Snaps kunnen malware bevatten!

[Noidem]

Canonical wil z'n snapstore zo snel mogelijk zo vol mogelijk hebben en heeft besloten om in te leveren op controle op veiligheid van de aangeleverde snaps. Lekker dan...

Zie deze video : https://youtu.be/UhxyoWgrRV8

[partyrabbit]

Is er ook nog een officiele bron? Want ik geloof niet zomaar alles wat negatief gebracht wordt (en dat is véééél )

[peer]

zie hier: http://techrights.org/n/2023/10/01/Malware_in_the_Ubuntu_Snap_Store_Thanks_to_Canonical_Bloatware_.shtml

[Paul Matthijsse]

zie hier: http://techrights.org/n/2023/10/01/Malware_in_the_Ubuntu_Snap_Store_Thanks_to_Canonical_Bloatware_.shtml

Verhaal gelezen. Ik zie geen enkel feit over adware of malware of keyloggers in snaps van Canonical. De auteur verspreidt veel rook maar het heeft er alle schijn van dat hij een appeltje te schillen heeft met Wikipedia/Canonical/Microsoft/de rest van de wereld behalve Richard Stallman.

Wat mij betreft een lulverhaal (zoals je zoveel op internet kunt lezen).

[Noidem]

Wat mij betreft een lulverhaal (zoals je zoveel op internet kunt lezen).

Ga je deze ook als lulverhaal bestempelen of op een andere manier de kop in het snapzand steken : https://forum.snapcraft.io/t/temporary-suspension-of-automatic-snap-registration-following-security-incident/37077?

[ajjp]

Als ik het verhaal van de link lees, dan is het duidelijk dat er eerder iets fout is gegaan. Maar ook dat er direct is ingegrepen en dat de controle op nieuwe snaps is aangescherpt.
Dat is dus iets heel anders dan wat Noidem in zijn eerste post schrijft, namelijk dat Canonical z'n snapstore zo snel mogelijk zo vol mogelijk wil hebben en heeft besloten om in te leveren op controle op veiligheid van de aangeleverde snaps.
Integendeel!

[Noidem]

Dat is dus iets heel anders dan wat Noidem in zijn eerste post schrijft, namelijk dat Canonical z'n snapstore zo snel mogelijk zo vol mogelijk wil hebben en heeft besloten om in te leveren op controle op veiligheid van de aangeleverde snaps.

Zie de video. Niet van mij.

Maar ik begrijp de reacties wel. Het duurt meestal even voordat men wil accepteren dat iemands favoriete OS (en de producent daarvan) her en der wat  barstjes  begint te vertonen. Ik zeg hier niet dat Canonical inmiddels bagger aflevert. Helemaal niet. Maar..... het OS begint (voor mij tenminste) wat vreemde trekjes te vertonen, waar ik niet van gecharmeerd bent. Een daarvan is het door de strot douwen van snaps bij de gebruiker. Ik wil van Canonical de KEUZE krijgen of ik snaps geinstalleerd wil hebben of niet. Dat is de kern van Linux software. De gebruiker kan KIEZEN.

Het Linux Mint team (niet bepaald de minste) is inmiddels al aan het voorsorteren op een zeer waarschijnlijk afscheid van hun op Ubuntu gebaseerde OS.
Ook zij zien wat minder prettige ontwikkelingen bij Canonical blijkbaar.

Als reactie daarop hebben ze het fenomenale LMDE ontwikkeld (https://linuxmint.com/download_lmde.php)! Linux Mint Debian Edition. Direct gebaseerd op Debian. De Ubuntu-schakel is weg.  Versie 6 is net uit (met kernel 6.1) en het is een droomOS wat mij betreft. Ik ben het aan het uitproberen en weet vrijwel zeker dat ik gedag ga zeggen tegen Ubuntu. Waarbij ik nogmaals aanhaal, dat Ubuntu een heel goed OS is, maar het voldoet voor mij persoonlijk niet meer voldoende aan de eisen die ik stel aan een OS.
   

[h2o]

Als reactie daarop hebben ze het fenomenale LMDE ontwikkeld (https://linuxmint.com/download_lmde.php)! Linux Mint Debian Edition. Direct gebaseerd op Debian. De Ubuntu-schakel is weg.  Versie 6 is net uit (met kernel 6.1) en het is een droomOS wat mij betreft. Ik ben het aan het uitproberen en weet vrijwel zeker dat ik gedag ga zeggen tegen Ubuntu. Waarbij ik nogmaals aanhaal, dat Ubuntu een heel goed OS is, maar het voldoet voor mij persoonlijk niet meer voldoende aan de eisen die ik stel aan een OS.

Linux Mint heeft al jaren een LMDE versie als een soort plan B. Dat is niet nieuw. In eerdere versies van LMDE hadden ze die gebaseerd op Debian testing, nu op Debian stable (het huidige Bookworm).
LMDE is gebaseerd op cinnamon. Ik prefereer XFCE. Die versie van LMDE bestaat niet. Maar dat is niet moeilijk om te installeren en cinnamon door XFCE te verwisselen.
Verder kun je in ieder geval ook Xubuntu in een minimale versie installeren en daarna Snaps eruit monteren. Ook die mogelijkheid heb je nog, maar dat is wel wat sloopwerk waarbij je moet weten wat je doet. Niet voor beginners.

[Noidem]

Verder kun je in ieder geval ook Xubuntu in een minimale versie installeren en daarna Snaps eruit monteren. Ook die mogelijkheid heb je nog, maar dat is wel wat sloopwerk waarbij je moet weten wat je doet. Niet voor beginners.

Daarom denk ik : waarom moeilijk doen als het ook makkelijk kan (met bv een OS als LMDE). Maar die keuze mag ieder natuurlijk voor zich maken.

[Pjotr]

LMDE is inderdaad een al vrij lang bestaand "plan B" voor Linux Mint. Maar de hoop en de verwachting van de LM-ontwikkelaars is dat ze nog vele, vele jaren gebruik kunnen maken van de uitstekende Ubuntu-codebasis (en ik hoop en verwacht dat met hen). 

Overigens moet ik nog niet veel hebben van snaps, flatpaks en aanverwanten. Sterker nog, ik verwijder zelfs de bijbehorende infrastructuur standaard uit mijn systeem.

Maar hoe onvolkomen ook, dat spul is wel de (hopelijk verre) toekomst.... Simpelweg omdat het een stuk minder werk voor de ontwikkelaars betekent, zowel bovenstrooms (de toepassingen) als benedenstrooms (de distro's).

Afijn. Tegen de tijd dat er geen alternatief meer is, verwacht ik wel dat het systeem van snaps/flatpaks dusdanig zal zijn verbeterd dat de belangrijkste tekortkomingen opgelost zullen zijn. Maar tot dat ogenblik ben ik zelf in elk geval geen proefkonijn.

[aartje]

Helemaal mee eens...
Ik hoef ook niet persee altijd de nieuwste versies van software te hebben...

[Noidem]

Helemaal mee eens...
Ik hoef ook niet persee altijd de nieuwste versies van software te hebben...

Ik geloof niet dat Pjotr het heeft over altijd de nieuwste software versies hebben .

Zoals ik al eerder aangaf is Ubuntu een heel goed OS, maar bepaalde keuzes van Canonical zijn voor mij de reden om het elders te zoeken.
De lat ligt bij de meeste Linux gebruikers erg hoog. En terecht! We zijn en worden verwend met heel veel kwaliteitssoftware, waardoor 'we' kritisch zijn.
Dat mag en ik denk dat dat ook nodig is.
Het is toch prachtig dat er in de Linuxwereld zo'n groot arsenaal is waaruit gekozen mag en kan worden.
Ik denk wel dat voor de meeste Linux gebruikers stabiliteit en veiligheid twee van de belangrijkste pijlers zijn. Voor mij tenminste wel. En doorgaans is Linux in vergelijking met andere OS-en natuurlijk een hemel, betreffende voornoemde pijlers.

Maar goed, ik ga off-topic.

Kies daarvoor wat jij goed acht . Wat bij jouw eisen aansluit. Waar jij je prettig bij voelt. Maar doe 't wel LINUX (hoewel ook dat geen verplichting is )

[vanadium]

Een daarvan is het door de strot douwen van snaps bij de gebruiker. Ik wil van Canonical de KEUZE krijgen of ik snaps geinstalleerd wil hebben of niet. Dat is de kern van Linux software. De gebruiker kan KIEZEN.

Je hebt de keuze. Niemand, en zeker Canonical, verbied je snap te verwijderen.

Linuxdistributies zijn voorgeconfigureerde linux systemen. Maakt een distributie keuzes die je niet wil, zoek dan een distributie die beter aansluit bij wat je zelf wil, als je niet zelf wenst te configureren.

Het Linux Mint team (niet bepaald de minste) is inmiddels al aan het voorsorteren op een zeer waarschijnlijk afscheid van hun op Ubuntu gebaseerde OS.
Ook zij zien wat minder prettige ontwikkelingen bij Canonical blijkbaar.

Dat deden ze al vanaf hun ontstaan, maar tot op heden blijft de op Ubuntu gebaseerde versie toch het vlagschip.

Waarbij ik nogmaals aanhaal, dat Ubuntu een heel goed OS is, maar het voldoet voor mij persoonlijk niet meer voldoende aan de eisen die ik stel aan een OS.
 

Mooi dat je dit stelt over Ubuntu. Aarzel niet om een distributie te testen die beter bij je voorkeur aansluit. We zijn heel wat meer verwent op dit vlak: veel distributies, zelfs Debian, zijn heel wat toegankelijker dan weleer.

[Paul Matthijsse]

Ga je deze ook als lulverhaal bestempelen of op een andere manier de kop in het snapzand steken : https://forum.snapcraft.io/t/temporary-suspension-of-automatic-snap-registration-following-security-incident/37077?

Ik heb dat verhaal gelezen en daar zie ik voor het eerst links naar het echte probleem. Het gaat kennelijk om crypto-software en dat is een wereld waar ik me heel ver van houd. Nog even doorgezocht en ik kwam uit op een verhaal op Omgubuntu.

https://www.omgubuntu.co.uk/2023/09/snap-store-uploads-restricted-following-possible-security-incident

Twee citaten hieruit:

Based on what Canonical has said so far – and the actions they’ve taken – it does not seem like these malicious snaps were exploiting security holes within snaps, snapd, or the Snap Store infrastructure itself – which is a good thing.
[...]
Rather, as in 2018, it’s a dev doing icky things within the bounds of what’s possible.

Zoals ik het lees is de beveiliging van de infrastructuur van snaps op zichzelf dus wel op orde, maar heeft een programmeur een manier gevonden om crypto-gebruikers over te halen hun backup-wachtwoorden even door te geven, tsja...

Maar om daarom alle snaps op één hoop te gooien gaat me wat ver.

[partyrabbit]

Maar ik begrijp de reacties wel. Het duurt meestal even voordat men wil accepteren dat iemands favoriete OS (en de producent daarvan) her en der wat  barstjes  begint te vertonen.

Wacht ... ff koffie van mijn beeldscherm poetsen en weer op mijn stoel klimmen 

Want ik geloof niet zomaar alles wat negatief gebracht wordt (en dat is véééél )

Dacht jij echt dat jij de eerste was met zulk nieuws!? Dacht je een scoop te hebben?
30+ jaar ervaring met computers, netwerkbeheer, internet, en veiligheid, en ethisch hacken, waarvan 10+ met Linux. En nog nooit zo stabiel, makkelijk en veilig gewerkt als de afgelopen 10 jaar  10 jaar lang stabieler dan voorheen nooit een maand lang.

Precies wat Paul zegt. Ook met Linux is er weleens iets. Altijd snel opgelost door de community. Minsten 75% van de gevallen al opgelost voor het überhaupt bekend was  Dat waar je elders nog weken lang kunt wachten voor er een goede oplossing is Ik heb ooit virussen verwijderd waar nog geen patches voor bestonden 

voldoet voor mij persoonlijk niet meer voldoende aan de eisen die ik stel aan een OS.

Prima! Je bent vrij in je eigen keuzes. Als Linux je niet bevalt dan fijn verwijderen. Ga je toch fijn een OS kopen leasen (want wordt niet meer je volledige eigendom). Veel plezier. Geniet ervan.

(maar ga nou niet hier het bijdehandje uithangen omdat je denkt dat je iets ontdekt hebt aub)

[Ron]

Ook met Linux is er weleens iets.
Altijd snel opgelost door de community.
Minsten 75% van de gevallen al opgelost voor het überhaupt bekend was 
Dat waar je elders nog weken lang kunt wachten voor er een goede oplossing is

Je hoeft niet wachten op patch-zondag of iets dergelijks, wanneer een patch klaar is, dan is deze gelijk beschikbaar.

[partyrabbit]

Precies dat Ron!

Ik heb ooit virussen verwijderd waar nog geen patches voor bestonden 

Malware, virussen ... Ze bestaan niet eens voor Linux 
Alleen als je zelf dom doet door de simpele veiligheidsaspecten van Linux niet in acht te houden kun je foute scripts binnen halen (niet eens mallware-virussen want zoals ik al zei, die bestaan gewoon niet!)

[bryan]

Beste Partyrabbit,

Ik wil je hartelijk danken voor je bijdragen! Ook weer in dit topic. Altijd goed gefundeerd, zeer respectvol, kort en krachtig en nooit overmatig gebruik van leestekens, vetgedrukte tekst etc. etc.
Verder versta je de kunst als geen ander om medeforumgebruikers niet tegen je in het harnas te jagen. Sjapo! Sjapo! Sjapo!
Je bent onmisbaar...

En wat zijn we weer benieuwd naar je reactie.

[partyrabbit]

Beste Partyrabbit,

Ik wil je hartelijk danken voor je bijdragen! Ook weer in dit topic. Altijd goed gefundeerd, zeer respectvol, kort en krachtig en nooit overmatig gebruik van leestekens, vetgedrukte tekst etc. etc.
Verder versta je de kunst als geen ander om medeforumgebruikers niet tegen je in het harnas te jagen. Sjapo! Sjapo! Sjapo!
Je bent onmisbaar...

En wat zijn we weer benieuwd naar je reactie.

Geen dank. Ik pas me inderdaad altijd aan aan mijn gesprekspartners.
Ja kort en krachtig. Ik houdt van duidelijkheid want houdt niet van gedraai om de brei en diep verborgen boodschappen. Leestekens en vetgedrukt, omdat ik het al eerder zei (allereerste reactie zelfs) maar het blijkbaar niet duidelijk genoeg was dat hij daarna nog (veel harder) door ging. Sjah, dan herhaal ik het nog even een keer duidelijk 

Alsof zijn communicatie zo goed gefundeerd en zeer respectvol was, al voor ik me ermee bemoeide.
Dus houdt even oorzaak en gevolg in beschouwing en ga bij de oorzaak klagen aub. 
Of leg mij anders even uit waarom de ene wel onprettig mag communiceren, een prima OS af mag kraken, en zijn mening mag verkondigen waarbij hij mensen persoonlijk aanspreekt alsof ze naief zijn en een halve community respectloos belachelijk maakt om hun keuze ... en de ander niet?
Overigens inhoudelijk vind ik snaps ook niet zo'n succes en ontwijk ik ze, maar dan hoef je nog niet een heel OS af te kraken en zo'n uitspraken over gebruikers te doen (als 183e in rij).

Nog steeds geirriteerd? Kijk ook even naar de link in mijn footer 

[bryan]

En ... hap!

[partyrabbit]

En ... hap!

Wat hap? Ik reageer gewoon even op iemand. Normaal fatsoen om iemand niet te negeren als hij je aanspreekt.

Maar ga lekker verder met dit onzinnige paniek zaaiende onderwerp, voor de zoveelste keer.
Ik hoop alleen niet dat dit soort paranoïde onderwerpen zo lang door gaan slaan dat ze gaan verzanden in het niveau "great reset" en zo. Ik was eigenlijk blij dat dat soort onzin hier nog niet gemeengoed is.
Whatever. Jij hebt jezelf duidelijk getoond als een opruier. Ben er maar bij mee.
Veel plezier.

[loti]

Beste Partyrabbit

Het zou je sieren je toon wat te matigen,  jouw manier van reageren stoort mij ook regelmatig.
Wat dat betreft kan ik de punten die bryan aanhaalt wel beamen, en je verwijzing  naar een irritatie link  is wel erg gemakkelijk.

[Ron]

Dit topic dreigt de verkeerde kant op te gaan.
Slotje dus,zonder iemand aan te wijzen