Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Захват контроля над snap-пакетами, связанными с просроченными доменами"	+/–
Сообщение от opennews (??), 19-Янв-26, 14:06
Алан Поуп (Alan Pope), бывший менеджер по инжинирингу и взаимодействию с сообществом в компании Canonical, обратил внимание на новую волну атак на пользователей   каталога приложений Snap Store. Вместо регистрации новых учётных записей, злоумышленники начали выкупать просроченные домены, фигурирующие в email зарегистрированных разработчиков snap-пакетов. После перекупки домена злоумышленники перенаправляют почтовый трафик на свой сервер и получив контроль над email, инициируют процесс восстановления забытого пароля для доступа к учётной записи... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64641
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

2. "Захват контроля над snap-пакетами, связанными с просроченным..."	+3 +/–
Сообщение от Аноним (2), 19-Янв-26, 14:09
Ой, щас начнул цифровой ид впаривать.
Ответить | Правка | Наверх | Cообщить модератору

	44. "Захват контроля над snap-пакетами, связанными с просроченным..."	+/–
	Сообщение от Аноним (44), 19-Янв-26, 15:48
	> в репозитории Snap Store не была реализована проверка актуальности доменных имён Для начала бы мыло проверять научились...
	Ответить | Правка | Наверх | Cообщить модератору

13. "Захват контроля над snap-пакетами, связанными с просроченным..."	–3 +/–
Сообщение от Аноним (13), 19-Янв-26, 14:26
>доменных имён, используемых в email-адресах Почему нельзя было использовать Gmail или Proton Mail ?
Ответить | Правка | Наверх | Cообщить модератору

	17. "Захват контроля над snap-пакетами, связанными с просроченным..."	+/–
	Сообщение от Аноним (17), 19-Янв-26, 14:48
	а почему каноникал получает и отправляет письма с доменов @ubuntu.com и @canonical.com? почему бы им не воспользоваться почтой от gmail или proton mail? чем enstorewise и vagueentertainment хуже? когда регились это домены, фаундеры этих "стартапов" верили что они станут богатыми и популярными, вот так вот всё бросить никто не планировал.
	Ответить | Правка | Наверх | Cообщить модератору

	22. Скрыто модератором	+/–
	Сообщение от Аноним (22), 19-Янв-26, 14:57
	была бы голова, а шапка будет. Эти же нетакусики решили обмазаться брендированием *до* успеха. Мол, "у взрослых дяденек свой домен, и они успешны, наверное дело в домене!" Эдакий смузи-карго-культ.
	Ответить | Правка | Наверх | Cообщить модератору

	30. "Захват контроля над snap-пакетами, связанными с просроченным..."	–1 +/–
	Сообщение от Аноним (30), 19-Янв-26, 15:17
	> с доменов @ubuntu.com и @canonical.com Потому что за Каноникал стоит Шаттлворт с бабками. > фаундеры этих "стартапов" верили что они станут богатыми и популярными А за спиной у них висит кредит на домен и костюм, в котором они вышли, сделать красивое впечатление. То есть, как говорят на раёне - вые..сь. Поэтому не надо никогда вые..ся. Если у вас есть бабки на продление домена на следующие 50 лет - регайте. Нет - не мучайте жо..
	Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

	64. "Захват контроля над snap-пакетами, связанными с просроченным..."	+/–
	Сообщение от Аноним (64), 19-Янв-26, 17:00
	Ну не надо то настолько по себе судить о всех людях.
	Ответить | Правка | Наверх | Cообщить модератору

	39. "Захват контроля над snap-пакетами, связанными с просроченным..."	+/–
	Сообщение от Аноним (13), 19-Янв-26, 15:35
	Потому, что у них есть ресурсы всё это содержать: https://opennet.ru/63481-canonical
	Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

