forum.opennet.ru - "Для NixOS предложен метод защиты от подстановки бэкдоров, таких как в XZ" (153)

"Для NixOS предложен метод защиты от подстановки бэкдоров, таких как в XZ"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Для NixOS предложен метод защиты от подстановки бэкдоров, таких как в XZ"	+/–
Сообщение от opennews (?), 23-Мрт-25, 10:31
Для включения в репозиторий пакетов nixpkgs, применяемый в дистрибутиве NixOS, предложен режим повторяемых сборок, позволяющий выявлять случаи внедрения в код бэкдоров, напоминающие инцидент с проектом XZ. Представленный метод защиты позволяет выявлять модификации в архивах с исходным кодом релиза, отсутствующие в репозиториях с кодом... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62933
Ответить \| Правка \| Cообщить модератору

Оглавление

А некоторые аноны всё ещё продолжают использовать Тайлс и верить что они аноны В, Не пытайтесь напугать меня пивом (?), 10:31 , 23-Мрт-25, (1) +4

Те кто так поступают и не проверяют чем они пользуются и доверяют этому свою жиз, Аноним (62), 13:22 , 23-Мрт-25, (62) –3

Скрыто модератором, Аноним (95), 19:14 , 23-Мрт-25, (95) –1
ну у тебя то все под контролем , Аноним (149), 17:55 , 24-Мрт-25, (149)

Правильно, надо nih os поставить - тогда вам устроят данон в три раза быстрее, д, Аноним (-), 16:25 , 23-Мрт-25, (82) –3

Добрый день, ненавистник NixOS В debian buster уже портировали версию php 7 3 3, Аноним (87), 17:51 , 23-Мрт-25, (87) +1

А в Nix уже появился четвёртый пользователь или вы всё еще банда трёх , _ (??), 18:06 , 23-Мрт-25, (90) +1

У моего клиента в проде, прямо сейчас, 402 физических сервера, на которых крутит, Аноним (94), 18:48 , 23-Мрт-25, (94) +1

А на дебиане и убунте виртуалок столько - что я даже не задумывался о том чтобы , Аноним (109), 21:31 , 23-Мрт-25, (109)

Ну так и этот проект не единственный Со мной работает ещё один консультант, он , Аноним (94), 17:07 , 24-Мрт-25, (144) +1

Ты сам это устроил Выступив примером комьюнити оного, имхо, горластым и некомпе, Аноним (109), 21:30 , 23-Мрт-25, (108)

Который раз повторю, что версия обновилась ещё в stable Кроме того, дебиановцы , Аноним (87), 12:39 , 24-Мрт-25, (132)

Вам в соседнем топике популярно объяснили, что все секурити фиксы актуальные для, Аноним (-), 17:06 , 24-Мрт-25, (143)

Правильно, нигде не возьмём, да и зачем это делать, если компьютер с этой задаче, Аноним (94), 17:25 , 24-Мрт-25, (145)

Что там у вас с какой задачей справляется Я использую дебиан вот как раз чтобы, Аноним (168), 22:16 , 24-Мрт-25, (168)

Хотя я и другой аноним, но скажу, что такими делами занимаются мейнтеры, а вы пр, Аноним (87), 00:50 , 25-Мрт-25, (176)

Мне лень перепечатывать то же самое, так что давайте вы скините две ссылки - по , Аноним (87), 17:49 , 24-Мрт-25, (147)

Как я уже сказал - мне в общем случае вообще все равно какие там гномики или кто, Аноним (170), 22:55 , 24-Мрт-25, (170)

Стадия отрицания прошла, теперь начался торг Только вот вопрос - а зачем мне эт, Аноним (87), 09:37 , 25-Мрт-25, (177)

Нет, и не портируют, ибо поддержка закончилась , Аноним (123), 09:39 , 24-Мрт-25, (123)

так это нужно знать, а желание такого нет, Аноним (149), 17:57 , 24-Мрт-25, (150)

А они и не следят, у NixOS нет жёсткого правила следить за секурностью каких-либ, Аноним (122), 09:00 , 24-Мрт-25, (122)

Зачем вы из раза в раз приводите свои фантазии расходящиеся с реальностью Ровно , Аноним (87), 13:39 , 24-Мрт-25, (135)

Вот не надо тут врать В дебиане есть вполне конкретные полися на тему Иногда, , Аноним (-), 17:40 , 24-Мрт-25, (146)

Я вам привёл несколько примеров, вы ни по одному примеру ничего так и не сказали, Аноним (87), 00:41 , 25-Мрт-25, (175)

Вам встречный вопрос почему вы в треде про NixOS зачем-то упоминаете Debian О, Аноним (122), 18:31 , 24-Мрт-25, (155)

Затем, что узнал анонима, с которым беседовал раньше по характерной фразеПотому,, Аноним (87), 00:10 , 25-Мрт-25, (174)

Мдя, бывает конечно, вы не из службы доксинга анонимов случаем Бывает, если что,, Аноним (122), 14:31 , 25-Мрт-25, (179)

Этот пативэн назывался воронком в мою эпоху доламповых компьютеров Выезжал по, Анонимм (??), 20:20 , 23-Мрт-25, (100)

Где ж ты дед пативэнов возьмешь чтобы строить каждый пылесос и роутер Отлично З, Аноним (110), 21:52 , 23-Мрт-25, (110) –1

А их не строили и не строят В посконной мастерской сидит Потёмкин и шильдики пе, Анонимм (??), 23:40 , 23-Мрт-25, (117)

Плохо старался значит Например, подумай что можно прописать обладателю двери и , Аноним (-), 02:19 , 24-Мрт-25, (119)

да тебя вокруг пальца не обведешь железо, ОС, приложения, вообщем все себе сам, Аноним (149), 17:54 , 24-Мрт-25, (148)

А что если просто собирать пакеты, вытягивая исходники из git вместо использован, Fracta1L (ok), 10:33 , 23-Мрт-25, (2) +5

Тогда не заметят бэкдор, добавленный задним числом в Git Пример https www ope, Аноним (5), 10:40 , 23-Мрт-25, (5) –4

где по ссылке хоть какой-то намёк на подстановку чего-либо задним числом , 12yoexpert (ok), 10:53 , 23-Мрт-25, (12)

В релизные git-теги добавили левый коммит, соответственно для релиза будет отдан, Аноним (5), 10:59 , 23-Мрт-25, (15)

пропуская мимо ушейгде там про заднее число что-то , 12yoexpert (ok), 11:01 , 23-Мрт-25, (16)

Ну смотрите, разработчики выпустили релиз, через какое-то время пришёл какой-то , Аноним (5), 11:07 , 23-Мрт-25, (18) +2

Вопрос А зачем загружать выгружать именно по тегу Тэги - это какая то священная , Аноним (34), 12:12 , 23-Мрт-25, (34)

Для удобства и снижения нагрузки с сопровождающего, деанон (ok), 12:31 , 23-Мрт-25, (40)
Какие у вас кроме тегов есть варианты По коммиту , Аноним (87), 13:41 , 24-Мрт-25, (136)

Есть вариант использовать блокчейн git-a, да Впрочем, остаются вопросы о крип, n00by (ok), 18:50 , 24-Мрт-25, (158)

Что значит не заметят Контрольная сумма изменится, Аноним (75), 14:22 , 23-Мрт-25, (75) +1

И в дополнение, предвкушая вопрос Подменить задним числом архив не получится, т, Аноним (5), 10:42 , 23-Мрт-25, (6)
Они решают задачу обнаружить модификацию, проделанную неизвестным способом , n00by (ok), 11:40 , 23-Мрт-25, (28)

выявление бекдора, внесенного мейнтейнером , Аноним (44), 12:41 , 23-Мрт-25, (44) +1

У этой задачи возможно два решения 1 Предположить какие-то определённые способы, n00by (ok), 12:53 , 23-Мрт-25, (49)

на шаг всегда позади, как в случае и с антивирусами, но куда хуже, когда банальн, Аноним (44), 13:06 , 23-Мрт-25, (57)

Да, если решение и есть, оно не обязательно верное А вот любопытно Допустим, п, n00by (ok), 13:50 , 23-Мрт-25, (71) –2

Так есть же всякие Coq, Agda, Isabelle, которые генерируют код, но какой код Я , Аноним (44), 14:33 , 23-Мрт-25, (76)

Всё так, не добавить не убавить Так-то оно так, и рассуждаете вы вроде бы здрав, Аноним (122), 18:43 , 24-Мрт-25, (157)

В том то и дело, надо определить сначала понятие законченный продукт Если наш, Аноним (44), 21:53 , 24-Мрт-25, (166)
писались бы литературные произведения так, как пишут современные программы писал, Аноним (44), 21:59 , 24-Мрт-25, (167)

За западной культурой не слежу, но добро пожаловать в ранобе мангу аниме Пробле, Аноним (87), 23:44 , 24-Мрт-25, (172)

Проблема в денежной оценке А че, лучше создать ядерную бомбу Или багнутую прогр, Аноним (44), 00:04 , 25-Мрт-25, (173)

для этого надо полностью доверять содержимому этих репозиториев, причём доверять, Аноним (41), 12:32 , 23-Мрт-25, (41)

Разве есть какие-то другие варианты Ты либо доверяешь разработчику, либо нет, н, Fracta1L (ok), 12:53 , 23-Мрт-25, (50)

Но если выкинуть пакет, тогда придётся самому кодить, а разработчики операционны, n00by (ok), 13:29 , 23-Мрт-25, (65)
вендоринг то же пулл, но только проверяемый человекоми да, код копируется на св, Аноним (41), 22:56 , 23-Мрт-25, (116)

Подскажите им, что можно собирать просто один раз 8212 из репы Это избавит о, oficsu (ok), 10:34 , 23-Мрт-25, (3) –4

Тогда не будет алертов о том, что апстримные тарболы содержат ересь Плот твист, Аноним (4), 10:40 , 23-Мрт-25, (4) +3
Но открывает двери для бэкдоров в репозитории, например, через подмену репозитор, Аноним (5), 10:43 , 23-Мрт-25, (7) +1

Ага, делать аудит изменений в том, что собираешься собирать на своей инфраструкт, oficsu (ok), 10:53 , 23-Мрт-25, (13)

1 Фиксироваться должен не хэш коммита, а исходники, выкачанные по этому хэшу И, Аноним (4), 11:09 , 23-Мрт-25, (19) +1

смешно, аналогично мы используем http, чтобы выявить рекламу подсунутую провайд, Аноним (44), 12:47 , 23-Мрт-25, (45)
Хеш коммита в нормальных системах контроля версий 8212 это и есть хеш исходни, oficsu (ok), 16:58 , 23-Мрт-25, (83) –1

Ты притворяешься или как Хэш коммита -- это хэш изменений, включая метадату вро, Аноним (93), 18:46 , 23-Мрт-25, (93)

Что прекрасным образом не увеличивает поверхность атаки, не так ли , oficsu (ok), 19:23 , 23-Мрт-25, (98) –2

Поверхность атаки точно увеличится, если тарболы никто не сверяет на идентичност, Аноним (93), 20:49 , 23-Мрт-25, (106) +1

И что бы изменилось, если бы упаковщики полностью автономного дистрибутива ц , n00by (ok), 11:33 , 23-Мрт-25, (25) –1

Я нигде не предлагал зеркалить никакие архивы Я предложил 1 делать аудит 2 за, oficsu (ok), 17:00 , 23-Мрт-25, (84)

Делать аудит долго и дорого, у меинтейнеров нет для этого ресурсов, там бы хоть , Ivan_83 (ok), 17:30 , 23-Мрт-25, (86)
Дословно было просто один раз 8212 из репы Зеркало - репа Подходит И что , n00by (ok), 17:58 , 23-Мрт-25, (89)

Если бы так реально делалось, это бы возможно и сократило количество дыр и бэкдо, Аноним (122), 19:00 , 24-Мрт-25, (160) +1

не выше, а вот тут получилось https www opennet ru openforum vsluhforumID3 1, Аноним (122), 19:02 , 24-Мрт-25, (161)

Всё это правильно, отлично и просто замечательно, но у меня к вам вопросики 1 к, Аноним (122), 18:55 , 24-Мрт-25, (159)

а ведь это гениально зачем сравнивать исходники или всегда собирать конкретный , 12yoexpert (ok), 10:45 , 23-Мрт-25, (8) +1
Я конечно дико извиняюсь, а что проверка CRC MD5 архива не в моде Таже FreeBSD,, Аноним (9), 10:46 , 23-Мрт-25, (9) –3

Речь про ситуации, когда бэкдор встроен в изначальный архив, например, мэйнтейне, Аноним (5), 10:48 , 23-Мрт-25, (10)

кхе, кхе И как тебе поможет то, что они делают, если мантейнер или кто то плохой, Аноним (34), 12:21 , 23-Мрт-25, (36) –1

Такие вот нынче безопасТники, кхммм, главное что-либо сделать, то есть сделать в, Аноним (44), 12:49 , 23-Мрт-25, (46)

Да, некриптостойкие хеш-функции для проверки целостности точно не в моде , Аноним (96), 19:17 , 23-Мрт-25, (96) +1

Лучше собрать пакет раз 10 из Федоры,Убунту,Сусе и т д Таогда определенно будет, Афроним (?), 11:01 , 23-Мрт-25, (17) –1
Лучше бы они внедрили изоляцию через namespace для всех юзерспейс приложений и м, Аноним (20), 11:13 , 23-Мрт-25, (20)

Тут госпожа Мяв просто не пробегала давно, а то она Томоё уже давно использует , Афроним (?), 11:26 , 23-Мрт-25, (21)

Томоё кстати очень даже хорошая мандатная система, жаль что гуя и дефолтных проф, Аноним (112), 22:00 , 23-Мрт-25, (112)

1 Сервисы и так изолируются средствами DynamicUser etc 2 Гуйные приложения сле, Аноним (4), 11:27 , 23-Мрт-25, (23)

СЕлинукс, это вообще то мандатори аксцесс МАС , который должен применятся ровно , Аноним (34), 12:24 , 23-Мрт-25, (38)
Фэтпак как серебрянная пуля изоляции от зловредов Как интересно Селинукс коне, ЛщЛ (?), 19:11 , 24-Мрт-25, (162)

Ага, точно Из юзерспейса легко на опенете Вы вообще читаете новости или с, OpenEcho (?), 20:26 , 23-Мрт-25, (101)
Изолировать нужно тогда, когда нужно Какой смысл мне изолировать браузер от пап, Аноним (87), 13:43 , 24-Мрт-25, (137)

Все просто все приложения должны иметь доступ только в системному слайсу бублиот, Аноним (24), 11:30 , 23-Мрт-25, (24)

Ты не учел ситуацию, когда в твой атомарный пакет ОСь, попал завирусованный ПО н, Аноним (34), 12:28 , 23-Мрт-25, (39)

Если зловред настолько низко то не случайный от васяна, а специальный от произво, Аноним (24), 12:55 , 23-Мрт-25, (52)

Если у тебя за безопастность будет отвечать ИИ всё остальное уже бессмысленно , Аноним (62), 13:31 , 23-Мрт-25, (66)
Это уже реализовано в NixOSНа этапе сборки доступа к сети уже нет Зависимости в, Аноним (87), 13:45 , 24-Мрт-25, (138)
Осталось об этом сообщить абсолютно всем разработчикам абсолютно всех программ, , ЛщЛ (?), 19:16 , 24-Мрт-25, (163)

Это очень печально Казалось бы, достаточно распаковать и сравнить , n00by (ok), 11:34 , 23-Мрт-25, (26)

у autocrap-powered приложений тарбол обязательно отличается от гит-версии как ми, Аноним (4), 11:38 , 23-Мрт-25, (27)

Не понял, что там за шляпаautocrap is a cross-platform userspace driver which , n00by (ok), 11:49 , 23-Мрт-25, (29)

Сравни - и поймешь Выбери пару-тройку рандомных сишных проектов и сравни тарбол, Аноним (4), 11:57 , 23-Мрт-25, (31)

Очевидно, что - ничем , судья (?), 12:13 , 23-Мрт-25, (35)

очевидно, что не упаковщиком , Аноним (44), 12:51 , 23-Мрт-25, (47)

Случайно сравнил свои проекты Понял, что мне пишут ахинею Определял так сказать, n00by (ok), 13:03 , 23-Мрт-25, (56) –2

кто-нибудь может объяснить нубу - зачем вообще смотреть, что там в тарболе проек, недомантейнер (?), 13:09 , 23-Мрт-25, (58)

вам, шит-хаб тарболл не дает скачать , Аноним (44), 13:13 , 23-Мрт-25, (60)
Зачем мне это объяснять Я ожидал в ответ что-то вроде различение кода от данных, n00by (ok), 13:31 , 23-Мрт-25, (67)

замечу, что этого до сих пор даже Лесли Лэмпорт понять не может , Аноним (44), 13:47 , 23-Мрт-25, (70)

Так он последователь Тьюринга, а не Маркова Я вот не могу понять, зачем нужна м, n00by (ok), 10:21 , 24-Мрт-25, (126)

Задам такой вопрос, существовала бы эта машина, если бы использовалась биективна, Аноним (44), 14:48 , 24-Мрт-25, (141)

Что это Если биективная -- это когда исключены различные варианты записи одно, n00by (ok), 18:40 , 24-Мрт-25, (156)

Наоборот, включены все представления - биекция взаимно однозначное отображение , Аноним (44), 22:26 , 24-Мрт-25, (169)
Оно сейчас однозначное Ноль нельзя представить 7-ю битами, только 8-ю Другое д, n00by (ok), 11:02 , 25-Мрт-25, (178)

там на 57 00 забыл добавить акустика помешала , Аноним (44), 15:01 , 24-Мрт-25, (142)

Тарболл элементарно побитово скопировать и верифицировать Эти операции легко им, Аноним (79), 15:27 , 23-Мрт-25, (79) +1

Давным давно сборка идёт не от рута, тем более в NixOSДля этого тарболл не долже, Аноним (87), 18:25 , 23-Мрт-25, (92)

Но ведь не сработает Архивы с исходниками формируются часто какой-то обработкой, Аноним (32), 12:04 , 23-Мрт-25, (32)
Абсолютно бредовый способ Можно засунуть бэкдор и туда, и туда Правильный подхо, Аноним (61), 13:14 , 23-Мрт-25, (61) –1

Если проект опенсорсный и под GNU, то создателю глупо претендовать на какое-то т, Аноним (63), 13:23 , 23-Мрт-25, (63) +1

Что говорить о пермиссивных Раз LLVM тривиален - пойди напиши мне модификации ф, Аноним (61), 13:41 , 23-Мрт-25, (69) +1

LLVM оплачивается корпорациями https foundation llvm org sponsorsЕсли бы не вл, Аноним (63), 14:22 , 23-Мрт-25, (74)

Скрыто модератором, Аноним (79), 15:32 , 23-Мрт-25, (80) +1

Напоминаю trustWORTHY party нет в принципе бесплатно, без СМС Есть только tr, Аноним (61), 13:26 , 23-Мрт-25, (64) +1

Не бывает technically feasible и economically feasible Бывает лишь просто feasi, Аноним (61), 13:34 , 23-Мрт-25, (68)

Это всегда technically feasible, и economically feasible если взять кредит в бан, Аноним (44), 14:41 , 23-Мрт-25, (77)

То то все прям своё обписались Прям расцвели миллионы цветов высококачественных, Аноним (96), 19:20 , 23-Мрт-25, (97)

Ага, и все вдруг стали умные , Аноним (44), 19:34 , 23-Мрт-25, (99)

И Линус вывел ядро из под GPL , Анонимм (??), 20:35 , 23-Мрт-25, (105)

Если небольшой исходник, то, возможно, этот способ подойдет А если собирать DE , Аноним (72), 14:07 , 23-Мрт-25, (72) +1

Еретик сейчас минусов накидают У них билдфермы есть с халявным доступом, а у ко, Афроним (?), 14:21 , 23-Мрт-25, (73) –1

У кого их нет могут воспользоваться консолью , Аноним (62), 17:19 , 23-Мрт-25, (85)

Глупость полная Это ещё может сработать с некоторыми редкими случаями, особенно , Ivan_83 (ok), 15:45 , 23-Мрт-25, (81)

Это делается специально против всяких извращенцев, которые кроме исходников пред, Аноним (87), 17:54 , 23-Мрт-25, (88)

И раст и го - оба далеки от применений С Автосгенерированный код - более надёжны, Ivan_83 (ok), 01:41 , 24-Мрт-25, (118)

Автосгенерированный код должен генерироваться прямо во время сборкиЗеркала делат, Аноним (87), 13:47 , 24-Мрт-25, (139)

Учитывая методологию именования пакетов в этой ОС, их можно просто подменять без, Анонимм (??), 20:31 , 23-Мрт-25, (103) +1

Давно и упорно задавал вопрос, зачем там так именуют пути в store Наконец-то кт, n00by (ok), 10:27 , 24-Мрт-25, (127)

А как их иначе именновать Можно подумать, что вы различите пакет собранный с ра, Аноним (87), 13:48 , 24-Мрт-25, (140)

Я про пути в свалке nix store Прямо никто ведь не признается, а тут подкинули , n00by (ok), 18:12 , 24-Мрт-25, (154)

Что то я недопонял Они в принципе не собираются накладывать дополнительные патчи, Аноним (104), 20:33 , 23-Мрт-25, (104)
Тем временем коммит по ссылке xz-after-bootstrap init at 5 6 4 add to releas, Аноним (107), 20:54 , 23-Мрт-25, (107)

В коммите лишь пример предложенной идеи для сбора отзывов Читайте дальше по ссыл, Аноним (5), 22:18 , 23-Мрт-25, (115) +1

Кто только не предлагал до этого Инцидент с XZ считаю проявлением некомпетент, Аноним (111), 21:57 , 23-Мрт-25, (111)
по факту все бинарники потенцально опасны, Аноним (113), 22:08 , 23-Мрт-25, (113)
Ага, а судьи кто - миллионы глаз бдительного опенсорса или посадят одного мейтей, Аноним (120), 06:27 , 24-Мрт-25, (120) +2
Эх Поддерживал бы еще NixOS ZFS на корне можно было бы даже сделать основной, Аноним (121), 07:29 , 24-Мрт-25, (121)

шутишь чтоли как только вижу, что zfs идёт файловой системой по умолчанию, дист, Аноним (125), 10:03 , 24-Мрт-25, (125) +1

Файловая система лучше ZFS мне не знакома А к хорошему привыкаешь быстро , Аноним (121), 11:01 , 24-Мрт-25, (128)

Неужели кто наконец займётся мильёном бэкдоров, поставляемых в современных пакет, Аноним (124), 10:01 , 24-Мрт-25, (124)
То есть мы увеличиваем расход ресурсов в 2 раза из-за того, что у нас не, freehck (ok), 11:03 , 24-Мрт-25, (129)
Есть и другие варианты отлова бекдоров https www linux org ru forum security 1, Аноним (130), 11:12 , 24-Мрт-25, (130)

повод переходить на генту , Аноним (149), 18:04 , 24-Мрт-25, (151)

Сообщения [Сортировка по времени | RSS]

1. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +4 +/–

Сообщение от Не пытайтесь напугать меня пивом (?), 23-Мрт-25, 10:31

А некоторые аноны всё ещё продолжают использовать Тайлс и верить что они аноны.
Встроят бэкдор в библиотеку, начнут рассылать маки соседних точек доступа и к тебе выезжает пативэн.

