс упаковки программы в пакет не вмешался кто-то еще кроме "майнтейнера самодостаточной программы".

> Левому? А как вы делили источники на левые и правые, мне казалось 
> мы уже решили что репозиторий с самодостаточными макетами может иметь все 
> те же механизмы обеспечения безопасности что и традиционные репозитории

>>ну не захотел "майнтейнер самодостаточной программы" поправить в своей "самодостаточной программе" пять строчек и вместо этого упаковал древнющую дрявую libastral, которую уже никто никогда не обновит и не исправит

> Точно так же мейнтейнер вашего пакета не захотел подправлять эти несколько строчек, 
> и сегодня этого пакета вообще уже нет в репах, в то 
> время как самодостаточный пакет вы поставили и видите что ага, в 
> нём libastral уязвимой версии, надо бы не работать просто в этой 
> программе с важными данными, а остальное не важно, ведь она, на 
> минуточку, выполняется в сэндбоксе

>> В одной системе ("Не проти ночі згадуючи") уже есть "библиотечный ад", давайте и в нормальных системах разведем, а то не солидно как-то...

> Не солидно будет если реально из этого сделают то же что в 
> той системе, но если сделать всё грамотно, то идея самодостаточных пакетов 
> очень даже не плоха, и решает многие проблемы которые стоят перед 
> мейнтейнерами дистрибутивов

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру