https://ssl.opennet.dev/openforum/vsluhforumID3/133256.html Предположительно бэкдор в пакет xz был внедрён разработчиком Jia Tan, который в 2022 году получил статус сопровождающего и выпускал релизы начиная с версии 5.4.2. Помимо проекта xz предполагаемый автор бэкдора также участвовал в разработке пакетов xz-java и xz-embedded, и был включён в число мэйнтейнеров проекта XZ Embedded, используемого в ядре Linux...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60880<br> https://ssl.opennet.dev/openforum/vsluhforumID3/133256.html#276 Thu, 04 Apr 2024 16:50:33 GMT &gt; Да: https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/tree/...<br><br>Там львиня доля народа до которых у меня нет никакой цепочки чтоб им верить, и еще где гарантия чтоб тот веб сервак не ломанут и что самое интересное, - идентификация в виде огрызка хэша в по первым 8-ми байтам - это просто "вверх секьюрности", я уж не говорю о удобстве проверки при каждом апдэйте сотни софта<br><br>&gt; Подпишите ключи тех кого вы хорошо знаете: своих одногрупников в универе, сотрудников на работе, членов месной LUG которых давно знаете, ... <br><br>Вы с какой планеты вообще ???<br>Здесь, на Земле - это только в теории и среди 2 землекопов знающих друг друга<br><br>&gt; Пример работы "достоверного, доверяемого центра сертификации"; https://www.opennet.me/openforum/vsluhforumID10/5564.html<br><br>Что то я там Торвальдаса не нашел, как впрочем большинство лидеров крупных проектов<br><br>&gt; Ошибаются или обманывают даже в церкви<br><br>Здесь не про ошибку, а про то, что нет реального механизма достоверности в ПГП. Програмно, да есть, если обмениваться ключам https://ssl.opennet.dev/openforum/vsluhforumID3/133256.html#275 Thu, 04 Apr 2024 14:45:49 GMT &gt;&gt; необходимо найти больше 4 цепочек доверия между твоим ключом и исследуемым.<br>&gt; Ну и как? Удачно нашел ко ВСЕМ 4 цепочки?<br><br>Да: https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/tree/graphs<br><br>&gt;&gt; Но на ВСЕХ поддельных ключах Вована залитых на сервера ключей плохими Васянами не будет подписи Вадима которого ты знаешь.<br>&gt; В том то и дело, что ни с Вадимом и тем более с Вованом у меня нет ничего общего, как врочем и с теми вымышленными WoT, которые приходят в бар, знакомятся, и показывают свои паспорта(липовые?) для сверки, а в реальности, вон Ху Тян пришел и xz рачком-с поставил.<br><br>Одну ошибку по пяне в баре с подписью ключа по липовому паспорту WoT OpenPGP выдержит. Некий уровень достоверности определяется несколкими цепочками доверия к проверяемому ключу.<br><br>Не подписывайте ключи пяными в барах! Подпишите ключи тех кого вы хорошо знаете: своих одногрупников в универе, сотрудников на работе, членов месной LUG которых давно знаете, ...<br><br>&gt; Пока нет достоверного, доверяемого центра сертификации - вся https://ssl.opennet.dev/openforum/vsluhforumID3/133256.html#273 Wed, 03 Apr 2024 15:08:26 GMT FreeBSD не зацепило.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/133256.html#272 Wed, 03 Apr 2024 10:51:36 GMT да вы, прямо, переживает что "их" отловили?! :о) <br> https://ssl.opennet.dev/openforum/vsluhforumID3/133256.html#271 Wed, 03 Apr 2024 10:50:28 GMT обычно-же критиканы пилят и поддерживают проекты?! :о)<br> https://ssl.opennet.dev/openforum/vsluhforumID3/133256.html#270 Tue, 02 Apr 2024 13:33:50 GMT Мимо! <br><br>&gt; Содержимое deb, rpm пакетов запаковано lzma.<br><br>lzma (since dpkg 1.14.0; deprecated)<br><br>&gt; GCC использует lzma для сжатия отладочной информации.<br><br>https://gcc.gnu.org/onlinedocs/gcc/Debugging-Options.html<br>-gz[=type]<br>Produce compressed debug sections in DWARF format, ...<br><br>gcc: note: valid arguments to &#8216;-gz=&#8217; are: none zlib zlib-gnu<br><br><br>&gt; lzma используется для сжатия initramfs.<br><br>Везде, из коробки GZIP. Дистры васянов не изучал. <br> https://ssl.opennet.dev/openforum/vsluhforumID3/133256.html#269 Tue, 02 Apr 2024 13:18:17 GMT &gt; Получив права мэйнтейнера Jia Tan стал активно добавлять<br><br>Дальше не интересно <br> https://ssl.opennet.dev/openforum/vsluhforumID3/133256.html#268 Tue, 02 Apr 2024 11:20:30 GMT Модель с тестированием и обкаткой приложений перед выпуском в официальный релиз еще раз доказала свою работоспособность. +1 Debian<br> https://ssl.opennet.dev/openforum/vsluhforumID3/133256.html#267 Tue, 02 Apr 2024 05:56:54 GMT &gt; А потом началось, свист в ушах, головокружение. Это длилось неделю, потом <br>&gt; я узнал, что нужно пить таблетки циннаризин.<br><br>Поразгружать вручную вагоны месяц-два.<br>Уголь в шахте порубить.<br>На стройке бетонщиком пофигачить.<br>