| 1.1, Аноним (1), 23:30, 07/05/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
Что-то часто разработчики nixos стали в новостях про безопасность мелькать. Хорошо когда люди следят за этим, успехов проекту.
| | |
| |
| |
| |
| |
| |
| 6.65, Аноним (65), 11:23, 08/05/2025 [^] [^^] [^^^] [ответить]
| +/– | |
Смысл то понял о чём написано?
>Debian – хранит у себя в репо deb-src исходники, сам из них собирает. В любой момент можно пересобрать, перепроверить.
Вот один из примеров, что Debian не всё хранит в своем репозитории. Есть пакеты–пустышки со скрипом, который изначально выполняет множество операций с файлами, загруженными со стороннего ресурса, и всё это во время установки.
Завтра подберут коллизию, оформят под видом того же arial32.exe и заменят оригинал в sourceforge.net/corefonts
Далее человек, надеясь на сопровождающих Debian, устанавливает пакет ttf-mscorefonts-installer и огребает по полной. Надеюсь не нужно объяснять как?
| | |
| |
| |
| 8.87, Аноним (65), 18:19, 08/05/2025 [^] [^^] [^^^] [ответить] | +/– | Мы же не говорим про сегодня Технологии, техника развиваются очень быстро Кто ... текст свёрнут, показать | | |
|
| 7.67, Аноним (67), 11:30, 08/05/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Нет, это ты не понял. Этот пакет – утилита для скачивания проприетарного шрифта. Это не пакет со шрифтом, а утилита. Разницу не видишь? Пакет кстати вынесен в contrib/nonfree. В отличие от ventoy который ошибочно в nixos помечен был как свободный.
| | |
| |
| 8.86, Аноним (65), 18:17, 08/05/2025 [^] [^^] [^^^] [ответить] | +/– | Что же они тогда включают файлы с прошивками в сам пакет Причём эти прошивки би... текст свёрнут, показать | | |
|
| 7.113, Аноним (-), 22:31, 09/05/2025 [^] [^^] [^^^] [ответить]
| +/– |
> Завтра подберут коллизию, оформят под видом того же arial32.exe и заменят оригинал
> в sourceforge.net/corefonts
> Далее человек, надеясь на сопровождающих Debian, устанавливает пакет ttf-mscorefonts-installer
А его что, еще и запускают? А не просто распаковывают как архив? И если вы в sha256 коллизии так легко подбираете - нагребите себе битков пачку. Там как раз SHA256 надо оптом считать.
| | |
|
|
|
|
| 3.8, Голум (?), 00:17, 08/05/2025 [^] [^^] [^^^] [ответить]
| +3 +/– |
Видимо, воспроизводимость вы с чем-то другим путаете. Буквально на следующей строке по ссылке указан хэш загружаемого файла, а результаты его перепаковки будут всегда идентичными друг другу. А что мейнтейнеры решили его просто перепаковывать – уже другой вопрос.
| | |
| |
| 4.9, Аноним (1), 00:20, 08/05/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
Под воспроизводимостью имел в виду сборку дистрибутивом из исходников. Воспроизводимость должна проверяться здесь, а не где-то там с готовым бинарником.
Это тогда воспроизводимость распаковки. Бред полный. Тут только целостность архива проверяется.
| | |
| |
| |
| 6.35, Илитка (?), 02:23, 08/05/2025 [^] [^^] [^^^] [ответить]
| +8 +/– |
Имелась ввиду воспроизводимость бинарных сборок (ReproducibleBuild) из сорцов.
Ты можешь взять исходник, почитать, собрать проверить хеш. Хеш должен совпадать с бинарником из репо.
Если в репо как nix просто кладут готовую блобу от васяна проверить ты её не можешь никак.
Понимаю, что виндузятникам которые пользуются вентоями такие концепты сложны для их ментальных возможностей.
| | |
| |
| 7.101, Карлос Сношайтилис (ok), 21:58, 08/05/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
 > Понимаю, что виндузятникам которые пользуются вентоями такие концепты сложны для их ментальных возможностей.
Ещё такие концепты сложны некоторым программистам, которые кладут сошки в проект и собирают с ними. И им тоже нужна воспроизводимость сборки. И они, о чудо!, тоже могут её получить! Без раскрутки компиляторов и прочей религии некоторых адептов чистого кода.
Но ты сможешь пойти к ним и рассказать, что у них воспроизводимость не настоящая и что использовать сошки это плохо. А если исходников от либ нет, то они должны закрыть свой проект, а не заниматься ересью.
| | |
|
|
|
| 4.10, Аноним (1), 00:26, 08/05/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Воспроизводимость – это всегда проверка из чего собран бинарник. Здесь её нет.
| | |
| |
| 5.11, Голум (?), 00:32, 08/05/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Воспроизводимость – это повторяемость байт в байт результатов сборки. Здесь она есть.
| | |
| |
| |
| 7.25, freehck (ok), 01:27, 08/05/2025 [^] [^^] [^^^] [ответить]
| –4 +/– |
 > И где здесь сборка? Её нет. Распаковка архива ≠ сборка.
Конечно есть. Это -- сборка nar-пакета.
То, что сценарий сборки пакета не является сборкой из исходника -- это конечно печально, но тем не менее, это сборка.
| | |
|
|
|
|
| 3.12, Карлос Сношайтилис (ok), 00:34, 08/05/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Ноль воспроизводимости – они просто распаковывают готовый скомпилированный архив разработчика.
...и проверяют хэш. Если совпадает: пляшем дальше, если нет: ошибка.
Воспроизводимость: 100%
| | |
| |
| |
| 5.102, Карлос Сношайтилис (ok), 22:09, 08/05/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Ага, для галочки сойдёт. По факту нет.
Про какому факту? У тебя в ядре вагон бинарей без исходников.
Смирись с фактами
| | |
|
|
| 3.54, ruroruro (ok), 09:41, 08/05/2025 [^] [^^] [^^^] [ответить] | +2 +/– |  В NixOS есть специальный маркер для пакетов которые собираются с использование... большой текст свёрнут, показать | | |
| |
| |
| |
| 6.112, Аноним (1), 22:12, 09/05/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Я создал для вас issue
Чеоез несколько дней перечитал на холодную голову. Спасибо. Пожалуй не буду рубить с плеча, буду дальше пробовать никс в проде. Ошибки признаются и исправляются.
| | |
|
|
| 4.70, Аноним (1), 13:18, 08/05/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> В других дистрибутивах просто подобная пометка была бы отражена в имени (а-ля ventoy-bin), а не в метаданных.
Что значит в других? В nixos бардак – видел пакеты как с -bin, так и без него.
| | |
| |
| 5.71, ruroruro (ok), 13:34, 08/05/2025 [^] [^^] [^^^] [ответить]
| +/– |
>> В других дистрибутивах просто подобная пометка была бы отражена в имени (а-ля ventoy-bin), а не в метаданных.
> Что значит в других? В nixos бардак – видел пакеты как с
> -bin, так и без него.
Ну собственно, если вы посмотрите на историю пакета ventoy, то он тоже как раз раньше назывался ventoy-bin. Я так понимаю, что мотивация для данного изменения - как раз в том что имя пакета это просто конвенция, которую трудно энфорсить и трудно автоматически проверять. Плюс, постфикс -bin не транзитивный. То есть с его помощью не возможно определить, есть ли бинарные блобы где-то в closure пакета, только добавляет ли их сам пакет. Сейчас постфикс -bin вроде в основном используется, чтобы отличать пакеты, у которых в nixpkgs одновременно есть 2 версии - собранная из сорцов, и использующая upsteram бинари.
То есть, вместо того чтобы рассчитывать на имя пакета, в nixpkgs сейчас предпочитают указывать подобную информацию в meta. В отличие от постфикса -bin, sourceProvenance это формально определенное, автоматически проверяемое поле в метаданных. С помощью meta уже обрабатываются license, broken, insecure и прочие "свойства" пакетов.
| | |
| |
| 6.73, Аноним (1), 14:20, 08/05/2025 [^] [^^] [^^^] [ответить]
| +/– |
Всё это здорово, но не здорово когда нет документации.
Представьте как вы будете обосновывать внедрение никса в прод. "Ну, эээ, дистрибутив хороший, но я вот непойми откуда узнал опции, они вроде работают, но я тупо копипаст сделал, поверив на слово". Так дела не делаются. Не в первый раз сталкиваюсь с такими опциями. Это отстой.
| | |
| |
| 7.106, Аноним (106), 01:58, 09/05/2025 [^] [^^] [^^^] [ответить] | +/– | А не надо этого обосновывать, потому что не надо этого делать, NixOS при всей ег... большой текст свёрнут, показать | | |
|
| 6.74, Аноним (1), 14:24, 08/05/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> С помощью meta уже обрабатываются license, broken, insecure и прочие "свойства" пакетов.
Ага, только в nixos проприетарный пакет пометили как свободный. Ментейнеры не исследуют что они "упаковывают".
| | |
| |
| 7.107, Аноним (107), 02:06, 09/05/2025 [^] [^^] [^^^] [ответить]
| +/– |
>> С помощью meta уже обрабатываются license, broken, insecure и прочие "свойства" пакетов.
> Ага, только в nixos проприетарный пакет пометили как свободный. Ментейнеры не исследуют
> что они "упаковывают".
Кто эти мифические мейнтенеры в NixOS?
Там острая нехватка людей в этом плане и всё на откуп "роботам" отдали, из-за чего и такой высокий процент косяков в пакетах, как ни в каком другом дистрибутиве видимо.
Ну, т.е. ситуация когда пакет кривой и вы это первый заметили, и починят разве что после вашего пинка, это не какой-то нонсенс, это рабочая обстановка.
Будущее оно такое - привыкайте, зато стильно, модно, молодёжно! xD
| | |
| 7.115, Аноним (-), 22:41, 09/05/2025 [^] [^^] [^^^] [ответить]
| +/– |
>> С помощью meta уже обрабатываются license, broken, insecure и прочие "свойства" пакетов.
> Ага, только в nixos проприетарный пакет пометили как свободный. Ментейнеры не исследуют
> что они "упаковывают".
Все что надо знать об управлении качеством в этом проекте, в общем то. Т.е. де факто - при случае не моргнув глазом положат вместо шоколада другой ингредиент и сделают вид что так и задумано.
| | |
|
|
|
|
|
|
| 1.14, Аноним (14), 00:38, 08/05/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
Насчёт сертификата понятно. Либо ты получаешь валидную подпись (к слову, есть организации, готовые бесплатно подписывать опенсорс, например, SignPath, разраб мог бы этим воспользоваться), либо добавляешь свой сертификат в корневые (тут он мог бы генерировать сертификат каждый раз новый, оставляя приватный ключ пользователю, а не свой личный пропихивать).
Поражает другое: чтобы получить файлы по сети из уже запущенной Windows непременно нужен драйвер? А не перебор ли это?
| | |
| |
| 2.31, User (??), 02:00, 08/05/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ээээ... "получить файл" - не надо. Смонтировать его как блочное устройство по сети - надо.
| | |
| |
| |
| 4.61, User (??), 10:49, 08/05/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Эмоциональную. Определённое недоумение от того, что кто-то не понимает (или "не понимает"?) очевидные вещи.
| | |
| |
| |
| 6.79, Аноним (79), 15:14, 08/05/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Ближайшее к "Ээээ" это звуки издаваемые бараном
Бывают звукоподражательные междометия.
| | |
| |
| 7.103, Ефрщ (?), 22:14, 08/05/2025 [^] [^^] [^^^] [ответить]
| +/– |
Это ты прикольно придумал! На самом деле Эээ это дискурсивное слово для заполнения паузы, в момент обдумывания ожидаемого от тебя спича, что не логично для использования для камента. И это никак не эмощиональное выражение определённого недоумения.
| | |
|
|
|
|
|
|
| 1.16, Аноним (16), 00:46, 08/05/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
Вот поэтому сижу на 80286 -- самом безопасном процессоре, проверенном, у которого доказано наименьшее кол-во аппаратных багов. Даст прикурить современным телефонным недо-процессорам типа Apple M4.
| | |
| |
| |
| 3.32, 1 (??), 02:01, 08/05/2025 [^] [^^] [^^^] [ответить]
| +4 +/– |
вот раньше делали -- всего 16 ножек у микросхемы, а ведь гораздо круче чем всякие apple m4
| | |
| |
| 4.117, Аноним (-), 22:58, 09/05/2025 [^] [^^] [^^^] [ответить]
| +/– |
> вот раньше делали -- всего 16 ножек у микросхемы, а ведь гораздо
> круче чем всякие apple m4
Попробуй с него откоментить на опеннет для начала.
| | |
|
|
| 2.52, Аноним (52), 08:55, 08/05/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
> подстановка корневого сертификата при запуске Windows
> Вот поэтому сижу на 80286
Объясни, где ты видишь тут связь?
| | |
| 2.82, Grand (?), 17:13, 08/05/2025 [^] [^^] [^^^] [ответить]
| +/– |
охх , спасибо детство золотое напомнили. Защищенный режим 286 процессора легко обходится посредством контроллера DMA. "процессор с мертвым мозгом" так сказать...
| | |
| |
| 3.85, Аноним (85), 18:15, 08/05/2025 [^] [^^] [^^^] [ответить]
| +/– |
Защищенный режим не нужен и только усложняет код раз в 100. Единственная причина по которой его использовали это возможность выйти за пределы 1 мегабайта.
| | |
| |
| 4.111, Аноним (111), 21:22, 09/05/2025 [^] [^^] [^^^] [ответить]
| +/– |
А вытеснеяющая многозадачность, каждому процессу своё адресное пространство?
| | |
|
|
| 2.110, Аноним (111), 21:20, 09/05/2025 [^] [^^] [^^^] [ответить]
| +/– |
А про 80286 кто-то что-то вообще доказывал? Он ищущим аппаратные дыры совсем не интересен.
| | |
|
| 1.17, Аноним (-), 00:58, 08/05/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Пока антивирусы с операционной системой, служба технической поддержки и товарищем майором не подружатся, все эти системы безопасности в виде сертификатов до одного места, только лишний геморрой. Ну хорошо не подписал, разработчик рассказал что там все в порядке, получается у него проблемы с подписью, помочь ему некому, никто ответственности ни за что не несёт. Просто предложили уйти на форк. Что за?
| | |
| 1.18, Аноним (-), 00:58, 08/05/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –5 +/– |
> В инструментарии iVentoy, применяемом для загрузки и установки по сети
> произвольных операционных систем, выявлена подозрительная активность
А опеннет любезно предоставил ссыль на малварь, чтобы удобнее качалось? Логично, фигли. Хотя хомячкам так и надо конечно :)
| | |
| |
| 2.53, Аноним (52), 08:59, 08/05/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> Подстановка драйверов и скриптов в систему после загрузки является документированным поведением.
> опеннет любезно предоставил ссыль на малварь
Зачем текст читать и головой думать, да? Главное возмутиться!
| | |
| 2.89, ИмяХ (ok), 19:17, 08/05/2025 [^] [^^] [^^^] [ответить]
| +/– |
 Будьте так добры, скажите название файла и номер строчки кода. А то я прочитал все исходники и малварь не нашёл. Неужели я мог её проглядеть?
| | |
| |
| 3.96, Аноним (96), 20:57, 08/05/2025 [^] [^^] [^^^] [ответить]
| +/– |
> Будьте так добры, скажите название файла и номер строчки кода. А то
> я прочитал все исходники и малварь не нашёл. Неужели я мог
> её проглядеть?
Какая, интересно, строчка кода нужна на левый серт в системном хранилище?
| | |
| |
| 4.98, diakin (ok), 21:48, 08/05/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
 А на что тогда среагировали 30 антивирусов? "Левый серт в системном хранилище" сам ворует пароли или майнит?
| | |
|
|
|
| 1.23, Аноним (23), 01:12, 08/05/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
С iVentoy понятно - пока не пользуемся, а вот что с Ventoy? Форматируем всё и переставляем систему нуля?
| | |
| 1.27, freehck (ok), 01:31, 08/05/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Скорее всего шум из ничего. Судя по специфике iVentoy -- иначе он работать и не может.
С учётом того, что автор подключился и не указал сходу на то, что проверялось не то, что у него в релизе собрано -- вероятно антивирусы просто немного перебдели.
| | |
| |
| 2.56, Смузихлеб забывший пароль (?), 09:54, 08/05/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Если всё норм и работать иначе не может, зачем же автор "исправил" это в новом выпуске и даже оказалось, что, и иначе работать может и можно тащить стандартный тестовый сертификат из оф. набора для разработки виндовых драйверов ( WDK ) вместо хз какого и хз откуда ?
Похоже, что-то он всё-таки задумывал, но ему вовремя дали по рукам
| | |
| |
| 3.57, freehck (ok), 10:02, 08/05/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> зачем же автор "исправил" это в новом выпуске
Навскидку мне приходят на ум сразу несколько совершенно валидных и нормальных сценариев.
> Похоже, что-то он всё-таки задумывал, но ему вовремя дали по рукам
Ничем не подкреплённое подозрение, озвученное публично -- это оскорбление. Ещё не клевета, но уже оговор. Зачем так делать?
| | |
| 3.95, Аноним (93), 20:51, 08/05/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> зачем же автор "исправил" это в новом выпуске
Видимо потому, что так было проще и всё работало, пока не начали ныть, и пришлось сделать сложнее.
| | |
| 3.109, boris768 (ok), 14:04, 09/05/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
 "Стандартный тестовый сертификат", который точно также генерируется разработчиком, требует обязательного включения тестового режима во время загрузки, в остальном это не отличается от обхода через подкладывание сертификата в хранилище. Стоило бы переживать если этот несчастный сертификат попадал бы в уставливаемую систему, а так - можно было бы легко запрятать малварь в этот iVentoy так, что никакой антивирус в принципе не нашел, так что вообще мимо кассы.
Еще бы хорошо разбираться в вещах, о которых говорится, правда ведь?
| | |
|
| 2.81, OpenEcho (?), 16:47, 08/05/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> С учётом того, что автор подключился и не указал сходу на то
сходу?
это мусолится уже больше чем полгода и только сейчас у панды нашлось время ответить, причем на вполне нормальном английском, хотя до это утверждалось, что у него с ним проблемы.
> вероятно антивирусы просто немного перебдели.
Дело не в антивирях, а в том, что не смотря что гон на блобы разогнали по весму интернету уже очень давно, ответов небыло вообще. Теперь же, когда пошло дальше, инжектирование драйвера ядра и левого сертификата и началось движуха в сторону форков, то сразу нашлось время ответить.
Заработать доверие тяжело, а вот потерять как два пальца... учитывая на каком низком уровне работает софт
| | |
|
| 1.39, Аноним (39), 04:04, 08/05/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
И никого не смущает, что за вентоем там летит мегатонна закрытого блоба с закладками и гуантанамирусами по названием Трояндовс?
| | |
| 1.44, hshe (?), 06:29, 08/05/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
 Вот бы переживать про бэкдоры в щиндоусе - одним больше, одним меньше, какая разница:)
| | |
| 1.46, Bob (??), 07:50, 08/05/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– | |
>31 из 70 антивирусных пакетов
А никого не смущает, что кроме условного Топ 10 антивирей на остальные noname можно не смотреть в виду их подвальности? Ни всякие лаборатории ни хакеры на форумах их даже не рассматривают.
>код драйвера httpdisk.sys является открытым, а сам драйвер предназначен для монтирования в Windows дисковых образов по сети поверх протокола HTTP, что используется в iVentoy для получения с сервера установочных данных Windows. Подстановка драйверов и скриптов в систему после загрузки является документированным поведением.
А этот момент проверить перед очередным вскукареком из отхожего места после детекта ноунейм антивирями с вирустотала - не шмогли?
| | |
| 1.49, Аноним (49), 08:02, 08/05/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
То есть припёрся, объяснил что всё так должно быть и ничего страшного а потом "исправил", ахахахахаххаха
| | |
| |
| 2.59, Аноним (59), 10:33, 08/05/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
День 96-ой
Директор покупает специально спроектированные солонки с кодовым замком.
| | |
|
| |
| 2.97, Аноним (97), 21:40, 08/05/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Качаешь Ventoy, к тебе приезжает его автор с программатором и переписывает тебе BIOS
Я правильно тебя понял?
| | |
|
| 1.63, Аноним (63), 10:57, 08/05/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Ну что вы хотите, это ж opensourse, все хотят юзать бесплатно и при этом даже доки не читать...
| | |
| 1.83, myster (ok), 17:35, 08/05/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Когда в Ventoy добавят нормальную поддержку распознавания ISO-шек на внешнем разделе не созданном при помощи Ventoy или со второй флешки или с дополнительных внешних HDD/SSD?
Это же мучение какое-то с Ventoy, что он создаёт раздел для ISO-шек, а потом на него нельзя дышать, ресайзить или менять иначе всё - Ventoy сломается. Бред...
И главное альтернатив нормальных нет.
| | |
| |
| |
| 3.90, myster (ok), 19:19, 08/05/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Zalman ZM-VE300
про физицеские устройства я знаю, я IODD использую сам, но они не так удобны, как флешка.
И у них есть свои ограничение и замуты.
| | |
|
|
| 1.118, IdeaFix (ok), 23:09, 09/05/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Проблемы людей, которые не в курсе за существование pkgsrc.... воспроизводимость? Есть куча мест, где даже собираемость хотя бы на 51% не достижима. Уж какая тут воспроизводимость.
| | |
|