Ответить | Правка | Наверх | Cообщить модератору

62. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." –3 +/–

Сообщение от Аноним (62), 23-Мрт-25, 13:22

Те кто так поступают и не проверяют чем они пользуются и доверяют этому свою жизнь вполне заслуживают такого исхода.

Ответить | Правка | Наверх | Cообщить модератору

95. Скрыто модератором –1 +/–

Сообщение от Аноним (95), 23-Мрт-25, 19:14

Гордитесь своей планетой? )

Ответить | Правка | Наверх | Cообщить модератору

149. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (149), 24-Мрт-25, 17:55

ну у тебя то все под контролем.

Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

82. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." –3 +/–

Сообщение от Аноним (-), 23-Мрт-25, 16:25

> А некоторые аноны всё ещё продолжают использовать Тайлс и верить что они аноны.
Правильно, надо nih os поставить - тогда вам устроят данон в три раза быстрее, долбанув общеизвестным эксплойтом либу за которую вообще никто в этой nih-помойке не отвечает. Потому что где они столько майнтайнеров вообще возьмут чтобы за этим следить?

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

87. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +1 +/–

Сообщение от Аноним (87), 23-Мрт-25, 17:51

Добрый день, ненавистник NixOS. В debian buster уже портировали версию php 7.3.33 или всё ещё нет?

Ответить | Правка | Наверх | Cообщить модератору

90. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +1 +/–

Сообщение от _ (??), 23-Мрт-25, 18:06

А в Nix уже появился четвёртый пользователь или вы всё еще банда трёх? :)

Ответить | Правка | Наверх | Cообщить модератору

94. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +1 +/–

Сообщение от Аноним (94), 23-Мрт-25, 18:48

У моего клиента в проде, прямо сейчас, 402 физических сервера, на которых крутится 2471 виртуалка. Всё на NixOS, кроме тестового стенда с rhel, suse, ubuntu и debian (93 виртуалки). Проект — модный финтех на хаскеле и чуть-чуть раста. Не знаю, третий я или четвёртый, но платят неплохо, чего и всем желаю.

Ответить | Правка | Наверх | Cообщить модератору

109. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (109), 23-Мрт-25, 21:31

А на дебиане и убунте виртуалок столько - что я даже не задумывался о том чтобы это пытаться посчитать. Сдалось мне дохреналионы обсчитывать...

Ответить | Правка | Наверх | Cообщить модератору

144. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +1 +/–

Сообщение от Аноним (94), 24-Мрт-25, 17:07

Ну так и этот проект не единственный. Со мной работает ещё один консультант, он до этого проекта для оборонки никсос сетапил (да, для той самой, из-за которой целая драма была не так давно). Для меня этот финтех тоже не первый, кто на никсос ставку сделал, я сам попал сюда по рекомендации одного сеньора-хаскелиста, с которым в прошлом году на совершенно другом проекте платформу на никсосе строили и деплоили. Рынок весьма нишевый в сравнении с любым мейнстримным дистрибом, но, во-первых, он есть, и, во-вторых, за нишевость доплачивают достаточно, чтобы был резон разбираться в NixOS и научиться сносно писать на Nix.

Ответить | Правка | Наверх | Cообщить модератору

108. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (109), 23-Мрт-25, 21:30

> Добрый день, ненавистник NixOS.
Ты сам это устроил. Выступив примером комьюнити оного, имхо, горластым и некомпетентным.
> В debian buster уже портировали версию php 7.3.33 или всё ещё нет?
1) Это уже не stable, если что. Уж и bookworm то скоро oldstable будет, а анона все не попускает.
2) Тебе кто-то подробно расписал в треде про дебиан, что секурити исправления пыха - уехали в версию которая была в бустере. При том - на месяц раньше этого самого .33.
Но как я уже сказал - фанаты сабжа отличаются редким сочетанием компетенции и горластисти. К сожалению - не с тем знаком, увы. Видимо выбранное инженерное решение только таких и привлекает.

Ответить | Правка | К родителю #87 | Наверх | Cообщить модератору

132. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (87), 24-Мрт-25, 12:39

>1) Это уже не stable, если что
Который раз повторю, что версия обновилась ещё в stable. Кроме того, дебиановцы гордятся своим elts во время которого правится полтора пакета
>2) Тебе кто-то подробно расписал в треде про дебиан
Ссылку на .33 никто так и не привёл, последняя ссылка на патчи из версии .32

Ответить | Правка | Наверх | Cообщить модератору

143. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (-), 24-Мрт-25, 17:06

> Который раз повторю, что версия обновилась ещё в stable. Кроме того,
> дебиановцы гордятся своим elts во время которого правится полтора пакета
Вам в соседнем топике популярно объяснили, что все секурити фиксы актуальные для .33 прилетели в дебиан для той версии которая там есть - на месяц раньше чем жаждавшим этот самый .33.
> Ссылку на .33 никто так и не привёл, последняя ссылка на патчи из версии .32
Вам шашечки - или ехать? Я вон то юзаю потому что там полися по части вулнов и прода, так что более-менее заьтыкают откровенные дыры. И пых тоже заткнули - судя по тем дебатам. То что они это сделали на чуть иной версии - мне похрену. Еще не хватало тратить мое время на копание в минорщине всякой. Чтобы этим не заниматься и есть общесистемные полися по части секурити фиксов.
Представляете, у меня дофига систем на полном автоапдейте - и я не вижу ЭТО вообще! И уж тем более я на них не буду делать мозг какая там минорная, блин, версия пхп! Все что меня интересует это
1) Не должно быть откровенных известных дыр - особенно долбаемых снаружи.
2) Уже наруленное не должно отваливаться и ломаться по ходу пьесы.
NIH OS совершенно ортогонален этим простым хотелкам для прода. И явно не в состоянии обеспечить 1) потому что где вы такие красивые столько человеко-часов возьмете, чтобы все вулны в всех версиях энного компонента вообще трекать. И вот тут я уверен что вы не с можете обеспечить столь простую эксплуатационную хотелку. Если ваши клиенты могу с этим жить - окей. А мне такие проблемы на ровном месте совершенно ни к чему. И судя по популярности NIH OS'а, кажется так не только я считаю.

Ответить | Правка | Наверх | Cообщить модератору

145. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (94), 24-Мрт-25, 17:25

> где вы такие красивые столько человеко-часов возьмете, чтобы все вулны в всех версиях энного компонента вообще трекать
Правильно, нигде не возьмём, да и зачем это делать, если компьютер с этой задачей замечательно справляется? У меня здесь есть целая программа на хаскеле, которая дважды в день ходит в базу CVE, сверяется с ней и с тем, что крутится в проде, и если надо пытается пересобрать уязвимую часть прода с обновлённой версией, прогнать все интеграционные тесты и сообщить в слак девопсам о результатах. В подавляющем большинстве случаев результат положительный, чтобы что-то не собралось после секьюрити патча — это надо чтобы в апстрим пьяные коммитили. При этом мы точно знаем всю цепочку, от порта на балансере через который в систему попадают данные до уязвимых исходников, из которых собрана программа эти данные обрабатывающая. Можно даже посмотреть кто, когда и как настраивал интерфейс у свича где-нибудь в середине всей цепи, и всё это не выходя из браузера: кликаешь на ссылку и смотришь конкретные строки конкретного коммита. И вот на эту систему ушло немало человекочасов, да, но оказалось что так лучше и быстрее, чем каждый раз солнце вручную закатывать.

Ответить | Правка | Наверх | Cообщить модератору

168. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (168), 24-Мрт-25, 22:16

> Правильно, нигде не возьмём, да и зачем это делать, если компьютер с
> этой задачей замечательно справляется?
Что там у вас с какой задачей "справляется"?
> У меня здесь есть целая программа на
> хаскеле, которая дважды в день ходит в базу CVE, сверяется с
> ней и с тем, что крутится в проде, и если надо пытается пересобрать уязвимую часть
Я использую дебиан вот как раз чтобы не заниматься вот этим всем. Как я уже сказал я большую часть времени не вижу большую часть хостов и у многих тупо автоапдейт.
При том в дебиане он есть - сразу. Без вот изобретения велосипеда с квадратными колесами самому. Понимаете, это страдание фигней - преимущество для лично вас. А у тех и прочих убунт нечто сравнимое по суммарному эффекту - сразу! Из коробки! Для всех! Без геройств с выписыванием НЕХ на эзотерических ЯПах (и потом майнтенансу ЭТОГО самому, вот уж нафиг надо).
Так что вместо вот этого всего - можно заняться моими проектами. Так намного круче имхо. Танцевать канбан вокруг базы CVE - не является интересным мне проектом. Это вообще никак не делает жизнь двуногих лучше само по себе и - как максимум "неизбежное техническое зло". Которого чем меньше тем лучше.
> прода с обновлённой версией, прогнать все интеграционные
> тесты и сообщить в слак девопсам о результатах.
Кажется я не зря NIH OS это все назвал. Угадал на 120%.
> В подавляющем большинстве
> случаев результат положительный, чтобы что-то не собралось после секьюрити патча —
> это надо чтобы в апстрим пьяные коммитили.
Вот тут совершенно без гарантий. Апстримы - девелопают. Проблемы стабилизации и прода ... может да, может нет. И конечно никакой унификации политик. Если есть 9000 компонентов - может быть 9000 политик. Мне оно надо - трекать 9000 политик апстрима? Когда за меня это майнтайнеры сделают - толпой - адаптировав к своим полисям - вот и славненько.
А пересбор моего кастома на серваках делается только по поводу фич и багфиксов. Это полносьтю декорелировано от фиксов CVE системных компонентов.
> При этом мы точно знаем всю цепочку, от порта на балансере через который в систему
> попадают данные до уязвимых исходников,
Вы так и не поняли что в современном мире - знание надо минимизировать. И мне в общем случае не интересно какой порт балансера и какой именно сегмент кода уязвим, мне интересно чтобы CVE долбаемых ремотно в проде не было. Это вообще совсем другая постановка задачи! И чем проще это достигнуто и в чем меньше деталей я сам лез - тем лучше, имхо. Потому что делегация работ в современном мире - мастхэв.
> обрабатывающая. Можно даже посмотреть кто, когда и как настраивал интерфейс у
> свича где-нибудь в середине всей цепи,
Мне может еще и весь интернет теперь мониторить? Вот мне больше заняться нечем - убить мое время на мониторинг чьих-то долбаных свичей. Как это все ко мне и моим проектам относится, интересно? Так то в сильно НЕКТОРЫХ случаях я даже могу пнуть админов "вон того роутера" по мылу в интернете. Но это - только если их проблемы конективити начинают нагибать лично меня и юзеры жалуются, и это долго, не проходит само, и масштаб достиг величины когда игнорить уже душно. Но это к счастью экзотика, обычно факапы роутеров в интернете их владельцы решают сами и быстро.
> и всё это не выходя из браузера: кликаешь на ссылку и смотришь конкретные
> строки конкретного коммита.
Мне все это извините на кой? Я спасибо если комиты в именно кастоме - почитаю. А так есть такая штука - делегация полномочий и web of trust. Если мне апстрим фигню выгрузит - окей, они профачат доверие и более я их добром пользоваться, возможно, не будут. А майнтайнеры - это как раз первая линия обороны от вгрузки мне фигни. С xz они как раз отлично удержали - получили люлей только юзеры unstable. Которые точно - не прод.

> И вот на эту систему ушло немало человекочасов, да, но оказалось
> что так лучше и быстрее, чем каждый раз солнце вручную закатывать.
Я и не закаытваю солнце вручную. Это - делегировано майнтайнерам :). А я сэкономил себе дофига человекочасов, которые потратил - на мои проекты вместо этих извращений. И мне реально плевать какой там блин порт свича был и кто его настроил.
Понимаете, интегрити пакетов в конечном итоге - проверяется. Какой там голубиной почтой это доставлено - вообще в эту формулу не входит. Опять же, делегирование.

Ответить | Правка | Наверх | Cообщить модератору

176. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (87), 25-Мрт-25, 00:50

>Я использую дебиан вот как раз чтобы не заниматься вот этим всем
Хотя я и другой аноним, но скажу, что такими делами занимаются мейнтеры, а вы просто поверили, что вот где-где, а в дебиане этим точно занимаются
>Без геройств с выписыванием НЕХ на эзотерических ЯПах
Да вы что. Хаскель, это считай попса
>Так что вместо вот этого всего - можно заняться моими проектами. Так намного круче имхо. Танцевать канбан вокруг базы CVE - не является интересным мне проектом
Я так полагаю, что даже если вас и взломают, то это всё равно не будет для вас ничем интересным. Ибо как можно в серьёз рекомендовать дистрибутив, где тот же ssh сразу же после установки начинает торчать в интернет с настройками по умолчанию, а пакеты могут запросто не обновляться
>мне интересно чтобы CVE долбаемых ремотно в проде не было
Весьма символично, что пхп, что эрланг - работают с сетью, и что там, что там есть уязвимости
>Мне все это извините на кой?
Так с этого и надо начинать. Вы не мейнтер, вы даже на смотрите информацию по ссылкам. Вам всё равно, что там есть и чего нет, вы просто верите
>Я и не закаытваю солнце вручную. Это - делегировано майнтайнерам
Ну мейнтеры закатывают вручную. Что от этого поменялось? И пакеты мейнтеры тоже вручную пересобирают, да

Ответить | Правка | Наверх | Cообщить модератору

147. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (87), 24-Мрт-25, 17:49

>Вам в соседнем топике популярно объяснили, что все секурити фиксы актуальные для .33 прилетели
Мне лень перепечатывать то же самое, так что давайте вы скините две ссылки - по одной патч в апстриме для .33, а по второй - тоже самое, но в дебиане. Там должен быть изменён файл ext/libxml/libxml.c Справитесь?
>Я вон то юзаю потому что там полися
Сколько раз можно повторять эту лживую мантру? Открываем https://www.debian.org/releases/, смотрим, что поддержки buster 2022-09-10. Открываем https://www.php.net/ChangeLog-7.php и видим, что в buster должны быть патчи вплоть до 7.4.30, которая релизнулась 09 Jun 2022. Тот факт, что вы ни про какие версии, после 7.3.33 не вспоминаете, как раз красноречиво и говорит про дебиановцев, что они умеют только копировать патчи. Здесь https://repology.org/project/php/cves?version=7.3.32 можно найти CVE-2017-8923, которая исправлена в 7.4.24 и просто обязана быть в виде патча в дебиане
>То что они это сделали на чуть иной версии - мне похрену
Это плохо тем, что не позволяет за пару секунд определить, пропатчена ли версия в репозитории или нет. Но даже если допустить, что 7.3.31 содержит патчи из 7.3.32, то она всё равно не содержит патчей из 7.4.30. Вы всё равно неправы, даже если отбросить мой аргумент про номер версии
>1) Не должно быть откровенных известных дыр - особенно долбаемых снаружи.
Вам уже привели как минимум две версии с исправлениями - 7.4.30 и 7.3.33 для одного пакета. В соседней ветке про erlang написали. Сколько ещё раз вы будете отрицать очевидное?
>1) потому что где вы такие красивые столько человеко-часов возьмете, чтобы все вулны в всех версиях энного компонента вообще трекать
Это более чем тривиально - достаточно просто мониторить выход новых версий. Даже если на каком-то хостинге нет такой функции - с этим справится простейший скрипт
>И уж тем более я на них не буду делать мозг какая там минорная, блин, версия пхп!
Просто признайте, что мейнтеры дебиана просто не могут угнаться за всем софтом, который опакетили, они не могут даже скопипастить готовый патч

Ответить | Правка | К родителю #143 | Наверх | Cообщить модератору

170. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (170), 24-Мрт-25, 22:55

> какие версии, после 7.3.33 не вспоминаете, как раз красноречиво и говорит
> про дебиановцев, что они умеют только копировать патчи.
Как я уже сказал - мне в общем случае вообще все равно какие там гномики или кто крутил шестеренки за кадром. И какие там детали. Вы либо показываете трах Debian ремотно по сети вон тем CVE, либо имхо идете нафиг.
Ибо убивать мое время на раскопки про баги СЕМИЛЕТНЕЙ давности - извините, это несерьезно.
Более того, просто для понмиания.
1) Я умею в offensive и поэтому в отличие от вас - трезво оцениваю как и что. Т.е. шансы насколько реально этим получить и какой импакт.
2) По этой же причине - если окажется что мир был не идеальный, я к этому готов, у меня был план. Сервисы обрублены на доступ в систему и сисколы системдой. Юзаются контейнеры и виртуалки если надо. И так далее.
3) Вы совершенно не поняли пойнт. Пойнт в том что даже если майнтайнеры изредка где-то лажанут, в целом делегация им этого - силно офлоадит меня от занятия всяким ненужно, ортогональным изначальной хотелке "10 программистов проект решили сделать".
Вот вы вместо - проект сделать - вдарились фигачить какую-то хтонь на хаскеле, с каким-то трекингом каких-то портов свича. А для меня занятие чем-то таким вместо своих проектов - крайне нежелательный расклад.
А еще
4) В отличие от вас я знаю ремотно эксплойтабельный CVE на бустера. Но...
* Это нишевая хрень в нишевой либе.
* Только в некоторых конфигах.
* Тольков в oldstable дистре.
* Геморно и не гарантировано в эксплуатации.
По поводу чего вероятность огреть именно этим именно первого встречного - никакая.
> Это плохо тем, что не позволяет за пару секунд определить, пропатчена ли
> версия в репозитории или нет.
В общем случае эта задача просто делегирована вон тем - с упованием что откровенных ремотных вулнов они все же не допустят. И в целом - это так и работает. Я знаю пару отклонений от идеала. Но в случае NIH OS я даже не буду знать сколько таких отклонений вообще есть - с помойкой из кучи версий это очень гиморно трекать.
> из 7.4.30. Вы всё равно неправы, даже если отбросить мой аргумент
> про номер версии
Я не прав в желании делегировать полися - и трек CVE - майнтайнерам дистра? Надо же какой я негодяй, хочу заниматься - своими проектами. А не копанием в семилетних, бж, багах пыха. И все операционные практики оптимизируются на вот это.
> Вам уже привели как минимум две версии с исправлениями - 7.4.30 и
> 7.3.33 для одного пакета.
Я могу привести примеры круче. Для дебиана. И чертовски уверен что в помойке с N версиями пакета без единообразных полисей - еще и не такое найдется. Это доказывает что? Что мир не идеален? Я в курсе - и поэтому пытаюсь управлять именно неидеальностью, скостив объемы оной до приемлимых уровней с минимумом затрат моих сил и средств на это.
> В соседней ветке про erlang написали. Сколько
> ещё раз вы будете отрицать очевидное?
А вы вообще забавный тип. Накорябали аж какую-то хрень для трека CVE. И все как бы круто но такое решение с такой ценой в человекочасах и майнтенансов - только вам и будет надо скорее всего. И знаете, с чисто практической точки зрения, если ваши кастомеры станут интересны мощным оффенсивам - вам все вон то не сильно поможет. Особенно если эшелонированная оборона не ваше все, а плана на случай "значит не прокатило" у вас просто не было. Понимаете, для меня вон то лишь 1 аспект из множества. Нет смысла жестко фиксироваться на только этом. Ибо то же время можно было лучше потратить на допустим упрочнение инфры иными способами, минимизацию импакта и проч.
> Это более чем тривиально - достаточно просто мониторить выход новых версий. Даже
> если на каком-то хостинге нет такой функции - с этим справится
> простейший скрипт
Это все збс - кроме того что в новой версии никто не гарантировал 100% compat с старым софтом, ABI и проч. В зависимости от того как карта ляжет можно получить дофига возни если некий апстрим что-то в новой версии поменял.
Я и сам этим грешу. Вон там я эксплойт запатчил - в новой версии которая "features release". Не, бэкпортить этого экзота сам на compat версию я не буду - я не живу вечно. Если это влепить в прод ТОЛЬКО ради секуритификса, без изменений в пару к "featured release" - у вас - таки - все умрет нахрен! Т.е. придется читать ридми, ченжлоги, выполнить характерные процедуры и проч. Не особо просто. А вон то - таки, прерогатива майнтайнеров. Т.е. взять вот этот комит с фиксом вулна, влепить в stable в своем дистре. Если их это интересует. Это тоже - делегирование работ. И поверьте, так делаю не только я.
>>И уж тем более я на них не буду делать мозг какая там минорная, блин, версия пхп!
> Просто признайте, что мейнтеры дебиана просто не могут угнаться за всем софтом,
> который опакетили, они не могут даже скопипастить готовый патч
Они, конечно, не боги - и иногда лажа выходит и у них. Я даже знаю пару примеров реально эксплойтабельного добра. Но - увы - на каждом первом это, конечно, не работает, и импакт этого в целом - минимальный. В этом пойнт общесистемных полисей и состоит.
Более того - если вы уверены что ваши системы нельзя огреть сплойтами - оптимизм эт конечно хорошо. Но только не в информационной безопасности. Там пессимизм, паранойя и реализм лучше работают.

