rapture 22.08.2011 13:26 unknown

Итак, тора гие мои. Мы тут с @gelraen затеиваем срачики уже который месяц и все никак не можем прийти к правильному решению. Поэтому нам нужен кто-то умный.
Суть проблемы установки портов/ебилдов такова. Клиент заказывает поставить программу через eбанус/порты/otherwise similar
Вариант раз. make fetch тащит файлик с исходниками с сайта sex.com. Потом сверяет его с суммой sha512, которую положил автор поста.
Вариант два. make fetch тащит с удаленного репозитория sex.com checkout. Потом ни с чем его не сверяет (?).
Каким образом можно наебать make во втором случае, чтобы он притащил хозяину файл triper.hs, но нельзя наебать в первом? Рассматриваются самые бредовые идеи вплоть до наебалова системы с make fetch, наебалова репозитория и перца-посередине.

Recommended by: @gelraen
1. gelraen 22.08.2011 14:54

В первом случае можно наебать:
1) подменой источника самих портов
2) коллизией хеша на tar.gz порта
Во втором случае:
1) подменой репозитория

Подмена репозитория или источника портов может проводиться разными методами, начиная с захвата контроля над исходным сервером и заканчивая говном типа DNS cache poisoning и изменения трафика жертвы на ходу(если не используется подписывание вместе с шифрованием).

2. 0xd34df00d 22.08.2011 14:56 Azoth_primary

> наебалова репозитория
Ты сам ответил!

3. rapture0xd34df00d /2 22.08.2011 15:01 unknown

Блеать, вот поистине, не поминай имя дедфуда в суе.

4. 0xd34df00drapture /3 22.08.2011 15:13 Jabiru

Хуй ты.

5. rapture0xd34df00d /4 22.08.2011 15:15 unknown

У меня хоть женщина была.

6. utros 22.08.2011 15:41 Adium

Я вот нихуя не понял откуда берётся хешик.

7. raptureutros /6 22.08.2011 15:42 unknown

ментрейнер ложит

8. utrosrapture /7 22.08.2011 15:58 Adium

Ну тогда только хешик подменить или наебать систему после проверки хеша.
Искать коллизии в sha512 — не ок.

9. gelraenutros /8 22.08.2011 16:00 imax

наебать после проверки не получится, потому что сама система портов сливается вместе с дереовм портов и после проверки оно сразу распаковывается и собирается.

10. gelraenutros /8 22.08.2011 16:00 imax

олсо, раньше там два хеша было: md5 и sha256. сейчас md5 выбросили.

11. utrosgelraen /10 22.08.2011 16:06 Adium

Ок.

12. ulidtko 22.08.2011 16:39

А как вы думаете, зачем разработчики придумали *версии* и иные релизы?..

13. gelraenulidtko /12 22.08.2011 16:41 imax

версии и релизы в тарболах с сорсами уже нормально собираются. Вопрос в том, чтобы улучшить положение в случае когда хочется собирать из репозитория, а не ждать релиза. Можно делать снапшоты, как делали (и до сих пор делают, наверное) с mplayer'ом, но их надо где-то хостить для этих целей. А хостить лень.

14. ulidtkogelraen /13 22.08.2011 16:53 dedicated microblogging account

тогда прекращайте свой бесполезный СПГС с доверием и безопасностью.
Если юзер согласен на софт из транка репозитория — он доверяет разработчикам, и обеспечивать безопасность уже их забота.

15. gelraenulidtko /14 22.08.2011 16:55 imax

хуета может случится не только на строне репозитория, но и на стороне пользователя. Олсо, даже в релизные тарболы иногда всякое говно подкладывают.

16. ulidtkogelraen /15 22.08.2011 16:57 dedicated microblogging account

ок, ну и как вы собрались от этого спасаться?..
Oh wait. Да это же /0.

17. gelraenulidtko /16 22.08.2011 16:58 imax

вот-вот. я пока не придумал ничего лучше проверки fingerprint'а сертификата при сливании по https

18. 0xd34df00dulidtko /12 22.08.2011 17:01 Azoth_primary

Да хуй знает, меня перманентный HEAD устраивает.

19. ulidtkogelraen /17 22.08.2011 17:02 dedicated microblogging account

СПГС, блядь.
Укрепите политики принятия софта в порты, стимулируйте тщательный peer review. Ну я не знаю. Дебиан ведь справляется как-то.

