MWC 2016/ Huawei si dà ai PC

ma come???
Non era sicuro?ah no scusate, è sicuro .Infatti bastava che chi ha scaricato verificasse l'MD5* ... no, ops... rileggesse tutto il codice sorgente e ricompilasse (rotfl)(rotfl)(rotfl)*enno'... era tutto in HTTP, quindi il sito compromesso poteva mostrarti l'MD5 dell'ISO compromessa (rotfl)(rotfl)(rotfl)

Re: ma come???
- Scritto da: omino ma come> Non era sicuro?> ah no scusate, è sicuro .> Infatti bastava che chi ha scaricato> verificasse l'MD5* ... no, ops...> rileggesse tutto il codice sorgente e> ricompilasse> (rotfl)(rotfl)(rotfl)Ma certo è una ottima alternativa!vediamo:1) scarico da un sito http distante e sovraccarico.2) "controllo a vista" e ricompilo!3) non ci penso neppure a scaricare da un sito FTP (in mirror) vicino mica sono scemo!(rotfl)(rotfl)(rotfl)Certo che il mondo è degli "spertoni furby 123!"(rotfl)(rotfl)(rotfl)

Re: ma come???
- Scritto da: ominio trepuntini 123> 3) non ci penso neppure a scaricare da un sito> FTP (in mirror) vicino mica sono> scemo!tutte le distro linux sono distribuite anche da siti FTP in mirror: perché non vai a spiegar loro che non si fa? (rotfl)(rotfl)(rotfl)

Re: ma come???
- Scritto da: omino ma come> - Scritto da: ominio trepuntini 123> > > 3) non ci penso neppure a scaricare da un> sito> > FTP (in mirror) vicino mica sono> > scemo!> > tutte le distro linux sono distribuite anche da> siti FTP in mirror: perché non vai a spiegar loro> che non si fa?> (rotfl)(rotfl)(rotfl)E perchè non si fa?Vedo che hai capito proprio tutto!(rotfl)(rotfl)

Re: ma come???
- Scritto da: omino ma come> tutte le distro linux sono distribuite anche da> siti FTP in mirror: perché non vai a spiegar loro> che non si fa?> (rotfl)(rotfl)(rotfl)Guarda che io ho detto esattamente il contrario.Non solo si fa ma si scarica proprio da li (dal mirror) dato che è meglio, è più veloce e è più sicuro.

Re: ma come???
- Scritto da: omino ma come> Non era sicuro?chi? faccio notare che min non rappresenta l'intero ecosistema linuxeh si, hanno dimostrato di non avere competenze in materia di sicurezza, cosa non tanto difficile da immaginare per una distribuzione amatoriale come mint

Re: ma come???
- Scritto da: collione> eh si, hanno dimostrato di non avere competenze> in materia di sicurezza, cosa non tanto difficile> da immaginare per una distribuzione amatoriale> come> mintè la distro più diffusa al mondo stando ai signori di distrowatch.quindi quali consiglieresti tu?

Re: ma come???
- Scritto da: omino ma come> - Scritto da: collione> > > eh si, hanno dimostrato di non avere> competenze> > in materia di sicurezza, cosa non tanto> difficile> > da immaginare per una distribuzione> amatoriale> > come> > mint> > è la distro più diffusa al mondo stando ai> signori di> distrowatch.distrowatch è la più scaricata, secondo i signori di distrowatch, non la più diffusa> quindi quali consiglieresti tu?debian stable

Re: ma come???
per la serie: più si diffonde più fa c......

Re: ma come???
- Scritto da: omino ma come> è la distro più diffusa al mondo stando aipure windows è il più diffuso OS desktop, ma è anche il più colabrodo> quindi quali consiglieresti tu?quella che ho usato negli ultimi 5 anni e cioè Archlinux o alternativamente Gentoo

Re: ma come???
> eh si, hanno dimostrato di non avere competenze> in materia di sicurezza, cosa non tanto difficile> da immaginare per una distribuzione amatoriale> come> mintCome tutte quindi... Redhat se l'erano gia trapanata per bene qualche anno fa, debian è rimasta bucata per anni perché un manutentore ha rimosso una riga di codice.

Re: ma come???
Linux è sempre stato un gioco per i bambini nati male, la gente normale usa unix, il fratellastro pistolato!!! ;)

Re: ma come???
- Scritto da: nome e cognome> > eh si, hanno dimostrato di non avere> competenze> > in materia di sicurezza, cosa non tanto> difficile> > da immaginare per una distribuzione> amatoriale> > come> > mint> > Come tutte quindi... Redhat se l'erano gia> trapanata per bene qualche anno fa, debian è> rimasta bucata per anni perché un manutentore ha> rimosso una riga di> codice.Vuoi fare a gara a chi è stato più trapanato? Sul serio?