Ответить | Правка | Наверх | Cообщить модератору

177. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (87), 25-Мрт-25, 09:37

>Вы либо показываете трах Debian ремотно по сети вон тем CVE, либо имхо идете нафиг.
Стадия отрицания прошла, теперь начался торг. Только вот вопрос - а зачем мне это делать? Вы не верите багтрекерам, где уязвимостям присовен данный статус?
>Ибо убивать мое время на раскопки про баги СЕМИЛЕТНЕЙ давности - извините, это несерьезно
Я вам описал как действовать - заходите на сайт repology, вводите фильтры и смотрите. Без проблем можно найти кучу уязвимых пакетов в текущем релизе
>Пойнт в том что даже если майнтайнеры изредка где-то лажанут, в целом делегация им этого - силно офлоадит меня от занятия всяким ненужно
Вы не понимаете, это не исключение, это правило. Поскольку релизный цикл у приложений гораздо меньше, чем время жизни очередного релиза дебиана. И нужно в каждый проект на полтора землекопа приставлять одного дебиан разработчика, чтобы проект поддерживался весь жизненный цикл проекта
>Я могу привести примеры круче. Для дебиана. И чертовски уверен что в помойке с N версиями пакета без единообразных полисей
Не можете, ибо иначе вы бы вначале пример приводили, а потом об этом говорили. Кроме того, я вам уже неоднократно писал, что для NixOS достаточно обновления пакета в апстриме, а для дебиана нужно будет патчить не кому нибудь, а мейнтерам дебиана, поскольку уже вышла новая версия
>Вот вы вместо - проект сделать - вдарились фигачить какую-то хтонь на хаскеле
Это другой аноним, а не я. Вам не верится, что у NixOS несколько пользователей?
>Это все збс - кроме того что в новой версии никто не гарантировал 100% compat с старым софтом, ABI и проч
Правильно, по этому версии нужно обновлять регулярно, а не в суматохе раз в два года.
>Т.е. придется читать ридми, ченжлоги, выполнить характерные процедуры и проч. Не особо просто. А вон то - таки, прерогатива майнтайнеров
Либо тех, кто пишет софт, то есть разработчиков
>Но - увы - на каждом первом это, конечно, не работает, и импакт этого в целом - минимальный
Так и запишем, политика дебиана не возбраняет наличие кучи сложноэксплуатируемых уязвимостей

Ответить | Правка | Наверх | Cообщить модератору

123. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (123), 24-Мрт-25, 09:39

Нет, и не портируют, ибо поддержка закончилась.

Ответить | Правка | К родителю #87 | Наверх | Cообщить модератору

150. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (149), 24-Мрт-25, 17:57

так это нужно знать, а желание такого нет

Ответить | Правка | Наверх | Cообщить модератору

122. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (122), 24-Мрт-25, 09:00

>> А некоторые аноны всё ещё продолжают использовать Тайлс и верить что они аноны.
> Правильно, надо nih os поставить - тогда вам устроят данон в три
> раза быстрее, долбанув общеизвестным эксплойтом либу за которую вообще никто в
> этой nih-помойке не отвечает. Потому что где они столько майнтайнеров вообще
> возьмут чтобы за этим следить?
А они и не следят, у NixOS нет жёсткого правила следить за секурностью каких-либо либ всю дорогу, если обнаружится CVE и апстрим выпустит секурити-патч, то в NixOS просто соберут новую зависимость с новым хэшем, и дай Ктулху, чтоб все актуальные пакеты были пересобраны с этой новой зависимостью, но это необязательно. А если уязвимость произошла вне поддерживаемой уже ветке (канале), то она там так и останется на веки вечные, что грустно с учётом того, какой реальный цикл жизни каналов у NixOS.
Всё бы ничего, это всё можно было бы спустить на тормозах, основная ведь задача дистра пруф оф концептить саму идею возможности существония целой системы на nix, но улюлюкающие и неугомонные сектанты-фанатики из лагеря NixOS проповедуют NixOS и nixpkgs как серебрянную пулю, де возможно любой пакет любой версии в любое время поставить куда угодно... Да, можно, но есть очень жирный нюанс, который стыдливо стараются не упоминать.
NixOS это про повторяемость и она с этим хорошо справляется, но на секурность уровня LTS-продакшон дистров у неё не хватает ресурсов, да и вменяемые люди это понимают и поэтому, с учётом этих её особенностей используют её по назначению, игнорируя бредни фанатиков-сектантов. Абсолютно у любого дистра есть свои сильные и слабые стороны, если этим грамотно пользуется, с пониманием этого, адекватный администратор, то всё будет +/- нормально. Проблемы начинаются тогда, когда сектанта-фанатика принимают за адеквата и полагаются на его сектантские навыки и подходы. Центральной комиссии по компетентности и аттестации сотрудников к сожалению нет, поэтому в бизнес проникают любого рода шарлатаны и шизы, из-за которых потом в проде и федоры и арчи и всяким самопал обнаруживается, ну или nixpkgs дырявый и продолбанный, во все поля.¯\_(ツ)_/¯
Так что, NixOS это отличный инструмент и сам по себе дистрибутив очень правильный и годный для своей ниши, но всё портят неадекваты, которые его без разбора стараются воткнуть в каждый утюг.

Ответить | Правка | К родителю #82 | Наверх | Cообщить модератору

135. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (87), 24-Мрт-25, 13:39

>и дай Ктулху, чтоб все актуальные пакеты были пересобраны с этой новой зависимостью
Зачем вы из раза в раз приводите свои фантазии расходящиеся с реальностью?
>А если уязвимость произошла вне поддерживаемой уже ветке (канале), то она там так и останется на веки вечные
Ровно как и в дебиане. Хотя постойте, в дебиане уязвимости не всегда правят даже в stable ветке, не говоря уже про lts и elts
>Да, можно, но есть очень жирный нюанс, который стыдливо стараются не упоминать.
Какой-же? Ваше неправильное понимание того как работает NixOS?
>но на секурность уровня LTS-продакшон дистров
Было бы сказано. В дебиане куча пакетов никогда не обновляется. Заходим на https://repology.org/projects/?search=&maintainer=&category=... и там куча пакетов. Обратите внимание, что там есть пагинация, полный список пакетов на одну страницу не влезает, уязвимых пакетов больше, чем указано на странице. Вот например https://repology.org/project/erlang/cves?version=25.2.3 смотрим, что упоминается в журнале изменений, последняя запись за 2021 год https://metadata.ftp-master.debian.org/changelogs//main/e/er... в списке наложенных патчей CVE вообще никак не отображаются https://sources.debian.org/patches/erlang/1:25.2.3+dfsg-1/&n...Здесь вам не получится сказать, что это уже oldoldstable, поскольку 12 ветка это текущий stable
А теперь сравните это с этим списком https://repology.org/projects/?inrepo=nix_stable_24_11&outda... , который во-первых влезает целиком на одну страницу, во-вторых, значительное количество пакетов уязвимы только в старых версиях, которые даны лишь для тех, кто до сих пор почему-то не обновился.
И сколько бы вы про волшебных мейнтеров из дебиана не говорили, но они попросту не тянут патчить весь апстрим даже в течении 2 лет стабильной версии, не говоря уже про расширенный срок поддержки. А брать патчи из апстрима, как это делает NixOS, они тоже не могут, так как далеко не каждый проект поддержиывается даже год спустя после релиза

Ответить | Правка | Наверх | Cообщить модератору

146. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (-), 24-Мрт-25, 17:40

> Ровно как и в дебиане. Хотя постойте, в дебиане уязвимости не всегда
> правят даже в stable ветке,
Вот не надо тут врать. В дебиане есть вполне конкретные полися на тему. Иногда, конечно, отклонения от идеала - бывают. Но сидеть с жирным вулном - особенно ремотным - в целом там не принято.
Более того - поскольку вторая полися запрещает ломать прод, можно - нарулить автоапдейты на хосте, оно будет само тягаться, само аплаиться, и - про энный хост можно на пару годиков просто забыть. Не делая себе мозг какая там блин минорная версия пыха формально. Это - задача пакетника и майнтайнеров. Они явно вписались делать такие полися. Чем и круты, собственно. Это - повод выбрать их, а не непонятных васянов без внятных полисей. И по возможности поддерживать именно их комьюнити и пути своими ресурсами, скилами и деньгами.
> не говоря уже про lts и elts
У сабжа вообще нет ни намека на это - сравнивать "something" и "nothing" просто невозможно. Если там не идеально а у других никак - ну вы поняли!

> Было бы сказано. В дебиане куча пакетов никогда не обновляется.
А таки - общесистемные полися там есть. В отличие от. И более-менее работают. В отличие от.
> и там куча пакетов. Обратите внимание, что там есть пагинация, полный
> список пакетов на одну страницу не влезает,
Это довольно горбатый способ трекинга вулнов и скорее всего работает с дебианом неправильно. У дебиана свой трекер секурити есть и он куда авторитетнее. Для жирных вулнов на опеннете линки приводят на статус фикса вулна в дистрах - и для дебиана там ссыль на их трекер, в отличие от васян-трекера который может быть не особо в курсе внутренней кухни и всех полисей и врядли трекает с точностью до именно патчей с фиксом CVE. А какая там формально версия в какой-то крапологии заявлено - кого это волнует? Фана nih-os упорно форсящего этот сервис?
> И сколько бы вы про волшебных мейнтеров из дебиана не говорили, но
> они попросту не тянут патчить весь апстрим даже в течении 2 лет стабильной версии,
Но у вас то - нету и такого. Есть просто помойка, без полисей вообще.

Ответить | Правка | Наверх | Cообщить модератору

175. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (87), 25-Мрт-25, 00:41

>В дебиане есть вполне конкретные полися на тему
Я вам привёл несколько примеров, вы ни по одному примеру ничего так и не сказали, ни про эрланг, ни про пхп, как будь-то это не уязвимости вовсе, а так, новые фичи. Программы более чем сетевые, за фаерволом их не спрятать. Можно ещё веснот вспомнить, там скрипты на питоне писались, но потом поняли, что питон слабо подходит для встраиваемых приложений, так как там легко сбежать из песочницы, и заменили питон на луа. Очень даже интересно, как такие вещи будут бекпортировать
>Не делая себе мозг какая там блин минорная версия пыха формально
Эксплоиту тоже будет всё равно, дебиан у вас, или вы NixOS, как поставили, так и не обновляли. Бинарник не пропатчен? Вперёд
>Это - повод выбрать их, а не непонятных васянов без внятных полисей
У вас спрашивают про несколько уязвимых версий, а вы опять про какую-то политику обновлений говорите. У вас пластинка заела? Нет вашей политики, вам уже несколько доказательств привели
>А таки - общесистемные полися там есть
Почему эрланг не обновился?
>Это довольно горбатый способ трекинга вулнов
Чем?
>и скорее всего работает с дебианом неправильно
Вы обвиняете меня в сектанстве, но сами не потрудились никаких доказателств привести. Вы даже сами не уверены, поскольку пишите "скорее всего"
>У дебиана свой трекер секурити есть и он куда авторитетнее
Нет обновлиний - значит они не нужны, так лидер секты сказал. Как можно слова лидера под сомнение ставить?
>Для жирных вулнов
Так прямо и говорите, что в дебиане - куча только нежирных уязвимостей, а жирность каждой конкретной уязвимости может определить только автор дебиана. Обратите внимание, что уязвимость в эрланге сетевая, то есть эксплуатируется удалённо, и согласно вашей же логике - жирная. Но раз в дебиане пакет не трогают, то хоть рута она будет давать - всё хорошо
>в отличие от васян-трекера который может быть не особо в курсе внутренней кухни
В нормальных дистрибутивах достаточно всегда обновляться до последнего патча. Этот факт вы тоже упорно игнорируете
>> не говоря уже про lts и elts
>У сабжа вообще нет ни намека на это - сравнивать "something" и "nothing" просто невозможно.
>> они попросту не тянут патчить весь апстрим даже в течении 2 лет стабильной версии,
>Но у вас то - нету и такого
Так это же хорошо, что нет. Зачем нужен очередной дырявый как дебиан дистрибутив? Вам же прямо говорят, что для того, чтобы поддерживать пакеты, даже в таком маленьком дистрибутиве как дебиан, нужно менять релизный цикл всего опакеченного в дебиане софта. Нужно в каждый проект: пхп, эрланг, нжинкс и так далее, ставить своего разработчика, который будет сидеть, и бекпортировать исправления. А вы никак не понимаете, что мейнтеров дебиана на все проекты не хватит.

Ответить | Правка | Наверх | Cообщить модератору

155. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (122), 24-Мрт-25, 18:31

>>и дай Ктулху, чтоб все актуальные пакеты были пересобраны с этой новой зависимостью
> Зачем вы из раза в раз приводите свои фантазии расходящиеся с реальностью?
Вам встречный вопрос: почему вы в треде про NixOS зачем-то упоминаете Debian?!
>>А если уязвимость произошла вне поддерживаемой уже ветке (канале), то она там так и останется на веки вечные
> Ровно как и в дебиане. Хотя постойте, в дебиане уязвимости не всегда
> правят даже в stable ветке, не говоря уже про lts и
> elts
Опять же причём тут Debian? И судя по вашим тут высказываниям у вас какой-то пунктик обиженки вокруг него.
>>Да, можно, но есть очень жирный нюанс, который стыдливо стараются не упоминать.
> Какой-же? Ваше неправильное понимание того как работает NixOS?
Именно этот самый нюанс, когда всякие фанатики рекламят о том, что в NixOS можно поставить любой пакет любой версии с любого канала, всё так, вот только опускают о том, что эти любые пакеты из уже неподдерживаемых каналов так там и валяются и их никто не обслуживает и никто секурити-патчи не накладывает. А с учётом жизни канала это такой себе LTS, это скорее федорино коре какое-то на минималках, но с крутым подходом повторяемости сборок, на мой взгляд лучше чем в ostree, но это уже дискуссионно.
Ну это всё равно равносильно тому, как если бы срезы Арча хранить и кусками устанавливать в каком-нибудь дистробоксе, примерно такого же уровня секурность, без какого-либо сэндбоксинга вообще. xD
И с пониманием того как работает NixOS у меня всё нормально, это не какое-то сакральное знание, которое доступно избранной илитке, которой видимо себя считают некоторые никсосоводы. ;)
>[оверквотинг удален]
> А теперь сравните это с этим списком https://repology.org/projects/?inrepo=nix_stable_24_11&outda...
> , который во-первых влезает целиком на одну страницу, во-вторых, значительное количество
> пакетов уязвимы только в старых версиях, которые даны лишь для тех,
> кто до сих пор почему-то не обновился.
> И сколько бы вы про волшебных мейнтеров из дебиана не говорили, но
> они попросту не тянут патчить весь апстрим даже в течении 2
> лет стабильной версии, не говоря уже про расширенный срок поддержки. А
> брать патчи из апстрима, как это делает NixOS, они тоже не
> могут, так как далеко не каждый проект поддержиывается даже год спустя
> после релиза
Ну блин, вместо того чтобы как-то спорить или соглашаться со сказанным, опять Debian, ну серьёзо, у вас реально на нём какая-то нездоровая фиксация, весь пост какой-то унылый вотабаутизм про страшный и ужасный Debian, который судя по вашим обиженным высказываниям тут, чуть ли не грешил тем, что в вашем детстве трогал вас за всякие места?! xD

Ответить | Правка | К родителю #135 | Наверх | Cообщить модератору

174. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (87), 25-Мрт-25, 00:10

>Вам встречный вопрос: почему вы в треде про NixOS зачем-то упоминаете Debian?!
Затем, что узнал анонима, с которым беседовал раньше по характерной фразе
>Опять же причём тут Debian?
Потому, что первоначально я начала беседу с анонимом, который предпочитает дебиан
>И судя по вашим тут высказываниям у вас какой-то пунктик обиженки вокруг него.
Возмите любой другой дистрибутив с длительным сроком поддержки, где замораживаются версии пакетов, хоть ту же убунту, ничего не поменяется
>всё так, вот только опускают о том, что эти любые пакеты из уже неподдерживаемых каналов так там и валяются и их никто не обслуживает и никто секурити-патчи не накладывает
Знаете, у некоторых дистрибутивов бывают срезы репозитория на определённую дату, как у того же дебиана. И если пакеты из этого среза поставить хоть в чрут, хоть в контейнер, они будут точно так же уязвимы, как и в никсос. А даже если срезов репозитория нет, то существуют архивные репозитории, позволяющие скачать пакет из старых версий. Вас это почему-то ни капельки не смущает
>А с учётом жизни канала это такой себе LTS
Перед тем, как говорить про lts не забудьте расписать, что этот lts в себя включает, поскольку далеко не каждый пакет в lts поддерживается, зато если он поддерживается, его версия ну уж точно не обновится
>Ну это всё равно равносильно тому, как если бы срезы Арча хранить и кусками устанавливать в каком-нибудь дистробоксе, примерно такого же уровня секурность, без какого-либо сэндбоксинга вообще.
Какой сэндбоксинг есть у срезов/архивных веток дебиана, неуж-то никакого? Если у вас веб сервер в интернет торчит, то какая вам выгода с того, что хост остался цел, если сайт взломан? Кроме того, вы утверждаете, что сэндбоксинга нет вообще. Сразу видно, что вы никсос даже не запускали. Поскольку если бы вы её запустили, то знали бы, что по умолчанию включен фаервол. Или nginx изолирован и доступа сразу ко всей файловой системе не имеет. Конечно, это не red hat, с его selinux из коробки, но уже гораздо больше, чем предложат другие дистрибутивы из коробки, типа дебиана или арча
>весь пост какой-то унылый вотабаутизм
Выучили новое слово, и теперь им козыряете?
>у вас реально на нём какая-то нездоровая фиксация
Срок поддержки убунты в десять лет - это точно такая же нездоровая тенденция, как и дебиан. Редхат с его ещё большим жизненным циклом - ещё более нездоровая тенденция, однако её очень сильно нивелирует одно носпоримое преимущество, по сравнению с дебианом - малый размер репозитория. То есть условный php скорее всего будет свежим, даже не смотря на старость основной системы
>чуть ли не грешил тем, что в вашем детстве трогал вас за всякие места?! xD
Некоторое время пришлось поработать со старым софтом с точки зрения разработки. Впечатления не самые приятные

