Bug 48465

Summary: Опасное поведение для пользователя
Product: Sisyphus Reporter: Anton Farygin <rider>
Component: eepmAssignee: Vitaly Lipatov <lav>
Status: ASSIGNED --- QA Contact: qa-sisyphus
Severity: normal    
Priority: P5 CC: aen, lav, manowar, zerg
Version: unstable   
Hardware: x86_64   
OS: Linux   

Description Anton Farygin 2023-11-16 10:43:00 MSK
eepm play загружает, конвертирует из чужих форматов и устанавливает в систему разнообразные пакеты без дополнительных проверок.

Нужно хотя бы проверять контрольные суммы, а лучше ставить не в систему а в изолированное окружение.
Comment 1 Sergey V Turchin 2023-11-30 16:23:29 MSK
А что, если генерировать flatpak-пакеты, а не rpm?
Так уже какая-никакая изоляция будет.
Comment 2 Sergey V Turchin 2023-12-01 12:26:08 MSK
Ещё один момент. Например, chrome он давно не обновляет(в т.ч. в p10), из-за чего там уже много незакрытых уязвимостей. С остальным play может быть то же самое.
Comment 3 AEN 2023-12-01 12:41:24 MSK
(Ответ для Sergey V Turchin на комментарий #2)
> Ещё один момент. Например, chrome он давно не обновляет(в т.ч. в p10), из-за
> чего там уже много незакрытых уязвимостей. С остальным play может быть то же
> самое.

Давайте без предположений, пожалуйста. 
Виталий, что там с chrome?
Comment 4 AEN 2023-12-01 12:43:12 MSK
(Ответ для Sergey V Turchin на комментарий #2)
> Ещё один момент. Например, chrome он давно не обновляет(в т.ч. в p10), из-за
> чего там уже много незакрытых уязвимостей. С остальным play может быть то же
> самое.

Давайте без предположений, пожалуйста. 
Виталий, что там с chrome? (Ответ для Sergey V Turchin на комментарий #1)
> А что, если генерировать flatpak-пакеты, а не rpm?
> Так уже какая-никакая изоляция будет.

Это хорошая задача. 
На неё нужны люди.
Comment 5 Sergey V Turchin 2023-12-01 13:42:21 MSK
(Ответ для AEN на комментарий #4)
> (Ответ для Sergey V Turchin на комментарий #2)
> > Ещё один момент. Например, chrome он давно не обновляет(в т.ч. в p10), из-за
> > чего там уже много незакрытых уязвимостей. С остальным play может быть то же
> > самое.
> Давайте без предположений, пожалуйста. 
Ок, без предположений.
С остальным всем play то же самое. Версии, до которых надо обновлять, указаны вручную и не обновляются.
Вот для того пакета, который в p10 https://eepm.ru/releases/3.57.6/app-versions/
Comment 6 AEN 2023-12-01 13:52:15 MSK
(Ответ для Sergey V Turchin на комментарий #5)
> (Ответ для AEN на комментарий #4)
> > (Ответ для Sergey V Turchin на комментарий #2)
> > > Ещё один момент. Например, chrome он давно не обновляет(в т.ч. в p10), из-за
> > > чего там уже много незакрытых уязвимостей. С остальным play может быть то же
> > > самое.
> > Давайте без предположений, пожалуйста. 
> Ок, без предположений.
> С остальным всем play то же самое. Версии, до которых надо обновлять,
> указаны вручную и не обновляются.
> Вот для того пакета, который в p10
> https://eepm.ru/releases/3.57.6/app-versions/

Если версию в p10 нельзя обновлять, то что в этом удивительного?? 
Тем более, бага на Сизифе.
Хватит флейма, Сергей. Давайте подождём Виталия.
Comment 7 Sergey V Turchin 2023-12-01 14:18:06 MSK
(Ответ для AEN на комментарий #6)
> (Ответ для Sergey V Turchin на комментарий #5)
> > (Ответ для AEN на комментарий #4)
> > > (Ответ для Sergey V Turchin на комментарий #2)
> > > > Ещё один момент. Например, chrome он давно не обновляет(в т.ч. в p10), из-за
> > > > чего там уже много незакрытых уязвимостей. С остальным play может быть то же
> > > > самое.
> > > Давайте без предположений, пожалуйста. 
> > Ок, без предположений.
> > С остальным всем play то же самое. Версии, до которых надо обновлять,
> > указаны вручную и не обновляются.
> > Вот для того пакета, который в p10
> > https://eepm.ru/releases/3.57.6/app-versions/
> Если версию в p10 нельзя обновлять, то что в этом удивительного?? 
Т.е. совсем не понимаете, о чём речь?
Версия забита в файле по ссылке, который программа качает и смотрит.

> Тем более, бага на Сизифе.
Вы ищите некие поводы? На Сизифе то же самое.

> Хватит флейма, Сергей.
Я предоставил аргументы в ответ на вашу же просьбу. Вам они чем-то не понравились?