Re: ma come???
- Scritto da: nome e cognome> Come tutte quindi... Redhat se l'erano gia> trapanata per bene qualche anno fa, debian è> rimasta bucata per anni perché un manutentore ha> rimosso una riga di> codice.raccontale giuste le coseRedhat subì un attacco decisamente sofisticato, di quelli a cui nemmeno il Pentagono è riuscito a resisteree Debian non è stata trapanata, bensì il generatore di chiavi di openssl era stato indebolito dolosamente o menoalla tua amata Microsoft non sono mai capitate queste cose?

Re: ma come???
- Scritto da: omino ma come> Non era sicuro?> ah no scusate, <b> è sicuro </b> .> Infatti bastava che chi ha scaricato> <s> verificasse l'MD5* </s> Le firme, queste sconosciute...

figuraccia!
figuraccia linara!e questi sono gli esperti che hanno fatto la distribuzione linux e gli amministratori di sistema linari ahi ahi ahi (rotfl)

Re: figuraccia!
[yt]kMLO5Bq6dpM[/yt]

Re: figuraccia!
Perchè figuraccia? La loro colpa è aver fatto un sito insicuro, tuttavia sono stati bravi a scoprire subito

Re: figuraccia!
Come costruire case senza finestre per poi vivere come cecchini?Questo è puro stressor style.

Re: figuraccia!
- Scritto da: niw10> figuraccia linara!> e questi sono gli esperti che hanno fatto la> distribuzione linux e gli amministratori di> sistema linari ahi ahi ahi> (rotfl)Tu sicuramente sei il tipico winzzoziano che dice internet è quel programma con l'icona con la e. E deridi qualcosa di cui ignori tutto!

non conosciamo le motivazioni alla base
"non conosciamo le motivazioni alla base dell'attacco - ha riferito - ma se ne venissero commessi altri con l'obiettivo di danneggiare il nostro progetto ci rivolgeremo alle autorità".ma che frase del XXXXX e'? le motivazioni sono ovviamente incularsi i dati degli utenti (password, carte di credito ecc).certo che come scuse hanno un sacco da imparere da apple e microsoft, razza di dilettanti!!!!

Re: non conosciamo le motivazioni alla base
- Scritto da: ...> "non conosciamo le motivazioni alla base> dell'attacco - ha riferito - ma se ne venissero> commessi altri con l'obiettivo di danneggiare il> nostro progetto ci rivolgeremo alle> autorità".> > ma che frase del XXXXX e'? le motivazioni sono> ovviamente incularsi i dati degli utenti> (password, carte di credito> ecc).Fortuna che ci sei tu ad avvisarci!

Re: non conosciamo le motivazioni alla base
- Scritto da: ominio trepuntini 123> Fortuna che ci sei tu ad avvisarci!"non conosciamo le motivazioni alla base dell'attacco" l'han detto i tizi di Mint, ci vorrebbe PROPRIO qualcuno che li avvisi che hanno dormito in una grotta negli ultimi 10/15 anni

A pensarci bene, però...
... se dovevano tirare su una botnet con un linux crackato, <b> forse </b> , e dico <b> forse </b> , non sono propriamente furboni quelli che se la tirano con "ah, ma tanto io windows mica lo pago. Ho la mia bella iso col crack o il loader"

Re: A pensarci bene, però...
[yt]kMLO5Bq6dpM[/yt]

salvatemi!!!!
aaaaaaaaaaaaaah aaaaaaaaaaaaaaaaaaaaaaah sono stato infettato! sono stato infettato!!! Dite alle vostre fidanzate/mogli che le ho sempre amate!

Ma non era sicuro?
Ma le distribuzioni Linux non erano sicure? :(Ma non s'era detto che visto che erano open source le backdoor pure i bimbiminkia scoprivano le backdoor? :DE quindi ne consegue che questi erano peggio dei bimbiminkia? :@

Re: Ma non era sicuro?
- Scritto da: Io do Pal ai miei ani> Ma le distribuzioni Linux non erano sicure? :(> > Ma non s'era detto che visto che erano open> source le backdoor pure i bimbiminkia scoprivano> le backdoor? > :D> > E quindi ne consegue che questi erano peggio dei> bimbiminkia? > :@per riuscire a trollare decentemente dovresti almeno essere normodotato, quando ti crescerà il pollice opponibile riprovaci

