क्या कोई गारंटी है कि लॉन्चपैड पीपीए से सॉफ्टवेयर वायरस और पिछले दरवाजे के खतरों से मुक्त है?


48

चूंकि लिनक्स का विकास और विकास जारी है, और जितना अधिक हम लिनक्स का उपयोग करते हैं, वायरस से उतना अधिक खतरा होता है।

हम यह भी जानते हैं कि लिनक्स में वायरस / खतरा (यदि कोई हो) सामान्य उपयोगकर्ता के रूप में चलने पर उसे चलाने या फैलाने में कठिनाई होती है, लेकिन वायरस / खतरा रूट उपयोगकर्ता के रूप में चल रहा है तो यह एक अलग कहानी है।

इस खतरे का एक उदाहरण यह होगा कि यदि कोई वायरस पीपीए (जानबूझकर या अनजाने में) के अंदर टक गया है या यदि किसी एप्लिकेशन में जानबूझकर लगाए गए पिछले दरवाजे हैं (उदाहरण के लिए, पिजिन चुपके से किसी विशेष पते पर पासवर्ड भेज सकता है)।

अगर हम एक लॉन्चपैड पीपीए से सॉफ्टवेयर जोड़ते हैं, तो क्या कोई गारंटी है कि सॉफ्टवेयर मुफ्त वायरस / बैकडोर खतरों से है?

जवाबों:


38

हर पैकेज की इंस्टॉल स्क्रिप्ट में आपके सिस्टम का रूट एक्सेस होता है, इसलिए PPA को जोड़ने या एक से एक पैकेज स्थापित करने का कार्य केवल PPA के मालिक के आपके हिस्से पर विश्वास का एक निहित विवरण है।

तो, क्या होता है यदि आपका विश्वास गलत है और एक पीपीए मालिक शरारती होना चाहता है?

पीपीए में अपलोड करने के लिए, लॉन्चपैड उपयोगकर्ता के लिए एक GPG कुंजी द्वारा अद्वितीय रूप से एक पैकेज पर हस्ताक्षर किए जाने चाहिए (वास्तव में, उसी कुंजी के साथ उन्होंने आचार संहिता पर हस्ताक्षर किए हैं)। तो एक ज्ञात दुर्भावनापूर्ण पीपीए के मामले में हम बस खाते पर प्रतिबंध लगा देंगे और पीपीए को बंद कर देंगे (प्रभावित सिस्टम से अभी भी समझौता किया जाएगा, लेकिन फिर भी उस बिंदु पर उन्हें ठीक करने का कोई अच्छा तरीका नहीं है)।

कुछ हद तक लॉन्चपैड की सामाजिक विशेषताओं का उपयोग बुरे उपयोगकर्ताओं के निवारक उपाय के रूप में किया जा सकता है - किसी के पास उबंटू में योगदान करने का इतिहास है और कुछ स्थापित लॉन्चपैड कर्म, उदाहरण के लिए, एक जाल पीपीए स्थापित करने की संभावना कम है।

या अगर कोई ऐसे PPA का नियंत्रण हासिल कर लेता है जो उनका नहीं है?

खैर, यह एक खतरे के परिदृश्य से थोड़ा मुश्किल है, लेकिन यह भी कम संभावना है क्योंकि इसमें एक हमलावर को लॉन्चपैड उपयोगकर्ताओं की निजी कुंजी फ़ाइल (आमतौर पर केवल उनके कंप्यूटर पर) और साथ ही इसके लिए अनलॉक कोड (आमतौर पर एक मजबूत पासवर्ड नहीं) दोनों प्राप्त करने की आवश्यकता होती है किसी और चीज के लिए इस्तेमाल किया जाता है)। यदि ऐसा होता है, हालांकि, यह आमतौर पर किसी के लिए यह पता लगाने के लिए काफी सरल है कि उनके खाते से छेड़छाड़ की गई है (लॉन्चपैड उदाहरण के लिए उन्हें उन पैकेजों के बारे में ईमेल करेगा जो वे अपलोड नहीं कर रहे हैं), और सफाई प्रक्रिया समान होगी।

