forum.opennet.ru - "Брешь в инфраструктуре Python, позволявшая подменить ссылки на релизы на сайте python.org" (29)

"Брешь в инфраструктуре Python, позволявшая подменить ссылки на релизы на сайте python.org"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Брешь в инфраструктуре Python, позволявшая подменить ссылки на релизы на сайте python.org"	+/–
Сообщение от opennews (??), 27-Июн-26, 09:56
Организация Python Software Foundation раскрыла информацию о критической уязвимости в API для управления релизами, которую можно было использовать для атаки на инфраструктуру проекта Python. Уязвимость позволяла обойти систему аутентификации и подключиться к API управления релизами с правами администратора через отправку запроса с любым ключом и указании имени пользователя "admin"... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=65786
Ответить \| Правка \| Cообщить модератору

Оглавление

Ох уж эти деды, отстали от жизни Надо как самый безопасный язык было ставится c, Ivan_83 (ok), 10:00 , 27-Июн-26, (2) +3

там обычно курлится сайт по https, а это безопасно, Аноним (13), 11:30 , 27-Июн-26, (13) +1

Смешные Тут этот ваш https тоже был А учитывая что LE кому попало серты выдаёт и, Ivan_83 (ok), 11:32 , 27-Июн-26, (14)

А есть второй пример в методичке Ну, джаббер ру в каком-то лохматом году -- это, q (ok), 11:42 , 27-Июн-26, (18) –1

On 10 July 2011 an attacker with access to DigiNotar s systems issued a wildcard, Аноним (19), 13:53 , 27-Июн-26, (19) +1
Джаббер ру был не в лохматом году, а совсем не давно Ещё - хз, полагаю таких слу, Ivan_83 (ok), 14:00 , 27-Июн-26, (21)

да там как бы куча тестовых случаев вы не понисаете это другое гуглите Timeli, Аноним (19), 16:47 , 27-Июн-26, (26)
разве давно не должно начинаться с буквы г , Первая буква (?), 06:37 , 28-Июн-26, (33)

Скрыто модератором, Аноним (34), 06:55 , 28-Июн-26, (34)

Местным экспертам-по-всему неплохо бы иногда проверять методички А то оно конеч, Аноним (22), 14:20 , 27-Июн-26, (22) +1

Чувак, а покажи мне каким таким ключём подписан тот самый shell script который с, Ivan_83 (ok), 14:34 , 27-Июн-26, (23)

Ваши подписи не подписи вовсе, потому что можно их и проигнорить то, что в с, Аноним (22), 14:38 , 27-Июн-26, (24) +1

Можно проигнорить и подписей совсем нет - две сильно разные ситуации , Ivan_83 (ok), 18:01 , 27-Июн-26, (27)

Чисто логически -- да, две разные На практике же, если что-то не является обяза, Аноним (29), 21:30 , 27-Июн-26, (29)

Тем же самым, которым подписаны все пакеты во всех дистрибутивах линукса, все та, Аноним (28), 18:04 , 27-Июн-26, (28)

На подписи полагаться тоже наивно Вон даже Асус распространял подписанные вирус, Аноним (3), 10:23 , 27-Июн-26, (3)

Асус не монопилист и вообще к софту имеет опосредованное отношение, не удивлюсь , Ivan_83 (ok), 11:28 , 27-Июн-26, (12) –1

Не монополист, всего лишь 70 рынка комплектующих Включая самые качественные А, Аноним (3), 11:41 , 27-Июн-26, (17) –1

Хзхз Я тут недавно разобрал HP и понял что наверное зря до этого с асусом связыв, Ivan_83 (ok), 13:54 , 27-Июн-26, (20)

Только ни асус ни хп сами ноуты не делают, не проектируют, не паяют платы итд ит, Смузихеб забывший пароль (?), 07:55 , 28-Июн-26, (35)

п с по поводу производителей нюанс ещё в том, что, порой ноуты совершенно разны, Смузихеб забывший пароль (?), 07:57 , 28-Июн-26, (36)