Алсода, каждая deb-ка в дебиане подписана GPG ключом мейнтейнера.

20. ulidtko0xd34df00d /18 22.08.2011 17:02 dedicated microblogging account

это просто потому что ты хуй и не осилил релизинг.

21. 0xd34df00dulidtko /19 22.08.2011 17:02 Azoth_primary

Анус себе укрепи, пес.

Хуита в этом дебиане.

22. 0xd34df00dulidtko /20 22.08.2011 17:03 Azoth_primary

Осилил, просто впадлу.

23. ulidtko0xd34df00d /21 22.08.2011 17:03 dedicated microblogging account

где НЕ хуита? в арче, лол?

24. gelraenulidtko /19 22.08.2011 17:04 imax

при чём здесь, блеать, политики принятия софта. Тут вопрос что если при скачивании уже принятого скачается какая-то хуйня. Олсо, у нас здесь не дебиан, и софт собирается из тех тарболов, которые выкладывают сами разработчики. А подписи бинарных пакетов в pkgng уже вроде как будут, да.

25. ulidtkogelraen /24 22.08.2011 17:05 dedicated microblogging account

define какая-то хуйня

26. gelraenulidtko /25 22.08.2011 17:06 imax

в лучшем случае — просто какое-то говно, которое не соберётся. В худшем — внешне те же самые сорсы, но с добавленым бекдором.

27. ulidtkoulidtko /25 22.08.2011 17:06 dedicated microblogging account

я не себе прошу: вы сами сначала определитесь, какую проблему решаете. Поставьте задачу.

28. gelraenulidtko /27 22.08.2011 17:07 imax

задача: найти метод проверки того, что сорсы которые порт выкачал из vcs точно совпадают с теми, для которых писал порт мейнтейнер.

29. ulidtkogelraen /28 22.08.2011 17:10 dedicated microblogging account

сорсы точно не совпадут, если только ты не будешь выкачивать ту же ревизию репы, для которой писался порт.
Это исключает крупную часть планируемых юз-кейсов, если я правильно понимаю.

30. utrosulidtko /19 22.08.2011 17:12 Adium

И в убунточке :3

31. ulidtkoutros /30 22.08.2011 17:13 dedicated microblogging account

дя :3 :3

32. utrosulidtko /25 22.08.2011 17:13 Adium

Дедфуд

33. gelraenulidtko /29 22.08.2011 17:13 imax

планируемый юзкейс: позволить без особых проблем собирать софт из репозитория, не дожидаясь релиза. Если ревизию не фиксировать, то порт вполне себе может и не собраться даже. Потому ревизию в любом случае надо фиксировать, чтобы не возникало лишних криков "а у меня тут ваш порт не собрирается". А кому сильно надо будет — смогут и сами подровнять номер ревизии в Makefile порта.

34. ulidtkogelraen /33 22.08.2011 17:14 dedicated microblogging account

ну вот, чудненько, с одним пунктом разобрались.

Дальше что, хеш этой конкретной ревизии нужен?

35. gelraenulidtko /34 22.08.2011 17:16 imax

да, нужна проверка того, что выкачаны именно те сорсы, которые надо. find . | sort | xargs cat | sha256 мне кажется плохим, негодным решением.

36. utrosgelraen /35 22.08.2011 17:17 Adium

tar | sha512 и костыли не нужны.

37. gelraenutros /36 22.08.2011 17:18 imax

tar же таймстампы запоминает. Так что если vcs их не восстанавливает то получится говно.

38. utrosgelraen /37 22.08.2011 17:22 Adium

Там есть галка для этого: --mtime

39. ulidtkoutros /38 22.08.2011 17:23 dedicated microblogging account

во-во, тоже её нашёл.
Хотя у них же наверняка свой tar, без нужных галок.

40. utrosulidtko /39 22.08.2011 17:24 Adium

WinRAR!

41. gelraenulidtko /39 22.08.2011 17:27 imax

да, такой галки вроде нету. Но это, на самом деле, ничем не лучше того костыля что я предложил

42. ulidtkogelraen /41 22.08.2011 17:30 dedicated microblogging account

а чего ты ещё хотел? универсального секурного магического хеша, который хуйпойми зачем рассчитывает каждая VCS для каждой ревизии?
Этого никто делать не будет. Даже в git SHA-идентификаторы коммит-объектов не предназначены для применения в целях security.