	18. "Захват контроля над snap-пакетами, связанными с просроченным..."	+4 +/–
	Сообщение от LaunchWiskey (ok), 19-Янв-26, 14:51
	>>доменных имён, используемых в email-адресах > Почему нельзя было использовать Gmail или Proton Mail ? Почта с собственным доменом удобна тем, что её всегда можно перенести в любое другое место на другой сервер, если что. Без невероятных сказочных приключений, которые вас ожидают, как только начнёте уведомлять все организации, компании и онлайн-сервисы о том, что у вас сменился email (многие из них ещё при этом заявят, что смена почтового адреса в их системе в принципе не предусмотрена). Так что почта со своим доменом - весьма полезно в нынешнее время, когда отдельные корпорации или правительства могут внезапно сделать использование вашего прежнего почтового сервера невозможным или неприемлемым. Я вот только не понимаю, в чем обвиняют Snap Store, ведь при захвате чужого домена к любому сервису можно попробовать получить доступ аналогичным образом?
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

	34. "Захват контроля над snap-пакетами, связанными с просроченным..."	–1 +/–
	Сообщение от Аноним (30), 19-Янв-26, 15:21
	> могут внезапно сделать использование вашего прежнего почтового сервера невозможным Нука, пример в студию? Я знаю только Протонмейл. Но это почта всегда была для per..ков, никто серьезно ее никогда не воспринимал. Мейлру подсуетились и внушили всем, что вот сейчас точно всех забанят в Гмыле, поэтому дайте нам почитать всю вашу почту. Но шел 4-й год, а воз и ныне там. П.С. Про то, что нельзя в определенной стране регистрироваться с иностранной почтой - не надо начинать, надо сперва закон норм почитать, никто не запрещал пользоваться gmail для регистрации.
	Ответить | Правка | Наверх | Cообщить модератору

	50. "Захват контроля над snap-пакетами, связанными с просроченным..."	+/–
	Сообщение от Аноним (44), 19-Янв-26, 16:12
	Пример с Гмайлом: лет 15 назад потерял там акк. "Ваш аккаунт заблокирован из-за подозрительной активности". И всё, никакие формы восстановления доступа не работают. Почта использовалась мож раза два в месяц. Другой пример: тоже с гуглом, Пикаса: грохнули аж все три фотки и заблокировали - пробовал выкладывать туда фотки из леса - три грибочка. "Удалены за нарушение правил ресурса". Офигеть...
	Ответить | Правка | Наверх | Cообщить модератору

	110. "Захват контроля над snap-пакетами, связанными с просроченным..."	+/–
	Сообщение от Аноним (110), 19-Янв-26, 21:06
	Грибочки не галюциногенные были?
	Ответить | Правка | Наверх | Cообщить модератору

	58. "Захват контроля над snap-пакетами, связанными с просроченным..."	+/–
	Сообщение от NIL (?), 19-Янв-26, 16:49
	Есть только один или два подводных камня, первый то что сервисы могут не принимать мыло если оно не от популярного провайдера, а второе то что домен надо брать в популярных зонах типа ком,орг,нэт... я себе купил домен в зоне .email, а оказалось половина сервисов не считают это даже мылом еще на этапе валидации, потому что скопипастили регулярку где разрешено в домене только три символа или вообще ограничение по зонам
	Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

	60. "Захват контроля над snap-пакетами, связанными с просроченным..."	+/–
	Сообщение от NIL (?), 19-Янв-26, 16:52
	"где разрешено в зоне только три символа
	Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

	72. "Захват контроля над snap-пакетами, связанными с просроченным..."	+/–
	Сообщение от Аноним (72), 19-Янв-26, 17:15
	>Я вот только не понимаю, в чем обвиняют Snap Store, ведь при захвате чужого домена к любому сервису можно попробовать получить доступ аналогичным образом? Если раздавать appimage с прикрученным автообновлением или прокидывать по методу Jia Tan, можно сломать один appimage или один репозиторий. Если можно ходить по списку пакетов и читать имейлы, а потом автоматически их опрашивать и перепокупать - это enumeration attack. >в чем обвиняют Snap Store В том, что "я забыл ключ" - это не опция для разработчиков. И раскрытый email - не опция для атаки.
	Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

