התקנת Arch - עמוד 3 - לינוקס, Mac ומערכות הפעלה אחרות - HWzone פורומים
עבור לתוכן
  • צור חשבון

התקנת Arch

New11

נוצר על ידי New11
ב לינוקס, Mac ומערכות הפעלה אחרות

Recommended Posts

New11 Zone Wannabe

New11

פורסם
  • מחבר
פורסם

תודה לכם! :xyxthumbs:

עובד מעולה, וממש נהנתי מהרעיון שקהילה שלמה של אנשים בונה ומשתפת את האחרים.

זה כל היופי של הקוד הפתוח מסתבר.

אבל בטוח קיימת האפשרות, שלעיתים רחוקות, יהיו חבילות אשר יכילו קוד זדוני לא?

אומנם לא תהיה גישה לרוט, אך עדיין...

יש דרך להמנע מכך?

קישור לתוכן
שתף באתרים אחרים
  • תגובות 34
  • נוצר
  • תגובה אחרונה
New11 Zone Wannabe

New11

פורסם
  • מחבר
פורסם

לא צריך הרשאת רוט בשביל ליצור את החבילה מ AUR אבל כן צריך הרשאה בשביל להתקין אותה...

בכל מקרה, תקרא את האזהרה בחלק לגבי בניית החבילה:

https://wiki.archlinux.org/index.php/AUR#Build_the_package

זה בדיוק הקטע שקראתי וגרם לי לשאול את השאלה :P

האם יש דרך "ממשית" להימנע מחבילות כאלה?

הכוונה שלי היא האם יש איזה כמה נק' עניין חשובות שצריך לשים לב אליהן? (בקוד עצמו הכוונה)

כמובן שלהתקין ממקור "בטוח", חיפוש שם החבילה בגוגל, ומספר ה"הצבעות" שיש לחבילה ב- aur, אלה כללי משחק חשובים.

קישור לתוכן
שתף באתרים אחרים
Ash Binary Zone Master

Ash Binary

פורסם
פורסם

נשאל דבר כזה :

האם אתה סומך עך כל מי שהחבילה עברה דרכו בייצור שלה או בדרך אליך ?

ואם לא, איך ניתן לסנן החוצה קוד זדוני, או להגן על החבילה מהתערבות בדרך ?

כתיבת התוכנה :

רובהתוכנות בלינוקס כתובות בקוד פתוח - לא ניתן להחביא בתוכן קוד זדוני בצורה שלא ניתנת למציאה. מה שכן, ברוב החבילות יש כמות של קוד שלא ריאלי למישהוא יחיד לבדוק

בפיתוח של החבילות לא כל אחד יכול להכניס קוד שבא לו לתוכנה "הרשמית" (ה upstream). כל מה שנכנס אמור לקבל אישור של המפתחים הראשיים של הפרוייקט או מיש הם חושבים לנכון

אם אתה סומך על המפתחים הראשיים של הפרוייקט, מי שעובד איתם, ואמצעי האבטחה של המחשבים שעליהם נשמר העותק הראשי - השלב הזה מסודר

אריזת התוכנה :

אם אתה מוריד חבילה מוכנה מישהוא קימפל אותה לפניי זה. בקימפול הוא היה יכול לדחוף פנימה כל מה שבא לו. אם אתה סומך עליו (זה אחד מהמפתחים של ההפצה - במקרה זה Arch) ועל האבטחה של המחשבים שעליהם הקימפול מתקיים - השלב הזה מסודר. בבנייה מה AUR השלב הזה קורה אצלך

הובלת התוכנה עד אליך :

מי שיש לו שרת (השרת הישראלי של ארצ' שייך ל isoc - איגוד האינטרנט הישראלי) יכול להחליף את החבילות שהמפתח שלח אליו לחבילות זדוניות. לפניי זמן מסויים קרה אירוע בשרתי דביאן, כשפרצו לשרת (כנראה בגלל חור אבטחה) והיה חשש שהחליפו חבילות

מאז לארצ' יש הגנה כנגד זה - כל חבילה שמיוצרת על ידיי מפתחיי ארצ' חתומה בחתימה דיגיטלית. אם מישהוא התערב בחבילה (ובהנחה שהוא לא פרץ את הקוד של ההצפנה - מה שלא סביר) אתה תקבל שגיאה כשתנסה להתקין את החבילה, והיא לא תותקן

חוץ מפריצת האבטחה יש דבר יחיד נוסף שניתן לעשות כדיי לרמות את מערך האבטחה הזה והוא לזייף מהתחלה את המפתח הציבורי של מפתחי ארצ' (שכלול בדיסק ההתקנה) - אותו ניתן לאמת מול האתר של ארצ' שם אמור לןהיות המפתח הרשמי. כמובן שניתן לשנות את זה גם באתר של ארצ' ובמדיית ההתקנה וכו' ואם כל זה נעשה אז אין לך מה לעשות בנידון או לדעת שהיתה התערבות

רוב בעיות האבטחה מהסוג הזה, לדעתי לפחות, נמצאות איפה שלמפתחי ההפצה אין שליטה על מה שקורה - כשהם בעצמם לא מקבלים קוד מקור. זה קורה בתוכנות קוד סגור

הדוגמה הכי בולטת כאן לדעתי זה - הוא קו סגור שיש לכולם ולכן הוא נחשב "לגיטימי", אם זאת נמצא שהוא חופר בדברים שהוא לא אמור לגעת בהם על המחשב וכנראה משדר אותם לאינרנט - ולא ניתן לדעת מה ולמה כי הקוד סגור. על תוכנה כזאת למשל לא הייתי סומך (ואכן אין לי , מי שרוצה יש מסנג'ר שניתן להתחבר אליו מ kopete)

קישור לתוכן
שתף באתרים אחרים

ארכיון

דיון זה הועבר לארכיון ולא ניתן להוסיף בו תגובות חדשות.

עבור לרשימת הדיונים
×
  • צור חדש...