|
| 1.2, Аноним (2), 15:01, 14/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
А зачем вообще аур сегодня? Актуально было 20 лет назад, потому что rpm собирать было ещё той канителью и тут простой сборочный скрипт. Но аур всегда был помойкой.
| | |
| |
| 2.33, Комиссар (?), 18:05, 14/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
Ну так АУР это не всегда перепаковка deb/rpm. Иногда это еще сборка из сырцов или перефасовка appimage. И как следствие — своевременные обновления без многогигабайтных зависимостей.
| | |
|
| |
| 2.9, Аноним (9), 15:51, 14/06/2026 [^] [^^] [^^^] [ответить]
| +2 +/– |
Крутая логика. Дом вскрыли монтировкой, потому что там не было замка, камер и систем защиты. Вывод - виноваты монтировки.
| | |
| 2.22, Аноним (22), 16:50, 14/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> может проблема не в aur, а в npm например?
Тем временем в новости:
> в этот раз задействована платформа bun
Да, проблема в npm. 🤦
| | |
|
| |
| 2.23, Аноним (22), 16:52, 14/06/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
Помог. Ведь ломают AUR, а не Flatpack. Ты даже заголовок не осилил. 🤦
| | |
|
| 1.8, Аноним (7), 15:51, 14/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Почему заброшенные пакеты не удаляют, а передают любому желающему? Предупреждение, стандартные 30 дней не размышление, нет ответа - удаление.
| | |
| |
| 2.10, Аноним (2), 15:55, 14/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
У тебя так сопровождающих не останется. А ответ это power tripping, результат никого не волнует.
| | |
| 2.27, небесный ученый (?), 17:15, 14/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Почему заброшенные пакеты не удаляют
удаляются, раз в два года
https://wiki.archlinux.org/title/AUR_Cleanup_Day
> а передают любому желающему?
а почему бы и нет ?
любой желающий может прислать пакет(точнее рецепт сборки пакета);
любой желающий может поддерживать пакет;
любой желающий может поднять брошенное знамя;
минимум ограничений.
Да риски всегда есть, отсутствие надзирателя подразумевает самодисциплину.
Ограбить тебя могут даже в самом свободном городе в темной подворотне, но и в тюрьме где будешь под полным контролем ты не застрахован от неприятностей.
| | |
|
| 1.11, Аноним (11), 15:56, 14/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Зачем они это делают? На данных пользователей арча можно как-то поживиться?
| | |
| |
| |
| 3.31, небесный ученый (?), 18:01, 14/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
мало вериться, в большинстве случаев пакеты(рецепты) заброшены не просто так.
Если пакет популярен и по какой то причине мантейнер его бросает то довольно быстро(буквально дни) на него находятся желающие его сопровождать, да и плюс к таким популярным пакетам всегда повышенное внимание в плане безопасности.
Если же пакет НЕ популярный то он может висеть месяцами а то и годами(до двух лет) как брошенный, у таких пакетов и установок минимум, думаю сильно не ошибусь если у половины из них устанавливалось только самим автором пакет(рецепта) который изначально его и прислал а потом бросил за ненадобностью.
Думаю что из той тысячи+ зараженных пакетов, максимум это сотня "пострадавших" да и то в основном те кто когда то установили "на посмотреть" да и забыли удалить, а пакет продолжал висеть мусором. В том же yay(один из наиболее популярный аур-хелперов) при обновлении системы всегда выводиться те пакеты которые брошены, я например смотрю и если не пользуюсь то всегда удаляю, зачем держать лишний мусор в системе.
Так вот из той "сотни", если их конечно наберется столько, криптокошелёк будет хорошо если у пары человек да и то не факт. Ботнет тоже так себе идея, риск что его погасят в зародыше довольно велик, все же арч ставить себе решаются далеко не домохозяйки, да и смысл тратить сколько времени и усилий чтобы получить сютню другую узлов, намного проще разводить в этом плане хомяков.
| | |
|
|
| 1.12, АДмин (?), 15:59, 14/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Мне вот интересно почему атаки именно на Arch ? Не Void и не NixOS а именно Arch ??? Может это личное ???
| | |
| |
| 2.13, Аноним (2), 16:06, 14/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
На серверах популярен, свежий относительно стабильный софт и роллинг. Ну, есть такой миф, что сабж норм. Атака на жсников, и ты правильно можешь предположить, что жсники в него верят в силу низкой квалификации и ограниченного опыта. Впрочем, из альтернатив у тебя только Федора и это корпоративная шляпа с экспериментами, регулярно переустанавливать надо и без гарантий.
| | |
| 2.25, iPony128052 (?), 17:05, 14/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
Чем больше коэффициент популярности помноженный на дырявость - тем логичнее больше атак.
У арча он явно выше чем у Void и NixOS
| | |
|
| 1.20, Аноним (7), 16:38, 14/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Преступная группа идёт по пути "наибольшего" сопротивления. А почему? Вот, если понять её сверхзадачу...
| | |
| 1.29, Аноним (22), 17:54, 14/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Зафиксирована ещё одна атака на AUR, [...] был добавлен вывод [..] с [...] предложением поменять дистрибутив или перестать использовать AUR.
Да бессмысленно - эта аудитория необучаема. В прошлой новости адепты Арча пели, что "нужно всего лишь смотреть, что в PKGBUILD файлах 😤".
Доигрались в крутых хакиров, "контролирующих свою систему". Правда, хакирам никто не сказал, что запускать баш-портянки из публичной помойки - это не совсем по-хакерски. 😳
| | |
| 1.30, Аноним (30), 17:56, 14/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
AUR или не AUR?... Вообще-то любой мейнтейнер может вставить в свой пакет всё что захочет. Просто если код читают много людей они это заметят, если никто не читает, то не заметят. Но и ещё репутауция.
| | |
|
