ALT Linux Bugzilla – Full Text Bug Listing
| Summary: | Опасное поведение для пользователя у eepm | ||
|---|---|---|---|
| Product: | Sisyphus | Reporter: | Anton Farygin <rider> |
| Component: | eepm | Assignee: | Vitaly Lipatov <lav> |
| Status: | NEW --- | QA Contact: | qa-sisyphus |
| Severity: | normal | ||
| Priority: | P5 | CC: | aen, lav, manowar, rider, zerg |
| Version: | unstable | ||
| Hardware: | x86_64 | ||
| OS: | Linux | ||
| See Also: |
https://bugzilla.altlinux.org/show_bug.cgi?id=46839 https://bugzilla.altlinux.org/show_bug.cgi?id=46838 |
||
|
Description
Anton Farygin
2023-11-16 10:43:00 MSK
А что, если генерировать flatpak-пакеты, а не rpm? Так уже какая-никакая изоляция будет. Ещё один момент. Например, chrome он давно не обновляет(в т.ч. в p10), из-за чего там уже много незакрытых уязвимостей. С остальным play может быть то же самое. (Ответ для Sergey V Turchin на комментарий #2) > Ещё один момент. Например, chrome он давно не обновляет(в т.ч. в p10), из-за > чего там уже много незакрытых уязвимостей. С остальным play может быть то же > самое. Давайте без предположений, пожалуйста. Виталий, что там с chrome? (Ответ для Sergey V Turchin на комментарий #2) > Ещё один момент. Например, chrome он давно не обновляет(в т.ч. в p10), из-за > чего там уже много незакрытых уязвимостей. С остальным play может быть то же > самое. Давайте без предположений, пожалуйста. Виталий, что там с chrome? (Ответ для Sergey V Turchin на комментарий #1) > А что, если генерировать flatpak-пакеты, а не rpm? > Так уже какая-никакая изоляция будет. Это хорошая задача. На неё нужны люди. (Ответ для AEN на комментарий #4) > (Ответ для Sergey V Turchin на комментарий #2) > > Ещё один момент. Например, chrome он давно не обновляет(в т.ч. в p10), из-за > > чего там уже много незакрытых уязвимостей. С остальным play может быть то же > > самое. > Давайте без предположений, пожалуйста. Ок, без предположений. С остальным всем play то же самое. Версии, до которых надо обновлять, указаны вручную и не обновляются. Вот для того пакета, который в p10 https://eepm.ru/releases/3.57.6/app-versions/ (Ответ для Sergey V Turchin на комментарий #5) > (Ответ для AEN на комментарий #4) > > (Ответ для Sergey V Turchin на комментарий #2) > > > Ещё один момент. Например, chrome он давно не обновляет(в т.ч. в p10), из-за > > > чего там уже много незакрытых уязвимостей. С остальным play может быть то же > > > самое. > > Давайте без предположений, пожалуйста. > Ок, без предположений. > С остальным всем play то же самое. Версии, до которых надо обновлять, > указаны вручную и не обновляются. > Вот для того пакета, который в p10 > https://eepm.ru/releases/3.57.6/app-versions/ Если версию в p10 нельзя обновлять, то что в этом удивительного?? Тем более, бага на Сизифе. Хватит флейма, Сергей. Давайте подождём Виталия. (Ответ для AEN на комментарий #6) > (Ответ для Sergey V Turchin на комментарий #5) > > (Ответ для AEN на комментарий #4) > > > (Ответ для Sergey V Turchin на комментарий #2) > > > > Ещё один момент. Например, chrome он давно не обновляет(в т.ч. в p10), из-за > > > > чего там уже много незакрытых уязвимостей. С остальным play может быть то же > > > > самое. > > > Давайте без предположений, пожалуйста. > > Ок, без предположений. > > С остальным всем play то же самое. Версии, до которых надо обновлять, > > указаны вручную и не обновляются. > > Вот для того пакета, который в p10 > > https://eepm.ru/releases/3.57.6/app-versions/ > Если версию в p10 нельзя обновлять, то что в этом удивительного?? Т.е. совсем не понимаете, о чём речь? Версия забита в файле по ссылке, который программа качает и смотрит. > Тем более, бага на Сизифе. Вы ищите некие поводы? На Сизифе то же самое. > Хватит флейма, Сергей. Я предоставил аргументы в ответ на вашу же просьбу. Вам они чем-то не понравились? > Давайте подождём Виталия. Ждём уже больше недели, но я не против. 1. Пожалуйста, приведите пример из нескольких пакетов для свежего обновления epm и Сизифе. 2. Пожалуйста, сформулируйте свои предложения по совершенствованию epm. Чем Вы моглибы бы помочь? Извините, но я выхожу из обсуждения до получения ответов на 1 и 2. (Ответ для AEN на комментарий #8) > Чем Вы моглибы бы помочь? Могу помочь удалить вредоносный софт из репозитория. ;-) Извините, но я выхожу из обсуждения, т.к. разговор односторонний. Ok. Давайте вернемся к предложению Антона. Виталий, ждём Вас. (Ответ для Sergey V Turchin на комментарий #1) > А что, если генерировать flatpak-пакеты, а не rpm? > Так уже какая-никакая изоляция будет. Мне нравится. (Ответ для manowar@altlinux.org на комментарий #11) > (Ответ для Sergey V Turchin на комментарий #1) > > А что, если генерировать flatpak-пакеты, а не rpm? > > Так уже какая-никакая изоляция будет. > > Мне нравится. Мне это тоже нравится. Но. 1. Надо изучить и внедрить технологию 2. Надо генерировать flatpak-пакет на лету, не сохраняя их в хранилище, так как именно такой способ, используемый epm, позволяет реализовать возможный лицензионный запрет на редистрибьюцию. В связи с этим возникает вопрос о помощи Виталию в развитии важного, на мой взгляд, проекта. По генерации flatpak задача уже есть: https://bugzilla.altlinux.org/45924 Создание контрольных сумм для проверенных приложений уже реализовано. Остаётся добавить проверку на клиентской стороне. По поводу обновления chrome. При выполнении epm play --update обновляются установленные приложения до проверенных с данной версией epm версий. Если выполнить epm play chrome то будет установлена самая последняя версия. Тут вопрос только в том, что вышла заминка с регулярностью обновлений epm. (Ответ для Sergey V Turchin на комментарий #5) ... > С остальным всем play то же самое. Версии, до которых надо обновлять, > указаны вручную и не обновляются. > Вот для того пакета, который в p10 > https://eepm.ru/releases/3.57.6/app-versions/ Желательно не хотеть противоположного. Либо мы разрешаем устанавливать только проверенные версии, либо разрешаем устанавливать самые распоследние версии. Версии, до которых надо обновлять, не «указаны вручную», а зафиксированы для проверенных версий приложений. Чтобы не было неожиданных проблем у пользователей. Так что изначальная гипотеза, что epm play устанавливает в систему «без дополнительных проверок» не совсем состоятельна. > Версия забита в файле по ссылке, который программа качает и смотрит. Что в этом страшного? После реализации проверки контрольных сумм посмотрим на лицензионные ограничения и будем двигаться в сторону репозитория со сконвертированными бинарниками, а также же в сторону репозитория для flatpak. Виталий, спасибо. Ждем новостей. (Ответ для Vitaly Lipatov на комментарий #13) > Желательно не хотеть противоположного. Либо мы разрешаем устанавливать > только проверенные версии, либо разрешаем устанавливать самые распоследние > версии. Да деле получается, то либо мы _устанавливаем_ нетестированную последнюю версию, _либо_ _обновляем_ на древнюю когда-то протестированную. > Версии, до которых надо обновлять, не «указаны вручную», а зафиксированы для > проверенных версий приложений. Чтобы не было неожиданных проблем у > пользователей. > Так что изначальная гипотеза, что epm play устанавливает в систему «без > дополнительных проверок» не совсем состоятельна. Я вижу лишь подтверждение, что epm play устанавливает в систему без каких-либо проверок вообще. Что вы там тестировали в своей личной песочнице не имеет отношения, т.к. вы не проверяли _абсолютно_ _недоверенный_ процесс установки у пользователя. (Ответ для Vitaly Lipatov на комментарий #13) > После реализации проверки контрольных сумм Вангую, что в реальности это будет означать, что epm play _почти_ никогда не будет проверять эти самые контрольные суммы. (Ответ для Sergey V Turchin на комментарий #15) ... > Я вижу лишь подтверждение, что epm play устанавливает в систему без > каких-либо проверок вообще Устанавливается приложение, опубликованное разработчиком и доставленное по защищённому каналу связи (https). Что именно вы предлагаете проверять? (Ответ для Anton Farygin на комментарий #0) > Нужно хотя бы проверять контрольные суммы Против какой атаки это поможет? Контрольная сумма имеет смысл, если она получена для прошедшего проверку источника. От софта с вредоносом, опубликованного на сайте разработчика, она не защищает. (Ответ для Vitaly Lipatov на комментарий #17) > Устанавливается приложение, опубликованное разработчиком и доставленное по > защищённому каналу связи (https). Ага. Защищённому злоумышленником от проверки. :-D (Ответ для Vitaly Lipatov на комментарий #17) > > Нужно хотя бы проверять контрольные суммы > Против какой атаки это поможет? MITM. > Контрольная сумма имеет смысл, если она получена для прошедшего проверку источника. Да. У вас это реализовано? Если нет, то вы <сами догадаетесь, где>. > От софта с вредоносом, опубликованного на сайте разработчика, она не защищает. Если контрольная сумма из прошедшего проверку источника, то защищает. (Ответ для Vitaly Lipatov на комментарий #17) > Против какой атаки это поможет? Виталий! Предлагаю вам проконсультироваться со специалистом, который хоть немного разбирается в безопасности. (Ответ для Sergey V Turchin на комментарий #20) > (Ответ для Vitaly Lipatov на комментарий #17) > > Против какой атаки это поможет? > Виталий! Предлагаю вам проконсультироваться со специалистом, который хоть > немного разбирается в безопасности. Сергей, было бы хорошо ответить на вопрос Виталия прежде, чем посылать его. (Ответ для Sergey V Turchin на комментарий #19) > (Ответ для Vitaly Lipatov на комментарий #17) > > > Нужно хотя бы проверять контрольные суммы > > Против какой атаки это поможет? > MITM. То есть вы предлагаете защититься от атаки, при которой в атакуемую систему будут внедрены сертификаты УЦ злоумышленника, а сам он встроится в канал связи и с поддельного сайта с поддельными SSL-сертификатами будет отдавать поддельный софт. Такую атаку может осуществить только Минцифры, при наличии в системе пакета ca-certificates-digital.gov.ru MITM для репозитория ещё проще, там сертификатов нет, одна только подпись метаданных репозитория. И мы просто верим, что ключ для подписи за прошедшие годы никуда не утёк. (Ответ для Sergey V Turchin на комментарий #20) > (Ответ для Vitaly Lipatov на комментарий #17) > > Против какой атаки это поможет? > Виталий! Предлагаю вам проконсультироваться со специалистом, который хоть > немного разбирается в безопасности. Это я понимаю. Я не собирался с вами консультироваться, я просто хотел узнать, в чём собственно претензия. Напомню остальным, что пользователь системы вообще без всяких проверок скачивает из интернета произвольные файлы и устанавливает их в систему, зачастую путём просто копирования файлов. И это не подвергается такой критике, как установка софта из проверенных ссылок, которую предлагает epm play. (Ответ для AEN на комментарий #21) > Сергей, было бы хорошо ответить на вопрос Виталия прежде, чем посылать его. Я сначала ответил, потом послал к специалисту, а не просто "послал". (Ответ для Vitaly Lipatov на комментарий #22) > То есть вы предлагаете защититься от атаки, при которой в атакуемую систему > будут внедрены сертификаты УЦ злоумышленника, а сам он встроится в канал > связи и с поддельного сайта с поддельными SSL-сертификатами будет отдавать > поддельный софт. > Такую атаку может осуществить только Минцифры, при наличии в системе пакета > ca-certificates-digital.gov.ru Покажете код в том месте месте, где происходит проверка сертификата Минцифры. (Ответ для Vitaly Lipatov на комментарий #17) > доставленное по защищённому каналу связи (https). Даже это обман. (In reply to AEN from comment #21) > (Ответ для Sergey V Turchin на комментарий #20) > > (Ответ для Vitaly Lipatov на комментарий #17) > > > Против какой атаки это поможет? > > Виталий! Предлагаю вам проконсультироваться со специалистом, который