48465 2023-11-16 10:43:00 +0300 Опасное поведение для пользователя у eepm 2025-09-29 13:44:18 +0300 1 1 4 Development Sisyphus eepm unstable x86_64 Linux NEW https://bugzilla.altlinux.org/show_bug.cgi?id=46839 https://bugzilla.altlinux.org/show_bug.cgi?id=46838 P5 normal --- 1 rider lav aen lav manowar rider zerg qa-sisyphus oldest_to_newest 237287 0 rider 2023-11-16 10:43:00 +0300 eepm play загружает, конвертирует из чужих форматов и устанавливает в систему разнообразные пакеты без дополнительных проверок. Нужно хотя бы проверять контрольные суммы, а лучше ставить не в систему а в изолированное окружение. 238105 1 zerg 2023-11-30 16:23:29 +0300 А что, если генерировать flatpak-пакеты, а не rpm? Так уже какая-никакая изоляция будет. 238156 2 zerg 2023-12-01 12:26:08 +0300 Ещё один момент. Например, chrome он давно не обновляет(в т.ч. в p10), из-за чего там уже много незакрытых уязвимостей. С остальным play может быть то же самое. 238157 3 aen 2023-12-01 12:41:24 +0300 (Ответ для Sergey V Turchin на комментарий #2) > Ещё один момент. Например, chrome он давно не обновляет(в т.ч. в p10), из-за > чего там уже много незакрытых уязвимостей. С остальным play может быть то же > самое. Давайте без предположений, пожалуйста. Виталий, что там с chrome? 238159 4 aen 2023-12-01 12:43:12 +0300 (Ответ для Sergey V Turchin на комментарий #2) > Ещё один момент. Например, chrome он давно не обновляет(в т.ч. в p10), из-за > чего там уже много незакрытых уязвимостей. С остальным play может быть то же > самое. Давайте без предположений, пожалуйста. Виталий, что там с chrome? (Ответ для Sergey V Turchin на комментарий #1) > А что, если генерировать flatpak-пакеты, а не rpm? > Так уже какая-никакая изоляция будет. Это хорошая задача. На неё нужны люди. 238160 5 zerg 2023-12-01 13:42:21 +0300 (Ответ для AEN на комментарий #4) > (Ответ для Sergey V Turchin на комментарий #2) > > Ещё один момент. Например, chrome он давно не обновляет(в т.ч. в p10), из-за > > чего там уже много незакрытых уязвимостей. С остальным play может быть то же > > самое. > Давайте без предположений, пожалуйста. Ок, без предположений. С остальным всем play то же самое. Версии, до которых надо обновлять, указаны вручную и не обновляются. Вот для того пакета, который в p10 https://eepm.ru/releases/3.57.6/app-versions/ 238162 6 aen 2023-12-01 13:52:15 +0300 (Ответ для Sergey V Turchin на комментарий #5) > (Ответ для AEN на комментарий #4) > > (Ответ для Sergey V Turchin на комментарий #2) > > > Ещё один момент. Например, chrome он давно не обновляет(в т.ч. в p10), из-за > > > чего там уже много незакрытых уязвимостей. С остальным play может быть то же > > > самое. > > Давайте без предположений, пожалуйста. > Ок, без предположений. > С остальным всем play то же самое. Версии, до которых надо обновлять, > указаны вручную и не обновляются. > Вот для того пакета, который в p10 > https://eepm.ru/releases/3.57.6/app-versions/ Если версию в p10 нельзя обновлять, то что в этом удивительного?? Тем более, бага на Сизифе. Хватит флейма, Сергей. Давайте подождём Виталия. 238166 7 zerg 2023-12-01 14:18:06 +0300 (Ответ для AEN на комментарий #6) > (Ответ для Sergey V Turchin на комментарий #5) > > (Ответ для AEN на комментарий #4) > > > (Ответ для Sergey V Turchin на комментарий #2) > > > > Ещё один момент. Например, chrome он давно не обновляет(в т.ч. в p10), из-за > > > > чего там уже много незакрытых уязвимостей. С остальным play может быть то же > > > > самое. > > > Давайте без предположений, пожалуйста. > > Ок, без предположений. > > С остальным всем play то же самое. Версии, до которых надо обновлять, > > указаны вручную и не обновляются. > > Вот для того пакета, который в p10 > > https://eepm.ru/releases/3.57.6/app-versions/ > Если версию в p10 нельзя обновлять, то что в этом удивительного?? Т.е. совсем не понимаете, о чём речь? Версия забита в файле по ссылке, который программа качает и смотрит. > Тем более, бага на Сизифе. Вы ищите некие поводы? На Сизифе то же самое. > Хватит флейма, Сергей. Я предоставил аргументы в ответ на вашу же просьбу. Вам они чем-то не понравились? > Давайте подождём Виталия. Ждём уже больше недели, но я не против. 238167 8 aen 2023-12-01 14:28:00 +0300 1. Пожалуйста, приведите пример из нескольких пакетов для свежего обновления epm и Сизифе. 2. Пожалуйста, сформулируйте свои предложения по совершенствованию epm. Чем Вы моглибы бы помочь? Извините, но я выхожу из обсуждения до получения ответов на 1 и 2. 238169 9 zerg 2023-12-01 14:42:50 +0300 (Ответ для AEN на комментарий #8) > Чем Вы моглибы бы помочь? Могу помочь удалить вредоносный софт из репозитория. ;-) Извините, но я выхожу из обсуждения, т.к. разговор односторонний. 238170 10 aen 2023-12-01 14:45:28 +0300 Ok. Давайте вернемся к предложению Антона. Виталий, ждём Вас. 238171 11 manowar 2023-12-01 14:49:43 +0300 (Ответ для Sergey V Turchin на комментарий #1) > А что, если генерировать flatpak-пакеты, а не rpm? > Так уже какая-никакая изоляция будет. Мне нравится. 238173 12 aen 2023-12-01 15:05:33 +0300 (Ответ для manowar@altlinux.org на комментарий #11) > (Ответ для Sergey V Turchin на комментарий #1) > > А что, если генерировать flatpak-пакеты, а не rpm? > > Так уже какая-никакая изоляция будет. > > Мне нравится. Мне это тоже нравится. Но. 1. Надо изучить и внедрить технологию 2. Надо генерировать flatpak-пакет на лету, не сохраняя их в хранилище, так как именно такой способ, используемый epm, позволяет реализовать возможный лицензионный запрет на редистрибьюцию. В связи с этим возникает вопрос о помощи Виталию в развитии важного, на мой взгляд, проекта. 238222 13 lav 2023-12-01 22:04:09 +0300 По генерации flatpak задача уже есть: https://bugzilla.altlinux.org/45924 Создание контрольных сумм для проверенных приложений уже реализовано. Остаётся добавить проверку на клиентской стороне. По поводу обновления chrome. При выполнении epm play --update обновляются установленные приложения до проверенных с данной версией epm версий. Если выполнить epm play chrome то будет установлена самая последняя версия. Тут вопрос только в том, что вышла заминка с регулярностью обновлений epm. (Ответ для Sergey V Turchin на комментарий #5) ... > С остальным всем play то же самое. Версии, до которых надо обновлять, > указаны вручную и не обновляются. > Вот для того пакета, который в p10 > https://eepm.ru/releases/3.57.6/app-versions/ Желательно не хотеть противоположного. Либо мы разрешаем устанавливать только проверенные версии, либо разрешаем устанавливать самые распоследние версии. Версии, до которых надо обновлять, не «указаны вручную», а зафиксированы для проверенных версий приложений. Чтобы не было неожиданных проблем у пользователей. Так что изначальная гипотеза, что epm play устанавливает в систему «без дополнительных проверок» не совсем состоятельна. > Версия забита в файле по ссылке, который программа качает и смотрит. Что в этом страшного? После реализации проверки контрольных сумм посмотрим на лицензионные ограничения и будем двигаться в сторону репозитория со сконвертированными бинарниками, а также же в сторону репозитория для flatpak. 238251 14 aen 2023-12-02 21:47:25 +0300 Виталий, спасибо. Ждем новостей. 238286 15 zerg 2023-12-04 12:05:44 +0300 (Ответ для Vitaly Lipatov на комментарий #13) > Желательно не хотеть противоположного. Либо мы разрешаем устанавливать > только проверенные версии, либо разрешаем устанавливать самые распоследние > версии. Да деле получается, то либо мы _устанавливаем_ нетестированную последнюю версию, _либо_ _обновляем_ на древнюю когда-то протестированную. > Версии, до которых надо обновлять, не «указаны вручную», а зафиксированы для > проверенных версий приложений. Чтобы не было неожиданных проблем у > пользователей. > Так что изначальная гипотеза, что epm play устанавливает в систему «без > дополнительных проверок» не совсем состоятельна. Я вижу лишь подтверждение, что epm play устанавливает в систему без каких-либо проверок вообще. Что вы там тестировали в своей личной песочнице не имеет отношения, т.к. вы не проверяли _абсолютно_ _недоверенный_ процесс установки у пользователя. 238287 16 zerg 2023-12-04 12:08:09 +0300 (Ответ для Vitaly Lipatov на комментарий #13) > После реализации проверки контрольных сумм Вангую, что в реальности это будет означать, что epm play _почти_ никогда не будет проверять эти самые контрольные суммы. 265859 17 lav 2025-05-28 09:45:28 +0300 (Ответ для Sergey V Turchin на комментарий #15) ... > Я вижу лишь подтверждение, что epm play устанавливает в систему без > каких-либо проверок вообще Устанавливается приложение, опубликованное разработчиком и доставленное по защищённому каналу связи (https). Что именно вы предлагаете проверять? (Ответ для Anton Farygin на комментарий #0) > Нужно хотя бы проверять контрольные суммы Против какой атаки это поможет? Контрольная сумма имеет смысл, если она получена для прошедшего проверку источника. От софта с вредоносом, опубликованного на сайте разработчика, она не защищает. 265864 18 zerg 2025-05-28 10:01:16 +0300 (Ответ для Vitaly Lipatov на комментарий #17) > Устанавливается приложение, опубликованное разработчиком и доставленное по > защищённому каналу связи (https). Ага. Защищённому злоумышленником от проверки. :-D 265866 19 zerg 2025-05-28 10:07:07 +0300 (Ответ для Vitaly Lipatov на комментарий #17) > > Нужно хотя бы проверять контрольные суммы > Против какой атаки это поможет? MITM. > Контрольная сумма имеет смысл, если она получена для прошедшего проверку источника. Да. У вас это реализовано? Если нет, то вы <сами догадаетесь, где>. > От софта с вредоносом, опубликованного на сайте разработчика, она не защищает. Если контрольная сумма из прошедшего проверку источника, то защищает. 265867 20 zerg 2025-05-28 10:10:41 +0300 (Ответ для Vitaly Lipatov на комментарий #17) > Против какой атаки это поможет? Виталий! Предлагаю вам проконсультироваться со специалистом, который хоть немного разбирается в безопасности. 265873 21 aen 2025-05-28 11:24:40 +0300 (Ответ для Sergey V Turchin на комментарий #20) > (Ответ для Vitaly Lipatov на комментарий #17) > > Против какой атаки это поможет? > Виталий! Предлагаю вам проконсультироваться со специалистом, который хоть > немного разбирается в безопасности. Сергей, было бы хорошо ответить на вопрос Виталия прежде, чем посылать его. 265878 22 lav 2025-05-28 11:47:51 +0300 (Ответ для Sergey V Turchin на комментарий #19) > (Ответ для Vitaly Lipatov на комментарий #17) > > > Нужно хотя бы проверять контрольные суммы > > Против какой атаки это поможет? > MITM. То есть вы предлагаете защититься от атаки, при которой в атакуемую систему будут внедрены сертификаты УЦ злоумышленника, а сам он встроится в канал связи и с поддельного сайта с поддельными SSL-сертификатами будет отдавать поддельный софт. Такую атаку может осуществить только Минцифры, при наличии в системе пакета ca-certificates-digital.gov.ru MITM для репозитория ещё проще, там сертификатов нет, одна только подпись метаданных репозитория. И мы просто верим, что ключ для подписи за прошедшие годы никуда не утёк. (Ответ для Sergey V Turchin на комментарий #20) > (Ответ для Vitaly Lipatov на комментарий #17) > > Против какой атаки это поможет? > Виталий! Предлагаю вам проконсультироваться со специалистом, который хоть > немного разбирается в безопасности. Это я понимаю. Я не собирался с вами консультироваться, я просто хотел узнать, в чём собственно претензия. Напомню остальным, что пользователь системы вообще без всяких проверок скачивает из интернета произвольные файлы и устанавливает их в систему, зачастую путём просто копирования файлов. И это не подвергается такой критике, как установка софта из проверенных ссылок, которую предлагает epm play. 265880 23 zerg 2025-05-28 11:53:59 +0300 (Ответ для AEN на комментарий #21) > Сергей, было бы хорошо ответить на вопрос Виталия прежде, чем посылать его. Я сначала ответил, потом послал к специалисту, а не просто "послал". 265882 24 zerg 2025-05-28 11:56:15 +0300 (Ответ для Vitaly Lipatov на комментарий #22) > То есть вы предлагаете защититься от атаки, при которой в атакуемую систему > будут внедрены сертификаты УЦ злоумышленника, а сам он встроится в канал > связи и с поддельного сайта с поддельными SSL-сертификатами будет отдавать > поддельный софт. > Такую атаку может осуществить только Минцифры, при наличии в системе пакета > ca-certificates-digital.gov.ru Покажете код в том месте месте, где происходит проверка сертификата Минцифры. 265884 25 zerg 2025-05-28 12:00:00 +0300 (Ответ для Vitaly Lipatov на комментарий #17) > доставленное по защищённому каналу связи (https). Даже это обман. 265888 26 rider 2025-05-28 12:13:26 +0300 (In reply to AEN from comment #21) > (Ответ для Sergey V Turchin на комментарий #20) > > (Ответ для Vitaly Lipatov на комментарий #17) > > > Против какой атаки это поможет? > > Виталий! Предлагаю вам проконсультироваться со специалистом, который хоть > > немного разбирается в безопасности. > > Сергей, было бы хорошо ответить на вопрос Виталия прежде, чем посылать его. Да там не на что отвечать - ошибка Виталия в самом сообщении - нет никакого смысла обсуждать базовые вещи. Нет никаких проверок подлинности полученных бинарей как и подлинности сайтов, с которых получаются эти бинари. 265893 27 lav 2025-05-28 12:48:16 +0300 (Ответ для Sergey V Turchin на комментарий #24) > (Ответ для Vitaly Lipatov на комментарий #22) > > То есть вы предлагаете защититься от атаки, при которой в атакуемую систему > > будут внедрены сертификаты УЦ злоумышленника, а сам он встроится в канал > > связи и с поддельного сайта с поддельными SSL-сертификатами будет отдавать > > поддельный софт. > > Такую атаку может осуществить только Минцифры, при наличии в системе пакета > > ca-certificates-digital.gov.ru > Покажете код в том месте месте, где происходит проверка сертификата Минцифры. (Ответ для Sergey V Turchin на комментарий #25) > (Ответ для Vitaly Lipatov на комментарий #17) > > доставленное по защищённому каналу связи (https). > Даже это обман. $ epm play chrome ... Installing The popular and trusted web browser by Google (Stable Channel) from the official site as google-chrome-stable ... Warning: Specifying the version is not supported by vendor. Downloading latest version ... $ epm install --repack https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb $ eget --latest https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb $ /usr/bin/wget --tries 1 --content-disposition https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb --2025-05-28 12:45:54-- https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb Использование https предполагает, что сертификат сервера подписан УЦ, а передаваемые данные зашифрованы. Где обман, покажите, пожалуйста. 265904 28 zerg 2025-05-28 13:21:40 +0300 (Ответ для Vitaly Lipatov на комментарий #27) > > > доставленное по защищённому каналу связи (https). > > Даже это обман. > $ epm play chrome Очковтирательство. grep 'http:' /etc/eepm/play.d/* 265907 29 aen 2025-05-28 13:46:57 +0300 Сергей, пожалуйста, выбирайте выражения. Спасибо. 265910 30 rider 2025-05-28 14:03:56 +0300 (In reply to Vitaly Lipatov from comment #27) > Использование https предполагает, что сертификат сервера подписан УЦ, а > передаваемые данные зашифрованы. Какой-то сертификат подписан каким-то УЦ. Важно убедиться как минимум что этот сертификат соотвесвует сайту, к которому идёт обращение, что бы исключить возможную MITM атаку. Ну и всегда ли eepm идёт на сайт производителя, или бывают исключения ? 265916 31 zerg 2025-05-28 14:31:58 +0300 (Ответ для AEN на комментарий #29) > Сергей, пожалуйста, выбирайте выражения. Только это и делаю, т.к. ответы Виталия говорят либо о некомпетентности, либо о том, что я писал. Но, в некомпетентность не верю, поэтому о ней не писал. 265917 32 zerg 2025-05-28 14:34:21 +0300 (Ответ для Anton Farygin на комментарий #30) > Важно убедиться как минимум что этот сертификат соотвесвует сайту, к > которому идёт обращение, что бы исключить возможную MITM атаку. И что он подписан доверенным удостоверяющим центром, т.к. подписать кто угодно может. 265918 33 zerg 2025-05-28 14:35:05 +0300 И никаких http:/ там быть не должно. 265931 34 zerg 2025-05-28 17:27:30 +0300 Резюмирую. Необходимо: * Проверять, что сертификат соответствует сайту, с которого происходит загрузка. * Проверять, что сертификат заверен доверенным удостоверяющим центром. * Не должно быть никаких http:/ при скачивании(включая перенаправления). * При каждом перенаправлении проверять всё вышеперечисленное. Вроде всё на мой непрофессиональный взгляд. До этих пор что-либо говорить про "https" бессмысленно. 265943 35 lav 2025-05-28 21:27:34 +0300 (Ответ для Sergey V Turchin на комментарий #28) > (Ответ для Vitaly Lipatov на комментарий #27) > > > > доставленное по защищённому каналу связи (https). > > > Даже это обман. > > $ epm play chrome > Очковтирательство. > grep 'http:' /etc/eepm/play.d/* Итак, по вашему предложению из почти 300 устанавливаемых приложений мы получили вывод из 13 файлов: $ grep 'http:' /etc/eepm/play.d/* /etc/eepm/play.d/alivecolors.sh: #a= rpm --import http://akvis.com/akvis.asc /etc/eepm/play.d/alteroffice.sh:epm install "http://repo.alter-os.ru/testing/AlterOffice/v$BASEVER/linux/x64/$distr" --scripts /etc/eepm/play.d/chrome-remote-desktop.sh:Go to http://remotedesktop.google.com/headless /etc/eepm/play.d/epson-printer-utility.sh:URL="http://support.epson.net/linux/Printer/LSB_distribution_pages/en/utility.php" /etc/eepm/play.d/freeplane.sh:URL="http://freeplane.sourceforge.net" /etc/eepm/play.d/geogebra.sh: #http://www.geogebra.net/linux/rpm/x86_64/geogebra-classic-6.0.666.0-202109211234.x86_64.rpm /etc/eepm/play.d/libicu56.sh: PKGURL="http://ftp.basealt.ru/pub/distributions/archive/p8/date/2018/01/04/x86_64/RPMS.classic/libicu56-5.6.1-alt1.1.x86_64.rpm" /etc/eepm/play.d/mssql-server.sh:DEBREPO="deb http://ftp.ru.debian.org/debian/ stretch main" /etc/eepm/play.d/okular-csp.sh:REPOURL="http://packages.lab50.net" /etc/eepm/play.d/okular-csp.sh:# http://packages.lab50.net/okular/install /etc/eepm/play.d/spotify.sh:PKGURL="http://repository.spotify.com/pool/non-free/s/spotify-client/$(epm print constructname $PKGNAME "$VERSION*" amd64 deb)" /etc/eepm/play.d/svp4.sh:PKGURL="http://www.svp-team.com/files/svp4-latest.php?linux" /etc/eepm/play.d/sweethome3d.sh:#PKGURL="http://download.sourceforge.net/project/sweethome3d/SweetHome3D/SweetHome3D-$VERSION/SweetHome3D-$VERSION-linux-$arch.tgz" /etc/eepm/play.d/sweethome3d.sh:# http://sourceforge.net/projects/sweethome3d/files/SweetHome3D/SweetHome3D-7.1/SweetHome3D-7.1-linux-x86.tgz/download /etc/eepm/play.d/xerox-spl-driver.sh:PKGURL="http://download.support.xerox.com/pub/drivers/B215/drivers/linux/ar/Xerox_B215_Linux_PrintDriver_Utilities.tar.gz" Из которых 4 являлись комментариями в коде, 2 ссылками на apt-репозиторий, потому что там захотели разработчики софта и потому что в Альт проблемы с использованием https для репозиториев: /etc/eepm/play.d/alteroffice.sh:epm install "http://repo.alter-os.ru/testing/AlterOffice/v$BASEVER/linux/x64/$distr" --scripts /etc/eepm/play.d/okular-csp.sh:REPOURL="http://packages.lab50.net" 2 ссылки на сайт проекта: /etc/eepm/play.d/freeplane.sh:URL="http://freeplane.sourceforge.net" /etc/eepm/play.d/epson-printer-utility.sh:URL="http://support.epson.net/linux/Printer/LSB_distribution_pages/en/utility.php" 1 ссылка на репозиторий Debian: /etc/eepm/play.d/mssql-server.sh:DEBREPO="deb http://ftp.ru.debian.org/debian/ stretch main" И остаётся 4 ссылки для скачивания: 1. /etc/eepm/play.d/libicu56.sh: PKGURL="http://ftp.basealt.ru/pub/distributions/archive/p8/date/2018/01/04/x86_64/RPMS.classic/libicu56-5.6.1-alt1.1.x86_64.rpm" она такая, потому что некоторое время назад https на ftp.basealt.ru не работал: https://bugzilla.altlinux.org/show_bug.cgi?id=46508#c1 2,3,4: эти ссылки на данный момент можно перевести на https, что незамедлительно и делаем. /etc/eepm/play.d/spotify.sh:PKGURL="http://repository.spotify.com/pool/non-free/s/spotify-client/$(epm print constructname $PKGNAME "$VERSION*" amd64 deb)" /etc/eepm/play.d/svp4.sh:PKGURL="http://www.svp-team.com/files/svp4-latest.php?linux" /etc/eepm/play.d/xerox-spl-driver.sh:PKGURL="http://download.support.xerox.com/pub/drivers/B215/drivers/linux/ar/Xerox_B215_Linux_PrintDriver_Utilities.tar.gz" Таким образом, очковтирательство заключалось в 1% приложений, которые по каким-то обстоятельствам загружались не по https. На мой взгляд, это неадекватная оценка. Так что все громкие слова про обман и очковтирательство это просто для хайпа. 265944 36 lav 2025-05-28 21:39:06 +0300 (Ответ для Anton Farygin на комментарий #30) > (In reply to Vitaly Lipatov from comment #27) > > Использование https предполагает, что сертификат сервера подписан УЦ, а > > передаваемые данные зашифрованы. > > Какой-то сертификат подписан каким-то УЦ. > Важно убедиться как минимум что этот сертификат соотвесвует сайту, к > которому идёт обращение, что бы исключить возможную MITM атаку. Есть такая программа, называется curl. Она как раз выполняет все необходимые проверки, используя библиотеку gnutls. В том числе, то, что сайт отвечает сертификатом того домена, который мы запрашивали, и сертификат сайта подписан сертификатом УЦ, установленным в системе. Можно почитать howto по использованию этой команды: https://linuxtect.com/how-to-use-curl-command-with-https/ Программа наподобие curl, под названием wget, обычно используется в epm для скачивания файлов. Таким образом, все проверки выполняются. 265954 37 rider 2025-05-29 08:08:55 +0300 Я останусь при своём мнении - в подобном приложении очень важно проверять контрольные суммы загружаемых приложений. 265955 38 rider 2025-05-29 08:14:13 +0300 А ещё вы почему-то решили что основная проблема в том, что он скачивает без проверки контрольной суммы. Нет, основная проблема в том, что он захламляет систему пакетами из неизвестных источников. Мне кажется что мы уже говорили о том, что использование контейнеров сильно повысило доверие к этой программе. 265962 39 zerg 2025-05-29 09:41:31 +0300 (Ответ для Vitaly Lipatov на комментарий #35) > можно перевести на https Не упоминайте больше https, пожалуйста, т.к. до выполнения comment#34 это будет только для хайпа и только для неосведомлённых пользователей. > Так что все громкие слова про обман и очковтирательство Извиняюсь, ошибся. Дело явно в компетенции. 266016 40 lav 2025-05-29 15:54:10 +0300 (Ответ для Anton Farygin на комментарий #37) > Я останусь при своём мнении - в подобном приложении очень важно проверять > контрольные суммы загружаемых приложений. Согласен, это классика. Будем проверять. Антон, ты не мог бы перевести для меня, что не так с curl при скачивании файлов по https? Сергей пишет какими-то намёками: "К сожалению, у него есть недопустимый изъян," "Не упоминайте больше https, пожалуйста, т.к. до выполнения comment#34 это будет только для хайпа и только для неосведомлённых пользователей." Я бы рад его понять, но кроме обвинений в обмане и некомпетентности, ничего не вижу. 266018 41 zerg 2025-05-29 16:44:13 +0300 (Ответ для Vitaly Lipatov на комментарий #40) > Я бы рад его понять, но кроме обвинений в обмане и некомпетентности, ничего не вижу. Я же перечислил всё в comment#34 . Что из этого не понятно? 266019 42 zerg 2025-05-29 16:47:02 +0300 (Ответ для Vitaly Lipatov на комментарий #35) > Итак, по вашему предложению из почти 300 устанавливаемых приложений мы получили Какое количество дыр достаточно, чтобы взломать систему? 266022 43 rider 2025-05-29 17:02:27 +0300 (In reply to Vitaly Lipatov from comment #40) > (Ответ для Anton Farygin на комментарий #37) > > Я останусь при своём мнении - в подобном приложении очень важно проверять > > контрольные суммы загружаемых приложений. > Согласен, это классика. Будем проверять. > > Антон, ты не мог бы перевести для меня, что не так с curl при скачивании > файлов по https? CURL в своей работе полагается на установленные в систему корневые сертификаты. С этим есть проблема - иногда пользователи и администраторы устанавливают в систему корневые сертификаты, которые в дальнейшем (в случае компрометации) позволяют провести MITM атаку, а в случае с загрузкой и установкой приложений подобная атака чревата полной компрометацией системы. Ну и помимо этого, поиск варивантов MITM атак на https соединение идёт непрерывно и иногда такой поиск приводит к положительным результатам. И если в браузере хотя бы будет заметен факт перехода на другой ресурс (редирект), то в случае eepm источник получения файла не проверяется - просто идёт доверие на то, что CURL пойдёт и скачает то, что его попросили, при этом отключается запрет на редиректы (что объяснимо) Я повторю основную задачу - помимо проверки контрольной суммы загружаемого архива важно научиться ограничивать устанавливаемые приложения из неизвестных источников в правах. 266025 44 zerg 2025-05-29 17:08:35 +0300 (Ответ для Vitaly Lipatov на комментарий #36) > Есть такая программа, называется curl. А ещё есть такая программа, называется wget, которая у вас там используется. 266026 45 zerg 2025-05-29 17:10:04 +0300 (Ответ для Anton Farygin на комментарий #43) > важно научиться ограничивать устанавливаемые приложения из > неизвестных источников в правах. Само собой. Одним https-ом сыт не будешь. 269804 46 zerg 2025-07-24 17:35:32 +0300 Наткнулся на ещё одну интересную особенность. Использование patchelf в epm play. За это, ведь, пользователю должно прилететь, правильно? 269891 47 lav 2025-07-25 23:39:46 +0300 Хотел предложить уточнить тему данной баги, но понял, что ваше поведение действительно опасно для пользователя.