	76. "Захват контроля над snap-пакетами, связанными с просроченным..."	+/–
	Сообщение от 1 (??), 19-Янв-26, 17:42
	Странные вы какие-то, ей богу.... Люди монетизировали уже не нужные домены ... А бабло всегда побеждает зло !
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

20. "Захват контроля над snap-пакетами, связанными с просроченным..."	+/–
Сообщение от Аноним (17), 19-Янв-26, 14:55
а что мешало Canonical поступить так же как поступили в PyPI? а что насчёт повсеместного внедрения 2FA? тогда бы потеря контроля над почтой не играла роли короче в Canonical опять обгадились
Ответить | Правка | Наверх | Cообщить модератору

	67. "Захват контроля над snap-пакетами, связанными с просроченным..."	+/–
	Сообщение от Аноним (67), 19-Янв-26, 17:02
	Не кошерно.
	Ответить | Правка | Наверх | Cообщить модератору

	73. "Захват контроля над snap-пакетами, связанными с просроченным..."	+/–
	Сообщение от Аноним (73), 19-Янв-26, 17:33
	Было же исследование, которое показало, что 2FA не безопасно
	Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

	82. "Захват контроля над snap-пакетами, связанными с просроченным..."	+1 +/–
	Сообщение от Аноним (82), 19-Янв-26, 18:44
	2FA через смску на телефон - это вообще не 2FA, а фикция. Про это и было исследование. Второй фактор должен принадлежать владельцу аккаунта, а не кому-то там.
	Ответить | Правка | Наверх | Cообщить модератору

	102. "Захват контроля над snap-пакетами, связанными с просроченным..."	+/–
	Сообщение от Аноним (102), 19-Янв-26, 19:59
	Так PyPI вроде используют TOTP, что есть хорошо.
	Ответить | Правка | Наверх | Cообщить модератору

	80. "Захват контроля над snap-пакетами, связанными с просроченным..."	+/–
	Сообщение от Аноним (72), 19-Янв-26, 18:26
	>а что насчёт повсеместного внедрения 2FA? Теперь будут энумерировать не только почту, но и телефон.
	Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

	111. "Захват контроля над snap-пакетами, связанными с просроченным..."	+1 +/–
	Сообщение от Аноним (110), 19-Янв-26, 21:10
	Всем пользователям срочно сдать свой IMEI !
	Ответить | Правка | Наверх | Cообщить модератору

	121. "Захват контроля над snap-пакетами, связанными с просроченным..."	+1 +/–
	Сообщение от Аноним (121), 19-Янв-26, 22:42
	Пользователи Вотсапа и телеграмма, которым не приходит смс с тебя смеются.
	Ответить | Правка | К родителю #80 | Наверх | Cообщить модератору

	126. "Захват контроля над snap-пакетами, связанными с просроченным..."	+/–
	Сообщение от Кошкажена (?), 19-Янв-26, 23:08
	Выслали Вам ссылку на отправление по почте. Пожалуйста при получении у Вас будет 15 минут, чтобы проверить, что письмо с кодом не вскрывалось до Вас.
	Ответить | Правка | Наверх | Cообщить модератору

21. "Захват контроля над snap-пакетами, связанными с просроченным..."	+1 +/–
Сообщение от anamnez (?), 19-Янв-26, 14:57
так это проблема не конкретно snap репозитория, просто там ее нашли первыми. тоже самое можно проделать с чем угодно - с flatpack, appimage и даже с github
Ответить | Правка | Наверх | Cообщить модератору

	43. "Захват контроля над snap-пакетами, связанными с просроченным..."	+1 +/–
	Сообщение от soarin (ok), 19-Янв-26, 15:43
	Ну когда им пишешь "у вас тут криптокошельки дырявые от не пойми каких фурри пионеров". И в итоге их удаляют спустя года четыре, когда это уже совсем в треш превратилось. То тут что-то не так с модерацией. https://www.opennet.ru/opennews/art.shtml?num=59849
	Ответить | Правка | Наверх | Cообщить модератору

