Comunque, in attesa di avere qualche elemento in più per chiarire, sottolineo che:
La garanzia totale di sicurezza ce l'hai solo a PC spento. Detto ciò, mi pare abbastanza scontato che trovare malware nei repo ufficiale sia un evento quasi impossibile (e il caso xz è tipo l'unico che può essere citato in piu di 30 anni, sebbene le debian e derivate non abbiano avuto neanche il tempo di includere la versione infetta nei loro repo). Non lo stesso si può dire dei PPA (o dei COPR o dei AUR, il discorso è uguale anche per le altre distro ovviamente) visto che ciclicamente si scopre qualche repo farlocco.xavier77 ha scritto: ↑venerdì 7 novembre 2025, 10:09Comunque, in attesa di avere qualche elemento in più per chiarire, sottolineo che:
1. Neanche usare esclusivamente i reposirory di una distribuzione in uso non è garanzia totale di sicurezza (banale anche dirlo).
2. Chi installa roba di terze parti (pacchetti, librerie, eseguibili ecc.) lo fa assumendosi i rischi del caso.
che è sempre superiore all'AI. Un consiglio un po alla membro di segugio, anche quando era giovane e mi divertivo a scrivere "scherzetti software" li facevo attivare anche 6 mesi dopo cheOMBRA_Linux ha scritto: ↑venerdì 7 novembre 2025, 13:29Se uno proprio ci tiene a usarli, almeno li testi prima in una VM o sandbox (tipo VirtualBox, Docker o Firejail).
La sicurezza deve essere gestita con un pò di
come se i problemi stessero solo nei ppa. Come se aur fosse diverso. E che ne diciamo dei vari snap e flatpack fatti dal primo che capita?Chi installa da PPA certo se ne assume la responsabilità, il problema è che in pochi si rendono davvero conto di cosa vuol dire prendere un software da PPA, quali sono i rischi reali, che per altro sono molto variabili.
Scusa, esattamente io dove avrei detto che il problema è solo nei PPA?
autocitandomi:Come se aur fosse diverso.
Ma leggere prima di rispondere con sto tono saccente del piffero, no?
non dal primo che capita ma da un team ristretto di "flatpakers" (non so se il termine sia corretto, eventualmente @emanuc correggimi) che puoi vedere sul loro repo:E che ne diciamo dei vari snap e flatpack fatti dal primo che capita?
Schermata_20251107_210541.png
Alien321 ha scritto: ↑venerdì 7 novembre 2025, 18:56Un consiglio un po alla membro di segugio, anche quando era giovane e mi divertivo a scrivere "scherzetti software" li facevo attivare anche 6 mesi dopo cheOMBRA_Linux ha scritto: ↑venerdì 7 novembre 2025, 13:29Se uno proprio ci tiene a usarli, almeno li testi prima in una VM o sandbox (tipo VirtualBox, Docker o Firejail).
La sicurezza deve essere gestita con un pò di
erano stati eseguiti (il 1 di aprile normalmente....ehehehe)
Quanto tempo li provi in VM?
Io consiglio di informarsi sui repository, e vedere se sono affidabili. Altrimenti fate come be, compilate da sorgenti e create i vostri pacchetti, oggi come
oggi è molto più facile di una volta
MA chi ha analizzato quel pacchetto di freeRDP come lo ha analizzato?xavier77 ha scritto: ↑sabato 8 novembre 2025, 16:38Qualcuno ha fatto il punto:
https://www.omgubuntu.co.uk/2025/11/lin ... no-malware
PS: la situazione sembra chiarita ma potrebbero esserci degli aggiornamenti.
Ogni volta che si deve installare qualcosa da AUR si consiglia sempre di controllare il PKGBUILD, è una delle prime cose che ho imparato usando una derivata di Arch. Nel caso di Chrome menzionato da frapox, il vero pacchetto di Chrome è google-chrome e non google-chrome-stable, e come dice l'articolo, leggendo il PKGBUILD si vedeva che c'era qualcosa che non andava (script python).
Duke_Fleed ha scritto: ↑domenica 9 novembre 2025, 10:20Ogni volta che si deve installare qualcosa da AUR si consiglia sempre di controllare il PKGBUILD, è una delle prime cose che ho imparato usando una derivata di Arch. Nel caso di Chrome menzionato da frapox, il vero pacchetto di Chrome è google-chrome e non google-chrome-stable, e come dice l'articolo, leggendo il PKGBUILD si vedeva che c'era qualcosa che non andava (script python).
Visualizzano questa sezione: 0 utenti iscritti e 3 ospiti
