Есть ли гарантия того, что программное обеспечение от Launchpad PPA не содержит вирусов и бэкдор-угроз?

Question 1

Поскольку Linux продолжает расти и развиваться, и чем больше мы используем Linux, тем больше угроза от вирусов.

Мы также знаем, что вирус / угроза в Linux (если есть) или распространяется, когда он работает как обычный пользователь, но это другая история, если вирус / угроза работает как пользователь root.

Примером такой опасности может быть, если вирус заправлен внутри PPA (намеренно или непреднамеренно) или если приложение имеет намеренно установленный бэкдор (например, pidgin может тайно отправлять пароли на определенный адрес).

Если мы добавим программное обеспечение из Launchpad PPA, есть ли какая-либо гарантия того, что программное обеспечение является бесплатным вирусом / бэкдор-угрозами?

Question 2

У каждого скрипта установки пакета есть корневой доступ к вашей системе, поэтому простой акт добавления PPA или установки пакета из него - это неявное утверждение доверия со стороны владельца PPA.

So , что происходит, если ваше доверие неуместно и владелец PPA хочет быть непослушным?

Чтобы загрузить в PPA, пакет должен быть подписан ключом GPG, уникальным для пользователя панели запуска (действительно, тот же ключ, с которым они подписали кодекс поведения). Таким образом, в случае известного вредоносного PPA мы просто запретим учетную запись и закрываем PPA (затронутые системы все равно будут скомпрометированы, но в любом случае не удастся исправить их в этой точке).

Кому например, социальные возможности Launchpad могут быть использованы в качестве превентивной меры для плохих пользователей - например, кто-то, кто имеет историю вносить вклад в Ubuntu, а некоторые из созданных карманов Launchpad, скорее всего, будут создавать ловушку PPA.

Или что, если кто-то получает контроль над PPA, который не принадлежит им?

Ну, это немного сложнее сценария угрозы, но также менее вероятно, так как для него требуется, чтобы злоумышленник получал как файл закрытого ключа пользователей стартовой панели (как правило, только на их компьютере), а также код разблокировки для него (как правило, сильный пароль не используется ни для чего другого). Однако, если это происходит, для кого-то обычно довольно сложно понять, что их учетная запись была скомпрометирована (Launchpad, например, отправит их по электронной почте о пакетах, которые они не загружают), а процедура очистки будет одинаковой.

Итак, в целом, PPA - это возможный вектор для вредоносного программного обеспечения, но, вероятно, гораздо более легкие методы для злоумышленников после вас.

Question 3

Question 4

У каждого скрипта установки пакета есть корневой доступ к вашей системе, поэтому простой акт добавления PPA или установки пакета из него - это неявное утверждение доверия со стороны владельца PPA.

So , что происходит, если ваше доверие неуместно и владелец PPA хочет быть непослушным?

Чтобы загрузить в PPA, пакет должен быть подписан ключом GPG, уникальным для пользователя панели запуска (действительно, тот же ключ, с которым они подписали кодекс поведения). Таким образом, в случае известного вредоносного PPA мы просто запретим учетную запись и закрываем PPA (затронутые системы все равно будут скомпрометированы, но в любом случае не удастся исправить их в этой точке).

Кому например, социальные возможности Launchpad могут быть использованы в качестве превентивной меры для плохих пользователей - например, кто-то, кто имеет историю вносить вклад в Ubuntu, а некоторые из созданных карманов Launchpad, скорее всего, будут создавать ловушку PPA.

Или что, если кто-то получает контроль над PPA, который не принадлежит им?

Ну, это немного сложнее сценария угрозы, но также менее вероятно, так как для него требуется, чтобы злоумышленник получал как файл закрытого ключа пользователей стартовой панели (как правило, только на их компьютере), а также код разблокировки для него (как правило, сильный пароль не используется ни для чего другого). Однако, если это происходит, для кого-то обычно довольно сложно понять, что их учетная запись была скомпрометирована (Launchpad, например, отправит их по электронной почте о пакетах, которые они не загружают), а процедура очистки будет одинаковой.

Итак, в целом, PPA - это возможный вектор для вредоносного программного обеспечения, но, вероятно, гораздо более легкие методы для злоумышленников после вас.

Question 5

У каждого скрипта установки пакета есть корневой доступ к вашей системе, поэтому простой акт добавления PPA или установки пакета из него - это неявное утверждение доверия со стороны владельца PPA.

So , что происходит, если ваше доверие неуместно и владелец PPA хочет быть непослушным?

Чтобы загрузить в PPA, пакет должен быть подписан ключом GPG, уникальным для пользователя панели запуска (действительно, тот же ключ, с которым они подписали кодекс поведения). Таким образом, в случае известного вредоносного PPA мы просто запретим учетную запись и закрываем PPA (затронутые системы все равно будут скомпрометированы, но в любом случае не удастся исправить их в этой точке).

Кому например, социальные возможности Launchpad могут быть использованы в качестве превентивной меры для плохих пользователей - например, кто-то, кто имеет историю вносить вклад в Ubuntu, а некоторые из созданных карманов Launchpad, скорее всего, будут создавать ловушку PPA.

Или что, если кто-то получает контроль над PPA, который не принадлежит им?

Ну, это немного сложнее сценария угрозы, но также менее вероятно, так как для него требуется, чтобы злоумышленник получал как файл закрытого ключа пользователей стартовой панели (как правило, только на их компьютере), а также код разблокировки для него (как правило, сильный пароль не используется ни для чего другого). Однако, если это происходит, для кого-то обычно довольно сложно понять, что их учетная запись была скомпрометирована (Launchpad, например, отправит их по электронной почте о пакетах, которые они не загружают), а процедура очистки будет одинаковой.

Итак, в целом, PPA - это возможный вектор для вредоносного программного обеспечения, но, вероятно, гораздо более легкие методы для злоумышленников после вас.

Question 6

У каждого скрипта установки пакета есть корневой доступ к вашей системе, поэтому простой акт добавления PPA или установки пакета из него - это неявное утверждение доверия со стороны владельца PPA.

So , что происходит, если ваше доверие неуместно и владелец PPA хочет быть непослушным?

Чтобы загрузить в PPA, пакет должен быть подписан ключом GPG, уникальным для пользователя панели запуска (действительно, тот же ключ, с которым они подписали кодекс поведения). Таким образом, в случае известного вредоносного PPA мы просто запретим учетную запись и закрываем PPA (затронутые системы все равно будут скомпрометированы, но в любом случае не удастся исправить их в этой точке).

Кому например, социальные возможности Launchpad могут быть использованы в качестве превентивной меры для плохих пользователей - например, кто-то, кто имеет историю вносить вклад в Ubuntu, а некоторые из созданных карманов Launchpad, скорее всего, будут создавать ловушку PPA.

Или что, если кто-то получает контроль над PPA, который не принадлежит им?

Ну, это немного сложнее сценария угрозы, но также менее вероятно, так как для него требуется, чтобы злоумышленник получал как файл закрытого ключа пользователей стартовой панели (как правило, только на их компьютере), а также код разблокировки для него (как правило, сильный пароль не используется ни для чего другого). Однако, если это происходит, для кого-то обычно довольно сложно понять, что их учетная запись была скомпрометирована (Launchpad, например, отправит их по электронной почте о пакетах, которые они не загружают), а процедура очистки будет одинаковой.

Итак, в целом, PPA - это возможный вектор для вредоносного программного обеспечения, но, вероятно, гораздо более легкие методы для злоумышленников после вас.

Question 7

Question 8

У каждого скрипта установки пакета есть корневой доступ к вашей системе, поэтому простой акт добавления PPA или установки пакета из него - это неявное утверждение доверия со стороны владельца PPA.

So , что происходит, если ваше доверие неуместно и владелец PPA хочет быть непослушным?

Чтобы загрузить в PPA, пакет должен быть подписан ключом GPG, уникальным для пользователя панели запуска (действительно, тот же ключ, с которым они подписали кодекс поведения). Таким образом, в случае известного вредоносного PPA мы просто запретим учетную запись и закрываем PPA (затронутые системы все равно будут скомпрометированы, но в любом случае не удастся исправить их в этой точке).

Кому например, социальные возможности Launchpad могут быть использованы в качестве превентивной меры для плохих пользователей - например, кто-то, кто имеет историю вносить вклад в Ubuntu, а некоторые из созданных карманов Launchpad, скорее всего, будут создавать ловушку PPA.

Или что, если кто-то получает контроль над PPA, который не принадлежит им?

Ну, это немного сложнее сценария угрозы, но также менее вероятно, так как для него требуется, чтобы злоумышленник получал как файл закрытого ключа пользователей стартовой панели (как правило, только на их компьютере), а также код разблокировки для него (как правило, сильный пароль не используется ни для чего другого). Однако, если это происходит, для кого-то обычно довольно сложно понять, что их учетная запись была скомпрометирована (Launchpad, например, отправит их по электронной почте о пакетах, которые они не загружают), а процедура очистки будет одинаковой.

Итак, в целом, PPA - это возможный вектор для вредоносного программного обеспечения, но, вероятно, гораздо более легкие методы для злоумышленников после вас.

Question 9

У каждого скрипта установки пакета есть корневой доступ к вашей системе, поэтому простой акт добавления PPA или установки пакета из него - это неявное утверждение доверия со стороны владельца PPA.

So , что происходит, если ваше доверие неуместно и владелец PPA хочет быть непослушным?

Чтобы загрузить в PPA, пакет должен быть подписан ключом GPG, уникальным для пользователя панели запуска (действительно, тот же ключ, с которым они подписали кодекс поведения). Таким образом, в случае известного вредоносного PPA мы просто запретим учетную запись и закрываем PPA (затронутые системы все равно будут скомпрометированы, но в любом случае не удастся исправить их в этой точке).

Кому например, социальные возможности Launchpad могут быть использованы в качестве превентивной меры для плохих пользователей - например, кто-то, кто имеет историю вносить вклад в Ubuntu, а некоторые из созданных карманов Launchpad, скорее всего, будут создавать ловушку PPA.

Или что, если кто-то получает контроль над PPA, который не принадлежит им?

Ну, это немного сложнее сценария угрозы, но также менее вероятно, так как для него требуется, чтобы злоумышленник получал как файл закрытого ключа пользователей стартовой панели (как правило, только на их компьютере), а также код разблокировки для него (как правило, сильный пароль не используется ни для чего другого). Однако, если это происходит, для кого-то обычно довольно сложно понять, что их учетная запись была скомпрометирована (Launchpad, например, отправит их по электронной почте о пакетах, которые они не загружают), а процедура очистки будет одинаковой.

Итак, в целом, PPA - это возможный вектор для вредоносного программного обеспечения, но, вероятно, гораздо более легкие методы для злоумышленников после вас.

Question 10

У каждого скрипта установки пакета есть корневой доступ к вашей системе, поэтому простой акт добавления PPA или установки пакета из него - это неявное утверждение доверия со стороны владельца PPA.

So , что происходит, если ваше доверие неуместно и владелец PPA хочет быть непослушным?

Чтобы загрузить в PPA, пакет должен быть подписан ключом GPG, уникальным для пользователя панели запуска (действительно, тот же ключ, с которым они подписали кодекс поведения). Таким образом, в случае известного вредоносного PPA мы просто запретим учетную запись и закрываем PPA (затронутые системы все равно будут скомпрометированы, но в любом случае не удастся исправить их в этой точке).

Кому например, социальные возможности Launchpad могут быть использованы в качестве превентивной меры для плохих пользователей - например, кто-то, кто имеет историю вносить вклад в Ubuntu, а некоторые из созданных карманов Launchpad, скорее всего, будут создавать ловушку PPA.

Или что, если кто-то получает контроль над PPA, который не принадлежит им?

Ну, это немного сложнее сценария угрозы, но также менее вероятно, так как для него требуется, чтобы злоумышленник получал как файл закрытого ключа пользователей стартовой панели (как правило, только на их компьютере), а также код разблокировки для него (как правило, сильный пароль не используется ни для чего другого). Однако, если это происходит, для кого-то обычно довольно сложно понять, что их учетная запись была скомпрометирована (Launchpad, например, отправит их по электронной почте о пакетах, которые они не загружают), а процедура очистки будет одинаковой.

Итак, в целом, PPA - это возможный вектор для вредоносного программного обеспечения, но, вероятно, гораздо более легкие методы для злоумышленников после вас.

Question 11

У каждого скрипта установки пакета есть корневой доступ к вашей системе, поэтому простой акт добавления PPA или установки пакета из него - это неявное утверждение доверия со стороны владельца PPA.

So , что происходит, если ваше доверие неуместно и владелец PPA хочет быть непослушным?

Чтобы загрузить в PPA, пакет должен быть подписан ключом GPG, уникальным для пользователя панели запуска (действительно, тот же ключ, с которым они подписали кодекс поведения). Таким образом, в случае известного вредоносного PPA мы просто запретим учетную запись и закрываем PPA (затронутые системы все равно будут скомпрометированы, но в любом случае не удастся исправить их в этой точке).

Кому например, социальные возможности Launchpad могут быть использованы в качестве превентивной меры для плохих пользователей - например, кто-то, кто имеет историю вносить вклад в Ubuntu, а некоторые из созданных карманов Launchpad, скорее всего, будут создавать ловушку PPA.

Или что, если кто-то получает контроль над PPA, который не принадлежит им?

Ну, это немного сложнее сценария угрозы, но также менее вероятно, так как для него требуется, чтобы злоумышленник получал как файл закрытого ключа пользователей стартовой панели (как правило, только на их компьютере), а также код разблокировки для него (как правило, сильный пароль не используется ни для чего другого). Однако, если это происходит, для кого-то обычно довольно сложно понять, что их учетная запись была скомпрометирована (Launchpad, например, отправит их по электронной почте о пакетах, которые они не загружают), а процедура очистки будет одинаковой.

Итак, в целом, PPA - это возможный вектор для вредоносного программного обеспечения, но, вероятно, гораздо более легкие методы для злоумышленников после вас.

Question 12

У каждого скрипта установки пакета есть корневой доступ к вашей системе, поэтому простой акт добавления PPA или установки пакета из него - это неявное утверждение доверия со стороны владельца PPA.

So , что происходит, если ваше доверие неуместно и владелец PPA хочет быть непослушным?

Чтобы загрузить в PPA, пакет должен быть подписан ключом GPG, уникальным для пользователя панели запуска (действительно, тот же ключ, с которым они подписали кодекс поведения). Таким образом, в случае известного вредоносного PPA мы просто запретим учетную запись и закрываем PPA (затронутые системы все равно будут скомпрометированы, но в любом случае не удастся исправить их в этой точке).

Кому например, социальные возможности Launchpad могут быть использованы в качестве превентивной меры для плохих пользователей - например, кто-то, кто имеет историю вносить вклад в Ubuntu, а некоторые из созданных карманов Launchpad, скорее всего, будут создавать ловушку PPA.

Или что, если кто-то получает контроль над PPA, который не принадлежит им?

Ну, это немного сложнее сценария угрозы, но также менее вероятно, так как для него требуется, чтобы злоумышленник получал как файл закрытого ключа пользователей стартовой панели (как правило, только на их компьютере), а также код разблокировки для него (как правило, сильный пароль не используется ни для чего другого). Однако, если это происходит, для кого-то обычно довольно сложно понять, что их учетная запись была скомпрометирована (Launchpad, например, отправит их по электронной почте о пакетах, которые они не загружают), а процедура очистки будет одинаковой.