хоть > > немного разбирается в безопасности. > > Сергей, было бы хорошо ответить на вопрос Виталия прежде, чем посылать его. Да там не на что отвечать - ошибка Виталия в самом сообщении - нет никакого смысла обсуждать базовые вещи. Нет никаких проверок подлинности полученных бинарей как и подлинности сайтов, с которых получаются эти бинари. (Ответ для Sergey V Turchin на комментарий #24) > (Ответ для Vitaly Lipatov на комментарий #22) > > То есть вы предлагаете защититься от атаки, при которой в атакуемую систему > > будут внедрены сертификаты УЦ злоумышленника, а сам он встроится в канал > > связи и с поддельного сайта с поддельными SSL-сертификатами будет отдавать > > поддельный софт. > > Такую атаку может осуществить только Минцифры, при наличии в системе пакета > > ca-certificates-digital.gov.ru > Покажете код в том месте месте, где происходит проверка сертификата Минцифры. (Ответ для Sergey V Turchin на комментарий #25) > (Ответ для Vitaly Lipatov на комментарий #17) > > доставленное по защищённому каналу связи (https). > Даже это обман. $ epm play chrome ... Installing The popular and trusted web browser by Google (Stable Channel) from the official site as google-chrome-stable ... Warning: Specifying the version is not supported by vendor. Downloading latest version ... $ epm install --repack https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb $ eget --latest https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb $ /usr/bin/wget --tries 1 --content-disposition https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb --2025-05-28 12:45:54-- https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb Использование https предполагает, что сертификат сервера подписан УЦ, а передаваемые данные зашифрованы. Где обман, покажите, пожалуйста. (Ответ для Vitaly Lipatov на комментарий #27) > > > доставленное по защищённому каналу связи (https). > > Даже это обман. > $ epm play chrome Очковтирательство. grep 'http:' /etc/eepm/play.d/* Сергей, пожалуйста, выбирайте выражения. Спасибо. (In reply to Vitaly Lipatov from comment #27) > Использование https предполагает, что сертификат сервера подписан УЦ, а > передаваемые данные зашифрованы. Какой-то сертификат подписан каким-то УЦ. Важно убедиться как минимум что этот сертификат соотвесвует сайту, к которому идёт обращение, что бы исключить возможную MITM атаку. Ну и всегда ли eepm идёт на сайт производителя, или бывают исключения ? (Ответ для AEN на комментарий #29) > Сергей, пожалуйста, выбирайте выражения. Только это и делаю, т.к. ответы Виталия говорят либо о некомпетентности, либо о том, что я писал. Но, в некомпетентность не верю, поэтому о ней не писал. (Ответ для Anton Farygin на комментарий #30) > Важно убедиться как минимум что этот сертификат соотвесвует сайту, к > которому идёт обращение, что бы исключить возможную MITM атаку. И что он подписан доверенным удостоверяющим центром, т.к. подписать кто угодно может. И никаких http:/ там быть не должно. Резюмирую. Необходимо: * Проверять, что сертификат соответствует сайту, с которого происходит загрузка. * Проверять, что сертификат заверен доверенным удостоверяющим центром. * Не должно быть никаких http:/ при скачивании(включая перенаправления). * При каждом перенаправлении проверять всё вышеперечисленное. Вроде всё на мой непрофессиональный взгляд. До этих пор что-либо говорить про "https" бессмысленно. (Ответ для Sergey V Turchin на комментарий #28) > (Ответ для Vitaly Lipatov на комментарий #27) > > > > доставленное по защищённому каналу связи (https). > > > Даже это обман. > > $ epm play chrome > Очковтирательство. > grep 'http:' /etc/eepm/play.d/* Итак, по вашему предложению из почти 300 устанавливаемых приложений мы получили вывод из 13 файлов: $ grep 'http:' /etc/eepm/play.d/* /etc/eepm/play.d/alivecolors.sh: #a= rpm --import http://akvis.com/akvis.asc /etc/eepm/play.d/alteroffice.sh:epm install "http://repo.alter-os.ru/testing/AlterOffice/v$BASEVER/linux/x64/$distr" --scripts /etc/eepm/play.d/chrome-remote-desktop.sh:Go to http://remotedesktop.google.com/headless /etc/eepm/play.d/epson-printer-utility.sh:URL="http://support.epson.net/linux/Printer/LSB_distribution_pages/en/utility.php" /etc/eepm/play.d/freeplane.sh:URL="http://freeplane.sourceforge.net" /etc/eepm/play.d/geogebra.sh: #http://www.geogebra.net/linux/rpm/x86_64/geogebra-classic-6.0.666.0-202109211234.x86_64.rpm /etc/eepm/play.d/libicu56.sh: PKGURL="http://ftp.basealt.ru/pub/distributions/archive/p8/date/2018/01/04/x86_64/RPMS.classic/libicu56-5.6.1-alt1.1.x86_64.rpm" /etc/eepm/play.d/mssql-server.sh:DEBREPO="deb http://ftp.ru.debian.org/debian/ stretch main" /etc/eepm/play.d/okular-csp.sh:REPOURL="http://packages.lab50.net" /etc/eepm/play.d/okular-csp.sh:# http://packages.lab50.net/okular/install /etc/eepm/play.d/spotify.sh:PKGURL="http://repository.spotify.com/pool/non-free/s/spotify-client/$(epm print constructname $PKGNAME "$VERSION*" amd64 deb)" /etc/eepm/play.d/svp4.sh:PKGURL="http://www.svp-team.com/files/svp4-latest.php?linux" /etc/eepm/play.d/sweethome3d.sh:#PKGURL="http://download.sourceforge.net/project/sweethome3d/SweetHome3D/SweetHome3D-$VERSION/SweetHome3D-$VERSION-linux-$arch.tgz" /etc/eepm/play.d/sweethome3d.sh:# http://sourceforge.net/projects/sweethome3d/files/SweetHome3D/SweetHome3D-7.1/SweetHome3D-7.1-linux-x86.tgz/download /etc/eepm/play.d/xerox-spl-driver.sh:PKGURL="http://download.support.xerox.com/pub/drivers/B215/drivers/linux/ar/Xerox_B215_Linux_PrintDriver_Utilities.tar.gz" Из которых 4 являлись комментариями в коде, 2 ссылками на apt-репозиторий, потому что там захотели разработчики софта и потому что в Альт проблемы с использованием https для репозиториев: /etc/eepm/play.d/alteroffice.sh:epm install "http://repo.alter-os.ru/testing/AlterOffice/v$BASEVER/linux/x64/$distr" --scripts /etc/eepm/play.d/okular-csp.sh:REPOURL="http://packages.lab50.net" 2 ссылки на сайт проекта: /etc/eepm/play.d/freeplane.sh:URL="http://freeplane.sourceforge.net" /etc/eepm/play.d/epson-printer-utility.sh:URL="http://support.epson.net/linux/Printer/LSB_distribution_pages/en/utility.php" 1 ссылка на репозиторий Debian: /etc/eepm/play.d/mssql-server.sh:DEBREPO="deb http://ftp.ru.debian.org/debian/ stretch main" И остаётся 4 ссылки для скачивания: 1. /etc/eepm/play.d/libicu56.sh: PKGURL="http://ftp.basealt.ru/pub/distributions/archive/p8/date/2018/01/04/x86_64/RPMS.classic/libicu56-5.6.1-alt1.1.x86_64.rpm" она такая, потому что некоторое время назад https на ftp.basealt.ru не работал: https://bugzilla.altlinux.org/show_bug.cgi?id=46508#c1 2,3,4: эти ссылки на данный момент можно перевести на https, что незамедлительно и делаем. /etc/eepm/play.d/spotify.sh:PKGURL="http://repository.spotify.com/pool/non-free/s/spotify-client/$(epm print constructname $PKGNAME "$VERSION*" amd64 deb)" /etc/eepm/play.d/svp4.sh:PKGURL="http://www.svp-team.com/files/svp4-latest.php?linux" /etc/eepm/play.d/xerox-spl-driver.sh:PKGURL="http://download.support.xerox.com/pub/drivers/B215/drivers/linux/ar/Xerox_B215_Linux_PrintDriver_Utilities.tar.gz" Таким образом, очковтирательство заключалось в 1% приложений, которые по каким-то обстоятельствам загружались не по https. На мой взгляд, это неадекватная оценка. Так что все громкие слова про обман и очковтирательство это просто для хайпа. (Ответ для Anton Farygin на комментарий #30) > (In reply to Vitaly Lipatov from comment #27) > > Использование https предполагает, что сертификат сервера подписан УЦ, а > > передаваемые данные зашифрованы. > > Какой-то сертификат подписан каким-то УЦ. > Важно убедиться как минимум что этот сертификат соотвесвует сайту, к > которому идёт обращение, что бы исключить возможную MITM атаку. Есть такая программа, называется curl. Она как раз выполняет все необходимые проверки, используя библиотеку gnutls. В том числе, то, что сайт отвечает сертификатом того домена, который мы запрашивали, и