چک کردن یک پکیج

[saeed_e00]

سلام

بعضی وقتا لازمه یه برنامه یا پکیج نصب شه رو سیستم که تو مخازن یا سافت ور سنتر نیس
چطوری میشه این پکیچ رو از نظر امنیتی بررسی کرد که دردسری نداشته باشه بعدا...


مرسی

[Chamrosh]

این همه حساسیت بی‌دلیل برای چیه؟!
امن داداش، امن، در چند قرن اخیر هیچ شخصی تا این اندازه بیکار پیدا نشده که بیاد یه ویروس بنویسه و بذاره تو مخزنی که فقط چند نفر قراره ازش استفاده کنن!!

[abedzadeh]

ایشون گفتند توی مخازن نیست

نمیشه اعتماد کرد مگر اینکه
1-بشینید کل سورس برنامه رو بخونید
2-سازنده واقعا مطمین باشه و بدونید که قبلا سورسش توسط دیگران خونده شده و به اونا اعتماد. کنید

[alih_net]

حذف صورت مسئله : دنبال معادلش در مخازن معتبر بگردید
راه حل : سورس کد رو بخونید و یا از اینکاره ها بخواین تا بررسی کنن

[رسول سعیدنژاد]

سلام.
با minion‌ و علی جان موافقم.
اون بنده خدایی که میگه حساسیت به خرج ندیم، میشه کامل توضیح بدن دلیلش رو؟؟
ما اومدیم روی سیستم عاملی که حریم شخصی و امنیتمون حفظ بشه. حالا بخواهیم هرچی دستمون رسید فرت بزنیم نصب کنیم که چه فرقی به حال ما و ویندوزیا می کنه؟ 

در جواب سوال:
1) همون طور که علی جان گفتن می تونی از معادل ها استفاده کنی.
2) اگه یه برنامه رو به صورت deb نصب می کنی، حواست باشه که اون برنامه PPA به سیستم اضافه نکنه و چک کنی اگه اضافه کرده بری تیکش رو توی تنظیمات سافت ویر سنتر برداری
3) تا جایی که میشه دستور sudo رو وارد نکنین. مگه اینکه مجبور باشین. برای لود شدن یه برنامه هم باز دستور sudo رو وارد نکنین. مگه اینکه اون برنامه توی ریشه باشه. (مثلا یه برنامه ای که خودتون نصب کردین یا یه چیزی که توی هوم هست رو با دستور sudo اجرا نکنین)
4) از مورد اعتماد بودن توسعه دهنده ی اون برنامه مطمئن بشید.
5) فایل ها رو دقیقا از سایت رسمی خودش بگیرین، نه هرجایی که دیدین.
6) به لایسنس برنامه توجه کنین و اگه دیدین لایسنسش با لایسنس نرم افزار های آزاد متفاوته، پس با اطمینان 100 درصدی نصبش نکنین و یکم بیشتر راجبش تحقیق کنین.

من خودم این چیزا رو رعایت می کنم و غیر از مخازن هم از جای دیگه ای برنامه نصب نمی کنم  (شاید بقیه بگن اینا حساسیت الکی به خرج دادن یا توهم توطئه گرفتشون ولی ما این کارارو برای حفظ امنیت و حریم شخصیمون انجام میدیم  )

[md2014]

خیلی سخته ادم از سورسهای دیگه استفاده نکنه و فقط روی برنامه های موجود تو سافتور سنتر حساب باز کنه.

مثلا در مورد اوبونتو که پکیجها خیلی قدیمی هستند.

[alih_net]

توزیع های مختلف دقیقا برای همین نیاز ها تولید شدن شما میتونید از فدورابیس‌ها و آرچ‌بیس‌ها و توزیع های به روز تر استفاده کنید .

[رسول سعیدنژاد]

خیلی سخته ادم از سورسهای دیگه استفاده نکنه و فقط روی برنامه های موجود تو سافتور سنتر حساب باز کنه.

مثلا در مورد اوبونتو که پکیجها خیلی قدیمی هستند.

خب اینکه یه برنامه توی مخازن رسمی نیست بالاخره دلیلی داره. یا ممکنه اون برنامه از نظر امنیتی قابل اعتماد نباشه. یا ممکنه هنوز پایدار نشده باشه. یا اینکه با لایسنس آزاد منتشر نشده باشه و از این دست دلایل. عوضش چیزی که توی مخازن هست می دونیم که امنه، پایداره، پاکه 
من تا چند روز پیش  از PPAهای غیررسمی هم استفاده می کردم. ولی چند روزه که تصمیم گرفتم دیگه استفاده نکنم. مگه اینکه مجبور باشم 
برای اعتماد کردن به PPA یا فایل های deb یا حتی سورس برنامه ها، به نظرم باید دید اون توسعه دهنده چقدر غوله. بر اساس میزان محبوبیت و معروفیت میشه یه PPA رو امن یا نا امن دونست.
ولی تنها راه برای رسیدن به امنیت کامل، خوندن سورس اون برنامه هست. یا سرچ کردن درون سورس و لیست کردن جستجوهایی که مشکوک باشن. مثلا توی یه سورس برنامه ی آفلاین، می تونی سرچ کنی ببینی آیا آدرس اینترنتی داره یا نه که مثلا ببینی آیا اطلاعاتی به خارج از برنامه میفرسته یا نه و از این جنگولک بازیا 

[alih_net]

حرف رسول جان درسته و در کل اوبونتو و دبیان سخت‌گیری بیشتری نسبت به قرار دادن پکیج های جدید در مخازن نشون میدن . انتخاب باشماست که به روز بودن رو به ناپایداری های 'احتمالی' ترجیح میدید یا نه . البته من نه روی فدورا و نه روی آرچ هیچ ناپایداری‌ ندیدم

[Chamrosh]

اون بنده خدایی که میگه حساسیت به خرج ندیم، میشه کامل توضیح بدن دلیلش رو؟؟
ما اومدیم روی سیستم عاملی که حریم شخصی و امنیتمون حفظ بشه. حالا بخواهیم هرچی دستمون رسید فرت بزنیم نصب کنیم که چه فرقی به حال ما و ویندوزیا می کنه؟ 

این حریم شخصی و امنیت هم مساله‌ای شده! isp ای ازش نت میخری داره فعالیت‌هات رو log میکنه! شما تو ایران امنیت اینترنتی میخوای راهش اینه که با یه چکش بیافتی به جون هارد کامپیوترت و اینترنت رو ببوسی بذاری کنار! بی‌ربط=(و مهم‌تر ازون شما تو دنیای واقعی حریم شخصیت امنیت داره که اینقدر نگران حریم شخصی هارد و رم و سی‌پی‌یو سیستم هستی!)

نکته اول: لینوکسی بودن مایه افتخار و مباهات نیست!

نکته دوم: چیزی که کاربر پشت سیستم دنبالشه راحتی، کارایی،  پایداری و امنیت منطقیه(نه امنیت توهمی!) ، نه سورس باز یا سورس بسته! این حرفا واسه دنیای برنامه‌نویس‌هاست، نه دنیای کاربرها.

نکته سوم: تقریبا همه مخازن شخصی هم متعلق به خود منتشر کننده‌های نرم افزاره که اوبونتو بروزشون نمیکنه و کاربرها مخزن خود منتشرکننده رو اضافه میکنن تا بروز بشن.
در ضمن کِنونیکال هم سورس‌ها رو چک نمیکنه! فقط بسته deb رو میسازه!

نکته چهارم: با توجه به نظرات شما باس در AUR و CCR آرچ و چاکرا رو گِل گرفت!

نکته آخر: همونطور که خودتون گفتید شما دچار توهم توطئه شدین! این توهماتی که منجر به تبدیل شدن شخص به زامبی گنو میشه در اوایل ورودش به دنیای لینوکس (بخصوص بین کاربرای ایرانی لینوکس) کاملا عادیه!_البته فقط گنو زامبی نداره، اپل هم زامبی داره_ _تازگی‌ها زامبی اندروید هم کشف شده_

منم این دوران رو گذرندونم! البته نمیدونم شما چند وقته تو این مرحله به سر میبرین، ولی مال خودم کمتر از یک ساعت بود!