Итак, в целом, PPA - это возможный вектор для вредоносного программного обеспечения, но, вероятно, гораздо более легкие методы для злоумышленников после вас.

Question 13

Question 14

Установление (возможно, распределенного) механизма рейтингов доверия для PPA было на дорожной карте USC на некоторое время, но оно еще не реализовано.

Question 15

Нет никакой гарантии, но в окружении, поддерживаемом сообществом, мы преуспеваем в «вере». Я добавил по крайней мере 20 PPA к моим источникам и до сих пор не испытывал проблем. Если по какой-либо причине и, как вы упомянули, в моей системе будет установлена угроза / вирус / бэкдор с помощью PPA, я бы узнал об этом как-то, любезно предоставил сообщество и просто удалю его. И, кстати, перед добавлением PPA, я всегда проверяю, какие пакеты указаны в нем.

И BTW, перед добавлением PPA, я всегда проверяю, какие пакеты указаны в нем. : Pidgin никогда не отправляет имена пользователей и пароли серверам (и никогда не третья сторона!) «Тайно». Все делается с согласия пользователя. Чтобы поддерживать связь без проблем, Pidgin не может проверять вас каждый раз, когда он отправляет учетные данные для входа на серверы. Ожидается, что вы уполномочили его сделать это, как только вы предоставили ему подробную информацию. Я бы предпочел подумать дважды, прежде чем называть Пидгина «бэкдором». :

)

Question 16

Установление (возможно, распределенного) механизма рейтингов доверия для PPA было на дорожной карте USC на некоторое время, но оно еще не реализовано.

Question 17

Нет никакой гарантии, но в окружении, поддерживаемом сообществом, мы преуспеваем в «вере». Я добавил по крайней мере 20 PPA к моим источникам и до сих пор не испытывал проблем. Если по какой-либо причине и, как вы упомянули, в моей системе будет установлена угроза / вирус / бэкдор с помощью PPA, я бы узнал об этом как-то, любезно предоставил сообщество и просто удалю его. И, кстати, перед добавлением PPA, я всегда проверяю, какие пакеты указаны в нем.

И BTW, перед добавлением PPA, я всегда проверяю, какие пакеты указаны в нем. : Pidgin никогда не отправляет имена пользователей и пароли серверам (и никогда не третья сторона!) «Тайно». Все делается с согласия пользователя. Чтобы поддерживать связь без проблем, Pidgin не может проверять вас каждый раз, когда он отправляет учетные данные для входа на серверы. Ожидается, что вы уполномочили его сделать это, как только вы предоставили ему подробную информацию. Я бы предпочел подумать дважды, прежде чем называть Пидгина «бэкдором». :

)

Question 18

Установление (возможно, распределенного) механизма рейтингов доверия для PPA было на дорожной карте USC на некоторое время, но оно еще не реализовано.

Question 19

Question 20

Нет никакой гарантии, но в окружении, поддерживаемом сообществом, мы преуспеваем в «вере». Я добавил по крайней мере 20 PPA к моим источникам и до сих пор не испытывал проблем. Если по какой-либо причине и, как вы упомянули, в моей системе будет установлена угроза / вирус / бэкдор с помощью PPA, я бы узнал об этом как-то, любезно предоставил сообщество и просто удалю его. И, кстати, перед добавлением PPA, я всегда проверяю, какие пакеты указаны в нем.

И BTW, перед добавлением PPA, я всегда проверяю, какие пакеты указаны в нем. : Pidgin никогда не отправляет имена пользователей и пароли серверам (и никогда не третья сторона!) «Тайно». Все делается с согласия пользователя. Чтобы поддерживать связь без проблем, Pidgin не может проверять вас каждый раз, когда он отправляет учетные данные для входа на серверы. Ожидается, что вы уполномочили его сделать это, как только вы предоставили ему подробную информацию. Я бы предпочел подумать дважды, прежде чем называть Пидгина «бэкдором». :

)

Question 21

Установление (возможно, распределенного) механизма рейтингов доверия для PPA было на дорожной карте USC на некоторое время, но оно еще не реализовано.

Question 22

Нет никакой гарантии, но в окружении, поддерживаемом сообществом, мы преуспеваем в «вере». Я добавил по крайней мере 20 PPA к моим источникам и до сих пор не испытывал проблем. Если по какой-либо причине и, как вы упомянули, в моей системе будет установлена угроза / вирус / бэкдор с помощью PPA, я бы узнал об этом как-то, любезно предоставил сообщество и просто удалю его. И, кстати, перед добавлением PPA, я всегда проверяю, какие пакеты указаны в нем.

И BTW, перед добавлением PPA, я всегда проверяю, какие пакеты указаны в нем. : Pidgin никогда не отправляет имена пользователей и пароли серверам (и никогда не третья сторона!) «Тайно». Все делается с согласия пользователя. Чтобы поддерживать связь без проблем, Pidgin не может проверять вас каждый раз, когда он отправляет учетные данные для входа на серверы. Ожидается, что вы уполномочили его сделать это, как только вы предоставили ему подробную информацию. Я бы предпочел подумать дважды, прежде чем называть Пидгина «бэкдором». :

)

Question 23

Установление (возможно, распределенного) механизма рейтингов доверия для PPA было на дорожной карте USC на некоторое время, но оно еще не реализовано.

Question 24

Нет никакой гарантии, но в окружении, поддерживаемом сообществом, мы преуспеваем в «вере». Я добавил по крайней мере 20 PPA к моим источникам и до сих пор не испытывал проблем. Если по какой-либо причине и, как вы упомянули, в моей системе будет установлена угроза / вирус / бэкдор с помощью PPA, я бы узнал об этом как-то, любезно предоставил сообщество и просто удалю его. И, кстати, перед добавлением PPA, я всегда проверяю, какие пакеты указаны в нем.

И BTW, перед добавлением PPA, я всегда проверяю, какие пакеты указаны в нем. : Pidgin никогда не отправляет имена пользователей и пароли серверам (и никогда не третья сторона!) «Тайно». Все делается с согласия пользователя. Чтобы поддерживать связь без проблем, Pidgin не может проверять вас каждый раз, когда он отправляет учетные данные для входа на серверы. Ожидается, что вы уполномочили его сделать это, как только вы предоставили ему подробную информацию. Я бы предпочел подумать дважды, прежде чем называть Пидгина «бэкдором». :

)

Question 25

Question 26

Установление (возможно, распределенного) механизма рейтингов доверия для PPA было на дорожной карте USC на некоторое время, но оно еще не реализовано.

Question 27

Нет никакой гарантии, но в окружении, поддерживаемом сообществом, мы преуспеваем в «вере». Я добавил по крайней мере 20 PPA к моим источникам и до сих пор не испытывал проблем. Если по какой-либо причине и, как вы упомянули, в моей системе будет установлена угроза / вирус / бэкдор с помощью PPA, я бы узнал об этом как-то, любезно предоставил сообщество и просто удалю его. И, кстати, перед добавлением PPA, я всегда проверяю, какие пакеты указаны в нем.

И BTW, перед добавлением PPA, я всегда проверяю, какие пакеты указаны в нем. : Pidgin никогда не отправляет имена пользователей и пароли серверам (и никогда не третья сторона!) «Тайно». Все делается с согласия пользователя. Чтобы поддерживать связь без проблем, Pidgin не может проверять вас каждый раз, когда он отправляет учетные данные для входа на серверы. Ожидается, что вы уполномочили его сделать это, как только вы предоставили ему подробную информацию. Я бы предпочел подумать дважды, прежде чем называть Пидгина «бэкдором». :

)

Question 28

Установление (возможно, распределенного) механизма рейтингов доверия для PPA было на дорожной карте USC на некоторое время, но оно еще не реализовано.

