www.MegaLab.it

da **devicepenguin** » ven ott 12, 2012 10:32 am

Scusate se a volte faccio domande un po così,ma vorrei capire bene .
Ho letto su parecchi siti e forum (anche ufficiali) che bisogna stare attenti ai PPA

Es: http://yfrog.com/ghashampoosnap2012101211hp

Io dunque mi chiedo come fa uno a capire se un PPA (e naturalmente il creatore di tale ppa) è sicuro o meno [il fatto che lo installano tutti non mi è di garanzia]

Trovo link (a tali ppa) e risorse un po da per tutto.Ma come si fa a capire ?

2° Poi un atra cosa: una volta aggiunto un ppa,questo si va ad aggiungere nel centro aggiornamenti .
Esempio

Adesso supponiamo che un domani, il creatore di un tale ppa per un motivo o per un altro rilascia nelle successive versioni un ppa che costituisce rischio per il SO. (Sapete:il tempo cambia tutti)

Insomma: da una parte non mi so regolare con i ppa che al momento vedo postare con molta facilità (cioè;mi trovo su un sito dove magari mi è stato linkato che c'è un tale ppa :ma come fai a sapere che è tutto ok,tutto regolare [uhm]

Poi (come già detto) chi mi dice che chi ha scritto un tale ppa, che al momento è buono e sicuro un domani non lo modifica rendendolo nocivo? [..e intanto tale ppa ha carta bianca ,visto che è andato a finire nel gestore aggiornamenti)

Lo so che non mi sono spiegato al meglio,ma penso si capisce quali sono i iei dubbi.
Grazie.

da **farbix89** » ven ott 12, 2012 1:33 pm

esistono le firme e le certificazioni dei pacchetti APT o RPM:non si scaricano pacchetti così a fiducia,fiducia che i sistemi GNU/Linux non concedono a cuor leggero.

per scaricate da fonti esterne si richiede un certificato sia ai singoli pacchetti che al repository vero e proprio.

Tali certificati vengono gestiti da milioni di utenti del FOSS e delle aziende che sono dietro alle distribuzioni.

Ad ogni aggiornamento o aggiunta deve essere verificato di nuovo il certificato,solo allora il pacchetto viene pubblicato.

E se il pacchetto viene manipolato o diventa 'cattivo '?

Tale pacchetto deve comunque ricevere la certificazione, che in fase di testing e building esso non riceverà(vantaggi del software open source puoi controllare ogni riga di codice).

Il pacchetto Virus viene annientato ancor prima di finire nel PPA.

In più in tale scenario lo stesso PPA perde il suo certificato, diventando inaffidabile anche a chi lo già usa (la revoca del certificato porta alla disattivazione automatica delle stringhe nel file sources di Linux).

La certificazione PPA può essere parziale o mancare del tutto,in tal caso all'aggiunta del PPA viene mostrata la stringa di allerta e solo l'utente root può autorizzare l'aggiunta di fonti non sicure.

Il software closed non può ricevere questo tipo di certificazioni in maniera completa infatti sono pochissimi ad avere tali certificati in ambito closed source (driver NVIDIA e pochi altri).

Per concludere : se scarichi solo software open source e ti tieni alla larga dai PPA senza certificato non corri alcun pericolo a scaricare da synaptic o dal terminale ;)

da **devicepenguin** » ven ott 12, 2012 1:54 pm

Unica cosa non chiarissima è:

Codice: Seleziona tutto: se scarichi software open source e ti tieni alla larga dai PPA senza certificato non corri alcun pericolo

Come faccio a sapere se un PPa ha un certificato [valido] oppure no?

da **farbix89** » ven ott 12, 2012 2:02 pm

Una ricerca su Google o direttamente sul sito PPA permette di scoprire il tipo di licenza e anche la firma del certificato.

ecco cosa ti dice il terminale in caso di aggiunta di PPA con firme o certificati incompleti/mancanti

Le seguenti firme non sono state verificate perché la chiave pubblica non è disponibile

Questo è di solito un campanello "d'allarme" (ma è un esagerazione voluta) quando aggiungi un PPA a mano dal terminale.

A quel punto devi provare ad aggiungere la chiave a mano (a volte il keyserver di Ubuntu fa i capricci) ma se tale chiave non esiste,tutti i software del PPA non sono certificati e quindi "a rischio",come hai detto tu.

da **devicepenguin** » ven ott 12, 2012 6:40 pm

farbix89 ha scritto:

ecco cosa ti dice il terminale in caso di aggiunta di PPA con firme o certificati incompleti/mancanti

Le seguenti firme non sono state verificate perché la chiave pubblica non è disponibile

Questo è di solito un campanello "d'allarme" (ma è un esagerazione voluta) quando aggiungi un PPA a mano dal terminale.

A quel punto devi provare ad aggiungere la chiave a mano (a volte il keyserver di Ubuntu fa i capricci) ma se tale chiave non esiste,tutti i software del PPA non sono certificati e quindi "a rischio",come hai detto tu.

..ehm , infatti mi è stato dato questo avviso (anche se poi qualcuno mi ha detto di ignorare/proseguire ..)
Se non erro con : Gnome Shell + Grub Customizer, e qualche altro programma che adesso non ricordo.
Quindi uno che fa? Si butta e poi come viene viene? [8)]

da **farbix89** » ven ott 12, 2012 7:01 pm

Diciamo che su programmi così famosi vai sul sicuro anche senza tutte le certificazioni,ma,a puro livello paranoico,questi PPA senza certificati bisognerebbe evitarli (ma io stesso ho aggiunto il PPA di GrubCustomizer,ma lo disattivo non appena controllo tutto online e controllo i commenti sui pacchetti aggiunti/modificati).

I PPA terzi (con o senza tutti i certificati) puoi attivarli alla bisogna,lasciandoli disattivi durante gli aggiornamenti quotidiani [^]