[رسول سعیدنژاد]

خب این طور که معلومه شما مطلق حرف زدی ولی من نسبی گفتم.
آره هر بچه ی کلاس اولی هم میدونه که توی اینترنت رفته رفته داره حریم شخصی و امنیت از بین میره ولی بازم اینجا امنیتش از جاهای دیگه بیشتره و قرار نیست کاربر با سهل انگاریاش به این مشکلات بیشتر دامن بزنه.
جالبه. کسی که به امنیتش اهمیت بده زامبی تلقی میشه.

نکته اول: لینوکسی بودن مایه افتخار و مباهات نیست!

کسی نگفت همچین چیزی رو.

نکته دوم: چیزی که کاربر پشت سیستم دنبالشه راحتی، کارایی،  پایداری و امنیت منطقیه(نه امنیت توهمی!) ، نه سورس باز یا سورس بسته! این حرفا واسه دنیای برنامه‌نویس‌هاست، نه دنیای کاربرها.

من کاربر عادی نیستم که این چیزا برام مهم نباشه. سورس باز یا بسته دقیقا واسه ی من مهمه وگرنه می اومدم مثل یه کاربر ویندوزی از هر جای بی در و پیکری برنامه نصب می کردم و هرچیزی رو چشم بسته ردش میکردم بره.

نکته سوم: تقریبا همه مخازن شخصی هم متعلق به خود منتشر کننده‌های نرم افزاره که اوبونتو بروزشون نمیکنه و کاربرها مخزن خود منتشرکننده رو اضافه میکنن تا بروز بشن.

خب من از مخازن اصلی استفاده می کنم نه مخازن شخصی منتشر کننده ها

در ضمن کِنونیکال هم سورس‌ها رو چک نمیکنه! فقط بسته deb رو میسازه!

خب پس چرا یه برنامه توی مخازن قدیمی میشه و نسخه ی جدیدش نمیاد؟؟ یعنی کنونیکال عارش میاد یه برنامه جدید رو deb‌ کنه؟

کِنونیکال هم سورس‌ها رو چک نمیکنه! فقط بسته deb رو میسازه!

نکته چهارم: با توجه به نظرات شما باس در AUR و CCR آرچ و چاکرا رو گِل گرفت!

مخازن aur مخازن رسمی آرچ هستن نه مثل مخازن شخصی توسعه دهنده های دیگه.

اوایل ورودش به دنیای لینوکس

فکر نمی کنم من جزو کسانی باشم که اوایل ورودشون به لینوکس باشه.

[alih_net]

isp ای ازش نت میخری داره فعالیت‌هات رو log میکنه! شما تو ایران امنیت اینترنتی میخوای راهش اینه که با یه چکش بیافتی به جون هارد کامپیوترت و اینترنت رو ببوسی بذاری کنار!

میشه ارتباط امنیت اینترنتی و هارد رو به من بگید؟
استدلال شما اینه که چون ممکنه حریم شخصیت نقض بشه ، هر بسته ای رو از هرجایی رسید نصب کن

[md2014]

خب دیگه.هر کی یجور فکر میکنه.

منکه بروز بودن خیلی واسم مهمه.دلیل اینکه سمت نسخه های رولینگ ریلیز نمیرم هم نبود دانش کافی نسبت به این توزیعها و مشکلات

احتمالیه.البته نبود فرومهای فارسی هم دخیله.

تو همین اوبونتو هم نمونم هنر کردم. 

[دانیال بهزادی]

این حریم شخصی و امنیت هم مساله‌ای شده! isp ای ازش نت میخری داره فعالیت‌هات رو log میکنه! شما تو ایران امنیت اینترنتی میخوای راهش اینه که با یه چکش بیافتی به جون هارد کامپیوترت و اینترنت رو ببوسی بذاری کنار!

این که شما فقط همین راه رو بلدی دلیل نمی‌شه این تنها راهش باشه. بیا یه دوره کلاس امنیت برخط برات بذارم یاد بگیری n تا راه دیگه هم هست که خود کامپیوترت هم نفهمه تو کی هستی! D:

بی‌ربط=(و مهم‌تر ازون شما تو دنیای واقعی حریم شخصیت امنیت داره که اینقدر نگران حریم شخصی هارد و رم و سی‌پی‌یو سیستم هستی!)

بله، در دنیای واقعی هم حریم شخصی خیلی اهمیت داره. ولی حفظ حریم شخصی در دنیای مجازی خیلی مهم‌تر از دنیای واقعیه!