Snap и Flatpak в Ubuntu

[yx]

да кто же деб файлам не доверяет, если корень ОС в дебиан уходит? А про второй формат - спасибо, не знал. Прикольный вариант, но не пробовал еще.

[ivm]

Как раз в тему вчера на опеннете очередная новость Уязвимость во flatpak, позволяющая обойти sandbox-изоляцию.
Абсолютно согласен с комментирующим, что

...полностью изолированное ПО - это бесполезная "вещь для себя", и для использования придётся как-то давать ему доступ к чему-то...

[ivm]

Интересная новость на опеннете - Захват контроля над snap-пакетами, связанными с просроченными доменами.

Алан Поуп (Alan Pope), бывший менеджер по инжинирингу и взаимодействию с сообществом в компании Canonical, обратил внимание на новую волну атак на пользователей каталога приложений Snap Store. Вместо регистрации новых учётных записей, злоумышленники начали выкупать просроченные домены, фигурирующие в email зарегистрированных разработчиков snap-пакетов. После перекупки домена злоумышленники перенаправляют почтовый трафик на свой сервер и получив контроль над email, инициируют процесс восстановления забытого пароля для доступа к учётной записи.

Получив контроль за существующей учётной записью атакующие могут разместить вредоносное обновление ранее опубликованных заслуживающих доверия приложений, обойдя расширенные проверки, применяемые к новым участникам, и избежав добавления предупреждающих меток о новых проектах. Алан Поуп выявил как минимум два домена (enstorewise.tech и vagueentertainment.com), выкупленных злоумышленниками для захвата учётных записей, но предполагается, что таких случаев намного больше.

В прошлом злоумышленники ограничивались регистрацией собственных учётных записей, под которыми публиковались вредоносные пакеты, выдающие себя за официальные сборки популярных программ, или использующие имена, похожие на уже существующие пакеты (тайпсквоттинг). В ответ компания Canonical ввела ручную проверку новых имён пакетов, впервые размещаемых в Snap Store. После этого основная активность распространителей вредоносного ПО сосредоточилась на размещении оригинальных пакетов, их рекламировании в социальных сетях и публикации через какое-то время вредоносного обновления, пытающегося обойти имеющиеся в Snap Store автоматизированные проверки и фильтры.

Теперь вектор атаки сместился в сторону перекупки просроченных доменов, так как в репозитории Snap Store не была реализована проверка актуальности доменных имён, используемых в email-адресах. В прошлом году с подобной проблемой столкнулся репозиторий PyPI (Python Package Index), который начал автоматически переводить email с просроченными доменами в состояние неподтверждённых. В PyPI было заблокировано более 1800 подобных email-адресов.

Соглашусь с одним из комментирующих новость, что "Есть один хороший формат дистронезависимых пакетов. Называется appimage" и "У flatpak и snap основная цель - это не удобство пользователя, а навар компании. Разумеется, поэтому инфраструктура будет с отсутствием секурити как таковой".