Tema dannoso nello store di KDE

[emanuc]

Di recente un utente scaricando un tema dallo store di KDE si è ritrovato con tutti i file cancellati, questo perché nello store di KDE non c'è nessun controllo di qualità e sicurezza. Evidentemente un tema scritto male (non sembra che sia stato fatto apposta) può portare a questo genere di situzioni spiacevoli, oltre che a bug grafici.

https://www.reddit.com/r/openSUSE/comme ... utm_term=1

http://blog.davidedmundson.co.uk/blog/k ... e-content/

[steff]

Anche sul reddit KDE https://www.reddit.com/r/kde/comments/1 ... e_out_all/
Un disastro per la reputazione, non sapevo che plasmoidi eseguono codice come vogliono.

[wilecoyote]

Salve, carino questo scherzo da preti…

Spero che dopo essersele cantate e suonate su Reddit × KDE, abbiano integrato qualche straccio di verifica preventiva prima di caricare altri contributi nello Store.

Ciao

[woddy68]

) Salve, carino questo scherzo da preti…

Spero che dopo essersele cantate e suonate su Reddit × KDE, abbiano integrato qualche straccio di verifica preventiva prima di caricare altri contributi nello Store.

:: Ciao

Nel secondo link c'è la risposta alla tua domanda.
Questo per intenderci http://blog.davidedmundson.co.uk/blog/k ... e-content/
Comunque no...non è uno scherzo sembra, ma un errore di programmazione involontario.
Comunque nel merito credo sia impossibile controllare tutto quello che gli utenti pubblicano, ma c'è un avviso che deve essere migliorato.
Tra l'altro è noto che qualsiasi cosa si installa al di fuori dei repository ufficiali, non è controllato, lo è anche per i browser....malgrado i controlli tra l'altro.

[steff]

Su mastodon invitano gli utenti di segnalare temi dannosi/pericolosi nello store, ma questo è solo un tampone. Il sistema di temi globali è insicuro per design.

[wilecoyote]

Salve,

Tra l'altro è noto che qualsiasi cosa si installa al di fuori dei repository ufficiali, non è controllato, lo è anche per i browser....malgrado i controlli tra l'altro.

A dirla tutta anche dai repository ufficiali sono arrivati dei pacchetti minati ben benino.

Ciao

[noglep100]

tipo? di quale distro?

[caturen]

https://popey.com/blog/2024/03/exodus-w ... art-three/

[noglep100]

ah beh... gli snap. questa la sapevo già ero curioso di sapere quale altra distro ha nei repository ufficiali pacchetti dannosi noti (se ce ne sono)

[wilecoyote]

Salve,

tipo? di quale distro?

Ad esempio l'installer a partire dalla release Groovy 20.10, che letteralmente impediva l'installazione in computer usanti il BIOS Legacy.

Ci sono voluri 3 anni affinché fosse compiutamente sistemato l'inghippo.

Ora non ricordo il nome, ma qualche anno fà ci fu un pacchetto disastroso che richiese un aggiornamento urgente.

Un mesetto fà è venuto fuori questo problema https://www.html.it/magazine/ubuntu-com ... e-malware/ , che coinvolge(va spero) il pacchetto command-not-found.

Ciao

[woddy68]

) Salve,

tipo? di quale distro?

Ad esempio l'installer a partire dalla release Groovy 20.10, che letteralmente impediva l'installazione in computer usanti il BIOS Legacy.

Ci sono voluri 3 anni affinché fosse compiutamente sistemato l'inghippo.

Ora non ricordo il nome, ma qualche anno fà ci fu un pacchetto disastroso che richiese un aggiornamento urgente.

Un mesetto fà è venuto fuori questo problema https://www.html.it/magazine/ubuntu-com ... e-malware/ , che coinvolge(va spero) il pacchetto command-not-found.

:: Ciao

Tu confondi un malware/virus con un bug. In questo caso il pacchetto del tema aveva un bug, questo capita o può capitare ovunque, ovviamente i pacchetti dei repository devono superare alcuni test automatizzati, quindi è raro che sia un bug dannoso come in questo caso, ma i bugs ci sono in qualsiasi software.
Altra cosa sono malware/virus, quella è un'altra cosa e che io sappia non sono mai stati trovati all'interno dei repository, ma possono essere trovati nei pacchetti esterni, anche nei temi o plugin/estensioni.
Il punto della discussione è che è davvero difficile controllare tutto quello che viene pubblicato nello store di KDE (in questo caso), perché non è solo un controllo quando viene pubblicato il plugin/tema, ma dovrebbero essere controllati anche ogni singolo aggiornamento e per fare questo occorrono ingenti risorse, che neanche Google ha che puoi vedere tu stesso con il suo store.

[emanuc]

C'è differenza tra un bug software e la vulnerabilità creata da un tema, l'utente non si aspetta che da un banale cambiamento di un tema può ritrovarsi con tutti i file cancellati perché quel tema esegue script dannoso, volontario o meno.
KDE plasma fornisce a portata di click l'installazione dei temi dallo store ed è di default su qualsiasi distro (non è un componente opzionale), quindi se vuole essere credibile deve garantire un minimo di sicurezza.
Anche perché se lo confrontiamo con il repository delle varie distro, li il discorso è diverso e c'è ovviamente un controllo per garantire la sicurezza, cosi deve essere se KDE vuole mettere di default lo store per la personalizzazione dei temi. Ok la libertà e la personalizzazione del desktop, ma se poi si creano questo genere di problemi è meglio avere meno personalizzazione a portata di click ma più sicurezza.

[woddy68]

C'è differenza tra un bug software e la vulnerabilità creata da un tema, l'utente non si aspetta che da un banale cambiamento di un tema può ritrovarsi con tutti i file cancellati perché quel tema esegue script dannoso, volontario o meno.
KDE plasma fornisce a portata di click l'installazione dei temi dallo store ed è di default su qualsiasi distro (non è un componente opzionale), quindi se vuole essere credibile deve garantire un minimo di sicurezza.
Anche perché se lo confrontiamo con il repository delle varie distro, li il discorso è diverso e c'è ovviamente un controllo per garantire la sicurezza, cosi deve essere se KDE vuole mettere di default lo store per la personalizzazione dei temi. Ok la libertà e la personalizzazione del desktop, ma se poi si creano questo genere di problemi è meglio avere meno personalizzazione a portata di click ma più sicurezza.

C'è tanto di avvertimento !!!!

[emanuc]

La maggior parte degli avvertimenti viene ignorato dagli utenti e comunque non ti aspetti che un semplice tema fornito di default e a portata di click possa creare la cancellazione di tutti i file! Dovrebbero renderlo opzionale se non possono garantire un minimo di sicurezza.
Alla fine anche le estensioni di GNOME potrebbero creare questo genere di problema, ma almeno non vengono forniti di default e a portata di click ma è l'utente che deve installarseli o installare un software per gestirli.

[wilecoyote]

Salve,

C'è tanto di avvertimento !!!!

Gli ardimentosi seguaci del KDE/Plasma dei perigli ammoniti se ne fanno un baffo…

E lo stesso ammonimento v'è pure nella schermata per scaricare ulteriori temi Gtk.

Ciao

[caturen]

il problema non è solo di kde

The same thing happened to me but in Linux Mint with Cinammon. I downloaded a theme from the pling page and inside the folder there was a "makefile" file to apply the theme, and by a work of art I deleted more than 300gb, everything, as if it was just installed.

I reported it in the store and the author deleted the "makefile" file.

Apparently this happens when there is some incompatibility between a previous version and a new version of each distro.

It is a horrible and even disturbing experience, that for a moment made me think if Linux was a good option to continue using it. Which I retracted and I'm still using Linux.

https://www.reddit.com/r/kde/comments/1 ... e_out_all/

[woddy68]

Il problema è che le persone, ancora non hanno capito che se vogliono avere una buona sicurezza dovrebbero smetterla di installare roba da terze parti, sopratutto se non necessarie.
Questo vale per qualsiasi cosa e store...è un problema generale che hanno tutti e comunque in questo caso è un errore di programmazione, a chi è capitato dovrebbe avere ripristinato i dati da un backup e se non lo ha fatto, sono solo affari suoi.

[caturen]

Il problema è che le persone, ancora non hanno capito che se vogliono avere una buona sicurezza dovrebbero smetterla di installare roba da terze parti,

mica tanto, dato che le "sorprese" ci sono anche in ubuntu-software

[woddy68]

Il problema è che le persone, ancora non hanno capito che se vogliono avere una buona sicurezza dovrebbero smetterla di installare roba da terze parti,

mica tanto, dato che le "sorprese" ci sono anche in ubuntu-software

Per snap e flatpak vale lo stesso discorso, se ti fidi dell' app che installi bene, altrimenti non installarla.

[caturen]

chissà come fai a fidarti, che sei un ingegnere informatico e ti vai a vedere il codice e controlli le connessioni che il programma fa con la rete? Se un software ti viene messo nel software center della distribuzione come minimo devi pretendere che sia ok Guarda caso quello presente nei repository lo è. Purtroppo oggi non va di moda offrire i software in formato deb/rpm