Ualinux-repo? Spyware!

[Roman Vacho]

Bylo zjištěno, že některé programy(např. Chromium) obsahují spyware.
Toto nebudeme tolerovat ani podporovat i kdyby dalších tisíc aplikací, v repu obsažených, bylo v pořádku.

http://ualinux.com/ualinux-repo
Kolega "beer" postl tvořič zdrojů pro distribuce.
Našel jsme tam jeden asi ruský repozitář, kde jsou docela fajné hry(ty co byly v Playdeb i více, Tremulous pro 12.10, Elite, 3D "Stunts"-nefunguje mi,a další) a nějaké aplikace(LO, Clementine, Avidemux, Teamspeak, Teamviewer 7,...).

Přidání pomocí balíčku jim funguje dobře. To druhé nikoliv.

Nevím nakolik je důvěryhodný a zda nebortí systémy. Na vlastní nebezpečí.

BTW: Je možné, že někdo bude pokračovatelem Playdeb&Getdeb repozitáře. Je totiž zálohovaný na Githubu a zbytek někde v Německu i se skriptama atd. Stačí si nachystat server a klonovat.

[Rover623]

Systém to nebortí, ale z 12.04 mi to provedlo takové polovičaté povýšení na 12.10, takže se ten systém začal chovat trochu divně

[Roman Vacho]

Systém to nebortí, ale z 12.04 mi to provedlo takové polovičaté povýšení na 12.10, takže se ten systém začal chovat trochu divně

Díky za echo.

U mě dobrý(12.10), ale lekl jsem se, co všechno se má aktualizovat. :-) Bylo to i pár systémových knihoven. Ale určitě je to nutné pro nějakou aplikaci.

[Roman Vacho]

http://askubuntu.com/questions/35629/are-ppas-safe-to-add-to-my-system-and-what-are-some-red-flags-to-watch-out
V zásadě platí, že je základ důvěry zveřejňovat i zdrojový kód(druhé repo). Z toho můžeme porovnat tzv "zdrojový" balíček oproti "zdrojovému" balíčku ve vlastním repu(*.dsc).
Více o problematice externích PPA v odkaze.

[Roman Vacho]

Mimochodem teprve teď mi dochází, proč mi repozitář nešel přidat normálně, ale jen přes jejich balík.

[Tadeáš Pařík]

Může někdo ten prvopočáteční balík analyzovat?

Btw, už jen ta jazyková mutace těch stránek - AJ, Rus, UA 

[Roman Vacho]

Může někdo ten prvopočáteční balík analyzovat?

Btw, už jen ta jazyková mutace těch stránek - AJ, Rus, UA 

Já teď píšu majiteli generátoru, ať to repo stáhne z jejich seznamu.

[Tadeáš Pařík]

Díky, dej vědět, jak dopadneš, případně když se ti podaří mrknout na ten balík. Já jsem teď v práci, takže se na to bohužel nepodívám.

[Rover623]

Balík Chromia obsahuje přibalený soubor policy kit, který napevno (tedy nezměnitelně z rozhraní programu) nastavuje domovskou stránku a výchozí vyhledávač. Upozorňuji, že podle stránek Chromia je taková věc legální a administrátor může kdykoli pomocí souboru konfigurace uživateli zablokovat změnu domovské stránky a výchozího vyhledávače (v omniboxu), mimochodem něco podobného dělá ICQ na Windows. Ovšem je fakt, že přidávat takovou věc přímo do balíku jako jakousi reklamu, není zrovna košér.

[Tadeáš Pařík]

Mám tu zkušenost, že jak je nějaký SW všeobecně z východu, tak jsem dvakrát obezřetnější, tady se to opět potvrdilo...

[Rover623]

Samozřejmě jsem provedl monitorování co Chromium posílá pryč a co sleduje, tam je to standardní, nic navíc se neloguje ani neposílá, ale i tak toho odchází celkem hodně (do Googlu). Asi to bude příbuzností s Chrome

[Roman Vacho]

Samozřejmě jsem provedl monitorování co Chromium posílá pryč a co sleduje, tam je to standardní, nic navíc se neloguje ani neposílá, ale i tak toho odchází celkem hodně (do Googlu). Asi to bude příbuzností s Chrome

Měl jsem za to, že právě tohle Chromium nedostalo do vínku. Ach jo.

[Rover623]

Od verze 20 kdy se ty větvě sjednotily do jedné s Chrome, už to Chromium dělá také. Jediné co v Chromiu stále chybí jsou nesvobodné zabudované doplňky, tedy flash a Adobe reader.

Jinak to přidání repozitáře ručně nejde jednoduše proto, že v tom SRC repozitáři chybí soubor změn a samozřejmě, pokud tam ten soubor není tak apt-get řve, že nemůže přečíst seznam. Musí se vypnout zdrojový repozitář a pak by to mělo jít. Ale obecně nedoporučuji přidávat si to do systému jako náhradu za GetDeb a PlayDeb (hry a aplikace tu nejsou oddělené, takže to nelze izolovat). Nadělá to totiž v systému docela paseku, cpe to totiž vždy ty nejnovější verze programů. Autoři zřejmě testují stabilitu, ale nikoli dopad na systém a tam bych se trochu bál, protože třeba to Chromium to instaluje ve verzi 24 a něco a to je podle road mapy DEV vydání, stejně tak wine-gecko1.8 není stabilní a nebude asi ani v U13.04.

Navíc do starších systémů backportují věci z těch novějších (ty které jdou), což může mít třeba u notebooků významný dopad na výdrž na baterii.

[Kubino]

Samozřejmě jsem provedl monitorování co Chromium posílá pryč a co sleduje, tam je to standardní, nic navíc se neloguje ani neposílá, ale i tak toho odchází celkem hodně (do Googlu). Asi to bude příbuzností s Chrome

jak se dá zjistit co Chromium/Chrome posílá pryč a co sleduje?

[Rover623]

Stačí zapnout logování internetové komunikace

EDIT: Ještě jsem ten repozitář prošel a většina programů (nikoli her) je buď importována z nejnovějšího vydání Ubuntu (tedy z U13.04) nebo z tohoto repozitáře

Kód: [Vybrat]

ppa:nilarimogard/webupd8

[Roman Vacho]

Díky za hlubší průzkum situace.

[Rover623]

Zkusil jsem se spojit se správcem toho repozitáře a zjištění jsou docela zajímavá. Jedná se o komerční repozitář k placené distribuci (překopané Ubuntu). Firma která to distro prodává (server i desktop) do něj backportuje všechny důležité opravy a kvůli zaměření na desktop i velkou spoustu her.

Teď ta negativa, ty opravy mohou v klasickém Ubuntu občas něco rozbít (notifikace hlavně), repozitář nevede soubor změň, celé to funguje na principu kdy apt-get automaticky preferuje nejnovější verzi balíku, takže to vlastně funguje tak, že apt-get porovná co je nainstalováno a co repozitář obsahuje a nainstaluje to novější. Pro logování změň a jejich případné vrácení je nutné použít aptitude.

Nakonec se tím vysvětluje i to Chromium (v UA Linuxu je jako výchozí prohlížeč). Tenhle repozitář není spyware, ale pro začátečníky ho nelze doporučit (je to zrcadlo placeného), protože vám může sem tam něco rozbít.

[Martin Šácha]

Pokud je to opravdu jak říkáš, tak by to chtělo "oficiální" vyjádření komunity na uklidnění vášní, které jsem bohužel i já rozohnil, protože se obávám že už se naše podezření šíří internetem.

Každopádně ti děkujem, K++