Question 29

Нет никакой гарантии, но в окружении, поддерживаемом сообществом, мы преуспеваем в «вере». Я добавил по крайней мере 20 PPA к моим источникам и до сих пор не испытывал проблем. Если по какой-либо причине и, как вы упомянули, в моей системе будет установлена угроза / вирус / бэкдор с помощью PPA, я бы узнал об этом как-то, любезно предоставил сообщество и просто удалю его. И, кстати, перед добавлением PPA, я всегда проверяю, какие пакеты указаны в нем.

И BTW, перед добавлением PPA, я всегда проверяю, какие пакеты указаны в нем. : Pidgin никогда не отправляет имена пользователей и пароли серверам (и никогда не третья сторона!) «Тайно». Все делается с согласия пользователя. Чтобы поддерживать связь без проблем, Pidgin не может проверять вас каждый раз, когда он отправляет учетные данные для входа на серверы. Ожидается, что вы уполномочили его сделать это, как только вы предоставили ему подробную информацию. Я бы предпочел подумать дважды, прежде чем называть Пидгина «бэкдором». :

)

Question 30

Нет никакой гарантии, но в окружении, поддерживаемом сообществом, мы преуспеваем в «вере». Я добавил по крайней мере 20 PPA к моим источникам и до сих пор не испытывал проблем. Если по какой-либо причине и, как вы упомянули, в моей системе будет установлена угроза / вирус / бэкдор с помощью PPA, я бы узнал об этом как-то, любезно предоставил сообщество и просто удалю его. И, кстати, перед добавлением PPA, я всегда проверяю, какие пакеты перечислены в нем.

PS: Pidgin никогда не отправляет имена пользователей и пароли серверам (и никогда не третья сторона!) «Тайно». Все делается с согласия пользователя. Чтобы поддерживать связь без проблем, Pidgin не может проверять вас каждый раз, когда он отправляет учетные данные для входа на серверы. Ожидается, что вы уполномочили его сделать это, как только вы предоставили ему подробную информацию. Я бы предпочел подумать дважды, прежде чем называть Пидгина «бэкдором». :

)

Question 31

Question 32

Установление (возможно, распределенного) механизма рейтингов доверия для PPA некоторое время находилось в USC дорожной карте, но оно еще не реализовано.

Question 33

Нет никакой гарантии, но в окружении, поддерживаемом сообществом, мы преуспеваем в «вере». Я добавил по крайней мере 20 PPA к моим источникам и до сих пор не испытывал проблем. Если по какой-либо причине и, как вы упомянули, в моей системе будет установлена угроза / вирус / бэкдор с помощью PPA, я бы узнал об этом как-то, любезно предоставил сообщество и просто удалю его. И, кстати, перед добавлением PPA, я всегда проверяю, какие пакеты перечислены в нем.

PS: Pidgin никогда не отправляет имена пользователей и пароли серверам (и никогда не третья сторона!) «Тайно». Все делается с согласия пользователя. Чтобы поддерживать связь без проблем, Pidgin не может проверять вас каждый раз, когда он отправляет учетные данные для входа на серверы. Ожидается, что вы уполномочили его сделать это, как только вы предоставили ему подробную информацию. Я бы предпочел подумать дважды, прежде чем называть Пидгина «бэкдором». :

)

Question 34

Установление (возможно, распределенного) механизма рейтингов доверия для PPA некоторое время находилось в USC дорожной карте, но оно еще не реализовано.

Scott Ritchie · Accepted Answer · 26 May 2018 в 00:59

У каждого скрипта установки пакета есть корневой доступ к вашей системе, поэтому простой акт добавления PPA или установки пакета из него - это неявное утверждение доверия со стороны владельца PPA.

So , что происходит, если ваше доверие неуместно и владелец PPA хочет быть непослушным?

Чтобы загрузить в PPA, пакет должен быть подписан ключом GPG, уникальным для пользователя панели запуска (действительно, тот же ключ, с которым они подписали кодекс поведения). Таким образом, в случае известного вредоносного PPA мы просто запретим учетную запись и закрываем PPA (затронутые системы все равно будут скомпрометированы, но в любом случае не удастся исправить их в этой точке).

Кому например, социальные возможности Launchpad могут быть использованы в качестве превентивной меры для плохих пользователей - например, кто-то, кто имеет историю вносить вклад в Ubuntu, а некоторые из созданных карманов Launchpad, скорее всего, будут создавать ловушку PPA.

Или что, если кто-то получает контроль над PPA, который не принадлежит им?

Ну, это немного сложнее сценария угрозы, но также менее вероятно, так как для него требуется, чтобы злоумышленник получал как файл закрытого ключа пользователей стартовой панели (как правило, только на их компьютере), а также код разблокировки для него (как правило, сильный пароль не используется ни для чего другого). Однако, если это происходит, для кого-то обычно довольно сложно понять, что их учетная запись была скомпрометирована (Launchpad, например, отправит их по электронной почте о пакетах, которые они не загружают), а процедура очистки будет одинаковой.

Итак, в целом, PPA - это возможный вектор для вредоносного программного обеспечения, но, вероятно, гораздо более легкие методы для злоумышленников после вас.

Я лично следую за «человеком / командой dev» " править. То есть, они являются либо оригинальным автором или разработчиком Ubuntu? Если ответ на оба из них - «нет», Я не доверял бы, если бы не знал человека (например, если бы я наставлял их, чтобы стать разработчиком). — maco, 16 October 2010 в 09:52

Scott Ritchie · Accepted Answer · 25 July 2018 в 23:04

У каждого скрипта установки пакета есть корневой доступ к вашей системе, поэтому простой акт добавления PPA или установки пакета из него - это неявное утверждение доверия со стороны владельца PPA.

So , что происходит, если ваше доверие неуместно и владелец PPA хочет быть непослушным?

Чтобы загрузить в PPA, пакет должен быть подписан ключом GPG, уникальным для пользователя панели запуска (действительно, тот же ключ, с которым они подписали кодекс поведения). Таким образом, в случае известного вредоносного PPA мы просто запретим учетную запись и закрываем PPA (затронутые системы все равно будут скомпрометированы, но в любом случае не удастся исправить их в этой точке).

Кому например, социальные возможности Launchpad могут быть использованы в качестве превентивной меры для плохих пользователей - например, кто-то, кто имеет историю вносить вклад в Ubuntu, а некоторые из созданных карманов Launchpad, скорее всего, будут создавать ловушку PPA.

Или что, если кто-то получает контроль над PPA, который не принадлежит им?

Ну, это немного сложнее сценария угрозы, но также менее вероятно, так как для него требуется, чтобы злоумышленник получал как файл закрытого ключа пользователей стартовой панели (как правило, только на их компьютере), а также код разблокировки для него (как правило, сильный пароль не используется ни для чего другого). Однако, если это происходит, для кого-то обычно довольно сложно понять, что их учетная запись была скомпрометирована (Launchpad, например, отправит их по электронной почте о пакетах, которые они не загружают), а процедура очистки будет одинаковой.

Итак, в целом, PPA - это возможный вектор для вредоносного программного обеспечения, но, вероятно, гораздо более легкие методы для злоумышленников после вас.

Scott Ritchie · Accepted Answer · 27 July 2018 в 02:30

У каждого скрипта установки пакета есть корневой доступ к вашей системе, поэтому простой акт добавления PPA или установки пакета из него - это неявное утверждение доверия со стороны владельца PPA.

So , что происходит, если ваше доверие неуместно и владелец PPA хочет быть непослушным?

Чтобы загрузить в PPA, пакет должен быть подписан ключом GPG, уникальным для пользователя панели запуска (действительно, тот же ключ, с которым они подписали кодекс поведения). Таким образом, в случае известного вредоносного PPA мы просто запретим учетную запись и закрываем PPA (затронутые системы все равно будут скомпрометированы, но в любом случае не удастся исправить их в этой точке).

Кому например, социальные возможности Launchpad могут быть использованы в качестве превентивной меры для плохих пользователей - например, кто-то, кто имеет историю вносить вклад в Ubuntu, а некоторые из созданных карманов Launchpad, скорее всего, будут создавать ловушку PPA.

Или что, если кто-то получает контроль над PPA, который не принадлежит им?

Ну, это немного сложнее сценария угрозы, но также менее вероятно, так как для него требуется, чтобы злоумышленник получал как файл закрытого ключа пользователей стартовой панели (как правило, только на их компьютере), а также код разблокировки для него (как правило, сильный пароль не используется ни для чего другого). Однако, если это происходит, для кого-то обычно довольно сложно понять, что их учетная запись была скомпрометирована (Launchpad, например, отправит их по электронной почте о пакетах, которые они не загружают), а процедура очистки будет одинаковой.

Итак, в целом, PPA - это возможный вектор для вредоносного программного обеспечения, но, вероятно, гораздо более легкие методы для злоумышленников после вас.

Scott Ritchie · Accepted Answer · 2 August 2018 в 04:25

У каждого скрипта установки пакета есть корневой доступ к вашей системе, поэтому простой акт добавления PPA или установки пакета из него - это неявное утверждение доверия со стороны владельца PPA.

So , что происходит, если ваше доверие неуместно и владелец PPA хочет быть непослушным?

Чтобы загрузить в PPA, пакет должен быть подписан ключом GPG, уникальным для пользователя панели запуска (действительно, тот же ключ, с которым они подписали кодекс поведения). Таким образом, в случае известного вредоносного PPA мы просто запретим учетную запись и закрываем PPA (затронутые системы все равно будут скомпрометированы, но в любом случае не удастся исправить их в этой точке).

Кому например, социальные возможности Launchpad могут быть использованы в качестве превентивной меры для плохих пользователей - например, кто-то, кто имеет историю вносить вклад в Ubuntu, а некоторые из созданных карманов Launchpad, скорее всего, будут создавать ловушку PPA.

Или что, если кто-то получает контроль над PPA, который не принадлежит им?

Ну, это немного сложнее сценария угрозы, но также менее вероятно, так как для него требуется, чтобы злоумышленник получал как файл закрытого ключа пользователей стартовой панели (как правило, только на их компьютере), а также код разблокировки для него (как правило, сильный пароль не используется ни для чего другого). Однако, если это происходит, для кого-то обычно довольно сложно понять, что их учетная запись была скомпрометирована (Launchpad, например, отправит их по электронной почте о пакетах, которые они не загружают), а процедура очистки будет одинаковой.

Итак, в целом, PPA - это возможный вектор для вредоносного программного обеспечения, но, вероятно, гораздо более легкие методы для злоумышленников после вас.

Scott Ritchie · Accepted Answer · 4 August 2018 в 20:57

У каждого скрипта установки пакета есть корневой доступ к вашей системе, поэтому простой акт добавления PPA или установки пакета из него - это неявное утверждение доверия со стороны владельца PPA.

So , что происходит, если ваше доверие неуместно и владелец PPA хочет быть непослушным?

Чтобы загрузить в PPA, пакет должен быть подписан ключом GPG, уникальным для пользователя панели запуска (действительно, тот же ключ, с которым они подписали кодекс поведения). Таким образом, в случае известного вредоносного PPA мы просто запретим учетную запись и закрываем PPA (затронутые системы все равно будут скомпрометированы, но в любом случае не удастся исправить их в этой точке).

Кому например, социальные возможности Launchpad могут быть использованы в качестве превентивной меры для плохих пользователей - например, кто-то, кто имеет историю вносить вклад в Ubuntu, а некоторые из созданных карманов Launchpad, скорее всего, будут создавать ловушку PPA.

Или что, если кто-то получает контроль над PPA, который не принадлежит им?

Ну, это немного сложнее сценария угрозы, но также менее вероятно, так как для него требуется, чтобы злоумышленник получал как файл закрытого ключа пользователей стартовой панели (как правило, только на их компьютере), а также код разблокировки для него (как правило, сильный пароль не используется ни для чего другого). Однако, если это происходит, для кого-то обычно довольно сложно понять, что их учетная запись была скомпрометирована (Launchpad, например, отправит их по электронной почте о пакетах, которые они не загружают), а процедура очистки будет одинаковой.

Итак, в целом, PPA - это возможный вектор для вредоносного программного обеспечения, но, вероятно, гораздо более легкие методы для злоумышленников после вас.

Scott Ritchie · Accepted Answer · 6 August 2018 в 04:29

У каждого скрипта установки пакета есть корневой доступ к вашей системе, поэтому простой акт добавления PPA или установки пакета из него - это неявное утверждение доверия со стороны владельца PPA.

So , что происходит, если ваше доверие неуместно и владелец PPA хочет быть непослушным?

Чтобы загрузить в PPA, пакет должен быть подписан ключом GPG, уникальным для пользователя панели запуска (действительно, тот же ключ, с которым они подписали кодекс поведения). Таким образом, в случае известного вредоносного PPA мы просто запретим учетную запись и закрываем PPA (затронутые системы все равно будут скомпрометированы, но в любом случае не удастся исправить их в этой точке).

Кому например, социальные возможности Launchpad могут быть использованы в качестве превентивной меры для плохих пользователей - например, кто-то, кто имеет историю вносить вклад в Ubuntu, а некоторые из созданных карманов Launchpad, скорее всего, будут создавать ловушку PPA.

Или что, если кто-то получает контроль над PPA, который не принадлежит им?

Ну, это немного сложнее сценария угрозы, но также менее вероятно, так как для него требуется, чтобы злоумышленник получал как файл закрытого ключа пользователей стартовой панели (как правило, только на их компьютере), а также код разблокировки для него (как правило, сильный пароль не используется ни для чего другого). Однако, если это происходит, для кого-то обычно довольно сложно понять, что их учетная запись была скомпрометирована (Launchpad, например, отправит их по электронной почте о пакетах, которые они не загружают), а процедура очистки будет одинаковой.

Итак, в целом, PPA - это возможный вектор для вредоносного программного обеспечения, но, вероятно, гораздо более легкие методы для злоумышленников после вас.

Scott Ritchie · Accepted Answer · 7 August 2018 в 22:38

У каждого скрипта установки пакета есть корневой доступ к вашей системе, поэтому простой акт добавления PPA или установки пакета из него - это неявное утверждение доверия со стороны владельца PPA.

So , что происходит, если ваше доверие неуместно и владелец PPA хочет быть непослушным?

Чтобы загрузить в PPA, пакет должен быть подписан ключом GPG, уникальным для пользователя панели запуска (действительно, тот же ключ, с которым они подписали кодекс поведения). Таким образом, в случае известного вредоносного PPA мы просто запретим учетную запись и закрываем PPA (затронутые системы все равно будут скомпрометированы, но в любом случае не удастся исправить их в этой точке).

Кому например, социальные возможности Launchpad могут быть использованы в качестве превентивной меры для плохих пользователей - например, кто-то, кто имеет историю вносить вклад в Ubuntu, а некоторые из созданных карманов Launchpad, скорее всего, будут создавать ловушку PPA.

Или что, если кто-то получает контроль над PPA, который не принадлежит им?

Ну, это немного сложнее сценария угрозы, но также менее вероятно, так как для него требуется, чтобы злоумышленник получал как файл закрытого ключа пользователей стартовой панели (как правило, только на их компьютере), а также код разблокировки для него (как правило, сильный пароль не используется ни для чего другого). Однако, если это происходит, для кого-то обычно довольно сложно понять, что их учетная запись была скомпрометирована (Launchpad, например, отправит их по электронной почте о пакетах, которые они не загружают), а процедура очистки будет одинаковой.

Итак, в целом, PPA - это возможный вектор для вредоносного программного обеспечения, но, вероятно, гораздо более легкие методы для злоумышленников после вас.

Scott Ritchie · Accepted Answer · 10 August 2018 в 10:45

У каждого скрипта установки пакета есть корневой доступ к вашей системе, поэтому простой акт добавления PPA или установки пакета из него - это неявное утверждение доверия со стороны владельца PPA.

So , что происходит, если ваше доверие неуместно и владелец PPA хочет быть непослушным?

Чтобы загрузить в PPA, пакет должен быть подписан ключом GPG, уникальным для пользователя панели запуска (действительно, тот же ключ, с которым они подписали кодекс поведения). Таким образом, в случае известного вредоносного PPA мы просто запретим учетную запись и закрываем PPA (затронутые системы все равно будут скомпрометированы, но в любом случае не удастся исправить их в этой точке).

Кому например, социальные возможности Launchpad могут быть использованы в качестве превентивной меры для плохих пользователей - например, кто-то, кто имеет историю вносить вклад в Ubuntu, а некоторые из созданных карманов Launchpad, скорее всего, будут создавать ловушку PPA.

Или что, если кто-то получает контроль над PPA, который не принадлежит им?

Ну, это немного сложнее сценария угрозы, но также менее вероятно, так как для него требуется, чтобы злоумышленник получал как файл закрытого ключа пользователей стартовой панели (как правило, только на их компьютере), а также код разблокировки для него (как правило, сильный пароль не используется ни для чего другого). Однако, если это происходит, для кого-то обычно довольно сложно понять, что их учетная запись была скомпрометирована (Launchpad, например, отправит их по электронной почте о пакетах, которые они не загружают), а процедура очистки будет одинаковой.

Итак, в целом, PPA - это возможный вектор для вредоносного программного обеспечения, но, вероятно, гораздо более легкие методы для злоумышленников после вас.

Scott Ritchie · Accepted Answer · 13 August 2018 в 17:18

У каждого скрипта установки пакета есть корневой доступ к вашей системе, поэтому простой акт добавления PPA или установки пакета из него - это неявное утверждение доверия со стороны владельца PPA.

So , что происходит, если ваше доверие неуместно и владелец PPA хочет быть непослушным?

Чтобы загрузить в PPA, пакет должен быть подписан ключом GPG, уникальным для пользователя панели запуска (действительно, тот же ключ, с которым они подписали кодекс поведения). Таким образом, в случае известного вредоносного PPA мы просто запретим учетную запись и закрываем PPA (затронутые системы все равно будут скомпрометированы, но в любом случае не удастся исправить их в этой точке).

Кому например, социальные возможности Launchpad могут быть использованы в качестве превентивной меры для плохих пользователей - например, кто-то, кто имеет историю вносить вклад в Ubuntu, а некоторые из созданных карманов Launchpad, скорее всего, будут создавать ловушку PPA.

Или что, если кто-то получает контроль над PPA, который не принадлежит им?

Ну, это немного сложнее сценария угрозы, но также менее вероятно, так как для него требуется, чтобы злоумышленник получал как файл закрытого ключа пользователей стартовой панели (как правило, только на их компьютере), а также код разблокировки для него (как правило, сильный пароль не используется ни для чего другого). Однако, если это происходит, для кого-то обычно довольно сложно понять, что их учетная запись была скомпрометирована (Launchpad, например, отправит их по электронной почте о пакетах, которые они не загружают), а процедура очистки будет одинаковой.

Итак, в целом, PPA - это возможный вектор для вредоносного программного обеспечения, но, вероятно, гораздо более легкие методы для злоумышленников после вас.

Я лично следую за «человеком / командой dev» & quot; править. То есть, они являются либо оригинальным автором или разработчиком Ubuntu? Если ответ на оба из них - «нет», Я не доверял бы, если бы не знал человека (например, если бы я наставлял их, чтобы стать разработчиком). — maco, 16 October 2010 в 09:52

mgunes · Answer 10 · 26 May 2018 в 00:59

Установление (возможно, распределенного) механизма рейтингов доверия для PPA было на дорожной карте USC на некоторое время, но оно еще не реализовано.

8

ответ дан mgunes 26 May 2018 в 00:59

1

& Quot; ОСК & Quot; это «Центр программного обеспечения Ubuntu», если кто-то еще не знает об этом (предполагая, что вы не следуете ссылке сами). – belacqua 7 February 2011 в 12:33

Srinivas G · Answer 11 · 26 May 2018 в 00:59

Нет никакой гарантии, но в окружении, поддерживаемом сообществом, мы преуспеваем в «вере». Я добавил по крайней мере 20 PPA к моим источникам и до сих пор не испытывал проблем. Если по какой-либо причине и, как вы упомянули, в моей системе будет установлена угроза / вирус / бэкдор с помощью PPA, я бы узнал об этом как-то, любезно предоставил сообщество и просто удалю его. И, кстати, перед добавлением PPA, я всегда проверяю, какие пакеты указаны в нем.

И BTW, перед добавлением PPA, я всегда проверяю, какие пакеты указаны в нем. : Pidgin никогда не отправляет имена пользователей и пароли серверам (и никогда не третья сторона!) «Тайно». Все делается с согласия пользователя. Чтобы поддерживать связь без проблем, Pidgin не может проверять вас каждый раз, когда он отправляет учетные данные для входа на серверы. Ожидается, что вы уполномочили его сделать это, как только вы предоставили ему подробную информацию. Я бы предпочел подумать дважды, прежде чем называть Пидгина «бэкдором». :

)

Однако Pidgin сохраняет пароли в текстовом виде. — Gödel, 16 October 2010 в 08:05
Даже google-chrome сохранили пароли открытого текста, которые были тривиально выставлены SQL-запросом (как показано в Jamie Strandboge ). — belacqua, 7 February 2011 в 12:35
Что касается вашего второго абзаца, я думаю, вы неправильно поняли намерения OP. Он не предлагал, чтобы у Пиджина был черный ход. Он использовал его в качестве гипотетического примера, чтобы проиллюстрировать его вопрос. — Jon Bentley, 15 January 2016 в 19:37

mgunes · Answer 12 · 25 July 2018 в 23:04

Установление (возможно, распределенного) механизма рейтингов доверия для PPA было на дорожной карте USC на некоторое время, но оно еще не реализовано.

8

ответ дан mgunes 25 July 2018 в 23:04

1

& Quot; ОСК & Quot; это «Центр программного обеспечения Ubuntu», если кто-то еще не знает об этом (предполагая, что вы не следуете ссылке сами). – belacqua 7 February 2011 в 12:33

Srinivas G · Answer 13 · 25 July 2018 в 23:04

Нет никакой гарантии, но в окружении, поддерживаемом сообществом, мы преуспеваем в «вере». Я добавил по крайней мере 20 PPA к моим источникам и до сих пор не испытывал проблем. Если по какой-либо причине и, как вы упомянули, в моей системе будет установлена угроза / вирус / бэкдор с помощью PPA, я бы узнал об этом как-то, любезно предоставил сообщество и просто удалю его. И, кстати, перед добавлением PPA, я всегда проверяю, какие пакеты указаны в нем.

