| |
| 2.44, Аноним (44), 15:48, 19/01/2026 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> в репозитории Snap Store не была реализована проверка актуальности доменных имён
Для начала бы мыло проверять научились...
| | |
| 2.132, Аноним (132), 00:31, 20/01/2026 [^] [^^] [^^^] [ответить]
| +4 +/– |
Молодой человек, лицензию на дебаггер предъявите. Что значит, у вас GCC? Вы лицензию на пользование GCC в каком отделении компиляторконтроля получали?
| | |
|
| 1.13, Аноним (13), 14:26, 19/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– | |
>доменных имён, используемых в email-адресах
Почему нельзя было использовать Gmail или Proton Mail ?
| | |
| |
| 2.17, Аноним (17), 14:48, 19/01/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
а почему каноникал получает и отправляет письма с доменов @ubuntu.com и @canonical.com? почему бы им не воспользоваться почтой от gmail или proton mail? чем enstorewise и vagueentertainment хуже? когда регились это домены, фаундеры этих "стартапов" верили что они станут богатыми и популярными, вот так вот всё бросить никто не планировал.
| | |
| |
| 3.30, Аноним (30), 15:17, 19/01/2026 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> с доменов @ubuntu.com и @canonical.com
Потому что за Каноникал стоит Шаттлворт с бабками.
> фаундеры этих "стартапов" верили что они станут богатыми и популярными
А за спиной у них висит кредит на домен и костюм, в котором они вышли, сделать красивое впечатление. То есть, как говорят на раёне - вые..сь. Поэтому не надо никогда вые..ся. Если у вас есть бабки на продление домена на следующие 50 лет - регайте. Нет - не мучайте жо..
| | |
|
| 2.18, LaunchWiskey (ok), 14:51, 19/01/2026 [^] [^^] [^^^] [ответить]
| +7 +/– |
 >>доменных имён, используемых в email-адресах
> Почему нельзя было использовать Gmail или Proton Mail ?
Почта с собственным доменом удобна тем, что её всегда можно перенести в любое другое место на другой сервер, если что. Без невероятных сказочных приключений, которые вас ожидают, как только начнёте уведомлять все организации, компании и онлайн-сервисы о том, что у вас сменился email (многие из них ещё при этом заявят, что смена почтового адреса в их системе в принципе не предусмотрена). Так что почта со своим доменом - весьма полезно в нынешнее время, когда отдельные корпорации или правительства могут внезапно сделать использование вашего прежнего почтового сервера невозможным или неприемлемым.
Я вот только не понимаю, в чем обвиняют Snap Store, ведь при захвате чужого домена к любому сервису можно попробовать получить доступ аналогичным образом?
| | |
| |
| 3.34, Аноним (30), 15:21, 19/01/2026 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> могут внезапно сделать использование вашего прежнего почтового сервера невозможным
Нука, пример в студию?
Я знаю только Протонмейл. Но это почта всегда была для per..ков, никто серьезно ее никогда не воспринимал.
Мейлру подсуетились и внушили всем, что вот сейчас точно всех забанят в Гмыле, поэтому дайте нам почитать всю вашу почту. Но шел 4-й год, а воз и ныне там.
П.С. Про то, что нельзя в определенной стране регистрироваться с иностранной почтой - не надо начинать, надо сперва закон норм почитать, никто не запрещал пользоваться gmail для регистрации.
| | |
| |
| 4.50, Аноним (44), 16:12, 19/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
Пример с Гмайлом: лет 15 назад потерял там акк. "Ваш аккаунт заблокирован из-за подозрительной активности". И всё, никакие формы восстановления доступа не работают. Почта использовалась мож раза два в месяц.
Другой пример: тоже с гуглом, Пикаса: грохнули аж все три фотки и заблокировали - пробовал выкладывать туда фотки из леса - три грибочка. "Удалены за нарушение правил ресурса". Офигеть...
| | |
| 4.156, Аноним (156), 15:07, 20/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
И что не так с Протоном? Его ведь РКН заблокировал, сами они ничего не ограничивали
| | |
|
| 3.58, NIL (?), 16:49, 19/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
Есть только один или два подводных камня, первый то что сервисы могут не принимать мыло если оно не от популярного провайдера, а второе то что домен надо брать в популярных зонах типа ком,орг,нэт... я себе купил домен в зоне .email, а оказалось половина сервисов не считают это даже мылом еще на этапе валидации, потому что скопипастили регулярку где разрешено в домене только три символа или вообще ограничение по зонам
| | |
| 3.72, Аноним (132), 17:15, 19/01/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>Я вот только не понимаю, в чем обвиняют Snap Store, ведь при захвате чужого домена к любому сервису можно попробовать получить доступ аналогичным образом?
Если раздавать appimage с прикрученным автообновлением или прокидывать по методу Jia Tan, можно сломать один appimage или один репозиторий.
Если можно ходить по списку пакетов и читать имейлы, а потом автоматически их опрашивать и перепокупать - это enumeration attack.
>в чем обвиняют Snap Store
В том, что "я забыл ключ" - это не опция для разработчиков. И раскрытый email - не опция для атаки.
| | |
| 3.138, koni dohnut (?), 07:58, 20/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
Домен тоже не ваш собственный, а регистратора, и точно также корпорации и правительства могут внезапно сделать использование вашего прежнего домена невозможным или неприемлемым
| | |
|
| 2.76, 1 (??), 17:42, 19/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
Странные вы какие-то, ей богу....
Люди монетизировали уже не нужные домены ... А бабло всегда побеждает зло !
| | |
| 2.162, Аноним (162), 17:58, 20/01/2026 [^] [^^] [^^^] [ответить]
| –1 +/– | |
протоном не пользовался, но гмыл после пары лет не захода в акаунт его (акаунт и соотв емыйл) удаляет.. после чего его каждый первый встречный-поперечный может зарегать на себя.
в общем то и телефонный номер, за который перестали платить, через некоторое время попадает к новому человеку. со всеми вытекающими.
| | |
|
| 1.20, Аноним (17), 14:55, 19/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
а что мешало Canonical поступить так же как поступили в PyPI?
а что насчёт повсеместного внедрения 2FA? тогда бы потеря контроля над почтой не играла роли
короче в Canonical опять обгадились
| | |
| |
| |
| 3.82, Аноним (82), 18:44, 19/01/2026 [^] [^^] [^^^] [ответить]
| +1 +/– | |
2FA через смску на телефон - это вообще не 2FA, а фикция. Про это и было исследование.
Второй фактор должен принадлежать владельцу аккаунта, а не кому-то там.
| | |
| |
| |
| 5.134, Аноним (134), 01:58, 20/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
Ага. Утратил или обнулилось устройство-носитель — утратил идентичность.
Хорошо!
| | |
| |
| 6.136, User (??), 05:37, 20/01/2026 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Аноним 2fa в глаза не видел, но МНЕНИЕ, мнение-то вот оно! Цифровойгулаг5жычипированиемайкрософт...
Утратил устройство - достал из папОчки распечатанные одноразовые коды восстановления, зашёл - привязал новое устройство.
| | |
| 6.158, Аноним (156), 16:13, 20/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
1. Почти у всех сервисов есть резервные коды или код восстановления, отключающий 2FA
2. Есть 2FA приложения, делающие зашифрованные локальные резервные копии (К примеру, Aegis Authenticator), которые можно сохранить в надёжное место
3. А бывают и вариации со своим аккаунтом и e2ee синхронизацией между устройствами (Ente Auth, Proton Authenticator)
4. Да даже у Google Authenticator в последней обнове в начале 2025 появилась синхронизация. Но, стоит учитывать, что там это всё не шифруется. Плюс, нельзя гугловский аутентификатор делать единственным способом входа в аккаунт Гугла, ибо, доступ к кодам в нём будет только после этого самого входа
| | |
|
|
| 4.152, Аноним (152), 12:56, 20/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
А что есть такого, что принадлежит владельцу аккаунта, не зависит ни от чего стороннего, не может быть отчуждено или скопировано?
| | |
| |
| |
| 6.164, trolleybus (?), 22:02, 20/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
Палец тоже можно утратить. Ну и терморектальный криптоанализ в таком случае становится ненужным.
| | |
|
|
|
|
| 2.80, Аноним (132), 18:26, 19/01/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>а что насчёт повсеместного внедрения 2FA?
Теперь будут энумерировать не только почту, но и телефон.
| | |
| |
| 3.121, Аноним (121), 22:42, 19/01/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
Пользователи Вотсапа и телеграмма, которым не приходит смс с тебя смеются.
| | |
| |
| 4.126, Кошкажена (?), 23:08, 19/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
Выслали Вам ссылку на отправление по почте. Пожалуйста при получении у Вас будет 15 минут, чтобы проверить, что письмо с кодом не вскрывалось до Вас.
| | |
|
|
|
| 1.21, anamnez (?), 14:57, 19/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
так это проблема не конкретно snap репозитория, просто там ее нашли первыми. тоже самое можно проделать с чем угодно - с flatpack, appimage и даже с github
| | |
| |
| 2.48, Аноним (44), 15:58, 19/01/2026 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> проблема не конкретно snap репозитория
Читаем: "в репозитории Snap Store не была реализована проверка актуальности доменных имён".
| | |
| |
| 3.53, anamnez (?), 16:22, 19/01/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
99% проектов ограничиваются проверкой валидности почты. откуда уверенность, что проверка актуальности доменов есть на флатпаке? потому что об этом нет новости на опенете?
| | |
|
|
| 1.52, Аноним (52), 16:18, 19/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Вполне ожидаемо для пакетов собираемых авторами, и это не единственная их проблема. Для простоты можно считать что бинарники собираемые авторами софта - малварь. Пакеты должны собираться централизованно в дистрибутивах, из прозрачного репозитория рецептов. А в какой формат они будут собираться - снап, флатпак, rpm или deb - вообще не важно.
| | |
| |
| 2.69, mos87 (ok), 17:03, 19/01/2026 [^] [^^] [^^^] [ответить]
| –2 +/– |
 анон сказал, теперь я боюсь скачивать vlc.msi с оф сайта vlc
| | |
| 2.103, жыжа (?), 20:20, 19/01/2026 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Объективно, единственный правильный комментарий во всей теме.
Необходимость в snap/flatpack/appimage появилась потому, что "debuild сложно непонятно, от меня чото требуют, не хочу требуют, хочу фиксы релизить каждые 15 минут CI/CD боже, как я продуктивен, глупые деды заняты д***очем, а я успешен, мне некогда ждать, лучше выпущу ещё одну версию 165.5.6-rc4-beta2, что, ошибка 0х8000? Это же очень просто - нужно добавить libzlpa.8.so и выпустить фикс!"
Знаете как сделать это ещё лучше? Инсталлятор, инсталлятор ещё! Чтоб ещё удобнее, чтоб не запоминать чо там flatpak install com.fgs.fds.kpss, а прям вон с сайта копируешь прям 'curl https://... | bash'. И чтоб оно потом само обновлялось, ещё, ещё удобнее - сделать такой свой специальный юнит-обновлятор приложения под systemd!
Вон на днях чувак пофиксил баг в Wine - у него хватило мозгов разобраться в коде, и на радостях бросился пилить MR. В valve'овское зеркало репозитория на гитхабе. Без тестов. Что-то сделал? Что-то сделал. Хорошо, что сделал? Наверное. Хотели бы вы, чтоб у такого человека была возможность за 15 минут сделать "свой Wine" и заслать его в хранилище того, что в этом "хранилище" называют "пакетами"? Ну, если вы пользуетесь AUR, то понимаете, что делаете. Но если вы как те бедолаги, которые прибежали в комменты к MR из поста "ПОЧИНИЛИ ФОТОШОП 2027" с вопросами "я чайник напишите как установить?", то можно ненада?
tl;dr в официальную репу долго-сложно-непонятно *по причине*, а самодельные пакеты *с компромиссами*
| | |
| |
| 3.109, Zulu (?), 21:02, 19/01/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> хочу фиксы релизить каждые 15 минут CI/CD
CI/CD могут и пакет собрать. И собирают, песня в том порука.
| | |
| 3.129, Аноним (132), 00:24, 20/01/2026 [^] [^^] [^^^] [ответить] | +/– | Лучше нада Если бедолага или человек могут быстро сбилдить фикс и поставить, эт... большой текст свёрнут, показать | | |
| 3.135, Аноним (134), 02:08, 20/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
Всё изложенное проблема только в том случае, если альтернативы нет.
Если есть — ну так не пользуйся, и отстань от тех, для кого это приемлемо или нужно.
Не навязывай всем свою модель поведения и ценностей, это приведёт к плохому.
| | |
|
| 2.154, Аноним (156), 14:17, 20/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
Проблема тут не в пакетых, собираемых авторами, а в Snap Store. А с собираемыми майнтернерами часто одни проблемы, в той же Fedora уже были конфликты с тем, что они подменяли пакеты от авторов на свои, в которых были проблемы, отсутствующие в официальных. А вывод простой - нужно качать весь софт с сайта разработчика. Если же разраб забросил разработку и просрочил регистрацию сайта, нужно искать другой аналог, ибо, устаревшую версию в любом случае использовать небезопасно
| | |
|
| 1.70, Аноним (132), 17:09, 19/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– | |
Есть один хороший формат дистронезависимых пакетов. Называется appimage. Другой хороший формат называется porg. Третий - tarball.
У flatpak и snap основная цель - это не удобство пользователя, а навар компании. Разумеется, поэтому инфраструктура будет с отсутствием секурити как таковой. Поэтому будем доверять не ключам, а имейлам.
| | |
| |
| 2.95, Аноним (67), 19:34, 19/01/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
держу у себя balena, appimage.
Можно держать браузеры appimage.
Но думаю лучший формат - tar.gz.
| | |
| 2.113, Аноним (114), 21:12, 19/01/2026 [^] [^^] [^^^] [ответить]
| +2 +/– |
Апимадж не гарантирует переносимость. Но этом на нём можно ставить крест.
| | |
| |
| |
| 4.124, Аноним (121), 22:47, 19/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
У него хотя бы есть попытки тащить рантайм окружения, аппимадж в таком не замечен.
| | |
| |
| 5.128, Аноним (118), 23:19, 19/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
Если эти попытки полурабочие - все равно что их нет, но сложность технологии увеличена многократно.
| | |
| 5.130, Аноним (132), 00:27, 20/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
Лучшие попытки тащить рантайм окружения замечены в стиме. Либо тянем либу x, либо юзаем натив. Тащить же по 10 копий гнома в приказном порядке излишне. RAM теперь дорогая.
| | |
| |
| 6.147, aname (ok), 10:03, 20/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
 Для этого сообщество™®© должно бы свой стим построить.
А мы все прекрасно знаем, чем закончится такая попытка
| | |
| |
| 7.163, Аноним (163), 21:22, 20/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
Вообще построило. И не один. Куча обёрток под вайн и все привязаны к определённому рантайму, ещё и собраны. Сообщество собирать софт умеет, когда надо.
Отдельные сумрачные гении ещё и сигнатуры сошек могут, правда, не из сообщества.
Попытка закончится тем, что запилившие самооформятся в корпорацию или выгорят. Или их купят.
| | |
|
|
|
|
| 3.139, Аноним (139), 08:23, 20/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
Была идея - непереносимые компоненты компилировать на системе пользователя.
| | |
|
|
| |
| 2.131, Аноним (132), 00:28, 20/01/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
И CLA заставлять подписывать. И договор на дарение квартиры за бутылку водки. Ради дисциплины.
| | |
|
| 1.127, Кошкажена (?), 23:18, 19/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> и, получив контроль над email, инициируют процесс восстановления забытого пароля для доступа к учётной записи.
Во-первых, они же могут проверить местоположение в этот момент и сравнить с обычным, запросив доп. данные для восстановления.
Во-вторых, почему они не сделали подпись пакетов по аналогии с PPA?
| | |
| 1.137, Tim (??), 07:50, 20/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Я таким макаром благополучно "атаковал" ICQ в конце 90-х. Правда регистрировал не просроченные домены, а е-мейлы на всяких помойках, вроде yahoo. Набрал себе десятка два шестизнаков, но так и не придумал, что с ними сделать:)
| | |
| 1.148, Аноним (148), 10:09, 20/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Тут дело не в Canonical. У нас операторы имеют право номер телефона через два месяца неактивности передать кому угодно, последствия могут быть непредсказуемые. Не будучи никаким документом телефон стал главнее паспорта, главнее человека, хотя никто не знает в чьих руках он находится. Это один из видов электронного мошенничества.
| | |
| |
| 2.149, Аноним (44), 11:44, 20/01/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> последствия могут быть непредсказуемые
Что именно? В банках такой номер сразу банится как сменивший симку.
| | |
| |
| 3.151, Аноним (151), 12:44, 20/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
Какой-то сериал есть, не помню название, преступники захватывают автобус и у всех пассажиров при помощи телефонов переводят средства, т. е. крадут. Опасность электронных средств идентификации в обществе недооценивается. Всех вариантов ещё никто не знает.
| | |
|
|
| 1.150, Аноним (150), 12:16, 20/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Это всё равно что новые симки регистрировать, на номера, к которым были привязаны госуслуги. И потом кредиты на людей брать.
| | |
| |
| 2.155, Аноним (156), 14:19, 20/01/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
А это вполне возможно. Достаточно узнать номер паспорта или инн или снилс владельца учетки Госуслуг, привязанной к номеру, чтобы восстановить пароль
| | |
|
| 1.157, Аноним (157), 16:04, 20/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
снапы бубунты - это худшее что случалось с десктопным линухом. Хромиум и drwaio падающие при попытке открыть файл, прилаги которые должны, но не могут авторизоваться через браузер (и других вариантов в них нет)... и бесконечный жир наряду с максимально отставшими версиями либ
| | |
| |
| 2.161, Аноним (161), 17:49, 20/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
С «линухом» ничего не случилось, кроме «бубунты» снапы ни на что не влияют, их никто не применяет, да и из «бубунты» некоторые сразу выпиливают. Никто не может запретить Canonical стрелять себе в ногу, ну это их личное дело, можно принимать, можно идти своей дорогой.
| | |
|
|