Re: Ma non era sicuro?
eh no ha ragione.Spaventoso quello che e' sucXXXXX- Scritto da: sorso> - Scritto da: Io do Pal ai miei ani> > Ma le distribuzioni Linux non erano sicure? :(> > > > Ma non s'era detto che visto che erano open> > source le backdoor pure i bimbiminkia scoprivano> > le backdoor? > > :D> > > > E quindi ne consegue che questi erano peggio dei> > bimbiminkia? > > :@> > per riuscire a trollare decentemente dovresti> almeno essere normodotato, quando ti crescerà il> pollice opponibile> riprovaci

Re: Ma non era sicuro?
Perin, perin, però i signorotti del min(k)t... tempo fa ebbi un' esperienza pessima con i moderatori del forum, postai la soluzione ad uno dei tanti problemini da forum (puntualmente) irrisolti; soluzione testata e perfettamente funzionante, dopo pochi minuti fui notificato della cancellazione del post allegando come motivazione thread (secondo loro) "troppo vecchio": deluso dall' attegiamento chiesi l' immediata cancellazione del mio account.Dopo una settimana la mia soluzione riapparve, copia carbone, sotto il nome di un altro moderatore. Episodi del genere non fanno una bella impressione né ai novelli linari né ai cantinari consumati. Ma poi, un povero diavolo entra nel loro sito ('na parola, tutto down nel momento in cui scrivo eccetto il blog) alla ricerca di un changelog, uno straccio di security advisories e... dove sono? Esistono?Sia chiaro: niente in contrario da parte mia nei confronti del "prodotto per novizi", ma una paginetta in bella vista su questioni di primaria importanza é il minimo.Tornando alla notizia resta una curiosità: gli utenti mint controllano gli hash dei cd scaricati? 24H istallando ISO bulgare :$ e neanche un battito di ciglia... ad occhio mi sembra di gran lunga il problema più grosso.

Re: Ma non era sicuro?
Volendo verificare i mirror non mancano, ognuno col suo bel file md5/sha256-sum.txt...https://www.reddit.com/r/linuxmint/comments/3v48r5/download_mirrors_for_linux_mint_isos/mah.

Re: Ma non era sicuro?
- Scritto da: cantine bulgare> Volendo verificare i mirror non mancano, ognuno> col suo bel file> md5/sha256-sum.txt...> > https://www.reddit.com/r/linuxmint/comments/3v48r5> > mah.Cioè fammi capire, uno deve verificare su un mirror CHE IL SITO UFFICIALE NON SIA STATO CRACCATO? (rotfl)(rotfl)(rotfl)Ma ti rendi conto? La prima cosa che uno pensa OVVIAMENTE è che il sito ufficiale abbia una versione nuova e i mirror non abbiano ancora aggiornato.

Re: Ma non era sicuro?
- Scritto da: cantine bulgareMa quello di MINT non è un forum è una schifezza immonda.Tralasciando Debian che è di un target differente, anche il forum di Ubuntu è notevole, mentre quello sembra frequentato da gente e moderatori che Linux manco sanno cosa è .Io gli ho scritto perchè alcuni pacchetti nei repository erano stati aggiunti alla tazzo di tane e non andavano proprio, mi aspettavo che mi rispondesse il manutentore di pacchetti, ma poi ho capito che non esiste il manutentore di pacchetti.Infatti quel pacchetto era stato rimosso dalla nuova Debian Stable ma loro l'avevano mantenuto lì senza backport.Inutile dire che dopo 5 mesi e vari aggiornamenti il problema persisteva e nessuno aveva risposto.Ora non so come sia andata, perché uso Jessie e funziona molto meglio, mi tranquillizza il fatto che adesso la mia email e la password (per fortuna inventata sul momento) ce l'abbiano gli acari, almeno servirà a qualcosa.

Re: Ma non era sicuro?
- Scritto da: Io do Pal ai miei ani> Ma le distribuzioni Linux non erano sicure? :(> > Ma non s'era detto che visto che erano open> source le backdoor pure i bimbiminkia scoprivano> le backdoor? > :D> > E quindi ne consegue che questi erano peggio dei> bimbiminkia? > :@ti sei accorto almeno che non hanno bucato linux?

Per un giorno?
Per un giorno, che noi sappiamo.Ma chissà quanti repository (non solo distribuzioni) stanno ospitando malware e schifezze varie!

Re: Per un giorno?
- Scritto da: Uqbar> Ma chissà quanti repository (non solo> distribuzioni) stanno ospitando malware e> schifezze> varie!io mi preoccuperei di più di quelli che scrivono codice open ma sono sotto contratto con gli spioni.In C è molto facile nascondere funzioni.ah no, come non detto, qui c'è la leggenda che per ogni riga di codice scritta ci sono 10 esperti che la scrutinanoE poi c'è sempre la leggenda di quell'altro asino, che la sicurezza non va delegata, quindi prima di installare linux ognuno deve leggersi tutto il codice sorgente (rotfl)(rotfl)(rotfl)

Re: Per un giorno?
- Scritto da: omino ma come> - Scritto da: Uqbar> > > Ma chissà quanti repository (non solo> > distribuzioni) stanno ospitando malware e> > schifezze> > varie!> > io mi preoccuperei di più di quelli che scrivono> codice open ma sono sotto contratto con gli> spioni.> In C è molto facile nascondere funzioni.> > ah no, come non detto, qui c'è la leggenda che> per ogni riga di codice scritta ci sono 10> esperti che la> scrutinano> > E poi c'è sempre la leggenda di quell'altro> asino, che la sicurezza non va delegata, quindi> prima di installare linux ognuno deve leggersi> tutto il codice sorgente> (rotfl)(rotfl)(rotfl)Che non lo sai che io la notte al posto di dormire.... Leggo e rileggo continuamente tutte le righe di codice? :)

Re: Per un giorno?
- Scritto da: SalvatoreGX> - Scritto da: omino ma come> > - Scritto da: Uqbar> > > > > Ma chissà quanti repository (non solo> > > distribuzioni) stanno ospitando malware e> > > schifezze> > > varie!> > > > io mi preoccuperei di più di quelli che scrivono> > codice open ma sono sotto contratto con gli> > spioni.> > In C è molto facile nascondere funzioni.> > > > ah no, come non detto, qui c'è la leggenda che> > per ogni riga di codice scritta ci sono 10> > esperti che la> > scrutinano> > > > E poi c'è sempre la leggenda di quell'altro> > asino, che la sicurezza non va delegata, quindi> > prima di installare linux ognuno deve leggersi> > tutto il codice sorgente> > (rotfl)(rotfl)(rotfl)> > > Che non lo sai che io la notte al posto di> dormire.... Leggo e rileggo continuamente tutte> le righe di codice?> :)Hai provato a scoprire l'universo femminile?Sarebbe ora eh ;)

Re: Per un giorno?
- Scritto da: omino ma come> - Scritto da: Uqbar> > > Ma chissà quanti repository (non solo> > distribuzioni) stanno ospitando malware e> > schifezze> > varie!> > io mi preoccuperei di più di quelli che scrivono> codice open ma sono sotto contratto con gli> spioni.> In C è molto facile nascondere funzioni.> > ah no, come non detto, qui c'è la leggenda che> per ogni riga di codice scritta ci sono 10> esperti che la> scrutinano> > E poi c'è sempre la leggenda di quell'altro> asino, che la sicurezza non va delegata, quindi> prima di installare linux ognuno deve leggersi> tutto il codice sorgente> (rotfl)(rotfl)(rotfl)Applausi

Re: Per un giorno?
- Scritto da: omino ma come> - Scritto da: Uqbar> > > Ma chissà quanti repository (non solo> > distribuzioni) stanno ospitando malware e> > schifezze> > varie!> > io mi preoccuperei di più di quelli che scrivono> codice open ma sono sotto contratto con gli> spioni.> In C è molto facile nascondere funzioni.> > ah no, come non detto, qui c'è la leggenda che> per ogni riga di codice scritta ci sono 10> esperti che la> scrutinano> > E poi c'è sempre la leggenda di quell'altro> asino, che la sicurezza non va delegata, quindi> prima di installare linux ognuno deve leggersi> tutto il codice sorgente> (rotfl)(rotfl)(rotfl)un po come quelli che dicono che osx o windows sono sicuri e senza backdoors, solo che su linux se sei bravo puoi controllare, ma non ci arrivi da solo?

Re: Per un giorno?
- Scritto da: sorso> solo che su linux> se sei bravo puoi controllare, ma non ci arrivi> da> solo?Se delle GRAVISSIME falle vengono chiuse dopo decenni .... direi che quelli "bravi" sono mosche bianche.-----------------------------------------------------------Modificato dall' autore il 23 febbraio 2016 17.03-----------------------------------------------------------

Re: Per un giorno?
- Scritto da: omino ma come> io mi preoccuperei di più di quelli che scrivono> codice open ma sono sotto contratto con gli> spioni.> In C è molto facile nascondere funzioni.> > ah no, come non detto, qui c'è la leggenda che> per ogni riga di codice scritta ci sono 10> esperti che la> scrutinanoe quindi? almeno con l'open la possibilità ce l'hai, col closed paghi, sei spiato e devi pure ringraziare> > E poi c'è sempre la leggenda di quell'altro> asino, che la sicurezza non va delegata, quindi> prima di installare linux ognuno deve leggersi> tutto il codice sorgente> (rotfl)(rotfl)(rotfl)ognuno? no la comunità lo deve fare, una mano per uno e le schifezze si scopronoè un di fatto che Linux sia più sicuro di Windows, OS X e compagnia cantantevatti a leggere i CVE e giudica tu stesso

Re: Per un giorno?
- Scritto da: collione> e quindi? almeno con l'open la possibilità ce> l'haivisto che la distro più diffusa è gestita da gente che usa wordpress e lascia il sito in HTTP (due cose che fanno rabbrividire quando si parla di distribuire un programma e a maggior ragione un OS), io non mi fiderei affatto di ciò che c'è nei loro sorgenti, e non è pensabile, non è fattibile, non è umano controllare tutto.> col closed paghi, sei spiato e devi pure> ringraziaresì ma che c'entra? giochiamo a specchio riflesso come i bambini o si discute di qualcosa in modo costruttivo?> ognuno? no la comunità lo deve fareNo, perché il signore che gira in questo forum riempiendolo ogni giorno di faccine, ha più volte detto che la sicurezza non va delegata.Se tu deleghi il controllo del codice alla comunità, deleghi a loro la tua sicurezza, violando apertamente i dettami di 'mister tre faccine'.Tu dirai, "della comunità mi fido".Io rispondo che ogni persona, anzi ogni gruppo è corruttibile e ricattabile, c'è poco da fidarsi... basta vedere com'è finito truecrypt (e ci è andata bene che hanno preferito chiudere invece di infilare una vera backdoor ed andare avanti come se nulla fosse)> è un di fatto che Linux sia più sicuro di> Windows, OS X e compagnia> cantantesì ma lo specchio riflesso mica ti salva quando i signori spioni infilano un commento nella randomizzazione di una chiave crittografica rendendola debole e la comunità se ne accorge dopo anni.E stai tranquillo che in tutti quegli anni, gli spioni che hanno commissionato quella modifica hanno spiato in lungo e in largo.qui parliamo di enti che hanno più soldi della maggior parte degli stati.Secondo te non riescono ad ottenere le chiavi private per firmare l'Os, gli update e il repository delle app di un gruppo che usa wordpress e HTTP (manco hanno bisogno della chiave del certificato)?qui la situazione,open o non open, è TRAGICA e la gente per mere questioni di campanilismo NON LO VUOLE AMMETTERE

Re: Per un giorno?
- Scritto da: Uqbar> Per un giorno, che noi sappiamo.> Ma chissà quanti repository (non solo> distribuzioni) stanno ospitando malware e> schifezze> varie!Eh qua dovresti chiedere agli esperti di PI.Quelli sopratutto del make dep;make clean;make install compulsivo e che mentre compila si leggono al VOLO tutte le righe di log con faccia ebete e occhi luccicosi.

Re: Per un giorno?
Il problema è la complessità.Troppi progetti, troppe righe di codice, troppa frammentazione fra gli sviluppatori.In pratica un "peer review" del codice è impossibile.Poi ci si mettono di mezzo i repository (anche questi troppi).E' più un atto di fiducia (e l'open source non c'entra una mazda) che altro al giorno d'oggi.

Re: Per un giorno?
- Scritto da: Uqbar> Il problema è la complessità.> Troppi progetti, troppe righe di codice, troppa> frammentazione fra gli> sviluppatori.Già. Sono anni che lo dico qui.> In pratica un "peer review" del codice è> impossibile.Già. Mancano anche le gerarchie.Tutto viene buttato li alla razzo e chi millanta di essere quello forte decide per tutti.Poi viene fuori che è un incompetente totale e/o uno scopiazzatore ma questo è un altro discorso.> Poi ci si mettono di mezzo i repository (anche> questi> troppi).> E' più un atto di fiducia (e l'open source non> c'entra una mazda) che altro al giorno> d'oggi.Già.Io mi chiedo come oggi si possano basare intere infrastrutture con atti di fede.Mah.

Re: Per un giorno?
- Scritto da: maxsix> - Scritto da: Uqbar> > Per un giorno, che noi sappiamo.> > Ma chissà quanti repository (non solo> > distribuzioni) stanno ospitando malware e> > schifezze> > varie!> > Eh qua dovresti chiedere agli esperti di PI.> > Quelli sopratutto del make dep;make clean;make> install compulsivo e che mentre compila si> leggono al VOLO tutte le righe di log con faccia> ebete e occhi> luccicosi.E bravo "occhi luccicosi"....(rotfl)(rotfl)Volendo verificare i mirror non mancano, ognuno col suo bel file md5/sha256-sum.txt...https://www.reddit.com/r/linuxmint/comments/3v48r5.../P.S. Ho sentito dire che per i tetragoni invece che pensano che per il "closed" non ci sia nulla da verificare assieme alle confezioni di collirio danno una salamella di volpe.(rotfl)

Re: Per un giorno?
- Scritto da: giaguareggi ando ma con merdeces> - Scritto da: maxsix> > - Scritto da: Uqbar> > > Per un giorno, che noi sappiamo.> > > Ma chissà quanti repository (non solo> > > distribuzioni) stanno ospitando malware> e> > > schifezze> > > varie!> > > > Eh qua dovresti chiedere agli esperti di PI.> > > > Quelli sopratutto del make dep;make> clean;make> > install compulsivo e che mentre compila si> > leggono al VOLO tutte le righe di log con> faccia> > ebete e occhi> > luccicosi.> E bravo "occhi luccicosi"....> (rotfl)(rotfl)> Volendo verificare i mirror non mancano, ognuno> col suo bel file> md5/sha256-sum.txt...> Ma non l'hai ancora capito che al sottoscritto di quello che è sucXXXXX con firme, chiavi e SHA non gliene po' XXXXXXX di meno?Cose che possono succedere.Non deve invece succedere che i suddetti soloni linari si fanno sforacchiare per bene il repository e non tanto per l'uso a tuo rischio e pericolo ma per il fatto che fanno tanto i saputelli e poi 4 bimbiminkia in croce che spaccano tutto (per ben 2 volte se leggete in giro).Insomma ne uscite con le ossa rotte.Hai presente predicare bene e razzolare male?Ecco.> https://www.reddit.com/r/linuxmint/comments/3v48r5> P.S. > Ho sentito dire che per i tetragoni invece che> pensano che per il "closed" non ci sia nulla da> verificare assieme alle confezioni di collirio> danno una salamella di> volpe.> (rotfl)E cosa centra il closed o l'open?Dimmi figliolo hai dei peccati da confessare?Sono tutto orecchie.

Re: Per un giorno?
- Scritto da: maxsix> Eh qua dovresti chiedere agli esperti di PI.> > Quelli sopratutto del make dep;make clean;make> install compulsivo e che mentre compila si> leggono al VOLO tutte le righe di log con faccia> ebete e occhi> luccicosi.tutte cose che nel mondo FreeBSD sono amplificate :Da proposito, ti ricordo di quando i repo FreeBSD furono trapanati?

Re: Per un giorno?
- Scritto da: maxsix> - Scritto da: Uqbar> > Per un giorno, che noi sappiamo.> > Ma chissà quanti repository (non solo> > distribuzioni) stanno ospitando malware e> > schifezze> > varie!> > Eh qua dovresti chiedere agli esperti di PI.> > Quelli sopratutto del make dep;make clean;make> install compulsivo e che mentre compila si> leggono al VOLO tutte le righe di log con faccia> ebete e occhi> luccicosi.No chiediamolo a te! Il sapientone scioccato.

Re: Per un giorno?
- Scritto da: Uqbar> Per un giorno, che noi sappiamo.> Ma chissà quanti repository (non solo> distribuzioni) stanno ospitando malware e> schifezze> varie!anche fosse chissenefrega, basta verificare hash e firma gpg sugli hash prima di installare.

Re: Per un giorno?
- Scritto da: zsdfasdfaf> - Scritto da: Uqbar> > Per un giorno, che noi sappiamo.> > Ma chissà quanti repository (non solo> > distribuzioni) stanno ospitando malware e> > schifezze> > varie!> > anche fosse chissenefrega, basta verificare hash> e firma gpg sugli hash prima di> installare.Se hanno preso il controllo della repo, allora hanno anche "aggiornato" i checksum!Il checksum serve solo per verificare l'integrità dello scaricamento, non la sua identità/genuinità!!!Ripeto, è tutta una questione di fiducia: di tecnico c'è ben poco da fare.Se ci sono trojan messi ad hoc da uno sviluppatore o, come è sucXXXXX, viene perso il controllo di una repo, allora stai fresco!

Re: Per un giorno?
- Scritto da: Uqbar> > Se hanno preso il controllo della repo, allora> hanno anche "aggiornato" i> checksum!> Il checksum serve solo per verificare l'integrità> dello scaricamento, non la sua> identità/genuinità!!!Si vede che sei uno che se ne intende, tu. Spiegheresti in parole semplici a un neofita come me, come fai a falsificare una firma GPG senza avere la chiave privata? :D> Ripeto, è tutta una questione di fiducia: di> tecnico c'è ben poco da fare.> Se ci sono trojan messi ad hoc da uno> sviluppatore o, come è sucXXXXX, viene perso il> controllo di una repo, allora stai fresco!

Re: Per un giorno?
la smettiamo di dire fesserie?https://ftp.heanet.ie/mirrors/linuxmint.com/stable/17.3/sha256sum.txt.gpg- Scritto da: Uqbar> - Scritto da: zsdfasdfaf> > - Scritto da: Uqbar> > > Per un giorno, che noi sappiamo.> > > Ma chissà quanti repository (non solo> > > distribuzioni) stanno ospitando malware> e> > > schifezze> > > varie!> > > > anche fosse chissenefrega, basta verificare> hash> > e firma gpg sugli hash prima di> > installare.> > Se hanno preso il controllo della repo, allora> hanno anche "aggiornato" i> checksum!> Il checksum serve solo per verificare l'integrità> dello scaricamento, non la sua> identità/genuinità!!!> Ripeto, è tutta una questione di fiducia: di> tecnico c'è ben poco da> fare.> Se ci sono trojan messi ad hoc da uno> sviluppatore o, come è sucXXXXX, viene perso il> controllo di una repo, allora stai> fresco!

Re: Per un giorno?
eh si certo, e la firma digitale la teniamo per bellezzabisogna pure rubare le chiavi private dei maintainer dei pacchetti, altrimenti t'attacchi

Re: Per un giorno?
- Scritto da: Uqbar> Per un giorno, che noi sappiamo.> Ma chissà quanti repository (non solo> distribuzioni) stanno ospitando malware e> schifezze> varie!Nessuno, fino a prova contraria.

sarebbe bastato
Verificare gli hash e le firme gpg sugli hash, lo sa fare anche mia nonna

Re: sarebbe bastato
- Scritto da: zsdfasdfaf> Verificare gli hash e le firme gpg sugli hash, lo> sa fare anche mia> nonnaHo chiesto alla mia.Quando gli ho detto hash a messo su l'acqua per la polenta e mi ha chiesto, "va bene così?"

Re: sarebbe bastato
- Scritto da: maxsix> - Scritto da: zsdfasdfaf> > Verificare gli hash e le firme gpg sugli> hash,> lo> > sa fare anche mia> > nonna> > Ho chiesto alla mia.> Quando gli ho detto hash a messo su l'acqua per> la polenta e mi ha chiesto, "va bene> così?"magari la tua ha altri talenti (se poi ha la dentiera e se la toglie, ancora meglio).

Re: sarebbe bastato
- Scritto da: zsdfasdfaf> - Scritto da: maxsix> > - Scritto da: zsdfasdfaf> > > Verificare gli hash e le firme gpg sugli> > hash,> > lo> > > sa fare anche mia> > > nonna> > > > Ho chiesto alla mia.> > Quando gli ho detto hash a messo su l'acqua> per> > la polenta e mi ha chiesto, "va bene> > così?"> > magari la tua ha altri talenti (se poi ha la> dentiera e se la toglie, ancora> meglio).Uuuuu punto sul vivo si?Ma dimmi non provi un po' di vergogna a scrivere certe cose?

Re: sarebbe bastato
- Scritto da: zsdfasdfaf> Verificare gli hash e le firme gpg sugli hash, lo> sa fare anche mia> nonnama evidentemente non so lo sanno fare gli utenti linux (rotfl)(rotfl)(rotfl)

Re: sarebbe bastato
- Scritto da: ....> - Scritto da: zsdfasdfaf> > Verificare gli hash e le firme gpg sugli> hash,> lo> > sa fare anche mia> > nonna> > ma evidentemente non so lo sanno fare gli utenti> linux> (rotfl)(rotfl)(rotfl)si, evidentemente molti non lo sanno fare, problemi loro.

Re: sarebbe bastato
Mint non ha chiave GPG e gli acari hanno anche modificato l'hash MD5 sul sito di mint. Letto l annuncio?