И BTW, перед добавлением PPA, я всегда проверяю, какие пакеты указаны в нем. : Pidgin никогда не отправляет имена пользователей и пароли серверам (и никогда не третья сторона!) «Тайно». Все делается с согласия пользователя. Чтобы поддерживать связь без проблем, Pidgin не может проверять вас каждый раз, когда он отправляет учетные данные для входа на серверы. Ожидается, что вы уполномочили его сделать это, как только вы предоставили ему подробную информацию. Я бы предпочел подумать дважды, прежде чем называть Пидгина «бэкдором». :

)

Однако Pidgin сохраняет пароли в текстовом виде. — Gödel, 16 October 2010 в 08:05
Даже google-chrome сохранили пароли открытого текста, которые были тривиально выставлены SQL-запросом (как показано в Jamie Strandboge ). — belacqua, 7 February 2011 в 12:35
Что касается вашего второго абзаца, я думаю, вы неправильно поняли намерения OP. Он не предлагал, чтобы у Пиджина был черный ход. Он использовал его в качестве гипотетического примера, чтобы проиллюстрировать его вопрос. — Jon Bentley, 15 January 2016 в 19:37

mgunes · Answer 14 · 27 July 2018 в 02:30

Установление (возможно, распределенного) механизма рейтингов доверия для PPA было на дорожной карте USC на некоторое время, но оно еще не реализовано.

8

ответ дан mgunes 27 July 2018 в 02:30

1

& Quot; ОСК & Quot; это «Центр программного обеспечения Ubuntu», если кто-то еще не знает об этом (предполагая, что вы не следуете ссылке сами). – belacqua 7 February 2011 в 12:33

Srinivas G · Answer 15 · 27 July 2018 в 02:30

Нет никакой гарантии, но в окружении, поддерживаемом сообществом, мы преуспеваем в «вере». Я добавил по крайней мере 20 PPA к моим источникам и до сих пор не испытывал проблем. Если по какой-либо причине и, как вы упомянули, в моей системе будет установлена угроза / вирус / бэкдор с помощью PPA, я бы узнал об этом как-то, любезно предоставил сообщество и просто удалю его. И, кстати, перед добавлением PPA, я всегда проверяю, какие пакеты указаны в нем.

И BTW, перед добавлением PPA, я всегда проверяю, какие пакеты указаны в нем. : Pidgin никогда не отправляет имена пользователей и пароли серверам (и никогда не третья сторона!) «Тайно». Все делается с согласия пользователя. Чтобы поддерживать связь без проблем, Pidgin не может проверять вас каждый раз, когда он отправляет учетные данные для входа на серверы. Ожидается, что вы уполномочили его сделать это, как только вы предоставили ему подробную информацию. Я бы предпочел подумать дважды, прежде чем называть Пидгина «бэкдором». :

)

Однако Pidgin сохраняет пароли в текстовом виде. — Gödel, 16 October 2010 в 08:05
Даже google-chrome сохранили пароли открытого текста, которые были тривиально выставлены SQL-запросом (как показано в Jamie Strandboge ). — belacqua, 7 February 2011 в 12:35
Что касается вашего второго абзаца, я думаю, вы неправильно поняли намерения OP. Он не предлагал, чтобы у Пиджина был черный ход. Он использовал его в качестве гипотетического примера, чтобы проиллюстрировать его вопрос. — Jon Bentley, 15 January 2016 в 19:37

mgunes · Answer 16 · 2 August 2018 в 04:25

Установление (возможно, распределенного) механизма рейтингов доверия для PPA было на дорожной карте USC на некоторое время, но оно еще не реализовано.

8

ответ дан mgunes 2 August 2018 в 04:25

1

& Quot; ОСК & Quot; это «Центр программного обеспечения Ubuntu», если кто-то еще не знает об этом (предполагая, что вы не следуете ссылке сами). – belacqua 7 February 2011 в 12:33

Srinivas G · Answer 17 · 2 August 2018 в 04:25

Нет никакой гарантии, но в окружении, поддерживаемом сообществом, мы преуспеваем в «вере». Я добавил по крайней мере 20 PPA к моим источникам и до сих пор не испытывал проблем. Если по какой-либо причине и, как вы упомянули, в моей системе будет установлена угроза / вирус / бэкдор с помощью PPA, я бы узнал об этом как-то, любезно предоставил сообщество и просто удалю его. И, кстати, перед добавлением PPA, я всегда проверяю, какие пакеты указаны в нем.

И BTW, перед добавлением PPA, я всегда проверяю, какие пакеты указаны в нем. : Pidgin никогда не отправляет имена пользователей и пароли серверам (и никогда не третья сторона!) «Тайно». Все делается с согласия пользователя. Чтобы поддерживать связь без проблем, Pidgin не может проверять вас каждый раз, когда он отправляет учетные данные для входа на серверы. Ожидается, что вы уполномочили его сделать это, как только вы предоставили ему подробную информацию. Я бы предпочел подумать дважды, прежде чем называть Пидгина «бэкдором». :

)

Однако Pidgin сохраняет пароли в текстовом виде. — Gödel, 16 October 2010 в 08:05
Даже google-chrome сохранили пароли открытого текста, которые были тривиально выставлены SQL-запросом (как показано в Jamie Strandboge ). — belacqua, 7 February 2011 в 12:35
Что касается вашего второго абзаца, я думаю, вы неправильно поняли намерения OP. Он не предлагал, чтобы у Пиджина был черный ход. Он использовал его в качестве гипотетического примера, чтобы проиллюстрировать его вопрос. — Jon Bentley, 15 January 2016 в 19:37

mgunes · Answer 18 · 4 August 2018 в 20:57

Установление (возможно, распределенного) механизма рейтингов доверия для PPA было на дорожной карте USC на некоторое время, но оно еще не реализовано.

8

ответ дан mgunes 4 August 2018 в 20:57

1

& Quot; ОСК & Quot; это «Центр программного обеспечения Ubuntu», если кто-то еще не знает об этом (предполагая, что вы не следуете ссылке сами). – belacqua 7 February 2011 в 12:33

Srinivas G · Answer 19 · 4 August 2018 в 20:57

Нет никакой гарантии, но в окружении, поддерживаемом сообществом, мы преуспеваем в «вере». Я добавил по крайней мере 20 PPA к моим источникам и до сих пор не испытывал проблем. Если по какой-либо причине и, как вы упомянули, в моей системе будет установлена угроза / вирус / бэкдор с помощью PPA, я бы узнал об этом как-то, любезно предоставил сообщество и просто удалю его. И, кстати, перед добавлением PPA, я всегда проверяю, какие пакеты указаны в нем.

И BTW, перед добавлением PPA, я всегда проверяю, какие пакеты указаны в нем. : Pidgin никогда не отправляет имена пользователей и пароли серверам (и никогда не третья сторона!) «Тайно». Все делается с согласия пользователя. Чтобы поддерживать связь без проблем, Pidgin не может проверять вас каждый раз, когда он отправляет учетные данные для входа на серверы. Ожидается, что вы уполномочили его сделать это, как только вы предоставили ему подробную информацию. Я бы предпочел подумать дважды, прежде чем называть Пидгина «бэкдором». :

)

Однако Pidgin сохраняет пароли в текстовом виде. — Gödel, 16 October 2010 в 08:05
Даже google-chrome сохранили пароли открытого текста, которые были тривиально выставлены SQL-запросом (как показано в Jamie Strandboge ). — belacqua, 7 February 2011 в 12:35
Что касается вашего второго абзаца, я думаю, вы неправильно поняли намерения OP. Он не предлагал, чтобы у Пиджина был черный ход. Он использовал его в качестве гипотетического примера, чтобы проиллюстрировать его вопрос. — Jon Bentley, 15 January 2016 в 19:37

mgunes · Answer 20 · 6 August 2018 в 04:29

Установление (возможно, распределенного) механизма рейтингов доверия для PPA было на дорожной карте USC на некоторое время, но оно еще не реализовано.

8

ответ дан mgunes 6 August 2018 в 04:29

1

& Quot; ОСК & Quot; это «Центр программного обеспечения Ubuntu», если кто-то еще не знает об этом (предполагая, что вы не следуете ссылке сами). – belacqua 7 February 2011 в 12:33

Srinivas G · Answer 21 · 6 August 2018 в 04:29

Нет никакой гарантии, но в окружении, поддерживаемом сообществом, мы преуспеваем в «вере». Я добавил по крайней мере 20 PPA к моим источникам и до сих пор не испытывал проблем. Если по какой-либо причине и, как вы упомянули, в моей системе будет установлена угроза / вирус / бэкдор с помощью PPA, я бы узнал об этом как-то, любезно предоставил сообщество и просто удалю его. И, кстати, перед добавлением PPA, я всегда проверяю, какие пакеты указаны в нем.

И BTW, перед добавлением PPA, я всегда проверяю, какие пакеты указаны в нем. : Pidgin никогда не отправляет имена пользователей и пароли серверам (и никогда не третья сторона!) «Тайно». Все делается с согласия пользователя. Чтобы поддерживать связь без проблем, Pidgin не может проверять вас каждый раз, когда он отправляет учетные данные для входа на серверы. Ожидается, что вы уполномочили его сделать это, как только вы предоставили ему подробную информацию. Я бы предпочел подумать дважды, прежде чем называть Пидгина «бэкдором». :

)

Однако Pidgin сохраняет пароли в текстовом виде. — Gödel, 16 October 2010 в 08:05
Даже google-chrome сохранили пароли открытого текста, которые были тривиально выставлены SQL-запросом (как показано в Jamie Strandboge ). — belacqua, 7 February 2011 в 12:35
Что касается вашего второго абзаца, я думаю, вы неправильно поняли намерения OP. Он не предлагал, чтобы у Пиджина был черный ход. Он использовал его в качестве гипотетического примера, чтобы проиллюстрировать его вопрос. — Jon Bentley, 15 January 2016 в 19:37

mgunes · Answer 22 · 7 August 2018 в 22:38

Установление (возможно, распределенного) механизма рейтингов доверия для PPA было на дорожной карте USC на некоторое время, но оно еще не реализовано.

8

ответ дан mgunes 7 August 2018 в 22:38

1

& Quot; ОСК & Quot; это «Центр программного обеспечения Ubuntu», если кто-то еще не знает об этом (предполагая, что вы не следуете ссылке сами). – belacqua 7 February 2011 в 12:33

Srinivas G · Answer 23 · 7 August 2018 в 22:38

Нет никакой гарантии, но в окружении, поддерживаемом сообществом, мы преуспеваем в «вере». Я добавил по крайней мере 20 PPA к моим источникам и до сих пор не испытывал проблем. Если по какой-либо причине и, как вы упомянули, в моей системе будет установлена угроза / вирус / бэкдор с помощью PPA, я бы узнал об этом как-то, любезно предоставил сообщество и просто удалю его. И, кстати, перед добавлением PPA, я всегда проверяю, какие пакеты указаны в нем.

И BTW, перед добавлением PPA, я всегда проверяю, какие пакеты указаны в нем. : Pidgin никогда не отправляет имена пользователей и пароли серверам (и никогда не третья сторона!) «Тайно». Все делается с согласия пользователя. Чтобы поддерживать связь без проблем, Pidgin не может проверять вас каждый раз, когда он отправляет учетные данные для входа на серверы. Ожидается, что вы уполномочили его сделать это, как только вы предоставили ему подробную информацию. Я бы предпочел подумать дважды, прежде чем называть Пидгина «бэкдором». :

)

Однако Pidgin сохраняет пароли в текстовом виде. — Gödel, 16 October 2010 в 08:05
Даже гугл-хром сохранен открытым текстом пароли, которые были тривиально через SQL-запросом (как Джейми Strandboge указывал). — belacqua, 7 February 2011 в 12:35
Что касается вашего второго абзаца, я думаю, вы неправильно поняли намерения OP. Он не предлагал, чтобы у Пиджина был черный ход. Он использовал его в качестве гипотетического примера, чтобы проиллюстрировать его вопрос. — Jon Bentley, 15 January 2016 в 19:37

Srinivas G · Answer 24 · 10 August 2018 в 10:45

Нет никакой гарантии, но в окружении, поддерживаемом сообществом, мы преуспеваем в «вере». Я добавил по крайней мере 20 PPA к моим источникам и до сих пор не испытывал проблем. Если по какой-либо причине и, как вы упомянули, в моей системе будет установлена угроза / вирус / бэкдор с помощью PPA, я бы узнал об этом как-то, любезно предоставил сообщество и просто удалю его. И, кстати, перед добавлением PPA, я всегда проверяю, какие пакеты перечислены в нем.

PS: Pidgin никогда не отправляет имена пользователей и пароли серверам (и никогда не третья сторона!) «Тайно». Все делается с согласия пользователя. Чтобы поддерживать связь без проблем, Pidgin не может проверять вас каждый раз, когда он отправляет учетные данные для входа на серверы. Ожидается, что вы уполномочили его сделать это, как только вы предоставили ему подробную информацию. Я бы предпочел подумать дважды, прежде чем называть Пидгина «бэкдором». :

)

mgunes · Answer 25 · 10 August 2018 в 10:45

Установление (возможно, распределенного) механизма рейтингов доверия для PPA некоторое время находилось в USC дорожной карте, но оно еще не реализовано.

Srinivas G · Answer 26 · 13 August 2018 в 17:18

Нет никакой гарантии, но в окружении, поддерживаемом сообществом, мы преуспеваем в «вере». Я добавил по крайней мере 20 PPA к моим источникам и до сих пор не испытывал проблем. Если по какой-либо причине и, как вы упомянули, в моей системе будет установлена угроза / вирус / бэкдор с помощью PPA, я бы узнал об этом как-то, любезно предоставил сообщество и просто удалю его. И, кстати, перед добавлением PPA, я всегда проверяю, какие пакеты перечислены в нем.

PS: Pidgin никогда не отправляет имена пользователей и пароли серверам (и никогда не третья сторона!) «Тайно». Все делается с согласия пользователя. Чтобы поддерживать связь без проблем, Pidgin не может проверять вас каждый раз, когда он отправляет учетные данные для входа на серверы. Ожидается, что вы уполномочили его сделать это, как только вы предоставили ему подробную информацию. Я бы предпочел подумать дважды, прежде чем называть Пидгина «бэкдором». :

)

Однако Pidgin сохраняет пароли в текстовом виде. — Gödel, 16 October 2010 в 08:05
Даже google-chrome сохранили пароли открытого текста, которые были тривиально выставлены SQL-запросом (как показано в Jamie Strandboge ). — belacqua, 7 February 2011 в 12:35
Что касается вашего второго абзаца, я думаю, вы неправильно поняли намерения OP. Он не предлагал, чтобы у Пиджина был черный ход. Он использовал его в качестве гипотетического примера, чтобы проиллюстрировать его вопрос. — Jon Bentley, 15 January 2016 в 19:37

mgunes · Answer 27 · 13 August 2018 в 17:18

Установление (возможно, распределенного) механизма рейтингов доверия для PPA некоторое время находилось в USC дорожной карте, но оно еще не реализовано.

8

ответ дан mgunes 13 August 2018 в 17:18

1

& Quot; ОСК & Quot; это «Центр программного обеспечения Ubuntu», если кто-то еще не знает об этом (предполагая, что вы не следуете ссылке сами). – belacqua 7 February 2011 в 12:33

Есть ли гарантия того, что программное обеспечение от Launchpad PPA не содержит вирусов и бэкдор-угроз?

27 ответов

Другие вопросы по тегам:

Похожие вопросы: