Лукас Нуссбаум (Lucas Nussbaum), недавно избранный лидер проекта Debian, предупредил (http://lists.debian.org/debian-devel-announce/2013/06/msg000...) пользователей о потере контроля над доменом debian-multimedia.org, на котором ранее размещался популярный неофициальный репозиторий мультимедиа-приложения для Debian GNU/Linux. Домен не был вовремя продлён и неизвестный перекупил его у регистратора.Всем пользователям рекомендуется удалить ссылки на
debian-multimedia.org из конфигурации APT, так как не исключено, что контроль над доменом мог попасть в руки злоумышленников, намеренных заняться распространением поддельных вредоносных пакетов. Упомянутое событие приводится как пример важности использования криптографических ключей для верификации пакетов в репозиториях и опасности машинального добавления новых непроверенных ключей.
URL: http://lists.debian.org/debian-devel-announce/2013/06/msg000...
Новость: http://www.opennet.ru/opennews/art.shtml?num=37104
Верх рас3.14здяйства...
http://deb-multimedia.org/
Семерка достаточно самодостаточна. У меня все мультимедиа играется. Дефолтный плеер глючит, но любой гуй для mplayer в помощь.
Реп в основном для создания контента и перекодирования?
> Семерка достаточно самодостаточна. У меня все мультимедиа играется. Дефолтный плеер глючит,
> но любой гуй для mplayer в помощь.
> Реп в основном для создания контента и перекодирования?Ещё libdvdcss
+1Как так можно? Детский сад!
Особенно с учётом того что debian-multimedia.org не используется больше года, да?
> Верх рас3.14здяйства...сторонние репы уже считаем основныим? Мейнтейнеров deb-multimedia причисляем к ключевым мейнтейнерам дебиана? Онолитеги такие онолитеги...
_
Прошу простить, если не распознал сарказм
Вы только не смейтесь, но к тому и идёт.
Сторонние (неофициальные для данного дистрибутива) репы - вообще дело опасное. Считаю, что только в исключительных случаях их нужно использовать, в т.ч. репы разработчиков нормальных проектов, но временно не включенных в официальные релизы. Наверное, даже установка из загруженных пакетов, а не из неофициальных репов, предпочтительнее.Далеко ходить не будем за примером. Установили LibreOffice 4 на Ubuntu 12.10 из репов LibreOffice, а не Ubuntu, т.к. данной версии LibreOffice для Ubuntu 12.10 одно время не было. После обновления LibreOffice 4 уже из официальных репов (в которые LibreOffice 4 включили) пакет LibreOffice 4 ... упал. Проверено на 3-х компьютерах. Причем в системах оказались еще и битые пакеты, которые пришлось удалять вручную. Проблема решилась сносом неофициальной (имеется в виду для данного дистрибутива) и установкой официальной версии.
Какая-то каша в голове у вас, отсюда и проблемы.
Да чего там гадать, восьмёрку рекламировать будут. Скоро её в подземных переходах рекламировать будут. А ещё чуть позже - только в подземных переходах.
По неофициальной информации, домен выкупил некто Стив под проект "Гетзефактс: весь Дебиан сегодня взломали, а новых дыр в ВинСервере сегодня не находили!!!"
> а новых дыр в ВинСервере сегодня не находили!!!"Ну так завтра найдут. Геть the fuckтс!
Ты серьёзно не видишь в этом стёба? %)
> Да чего там гадать, восьмёрку рекламировать будут.А что, debian 8 вроде как следующий как раз :)
>> Да чего там гадать, восьмёрку рекламировать будут.
> А что, debian 8 вроде как следующий как раз :)Он не 8, он jessie... (Это я его зову Наташкой) :)
> Да чего там гадать, восьмёрку рекламировать будут. Скоро её в подземных переходах
> рекламировать будут. А ещё чуть позже - только в подземных переходах.При общепринятом доверии к рекламе (хорошие вещи рекламировать не станут - посмотрите, много Вы видели рекламы автомобилей марки ... Ой! ... а ведь они очень хороши и за те же деньги комплектация просто убивает конкурентов) ход совершенно тупейший, как, собственно, и все, что делают ОНЕ последнее время.
Занятная новость, особенно в свете этого:
10/05/2012 :
New domain name deb-multimedia.org
You must edit your /etc/apt/sources.list to replaces the old repository name by the new one.Little explanation about the domain name change, Debian asked me to stop using the word debian.
Отсюда: http://deb-multimedia.org/
А это лучше? )))
05/05/2013 :
As Debian, stable has been released for my repository. Enjoy.
debian-multimedia не в продакшне уже полгода минимум. и все кто за это время хоть раз сделал apt-get update или заглянул в логи cron-apt узнали что репа нерабочая даже без новости. просто есть слоупоки которые за время жизни релиза ни разу не апдейтятся. вот для них при апгрейде сюрприз и будет.хреново конечно что домен просохатили. но он один фиг памятником стоял, и все кому надо были в курсе. лохов разве что подстригут при самом плохом раскладе.
Уже давно переехали на deb-multimedia и обновили ключи. На старом был вроде как редирект. И обьявление было. Новость для слоупоков.
> Уже давно переехали на deb-multimedia и обновили ключи. На старом был вроде
> как редирект. И обьявление было. Новость для слоупоков.Редиректа не было. Просто новость, новый адрес и коротенькая инструкция как жить дальше. Вроде как даже не было гиперссылки, просто написан адрес в тексте. Автоматический редирект чреват анальными неприятностями.
Но точно было, что репы debian-multimedia отвалились. Многие о переезде так и узнали, перейдя после ошибок обновления на сайт и прочитав новость.
> Домен не был вовремя продлёнНедоглядели, подумаешь, какой-то там debian-multimedia.org. Как можно так халатно относится? Может вы еще debian.org потеряете, мало ли, недоглядите. При таком наплевательском отношении все возможно.
И при чем тут халатность или debian.org? Это был неофициальный репозиторий...
как ето неизвесный? :http://who.is/whois/debian-multimedia.org
Technical Contact Information:
Name: Vitalij Kopich
Address 1: prospekt Yubilejnyj, 29, 62
City: Dneprodzerzhinsk
State: Dnepropetrovskaya
Zip: 51900
Country: UA
Phone: +380.632929769
Email: @dnz.su
Ну вот, не обновившим sources.list слоупокам есть куда позвонить, если что.
Интересно, кто-нибудь звонил?
Колхоз такой колхоз и бесхозяйственность.
*.debian.orgне годиться ?
не "ться"
> *.debian.org
> не годиться ?Кроме шуток. Вот специально для Вас сайт сделали http://tsya.ru/
Ой, там в конце Flash. Вот замена тренажёра: http://ankisrs.net/
> *.debian.org
> не годиться ?Кстати да, могли бы уже принять к себе. Ну хоть на *.debian.net как mozilla.debian.net.
>> *.debian.org
>> не годиться ?
> Кстати да, могли бы уже принять к себе. Ну хоть на *.debian.net как mozilla.debian.net.Всё, что можно было взять, уже взято. Всё, что не взято, официальным не будет.
Не знаете, случайно, почему? На wiki не нашёл почти ничего.
Ну выкупил этот чувак домен. И он думает на этом нагреться чтоли? :D Кому он нужен теперь то.
Например, поисковым роботам. На него ведут ссылки с сайтов с репутацией. А после появления этой новости - еще и с новостных сайтов. Так что материал, размещенный там, внезапно получит вес этих ссылок... можно и нагреться, если умело это использовать.
Не говоря уже о народе, который, прочитав новость, ломанулся посмотреть, что там сейчас, на этом сайте.
www.debian-multimedia.org could not be found. Please check the name and try again.Даааа, нагреется...
> Даааа, нагреется...Вообще, можно попробовать нагреть - по линии нарушения условий использования торговых марок, например. Другое дело что на украине с этим сложновато будет. Но открыть диспут на домен - наверное вариант.
А передавать домены в проект не – не судьба? Чтобы там всей пачкой за ними следили?
Исходный владелец домена отказался и потребовал, чтобы его не трогали и оставили в покое.
Чего раскудахтались, всё равно они не смогут цифровую подпись у пакетов подделать
> Чего раскудахтались, всё равно они не смогут цифровую подпись у пакетов подделатьМногие подтверждают, если вылазит предупреждение.
Многие и ключ не ставят. :)
Ну, знаешь, если некто игнорирует табличку "высокое напряжение опасно для жизни!" и таки оказывается поджарен высоким напряжением - это, очевидно, его сложности. Если кто думает что таблички с предупреждениями вывешивают просто так - ну он сам себе достойный кандидат на премию Дарвина.
> Ну, знаешь, если некто игнорирует табличку "высокое напряжение опасно для жизни!" и таки оказывается поджарен высоким напряжением - это, очевидно, его сложности. Если кто думает что таблички с предупреждениями вывешивают просто так - ну он сам себе достойный кандидат на премию Дарвина.Если 999 раз ничего не случится, то и в 1000 раз высокий шанс ничему не случиться. :)
Иначе из дома каждый раз приходилось бы выходить в противогазе, с автоматом, и только в тёмное время суток, ибо враг может и задремать.
> Если 999 раз ничего не случится, то и в 1000 раз высокий шанс ничему не случиться. :)А бывает и так что 999 раз дyраку везло, а на 1000-й раз - только обгорелые тапки остались. Все-таки таблички с предупреждениями обычно вешают не для красоты.
> Иначе из дома каждый раз приходилось бы выходить в противогазе, с автоматом,
> и только в тёмное время суток, ибо враг может и задремать.Тем не менее, только дyрак будет игнорировать предупреждающие сообщения. И если он за это поплатится - это вполне честно.
Вот этот нехороший человек:Registrant Name:Vitalij Kopich
Registrant Street1:prospekt Yubilejnyj, 29, 62
Registrant Street2:
Registrant Street3:
Registrant City:Dneprodzerzhinsk
Registrant State/Province:Dnepropetrovskaya
Registrant Postal Code:51900
Registrant Country:UA
Registrant Phone:+380.632929769
> Вот этот нехороший человек:Выше уже его обнаружили. А почему "нехороший" сразу? Есть правила. Человек по ним домен получил. Для начала баклан тот кто не заплатил вовремя за домен.
> Выше уже его обнаружили. А почему "нехороший" сразу? Есть правила. Человек по
> ним домен получил. Для начала баклан тот кто не заплатил вовремя за домен.Воспользовался чужой ошибкой, и умыкнул. Нехороший - потому что похоже, что недобрые намерения. Если перекупил для того, чтобы враг не перекупил, и отдаст в добрые руки со всеми потрохами, а не будет пользоваться чужой репутацией - тогда мы его публично оправдаем. :)
> Воспользовался чужой ошибкой, и умыкнул.Как бы есть оговоренные правила. Гражданин по ним играл. Это не является чем-то таким нечестным само по себе. Ну не он "умыкнул" бы, так соседний гражданин. Просто потому что домен снова стал общедоступен для покупки.
> Нехороший - потому что похоже, что недобрые намерения.
И именно поэтому он там вывесил адрес и телефон? Интересненькая мысль.
>> Нехороший - потому что похоже, что недобрые намерения.
> И именно поэтому он там вывесил адрес и телефон? Интересненькая мысль.Может быть, перекупщик домена просто очень не любит одного человека из Днепродзержинска.
> Для начала баклан тот кто не заплатил вовремя
> за домен.А баклан ли он? Может, денюжку какую взял, чтобы пару предупреждений по email от регистратора не заметить ... Они обязательно шлют такие предупреждения. Два наших - однозначно.
>> Для начала баклан тот кто не заплатил вовремя
>> за домен.
> А баклан ли он? Может, денюжку какую взял, чтобы пару предупреждений по
> email от регистратора не заметить ... Они обязательно шлют такие предупреждения.
> Два наших - однозначно.Непроплаченный вчера домен просто нельзя взять и сегодня купить другому человеку или организации. Есть определенная довольно длительная процедура освобождения и реализации домена, причем на каждом этапе регистратор извещает владельца обо всех манипуляциях и предполагаемых событиях. Так что здесь все явно нечисто.
Скорее всего, в Debian, как и во многих других конторах - полный хаос в управлении.
> Скорее всего, в Debian, как и во многих других конторах - полный хаос в управлении.да что же вас, таких невнимательных, так много... ведь уже несколько раз сказали, что эта фигня сторонняя, не дебиановской организации. Вот так любой аноним, из какого-нибудь славного города Волосолапска, создаст домен rhel-supermultimedia.org, потом забудет или не сможет или не захочет (или его вообще волки сожрут на околице) заплатить за домен - а виноваты будут редхатовцы?
> заняться распространением поддельных вредоносных пакетов.Осталось всего ничего, ключи разработчика всем заменить. И, конечно же, все побегут заменять ключи и никто не задумается о том WTF, собственно.
FYI, когда у разработчика одной нужной мне программы сменился ключ, я списался с ним по мылу и явно уточнил - это так и задумано или нет? Как вы понимаете, аларм в случае атаки был бы устроен быстро.
Давно знал об этом репозитории но никогда не пользовался им. Как и playdeb.net. У меня и без этих ресурсов всё работает. А если нужно поиграть в игру которая только в исходниках, то лучше самому собрать с офицального git/svn, и версия свежая, и ресурс относительно-надёжный.А дебианцы сами виноваты, запретили чуваку использовать домен, вот и отгребли потенциальную уязвимость, не все заменят репы, не все читают предупреждения от dpkg что ключ поменялся, не все читают новости.
а домен третьего уровня от debian.org религия не разрешает иметь?
> а домен третьего уровня от debian.org религия не разрешает иметь?Ну, если патентное законодательство - религия, то вполне возможно.
> а домен третьего уровня от debian.org религия не разрешает иметь?Я тоже хочу домен третьего уровня от debian.org - у меня есть смешной сайт про debian.
В России же живём - ftp://ftp.ru.debian.org/debian-multimedia/ :)