तो, संक्षेप में, PPAs दुर्भावनापूर्ण सॉफ़्टवेयर के लिए एक संभावित वेक्टर हैं, लेकिन आपके बाद आने वाले हमलावरों के लिए संभवतः बहुत आसान तरीके हैं।


6
मैं व्यक्तिगत रूप से "एक व्यक्ति / टीम एक देवता हूं?" राज करते हैं। यही है, वे या तो मूल अपस्ट्रीम लेखक हैं या उबंटू डेवलपर? यदि उन दोनों का उत्तर "नहीं" है, तो मैं इसे बहुत भरोसा नहीं देता जब तक कि मैं उस व्यक्ति को नहीं जानता (उदाहरण के लिए, अगर मैं उन्हें देव बनने की ओर इशारा कर रहा था)।
मैको

8

पीपीए के लिए ट्रस्ट रेटिंग्स के (शायद वितरित) तंत्र की स्थापना कुछ समय के लिए यूएससी रोडमैप पर की गई है , लेकिन इसे अभी तक लागू नहीं किया गया है।


4
"यूएससी" "उबंटू सॉफ्टवेयर सेंटर" है अगर कोई और इस बात से अनजान है (यह मानते हुए कि आप स्वयं लिंक का पालन नहीं करते हैं)।
बेलाक्वा

6

कोई गारंटी नहीं है लेकिन एक समुदाय समर्थित वातावरण में, हम "विश्वास" पर पनपे हैं। मैंने अपने स्रोतों में कम से कम 20 पीपीए जोड़े हैं और अब तक कभी किसी समस्या का अनुभव नहीं किया है। यदि, किसी भी संयोग से और जैसा कि आपने उल्लेख किया है, एक खतरे / वायरस / पिछले दरवाजे को पीपीए द्वारा मेरे सिस्टम पर लगाया जाता है, तो मुझे इसके बारे में किसी तरह पता चलेगा, समुदाय के सौजन्य से और बस इसे हटा दें। और बीटीडब्ल्यू, पीपीए जोड़ने से पहले, मैं हमेशा जांचता हूं कि इसमें कौन से पैकेज सूचीबद्ध हैं।

पुनश्च : Pidgin कभी भी सर्वरों को उपयोगकर्ता नाम और पासवर्ड नहीं भेजता (और कभी भी तीसरे पक्ष को नहीं!) "गुप्त रूप से"। सब कुछ उपयोगकर्ता की सहमति से किया जाता है। सीमलेस तरीके से आपको जोड़े रखने के लिए, पिजिन आपको सर्वर पर लॉगिन क्रेडेंशियल्स भेजने के लिए हर बार पिंग नहीं कर सकता है। यह उम्मीद है कि आपने इसे ऐसा करने के लिए अधिकृत किया है, एक बार जब आप इसे विवरण प्रदान कर देते हैं। मैं बल्कि पिजिन को "बैकडोर" कहने से पहले दो बार सोचूंगा। :)


1
हालांकि, पिजिन सादे पाठ में पासवर्ड सहेजता है।
गोडेल

1
यहां तक ​​कि google-chrome ने क्लीयरटेक्स्ट पासवर्ड सेव किए जो कि SQL क्वेरी द्वारा तुच्छ रूप से एक्सपोज़ेबल थे (जैसा कि जेमी स्ट्रैंडबोग ने बताया)।
बेलाक्वा

आपके दूसरे पैराग्राफ के बारे में, मुझे लगता है कि आपने ओपी के इरादों को गलत समझा। वह सुझाव नहीं दे रहा था कि पिडगिन के पास पिछले दरवाजे हैं। उन्होंने अपने प्रश्न का वर्णन करने के लिए इसे एक काल्पनिक उदाहरण के रूप में इस्तेमाल किया।
जॉन बेंटले
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.