Ответить | Правка | Наверх | Cообщить модератору

179. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (122), 25-Мрт-25, 14:31

>>Вам встречный вопрос: почему вы в треде про NixOS зачем-то упоминаете Debian?!
> Затем, что узнал анонима, с которым беседовал раньше по характерной фразе
Мдя, бывает конечно, вы не из службы доксинга анонимов случаем?
>>Опять же причём тут Debian?
> Потому, что первоначально я начала беседу с анонимом, который предпочитает дебиан
Бывает, если что, тут на опеннете напротив почти каждого анонима есть его номер, если вам пишут анонимы с разными номерами, то это в большинстве случаев разные анонимы, я не вам, не другим участникам обсуждения тут про Debian ничего не писал, это у вас какие-то замашки продолжать разговор со случайными людьми, который вы начали не с ними.
Не стоит так делать, это выглядит по меньшей мере странно!
>>И судя по вашим тут высказываниям у вас какой-то пунктик обиженки вокруг него.
> Возмите любой другой дистрибутив с длительным сроком поддержки, где замораживаются версии
> пакетов, хоть ту же убунту, ничего не поменяется
Мы не обсуждали любой другой дистрибутив, по крайней мере я уж точно, разговор был не про любой другой, а в общем про подход.
Откуда такое рвение съехать на удобную для вас тему с неудобной?
>>всё так, вот только опускают о том, что эти любые пакеты из уже неподдерживаемых каналов так там и валяются и их никто не обслуживает и никто секурити-патчи не накладывает
> Знаете, у некоторых дистрибутивов бывают срезы репозитория на определённую дату, как у
> того же дебиана. И если пакеты из этого среза поставить хоть
> в чрут, хоть в контейнер, они будут точно так же уязвимы,
> как и в никсос. А даже если срезов репозитория нет, то
> существуют архивные репозитории, позволяющие скачать пакет из старых версий. Вас это
> почему-то ни капельки не смущает
Меня такое ни капельки не смущает, а знаете почему?
Да потому что в отличии от рекламщиков никсосных уберфич, что пакеты из этого чудо-pkgs можно поставить в любое время в любую погоду в любое место и всё будет тип-топ, чуть ли не буквально в таком стиле преподносится, фанатики которые не отдают себе отчёт в том что гонят ересь в случае, если не предупреждают об опасности таких практик, а они как правило не предупреждают, ведь характерное свойство фанатиков выпячивать плюсы и стыдливо умалчивать про минусы, что несправедливо и нечестно по отношению к потенциальным олухам, которых они таким бессовестным образом пытаются окучивать своими сладкими зазывными речами, так вот в отличии от таких никсосников, другие, назовём это рядовыми, традиционными дистрибутивами, конечно могут обмолвится о такой теоретической возможности, НО ОНИ НИКОГДА НЕ ВЫПЯЧИВАЮТ ЭТО КАК ФИЧУ и НАСТОЯТЕЛЬНО НЕ РЕКОМЕНДУЮТ ТАКОЕ ПРАКТИКОВАТЬ, потому что это небезопасно, о чём явно предупреждается адекватными людьми, вот в чём кардинальное отличие!
Претензия моя, если вы всё ещё слепы к содержанию моего посыла, а не троллите кося под дурачка, не в том, что в NixOS можно практиковать установку пакетов из других каналов, отживших своё, у меня к технической части и к самому дистрибутиву особых претензий и нет, неплохая штука для своей ниши, у меня претензии к нездоровому поведению фанатиков от лагеря NixOS, именно к нездоровым фанатикам, потому что есть достаточно вменяемых людей, которые пользуются этим дистрибутивом и не ведут себя как утырки, которые на голубом глазу без зазрения совести рекламят возможности установки любых пакетов, абсолютно любых версий не предупреждая о том, что эта фича потенциально опасна с точки зрения секурности! Всё, точка!
Правильным подходом было бы честно сообщать о том, что в NixOS возможно более удобный механизм развёртывания каких-либо окружений и что одна из основных фич, которой удобно пользоваться это возможность установки любого софта любой версии из любого среза канала, относительно штатными средствами, НО ВСЕГДА нужно иметь в виду, что это пакеты неподдерживаемые и гарантирована только их работа в том окружении, в котором они тестировались. Потому что главная фича это ЛЁГКОСТЬ развёртывания таких окружений и гарантия работы нужного пакета в этом развёрнутом окружении [но это неточно ))] она же по сути единственная? которую можно отнести в плюс.
Хочу ещё раз, для тех кто в танке, прояснить свою позицию!
На вашу святую корову никто не покушается, с ней всё нормально, а ненормально всё с головой у фанатиков-адептов, вот они на мой взгляд самая главная проблема комьюнити NixOS, это как раньше с манджароводами было, они из каждого утюга чесали языками про свою манджару, что это чуть ли не лучший дистр который решает все проблемы и всё у него просто прекрасно и замечательно, а остальные дистрибутивы шлак. Вот теперь эту эстафету перехватили никсосоводы, причём с места в карьер влетели с двух ног, но головой в землю! xD
Теперь манжаристы нервно курят в углу держа пиво другой волны неуёмных отбитых фанатиков, но видимо такова участь линуксового мира, циклически испытывать на себе нашествия разного рода отбитых товарищей с очередной мегаидеей и очередной серебрянной пулей.
>>А с учётом жизни канала это такой себе LTS
> Перед тем, как говорить про lts не забудьте расписать, что этот lts
> в себя включает, поскольку далеко не каждый пакет в lts поддерживается,
> зато если он поддерживается, его версия ну уж точно не обновится
Так в том и суть LTS, новые мажорные версии не завозятся, минорными апдейтами залатывают баги или дыры. Вы тут Америку не открыли, это как бы все разумные кто в теме в курсе, или вы думали что срываете покровы с секрета Полишинеля?
>>Ну это всё равно равносильно тому, как если бы срезы Арча хранить и кусками устанавливать в каком-нибудь дистробоксе, примерно такого же уровня секурность, без какого-либо сэндбоксинга вообще.
> Какой сэндбоксинг есть у срезов/архивных веток дебиана, неуж-то никакого? Если у вас
> веб сервер в интернет торчит, то какая вам выгода с того,
> что хост остался цел, если сайт взломан? Кроме того, вы утверждаете,
> что сэндбоксинга нет вообще. Сразу видно, что вы никсос даже не
> запускали. Поскольку если бы вы её запустили, то знали бы, что
> по умолчанию включен фаервол.
Мда, очередное предположение и в очередной раз мимо, я не только не разу не запускал, я этим вашим NixOS пользуюсь, просто я не кричу на всех углах с каждого утюга о том, что это средство от всех проблем в мире ОС, ну да ладно.
> Или nginx изолирован и доступа сразу ко
> всей файловой системе не имеет. Конечно, это не red hat, с
> его selinux из коробки, но уже гораздо больше, чем предложат другие
> дистрибутивы из коробки, типа дебиана или арча
Мне ваша позиция ясна уже была до этого поста на самом деле. И я скорее не для вас тут отвечаю, с вами для меня уже всё ясно, случай тяжёлый. Я для случайных забредших анонов стараюсь, чтобы с точкой зрения нефанатика также ознакомились.
>>весь пост какой-то унылый вотабаутизм
> Выучили новое слово, и теперь им козыряете?
ОМГ, я не думал что у вас так всё запущено?! xD
>>у вас реально на нём какая-то нездоровая фиксация
> Срок поддержки убунты в десять лет - это точно такая же нездоровая
> тенденция, как и дебиан. Редхат с его ещё большим жизненным циклом
> - ещё более нездоровая тенденция, однако её очень сильно нивелирует одно
> носпоримое преимущество, по сравнению с дебианом - малый размер репозитория. То
> есть условный php скорее всего будет свежим, даже не смотря на
> старость основной системы
Ясно-понятно, так и запишем, поциент спорит с логикой и подходом энтепрайза и считает, что он лучше знает как им неразумным нужно! Мания величия, есть такой симтом в нашем списке! xD
>>чуть ли не грешил тем, что в вашем детстве трогал вас за всякие места?! xD
> Некоторое время пришлось поработать со старым софтом с точки зрения разработки. Впечатления
> не самые приятные
Ясно-понятно, очередной обиженный на то, что неразумные дистроразрабы не хотят тянуть свежак, только что с пылу с жару из-под коня и не слушаются совета скачать последнюю ночнушку чтобы в их LTS-системах завелась их чудо из чудес самая великая и гениальнейшая в мире программа, вокруг все неразумные, оскудевшие умом, один я великий и разумный, всё понимаю и за всех щас порешаю! Мания величия как она есть.
Благо что ещё про энтерпрайзе не все смузихлёбами на вейпах стали и хоть как-то с головой дружат и такие подходы пока не возобладали в мейнстриме, слава Ктулху!

Ответить | Правка | Наверх | Cообщить модератору

100. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Анонимм (??), 23-Мрт-25, 20:20

Этот пативэн назывался "воронком" в мою эпоху доламповых компьютеров. Выезжал по соседским бекдорам незамедлительно. Всё работало чётко. Это сейчас случаются сбои. Но хорошо, что всё реже. Например, уже невозможно выбить "не ту" дверь. Потому что, если дверь выбита, то значит, она автоматически становится "той".

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

110. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." –1 +/–

Сообщение от Аноним (110), 23-Мрт-25, 21:52

> Этот пативэн назывался "воронком" в мою эпоху доламповых компьютеров.
Где ж ты дед пативэнов возьмешь чтобы строить каждый пылесос и роутер?
> Потому что, если дверь выбита, то значит, она автоматически становится "той".
Отлично. Знаете что такое SWATTING? Теоретическа это карается. Но если разбираться не будут, и дверь точно правильная, поклонники направления вероятно одобрят такой тренд!

Ответить | Правка | Наверх | Cообщить модератору

117. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Анонимм (??), 23-Мрт-25, 23:40

> Где ж ты дед пативэнов возьмешь чтобы строить каждый пылесос и роутер?
А их не строили и не строят. В посконной мастерской сидит Потёмкин и шильдики переклеивает. Но вот технологии поклейки шильдиков совершенствуются - это да. Просто потому что Старший Брат продолжает бояться вторичных санкций.

Ответить | Правка | Наверх | Cообщить модератору

119. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (-), 24-Мрт-25, 02:19

>> Где ж ты дед пативэнов возьмешь чтобы строить каждый пылесос и роутер?
> А их не строили и не строят.
Плохо старался значит. Например, подумай что можно прописать обладателю двери и точки доступа в SSID, чтобы ему захотели 10 лет лагерей дать. Видишь, немного креатива и...

Ответить | Правка | Наверх | Cообщить модератору

148. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (149), 24-Мрт-25, 17:54

да.. тебя вокруг пальца не обведешь!
железо, ОС, приложения, вообщем все себе сам делаешь.
молодец

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +5 +/–

Сообщение от Fracta1L (ok), 23-Мрт-25, 10:33

А что если просто собирать пакеты, вытягивая исходники из git вместо использования готовых архивов?

Ответить | Правка | Наверх | Cообщить модератору

5. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." –4 +/–

Сообщение от Аноним (5), 23-Мрт-25, 10:40

Тогда не заметят бэкдор, добавленный задним числом в Git. Пример https://www.opennet.ru/opennews/art.shtml?num=62892

Ответить | Правка | Наверх | Cообщить модератору

12. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от 12yoexpert (ok), 23-Мрт-25, 10:53

где по ссылке хоть какой-то намёк на подстановку чего-либо задним числом?

Ответить | Правка | Наверх | Cообщить модератору

15. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (5), 23-Мрт-25, 10:59

В релизные git-теги добавили левый коммит, соответственно для релиза будет отдан уже совсем другой код, а не тот что был раньше.

Ответить | Правка | Наверх | Cообщить модератору

16. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от 12yoexpert (ok), 23-Мрт-25, 11:01

// пропуская мимо ушей
где там про заднее число что-то?

Ответить | Правка | Наверх | Cообщить модератору

18. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +2 +/–

Сообщение от Аноним (5), 23-Мрт-25, 11:07

Ну смотрите, разработчики выпустили релиз, через какое-то время пришёл какой-то чувак и добавил в git-тэг релиза вредоносный коммит, так что если загружать релиз по тегу в коде  окажутся его изменения.

Ответить | Правка | Наверх | Cообщить модератору

34. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (34), 23-Мрт-25, 12:12

Вопрос.
А зачем загружать\выгружать именно по тегу?
Тэги - это какая то священная корова?

Ответить | Правка | Наверх | Cообщить модератору

40. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от деанон (ok), 23-Мрт-25, 12:31

Для удобства и снижения нагрузки с сопровождающего

Ответить | Правка | Наверх | Cообщить модератору

136. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (87), 24-Мрт-25, 13:41

Какие у вас кроме тегов есть варианты? По коммиту?

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

158. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от n00by (ok), 24-Мрт-25, 18:50

Есть вариант использовать "блокчейн" git-a, да. Впрочем, остаются вопросы о криптографической стойкости.

Ответить | Правка | Наверх | Cообщить модератору

75. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +1 +/–

Сообщение от Аноним (75), 23-Мрт-25, 14:22

Что значит не заметят? Контрольная сумма изменится

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

6. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (5), 23-Мрт-25, 10:42

И в дополнение, предвкушая вопрос. Подменить задним числом архив не получится, так как дистрибутивы сохраняют у себя хэши и потом при повторной загрузке проверяют.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

28. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от n00by (ok), 23-Мрт-25, 11:40

Они решают задачу "обнаружить модификацию, проделанную неизвестным способом".

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

44. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +1 +/–

Сообщение от Аноним (44), 23-Мрт-25, 12:41

> Они решают задачу
выявление бекдора, внесенного мейнтейнером :)

Ответить | Правка | Наверх | Cообщить модератору

49. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от n00by (ok), 23-Мрт-25, 12:53

>> Они решают задачу
> выявление бекдора, внесенного мейнтейнером :)
У этой задачи возможно два решения:
1. Предположить какие-то определённые способы внесения бэкдора и противодействовать им.
2. Исходить из того, то невозможно предугадать все возможные способы, и пробовать решить в общем виде.

Ответить | Правка | Наверх | Cообщить модератору

57. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (44), 23-Мрт-25, 13:06

> 1. Предположить какие-то определённые способы внесения бэкдора и противодействовать им.
на шаг всегда позади, как в случае и с антивирусами, но куда хуже, когда банальный на вид баг - реальный бекдор.
> Исходить из того, то невозможно предугадать все возможные способы, и пробовать решить в общем виде.
А не надо гадать, достаточно иметь четкую спецификацию, отсюда - верификация. Но для воплощения этого необходимо принять понятие "законченный продукт", код (продукт в целом) у которого есть спецификация, протестирован и с гарантиями как полной функциональной работоспособностью, так и с гарантиями безопасТности от известных векторов атак, так и мерами применимыми от неизвестных (независящих напрямую от архитектуры проекта - секур-бай-дезинг). В опен-сурс проектах такого НИКОГДА не будет - так как там нет понятия "законченный продукт".
пс: "каждая компиляция - новая версия" (ц) :)

Ответить | Правка | Наверх | Cообщить модератору

71. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." –2 +/–

Сообщение от n00by (ok), 23-Мрт-25, 13:50

Да, если решение и есть, оно не обязательно верное.)
А вот любопытно. Допустим, придумали некий язык и научились писать на нём особую  спецификацию, она бы верифицировалась и заодно создавался исходник на Си. Если открыть последний, это разве не опенсорс? Можно даже СПО, под GPL. :)

Ответить | Правка | Наверх | Cообщить модератору

76. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (44), 23-Мрт-25, 14:33

> Допустим, придумали некий язык и научились писать на нём особую  спецификацию, она бы верифицировалась и заодно создавался исходник на Си.
Так есть же всякие Coq, Agda, Isabelle, которые генерируют код, но какой код? Я думаю, что надо генерировать конкретный машинный код, а не код на Си.
> Если открыть последний, это разве не опенсорс?
Опенспекс :)

Ответить | Правка | Наверх | Cообщить модератору

157. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (122), 24-Мрт-25, 18:43

>> 1. Предположить какие-то определённые способы внесения бэкдора и противодействовать им.
> на шаг всегда позади, как в случае и с антивирусами, но куда
> хуже, когда банальный на вид баг - реальный бекдор.
Всё так, не добавить не убавить!
>> Исходить из того, то невозможно предугадать все возможные способы, и пробовать решить в общем виде.
> А не надо гадать, достаточно иметь четкую спецификацию, отсюда - верификация. Но
> для воплощения этого необходимо принять понятие "законченный продукт", код (продукт в
> целом) у которого есть спецификация, протестирован и с гарантиями как полной
> функциональной работоспособностью, так и с гарантиями безопасТности от известных векторов
> атак, так и мерами применимыми от неизвестных (независящих напрямую от архитектуры
> проекта - секур-бай-дезинг). В опен-сурс проектах такого НИКОГДА не будет -
> так как там нет понятия "законченный продукт".
Так-то оно так, и рассуждаете вы вроде бы здраво, но оглянитесь вокруг, а большинство ли проектов вообще имеют версии которые можно с чистой совестью назвать "законченный продукт"? Тут-то и LTS-версии есть не у всего, огромная масса я у мамы сам себе художников ваяет и крапает свои программки не оглядываясь на то какие либы будут в релизной версии продкашон-дистров. Он-то, крапатель своей софтины нередко думает что его программа будет главная и единственная в системе и все на неё, святую корову, должны молиться, а мейнтенеры и разработчики дистров просто тугие и не понимают нужд гения, вкорячивают не ночнушные версии либ, а какие-то "протухлые от мамонтов".
> пс: "каждая компиляция - новая версия" (ц) :)
Ну на самом деле по факту 99% так и бывает ¯\_(ツ)_/¯

Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

166. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (44), 24-Мрт-25, 21:53

> а большинство ли проектов вообще имеют версии которые можно с чистой совестью назвать "законченный продукт"?
В том то и дело, надо определить сначала понятие "законченный продукт". Если наш продукт зависит от "незаконченного продукта", добьемся ли мы когда-нибудь "законченности" собственного продукта?

пс: писалась бы музыка так, как пишутся современные программы :)

Ответить | Правка | Наверх | Cообщить модератору

167. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (44), 24-Мрт-25, 21:59

писались бы литературные произведения так, как пишут современные программы.
писались бы картины так, как пишут современные программы.
и таких "писались бы" "законченных продуктов" - куча.
Говоря об определении "законченный", можно сравнить с определением "спелый". Вкусен ли неспелый продукт? буэээ - ну вот точно такое же буэээ должна вызывать программа "неспелая" :)

Ответить | Правка | К родителю #157 | Наверх | Cообщить модератору

172. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (87), 24-Мрт-25, 23:44

>писались бы литературные произведения так, как пишут современные программы.
>писались бы картины так, как пишут современные программы.
За западной культурой не слежу, но добро пожаловать в ранобе/мангу/аниме. Проблема в том, что создание произведения стоит денег, при этом не малых, а издателю очень важна окупаемость. По этому либо произведение будет планироватся коротким, и когда выстрелит, на него будут в спешном порядке навешивать незапланнированные вещи, что будет видно по несостыковкам, либо оно будет планироваться большим, и в итоге окажется что и половина сюжетных линий не раскрыта. Заметно это по причине того, что такие произведения большие, это не фильм, где всё скомкали в час - полтора.
>Вкусен ли неспелый продукт? буэээ - ну вот точно такое же буэээ должна вызывать программа "неспелая" :)
Ну станьте монахом, уйдите в монастырь, пока пишите законченную программу. Проблема в том, что когда вы её всё таки допишите, и выйдите в мир, то обнаружите, что во-первых не всё учли, при составлении ТЗ, а во-вторых, мир меняется. Можно долго писать программу для записи компакт дисков, а потом с удивлением обнаружить, что все уже интернетом пользуются.

Ответить | Правка | Наверх | Cообщить модератору

173. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (44), 25-Мрт-25, 00:04

> Проблема в том, что создание произведения стоит денег
Проблема в денежной оценке.
> Ну станьте монахом, уйдите в монастырь, пока пишите законченную программу.
А че, лучше создать ядерную бомбу? Или багнутую программу для аппарата вентиляции легких к примеру. Подумаешь помрет ваш близкий человек от этого, все ведь смертны.
> во-вторых, мир меняется
и все забывается, а потом переоткрывается, представляется как "вау" и т.д. по кругу порочному. Вы отказались от компакт дисков (думаю, вы имели ввиду сидюки), но не отказались от магнитных, которые раньше этих компактных были созданы.
> Можно долго писать программу
Можно долго ходить по пустыне с золотом в карманах и кичиться, какой вы богатый.

Ответить | Правка | Наверх | Cообщить модератору

41. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (41), 23-Мрт-25, 12:32

для этого надо полностью доверять содержимому этих репозиториев, причём доверять каждый раз когда делается git pull

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

50. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Fracta1L (ok), 23-Мрт-25, 12:53

Разве есть какие-то другие варианты? Ты либо доверяешь разработчику, либо нет, но если нет - лучше выкинуть этот пакет из своих репозиториев.

Ответить | Правка | Наверх | Cообщить модератору

65. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от n00by (ok), 23-Мрт-25, 13:29

Но если выкинуть пакет, тогда придётся самому кодить, а разработчики операционных систем выше этого.

Ответить | Правка | Наверх | Cообщить модератору

116. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (41), 23-Мрт-25, 22:56

вендоринг. то же пулл, но только проверяемый человеком
и да, код копируется на свои сервера после проверки

Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору

3. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." –4 +/–

Сообщение от oficsu (ok), 23-Мрт-25, 10:34

Подскажите им, что можно собирать просто один раз — из репы. Это избавит от бекдоров в архивах ровно в той же мере

Ответить | Правка | Наверх | Cообщить модератору

4. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +3 +/–

Сообщение от Аноним (4), 23-Мрт-25, 10:40

Тогда не будет алертов о том, что апстримные тарболы содержат ересь. (Плот твист: апстримные тарболы только ересь и содержат, скажем спасибо автокрапу.)

Ответить | Правка | Наверх | Cообщить модератору

7. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +1 +/–

Сообщение от Аноним (5), 23-Мрт-25, 10:43

Но открывает двери для бэкдоров в репозитории, например, через подмену репозитория.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

13. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от oficsu (ok), 23-Мрт-25, 10:53

Ага, делать аудит изменений в том, что собираешься собирать на своей инфраструктуре и фиксировать хеш коммита, прошедшего аудит, я так понимаю, для черни, а не для благородных мейнтейнеров?

Ответить | Правка | Наверх | Cообщить модератору

19. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +1 +/–

Сообщение от Аноним (4), 23-Мрт-25, 11:09

1. Фиксироваться должен не хэш коммита, а исходники, выкачанные по этому хэшу. Именно так дистры и поступают.
2. Цель - *выявить* бэкдор в тарболе, а не *избежать* бэкдора в тарболе. Читай внимательнее.

Ответить | Правка | Наверх | Cообщить модератору

45. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (44), 23-Мрт-25, 12:47

> 2. Цель - *выявить* бэкдор в тарболе, а не *избежать* бэкдора в тарболе. Читай внимательнее.
смешно, аналогично "мы используем http, чтобы выявить рекламу подсунутую провайдером".

Ответить | Правка | Наверх | Cообщить модератору

83. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." –1 +/–

Сообщение от oficsu (ok), 23-Мрт-25, 16:58

> 1. Фиксироваться должен не хэш коммита, а исходники, выкачанные по этому хэшу.
Хеш коммита в нормальных системах контроля версий — это и есть хеш исходников для данной ревизии. И ещё раз, выявлять бекдоры в тарболле не придётся, если отказаться от тарболлов

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

93. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (93), 23-Мрт-25, 18:46

> Хеш коммита в нормальных системах контроля версий — это и есть хеш исходников для данной ревизии
Ты притворяешься или как? Хэш коммита -- это хэш изменений, включая метадату вроде parents, author, author date, committer, committer date. Представь серию коммитов, где в один и тот же файл последовательно добавляют и удаляют строку hello. Хэш контента в таком проекте будет одинаков для коммитов N и N+2. А хэш коммитов всегда будет разный. В лок-файлах нормальных пакетных менеджеров вроде cargo, pnpm и poetry всегда держат хэш контента, даже если ты запрашивал точный коммит в качестве версии пакета. В тебе говорит тотальное незнакомство с темой, смотрим как пример федору:
Указали хэш коммита в качестве версии gn: https://src.fedoraproject.org/rpms/gn/blob/rawhide/f/gn.spec
    %global commit 18602f6cf1168cf78302024043edc02e8bad2ffb
    %global shortcommit %{sub %{commit} 1 12}
    URL:            https://gn.googlesource.com/gn
    Source0:        %{url}/+archive/%{commit}.tar.gz#/gn-%{shortcommit}.tar.gz
При этом продолжают высчитывать хэш контента и сверять его: https://src.fedoraproject.org/rpms/gn/blob/rawhide/f/sources
    SHA512 (gn-18602f6cf116.tar.gz) = 011e79eead3813585f4e12ae4fa27991b8822bf17bfaa5f4500c53a5fe9566aa7e221d23ba4928fc2ff11aac75e219db69ef41ca031a2d011b4ce8a9e1bf1368

Ответить | Правка | Наверх | Cообщить модератору

98. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." –2 +/–

Сообщение от oficsu (ok), 23-Мрт-25, 19:23

>> Хеш коммита в нормальных системах контроля версий — это и есть хеш исходников для данной ревизии
> Хэш контента в таком проекте будет одинаков для коммитов
> N и N+2. А хэш коммитов всегда будет разный
Что прекрасным образом не увеличивает поверхность атаки, не так ли?

Ответить | Правка | Наверх | Cообщить модератору

106. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +1 +/–

Сообщение от Аноним (93), 23-Мрт-25, 20:49

Поверхность атаки точно увеличится, если тарболы никто не сверяет на идентичность гиту.

Ответить | Правка | Наверх | Cообщить модератору

25. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." –1 +/–

Сообщение от n00by (ok), 23-Мрт-25, 11:33

> Подскажите им, что можно собирать просто один раз — из репы. Это
> избавит от бекдоров в архивах ровно в той же мере
И что бы изменилось, если бы упаковщики "полностью автономного дистрибутива" (ц) отзеркалили архив у себя?
Subject: [PATCH] Workaround for CVE-2024-3094: the git tar.gz tarball does not
have the malicious m4 files installing the backoor in liblzma
-Source0:    https://tukaani.org/xz/%{name}-%{ve...
+Source0:    https://tukaani.org/xz/%{name}-%{ve...
https://abf.io/import/xz/commit/1470895e3c645bb5605b12d5c64d...

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

84. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от oficsu (ok), 23-Мрт-25, 17:00

> И что бы изменилось, если бы упаковщики "полностью автономного дистрибутива" (ц) отзеркалили
> архив у себя?
Я нигде не предлагал зеркалить никакие архивы. Я предложил:
1) делать аудит;
2) записывать хеш коммита, прошедшего аудит;
3) брать репу (не важно, оригинальную ли или зеркало), и брать из неё для сборки только коммиты, прошедшие аудит

Ответить | Правка | Наверх | Cообщить модератору

86. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Ivan_83 (ok), 23-Мрт-25, 17:30

Делать аудит долго и дорого, у меинтейнеров нет для этого ресурсов, там бы хоть как то собрать эту кучу мусора в нечто что запускается и делает вид что работает.

Ответить | Правка | Наверх | Cообщить модератору

89. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от n00by (ok), 23-Мрт-25, 17:58

>> И что бы изменилось, если бы упаковщики "полностью автономного дистрибутива" (ц) отзеркалили
>> архив у себя?
> Я нигде не предлагал зеркалить никакие архивы. Я предложил:
Дословно было "просто один раз — из репы". Зеркало - репа. Подходит.
> 1) делать аудит;
> 2) записывать хеш коммита, прошедшего аудит;
> 3) брать репу (не важно, оригинальную ли или зеркало), и брать из
> неё для сборки только коммиты, прошедшие аудит
И что бы это изменило? Они и делают "аудит", как всем рассказывают.

Ответить | Правка | К родителю #84 | Наверх | Cообщить модератору

160. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +1 +/–

Сообщение от Аноним (122), 24-Мрт-25, 19:00

>>> И что бы изменилось, если бы упаковщики "полностью автономного дистрибутива" (ц) отзеркалили
>>> архив у себя?
>> Я нигде не предлагал зеркалить никакие архивы. Я предложил:
> Дословно было "просто один раз — из репы". Зеркало - репа. Подходит.
>> 1) делать аудит;
>> 2) записывать хеш коммита, прошедшего аудит;
>> 3) брать репу (не важно, оригинальную ли или зеркало), и брать из
>> неё для сборки только коммиты, прошедшие аудит
> И что бы это изменило?
Если бы так реально делалось, это бы возможно и сократило количество дыр и бэкдоров, скорее всего, логика говорит об этом, вот только вероятность реализации такого плана "крайне мала" (с), выше описал почему.
> Они и делают "аудит", как всем рассказывают.
Это предложение не аудит, это театр безопасности. Сделает ли он в итоге лучше? Возможно, время покажет. Реальный ли это аудит? Ну это такой же реальный аудит по сути, как Интеллект в фразе искуственный интеллект, да ещё которая применяется по отношению к большим языковым моделям. ))

Ответить | Правка | Наверх | Cообщить модератору

161. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (122), 24-Мрт-25, 19:02

> Если бы так реально делалось, это бы возможно и сократило количество дыр
> и бэкдоров, скорее всего, логика говорит об этом, вот только вероятность
> реализации такого плана "крайне мала" (с), выше описал почему.
* не выше, а вот тут получилось https://www.opennet.ru/openforum/vsluhforumID3/136375.html#159

Ответить | Правка | Наверх | Cообщить модератору

159. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..." +/–

Сообщение от Аноним (122), 24-Мрт-25, 18:55

>> И что бы изменилось, если бы упаковщики "полностью автономного дистрибутива" (ц) отзеркалили
>> архив у себя?
> Я нигде не предлагал зеркалить никакие архивы. Я предложил:
> 1) делать аудит;
> 2) записывать хеш коммита, прошедшего аудит;
> 3) брать репу (не важно, оригинальную ли или зеркало), и брать из
> неё для сборки только коммиты, прошедшие аудит
Всё это правильно, отлично и просто замечательно, но у меня к вам вопросики:
1) кому вы предложили делать аудит? Разработчикам NixOS? Тогда не смешите мои тапки, у них не хватает народа проверять работают ли все их автособранные пакеты, отчего битого крапа в их репах больше чем где. Но опустим этот момент, кому дальше вы предложите делать аудит? Разработчику(кам) программы? А если они заинтересованные лица? Ну предположим, какой-то чудесной комиссии, которая будет созвана для таких целей, а это должно быть перманентно и на потоке, т.е. цельный полноценный аудиторский орган, но его доселе почему-то нету в природе, который бы по КД хотя бы на уровне одного какого-то продакшон-дистра шерстил бы всё символ в символ, утрирую, но суть-то такова. Подумайте на досуге почему так?! ;)
2) и 3) Собственно вытекают из возможностей решения первого пункта. ))

Ответить | Правка | К родителю #84 | Наверх | Cообщить модератору

8. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +1 +/–

Сообщение от 12yoexpert (ok), 23-Мрт-25, 10:45

а ведь это гениально. зачем сравнивать исходники или всегда собирать конкретный git revision, если можно собрать одни и те же исходники и сравнивать результат?

Ответить | Правка | Наверх | Cообщить модератору

9. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." –3 +/–

Сообщение от Аноним (9), 23-Мрт-25, 10:46

Я конечно дико извиняюсь, а что проверка CRC/MD5 архива не в моде? Таже FreeBSD, когда скачивает сырки со сторонних сайтов проверяет контрольную сумму, и если она не сходится с её значением из базы, скачивает другой архив с другого зеркала и если уж и там оно не сходится, то скачивает с сайта самой BSD.

Ответить | Правка | Наверх | Cообщить модератору

10. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (5), 23-Мрт-25, 10:48

Речь про ситуации, когда бэкдор встроен в изначальный архив, например, мэйнтейнером проекта.

Ответить | Правка | Наверх | Cообщить модератору

36. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." –1 +/–

Сообщение от Аноним (34), 23-Мрт-25, 12:21

кхе, кхе.
И как тебе поможет то, что они делают, если мантейнер(или кто то плохой через его учетку) запулил завирусованный код в репозитарий?
В ИксЗет кстати выявили бекдор, потому что бинарники ВНЕЗАПНО не бились с прилагавшимися сырцами.
Ну т.е. сам код будет ок, а прилагающиеся бинари - завирусованы.
Но это ситуация единичного случая, потому что мы или доверяем мантейнеру, или не доверяем.
Вспомни за последние лет 5 что происходило да хотя бы в NPM - некоторые мантейнеры решили подменить рабочие пакеты нерабочими, с политическими лозунгами. Их отловили, доступ к изменениям отобрали, их репозитарии откатили на момент рабочего релиза.

Ответить | Правка | Наверх | Cообщить модератору

46. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (44), 23-Мрт-25, 12:49

> кхе, кхе.
Такие вот нынче безопасТники, кхммм, главное что-либо сделать, то есть сделать вид!

Ответить | Правка | Наверх | Cообщить модератору

96. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +1 +/–

Сообщение от Аноним (96), 23-Мрт-25, 19:17

>crc
>md5
Да, некриптостойкие хеш-функции для проверки целостности точно не в моде.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

17. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." –1 +/–

Сообщение от Афроним (?), 23-Мрт-25, 11:01

Лучше собрать пакет раз 10 из Федоры,Убунту,Сусе и т.д. Таогда определенно будет безопасно. Дарю ппрогрессивную идею, а то вы еще долго не догадаетесь до такого ноу-хау. Особенно это касается Хруста,Хромых и т.п. Бгг.

Ответить | Правка | Наверх | Cообщить модератору

20. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (20), 23-Мрт-25, 11:13

Лучше бы они внедрили изоляцию через namespace для всех юзерспейс приложений и максимально ограничили количество софта требующее root доступа, плюс все что крутится от рута закрыли через selinux. С какой радости systemd вообще собирается с поддержкой xz накой она там.

Ответить | Правка | Наверх | Cообщить модератору

21. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Афроним (?), 23-Мрт-25, 11:26

Тут госпожа Мяв просто не пробегала давно, а то она Томоё уже давно использует. Остальные видимо. просто фаерджейл юзают. Бгг.

Ответить | Правка | Наверх | Cообщить модератору

112. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (112), 23-Мрт-25, 22:00

Томоё кстати очень даже хорошая мандатная система, жаль что гуя и дефолтных профилей под десктоп не завезли. Помню как на генту совй велосипед изобретал.

Ответить | Правка | Наверх | Cообщить модератору

23. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (4), 23-Мрт-25, 11:27

1. Сервисы и так изолируются средствами DynamicUser etc.
2. Гуйные приложения следует изолировать флетпаком. Это большая и сложная тема, с которой в свое время НЕ справился Firejail. Единственная альтернатива -- это только флетпак (либо более низкоуровневый bubblewrap, обернутый в баш-портянку).
3. Селинукс сомнительное решение, тем более, что в сабже он не поддерживается.

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

38. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (34), 23-Мрт-25, 12:24

СЕлинукс, это вообще то мандатори аксцесс(МАС), который должен применятся ровно с тем, для чего предназначен.
Использовать его для других целей - получить факап решение.

Ответить | Правка | Наверх | Cообщить модератору

162. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от ЛщЛ (?), 24-Мрт-25, 19:11

> 2. Гуйные приложения следует изолировать флетпаком. Это большая и сложная тема, с
> которой в свое время НЕ справился Firejail. Единственная альтернатива -- это
> только флетпак (либо более низкоуровневый bubblewrap, обернутый в баш-портянку).
Фэтпак как серебрянная пуля изоляции от зловредов? Как интересно ))
> 3. Селинукс сомнительное решение, тем более, что в сабже он не поддерживается.
Селинукс конечно сомнительное решение, но не поддерживается где, простите?

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

101. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от OpenEcho (?), 23-Мрт-25, 20:26

> Лучше бы они внедрили изоляцию через namespace для всех юзерспейс приложений и максимально ограничили количество софта требующее root доступа
Ага, точно! Из юзерспейса... легко! (на опенете)
Вы вообще читаете новости или сразу писать?

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

137. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (87), 24-Мрт-25, 13:43

>Лучше бы они внедрили изоляцию через namespace для всех юзерспейс приложений
Изолировать нужно тогда, когда нужно. Какой смысл мне изолировать браузер от папки загрузка, если я туда скачиваю файлы?

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

24. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (24), 23-Мрт-25, 11:30

Все просто все приложения должны иметь доступ только в системному слайсу бублиотек, который поставляется атомарно, к своей папке и только к файлам созданным ей или для неё. Все соединения или с одобрение пользователя или ИИ.

Ответить | Правка | Наверх | Cообщить модератору

39. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (34), 23-Мрт-25, 12:28

Ты не учел ситуацию, когда в твой атомарный пакет ОСь, попал завирусованный ПО на этаппе сборки атомарного пакета.
Все, прилетели, выходим из троллейбуса.
Понятно что потребуется откатиться на предыдущую сборку, а потом подготовить новую, без уязвимостей.
Но сам факт в том что в атомарной сборке операционки номер икс_игрек_многозет сидит зловред, уже даст много поводов для размышлений, от которых так просто отмазаться("Рафик не виноуват!") уже не получиться.

Ответить | Правка | Наверх | Cообщить модератору

52. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (24), 23-Мрт-25, 12:55

Если зловред настолько низко то не случайный от васяна, а специальный от производителя и там и должен быть.

Ответить | Правка | Наверх | Cообщить модератору

66. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (62), 23-Мрт-25, 13:31

Если у тебя за безопастность будет отвечать ИИ всё остальное уже бессмысленно..

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

138. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (87), 24-Мрт-25, 13:45

>Все просто все приложения должны иметь доступ только в системному слайсу бублиотек, который поставляется атомарно, к своей папке и только к файлам созданным ей или для неё.
Это уже реализовано в NixOS
>Все соединения или с одобрение пользователя или ИИ.
На этапе сборки доступа к сети уже нет. Зависимости выкачиваются заранее.

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

163. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от ЛщЛ (?), 24-Мрт-25, 19:16

> Все просто все приложения должны иметь доступ только в системному слайсу бублиотек,
> который поставляется атомарно, к своей папке и только к файлам созданным
> ей или для неё.
Осталось об этом сообщить абсолютно всем разработчикам абсолютно всех программ, чтобы они начали на это ориентироваться и тяп-ляпать свой софт с учётом этого, а то эта ваша атомарщина хороша как вещь в себе и только с тем софтом, который есть в её родных репах, да и то не всегда.
А то потом встречаем ситуации когда сторонний софт не работает, особенно когда он рассчитан на более традиционные дистры и их структуру.
А атомрщина к сожалению или к счастью сейчас всё ещё не мейнстрим и долго ещё не будет с таким подходом её разрабов, так что будем крутиться с того что есть.
> Все соединения или с одобрение пользователя
> или ИИ.
Или ИИ, ну вы понели. ;)

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

26. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от n00by (ok), 23-Мрт-25, 11:34

> исходный код новой версии приложения собирается два раза
> - первый раз из кода, загруженного из git-репозитория,
> а второй из кода, распространяемого в готовых архивах.
Это очень печально.
Казалось бы, достаточно распаковать и сравнить?

Ответить | Правка | Наверх | Cообщить модератору

27. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (4), 23-Мрт-25, 11:38

у autocrap-powered приложений тарбол обязательно отличается от гит-версии как минимум наличием configure и прочей шляпы. Само существование тарбола говорит о том, что апстрим зачем-то решил "распространять" "архив" "с исходниками", который конечно же собирается нескучной портянкой на баше на несколько страниц А4.

Ответить | Правка | Наверх | Cообщить модератору

29. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от n00by (ok), 23-Мрт-25, 11:49

Не понял, что там за шляпа
autocrap is a cross-platform userspace "driver" which provides input and output to the device via MIDI or OSC, allowing it to be used with any application that speaks these protocols.

Ответить | Правка | Наверх | Cообщить модератору

31. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (4), 23-Мрт-25, 11:57

Сравни - и поймешь. Выбери пару-тройку рандомных сишных проектов и сравни тарбол с гитом. По результатам отпишись. Любой, кто хотя бы час поработал мейнтейнером пакетов, в курсе автокрапа. Любопытно, чем ты занимался в росе или где там...

Ответить | Правка | Наверх | Cообщить модератору

35. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от судья (?), 23-Мрт-25, 12:13

Очевидно, что - ничем.

Ответить | Правка | Наверх | Cообщить модератору

47. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (44), 23-Мрт-25, 12:51

> Очевидно, что - ничем.
очевидно, что не упаковщиком :)

Ответить | Правка | Наверх | Cообщить модератору

56. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." –2 +/–

Сообщение от n00by (ok), 23-Мрт-25, 13:03

> Сравни - и поймешь. Выбери пару-тройку рандомных сишных проектов и сравни тарбол
> с гитом. По результатам отпишись.
Случайно сравнил свои проекты. Понял, что мне пишут ахинею.
> Любой, кто хотя бы час поработал
> мейнтейнером пакетов, в курсе автокрапа. Любопытно, чем ты занимался в росе
> или где там...
Определял так сказать уровень "майнтайнеров". Семантический анализ не всегда достоверен: не все пишущие "рандомно" или "автокрап" глупы, некоторые по инам причинам повторяют слова за другими.

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

58. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от недомантейнер (?), 23-Мрт-25, 13:09

кто-нибудь может объяснить нубу - зачем вообще смотреть, что там в тарболе проекта автор апстрим-пакета разместил, в случае, когда тот же проект существует в гит-репе? Зачем использовать тарболлы как ср-во распространения исходников вместо VCS-систем?

Ответить | Правка | Наверх | Cообщить модератору

60. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (44), 23-Мрт-25, 13:13

вам, шит-хаб тарболл не дает скачать?

Ответить | Правка | Наверх | Cообщить модератору

67. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от n00by (ok), 23-Мрт-25, 13:31

Зачем мне это объяснять?
Я ожидал в ответ что-то вроде "различение кода от данных -- NP-полная проблема" или "задача верификации программы доказуемо не проще, чем задача построения её с самого начала, что практически означает, что текст существующей программы будет чаще всего лишь мешать".
Но увидел "автокрап", "шляпа" и "нескучная портянка"...

Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

70. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (44), 23-Мрт-25, 13:47

> задача верификации программы доказуемо не проще, чем задача построения её с самого начала
замечу, что этого до сих пор даже Лесли Лэмпорт понять не может.

Ответить | Правка | Наверх | Cообщить модератору

126. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от n00by (ok), 24-Мрт-25, 10:21

>> задача верификации программы доказуемо не проще, чем задача построения её с самого начала
> замечу, что этого до сих пор даже Лесли Лэмпорт понять не может.
Так он последователь Тьюринга, а не Маркова. Я вот не могу понять, зачем нужна мнимая машина, какой не бывает в мире вещей, и зачем вся наука вокруг неё вращается. Лямбда Чёрча слишком сложна? Может, это и хорошо? Алгоритмы Кнута-Морриса-Пратта кодили бы Кнуты, Моррисы и Пратты, а все остальные занимались бы чем-то по силам.

Ответить | Правка | Наверх | Cообщить модератору

141. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (44), 24-Мрт-25, 14:48

> Я вот не могу понять, зачем нужна мнимая машина, какой не бывает в мире вещей, и зачем вся наука вокруг неё вращается.
Задам такой вопрос, существовала бы эта машина, если бы использовалась биективная (с нулем конечно же) двоичная позиционная система счисления?
> Лямбда Чёрча слишком сложна?
Все довольно примитивно, в то время просто это математикам не нужно было.
> Может, это и хорошо? Алгоритмы Кнута-Морриса-Пратта кодили бы Кнуты, Моррисы и Пратты, а все остальные занимались бы чем-то по силам.
Так и есть, ток кодить должен не человек, Кнута-Морриса-Пратта пишут спеку, верифицируют, а по ней уже на выходе получается конечный алгоритм, а на каком языке кодирования - уже не важно. Программирование не равно кодирование - одноименная лекция Лэмпорта, где он жестко разграничивает понятие языка программирования и языка кодирования.
Самое интересное в конце лекции :)
https://www.youtube.com/watch?v=uyLy7Fu4FB4

Ответить | Правка | Наверх | Cообщить модератору

156. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от n00by (ok), 24-Мрт-25, 18:40

>> Я вот не могу понять, зачем нужна мнимая машина, какой не бывает в мире вещей, и зачем вся наука вокруг неё вращается.
> Задам такой вопрос, существовала бы эта машина, если бы использовалась биективная (с
> нулем конечно же) двоичная позиционная система счисления?
Что это? Если "биективная" -- это когда исключены различные варианты записи одного числа (010 и 10), то в байте ячейки ОЗУ нельзя сохранить ни 010, ни 10, можно строго 0000_0010.
Если же это что-то иное, то возникают вопросы: как это хранить и адресовать. И, опять же, зачем?
Если это намёк, что МТ порождает обсуждения, не имеющие намёка на практическую ценность, то я боюсь, что она именно для этого и "нужна".

Ответить | Правка | Наверх | Cообщить модератору

169. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (44), 24-Мрт-25, 22:26

> Если "биективная" -- это когда исключены различные варианты записи одного числа (010 и 10)
Наоборот, включены все представления - биекция (взаимно однозначное отображение) между множеством представлений (цифрами {0,1}) и множеством натуральных (с нулем) чисел. Получается полная система счисления, и множество представлений равномощно множеству натуральных чисел.
0  <-> 0
1  <-> 1
00 <-> 2
01 <-> 3
10 <-> 4
11 <-> 5
> то возникают вопросы: как это хранить и адресовать. И, опять же, зачем?
Ну вот собственно в этом то и интерес, как хранить и как адресовать. Какой должна быть машина и т.д. Как изменятся от этого алгоритмы арифметических действий и т.д.
> Если это намёк, что МТ порождает обсуждения, не имеющие намёка на практическую ценность, то я боюсь, что она именно для этого и "нужна".
У меня как минимум возникает вопрос по поводу этого:
"""
Выделяется особый пустой символ, заполняющий все клетки ленты, кроме тех из них (конечного числа), на которых записаны входные данные.
"""
Ведь нету у нас этого "пустого символа", заполняющий клетки ОЗУ. А он ведь нам необходим если мы решили использовать биективную систему счисления :)

Ответить | Правка | Наверх | Cообщить модератору

178. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от n00by (ok), 25-Мрт-25, 11:02

>> Если "биективная" -- это когда исключены различные варианты записи одного числа (010 и 10)
> Наоборот, включены все представления - биекция (взаимно однозначное отображение) между
> множеством представлений (цифрами {0,1}) и множеством натуральных (с нулем) чисел.
Оно сейчас однозначное. Ноль нельзя представить 7-ю битами, только 8-ю. Другое дело, что имеем дело с кольцами (сложением по модулю), а как представлять всё множество натуральных - это решает программист.
> Получается
> полная система счисления, и множество представлений равномощно множеству натуральных
> чисел.
> 0  <-> 0
> 1  <-> 1
> 00 <-> 2
> 01 <-> 3
> 10 <-> 4
> 11 <-> 5
Похоже на код Хаффмна или Шеннона-Фано. Цель того кодирования - сжать данные. А здесь есть цель?
>> то возникают вопросы: как это хранить и адресовать. И, опять же, зачем?
> Ну вот собственно в этом то и интерес, как хранить и как
> адресовать. Какой должна быть машина и т.д. Как изменятся от этого
> алгоритмы арифметических действий и т.д.
Никак? Имеющееся представление взялось из магнитных колечек на пересечении строк и столбцов матрицы. В современном динамическом ОЗУ магниты заменили на конденсаторы (емкости затворов?), но суть осталась прежней -- главное, дешево. Такая память не хранит (в смысле - долго), заряд требуется регенерировать.
Если к каждой ячейке добавить её размер (закодировать, подобно Хаффману), то потребуется одноразрядный интерфейс и скорость доступа упадёт в разы.
Здесь любопытно, что кодирование - частный случай вычислений, и требуется перенести его ближе к ячейке памяти. Кажется, такое называется "активная память" -- считает сама, без центрального процессора -- но сейчас поисковик ничего мне не выдал.
>> Если это намёк, что МТ порождает обсуждения, не имеющие намёка на практическую ценность, то я боюсь, что она именно для этого и "нужна".
> У меня как минимум возникает вопрос по поводу этого:
> """
> Выделяется особый пустой символ, заполняющий все клетки ленты, кроме тех из них
> (конечного числа), на которых записаны входные данные.
> """
> Ведь нету у нас этого "пустого символа", заполняющий клетки ОЗУ. А он
> ведь нам необходим если мы решили использовать биективную систему счисления :)
Так это "просто": если "клетки" ОЗУ имеют одинаковый размер, создаётся дополнительное ОЗУ с маской, по разряду на каждую ячейку основного. Если же ячейки имеют различный размер, то по 1-му разряду не хватит, дополнительное ОЗУ может получиться больше основного. :) Похоже, фамилия "Шеннон" появилась не случайно, и рядом маячит одноимённая теорема.

Ответить | Правка | Наверх | Cообщить модератору

142. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (44), 24-Мрт-25, 15:01

там на 57:00 забыл добавить (акустика помешала) :)

Ответить | Правка | К родителю #126 | Наверх | Cообщить модератору

79. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +1 +/–

Сообщение от Аноним (79), 23-Мрт-25, 15:27

Тарболл элементарно побитово скопировать и верифицировать. Эти операции легко имплементировать и можно безопасно (то есть с пониманием происходящего) применять на целевой системе. Идеальный формат распространения.
А VCS систем много. Они большие и сложные. И таскать с собой весь этот ворох скриптов (см. исходный код Git), хз как работающих, и запускать, тем более - от рута, не каждый желает.  Да и гарантий неподмены коммита на сервере никто не даст. SHA1, как оказалось, легко подбирается.
Так что, дорогие дев-упоролс-специалисты, которые никак не могут придумать как надежно переложить исходники в архив на своих помойках^W серверах, будь так добры, не перекладывайте с больной головы на здоровую, размножая тонну скриптов между тысячами клиентских (в т.ч. сборочных) машин, место которым на одной, вашей. Научитесь там уже сверять источники при создании архива. Заодно, возможно, ещё и от DDOS-а сервера коллег защитите, пока там Дрю Дюваль с его карманным бизнесом из-за ваших миллионов запросов не поседел.

Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

92. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (87), 23-Мрт-25, 18:25

>и запускать, тем более - от рута, не каждый желает
Давным давно сборка идёт не от рута, тем более в NixOS
>Тарболл элементарно побитово скопировать и верифицировать
Для этого тарболл не должен содержать никаких сюрпризов, о которых сообщается в статье

Ответить | Правка | Наверх | Cообщить модератору

32. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (32), 23-Мрт-25, 12:04

Но ведь не сработает. Архивы с исходниками формируются часто какой-то обработкой git, добавлением versioninfo и всякого такого. Так бывает что git-версия это условно rolling-debug, а тарболл это релиз

Ответить | Правка | Наверх | Cообщить модератору

61. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." –1 +/–

Сообщение от Аноним (61), 23-Мрт-25, 13:14

Абсолютно бредовый способ. Можно засунуть бэкдор и туда, и туда.
Правильный подход - избавиться от autotools и от всех проектов, его использующих. Вообще на Rust переписать, если автор/сопровождающий is uncooperative. Раст все ошибки не пофиксит, зато его можно широкой аудитори продать как более безопасный, похоронив оригинальный проект. Автор столько лет само-продвигался, вкладываясь в это дерьмо - а его вытеснили просто переписав на Rust! Если автор хочет, чтобы его проект не похоронили - он должен выполнять все наши требования, capisce?

Ответить | Правка | Наверх | Cообщить модератору

63. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +1 +/–

Сообщение от Аноним (63), 23-Мрт-25, 13:23

Если проект опенсорсный и под GNU, то создателю глупо претендовать на какое-то там авторство, это автор должен принимать во внимание ещё даже перед написанием кода. Вот так... Поэтому, под GNU лицензию обычно выкладывают хэловорды, которые тривиальны, а уникальный и сложный софт релизится под закрытыми лицензиями.

Ответить | Правка | Наверх | Cообщить модератору

69. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +1 +/–

Сообщение от Аноним (61), 23-Мрт-25, 13:41

Что говорить о пермиссивных! Раз LLVM тривиален - пойди напиши мне модификации фронтенда и бэкенда для компиляции OpenCL кода под DSP-архитектуру с 10 инструкциями, все из которых - арифметика. Программа последовательно обрабатывает циклический буфер. При компиляции OpenCL ядра clangом высокоуровневый код должен правильно снижаться на экзотическую нефоннеймановую архитектуру, а все несоответствия архитектуре выводиться в виде ошибок компиляци с конкретными рекомендациями как изменить высокоуровневый код, чтобы сохранить его семантику, а ядро чтобы скомпилировалось.

Ответить | Правка | Наверх | Cообщить модератору

74. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (63), 23-Мрт-25, 14:22

LLVM оплачивается корпорациями.
https://foundation.llvm.org/sponsors
Если бы не вливания от денежных дядь, LLVM был бы эталонным примером в своей стязе, как например GNU Hard OS.
То есть, GNU лицензия там не значит ровным счётом ничего (то есть денюжки решают, а не какой-то там энтузиазм на постном масле от милого камьюнити).

Ответить | Правка | Наверх | Cообщить модератору

80. Скрыто модератором +1 +/–

Сообщение от Аноним (79), 23-Мрт-25, 15:32

Очередной уж на сковородке, подгоняющий действительность под свои глупые представления о ней тысячей сослагательных словооборотов. Если, да кабы. Впрочем, все любители "денюжек" такие. Ничего нового.

Ответить | Правка | Наверх | Cообщить модератору

64. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +1 +/–

Сообщение от Аноним (61), 23-Мрт-25, 13:26

>This being said, these reasons do not weigh enough in my opinion to justify the security risks they create. In all places where it is technically feasible, we should build software from sources authenticated by the most trustworthy party
Напоминаю: trustWORTHY party нет в принципе "бесплатно, без СМС". Есть только trustED party (по сути - власти в широком смысле слова). И вам приходится их терпеть. Для trustWORTHY party вы можете нанять стороннюю компанию аудировать чужие исходники. Или свои написать. Ежели же автор поста имел в виду trustED party, то Jia Tan как раз именно таким и был - он был официальным сопровождающим.

Ответить | Правка | Наверх | Cообщить модератору

68. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (61), 23-Мрт-25, 13:34

>In all places where it is technically feasible
Не бывает technically feasible и economically feasible. Бывает лишь просто feasible. Потому что technical feasibility в принципе не бывает без economical feasibility (ты не можешь сделать то, на что у тебя нет денег), и в обратную сторону тоже (то, что в принципе невозможно - ты можешь просрать туда бесконечное количество денег, результат будет нулевой). Воспроизводимой сборки нет именно потому - она неэффективна, и поэтому feasible только для NSA. Так же, как и персонального ПО с закрытыми исходниками - ты ведь мог бы написать свой SSH со своим LZMA и своим systemd, своим загрузчиком, полностью своей ОС на полностью своём железе, в полностью своём жизнеспособном (то есть максимально эксплуатирующем свою скотину и имеющем природные ресурсы, которые можно потратить на защиту своей территории от внешних агрессоров) государстве, охраняемом полностью своей армией, и проблема тебя не коснулась бы. Но это не feasible.

Ответить | Правка | Наверх | Cообщить модератору

77. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (44), 23-Мрт-25, 14:41

> ты ведь мог бы написать свой
Это всегда technically feasible, и economically feasible если взять кредит в банке :)

Ответить | Правка | Наверх | Cообщить модератору

97. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (96), 23-Мрт-25, 19:20

То то все прям своё обписались. Прям расцвели миллионы цветов высококачественных с друг с другом совместимых софтовых экосистем.

Ответить | Правка | Наверх | Cообщить модератору

99. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (44), 23-Мрт-25, 19:34

> То то все прям
Ага, и все вдруг стали умные :(

Ответить | Правка | Наверх | Cообщить модератору

105. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Анонимм (??), 23-Мрт-25, 20:35

И Линус вывел ядро из под GPL.

Ответить | Правка | Наверх | Cообщить модератору

72. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +1 +/–

Сообщение от Аноним (72), 23-Мрт-25, 14:07

Если небольшой исходник, то, возможно, этот способ подойдет. А если собирать DE?..

Ответить | Правка | Наверх | Cообщить модератору

73. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." –1 +/–

Сообщение от Афроним (?), 23-Мрт-25, 14:21

Еретик.сейчас минусов накидают. У них билдфермы есть с халявным доступом, а у кого их нет тот скамер.)

Ответить | Правка | Наверх | Cообщить модератору

85. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (62), 23-Мрт-25, 17:19

У кого их нет могут воспользоваться консолью... :(

Ответить | Правка | Наверх | Cообщить модератору

81. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Ivan_83 (ok), 23-Мрт-25, 15:45

Глупость полная.
Это ещё может сработать с некоторыми редкими случаями, особенно для всяких С/С++ проектов.
А раст/го/питон/руби просто получат в одном из 100500 лефтпадов небольшую вставку и всё.

Ответить | Правка | Наверх | Cообщить модератору

88. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (87), 23-Мрт-25, 17:54

>Это ещё может сработать с некоторыми редкими случаями, особенно для всяких С/С++ проектов.
Это делается специально против всяких извращенцев, которые кроме исходников предлагают кучу автосгеренированного кода, который понять решительно невозможно. Удивительно, но ни в расте, ни в го, это почему-то не требуеся

Ответить | Правка | Наверх | Cообщить модератору

118. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Ivan_83 (ok), 24-Мрт-25, 01:41

И раст и го - оба далеки от применений С.
Автосгенерированный код - более надёжный источник чем репозиторий где лефтпад на лефтпаде зависит.

Ответить | Правка | Наверх | Cообщить модератору

139. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (87), 24-Мрт-25, 13:47

>Автосгенерированный код - более надёжный источник
Автосгенерированный код должен генерироваться прямо во время сборки
>чем репозиторий где лефтпад на лефтпаде зависит
Зеркала делать вы так и не научились?

Ответить | Правка | Наверх | Cообщить модератору

103. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +1 +/–

Сообщение от Анонимм (??), 23-Мрт-25, 20:31

Учитывая методологию именования пакетов в этой ОС, их можно просто подменять без использования каких-то иезуитских бекдоров. Никто не заметит.

Ответить | Правка | Наверх | Cообщить модератору

127. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от n00by (ok), 24-Мрт-25, 10:27

Давно и упорно задавал вопрос, зачем там так именуют пути в store. Наконец-то кто-то ответил! Благодарю!

Ответить | Правка | Наверх | Cообщить модератору

140. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (87), 24-Мрт-25, 13:48

А как их иначе именновать? Можно подумать, что вы различите пакет собранный с разными флагами компиляции или патчами на глаз

Ответить | Правка | Наверх | Cообщить модератору

154. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от n00by (ok), 24-Мрт-25, 18:12

Я про пути в свалке /nix/store. Прямо никто ведь не признается, а тут подкинули подходящий вариант.

Ответить | Правка | Наверх | Cообщить модератору

104. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (104), 23-Мрт-25, 20:33

Что то я недопонял.
Они в принципе не собираются накладывать дополнительные патчи на проекты?

Ответить | Правка | Наверх | Cообщить модератору

107. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (107), 23-Мрт-25, 20:54

> В NixOS предложен метод защиты от подстановки бэкдоров, таких как в XZ
Тем временем коммит по ссылке:
"xz-after-bootstrap: init at & 5.6.4 add to release blockers
The idea here is to rebuild xz after the bootstrap from trusted
sources. Given that xz is reproducible, if it doesn't produce the same
results as the xz built during the bootstrap, something is wrong."
То есть не таких, как в xz, а конкретно в xz и ни в каких других пакетах.
Просто в голове не укладывается, как можно насочинять такую отсебятину.

Ответить | Правка | Наверх | Cообщить модератору

115. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +1 +/–

Сообщение от Аноним (5), 23-Мрт-25, 22:18

В коммите лишь пример предложенной идеи для сбора отзывов.
Читайте дальше по ссылкам https://luj.fr/blog/how-nixos-could-have-detected-xz.html
"if the method is adopted we should then implement it for the other candidate packages in nixpkgs’s bootstrap".

Ответить | Правка | Наверх | Cообщить модератору

111. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (111), 23-Мрт-25, 21:57

>предложен режим повторяемых сборок,
Кто только не предлагал до этого...
Инцидент с XZ считаю проявлением некомпетентности.

Ответить | Правка | Наверх | Cообщить модератору

113. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (113), 23-Мрт-25, 22:08

по факту все бинарники потенцально опасны

Ответить | Правка | Наверх | Cообщить модератору

120. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +2 +/–

Сообщение от Аноним (120), 24-Мрт-25, 06:27

> возникает повод для подозрений
Ага, а судьи кто - миллионы глаз бдительного опенсорса или посадят одного мейтейнера и будет как всегда?

Ответить | Правка | Наверх | Cообщить модератору

121. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (121), 24-Мрт-25, 07:29

Эх! Поддерживал бы еще NixOS ZFS на корне... можно было бы даже сделать основной системой. Не судьба...

Ответить | Правка | Наверх | Cообщить модератору

125. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +1 +/–

Сообщение от Аноним (125), 24-Мрт-25, 10:03

шутишь чтоли? как только вижу, что zfs идёт файловой системой по умолчанию, дистр сразу идёт лесом.

Ответить | Правка | Наверх | Cообщить модератору

128. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (121), 24-Мрт-25, 11:01

Файловая система лучше ZFS мне не знакома. А к хорошему привыкаешь быстро...

Ответить | Правка | Наверх | Cообщить модератору

124. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (124), 24-Мрт-25, 10:01

Неужели кто наконец займётся мильёном бэкдоров, поставляемых в современных пакетах? Вы ж анебе без работы оставите.

Ответить | Правка | Наверх | Cообщить модератору

129. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от freehck (ok), 24-Мрт-25, 11:03

> Суть метода в том, что исходный код новой версии приложения собирается два раза
То есть "мы увеличиваем расход ресурсов в 2 раза из-за того, что..."
> Бэкдор в XZ был внедрён злоумышленником, добившимся получения статуса сопровождающего в проекте.
"...у нас не хватает глаз, чтобы отследить подобных зловредов..."
> подобный метод практикуется лишь в отдельных случаях
"...и к тому же этот метод не всегда сработает".
Технари. =)
Эту проблему надо решать вообще в другой плоскости.
Вместо имплементации подобных костылей, нужно развивать механизм репуцтации: отладить приём новых разработчиков в дистрибутив и сконцентрироваться на увеличении количества заинтересованных компаний, принимающих участие в разработке дистрибутива, чтобы стимулировать увеличение количества разработчиков. Когда количество разработчиков достигнет критической точки, механизм репутации начнёт работать, и проблема исчезнет сама собой.

Ответить | Правка | Наверх | Cообщить модератору

130. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (130), 24-Мрт-25, 11:12

Есть и другие варианты отлова бекдоров:
https://www.linux.org.ru/forum/security/17568443?cid=17568490
Так же мне нравятся:
1. позиция PostgreSQL с поддержкой воспроизводимых архивов.
2. Gentoo может чистить все Makefile и запускать ВСЕ конфигурирования заново.

Ответить | Правка | Наверх | Cообщить модератору

151. "В NixOS предложен метод защиты от подстановки бэкдоров, таки..." +/–

Сообщение от Аноним (149), 24-Мрт-25, 18:04

повод переходить на генту?

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..."	+4 +/–
Сообщение от Не пытайтесь напугать меня пивом (?), 23-Мрт-25, 10:31
А некоторые аноны всё ещё продолжают использовать Тайлс и верить что они аноны. Встроят бэкдор в библиотеку, начнут рассылать маки соседних точек доступа и к тебе выезжает пативэн.
Ответить \| Правка \| Наверх \| Cообщить модератору


	62. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..."	–3 +/–
	Сообщение от Аноним (62), 23-Мрт-25, 13:22
	Те кто так поступают и не проверяют чем они пользуются и доверяют этому свою жизнь вполне заслуживают такого исхода.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	95. Скрыто модератором	–1 +/–
	Сообщение от Аноним (95), 23-Мрт-25, 19:14
	Гордитесь своей планетой? )
	Ответить \| Правка \| Наверх \| Cообщить модератору


	149. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..."	+/–
	Сообщение от Аноним (149), 24-Мрт-25, 17:55
	ну у тебя то все под контролем.
	Ответить \| Правка \| К родителю #62 \| Наверх \| Cообщить модератору


	82. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..."	–3 +/–
	Сообщение от Аноним (-), 23-Мрт-25, 16:25
	> А некоторые аноны всё ещё продолжают использовать Тайлс и верить что они аноны. Правильно, надо nih os поставить - тогда вам устроят данон в три раза быстрее, долбанув общеизвестным эксплойтом либу за которую вообще никто в этой nih-помойке не отвечает. Потому что где они столько майнтайнеров вообще возьмут чтобы за этим следить?
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	87. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..."	+1 +/–
	Сообщение от Аноним (87), 23-Мрт-25, 17:51
	Добрый день, ненавистник NixOS. В debian buster уже портировали версию php 7.3.33 или всё ещё нет?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	90. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..."	+1 +/–
	Сообщение от _ (??), 23-Мрт-25, 18:06
	А в Nix уже появился четвёртый пользователь или вы всё еще банда трёх? :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	94. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..."	+1 +/–
	Сообщение от Аноним (94), 23-Мрт-25, 18:48
	У моего клиента в проде, прямо сейчас, 402 физических сервера, на которых крутится 2471 виртуалка. Всё на NixOS, кроме тестового стенда с rhel, suse, ubuntu и debian (93 виртуалки). Проект — модный финтех на хаскеле и чуть-чуть раста. Не знаю, третий я или четвёртый, но платят неплохо, чего и всем желаю.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	109. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..."	+/–
	Сообщение от Аноним (109), 23-Мрт-25, 21:31
	А на дебиане и убунте виртуалок столько - что я даже не задумывался о том чтобы это пытаться посчитать. Сдалось мне дохреналионы обсчитывать...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	144. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..."	+1 +/–
	Сообщение от Аноним (94), 24-Мрт-25, 17:07
	Ну так и этот проект не единственный. Со мной работает ещё один консультант, он до этого проекта для оборонки никсос сетапил (да, для той самой, из-за которой целая драма была не так давно). Для меня этот финтех тоже не первый, кто на никсос ставку сделал, я сам попал сюда по рекомендации одного сеньора-хаскелиста, с которым в прошлом году на совершенно другом проекте платформу на никсосе строили и деплоили. Рынок весьма нишевый в сравнении с любым мейнстримным дистрибом, но, во-первых, он есть, и, во-вторых, за нишевость доплачивают достаточно, чтобы был резон разбираться в NixOS и научиться сносно писать на Nix.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	108. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..."	+/–
	Сообщение от Аноним (109), 23-Мрт-25, 21:30
	> Добрый день, ненавистник NixOS. Ты сам это устроил. Выступив примером комьюнити оного, имхо, горластым и некомпетентным. > В debian buster уже портировали версию php 7.3.33 или всё ещё нет? 1) Это уже не stable, если что. Уж и bookworm то скоро oldstable будет, а анона все не попускает. 2) Тебе кто-то подробно расписал в треде про дебиан, что секурити исправления пыха - уехали в версию которая была в бустере. При том - на месяц раньше этого самого .33. Но как я уже сказал - фанаты сабжа отличаются редким сочетанием компетенции и горластисти. К сожалению - не с тем знаком, увы. Видимо выбранное инженерное решение только таких и привлекает.
	Ответить \| Правка \| К родителю #87 \| Наверх \| Cообщить модератору


	132. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..."	+/–
	Сообщение от Аноним (87), 24-Мрт-25, 12:39
	>1) Это уже не stable, если что Который раз повторю, что версия обновилась ещё в stable. Кроме того, дебиановцы гордятся своим elts во время которого правится полтора пакета >2) Тебе кто-то подробно расписал в треде про дебиан Ссылку на .33 никто так и не привёл, последняя ссылка на патчи из версии .32
	Ответить \| Правка \| Наверх \| Cообщить модератору


	143. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..."	+/–
	Сообщение от Аноним (-), 24-Мрт-25, 17:06
	> Который раз повторю, что версия обновилась ещё в stable. Кроме того, > дебиановцы гордятся своим elts во время которого правится полтора пакета Вам в соседнем топике популярно объяснили, что все секурити фиксы актуальные для .33 прилетели в дебиан для той версии которая там есть - на месяц раньше чем жаждавшим этот самый .33. > Ссылку на .33 никто так и не привёл, последняя ссылка на патчи из версии .32 Вам шашечки - или ехать? Я вон то юзаю потому что там полися по части вулнов и прода, так что более-менее заьтыкают откровенные дыры. И пых тоже заткнули - судя по тем дебатам. То что они это сделали на чуть иной версии - мне похрену. Еще не хватало тратить мое время на копание в минорщине всякой. Чтобы этим не заниматься и есть общесистемные полися по части секурити фиксов. Представляете, у меня дофига систем на полном автоапдейте - и я не вижу ЭТО вообще! И уж тем более я на них не буду делать мозг какая там минорная, блин, версия пхп! Все что меня интересует это 1) Не должно быть откровенных известных дыр - особенно долбаемых снаружи. 2) Уже наруленное не должно отваливаться и ломаться по ходу пьесы. NIH OS совершенно ортогонален этим простым хотелкам для прода. И явно не в состоянии обеспечить 1) потому что где вы такие красивые столько человеко-часов возьмете, чтобы все вулны в всех версиях энного компонента вообще трекать. И вот тут я уверен что вы не с можете обеспечить столь простую эксплуатационную хотелку. Если ваши клиенты могу с этим жить - окей. А мне такие проблемы на ровном месте совершенно ни к чему. И судя по популярности NIH OS'а, кажется так не только я считаю.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	145. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..."	+/–
	Сообщение от Аноним (94), 24-Мрт-25, 17:25
	> где вы такие красивые столько человеко-часов возьмете, чтобы все вулны в всех версиях энного компонента вообще трекать Правильно, нигде не возьмём, да и зачем это делать, если компьютер с этой задачей замечательно справляется? У меня здесь есть целая программа на хаскеле, которая дважды в день ходит в базу CVE, сверяется с ней и с тем, что крутится в проде, и если надо пытается пересобрать уязвимую часть прода с обновлённой версией, прогнать все интеграционные тесты и сообщить в слак девопсам о результатах. В подавляющем большинстве случаев результат положительный, чтобы что-то не собралось после секьюрити патча — это надо чтобы в апстрим пьяные коммитили. При этом мы точно знаем всю цепочку, от порта на балансере через который в систему попадают данные до уязвимых исходников, из которых собрана программа эти данные обрабатывающая. Можно даже посмотреть кто, когда и как настраивал интерфейс у свича где-нибудь в середине всей цепи, и всё это не выходя из браузера: кликаешь на ссылку и смотришь конкретные строки конкретного коммита. И вот на эту систему ушло немало человекочасов, да, но оказалось что так лучше и быстрее, чем каждый раз солнце вручную закатывать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	168. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..."	+/–
	Сообщение от Аноним (168), 24-Мрт-25, 22:16
	> Правильно, нигде не возьмём, да и зачем это делать, если компьютер с > этой задачей замечательно справляется? Что там у вас с какой задачей "справляется"? > У меня здесь есть целая программа на > хаскеле, которая дважды в день ходит в базу CVE, сверяется с > ней и с тем, что крутится в проде, и если надо пытается пересобрать уязвимую часть Я использую дебиан вот как раз чтобы не заниматься вот этим всем. Как я уже сказал я большую часть времени не вижу большую часть хостов и у многих тупо автоапдейт. При том в дебиане он есть - сразу. Без вот изобретения велосипеда с квадратными колесами самому. Понимаете, это страдание фигней - преимущество для лично вас. А у тех и прочих убунт нечто сравнимое по суммарному эффекту - сразу! Из коробки! Для всех! Без геройств с выписыванием НЕХ на эзотерических ЯПах (и потом майнтенансу ЭТОГО самому, вот уж нафиг надо). Так что вместо вот этого всего - можно заняться моими проектами. Так намного круче имхо. Танцевать канбан вокруг базы CVE - не является интересным мне проектом. Это вообще никак не делает жизнь двуногих лучше само по себе и - как максимум "неизбежное техническое зло". Которого чем меньше тем лучше. > прода с обновлённой версией, прогнать все интеграционные > тесты и сообщить в слак девопсам о результатах. Кажется я не зря NIH OS это все назвал. Угадал на 120%. > В подавляющем большинстве > случаев результат положительный, чтобы что-то не собралось после секьюрити патча — > это надо чтобы в апстрим пьяные коммитили. Вот тут совершенно без гарантий. Апстримы - девелопают. Проблемы стабилизации и прода ... может да, может нет. И конечно никакой унификации политик. Если есть 9000 компонентов - может быть 9000 политик. Мне оно надо - трекать 9000 политик апстрима? Когда за меня это майнтайнеры сделают - толпой - адаптировав к своим полисям - вот и славненько. А пересбор моего кастома на серваках делается только по поводу фич и багфиксов. Это полносьтю декорелировано от фиксов CVE системных компонентов. > При этом мы точно знаем всю цепочку, от порта на балансере через который в систему > попадают данные до уязвимых исходников, Вы так и не поняли что в современном мире - знание надо минимизировать. И мне в общем случае не интересно какой порт балансера и какой именно сегмент кода уязвим, мне интересно чтобы CVE долбаемых ремотно в проде не было. Это вообще совсем другая постановка задачи! И чем проще это достигнуто и в чем меньше деталей я сам лез - тем лучше, имхо. Потому что делегация работ в современном мире - мастхэв. > обрабатывающая. Можно даже посмотреть кто, когда и как настраивал интерфейс у > свича где-нибудь в середине всей цепи, Мне может еще и весь интернет теперь мониторить? Вот мне больше заняться нечем - убить мое время на мониторинг чьих-то долбаных свичей. Как это все ко мне и моим проектам относится, интересно? Так то в сильно НЕКТОРЫХ случаях я даже могу пнуть админов "вон того роутера" по мылу в интернете. Но это - только если их проблемы конективити начинают нагибать лично меня и юзеры жалуются, и это долго, не проходит само, и масштаб достиг величины когда игнорить уже душно. Но это к счастью экзотика, обычно факапы роутеров в интернете их владельцы решают сами и быстро. > и всё это не выходя из браузера: кликаешь на ссылку и смотришь конкретные > строки конкретного коммита. Мне все это извините на кой? Я спасибо если комиты в именно кастоме - почитаю. А так есть такая штука - делегация полномочий и web of trust. Если мне апстрим фигню выгрузит - окей, они профачат доверие и более я их добром пользоваться, возможно, не будут. А майнтайнеры - это как раз первая линия обороны от вгрузки мне фигни. С xz они как раз отлично удержали - получили люлей только юзеры unstable. Которые точно - не прод. > И вот на эту систему ушло немало человекочасов, да, но оказалось > что так лучше и быстрее, чем каждый раз солнце вручную закатывать. Я и не закаытваю солнце вручную. Это - делегировано майнтайнерам :). А я сэкономил себе дофига человекочасов, которые потратил - на мои проекты вместо этих извращений. И мне реально плевать какой там блин порт свича был и кто его настроил. Понимаете, интегрити пакетов в конечном итоге - проверяется. Какой там голубиной почтой это доставлено - вообще в эту формулу не входит. Опять же, делегирование.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	176. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..."	+/–
	Сообщение от Аноним (87), 25-Мрт-25, 00:50
	>Я использую дебиан вот как раз чтобы не заниматься вот этим всем Хотя я и другой аноним, но скажу, что такими делами занимаются мейнтеры, а вы просто поверили, что вот где-где, а в дебиане этим точно занимаются >Без геройств с выписыванием НЕХ на эзотерических ЯПах Да вы что. Хаскель, это считай попса >Так что вместо вот этого всего - можно заняться моими проектами. Так намного круче имхо. Танцевать канбан вокруг базы CVE - не является интересным мне проектом Я так полагаю, что даже если вас и взломают, то это всё равно не будет для вас ничем интересным. Ибо как можно в серьёз рекомендовать дистрибутив, где тот же ssh сразу же после установки начинает торчать в интернет с настройками по умолчанию, а пакеты могут запросто не обновляться >мне интересно чтобы CVE долбаемых ремотно в проде не было Весьма символично, что пхп, что эрланг - работают с сетью, и что там, что там есть уязвимости >Мне все это извините на кой? Так с этого и надо начинать. Вы не мейнтер, вы даже на смотрите информацию по ссылкам. Вам всё равно, что там есть и чего нет, вы просто верите >Я и не закаытваю солнце вручную. Это - делегировано майнтайнерам Ну мейнтеры закатывают вручную. Что от этого поменялось? И пакеты мейнтеры тоже вручную пересобирают, да
	Ответить \| Правка \| Наверх \| Cообщить модератору


	147. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..."	+/–
	Сообщение от Аноним (87), 24-Мрт-25, 17:49
	>Вам в соседнем топике популярно объяснили, что все секурити фиксы актуальные для .33 прилетели Мне лень перепечатывать то же самое, так что давайте вы скините две ссылки - по одной патч в апстриме для .33, а по второй - тоже самое, но в дебиане. Там должен быть изменён файл ext/libxml/libxml.c Справитесь? >Я вон то юзаю потому что там полися Сколько раз можно повторять эту лживую мантру? Открываем https://www.debian.org/releases/, смотрим, что поддержки buster 2022-09-10. Открываем https://www.php.net/ChangeLog-7.php и видим, что в buster должны быть патчи вплоть до 7.4.30, которая релизнулась 09 Jun 2022. Тот факт, что вы ни про какие версии, после 7.3.33 не вспоминаете, как раз красноречиво и говорит про дебиановцев, что они умеют только копировать патчи. Здесь https://repology.org/project/php/cves?version=7.3.32 можно найти CVE-2017-8923, которая исправлена в 7.4.24 и просто обязана быть в виде патча в дебиане >То что они это сделали на чуть иной версии - мне похрену Это плохо тем, что не позволяет за пару секунд определить, пропатчена ли версия в репозитории или нет. Но даже если допустить, что 7.3.31 содержит патчи из 7.3.32, то она всё равно не содержит патчей из 7.4.30. Вы всё равно неправы, даже если отбросить мой аргумент про номер версии >1) Не должно быть откровенных известных дыр - особенно долбаемых снаружи. Вам уже привели как минимум две версии с исправлениями - 7.4.30 и 7.3.33 для одного пакета. В соседней ветке про erlang написали. Сколько ещё раз вы будете отрицать очевидное? >1) потому что где вы такие красивые столько человеко-часов возьмете, чтобы все вулны в всех версиях энного компонента вообще трекать Это более чем тривиально - достаточно просто мониторить выход новых версий. Даже если на каком-то хостинге нет такой функции - с этим справится простейший скрипт >И уж тем более я на них не буду делать мозг какая там минорная, блин, версия пхп! Просто признайте, что мейнтеры дебиана просто не могут угнаться за всем софтом, который опакетили, они не могут даже скопипастить готовый патч
	Ответить \| Правка \| К родителю #143 \| Наверх \| Cообщить модератору


	170. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..."	+/–
	Сообщение от Аноним (170), 24-Мрт-25, 22:55
	> какие версии, после 7.3.33 не вспоминаете, как раз красноречиво и говорит > про дебиановцев, что они умеют только копировать патчи. Как я уже сказал - мне в общем случае вообще все равно какие там гномики или кто крутил шестеренки за кадром. И какие там детали. Вы либо показываете трах Debian ремотно по сети вон тем CVE, либо имхо идете нафиг. Ибо убивать мое время на раскопки про баги СЕМИЛЕТНЕЙ давности - извините, это несерьезно. Более того, просто для понмиания. 1) Я умею в offensive и поэтому в отличие от вас - трезво оцениваю как и что. Т.е. шансы насколько реально этим получить и какой импакт. 2) По этой же причине - если окажется что мир был не идеальный, я к этому готов, у меня был план. Сервисы обрублены на доступ в систему и сисколы системдой. Юзаются контейнеры и виртуалки если надо. И так далее. 3) Вы совершенно не поняли пойнт. Пойнт в том что даже если майнтайнеры изредка где-то лажанут, в целом делегация им этого - силно офлоадит меня от занятия всяким ненужно, ортогональным изначальной хотелке "10 программистов проект решили сделать". Вот вы вместо - проект сделать - вдарились фигачить какую-то хтонь на хаскеле, с каким-то трекингом каких-то портов свича. А для меня занятие чем-то таким вместо своих проектов - крайне нежелательный расклад. А еще 4) В отличие от вас я знаю ремотно эксплойтабельный CVE на бустера. Но... * Это нишевая хрень в нишевой либе. * Только в некоторых конфигах. * Тольков в oldstable дистре. * Геморно и не гарантировано в эксплуатации. По поводу чего вероятность огреть именно этим именно первого встречного - никакая. > Это плохо тем, что не позволяет за пару секунд определить, пропатчена ли > версия в репозитории или нет. В общем случае эта задача просто делегирована вон тем - с упованием что откровенных ремотных вулнов они все же не допустят. И в целом - это так и работает. Я знаю пару отклонений от идеала. Но в случае NIH OS я даже не буду знать сколько таких отклонений вообще есть - с помойкой из кучи версий это очень гиморно трекать. > из 7.4.30. Вы всё равно неправы, даже если отбросить мой аргумент > про номер версии Я не прав в желании делегировать полися - и трек CVE - майнтайнерам дистра? Надо же какой я негодяй, хочу заниматься - своими проектами. А не копанием в семилетних, бж, багах пыха. И все операционные практики оптимизируются на вот это. > Вам уже привели как минимум две версии с исправлениями - 7.4.30 и > 7.3.33 для одного пакета. Я могу привести примеры круче. Для дебиана. И чертовски уверен что в помойке с N версиями пакета без единообразных полисей - еще и не такое найдется. Это доказывает что? Что мир не идеален? Я в курсе - и поэтому пытаюсь управлять именно неидеальностью, скостив объемы оной до приемлимых уровней с минимумом затрат моих сил и средств на это. > В соседней ветке про erlang написали. Сколько > ещё раз вы будете отрицать очевидное? А вы вообще забавный тип. Накорябали аж какую-то хрень для трека CVE. И все как бы круто но такое решение с такой ценой в человекочасах и майнтенансов - только вам и будет надо скорее всего. И знаете, с чисто практической точки зрения, если ваши кастомеры станут интересны мощным оффенсивам - вам все вон то не сильно поможет. Особенно если эшелонированная оборона не ваше все, а плана на случай "значит не прокатило" у вас просто не было. Понимаете, для меня вон то лишь 1 аспект из множества. Нет смысла жестко фиксироваться на только этом. Ибо то же время можно было лучше потратить на допустим упрочнение инфры иными способами, минимизацию импакта и проч. > Это более чем тривиально - достаточно просто мониторить выход новых версий. Даже > если на каком-то хостинге нет такой функции - с этим справится > простейший скрипт Это все збс - кроме того что в новой версии никто не гарантировал 100% compat с старым софтом, ABI и проч. В зависимости от того как карта ляжет можно получить дофига возни если некий апстрим что-то в новой версии поменял. Я и сам этим грешу. Вон там я эксплойт запатчил - в новой версии которая "features release". Не, бэкпортить этого экзота сам на compat версию я не буду - я не живу вечно. Если это влепить в прод ТОЛЬКО ради секуритификса, без изменений в пару к "featured release" - у вас - таки - все умрет нахрен! Т.е. придется читать ридми, ченжлоги, выполнить характерные процедуры и проч. Не особо просто. А вон то - таки, прерогатива майнтайнеров. Т.е. взять вот этот комит с фиксом вулна, влепить в stable в своем дистре. Если их это интересует. Это тоже - делегирование работ. И поверьте, так делаю не только я. >>И уж тем более я на них не буду делать мозг какая там минорная, блин, версия пхп! > Просто признайте, что мейнтеры дебиана просто не могут угнаться за всем софтом, > который опакетили, они не могут даже скопипастить готовый патч Они, конечно, не боги - и иногда лажа выходит и у них. Я даже знаю пару примеров реально эксплойтабельного добра. Но - увы - на каждом первом это, конечно, не работает, и импакт этого в целом - минимальный. В этом пойнт общесистемных полисей и состоит. Более того - если вы уверены что ваши системы нельзя огреть сплойтами - оптимизм эт конечно хорошо. Но только не в информационной безопасности. Там пессимизм, паранойя и реализм лучше работают.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	177. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..."	+/–
	Сообщение от Аноним (87), 25-Мрт-25, 09:37
	>Вы либо показываете трах Debian ремотно по сети вон тем CVE, либо имхо идете нафиг. Стадия отрицания прошла, теперь начался торг. Только вот вопрос - а зачем мне это делать? Вы не верите багтрекерам, где уязвимостям присовен данный статус? >Ибо убивать мое время на раскопки про баги СЕМИЛЕТНЕЙ давности - извините, это несерьезно Я вам описал как действовать - заходите на сайт repology, вводите фильтры и смотрите. Без проблем можно найти кучу уязвимых пакетов в текущем релизе >Пойнт в том что даже если майнтайнеры изредка где-то лажанут, в целом делегация им этого - силно офлоадит меня от занятия всяким ненужно Вы не понимаете, это не исключение, это правило. Поскольку релизный цикл у приложений гораздо меньше, чем время жизни очередного релиза дебиана. И нужно в каждый проект на полтора землекопа приставлять одного дебиан разработчика, чтобы проект поддерживался весь жизненный цикл проекта >Я могу привести примеры круче. Для дебиана. И чертовски уверен что в помойке с N версиями пакета без единообразных полисей Не можете, ибо иначе вы бы вначале пример приводили, а потом об этом говорили. Кроме того, я вам уже неоднократно писал, что для NixOS достаточно обновления пакета в апстриме, а для дебиана нужно будет патчить не кому нибудь, а мейнтерам дебиана, поскольку уже вышла новая версия >Вот вы вместо - проект сделать - вдарились фигачить какую-то хтонь на хаскеле Это другой аноним, а не я. Вам не верится, что у NixOS несколько пользователей? >Это все збс - кроме того что в новой версии никто не гарантировал 100% compat с старым софтом, ABI и проч Правильно, по этому версии нужно обновлять регулярно, а не в суматохе раз в два года. >Т.е. придется читать ридми, ченжлоги, выполнить характерные процедуры и проч. Не особо просто. А вон то - таки, прерогатива майнтайнеров Либо тех, кто пишет софт, то есть разработчиков >Но - увы - на каждом первом это, конечно, не работает, и импакт этого в целом - минимальный Так и запишем, политика дебиана не возбраняет наличие кучи сложноэксплуатируемых уязвимостей
	Ответить \| Правка \| Наверх \| Cообщить модератору


	123. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..."	+/–
	Сообщение от Аноним (123), 24-Мрт-25, 09:39
	Нет, и не портируют, ибо поддержка закончилась.
	Ответить \| Правка \| К родителю #87 \| Наверх \| Cообщить модератору


	150. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..."	+/–
	Сообщение от Аноним (149), 24-Мрт-25, 17:57
	так это нужно знать, а желание такого нет
	Ответить \| Правка \| Наверх \| Cообщить модератору


	122. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..."	+/–
	Сообщение от Аноним (122), 24-Мрт-25, 09:00
	>> А некоторые аноны всё ещё продолжают использовать Тайлс и верить что они аноны. > Правильно, надо nih os поставить - тогда вам устроят данон в три > раза быстрее, долбанув общеизвестным эксплойтом либу за которую вообще никто в > этой nih-помойке не отвечает. Потому что где они столько майнтайнеров вообще > возьмут чтобы за этим следить? А они и не следят, у NixOS нет жёсткого правила следить за секурностью каких-либо либ всю дорогу, если обнаружится CVE и апстрим выпустит секурити-патч, то в NixOS просто соберут новую зависимость с новым хэшем, и дай Ктулху, чтоб все актуальные пакеты были пересобраны с этой новой зависимостью, но это необязательно. А если уязвимость произошла вне поддерживаемой уже ветке (канале), то она там так и останется на веки вечные, что грустно с учётом того, какой реальный цикл жизни каналов у NixOS. Всё бы ничего, это всё можно было бы спустить на тормозах, основная ведь задача дистра пруф оф концептить саму идею возможности существония целой системы на nix, но улюлюкающие и неугомонные сектанты-фанатики из лагеря NixOS проповедуют NixOS и nixpkgs как серебрянную пулю, де возможно любой пакет любой версии в любое время поставить куда угодно... Да, можно, но есть очень жирный нюанс, который стыдливо стараются не упоминать. NixOS это про повторяемость и она с этим хорошо справляется, но на секурность уровня LTS-продакшон дистров у неё не хватает ресурсов, да и вменяемые люди это понимают и поэтому, с учётом этих её особенностей используют её по назначению, игнорируя бредни фанатиков-сектантов. Абсолютно у любого дистра есть свои сильные и слабые стороны, если этим грамотно пользуется, с пониманием этого, адекватный администратор, то всё будет +/- нормально. Проблемы начинаются тогда, когда сектанта-фанатика принимают за адеквата и полагаются на его сектантские навыки и подходы. Центральной комиссии по компетентности и аттестации сотрудников к сожалению нет, поэтому в бизнес проникают любого рода шарлатаны и шизы, из-за которых потом в проде и федоры и арчи и всяким самопал обнаруживается, ну или nixpkgs дырявый и продолбанный, во все поля.¯\_(ツ)_/¯ Так что, NixOS это отличный инструмент и сам по себе дистрибутив очень правильный и годный для своей ниши, но всё портят неадекваты, которые его без разбора стараются воткнуть в каждый утюг.
	Ответить \| Правка \| К родителю #82 \| Наверх \| Cообщить модератору


	135. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..."	+/–
	Сообщение от Аноним (87), 24-Мрт-25, 13:39
	>и дай Ктулху, чтоб все актуальные пакеты были пересобраны с этой новой зависимостью Зачем вы из раза в раз приводите свои фантазии расходящиеся с реальностью? >А если уязвимость произошла вне поддерживаемой уже ветке (канале), то она там так и останется на веки вечные Ровно как и в дебиане. Хотя постойте, в дебиане уязвимости не всегда правят даже в stable ветке, не говоря уже про lts и elts >Да, можно, но есть очень жирный нюанс, который стыдливо стараются не упоминать. Какой-же? Ваше неправильное понимание того как работает NixOS? >но на секурность уровня LTS-продакшон дистров Было бы сказано. В дебиане куча пакетов никогда не обновляется. Заходим на https://repology.org/projects/?search=&maintainer=&category=... и там куча пакетов. Обратите внимание, что там есть пагинация, полный список пакетов на одну страницу не влезает, уязвимых пакетов больше, чем указано на странице. Вот например https://repology.org/project/erlang/cves?version=25.2.3 смотрим, что упоминается в журнале изменений, последняя запись за 2021 год https://metadata.ftp-master.debian.org/changelogs//main/e/er... в списке наложенных патчей CVE вообще никак не отображаются https://sources.debian.org/patches/erlang/1:25.2.3+dfsg-1/&n...Здесь вам не получится сказать, что это уже oldoldstable, поскольку 12 ветка это текущий stable А теперь сравните это с этим списком https://repology.org/projects/?inrepo=nix_stable_24_11&outda... , который во-первых влезает целиком на одну страницу, во-вторых, значительное количество пакетов уязвимы только в старых версиях, которые даны лишь для тех, кто до сих пор почему-то не обновился. И сколько бы вы про волшебных мейнтеров из дебиана не говорили, но они попросту не тянут патчить весь апстрим даже в течении 2 лет стабильной версии, не говоря уже про расширенный срок поддержки. А брать патчи из апстрима, как это делает NixOS, они тоже не могут, так как далеко не каждый проект поддержиывается даже год спустя после релиза
	Ответить \| Правка \| Наверх \| Cообщить модератору


	146. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..."	+/–
	Сообщение от Аноним (-), 24-Мрт-25, 17:40
	> Ровно как и в дебиане. Хотя постойте, в дебиане уязвимости не всегда > правят даже в stable ветке, Вот не надо тут врать. В дебиане есть вполне конкретные полися на тему. Иногда, конечно, отклонения от идеала - бывают. Но сидеть с жирным вулном - особенно ремотным - в целом там не принято. Более того - поскольку вторая полися запрещает ломать прод, можно - нарулить автоапдейты на хосте, оно будет само тягаться, само аплаиться, и - про энный хост можно на пару годиков просто забыть. Не делая себе мозг какая там блин минорная версия пыха формально. Это - задача пакетника и майнтайнеров. Они явно вписались делать такие полися. Чем и круты, собственно. Это - повод выбрать их, а не непонятных васянов без внятных полисей. И по возможности поддерживать именно их комьюнити и пути своими ресурсами, скилами и деньгами. > не говоря уже про lts и elts У сабжа вообще нет ни намека на это - сравнивать "something" и "nothing" просто невозможно. Если там не идеально а у других никак - ну вы поняли! > Было бы сказано. В дебиане куча пакетов никогда не обновляется. А таки - общесистемные полися там есть. В отличие от. И более-менее работают. В отличие от. > и там куча пакетов. Обратите внимание, что там есть пагинация, полный > список пакетов на одну страницу не влезает, Это довольно горбатый способ трекинга вулнов и скорее всего работает с дебианом неправильно. У дебиана свой трекер секурити есть и он куда авторитетнее. Для жирных вулнов на опеннете линки приводят на статус фикса вулна в дистрах - и для дебиана там ссыль на их трекер, в отличие от васян-трекера который может быть не особо в курсе внутренней кухни и всех полисей и врядли трекает с точностью до именно патчей с фиксом CVE. А какая там формально версия в какой-то крапологии заявлено - кого это волнует? Фана nih-os упорно форсящего этот сервис? > И сколько бы вы про волшебных мейнтеров из дебиана не говорили, но > они попросту не тянут патчить весь апстрим даже в течении 2 лет стабильной версии, Но у вас то - нету и такого. Есть просто помойка, без полисей вообще.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	175. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..."	+/–
	Сообщение от Аноним (87), 25-Мрт-25, 00:41
	>В дебиане есть вполне конкретные полися на тему Я вам привёл несколько примеров, вы ни по одному примеру ничего так и не сказали, ни про эрланг, ни про пхп, как будь-то это не уязвимости вовсе, а так, новые фичи. Программы более чем сетевые, за фаерволом их не спрятать. Можно ещё веснот вспомнить, там скрипты на питоне писались, но потом поняли, что питон слабо подходит для встраиваемых приложений, так как там легко сбежать из песочницы, и заменили питон на луа. Очень даже интересно, как такие вещи будут бекпортировать >Не делая себе мозг какая там блин минорная версия пыха формально Эксплоиту тоже будет всё равно, дебиан у вас, или вы NixOS, как поставили, так и не обновляли. Бинарник не пропатчен? Вперёд >Это - повод выбрать их, а не непонятных васянов без внятных полисей У вас спрашивают про несколько уязвимых версий, а вы опять про какую-то политику обновлений говорите. У вас пластинка заела? Нет вашей политики, вам уже несколько доказательств привели >А таки - общесистемные полися там есть Почему эрланг не обновился? >Это довольно горбатый способ трекинга вулнов Чем? >и скорее всего работает с дебианом неправильно Вы обвиняете меня в сектанстве, но сами не потрудились никаких доказателств привести. Вы даже сами не уверены, поскольку пишите "скорее всего" >У дебиана свой трекер секурити есть и он куда авторитетнее Нет обновлиний - значит они не нужны, так лидер секты сказал. Как можно слова лидера под сомнение ставить? >Для жирных вулнов Так прямо и говорите, что в дебиане - куча только нежирных уязвимостей, а жирность каждой конкретной уязвимости может определить только автор дебиана. Обратите внимание, что уязвимость в эрланге сетевая, то есть эксплуатируется удалённо, и согласно вашей же логике - жирная. Но раз в дебиане пакет не трогают, то хоть рута она будет давать - всё хорошо >в отличие от васян-трекера который может быть не особо в курсе внутренней кухни В нормальных дистрибутивах достаточно всегда обновляться до последнего патча. Этот факт вы тоже упорно игнорируете >> не говоря уже про lts и elts >У сабжа вообще нет ни намека на это - сравнивать "something" и "nothing" просто невозможно. >> они попросту не тянут патчить весь апстрим даже в течении 2 лет стабильной версии, >Но у вас то - нету и такого Так это же хорошо, что нет. Зачем нужен очередной дырявый как дебиан дистрибутив? Вам же прямо говорят, что для того, чтобы поддерживать пакеты, даже в таком маленьком дистрибутиве как дебиан, нужно менять релизный цикл всего опакеченного в дебиане софта. Нужно в каждый проект: пхп, эрланг, нжинкс и так далее, ставить своего разработчика, который будет сидеть, и бекпортировать исправления. А вы никак не понимаете, что мейнтеров дебиана на все проекты не хватит.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	155. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..."	+/–
	Сообщение от Аноним (122), 24-Мрт-25, 18:31
	>>и дай Ктулху, чтоб все актуальные пакеты были пересобраны с этой новой зависимостью > Зачем вы из раза в раз приводите свои фантазии расходящиеся с реальностью? Вам встречный вопрос: почему вы в треде про NixOS зачем-то упоминаете Debian?! >>А если уязвимость произошла вне поддерживаемой уже ветке (канале), то она там так и останется на веки вечные > Ровно как и в дебиане. Хотя постойте, в дебиане уязвимости не всегда > правят даже в stable ветке, не говоря уже про lts и > elts Опять же причём тут Debian? И судя по вашим тут высказываниям у вас какой-то пунктик обиженки вокруг него. >>Да, можно, но есть очень жирный нюанс, который стыдливо стараются не упоминать. > Какой-же? Ваше неправильное понимание того как работает NixOS? Именно этот самый нюанс, когда всякие фанатики рекламят о том, что в NixOS можно поставить любой пакет любой версии с любого канала, всё так, вот только опускают о том, что эти любые пакеты из уже неподдерживаемых каналов так там и валяются и их никто не обслуживает и никто секурити-патчи не накладывает. А с учётом жизни канала это такой себе LTS, это скорее федорино коре какое-то на минималках, но с крутым подходом повторяемости сборок, на мой взгляд лучше чем в ostree, но это уже дискуссионно. Ну это всё равно равносильно тому, как если бы срезы Арча хранить и кусками устанавливать в каком-нибудь дистробоксе, примерно такого же уровня секурность, без какого-либо сэндбоксинга вообще. xD И с пониманием того как работает NixOS у меня всё нормально, это не какое-то сакральное знание, которое доступно избранной илитке, которой видимо себя считают некоторые никсосоводы. ;) >[оверквотинг удален] > А теперь сравните это с этим списком https://repology.org/projects/?inrepo=nix_stable_24_11&outda... > , который во-первых влезает целиком на одну страницу, во-вторых, значительное количество > пакетов уязвимы только в старых версиях, которые даны лишь для тех, > кто до сих пор почему-то не обновился. > И сколько бы вы про волшебных мейнтеров из дебиана не говорили, но > они попросту не тянут патчить весь апстрим даже в течении 2 > лет стабильной версии, не говоря уже про расширенный срок поддержки. А > брать патчи из апстрима, как это делает NixOS, они тоже не > могут, так как далеко не каждый проект поддержиывается даже год спустя > после релиза Ну блин, вместо того чтобы как-то спорить или соглашаться со сказанным, опять Debian, ну серьёзо, у вас реально на нём какая-то нездоровая фиксация, весь пост какой-то унылый вотабаутизм про страшный и ужасный Debian, который судя по вашим обиженным высказываниям тут, чуть ли не грешил тем, что в вашем детстве трогал вас за всякие места?! xD
	Ответить \| Правка \| К родителю #135 \| Наверх \| Cообщить модератору


	174. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..."	+/–
	Сообщение от Аноним (87), 25-Мрт-25, 00:10
	>Вам встречный вопрос: почему вы в треде про NixOS зачем-то упоминаете Debian?! Затем, что узнал анонима, с которым беседовал раньше по характерной фразе >Опять же причём тут Debian? Потому, что первоначально я начала беседу с анонимом, который предпочитает дебиан >И судя по вашим тут высказываниям у вас какой-то пунктик обиженки вокруг него. Возмите любой другой дистрибутив с длительным сроком поддержки, где замораживаются версии пакетов, хоть ту же убунту, ничего не поменяется >всё так, вот только опускают о том, что эти любые пакеты из уже неподдерживаемых каналов так там и валяются и их никто не обслуживает и никто секурити-патчи не накладывает Знаете, у некоторых дистрибутивов бывают срезы репозитория на определённую дату, как у того же дебиана. И если пакеты из этого среза поставить хоть в чрут, хоть в контейнер, они будут точно так же уязвимы, как и в никсос. А даже если срезов репозитория нет, то существуют архивные репозитории, позволяющие скачать пакет из старых версий. Вас это почему-то ни капельки не смущает >А с учётом жизни канала это такой себе LTS Перед тем, как говорить про lts не забудьте расписать, что этот lts в себя включает, поскольку далеко не каждый пакет в lts поддерживается, зато если он поддерживается, его версия ну уж точно не обновится >Ну это всё равно равносильно тому, как если бы срезы Арча хранить и кусками устанавливать в каком-нибудь дистробоксе, примерно такого же уровня секурность, без какого-либо сэндбоксинга вообще. Какой сэндбоксинг есть у срезов/архивных веток дебиана, неуж-то никакого? Если у вас веб сервер в интернет торчит, то какая вам выгода с того, что хост остался цел, если сайт взломан? Кроме того, вы утверждаете, что сэндбоксинга нет вообще. Сразу видно, что вы никсос даже не запускали. Поскольку если бы вы её запустили, то знали бы, что по умолчанию включен фаервол. Или nginx изолирован и доступа сразу ко всей файловой системе не имеет. Конечно, это не red hat, с его selinux из коробки, но уже гораздо больше, чем предложат другие дистрибутивы из коробки, типа дебиана или арча >весь пост какой-то унылый вотабаутизм Выучили новое слово, и теперь им козыряете? >у вас реально на нём какая-то нездоровая фиксация Срок поддержки убунты в десять лет - это точно такая же нездоровая тенденция, как и дебиан. Редхат с его ещё большим жизненным циклом - ещё более нездоровая тенденция, однако её очень сильно нивелирует одно носпоримое преимущество, по сравнению с дебианом - малый размер репозитория. То есть условный php скорее всего будет свежим, даже не смотря на старость основной системы >чуть ли не грешил тем, что в вашем детстве трогал вас за всякие места?! xD Некоторое время пришлось поработать со старым софтом с точки зрения разработки. Впечатления не самые приятные
	Ответить \| Правка \| Наверх \| Cообщить модератору


	179. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..."	+/–
	Сообщение от Аноним (122), 25-Мрт-25, 14:31
	>>Вам встречный вопрос: почему вы в треде про NixOS зачем-то упоминаете Debian?! > Затем, что узнал анонима, с которым беседовал раньше по характерной фразе Мдя, бывает конечно, вы не из службы доксинга анонимов случаем? >>Опять же причём тут Debian? > Потому, что первоначально я начала беседу с анонимом, который предпочитает дебиан Бывает, если что, тут на опеннете напротив почти каждого анонима есть его номер, если вам пишут анонимы с разными номерами, то это в большинстве случаев разные анонимы, я не вам, не другим участникам обсуждения тут про Debian ничего не писал, это у вас какие-то замашки продолжать разговор со случайными людьми, который вы начали не с ними. Не стоит так делать, это выглядит по меньшей мере странно! >>И судя по вашим тут высказываниям у вас какой-то пунктик обиженки вокруг него. > Возмите любой другой дистрибутив с длительным сроком поддержки, где замораживаются версии > пакетов, хоть ту же убунту, ничего не поменяется Мы не обсуждали любой другой дистрибутив, по крайней мере я уж точно, разговор был не про любой другой, а в общем про подход. Откуда такое рвение съехать на удобную для вас тему с неудобной? >>всё так, вот только опускают о том, что эти любые пакеты из уже неподдерживаемых каналов так там и валяются и их никто не обслуживает и никто секурити-патчи не накладывает > Знаете, у некоторых дистрибутивов бывают срезы репозитория на определённую дату, как у > того же дебиана. И если пакеты из этого среза поставить хоть > в чрут, хоть в контейнер, они будут точно так же уязвимы, > как и в никсос. А даже если срезов репозитория нет, то > существуют архивные репозитории, позволяющие скачать пакет из старых версий. Вас это > почему-то ни капельки не смущает Меня такое ни капельки не смущает, а знаете почему? Да потому что в отличии от рекламщиков никсосных уберфич, что пакеты из этого чудо-pkgs можно поставить в любое время в любую погоду в любое место и всё будет тип-топ, чуть ли не буквально в таком стиле преподносится, фанатики которые не отдают себе отчёт в том что гонят ересь в случае, если не предупреждают об опасности таких практик, а они как правило не предупреждают, ведь характерное свойство фанатиков выпячивать плюсы и стыдливо умалчивать про минусы, что несправедливо и нечестно по отношению к потенциальным олухам, которых они таким бессовестным образом пытаются окучивать своими сладкими зазывными речами, так вот в отличии от таких никсосников, другие, назовём это рядовыми, традиционными дистрибутивами, конечно могут обмолвится о такой теоретической возможности, НО ОНИ НИКОГДА НЕ ВЫПЯЧИВАЮТ ЭТО КАК ФИЧУ и НАСТОЯТЕЛЬНО НЕ РЕКОМЕНДУЮТ ТАКОЕ ПРАКТИКОВАТЬ, потому что это небезопасно, о чём явно предупреждается адекватными людьми, вот в чём кардинальное отличие! Претензия моя, если вы всё ещё слепы к содержанию моего посыла, а не троллите кося под дурачка, не в том, что в NixOS можно практиковать установку пакетов из других каналов, отживших своё, у меня к технической части и к самому дистрибутиву особых претензий и нет, неплохая штука для своей ниши, у меня претензии к нездоровому поведению фанатиков от лагеря NixOS, именно к нездоровым фанатикам, потому что есть достаточно вменяемых людей, которые пользуются этим дистрибутивом и не ведут себя как утырки, которые на голубом глазу без зазрения совести рекламят возможности установки любых пакетов, абсолютно любых версий не предупреждая о том, что эта фича потенциально опасна с точки зрения секурности! Всё, точка! Правильным подходом было бы честно сообщать о том, что в NixOS возможно более удобный механизм развёртывания каких-либо окружений и что одна из основных фич, которой удобно пользоваться это возможность установки любого софта любой версии из любого среза канала, относительно штатными средствами, НО ВСЕГДА нужно иметь в виду, что это пакеты неподдерживаемые и гарантирована только их работа в том окружении, в котором они тестировались. Потому что главная фича это ЛЁГКОСТЬ развёртывания таких окружений и гарантия работы нужного пакета в этом развёрнутом окружении [но это неточно ))] она же по сути единственная? которую можно отнести в плюс. Хочу ещё раз, для тех кто в танке, прояснить свою позицию! На вашу святую корову никто не покушается, с ней всё нормально, а ненормально всё с головой у фанатиков-адептов, вот они на мой взгляд самая главная проблема комьюнити NixOS, это как раньше с манджароводами было, они из каждого утюга чесали языками про свою манджару, что это чуть ли не лучший дистр который решает все проблемы и всё у него просто прекрасно и замечательно, а остальные дистрибутивы шлак. Вот теперь эту эстафету перехватили никсосоводы, причём с места в карьер влетели с двух ног, но головой в землю! xD Теперь манжаристы нервно курят в углу держа пиво другой волны неуёмных отбитых фанатиков, но видимо такова участь линуксового мира, циклически испытывать на себе нашествия разного рода отбитых товарищей с очередной мегаидеей и очередной серебрянной пулей. >>А с учётом жизни канала это такой себе LTS > Перед тем, как говорить про lts не забудьте расписать, что этот lts > в себя включает, поскольку далеко не каждый пакет в lts поддерживается, > зато если он поддерживается, его версия ну уж точно не обновится Так в том и суть LTS, новые мажорные версии не завозятся, минорными апдейтами залатывают баги или дыры. Вы тут Америку не открыли, это как бы все разумные кто в теме в курсе, или вы думали что срываете покровы с секрета Полишинеля? >>Ну это всё равно равносильно тому, как если бы срезы Арча хранить и кусками устанавливать в каком-нибудь дистробоксе, примерно такого же уровня секурность, без какого-либо сэндбоксинга вообще. > Какой сэндбоксинг есть у срезов/архивных веток дебиана, неуж-то никакого? Если у вас > веб сервер в интернет торчит, то какая вам выгода с того, > что хост остался цел, если сайт взломан? Кроме того, вы утверждаете, > что сэндбоксинга нет вообще. Сразу видно, что вы никсос даже не > запускали. Поскольку если бы вы её запустили, то знали бы, что > по умолчанию включен фаервол. Мда, очередное предположение и в очередной раз мимо, я не только не разу не запускал, я этим вашим NixOS пользуюсь, просто я не кричу на всех углах с каждого утюга о том, что это средство от всех проблем в мире ОС, ну да ладно. > Или nginx изолирован и доступа сразу ко > всей файловой системе не имеет. Конечно, это не red hat, с > его selinux из коробки, но уже гораздо больше, чем предложат другие > дистрибутивы из коробки, типа дебиана или арча Мне ваша позиция ясна уже была до этого поста на самом деле. И я скорее не для вас тут отвечаю, с вами для меня уже всё ясно, случай тяжёлый. Я для случайных забредших анонов стараюсь, чтобы с точкой зрения нефанатика также ознакомились. >>весь пост какой-то унылый вотабаутизм > Выучили новое слово, и теперь им козыряете? ОМГ, я не думал что у вас так всё запущено?! xD >>у вас реально на нём какая-то нездоровая фиксация > Срок поддержки убунты в десять лет - это точно такая же нездоровая > тенденция, как и дебиан. Редхат с его ещё большим жизненным циклом > - ещё более нездоровая тенденция, однако её очень сильно нивелирует одно > носпоримое преимущество, по сравнению с дебианом - малый размер репозитория. То > есть условный php скорее всего будет свежим, даже не смотря на > старость основной системы Ясно-понятно, так и запишем, поциент спорит с логикой и подходом энтепрайза и считает, что он лучше знает как им неразумным нужно! Мания величия, есть такой симтом в нашем списке! xD >>чуть ли не грешил тем, что в вашем детстве трогал вас за всякие места?! xD > Некоторое время пришлось поработать со старым софтом с точки зрения разработки. Впечатления > не самые приятные Ясно-понятно, очередной обиженный на то, что неразумные дистроразрабы не хотят тянуть свежак, только что с пылу с жару из-под коня и не слушаются совета скачать последнюю ночнушку чтобы в их LTS-системах завелась их чудо из чудес самая великая и гениальнейшая в мире программа, вокруг все неразумные, оскудевшие умом, один я великий и разумный, всё понимаю и за всех щас порешаю! Мания величия как она есть. Благо что ещё про энтерпрайзе не все смузихлёбами на вейпах стали и хоть как-то с головой дружат и такие подходы пока не возобладали в мейнстриме, слава Ктулху!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	100. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..."	+/–
	Сообщение от Анонимм (??), 23-Мрт-25, 20:20
	Этот пативэн назывался "воронком" в мою эпоху доламповых компьютеров. Выезжал по соседским бекдорам незамедлительно. Всё работало чётко. Это сейчас случаются сбои. Но хорошо, что всё реже. Например, уже невозможно выбить "не ту" дверь. Потому что, если дверь выбита, то значит, она автоматически становится "той".
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	110. "Для NixOS предложен метод защиты от подстановки бэкдоров, та..."	–1 +/–
	Сообщение от Аноним (110), 23-Мрт-25, 21:52
	> Этот пативэн назывался "воронком" в мою эпоху доламповых компьютеров. Где ж ты дед пативэнов возьмешь чтобы строить каждый пылесос и роутер? > Потому что, если дверь выбита, то значит, она автоматически становится "той". Отлично. Знаете что такое SWATTING? Теоретическа это карается. Но если разбираться не будут, и дверь точно правильная, поклонники направления вероятно одобрят такой тренд!
	Ответить \| Правка \| Наверх \| Cообщить модератору