ALT Linux Bugzilla – Full Text Bug Listing
| Summary: | Опасное поведение для пользователя | ||
|---|---|---|---|
| Product: | Sisyphus | Reporter: | Anton Farygin <rider> |
| Component: | eepm | Assignee: | Vitaly Lipatov <lav> |
| Status: | ASSIGNED --- | QA Contact: | qa-sisyphus |
| Severity: | normal | ||
| Priority: | P5 | CC: | aen, lav, manowar, zerg |
| Version: | unstable | ||
| Hardware: | x86_64 | ||
| OS: | Linux | ||
|
Description
Anton Farygin
2023-11-16 10:43:00 MSK
А что, если генерировать flatpak-пакеты, а не rpm? Так уже какая-никакая изоляция будет. Ещё один момент. Например, chrome он давно не обновляет(в т.ч. в p10), из-за чего там уже много незакрытых уязвимостей. С остальным play может быть то же самое. (Ответ для Sergey V Turchin на комментарий #2) > Ещё один момент. Например, chrome он давно не обновляет(в т.ч. в p10), из-за > чего там уже много незакрытых уязвимостей. С остальным play может быть то же > самое. Давайте без предположений, пожалуйста. Виталий, что там с chrome? (Ответ для Sergey V Turchin на комментарий #2) > Ещё один момент. Например, chrome он давно не обновляет(в т.ч. в p10), из-за > чего там уже много незакрытых уязвимостей. С остальным play может быть то же > самое. Давайте без предположений, пожалуйста. Виталий, что там с chrome? (Ответ для Sergey V Turchin на комментарий #1) > А что, если генерировать flatpak-пакеты, а не rpm? > Так уже какая-никакая изоляция будет. Это хорошая задача. На неё нужны люди. (Ответ для AEN на комментарий #4) > (Ответ для Sergey V Turchin на комментарий #2) > > Ещё один момент. Например, chrome он давно не обновляет(в т.ч. в p10), из-за > > чего там уже много незакрытых уязвимостей. С остальным play может быть то же > > самое. > Давайте без предположений, пожалуйста. Ок, без предположений. С остальным всем play то же самое. Версии, до которых надо обновлять, указаны вручную и не обновляются. Вот для того пакета, который в p10 https://eepm.ru/releases/3.57.6/app-versions/ (Ответ для Sergey V Turchin на комментарий #5) > (Ответ для AEN на комментарий #4) > > (Ответ для Sergey V Turchin на комментарий #2) > > > Ещё один момент. Например, chrome он давно не обновляет(в т.ч. в p10), из-за > > > чего там уже много незакрытых уязвимостей. С остальным play может быть то же > > > самое. > > Давайте без предположений, пожалуйста. > Ок, без предположений. > С остальным всем play то же самое. Версии, до которых надо обновлять, > указаны вручную и не обновляются. > Вот для того пакета, который в p10 > https://eepm.ru/releases/3.57.6/app-versions/ Если версию в p10 нельзя обновлять, то что в этом удивительного?? Тем более, бага на Сизифе. Хватит флейма, Сергей. Давайте подождём Виталия. (Ответ для AEN на комментарий #6) > (Ответ для Sergey V Turchin на комментарий #5) > > (Ответ для AEN на комментарий #4) > > > (Ответ для Sergey V Turchin на комментарий #2) > > > > Ещё один момент. Например, chrome он давно не обновляет(в т.ч. в p10), из-за > > > > чего там уже много незакрытых уязвимостей. С остальным play может быть то же > > > > самое. > > > Давайте без предположений, пожалуйста. > > Ок, без предположений. > > С остальным всем play то же самое. Версии, до которых надо обновлять, > > указаны вручную и не обновляются. > > Вот для того пакета, который в p10 > > https://eepm.ru/releases/3.57.6/app-versions/ > Если версию в p10 нельзя обновлять, то что в этом удивительного?? Т.е. совсем не понимаете, о чём речь? Версия забита в файле по ссылке, который программа качает и смотрит. > Тем более, бага на Сизифе. Вы ищите некие поводы? На Сизифе то же самое. > Хватит флейма, Сергей. Я предоставил аргументы в ответ на вашу же просьбу. Вам они чем-то не понравились? > Давайте подождём Виталия. Ждём уже больше недели, но я не против. 1. Пожалуйста, приведите пример из нескольких пакетов для свежего обновления epm и Сизифе. 2. Пожалуйста, сформулируйте свои предложения по совершенствованию epm. Чем Вы моглибы бы помочь? Извините, но я выхожу из обсуждения до получения ответов на 1 и 2. (Ответ для AEN на комментарий #8) > Чем Вы моглибы бы помочь? Могу помочь удалить вредоносный софт из репозитория. ;-) Извините, но я выхожу из обсуждения, т.к. разговор односторонний. Ok. Давайте вернемся к предложению Антона. Виталий, ждём Вас. (Ответ для Sergey V Turchin на комментарий #1) > А что, если генерировать flatpak-пакеты, а не rpm? > Так уже какая-никакая изоляция будет. Мне нравится. (Ответ для manowar@altlinux.org на комментарий #11) > (Ответ для Sergey V Turchin на комментарий #1) > > А что, если генерировать flatpak-пакеты, а не rpm? > > Так уже какая-никакая изоляция будет. > > Мне нравится. Мне это тоже нравится. Но. 1. Надо изучить и внедрить технологию 2. Надо генерировать flatpak-пакет на лету, не сохраняя их в хранилище, так как именно такой способ, используемый epm, позволяет реализовать возможный лицензионный запрет на редистрибьюцию. В связи с этим возникает вопрос о помощи Виталию в развитии важного, на мой взгляд, проекта. По генерации flatpak задача уже есть: https://bugzilla.altlinux.org/45924 Создание контрольных сумм для проверенных приложений уже реализовано. Остаётся добавить проверку на клиентской стороне. По поводу обновления chrome. При выполнении epm play --update обновляются установленные приложения до проверенных с данной версией epm версий. Если выполнить epm play chrome то будет установлена самая последняя версия. Тут вопрос только в том, что вышла заминка с регулярностью обновлений epm. (Ответ для Sergey V Turchin на комментарий #5) ... > С остальным всем play то же самое. Версии, до которых надо обновлять, > указаны вручную и не обновляются. > Вот для того пакета, который в p10 > https://eepm.ru/releases/3.57.6/app-versions/ Желательно не хотеть противоположного. Либо мы разрешаем устанавливать только проверенные версии, либо разрешаем устанавливать самые распоследние версии. Версии, до которых надо обновлять, не «указаны вручную», а зафиксированы для проверенных версий приложений. Чтобы не было неожиданных проблем у пользователей. Так что изначальная гипотеза, что epm play устанавливает в систему «без дополнительных проверок» не совсем состоятельна. > Версия забита в файле по ссылке, который программа качает и смотрит. Что в этом страшного? После реализации проверки контрольных сумм посмотрим на лицензионные ограничения и будем двигаться в сторону репозитория со сконвертированными бинарниками, а также же в сторону репозитория для flatpak. Виталий, спасибо. Ждем новостей. (Ответ для Vitaly Lipatov на комментарий #13) > Желательно не хотеть противоположного. Либо мы разрешаем устанавливать > только проверенные версии, либо разрешаем устанавливать самые распоследние > версии. Да деле получается, то либо мы _устанавливаем_ нетестированную последнюю версию, _либо_ _обновляем_ на древнюю когда-то протестированную. > Версии, до которых надо обновлять, не «указаны вручную», а зафиксированы для > проверенных версий приложений. Чтобы не было неожиданных проблем у > пользователей. > Так что изначальная гипотеза, что epm play устанавливает в систему «без > дополнительных проверок» не совсем состоятельна. Я вижу лишь подтверждение, что epm play устанавливает в систему без каких-либо проверок вообще. Что вы там тестировали в своей личной песочнице не имеет отношения, т.к. вы не проверяли _абсолютно_ _недоверенный_ процесс установки у пользователя. (Ответ для Vitaly Lipatov на комментарий #13) > После реализации проверки контрольных сумм Вангую, что в реальности это будет означать, что epm play _почти_ никогда не будет проверять эти самые контрольные суммы. |
