News Arch Linux unter Feuer: 400 Pakete im AUR kompromittiert

[Termy]

Dort wird AUR Content verlinkt.

Und woher weisst du, wie du diesen dann installierst?
Selbst, wenn du auf Arch Linux yay o.ä. benutzt, so musst du dieses irgendwann mal auf dem manuellen Weg installiert - und dabei die AUR-Seite im Wiki besucht - haben.

Es bleibt dabei, dass an allen offiziellen Stellen mehr als genug deutliche Warnungen stehen.

Dein Problem kann eigentlich nur aufkommen, wenn man eine Distro nutzt, die standardmäßig AUR-Helper - womöglich sogar noch als GUI-Variante - anbietet und somit die Notwendigkeit umgeht, dass der User sich zumindest oberflächlich mit dem AUR beschäftigen muss.
Und DIESE Problematik habe ich direkt in meinem ersten Post hier im Thread angekreidet.

 

[sedot]

Wo die rote Warnung?

Mein Eindruck ist, Arch setzt Eigeninitiative voraus, zum AUR gibt es einen eigenen Artikel.

Das größere Problem ist imo nicht Arch, sondern Distributionen/Derivate die das AUR nutzen aber nicht klar genug kommunizieren was es damit auf sich hat.

Ich glaube und hoffe im Nachgang werden sich Dinge ändern für Distribution die „Arch in leichter“ sein wollen.

 

[mibbio]

Und Arch kann ja jetzt auch nicht in jede Wiki-Seite, wo ein AUR-Paket erwähnt wird, den AUR-Disclaimer einbauen. Denn der hat an der Stelle thematisch nicht zu suchen. Außerdem ist Arch Linux nun mal explizit eine Distribution, die sich an erfahrene Linuxnutzer richtet, setzt also durchaus auf Eigenverantwortung.

Da ändern auch nutzerfreundliche Derivate wie CachyOS oder Manjaro erstmal nichts an diesem Grundsatz. Vielmehr wäre es dann sogar deren Verantwortung, den Nutzer auf solche Umstände hinzuweisen bzw. eben nicht default das AUR in das Paketmanagement einzubinden bzw. AUR-Helper ohne Hinweis für die Nutzer vorzuinstallieren.

Nicht vanilla Arch muss hinsichtlich AUR irgendwas nachbesser oder Schutzmechanismen einbauen, sondern eher die arch-basierten Distributionen, die sich an unerfahrene Nutzer richten.

 

[Alexander2]

Ok, wenn du so herangehst da ist die Info schwach vertreten das Stimmt. ganz runterscrollen, da steht es nur im kleingedruckten. aber selbst da

Aber richtig auch da sollte der Hinweis besser doch ab start geladen gleich sofort erkennbar sein. muss ja auch nciht gleich die Halbe Seite voll sein aber, nicht so kleingedruckt am rand unten

 

[Hyourinmaru]

Selbst, wenn du auf Arch Linux yay o.ä. benutzt, so musst du dieses irgendwann mal auf dem manuellen Weg installiert - und dabei die AUR-Seite im Wiki besucht - haben.

Zumindest EndeavourOS- und CachyOS-Benutzer müssen das in der Tat nicht. Unter CachyOS ist paru vorinstalliert und unter meiner EndeavourOS-Installation war yay vorinstalliert.

 

[Termy]

Außerdem ist Arch Linux nun mal explizit eine Distribution, die sich an erfahrene Linuxnutzer richtet

Nichtmal das - aber eben an lernwillige User. Und zu diesem lernen gehört eben definitiv auch "RTFM"

Zumindest EndeavourOS- und CachyOS-Benutzer müssen das in der Tat nicht.

Ich sprach ja auch explizit von Arch Linux.
Vielleicht sorgt dieser Vorfall ja dafür, dass diese Distros endlich aufhören, das AUR so blind und komfortabel für völlig unbedarfte User verfügbar zu machen. Wäre imho definitiv überfällig.
Grade Manjaro hat mit fragwürdigem Pamac-Verhalten ja auch schon öfter regelrechte DDoS-Attacken aufs AUR gefahren.

In meinen Augen sollten diese Distros lieber - ähnlich Garuda - die AUR-Pakete selbst bauen und als Repo hosten (und entsprechend absichern), wenn sie es "klickibunti-Userrn" verfügbar machen wollen. Alles andere ist absolut unverantwortlich.

 

[Grimba]

Und woher weisst du, wie du diesen dann installierst?

So einfach lasse ich dich nicht davonkommen. Nicht jeder kommt über das Wiki mit AUR oder AUR Helpern in Kontakt. Nicht selten wird Guides gefolgt, Marke: 5 Dinge die Du nach der Installation von Arch auf jeden Fall machen musst. Schon im ersten Googleversuch findet man mehr als einen Guide, nachdem du hinterher yay auf dem Rechner hast oder in aller Kürze ein „Howto install AUR Packages“, welches eben nicht so gewissenhaft handelt, und dann kommst du auch im Wiki Artikel weiter.

Dass das vielleicht nicht so ist, wie sich die Arch Leute das gedacht haben, darüber müssen wir nicht diskutieren. Aber das Szenario ist sehr real und ich finde nicht, dass man das einfach so mit selber schuld beiseite schieben kann, wenn die Hürde wirklich so niedrig ist. Diese dicke rote Warnung sieht im Zweifel nicht jeder, bei Derivaten schon gleich gar nicht (was definitiv kritikwürdig ist), und vor dem Hintergrund, finde ich, sollte man sich schon Gedanken machen, ob dieses Konstrukt unverändert belassen bleiben sollte. Denn auch der Profi schaut nicht immer genau hin oder kann jede Änderung im Script gleich richtig einordnen.

 

[buyman]

@Grimba: auch hier liegt es an dir, dass du blind irgendwelchen Artikeln folgst und nicht der offiziellen Dokumentation.

 

[sedot]

Alles andere ist absolut unverantwortlich.

Ja, würde ich zustimmen. Ist bei openSUSE nicht anders, klar kann es scheinbar komfortabler sein Pakete auch von Quellen außerhalb der Main-Repos zu beziehen, ist dann aber eigene Verantwortung und kein Problem der Distribution(en).

 

[Grimba]

@buyman Bestreite ich ja nicht. Aber dann wäre es doch kein Akt, einen solchen Hinweis weit öfter zu platzieren, als er es bisher ist. Z.B. in jedem Wiki Artikel, der AUR Pakete verlinkt, und auf der Seite des AUR Pakets. Das wäre in meinen Augen das Minimum.

 

[Termy]

Nicht selten wird Guides gefolgt

DIESE Unsitte fällt imho definitiv unter "selbst schuld"

Bei absolut JEDER Software gilt die offizielle Installationsanleitung als einziger...nun ja: offiziell unterstützer Weg.

Klar, grade z.b. diese unsägliche Google-AI-Zusammenfassung macht das Problem noch akuter.

Aber die Lösung ist eben - wie schon seit immer: glaube nicht jeden Scheiß, den du im Internet liest!

Arch Linux ist eine Distro, die ganz explizit auf Eigenverantwortung setzt. Das sieht man auch bei Themen wie z.b. Maintenance oder Absicherung.

Jetzt zu fordern, dass AL die Freiheiten oder Möglichkeiten oder den Komfort ihrer Zielgruppe einschränkt, um die User anderer Distros zu schützen, finde ich da schon sehr dreist.

Denn auch der Profi schaut nicht immer genau hin oder kann jede Änderung im Script gleich richtig einordnen.

Dann ist es kein "Profi".
Es ist nun WIRKLICH nicht schwer, beim Update das Diff anzuschauen, selbst wenn du AUR-Helper benutzt. In 99% der Fälle ist dort nur die Version und der Hash anders -> go for it. Und in den restlichen 1% der Fällen muss dann eben geschaut werden, was geändert wurde und diese Änderung beurteilt und als böswillig oder unbedenklich eingestuft werden.
Das ist nunmal der Preis, den man für diese unglaubliche große Paketauswahl zahlen muss!

@buyman Bestreite ich ja nicht. Aber dann wäre es doch kein Akt, einen solchen Hinweis weit öfter zu platzieren, als er es bisher ist. Z.B. in jedem Wiki Artikel, der AUR Pakete verlinkt, und auf der Seite des AUR Pakets. Das wäre in meinen Augen das Minimum.

Das Wiki kann von jedem ergänzt werden. Wenn du der Meinung bist, dass die Warnung nicht oft genug wiederholt wird, dann würde ich vorschlagen, dass du diese an den entsprechenden Stellen ergänzt, anstatt dich hinzustellen und zu sagen "Es wäre doch kein Akt"/"Jemand sollte mal"

 

[Grimba]

Jetzt zu fordern, dass AL die Freiheiten oder Möglichkeiten oder den Komfort ihrer Zielgruppe einschränkt, um die User anderer Distros zu schützen, finde ich da schon sehr dreist.

Das tue ich wo?

Ergänzung (Vor 39 Minuten)

anstatt dich hinzustellen

Hörst du mal mit dem aggressiven Ton auf? Eine Änderung der Policy diesbzgl. hätte eben einen positiven Effekt in der Breite. Find ich jetzt nicht ganz weit hergeholt, so zu denken.

Ergänzung (Vor 34 Minuten)

Aber die Lösung ist eben - wie schon seit immer: glaube nicht jeden Scheiß, den du im Internet liest!

Und hör auf zu brüllen, um Himmels Willen. In deiner Rage hast du völlig überlesen, dass ich hier grundsätzlich deiner Meinung bin. Komm endlich runter.

Dass das vielleicht nicht so ist, wie sich die Arch Leute das gedacht haben, darüber müssen wir nicht diskutieren.

 

[Termy]

Das tue ich wo?

Z.b. hier

Das rein auf die Nutzerverantwortung abzuwälzen ist so eine Sache so einfach, wie Pakete aus solchen Quellen heutzutage in verschiedenen Distributionen zur Verfügung gestellt werden. Ich bin auch der Meinung, dass hier nachgeschärft werden muss.

oder hier

Ich persönlich könnte mir eine Art Trust-Ranking vorstellen, bei dem Maintainer für die höchsten Ränge auch bestimmte Auflagen erfüllen müssen.

Hörst du mal mit dem aggressiven Ton auf?

Sorry, wenn das aggressiv rüber kam - ich bin es aus Maintainer-Sicht aber eben Leid, wenn Leute sich bei Community-Projekten hinstellen, einen (oftmals kaum ausgearbeiteten) Vorschlag in den Raum stellen und dann erwarten, dass alle anderen den gefälligst umzusetzen haben, anstatt selbst aktiv zu werden.

Wenn du die Policy geändert sehen möchtest, dann bringe dich z.b. in der AUR-general Mailinglist ein.

 

[Grimba]

gefälligst

Diese Tonlage habe ich zu keinem Zeitpunkt gewählt. Du siehst nur rot, und gibst es auch noch zu. Hier mache ich nicht mit.

Und inwiefern jetzt Komfort und Freiheit eingeschränkt ist durch die Vorschläge, hast du außer isso auch offen gelassen. Nicht meine Diskussionsgrundlage. Reg dich bitte erstmal ab. Das hat gar keinen Zweck mit dir.

 

[Termy]

Diese Tonlage habe ich zu keinem Zeitpunkt gewählt.

Ach, hast du das nicht?

Das wäre in meinen Augen das Minimum.

Und inwiefern jetzt Komfort und Freiheit eingeschränkt ist durch die Vorschläge, hast du außer isso auch offen gelassen.

Das AUR und die Vielfalt darin lebt sehr stark davon, dass die Hürde für Beiträge so niedrig ist.
Wie viele Pakete und wie viele neue Maintainer sind nur deshalb zum AUR gestoßen, weil es eben keine große Reibung gibt.
Wenn du jetzt vorschlägst, dass nur noch Trusted User Pakete erstellen oder updaten können, dann ginge genau diese große Stärke verloren.

Fällt zwar definitiv unter "isso", aber ich hoffe mal, dass es das für dich klarer gemacht hat

Geht dich bitte erstmal ab. Das hat gar keinen Zweck mit dir.

Ja, Gaslighting hat in einer Diskussion wirklich nichts verloren

 

[Grimba]

Ach, hast du das nicht?

Ich sehe da kein gefälligst. Aber ich sehe ein, dass man das so verstehen kann wenn die Augen schon rot glühen. Gemeint war eher das Minimum, was man hier tun könnte um einen positiven Effekt zu erwirken. Ich meinte das aber nicht als harte Forderung. Wir diskutieren doch hier offen über Ideen. Ich dachte der Kontext sei klar. Aber ja, so stets nicht da.

Fällt zwar definitiv unter "isso", aber ich hoffe mal, dass es das für dich klarer gemacht hat

Nicht unbedingt. Ich sehe da durch ein Ranking System jetzt keine Einschränkung drin. Für das niedrigste Ranking würde sich am Ist-Zustand doch gar nichts ändern und die Hürde bliebe niedrig. Der Rest ist Ausgestaltungssache.

 

[eQui]

Wollte nur kurz erwähnen dass ich ja Arch Linux nutze.. so falls jemand drauf eingeht, ich kann leider nicht antworten, da ich mit dem Liegerad zum bouldern fahre. Ich bin übrigens vegan.

San frantschüssco

 

[Grimba]

Gaslighting

Junge, nimm halt echt mal selber den Fuß vom Gas.