| 1.1, Ivan_83 (ok), 20:58, 15/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
 По паспорту давать коммитить, и хату в залог пусть оставляют, если зловреда захотят закомитить - хата отойдёт проекту :)
| | |
| |
| 2.4, Аноним (4), 21:12, 15/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
А почему нельзя бесхозные пакеты просто заморозить без возможности восстановления доступа?
| | |
| 2.14, Аноним (14), 21:53, 15/06/2026 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> По паспорту давать коммитить
Ты вот шутишь, а в коммерческой разработке по сути так и присходит испокон веков. Прежде чем васян с улицы закомитит в условный macOS, ему придется пройти многоступенчатый процесс фильтрации и найма, с проверками адекватности и компетенции, с заключанием контракта и т.п.
А тут прямо опенсорсное бинго: одни васяны сделали помойку, держащуюся на честном слове, другие васяны в нее гадят, а третьи из нее уплетают за обе щеки, не глядя.
| | |
| |
| 3.18, Аноним (18), 22:15, 15/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> проверками адекватности
а индусячий код за 3 копейки, это как так вышло?
> А тут прямо опенсорсное бинго
в городе общественным местом считается абсолютно все, что не является чьейто частной территорией, покрай мере именно за нарушение общественного порядка тебя привлекут если тебе вздумается где-то, кроме своей спальни устроить пефоманс, но даже в твоей собственной спальне есть ограничения, например, громкость твоих ночьных пефомансов.
можешь попробовать поехать в антарктиду и попытаться там устроить чтото общественно опасное, если будешь пингвинам рассказывать про 4й рейх и агетировать, то наверное на это закроют глаза, а вот если начнешь создавать биологическое оружие, то статью найдут.
| | |
| |
| 4.19, Аноним (14), 22:18, 15/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
>> проверками адекватности
> а индусячий код за 3 копейки, это как так вышло?
А что тут неадекватного? Потому и индусячий, что за 3 копейки.
| | |
| |
| 5.22, Аноним (18), 22:35, 15/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
обьясняю, компания обязана по закону соблюдать правила, например хранить продукты в холодильнике, иначе она ничем не отличается от бабки агафьи которая по ночам потрошит крыс и продает днем беляши.
в части it правил для компаний не так уж много, да - еще пока it-шницы бабками не стали, но осталось не так много времени, и мы видим как гос-ва все дружно бросились регулировать, то что само работало.
потому что часики тикают, а мозги стареют и деградируют, и никакие сроки и штрафы сьеденого беляша не отменят.
| | |
| |
| 6.23, Аноним (14), 22:55, 15/06/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
Сорян, но я так и непонял, что ты хотел сказать этим словесным поносом. Ты можешь внятно мысль сформулировать?
| | |
|
|
| 4.26, Ivan_83 (ok), 23:07, 15/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
Хоть это и оффтоп, но как показывают события последних лет...власти обычно не очень готовы к ситуациям когда это не 1-3 человека с одной коробкой запасов и 1-3 стволами. Как только кончится "омон" и размотают участковых в оцеплении - то местами это последняя и единственная линия обороны.
В моей текущей локации такое ощущение что хватит и сотни хорошо организованных, подготовленных и оснащённых чтобы всё изменить...
Органы умеют работать только против небольших групп, не организованых, плохо мотивированных и почти не оснащённых. Даже поготовленные и оснащённые одиночки их часто ставят в сильно неловкие позы, что в ЕС что в РФ.
А про биологическое - так его и дома можно сварить, а когда кто то узнает - будет уже поздно что то делать. Да и честно говоря комманд которые способны на такое реагировать во многих странах просто нет.
| | |
|
| 3.28, Ivan_83 (ok), 23:12, 15/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
Так чуваку то за работу платят хотя бы, и фильтр там изначально был чтобы отсеивать желающих получать зарплату от умеющих работать работу.
А тут кто то решил что можно безнаказанно пограбить в общественном месте. Овет тоже простой и понятный, хотя и со спецификой локации в которой найдут.
| | |
|
|
| 1.2, Аноним (2), 21:09, 15/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> В репозитории насчитывается 141967 зарегистрированных пользователей и 69 сопровождающих пакеты (в предыдущую неделю было 140949 пользователей и 69 сопровождающих).