	48. "Захват контроля над snap-пакетами, связанными с просроченным..."	+1 +/–
	Сообщение от Аноним (44), 19-Янв-26, 15:58
	> проблема не конкретно snap репозитория Читаем: "в репозитории Snap Store не была реализована проверка актуальности доменных имён".
	Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

	53. "Захват контроля над snap-пакетами, связанными с просроченным..."	–1 +/–
	Сообщение от anamnez (?), 19-Янв-26, 16:22
	99% проектов ограничиваются проверкой валидности почты. откуда уверенность, что проверка актуальности доменов есть на флатпаке? потому что об этом нет новости на опенете?
	Ответить | Правка | Наверх | Cообщить модератору

	87. "Захват контроля над snap-пакетами, связанными с просроченным..."	+/–
	Сообщение от Аноним (87), 19-Янв-26, 18:54
	очевидно же - пока не вскрылось вскроется - напишут
	Ответить | Правка | Наверх | Cообщить модератору

	122. "Захват контроля над snap-пакетами, связанными с просроченным..."	+/–
	Сообщение от Аноним (121), 19-Янв-26, 22:45
	Совершенно не очевидно, может они не будут ничего вскрывать.
	Ответить | Правка | Наверх | Cообщить модератору

52. "Захват контроля над snap-пакетами, связанными с просроченным..."	+/–
Сообщение от Аноним (52), 19-Янв-26, 16:18
Вполне ожидаемо для пакетов собираемых авторами, и это не единственная их проблема. Для простоты можно считать что бинарники собираемые авторами софта - малварь. Пакеты должны собираться централизованно в дистрибутивах, из прозрачного репозитория рецептов. А в какой формат они будут собираться - снап, флатпак, rpm или deb - вообще не важно.
Ответить | Правка | Наверх | Cообщить модератору

	66. "Захват контроля над snap-пакетами, связанными с просроченным..."	–1 +/–
	Сообщение от mos87 (ok), 19-Янв-26, 17:02
	кому должны?
	Ответить | Правка | Наверх | Cообщить модератору

	69. "Захват контроля над snap-пакетами, связанными с просроченным..."	–1 +/–
	Сообщение от mos87 (ok), 19-Янв-26, 17:03
	анон сказал, теперь я боюсь скачивать vlc.msi с оф сайта vlc
	Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

	103. "Захват контроля над snap-пакетами, связанными с просроченным..."	+1 +/–
	Сообщение от жыжа (?), 19-Янв-26, 20:20
	Объективно, единственный правильный комментарий во всей теме. Необходимость в snap/flatpack/appimage появилась потому, что "debuild сложно непонятно, от меня чото требуют, не хочу требуют, хочу фиксы релизить каждые 15 минут CI/CD боже, как я продуктивен, глупые деды заняты д***очем, а я успешен, мне некогда ждать, лучше выпущу ещё одну версию 165.5.6-rc4-beta2, что, ошибка 0х8000? Это же очень просто - нужно добавить libzlpa.8.so и выпустить фикс!" Знаете как сделать это ещё лучше? Инсталлятор, инсталлятор ещё! Чтоб ещё удобнее, чтоб не запоминать чо там flatpak install com.fgs.fds.kpss, а прям вон с сайта копируешь прям `curl https://... | bash`. И чтоб оно потом само обновлялось, ещё, ещё удобнее - сделать такой свой специальный юнит-обновлятор приложения под systemd! Вон на днях чувак пофиксил баг в Wine - у него хватило мозгов разобраться в коде, и на радостях бросился пилить MR. В valve'овское зеркало репозитория на гитхабе. Без тестов.  Что-то сделал? Что-то сделал. Хорошо, что сделал? Наверное. Хотели бы вы, чтоб у такого человека была возможность за 15 минут сделать "свой Wine" и заслать его в хранилище того, что в этом "хранилище" называют "пакетами"? Ну, если вы пользуетесь AUR, то понимаете, что делаете. Но если вы как те бедолаги, которые прибежали в комменты к MR из поста "ПОЧИНИЛИ ФОТОШОП 2027" с вопросами "я чайник напишите как установить?", то можно ненада? tl;dr в официальную репу долго-сложно-непонятно *по причине*, а самодельные пакеты *с компромиссами*
	Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

	109. "Захват контроля над snap-пакетами, связанными с просроченным..."	+/–
	Сообщение от Zulu (?), 19-Янв-26, 21:02
	> хочу фиксы релизить каждые 15 минут CI/CD CI/CD могут и пакет собрать. И собирают, песня в том порука.
	Ответить | Правка | Наверх | Cообщить модератору

70. "Захват контроля над snap-пакетами, связанными с просроченным..."	–3 +/–
Сообщение от Аноним (72), 19-Янв-26, 17:09
Есть один хороший формат дистронезависимых пакетов. Называется appimage. Другой хороший формат называется porg. Третий - tarball. У flatpak и snap основная цель - это не удобство пользователя, а навар компании. Разумеется, поэтому инфраструктура будет с отсутствием секурити как таковой. Поэтому будем доверять не ключам, а имейлам.
Ответить | Правка | Наверх | Cообщить модератору

	79. "Захват контроля над snap-пакетами, связанными с просроченным..."	–1 +/–
	Сообщение от Аноним (73), 19-Янв-26, 18:09
	Интересно, не знал. Где об этом почитать подробнее?
	Ответить | Правка | Наверх | Cообщить модератору

	114. "Захват контроля над snap-пакетами, связанными с просроченным..."	+1 +/–
	Сообщение от Аноним (114), 19-Янв-26, 21:12
	В Гугле.
	Ответить | Правка | Наверх | Cообщить модератору

	95. "Захват контроля над snap-пакетами, связанными с просроченным..."	+/–
	Сообщение от Аноним (67), 19-Янв-26, 19:34
	держу у себя balena, appimage. Можно держать браузеры appimage. Но думаю лучший формат - tar.gz.
	Ответить | Правка | К родителю #70 | Наверх | Cообщить модератору

	113. "Захват контроля над snap-пакетами, связанными с просроченным..."	+2 +/–
	Сообщение от Аноним (114), 19-Янв-26, 21:12
	Апимадж не гарантирует переносимость. Но этом на нём можно ставить крест.
	Ответить | Правка | К родителю #70 | Наверх | Cообщить модератору

	118. "Захват контроля над snap-пакетами, связанными с просроченным..."	+1 +/–
	Сообщение от Аноним (118), 19-Янв-26, 21:33
	Флатпак тоже.
	Ответить | Правка | Наверх | Cообщить модератору

	124. "Захват контроля над snap-пакетами, связанными с просроченным..."	+/–
	Сообщение от Аноним (121), 19-Янв-26, 22:47
	У него хотя бы есть попытки тащить рантайм окружения, аппимадж в таком не замечен.
	Ответить | Правка | Наверх | Cообщить модератору

	128. "Захват контроля над snap-пакетами, связанными с просроченным..."	+/–
	Сообщение от Аноним (118), 19-Янв-26, 23:19
	Если эти попытки полурабочие - все равно что их нет, но сложность технологии увеличена многократно.
	Ответить | Правка | Наверх | Cообщить модератору

125. "Захват контроля над snap-пакетами, связанными с просроченным..."	+/–
Сообщение от Кошкажена (?), 19-Янв-26, 23:03
Сanonical просто нужно обязать заводить почту на их сервере.
Ответить | Правка | Наверх | Cообщить модератору

127. "Захват контроля над snap-пакетами, связанными с просроченным..."	+/–
Сообщение от Кошкажена (?), 19-Янв-26, 23:18
> и, получив контроль над email, инициируют процесс восстановления забытого пароля для доступа к учётной записи. Во-первых, они же могут проверить местоположение в этот момент и сравнить с обычным, запросив доп. данные для восстановления. Во-вторых, почему они не сделали подпись пакетов по аналогии с PPA?
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема