Анкета

Въпрос: За и против дистрибутирането на бинари пакети от разни дистрибуции...

  • Твърдо за
    Твърдо против
    Зависи

Автор Тема: За и против бинари пакетите  (Прочетена 4322 пъти)

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: За и против бинари пакетите
« Отговор #15 -: Фев 18, 2015, 21:15 »
Като имаш сорса все едно имаш ужасно голяма гаранция че някой не ти прави сечено. Любимият пример, който няма да се уморя да давам:

Цитат
#define TOBYTE(x) (x) & 255
#define SWAP(x,y) do { x^=y; y^=x; x^=y; } while (0)

static unsigned char A[256];
static int i=0, j=0;

void RC4_init(char *passphrase) {
    int passlen = strlen(passphrase);
    for (i=0; i<256; i++)
        A = i;
    for (i=0; i<256; i++) {
        j = TOBYTE(j + A[TOBYTE(i)] + passphrase[j % passlen]);
        SWAP(A[TOBYTE(i)], A[j]);
    }
    i = 0; j = 0;
}

unsigned char RC4_encrypt_one_byte(unsigned char c) {
    int k;
    i = TOBYTE(i+1);
    j = TOBYTE(j + A);
    SWAP(A, A[j]);
    k = TOBYTE(A + A[j]);
    return c ^ A[k];
}


Това е велик пример за подмолно зло и ако човек не знае за това, вероятността да го открие е доста ниска. Всичко си изглежда наред и според официалното описание на RC4 алгоритъма. Примерно използваш тази имплементация в твоя си програма за криптиран чат и освен ако не rekey-ваш много често, настава голяма беля. Тъпото е че дори няма да е очевидна, поне в началото, макар че все някога ще блесне в цялата си прелест. И дори тогава ще има да си блъскаш главата и да дебъгваш сума ти време докато разбереш къде е скрито подмолното зло.
Активен

"Knowledge is power" - France is Bacon

go_fire

  • Участник
  • *****
  • Публикации: 5249
  • Distribution: Дебиан Сид
  • Window Manager: ROX-Desktop / е17
  • кашик с гранатомет в танково поделение
    • Профил
    • WWW
Re: За и против бинари пакетите
« Отговор #16 -: Фев 18, 2015, 22:33 »
Е то това ясно. Но за разлика от закритите извори, някой умник като теб може да го види. Спомням си преди две години имаше случай, когато (май в ssl) имаше код, който ограничаваше броя на сертификатите беше сведен до нещо като 20 000. Това при закрити извори, никога нямаше да излезе, защото все още при тази бройка изглеждат случайни.

Това, че аз или друг капут няма да го види, няма да го разбере, дори да му бъде показано, е без значение. Важното е, че ще бъде на разположение и на такива като теб.
Активен

В $por4e2 e истината  ;)

***

Aко даваха стипендия за най-глупави, щях да съм човека с най-много Mини Kупъри

***

Reborn since 1998 || 15.09.2007 totally М$ free && conscience clear

BRADATA

  • Участник
  • *****
  • Публикации: 833
  • Distribution: Slackware/Mint/CentOS
  • Window Manager: console/KDE/LXDE
    • Профил
    • WWW
Re: За и против бинари пакетите
« Отговор #17 -: Фев 19, 2015, 06:21 »
Добре де, или ме гони параноята или съм тъп нещо.... Значи те официално си казват, че или не можеш да компилираш пакета собственоръчно или ако го компилираш и го сравниш с доставения от хранилището ще има разлики.... Защо никой не пита и не казва какви са тези разлики? И защо, аджеба, се разпространява код, дето не може да се компилира?
@koue Идеята е демек, че разбираш ли тези 18% ли, колко бяха дето не са минали проверката, са допълнително закърпени с нови отвори. Това са глупости. Дебиан не е Слак, че дядо Патрик да си транслира пакетите на домашната машина в мазето, заради, която искат да го изселят съседите. Нищо такова. Хората си имат цели ферми, напълно автоматизирани и никакво ЦРУ и никакъв Гугъл не могат да бърникат вътре да оставят вратички.
А ти от къде си сигурен, че не могат да бъркат? И като говорим за това - имам вяра повече на един човек отколкото на "споделена" отговорност на N неизвестни личности.

А по въпроса със сигурността на кода и генерираните грешки - никой не може да знае, но поне би трябвало кода да е видим и като се компилира да е еднакъв с това, дето се дистрибутира в двоичен формат.
Активен

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: За и против бинари пакетите
« Отговор #18 -: Фев 19, 2015, 08:40 »
Не мога да кажа какви са тези разлики, но обоснованото ми предположение е че са свързани със зависимостите на софтуера - Предполагам че компилирането му зависи от билдове на зависимостите, които не се доставят и подържат в пакетната система, поради което са прибегнали до билдване на въпросните зависимости от сорс със съответните билд флагове и статично линкване с получената библиотека. Този билд не можеш да го възпроизведеш върху друга дебиан инсталация, освен ако не повториш процеса. Защо въпросният процес не е описан е друг въпрос, според мен няма дефиниран стандартен начин по който това да се описва - също и особен интерес, защото така или иначе това е нещо което вълнува много малко хора извън maintainer-ите на пакета.
Активен

"Knowledge is power" - France is Bacon

neter

  • Global Moderator
  • Участник
  • *****
  • Публикации: 3408
  • Distribution: Debian, SailfishOS, CentOS
  • Window Manager: LXDE, Lipstick
    • Профил
    • WWW
Re: За и против бинари пакетите
« Отговор #19 -: Фев 19, 2015, 09:45 »
Значи те официално си казват, че или не можеш да компилираш пакета собственоръчно или ако го компилираш и го сравниш с доставения от хранилището ще има разлики.... Защо никой не пита и не казва какви са тези разлики? И защо, аджеба, се разпространява код, дето не може да се компилира?
Казахме вече, че става дума за друго нещо, така че тези заключения са неверни.

П.П.: Човек може да си спести много недоразумения, ако подлага на съмнение първосигналните си реакции, вместо да ги приема за крайни истини и да гради мироглед около тях ;)
Активен

"Да си добре приспособен към болно общество не е признак за добро здраве" - Джиду Кришнамурти

go_fire

  • Участник
  • *****
  • Публикации: 5249
  • Distribution: Дебиан Сид
  • Window Manager: ROX-Desktop / е17
  • кашик с гранатомет в танково поделение
    • Профил
    • WWW
Re: За и против бинари пакетите
« Отговор #20 -: Фев 19, 2015, 10:07 »
5.

Гейт т'ва:

https://www.mail-archive.com/linux-media%40vger.kernel.org/msg85207.html

става ли за занимания тип като твоето хоби или си е само за телевизия?
Активен

В $por4e2 e истината  ;)

***

Aко даваха стипендия за най-глупави, щях да съм човека с най-много Mини Kупъри

***

Reborn since 1998 || 15.09.2007 totally М$ free && conscience clear

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: За и против бинари пакетите
« Отговор #21 -: Фев 19, 2015, 10:54 »
Изглежда като да е само за телевизия, ама знам ли - ако има възможност да се bypass-не демодулатора и да вземаш директно семплите от АЦП-то преди демодулатора, може би ще бъде добра играчка за моите хобита. От хардуерна гледна точка е добре, защото е навързано през PCIe шината която е с доста по-ниска латентност и по-голям bandwidth от USB2.0 и драйвера i може да ползва MMIO вместо синхронни/асинхронни USB команди за да си събира данните. За качествата му като радио нямам никаква идея, но щом подържа въпросните стандарти трябва да може да семплира минимум поне 10msps и тунера му да може да се разхожда от 50MHz до 2GHz. Ако АЦП-то е с някаква по-висока "резолюция" (повече от 8 бита на I и на Q стойност) и осцилатора му е точен и не се разхожда много с температурата, от това би излязло много добро софтуерно радио. Разбира се ако някой му напише драйверите за целта. Обаче най-вероятно не е такъв случая, иначе някоя голяма глава вече щеше да се е сетила за това.
Активен

"Knowledge is power" - France is Bacon

go_fire

  • Участник
  • *****
  • Публикации: 5249
  • Distribution: Дебиан Сид
  • Window Manager: ROX-Desktop / е17
  • кашик с гранатомет в танково поделение
    • Профил
    • WWW
Re: За и против бинари пакетите
« Отговор #22 -: Фев 19, 2015, 11:16 »
На мен зора ми е нещо като самоделна навигация. Струва ми се абсурд да давам 700 лв. за целта (и няма да ги дам), от друга страна виждал съм телефоните в това им качество, работата е повече от зле. Има един SirfⅠⅠⅠ или нещо такова се казваше, който е този от гармините и го продават за лаптопи (като PCMCIA). Обаче лаптопите харчат прекалено много ток, а акумолатора ми трябва и за други неща ;) Та се замислях за някаква модерна платка с Арм (тип Расбери, Олимексино, Баребон…), обаче пък те нямат навигация. Та така. Това по-скоро идея. Ползвам си добрите стари карти и си ми вършат работа, пък и не пътувам чак толкова често.
Активен

В $por4e2 e истината  ;)

***

Aко даваха стипендия за най-глупави, щях да съм човека с най-много Mини Kупъри

***

Reborn since 1998 || 15.09.2007 totally М$ free && conscience clear

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: За и против бинари пакетите
« Отговор #23 -: Фев 19, 2015, 11:49 »
Е ако ти трябва просто навигация си вземи  GPS модул някакъв, има включително и USB джаджи, Всичко това да го правиш софтуерно с някакъв SDR е безсмислено разхищение на ток и ресурси. А иначе може, защо да не може, има един проект - gnss-sdr, но това е по-скоро за начесване на крастата.
Активен

"Knowledge is power" - France is Bacon

go_fire

  • Участник
  • *****
  • Публикации: 5249
  • Distribution: Дебиан Сид
  • Window Manager: ROX-Desktop / е17
  • кашик с гранатомет в танково поделение
    • Профил
    • WWW
Re: За и против бинари пакетите
« Отговор #24 -: Фев 19, 2015, 16:39 »
Понеже стана въпрос за телевизията, ти преди време питаше, какво е канал 6. Аз понеже гледам само ефирна телевизия, мога да ти отговоря. Това очевидно е канал на ЬТВ. Не е само, защото останалите конкуренти имат по два ефирни. Отдолу тече програмата на Ринг. Но изглежда не са решили още, какво ще го правят. Канал 6 идва от там, че е на шестата честото. За гледащите ефирно спортен канал може да е печалба, такъв няма. Но пък може и да не се случи, защото Нова си повярваха и направиха българското първенство платено. Цената на спорта се покачва.

п.п. Като заговорихме за телевизии та се сетих как внучката на Астред цензурирала прочутата книжка на баба си. Сетих се и за съседите им англетата искащи да цензурират Питър Пан. Странно как английските детски книжки изобщо не са детски. Сетих се за новият супер-наркотик Супермен. Та направо си отиваме към един „Прекрасен нов свят“, в който всички ходим надрусани, гледаме лимонади (емоцилми) по телевизията и умираме щастливи, красиви трупове, без да знаем кой е Шекспир. Последният също е политически некоректен и ще му забраняват „Мяра според мяра“ (в която жените са „предмети“, странно дали за една и съща комедия си говорим).
Активен

В $por4e2 e истината  ;)

***

Aко даваха стипендия за най-глупави, щях да съм човека с най-много Mини Kупъри

***

Reborn since 1998 || 15.09.2007 totally М$ free && conscience clear

BRADATA

  • Участник
  • *****
  • Публикации: 833
  • Distribution: Slackware/Mint/CentOS
  • Window Manager: console/KDE/LXDE
    • Профил
    • WWW
Re: За и против бинари пакетите
« Отговор #25 -: Фев 19, 2015, 18:05 »
Алоу двамцата с тиливизията.... Направете си тема плийз :)
Активен

BRADATA

  • Участник
  • *****
  • Публикации: 833
  • Distribution: Slackware/Mint/CentOS
  • Window Manager: console/KDE/LXDE
    • Профил
    • WWW
Re: За и против бинари пакетите
« Отговор #26 -: Фев 20, 2015, 16:57 »
Значи те официално си казват, че или не можеш да компилираш пакета собственоръчно или ако го компилираш и го сравниш с доставения от хранилището ще има разлики.... Защо никой не пита и не казва какви са тези разлики? И защо, аджеба, се разпространява код, дето не може да се компилира?
Казахме вече, че става дума за друго нещо, така че тези заключения са неверни.

П.П.: Човек може да си спести много недоразумения, ако подлага на съмнение първосигналните си реакции, вместо да ги приема за крайни истини и да гради мироглед около тях ;)
OK Neter, давай... Обясни ми за какво става въпрос... Щото днес ми остана време и прегледах сорсовете на тази новина. И това не ме кара да се чувствам по-малко несигурен. Знаеш ли, и там няма отговор на въпроса "Какво точно е различното и защо не се компилира от сорса, който се разпространява".
Активен

neter

  • Global Moderator
  • Участник
  • *****
  • Публикации: 3408
  • Distribution: Debian, SailfishOS, CentOS
  • Window Manager: LXDE, Lipstick
    • Профил
    • WWW
Re: За и против бинари пакетите
« Отговор #27 -: Фев 20, 2015, 17:49 »
Прочети историята на проекта, която се съдържа в неговото wiki. Споменават се някои неща, които принципно внасят разлики в бинарните файлове и които са изчиствани с времето (има и отделен параграф за пълните пътища при компилиране, за които споменах по-нагоре). При добро желание може да изгледаш и презентацията по въпроса от миналогодишния FOSDEM, както и да се заровиш в пощенските списъци на Debian. А при още по-добро желание може да си направиш собствен пакет, без да следваш напътствията за reproducible и да видиш на практика, че самият код далеч не е единственото, което се съдържа в бинарния файл и което може да внесе разлики в него в зависимост от средата.
Това, че една от основните цели на проекта ReproducibleBuilds е по-лесна проверка дали кодът в бинарния файл е същият, както в изходния код, не значи, че в момента такива разлики има. Бинарните файлове не съдържат само код, повечето им ползватели не го знаят, а и не е нужно да го знаят, и това е допълнителна причина за съществуването на проекта.

Нямам добра информация, но имам някакво усещане, че при някои от другите големи дистрибуции процентът на reproducible пакетите ще е доста по-малък (особено при rpm базираните), но не искам да спекулирам с това и ще ми е интересно да видя официална информация как седи този въпрос при тях и имат ли желание за подобна инициатива.

П.П.: Ако си от София, или имаш път насам, може да дойдеш на ИББ (всяка сряда вечер в "Кривото" на Будапеща) и да чуеш от нашия виден участник в Debian, Петър Пенчев, същите работи :)
« Последна редакция: Фев 20, 2015, 19:11 от neter »
Активен

"Да си добре приспособен към болно общество не е признак за добро здраве" - Джиду Кришнамурти