сертификат сайта подписан сертификатом УЦ, установленным в системе. Можно почитать howto по использованию этой команды: https://linuxtect.com/how-to-use-curl-command-with-https/ Программа наподобие curl, под названием wget, обычно используется в epm для скачивания файлов. Таким образом, все проверки выполняются. Я останусь при своём мнении - в подобном приложении очень важно проверять контрольные суммы загружаемых приложений. А ещё вы почему-то решили что основная проблема в том, что он скачивает без проверки контрольной суммы. Нет, основная проблема в том, что он захламляет систему пакетами из неизвестных источников. Мне кажется что мы уже говорили о том, что использование контейнеров сильно повысило доверие к этой программе. (Ответ для Vitaly Lipatov на комментарий #35) > можно перевести на https Не упоминайте больше https, пожалуйста, т.к. до выполнения comment#34 это будет только для хайпа и только для неосведомлённых пользователей. > Так что все громкие слова про обман и очковтирательство Извиняюсь, ошибся. Дело явно в компетенции. (Ответ для Anton Farygin на комментарий #37) > Я останусь при своём мнении - в подобном приложении очень важно проверять > контрольные суммы загружаемых приложений. Согласен, это классика. Будем проверять. Антон, ты не мог бы перевести для меня, что не так с curl при скачивании файлов по https? Сергей пишет какими-то намёками: "К сожалению, у него есть недопустимый изъян," "Не упоминайте больше https, пожалуйста, т.к. до выполнения comment#34 это будет только для хайпа и только для неосведомлённых пользователей." Я бы рад его понять, но кроме обвинений в обмане и некомпетентности, ничего не вижу. (Ответ для Vitaly Lipatov на комментарий #40) > Я бы рад его понять, но кроме обвинений в обмане и некомпетентности, ничего не вижу. Я же перечислил всё в comment#34 . Что из этого не понятно? (Ответ для Vitaly Lipatov на комментарий #35) > Итак, по вашему предложению из почти 300 устанавливаемых приложений мы получили Какое количество дыр достаточно, чтобы взломать систему? (In reply to Vitaly Lipatov from comment #40) > (Ответ для Anton Farygin на комментарий #37) > > Я останусь при своём мнении - в подобном приложении очень важно проверять > > контрольные суммы загружаемых приложений. > Согласен, это классика. Будем проверять. > > Антон, ты не мог бы перевести для меня, что не так с curl при скачивании > файлов по https? CURL в своей работе полагается на установленные в систему корневые сертификаты. С этим есть проблема - иногда пользователи и администраторы устанавливают в систему корневые сертификаты, которые в дальнейшем (в случае компрометации) позволяют провести MITM атаку, а в случае с загрузкой и установкой приложений подобная атака чревата полной компрометацией системы. Ну и помимо этого, поиск варивантов MITM атак на https соединение идёт непрерывно и иногда такой поиск приводит к положительным результатам. И если в браузере хотя бы будет заметен факт перехода на другой ресурс (редирект), то в случае eepm источник получения файла не проверяется - просто идёт доверие на то, что CURL пойдёт и скачает то, что его попросили, при этом отключается запрет на редиректы (что объяснимо) Я повторю основную задачу - помимо проверки контрольной суммы загружаемого архива важно научиться ограничивать устанавливаемые приложения из неизвестных источников в правах. (Ответ для Vitaly Lipatov на комментарий #36) > Есть такая программа, называется curl. А ещё есть такая программа, называется wget, которая у вас там используется. (Ответ для Anton Farygin на комментарий #43) > важно научиться ограничивать устанавливаемые приложения из > неизвестных источников в правах. Само собой. Одним https-ом сыт не будешь. Наткнулся на ещё одну интересную особенность. Использование patchelf в epm play. За это, ведь, пользователю должно прилететь, правильно? Хотел предложить уточнить тему данной баги, но понял, что ваше поведение действительно опасно для пользователя. |
