[過去ログ] Arch Linux 16 (1002レス)
上下前次1-新
このスレッドは過去ログ倉庫に格納されています。
次スレ検索 歴削→次スレ 栞削→次スレ 過去ログメニュー
434(2): 2021/06/06(日)10:18 ID:wXkFidGg(2/5) AAS
ぼーっと眺めてても単純な記述ミスにすら気づかない自信があるし真面目に1行ずつ読んだところで悪意を持って巧妙に隠されたら気づかないだろうから気にしてない
そもそもまじめにソース確認する人ばっかりだったらbinパッケージなんてものはAURに存在しないだろう
435(1): 2021/06/06(日)10:18 ID:aOYI2ixi(1/2) AAS
メンテ放棄されてたacroreadに悪意のあるスクリプト注入されてたのもう忘れたか
436: 2021/06/06(日)10:27 ID:W03oLUaO(1/3) AAS
>>431
> 実際大多数の人間は細かいこと気にしないでyayとか使ってるわけだが
だーかーら、そういうスタンスの人はあえてArch使う必要なんかないんだって
AURは素晴らしい
が、それはAURを公式リポジトリさながらに使いましょうということを全く意味しない
Archのミニマルな思想と利便性の間を取り持つためにAURは存在するんだってなぜ分からない
思想なんか関係ないよと思うなら正にArchなんて使う必要はない
437: 2021/06/06(日)10:27 ID:W03oLUaO(2/3) AAS
>>434
> そもそもまじめにソース確認する人ばっかりだったらbinパッケージなんてものはAURに存在しないだろう
……バカ?
438(1): 2021/06/06(日)10:30 ID:2deWSUVA(1) AAS
>>434
多分スクリプトはaurのパッケージを作るスクリプトを指してると思う。
binを使うのはわざわざ自分のマシンでコンパイルしても大して最適化されないものだよ
439(1): 2021/06/06(日)10:34 ID:izdMdqc0(1/2) AAS
まあ好ましくはなくても自己責任で「見てもわかんねーしまぁいっか」って判断してもそれはそれで別に悪くないっしょ
悪いのはわざわざ「AURは誰でもアップできるから自己責任で使えよ!」って太字で書いてあるのに何も理解しないで使って問題が起きたら騒ぐガイジ
440: 2021/06/06(日)10:35 ID:CrfWGWoG(1/3) AAS
それはそうと、AURで多くの人にインストールされててかつ公式のアプデに取り残されてシステムに深刻な影響を及ぼしうるパッケージって何かね
自分の環境眺めてみたら有名どころは nkf と displaylink と slack と zoom くらいしかなかったし平和なもんだ
441: 2021/06/06(日)10:37 ID:CrfWGWoG(2/3) AAS
>>439
両者、層が被ってそう
442: 2021/06/06(日)10:52 ID:wXkFidGg(3/5) AAS
>>438
ソースURLに適当にでっち上げたサイトのURL書いとくだけで何だってできるのにPKGBUILDだけちらっと眺めてどれほどの意味があるのか
443: 2021/06/06(日)11:16 ID:izdMdqc0(2/2) AAS
>>435の言ってる奴とかはcurlでダウンロードしてbashに渡すみたいな隠そうともしない露骨に不審な奴だったから眺めるだけでも割と気づけそうだし全く意味無くはないだろうとも思うけどね
ただ俺は全部チェックしてるって言うやつはじゃあ
Nodeに依存するパッケージがnpmでインストールするパッケージの中身まで全部把握してんのか?
Rustに依存するパッケージがcargoでインストールするクレートの中身まで全部把握してんのか?
みたいな話になるし現実的に個人が100%もれなくチェックするなんて無理だしな
結局「意味ないからお前らも見なくていいーよ☆」っておおっぴらに開き直って良いもんでもないし逆に「隅から隅までチェックしろ!!!」って強制するもんでもないし
リスクを承知した上でそれぞれが自己責任で利便性との間で適当にバランス取るしか無いわな
444: 2021/06/06(日)11:19 ID:0EY+YWu9(1) AAS
上流でウイルス混入してるのと
AUR自体のスクリプトにウイルス入ってるのは別問題じゃね?
そういうの嫌だったら普通にUbuntuとか使えば良いんじゃね?
なぜArch?
パッケージ新しいから?
445(1): 2021/06/06(日)12:05 ID:wXkFidGg(4/5) AAS
アップストリームに問題なくてもAURのパッケージメンテナに悪意があったら何だってできるわけ
PKGBUILDのソースURLがmozila.orgかもしれないしkernel.netかもしれないしパッケージ名っぽい独自ドメインかもしれないしgithabかもしれないし
実はユーザー名が一文字足りないかもしれないし一見普通のユーザーかもしれない
あるいはソースは本物でもパッチの一つに何か仕込まれているかもしれない
ソースパッケージだったらダウンロードして確認ということも原理的には可能だがバイナリパッケージだともうどうにもならない
まぁarch wayの伝道者ともなるとバイナリパッケージからでも余裕でソースコード復元できるみたいだが一般人には普通のソースコード監査すら厳しいからね
446: 2021/06/06(日)12:17 ID:CrfWGWoG(3/3) AAS
どんだけ馬鹿なのコイツ
・ユーザーリポジトリからのダウンロード、インストールを公式ではサポートしたくない話
・ユーザーリポジトリには悪意のあるパッケージが含まれうる話
・バイナリ配布には危険が伴う話
全部全くレイヤが違う話なんだが
問題の切り分けがなってないって指摘されてんのに何もわかってねえな
447(1): 2021/06/06(日)12:59 ID:wXkFidGg(5/5) AAS
AURは公式リポジトリではないし誰でも自由にUPできるから信用できないってのは共通認識があるわけだけどこの人は何を言ってるんだろう
齟齬があるのはmakepkg前にPKGBUILDファイルを眺める作業をする事の意義なわけだが
いきなり問題の切り分けとか言い出すし、もしかして日本語不自由かな
448: 2021/06/06(日)13:16 ID:3VFZvZIj(1) AAS
AURがどう作られてるかしらんけど
GitHubで開発してるなら
複数人で開発しててレビューが行き届いてんのもあるんじゃね?
それとも大体個人開発でレビュー無しなの?
449: 2021/06/06(日)13:20 ID:fFsqlfaW(1) AAS
>>445
PKGBUILDがー
って
いくらでも参照できるのに
コソコソ悪さできるとでも?
現に、公式のChromiumが、vaapiパッチ採用する
ちょっと前に、Chromium-vaapi-binで
バイナリ配布してたのが、シナ製に切り替わった事あんだけど
みんな警戒して使わなかったよ
ソースコード読めない情弱で
省2
450: 2021/06/06(日)15:37 ID:aOYI2ixi(2/2) AAS
GitHubでPKGBUILDを管理している人はいるけど全員ではないな
公式リポジトリはSVN使っているし
451(1): 2021/06/06(日)16:23 ID:G4gACff0(1) AAS
yayなどのAURヘルパーはAURのパッケージインストール前にPKGBUILDの中身表示するようになってるし
AURのパッケージ使う前にPKGBUILDを確認すべきでその作業には意味があるというのはコミュニティーの共通認識とされているのでは
452: 2021/06/06(日)18:28 ID:2KouETs1(1) AAS
AURはただのインストールスクリプト集だからそこが心配なら自分でビルドすればいい
453: 2021/06/06(日)19:30 ID:W03oLUaO(3/3) AAS
>>447
ド低脳キッツ
上下前次1-新書関写板覧索設栞歴
あと 549 レスあります
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.935s*