43. gelraenulidtko /42 22.08.2011 17:32 imax

да хуй поймёт чего именно я хочу. Это мне не очень нравится, но пока ничего лучше я не придумал

44. 0xd34df00dulidtko /23 22.08.2011 17:38 Azoth_primary

В генте, лоло.

45. 0xd34df00dgelraen /28 22.08.2011 17:38 Azoth_primary

Никак ты этого не сделаешь.

46. gelraen0xd34df00d /45 22.08.2011 17:39 imax

why?

47. utros0xd34df00d /44 22.08.2011 17:39 Adium

Ты б ещё слаку вспомнил.
Ты порты-то хоть видел?

48. 0xd34df00dgelraen /46 22.08.2011 17:39 Azoth_primary

А как ты отличишь malicious код, добавленный в VCS, от не-malicious? ИИ на лиспе?

49. 0xd34df00dutros /47 22.08.2011 17:40 Azoth_primary

Да, я как-то ставил себе фрю, не понял, зачем оно мне, снес фрю.

50. utros0xd34df00d /49 22.08.2011 17:40 Adium

Понятно. Очередной ниасилятор ИТТ.

51. gelraen0xd34df00d /48 22.08.2011 17:41 imax

эта задача возлагается на мейнтейнера/комиттеров/etc. Задача порта — проверить что собирается точно то же, для чего мейнтейнер делал порт.

52. 0xd34df00dutros /50 22.08.2011 17:41 Azoth_primary

Нет, ну правда, а зачем оно мне?

53. 0xd34df00dgelraen /51 22.08.2011 17:41 Azoth_primary

Можно каждый коммит делать а-ля signed-off-by, что, впрочем, не убережет от пиздинга ключа.

54. gelraen0xd34df00d /52 22.08.2011 17:41 imax

я поставил фрю и у меня появилась тян

55. utros0xd34df00d /52 22.08.2011 17:42 Adium

Потому, что удобно, например.

56. 0xd34df00dgelraen /54 22.08.2011 17:42 Azoth_primary

Я поставил генту, у меня появилась тян. Потом я снес генту, поставил дебиан, тян пропала. Потом появилась тян, потом опять снес дебиан и вернул генту, тян пропала.
Нихуя не понимаю зависимости.

57. utros0xd34df00d /56 22.08.2011 17:42 Adium

Да у тебя сломанные зависимости!

58. 0xd34df00dutros /55 22.08.2011 17:43 Azoth_primary

Мне и в генте вполне удобно.

59. 0xd34df00dutros /57 22.08.2011 17:43 Azoth_primary

Анус себе сломай, пес!

60. ulidtko0xd34df00d /56 22.08.2011 17:49

Потому что эта зависимость существует только в горячих головах фанатиков.

На самом же деле фряха говно и годится на два с половиной применения, включая пиздинг кода на условиях BSD, лол.

61. 0xd34df00dulidtko /60 22.08.2011 17:50 Azoth_primary

Было бы что пиздить, код ведь говно.

62. utros0xd34df00d /58 22.08.2011 17:51 Adium

Генту себе сломай, пёс!

63. utros0xd34df00d /59 22.08.2011 17:51 Adium

Пёс себе пёс, пёс!

64. 0xd34df00dutros /63 22.08.2011 17:51 Azoth_primary

R.

65. raptureulidtko /12 23.08.2011 00:55 unknown

от нехуй делать?

66. rapturegelraen /33 23.08.2011 00:59 unknown

Не надо нахуй фиксировать

67. raptureulidtko /42 23.08.2011 01:01 unknown

То есть всем похуй?

68. rapture0xd34df00d /56 23.08.2011 01:01 unknown

У тебя есть тян? М, поподробнее, мы заинтригованы

69. ulidtkorapture /66 23.08.2011 01:11 dedicated microblogging account

иначе не получится, только с фиксированной ревизией.

70. rapture 23.08.2011 01:32 sxima

даже в мейке всегда можно выполнить чекаут. Ломаться будет да, но на то он и свн

71. 0xd34df00drapture /68 23.08.2011 08:57 Azoth_primary

Была, и не одна.

72. utros0xd34df00d /71 23.08.2011 15:29 Adium

Левая не считается, так что не пизди мне тут!

73. gelraen0xd34df00d /61 23.08.2011 15:36

ну как тебе сказать... тот же netgraph спиздили и продают для линукса за деньги.

Do you really want to delete ?