google-talkplugin : un paquet DEB qui se met à jour tout seul !

YannUbuntu · Le 01/09/2010, à 04:58

Bonjour

ce matin je suis surpris de voir que dans mes mises a jours se trouve le plugin googletalk, que j'avais pourtant installé via un paquet DEB standalone sans ajouter de dépôt.

Après vérification, il semble bien que ce paquet DEB ait à la fois installé le logiciel et ajouté le dépôt qui permet de le maintenir à jour.

C'est la 1ere fois que je vois ce genre de système. Connaissez-vous d'autres applications qui font la même chose ?

vikin · Le 01/09/2010, à 05:06

Bonjour

Opera fait la même chose.

LoseMagnet · Le 01/09/2010, à 08:03

Le paquet .deb a configuré son propre dépôt : http://dl.google.com/linux/talkplugin/deb/

dekans · Le 01/09/2010, à 10:28

Le paquet deb ajoute sa propre source apt :
/etc/apt/sources.list.d/google-talkplugin.list

Chrome fait pareil aussi.

Link31 · Le 01/09/2010, à 12:53

Je le savais déjà, mais c'est quand même la preuve que le système de paquets d'Ubuntu est loin d'être aussi sûr qu'il paraît l'être...

Ce qu'il manque, c'est un système de sandbox, comme sous Gentoo par exemple. Lors de l'installation d'un programme, celui-ci est décompressé dans un dossier indépendant, puis c'est le gestionnaire de paquets lui-même qui vérifie si tous les fichiers sont "sûrs" avant de les installer réellement dans le système. Un tel système pourrait par exemple interdire l'ajout de dépôts dans le dossier /etc/apt/sources.list.d/.

Il ne faut pas oublier qu'un dépôt tiers a énormément de contrôle sur votre système. Il lui suffit de publier un paquet dont la version est légèrement supérieure à la version des dépôts officiels pour que celui-ci soit installé automatiquement (à moins d'utiliser l'apt-pinning, mais je doute que beaucoup de gens ici sachent seulement ce que c'est). C'est la porte ouverte à tous les spywares possibles.

src · Le 01/09/2010, à 13:16

Chrome fait pareil, dans sa verison deb et rpm (pas bien)

Opera je sais pas, en version rpm il ne semble pas le faire.

C'est pas très propre en tous cas.

vikin · Le 01/09/2010, à 13:56

Link31 a écrit :

Je le savais déjà, mais c'est quand même la preuve que le système de paquets d'Ubuntu est loin d'être aussi sûr qu'il paraît l'être...

Télécharge le paquet deb d'Opera pour Debian et pour Ubuntu et tu verras que ce sont les mêmes.
Comme d'hab tu tires des conclusions hâtives et semble oublier sur qui Ubuntu est basée.

Face à une installation manuelle aucun système n'est protégé. Pas besoin d'ajouter un dépôt pour rendre un système vulnérable.

Кຼزດ · Le 01/09/2010, à 14:06

Super spyware

Dernière modification par mathieuI (Le 01/09/2010, à 14:52)

boufonman35 · Le 01/09/2010, à 14:51

Visiblement vous pensez presque tous que c'est un problème ce genre de "techniques" ... personnellement mon avis est quelques peu différent (pour l'instant en tout cas, je suis pas un expert en sécurité).
L'installation avec un .deb c'est sympa mais ça nous oblige a mettre a jour le logiciel nous même dès qu'une nouvelle version est dispo ... bien entendu si il existe un dépôts nous sommes libre de l'installer via le dépôts. Mais là ou je trouve cette technique fantastique, c'est que l'installation d'un .deb est super simple ... alors si installé un .deb facilement nous ajoute automatiquement le dépôts qui va avec, pour moi ça reste sympa comme technique.

Puis bon, relativisons, pour l'instant y'en a très peu qui utilisent ça ... google depuis qu'ils nous publie des logiciels pour Linux et opéra comme l'on dit certains ici.

LoseMagnet · Le 01/09/2010, à 15:01

boufonman35 a écrit :

Mais là ou je trouve cette technique fantastique, c'est que l'installation d'un .deb est super simple ... alors si installé un .deb facilement nous ajoute automatiquement le dépôts qui va avec, pour moi ça reste sympa comme technique.

Un mieux serrait peut-être alors une option à (dé)cocher pour installer ou non le dépôt lors de l'installation du .deb, avec le nom du dépôt, son adresse et un descriptif.

boufonman35 · Le 01/09/2010, à 16:35

LoseMagnet a écrit :

boufonman35 a écrit :
Mais là ou je trouve cette technique fantastique, c'est que l'installation d'un .deb est super simple ... alors si installé un .deb facilement nous ajoute automatiquement le dépôts qui va avec, pour moi ça reste sympa comme technique.
Un mieux serrait peut-être alors une option à (dé)cocher pour installer ou non le dépôt lors de l'installation du .deb, avec le nom du dépôt, son adresse et un descriptif.

Ah oui, tout a fait d'accord sur ce point ! Nous laisser le choix c'est important

src · Le 01/09/2010, à 17:02

Il me semble que c'est écrit dans les conditions d'utilisation que nous sommes censés lire avant de télécharger le logiciel. Google donne même une commande à taper avant d'installer le .deb si on ne veut pas du dépôt.

Link31 · Le 01/09/2010, à 18:07

vikin a écrit :

Link31 a écrit :
Je le savais déjà, mais c'est quand même la preuve que le système de paquets d'Ubuntu est loin d'être aussi sûr qu'il paraît l'être...
Télécharge le paquet deb d'Opera pour Debian et pour Ubuntu et tu verras que ce sont les mêmes.
Comme d'hab tu tires des conclusions hâtives et semble oublier sur qui Ubuntu est basée.

Moi, oublier qu'Ubuntu est basée sur Debian ? J'imagine que j'utilisais déjà l'une et l'autre avant même que tu passes sous GNU/Linux, mais ça n'a pas d'importance.

vikin a écrit :

Face à une installation manuelle aucun système n'est protégé. Pas besoin d'ajouter un dépôt pour rendre un système vulnérable.

Non, mais rajouter un dépôt est l'un des moyens les plus efficaces, et les plus simples à mettre en place, pour pourrir un système depuis l'extérieur. Ça ne devrait pas être le cas, et des paquets .deb ne devraient pas être en mesure de rajouter des dépôts aussi facilement.

vikin · Le 01/09/2010, à 19:50

Link31 a écrit :

J'imagine que j'utilisais déjà l'une et l'autre avant même que tu passes sous GNU/Linux, mais ça n'a pas d'importance.

Décidément la conclusion hâtive c'est ton truc. Il ne faut pas se fier à la date d'inscription sur un forum.

Link31 a écrit :

Non, mais rajouter un dépôt est l'un des moyens les plus efficaces, et les plus simples à mettre en place, pour pourrir un système depuis l'extérieur.

Dans ce cas il faut remettre en cause le mode d'installation de beaucoup de distribution.
http://linuxfr.org/~patrick_g/27082.html

Link31 a écrit :

Ça ne devrait pas être le cas, et des paquets .deb ne devraient pas être en mesure de rajouter des dépôts aussi facilement.

src a écrit :

Chrome fait pareil, dans sa verison deb et rpm (pas bien)

Lorsque l'on installe un paquet extérieur on regarde ce qu'il installe avant. L'onglet "fichiers inclus" n'est pas là pour rien.

Link31 · Le 01/09/2010, à 20:35

vikin a écrit :

Lorsque l'on installe un paquet extérieur on regarde ce qu'il installe avant. L'onglet "fichiers inclus" n'est pas là pour rien.

Les fichiers créés dans les scripts de postinstall n'apparaissent pas dans la liste des fichiers inclus. Et les scripts de postinstall sont exécutés en tant que root, et ont un accès total sur le système. C'est ce dernier point qu'il faudrait changer. Sous Gentoo, tous les scripts d'installation tournent dans une sandbox.

Elzen · Le 01/09/2010, à 20:51

vikin a écrit :

Décidément la conclusion hâtive c'est ton truc.

Il n'empêche que Link31 avait parfaitement raison dans sa remarque initiale et que ta critique était déplacée : le problème vient bien du système de paquets d'Ubuntu. Qui se trouve être rigoureusement celui de Debian, mais il n'empêche que nous sommes sur un forum Ubuntu.

Et sinon, les paquets non-libres présent dans les dépôts officiels ont au moins été vérifiés, sinon réempaquetés, par les développeurs du système. Si vous insistez pour installer des trucs pas libres récupérés sur des sites largement connus pour leur non-respect de la vie privée et d'autres trucs de ce genre, forcément...

Dernière modification par ArkSeth (Le 01/09/2010, à 20:52)

vikin · Le 01/09/2010, à 21:02

Link31 a écrit :

Les fichiers créés dans les scripts de postinstall n'apparaissent pas dans la liste des fichiers inclus. .

ArkSeth a écrit :

mais il n'empêche que nous sommes sur un forum Ubuntu.

:lol::lol::lol::lol: L'excuse bidon.

Link31 · Le 01/09/2010, à 21:21

vikin a écrit :

Link31 a écrit :
Les fichiers créés dans les scripts de postinstall n'apparaissent pas dans la liste des fichiers inclus. .
http://pix.toile-libre.org/upload/thumb/1283367664.png

Et ?

Je le redis : "les fichiers créés dans les scripts de postinstall n'apparaissent pas dans la liste des fichiers inclus". Il se trouve que le script cron qu'on voit sur ton screenshot n'est pas créé dans le script de postinstall, mais est réellement inclus dans le paquet. Donc il apparaît dans la liste.

Ça n'empêche pas que Google, ou n'importe qui d'autre, aurait pu créer le script cron depuis ./postinst, et ça ne serait pas apparu dans cette liste. Donc ton argument, disant que les gens n'auraient qu'à regarder la liste des fichiers contenus dans un paquet pour savoir ce qu'ils vont installer, ne tient pas. Et selon moi, le système de paquets .deb, utilisé sans sandbox, est dangereux.

vikin · Le 01/09/2010, à 21:29

Là on parle de l'ajout du dépôt. Je répondais à ton message qui se trouve ici. http://forum.ubuntu-fr.org/viewtopic.php?pid=3701000#p3701000

En plus de tirer des conclusions hâtives, tu changes de direction selon ton bon vouloir.

vikin · Le 01/09/2010, à 21:36

Link31 a écrit :

Et selon moi, le système de paquets .deb, utilisé sans sandbox, est dangereux.

Va le dire sur les mailing list parque ce ne sont pas les ulisateurs qui y peuvent grand chose.

Link31 a écrit :

les gens n'auraient qu'à regarder la liste des fichiers contenus dans un paquet

Ou ai-je dit ça surtout concernant un paquet propriétaire.

Le sujet concerne l'ajout du dépôt.
T'es tellement aveuglé par ta haine d'Ubuntu que tu n'évolues plus. Les discussions avec manini sont plus instructives.

Dernière modification par vikin (Le 01/09/2010, à 21:36)

Claudia JSF · Le 01/09/2010, à 22:02

Existe-il une liste de ces logiciels/paquets qui agissent de la sorte? (mise en dépot sans qu'on le fasse nous même?)

Sinon il serait peut-être utile de la créer et de la mettre en ligne!!!!

vikin · Le 01/09/2010, à 22:06

Je ne crois pas qu'il existe de liste concernant ces logiciels.
Je sais juste que l'intégration du dépôt pour Opera était une demande des utilisateurs.

dekans · Le 01/09/2010, à 22:39

Ça change quoi par rapport aux systèmes d'auto-update sous Windows ? (à part que là c'est mieux fait car géré par l'OS).

Dernière modification par dekans (Le 01/09/2010, à 23:24)

pipocas · Le 01/09/2010, à 22:46

Je trouve ça très bien. C'est utiliser les capacités de l'OS ni plus ni moins.

Si vous n'avez pas confiance au dépot, pourquoi installer le.deb? C'est pareil!

Elzen · Le 02/09/2010, à 00:14

vikin a écrit :

ArkSeth a écrit :
mais il n'empêche que nous sommes sur un forum Ubuntu.
:lol::lol::lol::lol: L'excuse bidon.

Ce n'est pas une excuse bidon, c'est juste un parfait exemple du principe du choix du référentiel.

Si tu as déjà suivi des cours de physique au lycée, tu dois connaître (peut-être seulement si tu es allé en S, mais il me semble quand même que c'est abordé dès la seconde) : quand tu étudies le mouvement du mobile autoporteur qui bouge sur sa table, tu dois choisir un référentiel. Que tu choisisses l'immeuble au bout de la rue ou la table sur laquelle se situe le mobile, cela revient très exactement au même, puisque les deux ne bougent pas l'un par rapport à l'autre. Mais comme la table est à côté de toi, tu choisis la table.

Ici, Ubuntu étant dérivé de Debian, le système de paquets d'Ubuntu est identique au système de paquets de Debian, et donc dire l'un ou l'autre revient très exactement au même. Mais comme on est sur un forum Ubuntu, on parle de celui d'Ubuntu.

Si ça ça te paraît être une excuse bidon ou quelque chose de ce genre... j'sais pas, essaye de recompiler ta philanthropie, parce que refuser d'admettre que quelqu'un qui a juste fait un choix tout à fait justifiable entre deux termes équivalents ait pu ne pas se tromper, ça ressemble quand même à un mépris d'autrui assez prononcé.

Dernière modification par ArkSeth (Le 02/09/2010, à 00:14)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 01/09/2010, à 04:58

google-talkplugin : un paquet DEB qui se met à jour tout seul !

#2 Le 01/09/2010, à 05:06

Re : google-talkplugin : un paquet DEB qui se met à jour tout seul !

#3 Le 01/09/2010, à 08:03

Re : google-talkplugin : un paquet DEB qui se met à jour tout seul !

#4 Le 01/09/2010, à 10:28

Re : google-talkplugin : un paquet DEB qui se met à jour tout seul !

#5 Le 01/09/2010, à 12:53

Re : google-talkplugin : un paquet DEB qui se met à jour tout seul !

#6 Le 01/09/2010, à 13:16

Re : google-talkplugin : un paquet DEB qui se met à jour tout seul !

#7 Le 01/09/2010, à 13:56

Re : google-talkplugin : un paquet DEB qui se met à jour tout seul !

#8 Le 01/09/2010, à 14:06

Re : google-talkplugin : un paquet DEB qui se met à jour tout seul !

#9 Le 01/09/2010, à 14:51

Re : google-talkplugin : un paquet DEB qui se met à jour tout seul !

#10 Le 01/09/2010, à 15:01

Re : google-talkplugin : un paquet DEB qui se met à jour tout seul !

#11 Le 01/09/2010, à 16:35

Re : google-talkplugin : un paquet DEB qui se met à jour tout seul !

#12 Le 01/09/2010, à 17:02

Re : google-talkplugin : un paquet DEB qui se met à jour tout seul !

#13 Le 01/09/2010, à 18:07

Re : google-talkplugin : un paquet DEB qui se met à jour tout seul !

#14 Le 01/09/2010, à 19:50

Re : google-talkplugin : un paquet DEB qui se met à jour tout seul !

#15 Le 01/09/2010, à 20:35

Re : google-talkplugin : un paquet DEB qui se met à jour tout seul !

#16 Le 01/09/2010, à 20:51

Re : google-talkplugin : un paquet DEB qui se met à jour tout seul !

#17 Le 01/09/2010, à 21:02

Re : google-talkplugin : un paquet DEB qui se met à jour tout seul !

#18 Le 01/09/2010, à 21:21

Re : google-talkplugin : un paquet DEB qui se met à jour tout seul !

#19 Le 01/09/2010, à 21:29

Re : google-talkplugin : un paquet DEB qui se met à jour tout seul !

#20 Le 01/09/2010, à 21:36

Re : google-talkplugin : un paquet DEB qui se met à jour tout seul !

#21 Le 01/09/2010, à 22:02

Re : google-talkplugin : un paquet DEB qui se met à jour tout seul !

#22 Le 01/09/2010, à 22:06

Re : google-talkplugin : un paquet DEB qui se met à jour tout seul !

#23 Le 01/09/2010, à 22:39

Re : google-talkplugin : un paquet DEB qui se met à jour tout seul !

#24 Le 01/09/2010, à 22:46

Re : google-talkplugin : un paquet DEB qui se met à jour tout seul !

#25 Le 02/09/2010, à 00:14

Re : google-talkplugin : un paquet DEB qui se met à jour tout seul !

Pied de page des forums