> Давайте подождём Виталия.
Ждём уже больше недели, но я не против.
Comment 8 AEN 2023-12-01 14:28:00 MSK
1. Пожалуйста, приведите пример из нескольких пакетов для  свежего обновления epm и Сизифе. 
2. Пожалуйста, сформулируйте свои предложения по совершенствованию epm. Чем Вы моглибы бы помочь? 

Извините, но я выхожу из обсуждения до получения ответов на 1 и 2.
Comment 9 Sergey V Turchin 2023-12-01 14:42:50 MSK
(Ответ для AEN на комментарий #8)
> Чем Вы моглибы бы помочь? 
Могу помочь удалить вредоносный софт из репозитория. ;-)

Извините, но я выхожу из обсуждения, т.к. разговор односторонний.
Comment 10 AEN 2023-12-01 14:45:28 MSK
Ok. 
Давайте вернемся к предложению Антона. 
Виталий, ждём Вас.
Comment 11 manowar@altlinux.org 2023-12-01 14:49:43 MSK
(Ответ для Sergey V Turchin на комментарий #1)
> А что, если генерировать flatpak-пакеты, а не rpm?
> Так уже какая-никакая изоляция будет.

Мне нравится.
Comment 12 AEN 2023-12-01 15:05:33 MSK
(Ответ для manowar@altlinux.org на комментарий #11)
> (Ответ для Sergey V Turchin на комментарий #1)
> > А что, если генерировать flatpak-пакеты, а не rpm?
> > Так уже какая-никакая изоляция будет.
> 
> Мне нравится.

Мне это тоже нравится.
Но.
1. Надо изучить и внедрить технологию
2. Надо генерировать flatpak-пакет на лету, не сохраняя их в хранилище, так как именно такой способ, используемый epm, позволяет реализовать возможный лицензионный запрет на редистрибьюцию.

В связи с этим возникает вопрос о помощи Виталию в развитии важного, на мой взгляд, проекта.
Comment 13 Vitaly Lipatov 2023-12-01 22:04:09 MSK
По генерации flatpak задача уже есть:
https://bugzilla.altlinux.org/45924

Создание контрольных сумм для проверенных приложений уже реализовано.
Остаётся добавить проверку на клиентской стороне.

По поводу обновления chrome.
При выполнении epm play --update обновляются установленные приложения до проверенных с данной версией epm версий.
Если выполнить epm play chrome
то будет установлена самая последняя версия.

Тут вопрос только в том, что вышла заминка с регулярностью обновлений epm.

(Ответ для Sergey V Turchin на комментарий #5)
...
> С остальным всем play то же самое. Версии, до которых надо обновлять,
> указаны вручную и не обновляются.
> Вот для того пакета, который в p10
> https://eepm.ru/releases/3.57.6/app-versions/

Желательно не хотеть противоположного. Либо мы разрешаем устанавливать только проверенные версии, либо разрешаем устанавливать самые распоследние версии.
Версии, до которых надо обновлять, не «указаны вручную», а зафиксированы для проверенных версий приложений. Чтобы не было неожиданных проблем у пользователей.
Так что изначальная гипотеза, что epm play устанавливает в систему «без дополнительных проверок» не совсем состоятельна.

> Версия забита в файле по ссылке, который программа качает и смотрит.
Что в этом страшного?

После реализации проверки контрольных сумм посмотрим на лицензионные ограничения и будем двигаться в сторону репозитория со сконвертированными бинарниками, а также же в сторону репозитория для flatpak.
Comment 14 AEN 2023-12-02 21:47:25 MSK
Виталий, спасибо. 
Ждем новостей.
Comment 15 Sergey V Turchin 2023-12-04 12:05:44 MSK
(Ответ для Vitaly Lipatov на комментарий #13)
> Желательно не хотеть противоположного. Либо мы разрешаем устанавливать
> только проверенные версии, либо разрешаем устанавливать самые распоследние
> версии.
Да деле получается, то либо мы _устанавливаем_ нетестированную последнюю версию, _либо_ _обновляем_ на древнюю когда-то протестированную.

> Версии, до которых надо обновлять, не «указаны вручную», а зафиксированы для
> проверенных версий приложений. Чтобы не было неожиданных проблем у
> пользователей.
> Так что изначальная гипотеза, что epm play устанавливает в систему «без
> дополнительных проверок» не совсем состоятельна.
Я вижу лишь подтверждение, что epm play устанавливает в систему без каких-либо проверок вообще. Что вы там тестировали в своей личной песочнице не имеет отношения, т.к. вы не проверяли _абсолютно_ _недоверенный_ процесс установки у пользователя.
Comment 16 Sergey V Turchin 2023-12-04 12:08:09 MSK
(Ответ для Vitaly Lipatov на комментарий #13)
> После реализации проверки контрольных сумм
Вангую, что в реальности это будет означать, что epm play _почти_ никогда не будет проверять эти самые контрольные суммы.