id: Гость   вход   регистрация
текущее время 13:01 28/03/2024
Автор темы: Гость, тема открыта 17/07/2013 04:46 Печать
Категории: софт, свободный софт, операционные системы
https://www.pgpru.com/Форум/UnixLike/UALinuxРекламируетСвойВредоносныйРепозиторийДляUbuntu
создать
просмотр
ссылки

UALinux рекламирует свой вредоносный репозиторий для Ubuntu


Может кто уже сталкивался с рекламой этого репозитория? Некоторые ссылки:


http://habrahabr.ru/post/186802/#comment_6498466
http://www.opennet.ru/openforu.....rumID3/90855.html#24


 
Комментарии
— unknown (17/07/2013 10:01)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Для пользования сторонними репозиториями рекомендуется соблюдать два условия:

  1. Ссылка на сторонний репозиторий должна быть проставлена на официальном сайте исходного дистрибутива. И желательно не где-нибудь в wiki, куда может делать записи кто-угодно.
  2. Ключ, которым подписываются пакеты стороннего репозитория, должен входить в пакет со связкой ключей официальных разработчиков исходного дистрибутива.

Т.о., нужно протянуть цепочку доверия от вашего дистрибутива к сторонним репозиториям, а не подключать всё подряд. И всё равно помнить о риске того, что сторонний репозиторий может менее тщательно защищаться от взлома или компрометации подписывающих ключей.
— sentaus (17/07/2013 14:01)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
Т.о., нужно протянуть цепочку доверия от вашего дистрибутива к сторонним репозиториям,


А как быть в случае, если хочется подключить репозиторий непосредственно производителя какой-то программы, который сам и сопровождает этот репозиторий? Цепочки доверия от вашего дистрибутива к репозиторию производителя может и не быть. Всё равно в итоге приходится ориентироваться на подлинность ключа и доверие владельцу репозитория.
— unknown (17/07/2013 14:57, исправлен 17/07/2013 15:06)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Например, сборки deb-пакетов в торпроджекте ведёт Peter Palfrader, который является сборщиком пакетов в офиц. Debian, ключ которого есть в списке ключей разработчиков Debian и его e-mail, привязанный к ключу также есть и в debian-домене.


Так что тот, кто доверяет своему дистрибутиву Debian, может от главного ключа Debian через ключ этого разработчика протянуть цепочку доверия до ключа репозитория Torproject'a и обновлять оттуда актуальные версии Tor.


А как быть в случае, если хочется подключить репозиторий непосредственно производителя какой-то программы, который сам и сопровождает этот репозиторий?

Как быть, если дистрибутив малопопулярен и разработчик программы не входит в число разработчиков вашего дистрибутива через короткую цепочку — сказать трудно.


Вообще — это веская причина сидеть на не самой актуальной версии программы, зато из дистра и ничего лишнего в него со стороны не ставить. А если её вообще нет в дистре, то может и не пользоваться ею.


P.S. Ещё один пример ранее неоднократно обсуждавшейся темы. Модель доверия OpenPGP оптимально хороша там, где нужна открытость, доверие и репутация, но не подходит там, где нужна анонимность и неотслеживаемость. Поэтому для безопасности открытой разработки свободного ПО именно OpenPGP является самым подходящим решением для скрепления доверия между отдельными разработчиками и организациями.

— Kent (21/07/2013 23:00)   профиль/связь   <#>
комментариев: 437   документов: 30   редакций: 15
UALinux плюёт на лицензии, насколько я вижу.
Некоторые программы, которые они предлагают из своего репозитория, запрещены к распространению из посторонних источников.
— Гость (13/10/2013 00:11)   <#>
мда, похоже UALinux встраивает трояны и трудноудаляемую навязчивую рекламу, прямо украинский филиал mail.ru
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3