Это что за левые цифры? repology показывает там 21k мантейнеров.
| | |
| |
| |
| 3.16, Аноним (2), 22:02, 15/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
На заборе написано в новости. Repology считает честных мантейнеров по пакетам.
| | |
|
|
| 1.3, Аноним (3), 21:10, 15/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– | |
>Для захвата пакетов атакующие использовали предоставляемую в AUR возможность принимать сопровождение над пакетам, оставшихся без сопровождающих и имеющих статус "orphaned". Подобная возможность предоставлялась без ограничений и проверок любому желающему.
Может стоит отключить возможность каждому брать контроль над сопровождением заброшенного пакета, который может просто заваляться в системе пользователя и обновиться, принеся такую радость в дом? Почему вообще по всей логике если кто то хочет начать сопровождение пакета, он не обязан создавать отдельный форк и пускай его пользователи сами проверяют и устанавивают по новой? Что за глупейший вектор атаки, вот после такого внатуре пойдешь к красношляпникам собирать пакеты.
| | |
| |
| 2.10, Аноним (14), 21:32, 15/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Что за глупейший вектор атаки, вот после такого внатуре пойдешь к красношляпникам собирать пакеты.
Ну так все by design, разве нет? Написано же "DISCLAIMER: AUR packages are user produced content. Any use of the provided files is at your own risk. "
Как-то странно загружать и запускать на своей машине баш-портянки от левых васянов - и при этом петь про какие-то "вектора атаки".
В том же Ubuntu PPA и загружаемый исходный код, и собранные из него пакеты для пользователей подписаны PGP. Что мешало ауропомойке сделать также - загадка.
| | |
| |
| 3.15, Аноним (15), 21:57, 15/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>подписаны PGP
Не проблема вообще. Ключики для PGP можно и заменить. Обновление сломается, а вот если кто заново захочет добавить, то у него ничего и не пикнет.
| | |
| |
| 4.17, Аноним (14), 22:08, 15/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Обновление сломается
В этом как бы и смысл, что пакеты от нового васяна не будут ставиться моча.
| | |
|
| 3.29, Аноним (29), 23:18, 15/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
Подписи ничего не изменят.
По умолчанию AUR используется ручками.
Адекватные аур-хелперы протаскивают по диффам pkgbuild'a в интерактивном режиме и изменение чего-то кроме хешей очень заметно.
Неадекватные будут добавлять новые ключи неглядя.
| | |
|
|
| 1.5, Аноним (4), 21:13, 15/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> возможность предоставлялась без ограничений и проверок любому желающему
Сами сделали - сами расплачиваются.
| | |
| |
| 2.9, Аноним (9), 21:23, 15/06/2026 [^] [^^] [^^^] [ответить]
| –3 +/– |
Судя по описанию, подобные "возможности" часто в последнее время предоставляются пользователям ядра Linux
| | |
|
| 1.8, Аноним (14), 21:23, 15/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> Подобная возможность предоставлялась без ограничений и проверок любому желающему.
...но что-то пошло не по плану? 😂
Действительно, что может случиться, если давать любому васяну доступ к баш-портянкам, которые тысячи арчеводов запускают не глядя, и даже не предупреждать этих арчеводов о смене маинтайнера? 🤔
> После первой массовой атаки разработчики Arch Linux попытались защититься от проблемы через выборочные фильтры, но атакующие обошли их через замену npm на bun и обфускацию вызова своего кода в функции post_install.
Баш-портянщики против JS-портянщиков! Эта битва будет легендарной! 🤣 Пока что счет 0:3.
| | |
| 1.31, OldCat (ok), 00:00, 16/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Добили энтузиастов из сообщества :(. Отрыжка критической массы (популярности дистра). А у нас на Void (тьфу-тьфу-тьфу!) всё норм. Иногда неплохо быть Неуловимым Джо ;). Жаль, что мы уже в тридцатке Дистровотча.
| | |
|
