Segurança do S.O vs instalação de PPA's...

Iniciado por JoaoDamasceno.ufc, 16 de Agosto de 2012, 23:30

tópico anterior - próximo tópico

JoaoDamasceno.ufc

               Por favor, se não for um absurdo o que posto aqui, me tirem essa dúvida: Muitas vezes quando desejo obter algum programa/software para o Ubuntu, simplesmente vou na Central de Programas, pesquiso algo e... pronto, baixo o programa que for do meu interesse. Por sinal bem simples mesmo. No entanto, recentemente percebi que são muitas as vezes que acabo pesquisando por programas direto de páginas quais quer da internet de modo que encontro "soluções, dicas, truques, etc" que requerem a instalação do um PPA. Daí me veio a indagação:
"esses PPA's são seguros? Quando os instalo assim, tendo-os obtido de uma página qualquer, não seria possível que o programa obtido fizesse algo em "segundo plano" tipo "obter meus dados"?
               Penso que se obtive o programa a partir da Central de Programas, ao menos o tal programa teve de passar por algum critério para poder ser incluído nas listas da Central de Programas (o que me faz pensar que é mais seguro), mais e no caso de um programa obtido de um site qualquer indicando adicionar um PPA?

sudo add-apt-repository ppa:..................................... ?

niquelnausea

sim, você estará exposto a riscos. não sei se entendi direito a parte e, que você diz que os aplicativos apresentados na central de programas são seguros, mas se você acrescentar um ppa esse software sera apresentado na central de programas, ou seja, garantia somente dos programas que estão nos repositórios oficiais do ubuntu.

zekkerj

Sua dúvida é totalmente procedente. A resposta é: instale apenas os repositórios em que confiar.

Como confiar neles? Não sei. Pesquisa, observação, auditoria do código fonte, indicação... é estabelecer um critério e seguí-lo.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

JoaoDamasceno.ufc

Caramba... essa foi uma surpresa pra mim, nunca havia avaliado que algo assim pudesse ocorrer no Ubuntu. Eu imaginava que quando obtemos programas da Central de Programas ou mesmo essas PPA's teriam como princípio o fato de serem testadas pela Canonical ou alguma empresa ou grupo de "desenvolvedores parceiros" que se encarregariam de "ler" o código do programa e só depois "autorizá-lo". Até acho estranho porque já ouvi pessoas afirmarem que é horrível colocar programas na Central de Programas do Ubuntu e eu pensava que isso se devia justamente porque eles teriam um longo processo de testes e verificações justamente pra não permitir a instalação de algum programa gaiato. Porém, pelo visto não é bem assim e programas não muito ingênuos podem passar desapercebidos por muitos usuários (creio que eu seria facilmente um desses usuários sim). Enfim, é ficar de olho mesmo.

garfo

Seguro mesmo só o repositório oficial da Canonical (e os programas que nele contêm). O resto tem que ficar de olho mesmo, principalmente PPAs.
Garfo -  linux
"Pra quê complicar? Facilidade e simplicidade é tudo!"

zekkerj

PPA == "Personal Project Archive". São projetos pessoais, não fazem parte do suporte da Canonical. Você usa por sua conta e risco.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

agente100gelo

Me corrijam se estiver errado. Um PPA para instalação de um simples programa pode conter um substituto malicioso de um aplicativo comum (p. Ex. Firefox) e um usuário dificilmente saberia qual a fonte da atualização.

PPA é uma mão na toda mas tem seus riscos.
Advogado e analista de sistema cearense.
Twitter: @glaydson

JoaoDamasceno.ufc

Pessoal, (sem querer criar mais um tópico), gostaria de saber o seguinte: Se eu uso o Ubuntu 12.04 e ele terá suporte por 5 anos o que implicará que ele estará "ativo" quando do lançamento das versões do Ubuntu: 12.10/ 13.04/ 13.10/ 14.04/ 14.10/ 15.04/ 15.10/ 16.04/ 16.10... ? Daí fico pensando: "durante esse período o fato de o Ubuntu 12.04 ser LTS implicará que eu terei todos os benefícios que vierem a ser desenvolvidos para as muitas versões futuras do Ubuntu?" Ou não é bem assim e o fato é que terei que partir para a instalação do 12.10... depois pro 13.04... etc etc?

jkmsjq

Citação de: garfo online 18 de Agosto de 2012, 23:25
Seguro mesmo só o repositório oficial da Canonical (e os programas que nele contêm). O resto tem que ficar de olho mesmo, principalmente PPAs.

Como sempre digo: fuja das PPA... você precisa ser dono do seu S.O. e não outra pessoa que você não sabe quem é e nunca viu...!!!
LinuxUser: 548942 / Dando um tópico como resolvido
"A verdade só é agressiva a quem vive de mentiras". Autor desconhecido.
Twitter: @jeisonkertesz

garfo

Citardurante esse período o fato de o Ubuntu 12.04 ser LTS implicará que eu terei todos os benefícios que vierem a ser desenvolvidos para as muitas versões futuras do Ubuntu?

Não realmente. Como diz a wiki sobre versões LTS do ubuntu, eles priorizam mais a estabilidade e segurança do que novos aplicativos e recursos que vierem nas versões normais. Ou seja, nada de novas versões do Unity, VLC, Libreoffice, Xorg, Rhythmbox, Totem... apesar do que estes programas continuarão a receber atualizações de segurança.


Mais informações sobre versões LTS: https://wiki.ubuntu.com/LTS/
Garfo -  linux
"Pra quê complicar? Facilidade e simplicidade é tudo!"

linuser104

Sou adepto do extremo cuidado na utilização de aplicativos instalados via PPAs, mas penso que ele é muito mais seguro do que .deb avulsos que encontramos em sites por aí.

Penso isso por que todo PPA tem de ser hospedado no Launchpad (da Canonical) e, pelo menos em teoria, deve ter algum tipo de controle ou regra a ser seguida na criação dos .deb hospedados por lá.

Para quem não sabe:

CitarLaunchpad é uma aplicação web e sítio web para o auxílio no desenvolvimento de software, particularmente software livre. Este projeto é desenvolvido e mantido pela Canonical Ltd.

Em 21 de Julho 2009, o código-fonte foi disponibilizado publicamente protegido pela licença GNU Affero General Public License.[2]
fonte: http://pt.wikipedia.org/wiki/Launchpad


Para mais informações sobre PPAs vejam:
https://help.launchpad.net/Packaging/PPA
Linux = Quem realmente gosta de computador; Mac = Artista Digital; Windows = A maioria que votou no Tiririca [pior que tá não fica].

JoaoDamasceno.ufc

Poxa realmente tem coisa que é osso... uma pena certos aspectos do raciocínio no Ubuntu, vejam só... Eu instalo uma nova versão que vem com falhas etc etc... daí com o tempo quando finalmente estabilizo essa versão... vem uma nova versão e laaaaa se vai eu fazer tudo de novo... rsrsrsrsrs....
E esses PPA's? poxa... tem tanta coisa interessante... pena não ser mais criterioso e ter mais segurança.

jkmsjq

Uma sugestão:

Crie uma patição de testes no HD e experimenta tudo que tem vontade. Quando se sentir seguro, faça as alterações na partição principal com o seu S.O. e use tranquilamente... :D

Experimenta...!!!
LinuxUser: 548942 / Dando um tópico como resolvido
"A verdade só é agressiva a quem vive de mentiras". Autor desconhecido.
Twitter: @jeisonkertesz

rodrigo.miguel

Citação de: JoaoDamasceno.ufc online 19 de Agosto de 2012, 09:36
Pessoal, (sem querer criar mais um tópico), gostaria de saber o seguinte: Se eu uso o Ubuntu 12.04 e ele terá suporte por 5 anos o que implicará que ele estará "ativo" quando do lançamento das versões do Ubuntu: 12.10/ 13.04/ 13.10/ 14.04/ 14.10/ 15.04/ 15.10/ 16.04/ 16.10... ? Daí fico pensando: "durante esse período o fato de o Ubuntu 12.04 ser LTS implicará que eu terei todos os benefícios que vierem a ser desenvolvidos para as muitas versões futuras do Ubuntu?" Ou não é bem assim e o fato é que terei que partir para a instalação do 12.10... depois pro 13.04... etc etc?

De modo geral, você terá somente atualizações de segurança e correção de bugs. Mas há exceções, como o Firefox, que é atualizado para novas versões, e os aplicativos disponibilizados no repositório backport.

Nada impede que você instale novas versões de determinados aplicativos. Mas isso fica a cargo do usuário, baixando o pacote do site oficial do aplicativo (como o libreoffice.org), de um PPA, etc.

Devemos estar atentos ao que queremos e ao que é oferecido pela distribuição. Se você quer estabilidade, use Ubuntu LTS. Se quer uma distribuição sempre atualizada com os pacotes mais recentes sem precisar ficar reinstalando o sistema, use o Linux Mint Debian Edition (que é rolling release), Arch Linux, etc - mas há o risco de instabilidades...

neltonrsouza

Estou desistindo de usar PPA's devido ao tempo para realizar um apt-get update, sem contar os erros durante esse processo e uma demora quando precisa atualizar alguma coisa. Outra coisa a ser levada em conta é o quesito segurança.

Tem que analisar qual o seu objetivo:

1 - Programas atualizados, uso de recursos que serão disponibilizados somente na nova versão, etc... - Use PPA's

2 - Segurança e estabilidade. - Utilize somente o repositório oficial.