Алан Поуп (Alan Pope), бывший менеджер по инжинирингу и взаимодействию с сообществом в компании Canonical, обратил внимание на новую волну атак на пользователей каталога приложений Snap Store. Вместо регистрации новых учётных записей, злоумышленники начали выкупать просроченные домены, фигурирующие в email зарегистрированных разработчиков snap-пакетов. После перекупки домена злоумышленники перенаправляют почтовый трафик на свой сервер и получив контроль над email, инициируют процесс восстановления забытого пароля для доступа к учётной записи...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64641
Атаке подвержены только нетакусики, которые вместо нормального gmail решают вы_бнуться нескучным доменом. (А больше и нечем.)
Тупо троль.
Тролль, перестань троллить.
> в репозитории Snap Store не была реализована проверка актуальности доменных имённе была реализована проверка...
Так он прав. Если ты не можешь обеспечить стабильность своей инфры - не берись. Это просто безответственность. По-хорошему бы собирать имена таких разрабов и при публикации софта от них выдавать плашку - внимание! Пакет от нечистоплотного разраба, ставь на свой страх и риск.
Личность подтверждается ключами (в частности, например, gpg), а не только лишь плашкой или e-mail. Если в вашей инфраструктуре нет такой цепочки проверок, сами виноваты.
Ещё можно СберID.
Речь не о технических мерах, тут все понятно. Речь о том, что в таких магазинах должен работать институт репутации. Если ты ранее был замечен в нарушениях безопасности - к тебе должно быть максимально настороженное отношение. Примерно так это работает в apple store, например. В опенсорсе тоже давно пора это развивать.
> к тебе должно быть максимально настороженное отношениеОни даже мыло не проверяли...
Откройте для себя gpg и цепочку подписей.
Это называется "модель PKI", а не "gpg и цепочка".
к сожалению - пользователи софта, собранного в снап теми нитакусиками. Им-то самим все по барабану.От души надеюсь только, что у них еще и восстановление банковской учетки на тот же email было.
> и восстановление банковской учетки на тот же emailа чё, так можно было?
> восстановление банковской учетки на тот же emailЭто в каких банках такое?!
Ох, интересно, кому же нужны какие то там просроченные email аккаунты,
Да еще и на каком то там 4% пользователей De.
Наверное Linux ставят МультиМиллиардеры, типа у них там биткойны, и еще и через Snap аккаунт завязаны.
Ой, щас начнул цифровой ид впаривать.
> в репозитории Snap Store не была реализована проверка актуальности доменных имёнДля начала бы мыло проверять научились...
Почему я ору со снапа каждый раз?
Потому что снап -- это бабанта-онли чепушня. В отличие от божественного флатпака, который архитектурно продуман, дистро-агностичен и имеет встроенную изоляцию на линукс-неймспейсах.
Зачем было городить огород, кроме того что смешить народ?
Каноникал известен своей привычкой изобретать велосипеды с квадратными колесами, а потом забрасывать их. Юнити, мир, теперь снапочепушня.
То есть для пиара. Хорошо так и запишем, хайпуют.
upstart до сих пор живой
при чём используется гуглом.
Ubuntu это изначально бизнес на костях Debian
причём успешный. Вот и всё)если пилить нормально, как тот же Mint - бизнес денег не даст
а вот на всякие "чудеса" - пожалуйста
В своё время они сделали важную работу.
Взяли Дэбиан, накидали туда нескучных шрифтов, обоев, темку нормальную натянули. Там подшаманили, здесь подкрасили. И у Линукса появилось человечье лицо, а не то невразуменее с наезжающими друг на друга буквами, которое оно было из коробки. Сейчас какой дистр ни возьми, все они выглядят плюс-минус достойно после установки. И в этом, кмк, не малую роль сыграла бубунта.
Юнити дала много годных идей построения интерфейса, которые частично перекочевали в другие проекты. Но умерла, да. А мир жив, но не десктопе, а используется в iot проектах.
Кстати, я вот когда спустя 10 лет вернулся в эти ваши Линуксы, вспомнил, как удобно было в Юнити с панелью слева. Так и настроил текущую ДЕ.Кто-то подумает, что мелочь, а я считаю, что одно из самых грамотных решений в дизайне интерфейсов.
Кому как, конечно, сейчас накинутся... но для правши, ИМХО, мышь удобнее влево и вверх перемещать, чем вправо и вниз. Как я понимаю, поэтому в Эппл кнопки управления окном расположили слева. Но с панелью не дотянули... либо же, как всегда - ни вашим, ни нашим, ни правшам, ни левшам.
> Каноникал известен своей привычкой изобретать велосипеды с квадратными колесами,Где-то два гола пользовался Ubuntu Phone.
Были клик пакеты (предок SNAP), магазин приложений.Оно загнулось в 2017 году (хотя подхватили энтузиасты).
Да такое себе. Но что-то с тех пор не заметно чтобы кто-то лучше сделал.Flatpak после 19 лет развития восторга не вызывает.
Но до AppImage ему как до луны.
Вставлю и я свои пять копеек, как обычный пользователь.Снап пакеты можно запускать из консоли без этого тр..я с flatpak run. И если еще с flatpak run можно смириться, то держать в голове, что какой-нибудь Энидеск - это com.anydesk.Anydesk, а вот Flatseal уже посложнее - com.github.tchx84.Flatseal...
Был у меня как-то заскок на sd карточку Малины впихнуть мелкий дистр. Бубунточка в тот момент была ясна, понятна и казалась хорошим выбором. Был у нее отдельный минималистичный дистр IoT Edition или как он там... Каково же было моё удивление, что они и туда нас..ли свой snapd, который весит со всеми зависимостями что-то около 500 метров.
П.С. Выбрал я тогда другой дистр. Спустя года 3 тот дистр был успешно заменен на Alpine, который живёт и по сей день.Вот Flatpak, вроде бы, поддерживает частичную подргузку, но каждую неделю всё равно тянет под 10Гб апдейтов ради десятка установленных приложух. Особенно доставляет наблюдать, что у меня стоит три Freedesktop Platform по 650 метров, три GOME Application <...> по 1 Гб каждый, четыре KDE Application Platform по 1 Гб каждый... 4 Mesa, 4 Mesa (Extra), все они тоже по 500 метров каждая... 2 Freedestip SDK по 1.7 Гб... Только после этого понимаешь на сколько хороши репы дистрибутива и на сколько важна работа мейнтейнеров, которые весь этот зоопарк причёсывают.
Вечные проблемы с темами (потому что доступа к хомяку нет), вечные проблемы с открытием файлов (бизапасность жи).
Поэтому не... по теореме Эскобара... что то, что это... и там что-то про маму (осуждаю).
Поставить потестировать какую-то новую программулину, чтобы понять годная ли она и в случае чего удалить без остатка - норм софт. Пользоваться этим постоянно, а тем более заменить этим репы, как это делается в новомодных атомарных дистрах. Не, спасибо, не надо.
> Снап пакеты можно запускать из консоли без этого тр..я с flatpak run.Совсем как и флатпаки, которые устанавливают лончеры в $PATH:
$ cat $(which org.chromium.Chromium)
#!/bin/sh
exec flatpak run --branch=stable --arch=x86_64 org.chromium.Chromium "$@"$ which org.chromium.Chromium
/var/lib/flatpak/exports/bin/org.chromium.Chromium> после этого понимаешь на сколько хороши репы дистрибутива и на сколько важна работа мейнтейнеров, которые весь этот зоопарк причёсывают.
Проблема с репами дистра в том, что они идут от кого-то другого, но не от апстрима, в то время, как множество флатпаков обслуживаются непосредственно разрабами софта. Плюс репы дистра обычно отстают по версиям.
> Пользоваться этим постоянно, а тем более заменить этим репы, как это делается в новомодных атомарных дистрах. Не, спасибо, не надо.
Ты резко изменишь свое мнение после того, как обзаведешься наконец 4-терабайтным диском. Комон, чувак! Они не такие дорогие, буквально 2-3 дня твоей работы мля. Вот серьезно. Берешь зарплату, делишь на 24, умножаешь на 3. Вот это и будет цена 4-терабайтного диска.
> множество флатпаков обслуживаются непосредственно разрабами софтаКак-то не особо много. В основном Flatpak пакеты "идут от кого-то другого, но не от апстрима"
> 4-терабайтным диском. Комон, чувак! Они не такие дорогие, буквально 2-3 дня твоей работы
40 тысяч рублей то (и это самый дешман, как-то страшно за качество)
> Ты резко изменишь свое мнение после того, как обзаведешься наконец 4-терабайтным диском.4Тб для малинки?
А чо так мало???
ну если у тебя вместо домашнего писюка малинка, то я хз. Я на ембеды ставил бы веб-интерфейс, OpenWRT-стайл. Нахрена там полноценные иксы/вяленый? Совсем того что ли?
> Совсем как и флатпаки, которые устанавливают лончерыЯ же проверил, сделал ls -lah /var/lib/flatpak/exports/bin/
Действтельно что-то есть, спасибо, буду знать.
Но, к сожалению, бесполезно:
1) В моём дистре почему-то эта папка не включена в PATH. Но ладно, это решаемо.
2) Наркоманские имена никуда не делись. Я всё равно не запомню эти id-шники.> Проблема с репами дистра в том, что они идут от кого-то другого
А проблема-то в чём? Ну, от другого, который адаптирует пакет под дистр, в котором работает. Где проблема? Если они и возникают, то можно по пальцам их пересчитать.
> Плюс репы дистра обычно отстают по версиям
У меня Федора на десктопе. Отставание в 1 версию я могу пережить. Плюсы всё равно перевешивают.
> как обзаведешься наконец 4-терабайтным диском. Комон, чувак!
Ну, у меня под систему стоит Samsung EVO 870. Сходил, посмотрел сколько он на 4 Тб стоит. 56к рублей. Не, в этой жизни слишком много всего, куда я с большим удоволствием потрачу эти деньги.
Да блин, "КАМОН ЧУВАК", зачем тратить 56к рублей на хранения библиотек и фреймворков в тройном+ экземпляре?> Они не такие дорогие, буквально 2-3 дня твоей работы
Ты слишком хорошего мнения о моих доходах.
> Снап пакеты можно запускать из консоли без этого тр..я с flatpak run.У флатпака тоже, можно просто ввести тот же com.anydesk.Anydesk.
> И если еще с flatpak run можно смириться, то держать в голове, что какой-нибудь Энидеск - это com.anydesk.Anydesk, а вот Flatseal уже посложнее - com.github.tchx84.Flatseal...
А вот здесь уже автодополнение помогает. Я пишу speechnote, tab и вот fish мне исправляет на net.mkiol.SpeechNote.
Снап лучше, он позволяет что угодно упаковать, даже ядро или дрова, а твой флетпак только гуи апки, камни в сторону снапа только то что проприетарщина и централизован
так толсто что даже тонко
потому что, во-первых, ты не понимаешь как им пользоваться, во-вторых, не понимаешь про что новость
> enstorewise.tech
> vagueentertainment.com"Вы###шься, да?" (с)
А нефиг было регить кастомные имейлы на кастомных домена.
Сейчас в Куазахстане можна получить номерной знак, с любым порядковым порядком цифр и букв.
Почти как Linux.
>доменных имён, используемых в email-адресахПочему нельзя было использовать Gmail или Proton Mail ?
а почему ты не публикуешь всю свою почту у себя в тиктоке?
Опять жыденько сходил. Хорошо, что не мой внучек.
> Хорошо, что не мой внучек.пёр бы меня?
> пёр бы меня?Правильно пишется - "порол".
Потому что ГУГЛ СЛИДИТ!!! А протон тоже, но это секрет!!Как же еще самовыразиться прдоликам-ноулайферам если не через модный имейл на домене с запахом Щво6оды?
а почему каноникал получает и отправляет письма с доменов @ubuntu.com и @canonical.com? почему бы им не воспользоваться почтой от gmail или proton mail? чем enstorewise и vagueentertainment хуже? когда регились это домены, фаундеры этих "стартапов" верили что они станут богатыми и популярными, вот так вот всё бросить никто не планировал.
была бы голова, а шапка будет. Эти же нетакусики решили обмазаться брендированием *до* успеха. Мол, "у взрослых дяденек свой домен, и они успешны, наверное дело в домене!" Эдакий смузи-карго-культ.
> с доменов @ubuntu.com и @canonical.comПотому что за Каноникал стоит Шаттлворт с бабками.
> фаундеры этих "стартапов" верили что они станут богатыми и популярными
А за спиной у них висит кредит на домен и костюм, в котором они вышли, сделать красивое впечатление. То есть, как говорят на раёне - вые..сь. Поэтому не надо никогда вые..ся. Если у вас есть бабки на продление домена на следующие 50 лет - регайте. Нет - не мучайте жо..
Ну не надо то настолько по себе судить о всех людях.
Потому, что у них есть ресурсы всё это содержать:
https://opennet.ru/63481-canonical
>>доменных имён, используемых в email-адресах
> Почему нельзя было использовать Gmail или Proton Mail ?Почта с собственным доменом удобна тем, что её всегда можно перенести в любое другое место на другой сервер, если что. Без невероятных сказочных приключений, которые вас ожидают, как только начнёте уведомлять все организации, компании и онлайн-сервисы о том, что у вас сменился email (многие из них ещё при этом заявят, что смена почтового адреса в их системе в принципе не предусмотрена). Так что почта со своим доменом - весьма полезно в нынешнее время, когда отдельные корпорации или правительства могут внезапно сделать использование вашего прежнего почтового сервера невозможным или неприемлемым.
Я вот только не понимаю, в чем обвиняют Snap Store, ведь при захвате чужого домена к любому сервису можно попробовать получить доступ аналогичным образом?
> могут внезапно сделать использование вашего прежнего почтового сервера невозможнымНука, пример в студию?
Я знаю только Протонмейл. Но это почта всегда была для per..ков, никто серьезно ее никогда не воспринимал.
Мейлру подсуетились и внушили всем, что вот сейчас точно всех забанят в Гмыле, поэтому дайте нам почитать всю вашу почту. Но шел 4-й год, а воз и ныне там.П.С. Про то, что нельзя в определенной стране регистрироваться с иностранной почтой - не надо начинать, надо сперва закон норм почитать, никто не запрещал пользоваться gmail для регистрации.
Пример с Гмайлом: лет 15 назад потерял там акк. "Ваш аккаунт заблокирован из-за подозрительной активности". И всё, никакие формы восстановления доступа не работают. Почта использовалась мож раза два в месяц.
Другой пример: тоже с гуглом, Пикаса: грохнули аж все три фотки и заблокировали - пробовал выкладывать туда фотки из леса - три грибочка. "Удалены за нарушение правил ресурса". Офигеть...
https://habr.com/ru/news/985756/
Есть только один или два подводных камня, первый то что сервисы могут не принимать мыло если оно не от популярного провайдера, а второе то что домен надо брать в популярных зонах типа ком,орг,нэт... я себе купил домен в зоне .email, а оказалось половина сервисов не считают это даже мылом еще на этапе валидации, потому что скопипастили регулярку где разрешено в домене только три символа или вообще ограничение по зонам
"где разрешено в зоне только три символа
Из какого ты лесу?
>Я вот только не понимаю, в чем обвиняют Snap Store, ведь при захвате чужого домена к любому сервису можно попробовать получить доступ аналогичным образом?Если раздавать appimage с прикрученным автообновлением или прокидывать по методу Jia Tan, можно сломать один appimage или один репозиторий.
Если можно ходить по списку пакетов и читать имейлы, а потом автоматически их опрашивать и перепокупать - это enumeration attack.
>в чем обвиняют Snap Store
В том, что "я забыл ключ" - это не опция для разработчиков. И раскрытый email - не опция для атаки.
а что мешало Canonical поступить так же как поступили в PyPI?
а что насчёт повсеместного внедрения 2FA? тогда бы потеря контроля над почтой не играла роликороче в Canonical опять обгадились
Не кошерно.
так это проблема не конкретно snap репозитория, просто там ее нашли первыми. тоже самое можно проделать с чем угодно - с flatpack, appimage и даже с github
Ну когда им пишешь "у вас тут криптокошельки дырявые от не пойми каких фурри пионеров".
И в итоге их удаляют спустя года четыре, когда это уже совсем в треш превратилось.
То тут что-то не так с модерацией.
> проблема не конкретно snap репозиторияЧитаем: "в репозитории Snap Store не была реализована проверка актуальности доменных имён".
99% проектов ограничиваются проверкой валидности почты. откуда уверенность, что проверка актуальности доменов есть на флатпаке? потому что об этом нет новости на опенете?
Вполне ожидаемо для пакетов собираемых авторами, и это не единственная их проблема. Для простоты можно считать что бинарники собираемые авторами софта - малварь. Пакеты должны собираться централизованно в дистрибутивах, из прозрачного репозитория рецептов. А в какой формат они будут собираться - снап, флатпак, rpm или deb - вообще не важно.
кому должны?
Вей дарагой слющай.
анон сказал, теперь я боюсь скачивать vlc.msi с оф сайта vlc
Есть один хороший формат дистронезависимых пакетов. Называется appimage. Другой хороший формат называется porg. Третий - tarball.У flatpak и snap основная цель - это не удобство пользователя, а навар компании. Разумеется, поэтому инфраструктура будет с отсутствием секурити как таковой. Поэтому будем доверять не ключам, а имейлам.