Да, зато без сегфолтов, поняли , Аноним (4), 10:28 , 27-Июн-26, (4) +2
Кто хоть раз за последние 12 лет скачивал Python Или лучше спросить кто этого н, Аноним (5), 10:58 , 27-Июн-26, (5) +1

Делаю это примерно 100 раз в год, а что , Аноним (3), 11:07 , 27-Июн-26, (6) –2

Часто забываешь, что скачал три дня назад , Аноним (8), 11:11 , 27-Июн-26, (8) +1

А ты не обновляешь Ну каждое обновление перекомпилировать надо с нужными мне па, Аноним (3), 11:17 , 27-Июн-26, (9) –1

На Windows да, Аноним (10), 11:24 , 27-Июн-26, (10)
Скачивал, limafresh (ok), 16:07 , 27-Июн-26, (25)

Это они удачно призасунули , Аноним (8), 11:10 , 27-Июн-26, (7) +1

Сообщения [Сортировка по ответам | RSS]

2. Сообщение от Ivan_83 (ok), 27-Июн-26, 10:00 +3 +/–

> Также предполагается, что подмена ссылок на релизы не могла остаться незамеченной, так как многие поставщики при загрузке дополнительно используют систему криптографической верификации кода Sigstore и проверку с использованием PGP-ключей.
Ох уж эти деды, отстали от жизни!
Надо как самый безопасный язык было ставится: curl | sh
Эксперты по безопасности гарантируют!

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #22

3. Сообщение от Аноним (3), 27-Июн-26, 10:23 +/–

На подписи полагаться тоже наивно. Вон даже Асус распространял подписанные вирусы, а ведь монополист.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12

4. Сообщение от Аноним (4), 27-Июн-26, 10:28 +2 +/–

Да, зато без сегфолтов, поняли?

Ответить | Правка | Наверх | Cообщить модератору

5. Сообщение от Аноним (5), 27-Июн-26, 10:58 +1 +/–

Кто хоть раз за последние 12 лет скачивал Python? Или лучше спросить кто этого не делал.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #10, #25

6. Сообщение от Аноним (3), 27-Июн-26, 11:07 –2 +/–

Делаю это примерно 100 раз в год, а что?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #8

7. Сообщение от Аноним (8), 27-Июн-26, 11:10 +1 +/–

> Уязвимость присутствовала в коде с 2014 года
Это они удачно призасунули!

Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от Аноним (8), 27-Июн-26, 11:11 +1 +/–

Часто забываешь, что скачал три дня назад?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #9

9. Сообщение от Аноним (3), 27-Июн-26, 11:17 –1 +/–

А ты не обновляешь? Ну каждое обновление перекомпилировать надо с нужными мне параметрами и патчами (в дистрибутиве даже пго не включали лет 15), часто нужны несколько версий, если на венде задеплоить что-то надо тоже скачиваешь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

10. Сообщение от Аноним (10), 27-Июн-26, 11:24 +/–

На Windows да

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

12. Сообщение от Ivan_83 (ok), 27-Июн-26, 11:28 –1 +/–

Асус не монопилист и вообще к софту имеет опосредованное отношение, не удивлюсь если они свои кривые софтварные поделки заказывают где то на аутсорсе.
Мне ихний софт с начала 2000х не нравится - держусь от него подальше.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #17

13. Сообщение от Аноним (13), 27-Июн-26, 11:30 +1 +/–

там обычно курлится сайт по https, а это безопасно

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #14

14. Сообщение от Ivan_83 (ok), 27-Июн-26, 11:32 +/–

Смешные.
Тут этот ваш https тоже был.
А учитывая что LE кому попало серты выдаёт и историю как MithM делали на джаббер ру то цена этому https около нуля.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #18

17. Сообщение от Аноним (3), 27-Июн-26, 11:41 –1 +/–

Не монополист, всего лишь 70% рынка комплектующих. Включая самые качественные. А софт у них со всем оборудованием идёт, никуда от этого не денешься.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #20

18. Сообщение от q (ok), 27-Июн-26, 11:42 –1 +/–

> джаббер ру
А есть второй пример в методичке? Ну, джаббер ру в каком-то лохматом году -- это раз. А есть второй пункт в этом списке, разоблачающий безопасность https? ну так, чтобы все такие: "нихрена себе, в этом списке не один, а как минимум два пункта! вот это охренеть не встать! всё, срочно переходим обратно на telnet и http! потому что https абсолютно не безопасен!"

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #19, #21

19. Сообщение от Аноним (19), 27-Июн-26, 13:53 +1 +/–

On 10 July 2011 an attacker with access to DigiNotar's systems issued a wildcard certificate for Google. This certificate was subsequently used by unknown persons in Iran to conduct a man-in-the-middle attack against Google services.[25][26] On 28 August 2011 certificate problems were observed on multiple Internet service providers in Iran.[27] The fraudulent certificate was posted on Pastebin.[28] According to a subsequent news release by VASCO, DigiNotar had detected an intrusion into its certificate authority infrastructure on 19 July 2011.[29] DigiNotar did not publicly reveal the security breach at the time

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

20. Сообщение от Ivan_83 (ok), 27-Июн-26, 13:54 +/–

Хзхз.
Я тут недавно разобрал HP и понял что наверное зря до этого с асусом связывался даже в плане железа :)
К счастью нынче даже биос вендор сам особо не пишет, так что кривые руки асуса не сильно портят ситуацию.
А так, материнки у них бывают неплохие.
Но всё что в ОС - лучше сразу удалять вместе с операционкой на всякий случай :))))

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #35

21. Сообщение от Ivan_83 (ok), 27-Июн-26, 14:00 +/–

Джаббер ру был не в лохматом году, а совсем не давно.
Ещё - хз, полагаю таких случаев были десятки просто всех кто мог знать или посадили или это были те кто садил и потому до публики они не дошли.
На примере джаббер ру просто вскрылся механизм как правоохранители работают, и что ничего не мешает точно так же имея возможность MithM (со стороны сервера) выписывать себе эти самые сертификаты.
Будет лулзово когда джепот с инсталляций самого безопасного языка таки рванёт.
Хотя я где то видел ещё подобные методы установки.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #26, #33

22. Сообщение от Аноним (22), 27-Июн-26, 14:20 +1 +/–

>> Также предполагается, что подмена ссылок на релизы не могла остаться незамеченной, так как многие поставщики при загрузке дополнительно используют систему криптографической верификации кода Sigstore и проверку с использованием PGP-ключей.
> Ох уж эти деды, отстали от жизни!
> Надо как самый безопасный язык было ставится: curl | sh
> Эксперты по безопасности гарантируют!
Местным экспертам-по-всему неплохо бы иногда проверять методички. А то оно конечно да, "мы все так говорим, а значит это правда!", но выйти таки может неловко ...
> Each of these binaries is signed with the Rust signing key, which is available on keybase.io, by the Rust build infrastructure, with GPG. In the tables below, the .asc files are the signatures.
https://static.rust-lang.org/rust-key.gpg.ascii
https://static.rust-lang.org/dist/rust-1.96.0-x86_64-unknown...
https://static.rust-lang.org/dist/rust-nightly-x86_64-unknow...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #23

23. Сообщение от Ivan_83 (ok), 27-Июн-26, 14:34 +/–

Чувак, а покажи мне каким таким ключём подписан тот самый shell script который скачивается курлом?
И где там в курле проверка подписи этого скрипта?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #24, #28

24. Сообщение от Аноним (22), 27-Июн-26, 14:38 +1 +/–

> Чувак, а покажи мне каким таким ключём подписан тот самый shell script
> который скачивается курлом?
> И где там в курле проверка подписи этого скрипта?
"Ваши подписи не подписи вовсе, потому что можно их и проигнорить!" (то, что в сабже новости можно сделать ровно то же самое - это другое и не считается!) 🤦🤦

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #27

25. Сообщение от limafresh (ok), 27-Июн-26, 16:07 +/–

Скачивал

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

26. Сообщение от Аноним (19), 27-Июн-26, 16:47 +/–

да там как бы куча "тестовых случаев вы не понисаете это другое". гуглите
Timeline of Certificate Authority Failures

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

27. Сообщение от Ivan_83 (ok), 27-Июн-26, 18:01 +/–

Можно проигнорить и подписей совсем нет - две сильно разные ситуации.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #29

28. Сообщение от Аноним (28), 27-Июн-26, 18:04 +/–

Тем же самым, которым подписаны все пакеты во всех дистрибутивах линукса, все тарболлы с исходниками. Кроме фряхи. В фряхе можно ничего не подписывать, ей svn и отсутствие пользователей обеспечивают безопасность.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

29. Сообщение от Аноним (29), 27-Июн-26, 21:30 +/–

Чисто логически -- да, две разные. На практике же, если что-то не является обязательным, это может с таким же успехом не существовать вообще. Проблема доверия -- социальная, а значит не имеет технического решения. Правда, чтобы это понять надо с людьми работать, что для айтишников хуже каторги.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

33. Сообщение от Первая буква (?), 28-Июн-26, 06:37 +/–

>а совсем не давно
разве "давно" не должно начинаться с буквы г?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #34

34. Сообщение от Аноним (34), 28-Июн-26, 06:55 Скрыто ботом-модератором +/–

Что у тебя в голове, с того ты и начинаешь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

35. Сообщение от Смузихеб забывший пароль (?), 28-Июн-26, 07:55 +/–

Только ни асус ни хп сами ноуты не делают, не проектируют, не паяют платы итд итп
За оч многих это делают несколько огромных ОЕМ/ОДМ производителей в азии
Нередко они просто приходят в контору и заказывают компромиссные варианты для разных ценовых категорий, а после - сами конторы уже делают всё остальное, вплоть до подбора деталей/процов/графики/дисплеев
Это к слову о том, что смысла заглядывать туда не особо много - всё, что увидишь, просто результат безликого азиатского производителя, а не самой конторы, владеющей брендом
Ну и конкретно ХП никогда не нравился. Вроде бы и по железу/ценам норм, а как работать начинаешь - так постоянно что-то происходит. Регулярные падения системы и прочее веселье встречалось в осн у ноутов этого бренда

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #36

36. Сообщение от Смузихеб забывший пароль (?), 28-Июн-26, 07:57 +/–

п.с: по поводу производителей нюанс ещё в том, что, порой ноуты совершенно разных брендов сделаны по факту одной конторой и даже материнки проектировались и паялись одной и той же конторой со всеми своими специфическими и характерными нюансами

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. Сообщение от Ivan_83 (ok), 27-Июн-26, 10:00	+3 +/–
> Также предполагается, что подмена ссылок на релизы не могла остаться незамеченной, так как многие поставщики при загрузке дополнительно используют систему криптографической верификации кода Sigstore и проверку с использованием PGP-ключей. Ох уж эти деды, отстали от жизни! Надо как самый безопасный язык было ставится: curl \| sh Эксперты по безопасности гарантируют!
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #13, #22

3. Сообщение от Аноним (3), 27-Июн-26, 10:23	+/–
На подписи полагаться тоже наивно. Вон даже Асус распространял подписанные вирусы, а ведь монополист.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #12

4. Сообщение от Аноним (4), 27-Июн-26, 10:28	+2 +/–
Да, зато без сегфолтов, поняли?
Ответить \| Правка \| Наверх \| Cообщить модератору

5. Сообщение от Аноним (5), 27-Июн-26, 10:58	+1 +/–
Кто хоть раз за последние 12 лет скачивал Python? Или лучше спросить кто этого не делал.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #6, #10, #25

6. Сообщение от Аноним (3), 27-Июн-26, 11:07	–2 +/–
Делаю это примерно 100 раз в год, а что?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #8

7. Сообщение от Аноним (8), 27-Июн-26, 11:10	+1 +/–
> Уязвимость присутствовала в коде с 2014 года Это они удачно призасунули!
Ответить \| Правка \| Наверх \| Cообщить модератору

8. Сообщение от Аноним (8), 27-Июн-26, 11:11	+1 +/–
Часто забываешь, что скачал три дня назад?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6 Ответы: #9

9. Сообщение от Аноним (3), 27-Июн-26, 11:17	–1 +/–
А ты не обновляешь? Ну каждое обновление перекомпилировать надо с нужными мне параметрами и патчами (в дистрибутиве даже пго не включали лет 15), часто нужны несколько версий, если на венде задеплоить что-то надо тоже скачиваешь.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8

10. Сообщение от Аноним (10), 27-Июн-26, 11:24	+/–
На Windows да
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5

12. Сообщение от Ivan_83 (ok), 27-Июн-26, 11:28	–1 +/–
Асус не монопилист и вообще к софту имеет опосредованное отношение, не удивлюсь если они свои кривые софтварные поделки заказывают где то на аутсорсе. Мне ихний софт с начала 2000х не нравится - держусь от него подальше.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3 Ответы: #17

13. Сообщение от Аноним (13), 27-Июн-26, 11:30	+1 +/–
там обычно курлится сайт по https, а это безопасно
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #14

14. Сообщение от Ivan_83 (ok), 27-Июн-26, 11:32	+/–
Смешные. Тут этот ваш https тоже был. А учитывая что LE кому попало серты выдаёт и историю как MithM делали на джаббер ру то цена этому https около нуля.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13 Ответы: #18

17. Сообщение от Аноним (3), 27-Июн-26, 11:41	–1 +/–
Не монополист, всего лишь 70% рынка комплектующих. Включая самые качественные. А софт у них со всем оборудованием идёт, никуда от этого не денешься.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #20

18. Сообщение от q (ok), 27-Июн-26, 11:42	–1 +/–
> джаббер ру А есть второй пример в методичке? Ну, джаббер ру в каком-то лохматом году -- это раз. А есть второй пункт в этом списке, разоблачающий безопасность https? ну так, чтобы все такие: "нихрена себе, в этом списке не один, а как минимум два пункта! вот это охренеть не встать! всё, срочно переходим обратно на telnet и http! потому что https абсолютно не безопасен!"
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14 Ответы: #19, #21

19. Сообщение от Аноним (19), 27-Июн-26, 13:53	+1 +/–
On 10 July 2011 an attacker with access to DigiNotar's systems issued a wildcard certificate for Google. This certificate was subsequently used by unknown persons in Iran to conduct a man-in-the-middle attack against Google services.[25][26] On 28 August 2011 certificate problems were observed on multiple Internet service providers in Iran.[27] The fraudulent certificate was posted on Pastebin.[28] According to a subsequent news release by VASCO, DigiNotar had detected an intrusion into its certificate authority infrastructure on 19 July 2011.[29] DigiNotar did not publicly reveal the security breach at the time
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18

20. Сообщение от Ivan_83 (ok), 27-Июн-26, 13:54	+/–
Хзхз. Я тут недавно разобрал HP и понял что наверное зря до этого с асусом связывался даже в плане железа :) К счастью нынче даже биос вендор сам особо не пишет, так что кривые руки асуса не сильно портят ситуацию. А так, материнки у них бывают неплохие. Но всё что в ОС - лучше сразу удалять вместе с операционкой на всякий случай :))))
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #17 Ответы: #35

21. Сообщение от Ivan_83 (ok), 27-Июн-26, 14:00	+/–
Джаббер ру был не в лохматом году, а совсем не давно. Ещё - хз, полагаю таких случаев были десятки просто всех кто мог знать или посадили или это были те кто садил и потому до публики они не дошли. На примере джаббер ру просто вскрылся механизм как правоохранители работают, и что ничего не мешает точно так же имея возможность MithM (со стороны сервера) выписывать себе эти самые сертификаты. Будет лулзово когда джепот с инсталляций самого безопасного языка таки рванёт. Хотя я где то видел ещё подобные методы установки.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18 Ответы: #26, #33