Re: sarebbe bastato
- Scritto da: Il tecnocrate> Mint non ha chiave GPG e gli acari hanno anche> modificato l'hash MD5 sul sito di mint. Letto l> annuncio?lui no, io sì (rotfl)(rotfl)(rotfl)

Re: sarebbe bastato
- Scritto da: sua nonna> - Scritto da: Il tecnocrate> > Mint non ha chiave GPG e gli acari hanno> anche> > modificato l'hash MD5 sul sito di mint.> Letto> l> > annuncio?> > lui no, io sì (rotfl)(rotfl)(rotfl)Anche sui mirror ftp? ;)

Re: sarebbe bastato
- Scritto da: Il tecnocrate> Mint non ha chiave GPG e gli acari hanno anche> modificato l'hash MD5 sul sito di mint. Letto l> annuncio?questa che è?https://ftp.heanet.ie/mirrors/linuxmint.com/stable/17.3/sha256sum.txt.gpg

Re: Ma non era sicuro?
- Scritto da: ...> Ah certo, adesso la scusa del "sovraccarico"!> AHAHAHAHAHAHAH!!!! Ma sparisci,> XXXXX.Egggià i mirror li mettono su tanto per passare il tempo!è ovvio che è molto più economico mantenere un unico server con molta potenza e molta banda invece che tanti e gratis!(rotfl)(rotfl)(rotfl)Chiedi se ti prendono come "project manager" uno furbo come te mica se lo fanno scappare!(rotfl)(rotfl)(rotfl)

Re: Ma non era sicuro?
- Scritto da: ominio trepuntini 123> - Scritto da: ...> > > Ah certo, adesso la scusa del "sovraccarico"!> > AHAHAHAHAHAHAH!!!! Ma sparisci,> > XXXXX.> Egggià i mirror li mettono su tanto per passare> il> tempo!> è ovvio che è molto più economico mantenere un> unico server con molta potenza e molta banda> invece che tanti e> gratis!> (rotfl)(rotfl)(rotfl)> Chiedi se ti prendono come "project manager" uno> furbo come te mica se lo fanno> scappare!> (rotfl)(rotfl)(rotfl)Manco ti rendi conto delle arrampicate sugli specchi che stai facendo. Dici che l'utente poteva evitare facilmente la versione infettata perché il sito principale infettato ERA TROPPO LENTO!!! AHAHAHAHAH!!! (rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)Ma ti rendi conto? (rotfl)(rotfl)(rotfl)(rotfl)

Re: Ma non era sicuro?
- Scritto da: ...> - Scritto da: ominio trepuntini 123> > - Scritto da: ...> > > > > Ah certo, adesso la scusa del> "sovraccarico"!> > > AHAHAHAHAHAHAH!!!! Ma sparisci,> > > XXXXX.> > Egggià i mirror li mettono su tanto per passare> > il> > tempo!> > è ovvio che è molto più economico mantenere un> > unico server con molta potenza e molta banda> > invece che tanti e> > gratis!> > (rotfl)(rotfl)(rotfl)> > Chiedi se ti prendono come "project manager" uno> > furbo come te mica se lo fanno> > scappare!> > (rotfl)(rotfl)(rotfl)> > Manco ti rendi conto delle arrampicate sugli> specchi che stai facendo. Dici che l'utente> poteva evitare facilmente la versione infettata> perché il sito principale infettato ERA TROPPO> LENTO!!!non un solo accenno alla "lentezza", ti stai a 'fa un viaggio in solitaria.> AHAHAHAHAH!!!> (rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)> > Ma ti rendi conto? (rotfl)(rotfl)(rotfl)(rotfl)Mi rendo conto che é da sempre considerata buona norma, per altro molto gradita e spesso consigliata dai gestori delle distribuzioni, usare un mirror per non sovraccaricare i server ufficiali.il problema é che ve fidate, sin da bambini vi hanno tirato su a pane nutella e fiducella.

intelligenti
quancuno dei diversamente normodotati che ha scritto sotto si è accorto che non hanno bucato linux?

il trio bulgaro....
La maggior parte non ha ancora capito la differena fra mirror e repository, ecco spiegato il perché della mancata verifica degli hash... basta leggere i commentoni qui su PI.Gente che si spaccia per programmatrote (LoL), mega sistemisti, markettari d' assalto. Tutti dentro al calderone della tabula rasa.

polo
il buco con la menta intorno (rotfl)(rotfl)(rotfl)

La differenza
La differenza tra linux e i sistemi closed è che su linux anche uno sviluppatore terzo può scovare questi problemi, su windows e osx no.Non discuto di quanto sia efficace la review di terzi, dico solo che sul mondo linux c'è, sugli altri no.Buona backdoor a tutti.

Re: a te che sei distratto
Infatti! Repo (store) trapanati? = ultima porta a destra, quella con su scritto Cupertino... i numeri uno.

http://www.impresaitalia.info/45/1/impre
Impresaitalia è il principale media economico aziendale rivolto al settore delle delle aziende italiane e contribuisce allo sviluppo nazionale attraverso la promozione delle imprese e fornisce informazioni sulle imprese di costruzione ad Arezzo.