UALinux рекламирует свой вредоносный репозиторий для Ubuntu
Может кто уже сталкивался с рекламой этого репозитория? Некоторые ссылки:
http://habrahabr.ru/post/186802/#comment_6498466
http://www.opennet.ru/openforu.....rumID3/90855.html#24
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
Нормы пользования. Некоторые права на материалы сайта защищены по условиям лицензии CreativeCommons. Движок
openSpace 0.8.25a и дизайн сайта © 2006-2007 Vlad "SATtva" Miller.
|
||||||||||||||||||||||||||
комментариев: 9796 документов: 488 редакций: 5664
Т.о., нужно протянуть цепочку доверия от вашего дистрибутива к сторонним репозиториям, а не подключать всё подряд. И всё равно помнить о риске того, что сторонний репозиторий может менее тщательно защищаться от взлома или компрометации подписывающих ключей.
комментариев: 1060 документов: 16 редакций: 32
А как быть в случае, если хочется подключить репозиторий непосредственно производителя какой-то программы, который сам и сопровождает этот репозиторий? Цепочки доверия от вашего дистрибутива к репозиторию производителя может и не быть. Всё равно в итоге приходится ориентироваться на подлинность ключа и доверие владельцу репозитория.
комментариев: 9796 документов: 488 редакций: 5664
Например, сборки deb-пакетов в торпроджекте ведёт Peter Palfrader, который является сборщиком пакетов в офиц. Debian, ключ которого есть в списке ключей разработчиков Debian и его e-mail, привязанный к ключу также есть и в debian-домене.
Так что тот, кто доверяет своему дистрибутиву Debian, может от главного ключа Debian через ключ этого разработчика протянуть цепочку доверия до ключа репозитория Torproject'a и обновлять оттуда актуальные версии Tor.
Как быть, если дистрибутив малопопулярен и разработчик программы не входит в число разработчиков вашего дистрибутива через короткую цепочку — сказать трудно.
Вообще — это веская причина сидеть на не самой актуальной версии программы, зато из дистра и ничего лишнего в него со стороны не ставить. А если её вообще нет в дистре, то может и не пользоваться ею.
P.S. Ещё один пример ранее неоднократно обсуждавшейся темы. Модель доверия OpenPGP оптимально хороша там, где нужна открытость, доверие и репутация, но не подходит там, где нужна анонимность и неотслеживаемость. Поэтому для безопасности открытой разработки свободного ПО именно OpenPGP является самым подходящим решением для скрепления доверия между отдельными разработчиками и организациями.
комментариев: 437 документов: 30 редакций: 15
Некоторые программы, которые они предлагают из своего репозитория, запрещены к распространению из посторонних источников.