22. Сообщение от Аноним (22), 27-Июн-26, 14:20	+1 +/–
>> Также предполагается, что подмена ссылок на релизы не могла остаться незамеченной, так как многие поставщики при загрузке дополнительно используют систему криптографической верификации кода Sigstore и проверку с использованием PGP-ключей. > Ох уж эти деды, отстали от жизни! > Надо как самый безопасный язык было ставится: curl \| sh > Эксперты по безопасности гарантируют! Местным экспертам-по-всему неплохо бы иногда проверять методички. А то оно конечно да, "мы все так говорим, а значит это правда!", но выйти таки может неловко ... > Each of these binaries is signed with the Rust signing key, which is available on keybase.io, by the Rust build infrastructure, with GPG. In the tables below, the .asc files are the signatures. https://static.rust-lang.org/rust-key.gpg.ascii https://static.rust-lang.org/dist/rust-1.96.0-x86_64-unknown... https://static.rust-lang.org/dist/rust-nightly-x86_64-unknow...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #23

23. Сообщение от Ivan_83 (ok), 27-Июн-26, 14:34	+/–
Чувак, а покажи мне каким таким ключём подписан тот самый shell script который скачивается курлом? И где там в курле проверка подписи этого скрипта?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #22 Ответы: #24, #28

24. Сообщение от Аноним (22), 27-Июн-26, 14:38	+1 +/–
> Чувак, а покажи мне каким таким ключём подписан тот самый shell script > который скачивается курлом? > И где там в курле проверка подписи этого скрипта? "Ваши подписи не подписи вовсе, потому что можно их и проигнорить!" (то, что в сабже новости можно сделать ровно то же самое - это другое и не считается!) 🤦🤦
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #23 Ответы: #27

25. Сообщение от limafresh (ok), 27-Июн-26, 16:07	+/–
Скачивал
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5

26. Сообщение от Аноним (19), 27-Июн-26, 16:47	+/–
да там как бы куча "тестовых случаев вы не понисаете это другое". гуглите Timeline of Certificate Authority Failures
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #21

27. Сообщение от Ivan_83 (ok), 27-Июн-26, 18:01	+/–
Можно проигнорить и подписей совсем нет - две сильно разные ситуации.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #24 Ответы: #29

28. Сообщение от Аноним (28), 27-Июн-26, 18:04	+/–
Тем же самым, которым подписаны все пакеты во всех дистрибутивах линукса, все тарболлы с исходниками. Кроме фряхи. В фряхе можно ничего не подписывать, ей svn и отсутствие пользователей обеспечивают безопасность.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #23

29. Сообщение от Аноним (29), 27-Июн-26, 21:30	+/–
Чисто логически -- да, две разные. На практике же, если что-то не является обязательным, это может с таким же успехом не существовать вообще. Проблема доверия -- социальная, а значит не имеет технического решения. Правда, чтобы это понять надо с людьми работать, что для айтишников хуже каторги.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #27

33. Сообщение от Первая буква (?), 28-Июн-26, 06:37	+/–
>а совсем не давно разве "давно" не должно начинаться с буквы г?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #21 Ответы: #34

34. Сообщение от Аноним (34), 28-Июн-26, 06:55 Скрыто ботом-модератором	+/–
Что у тебя в голове, с того ты и начинаешь.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #33

35. Сообщение от Смузихеб забывший пароль (?), 28-Июн-26, 07:55	+/–
Только ни асус ни хп сами ноуты не делают, не проектируют, не паяют платы итд итп За оч многих это делают несколько огромных ОЕМ/ОДМ производителей в азии Нередко они просто приходят в контору и заказывают компромиссные варианты для разных ценовых категорий, а после - сами конторы уже делают всё остальное, вплоть до подбора деталей/процов/графики/дисплеев Это к слову о том, что смысла заглядывать туда не особо много - всё, что увидишь, просто результат безликого азиатского производителя, а не самой конторы, владеющей брендом Ну и конкретно ХП никогда не нравился. Вроде бы и по железу/ценам норм, а как работать начинаешь - так постоянно что-то происходит. Регулярные падения системы и прочее веселье встречалось в осн у ноутов этого бренда
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20 Ответы: #36

36. Сообщение от Смузихеб забывший пароль (?), 28-Июн-26, 07:57	+/–
п.с: по поводу производителей нюанс ещё в том, что, порой ноуты совершенно разных брендов сделаны по факту одной конторой и даже материнки проектировались и паялись одной и той же конторой со всеми своими специфическими и характерными нюансами
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #35