Comments 354
Вот интересно. В прошлом посте когда я писал коммент про updatepack от @simplix с негодованием о его потенциально-деструктивных действиях (там у пачки пользователей ломалась винда, если регионы совпадали ru) - мне слили карму и напихали за уши. Мол все он правильно делает.
@Obsolete1989@DasEzh @DrMefistO @Vilgelm скажете, что и в этом случае такой вандализм оправдан? Или у вас стрелочка в этот раз не поворачивается?
Я не могу отвечать за всех дебилов. А дебилы есть на каждой из сторон, увы. Действия Симпликса я одобряю, они не были деструктивными, действия данного же автора - это точно дебилизм.
для справедливости - примерный разбор полетов был уже в комментариях пользователями намного позже.
но изначальная мысль опиралась на сам факт ограничений автора и приведенных комментариев с его форума в статье, что (по возможному совпадению) после установки ОС вела себя уже иначе и ломалась.
ввел он ограничения, окей, его право - тут никто не спорит. но гарантий, что в следующий апедейтпак он не запихнет еще что-то тоже как бы нет.
Винда себя ломает довольно часто и без участия пользователя.
Время «хороших» обновлений давно закончилось.
До этой недели сидел на ltsc 18.09 с момента выхода, но захотелось wsl2 и рискнул поставить 11. И знаете - очень доволен. Куча рабочего софта, всякие ide, слаки, всл2, в нем убунта, докер с интеграцией в эту убунту и ни одного сбоя за уже 3 дня. Прям порадовала система, хотя тоже зарекался ставить не ltsc.
Это ещё проблема кривых, устаревших драйверов и прикладного ПО.
Насчет мажорных не уверен. Особо не фиксировал, но последние года полтора "наслаждаюсь чередующимися бяками". Очередное обновление - периодические и непредсказуемые BSOD с "диагнозом" DRIVER_POWER_STATE_FAILURE. Следующее за ним - сей "синий экран" вроде не наблюдается, зато, по возврату из спящего режима, умирает клавиатура. Ляпота. Ну и (совсем уж не протоколировал) то есть, то нет в диспетчере устройств и диспетчере задач дискретная видеокарта. Общался и с производителем и с "Мелкософтом" - результат "абу". Ноутбук HP OMEN c Intel CORE i7 7th Gen и NVIDIA GEFORCE GTX 1050i.
В 10-ке целый год был баг, который меня аффектил — если полу-системные каталоги типа Мои документы лежат на диске, отличном от C: (по-моему, важно, что физически это другой девайс, но не точно) и при этом обратно смонтированы на C:, то в них рандомно пропадали файлы. Я год думал, что у меня или троян, или винт летит. А потом о баге сообщили официально и пофиксили. Но год, Карл… Год!
ввел он ограничения, окей, его право - тут никто не спорит. но гарантий, что в следующий апедейтпак он не запихнет еще что-то тоже как бы нет.
Безосновательные наезды, получается уже? Типа, "а может Вы фигу в кармане держите, почём мне знать?"
но гарантий, что в следующий апедейтпак он не запихнет еще что-то тоже как бы нет.
По такой логике, если я откажусь общаться с неприятным мне человеком, нет гарантий, что я не попытаюсь его убить.
Вообще, если уж совсем придираться, то гарантий того, что в следующем выпуске любого ПО не будет «сюрприза» вам не даст вообще никто. Например, у вас завтра случится что-то такое с головой, что случилось у автора colors.js. Какие гарантии вы мне можете дать, что такого не произойдёт? Очевидно, никаких, потому что невозможно дать гарантировать «я всегда буду находиться в здравом рассудке» — его лишаются не по своей воле.
В отличии от открытых решений, к проприетарному при купленной лицензии можно выкатить иск в суд. И неважно что там написано якобы приобретается права пользоваться продуктом и компания-разработчик не несёт никакой ответственности. В РФ есть закон о защите потребителей и если услуга/товар был оплачен, значит купленное как минимум не должно нанести ущерб. И ПО к товарам тоже относится. Потому если что-то пойдёт не так, нужно доказать сей факт и составить иск в суд на компанию-производителя проприетарного софта.
А вот с открытыми решениями так не пройдёт, Т к кому выкатывать притензию? Вы же никому не платили, а значит никто за это не отвечает. Получается, что для открытых решений нужно всё перепроверять очень внимательно прежде чем ставить. Да, в платных тоже нужно проверять, но не всё на свете.
Может сейчас кто думал, что открытые решения бесплатные, поймёт, что открытые решения не бесплатные, а они открытые со всеми вытекающими как плюсами, так и рисками. Готов ли бизнес рискнуть своими данными ради экономии на лицензиях? Порой одного такого факапа даже за 10-20 лет хватит, чтобы сильно задуматься, если конечно останется ради чего задуматься.
Винда не может ломаться от Неустановки апдейта, тем более средством неофициальным, несогласованным с МС.
Я карму не могу ни минусить ни плюсовать, так что по поводу кармы это не ко мне претензии. Опять же в статье говорилось только о ограничении @simplix -ом а установку. Сильно сомневаюсь что что венда может поломаться от того что апдейтпак не установился.В любом случае нужно бы провести натурный эксперимент для проверки, действительно ли оно ломает. У меня не русский ИП поэтому у меня апдейтпак установился. Можете проверить на ВМ если у вас русский и отписаться.Занимает это минут 15.
Ну а так да, рано или поздно это должно было произойти, опенсорс кроме плюсов имеет и минусы. Это цена свободы. Опять же сильно сомневаюсь что проблемы действительно "по всему миру", если там верно испоьзовалось геоИП.
Оправдано это или нет? Я скажу что да. За последние две недели "простые граждане россии" "освободили" от жизни более 4К гражданского населения в Украине, из них более 100 детей. По сравнению с этим пакет заполняющий файл середечками просто детская шалость.. Может хоть так ктото обратит внимание на реальную проблему людей, а не компьютеров. Оно вроде как легко сидеть гденить в уютном кресле и рассуждать про вандализм и "вне политики". Попробуйте ложиться спать не зная проснетесь ли вы завтра с осколком ракеты торчащем из вашей же головы или нет, тогда и посмотрим куда у вас стрелочка повернеться.
А то к "реальной проблеме людей" сейчас мало внимания и никто про нее не слышал, да ...
Проблема в том, что, во-первых, geoip - штука ненадежная, и для таких серьезных вещей использоваться не должна. Ну там, язык автоматом предложить, валюту в интернет-магазине установить, не более. А во вторых - представьте, что будет, если каждый, вот прямо каждый, решит таким образом свою позицию высказать. У моего знакомого то ли дед, то ли прадед погиб в Волынской резне. Следуя логике, знакомый может написать шифровальщик, который работает на украинских IP. А условный контрибьютор из Пакистана решит отомстить всем с индийскими IP за приграничные ракетные обстрелы. Много можно поводов для ненависти найти - но стоит ли их в opensource нести, суть которого - свобода и взаимовыручка?
geoip - штука ненадежная, считайте это соптствующим ущербом. Так кажеться говорят военные когда гибнут гражданские? Только тут никто не умер от того что файл сердечками заполнило.
Волынская резня вещь холиварная,там отметились обе стороны, да и НКВД засветилось, судя по ряду рассекреченых в начале 2000-х документов. Не хотите отомстить россии как првоприемнику СССР? Разобраться кто там прав наврядли выйдет пока не изобретут машину времени, так как конфликт там начался лет эдак за 150-200, или даже более до начала WW2. Ну и вобщем я бы на месте индустских програмистов не ислоьзвал либы написаные пакистанцем, если ваша страна обстреливает пакистан ракетам. Да. Ну или не как минимум не доверял бы безоглядно. Мы живем далеко не в мире розвых единорогов.
А если представить что будет? ну например избавимся от dependensy hell, так как програмисты не будут тянуть ради одной функции целый ворох либ? Програмисты начнут изучать либы перед тем как использвать, а не тяп-ляп и в продакшен? Не будут тянуть бездумно новые версии либ? Вся же суть опенсорса что вам никто ничего не должен, хотите пользуйтесь, не хотите не пользуйтесь. ПО идет as is , без каких либо гарантий. Да opensource это - свобода и взаимовыручка, и подобная ситуация это как раз та цена котороу приходиться платить за свободу. Подобный вандализм ведь возможен и без какой либо ненависти, а исключительно из корысти. Я вообще удивляюсь как подобное еще не пришло в голову разного рода мошенникам и хакерам(в самом плохом смысле этого слова)? Рано или поздно они таки доберуться и до опенсорса, и всеравно нужно будет чтото делать. Как в свое время добрались до википедии, и ее пришлось отгораживать.
Получается что сейчас идет война.
Просто представте себе зеркальную ситуацию, НАТО напало на РФ, просто от балды бомбят ваши города, больницы, роддома и интернаты, чтобы деморализовать. Вы можете сделать врагу бяку, положив на время енное количество серверов. Вас реально остановит что от ваших действий пострадает полтора гражданина нейтральной условной Швейцарии?
Вы можете сделать врагу бяку, положив на время енное количество серверов.
Вот тут сова маленько начинает трещать. Людям, которые кнопку «ПУСК» жмут абсолютно пофиг на то, что где-то там что-то упадет, они даже слов таких не знают — npm. При этом эта выходка дала пропагандистам прекрасный пример «НАШИХ БЬЮТ», который теперь будут лепить куда ни попадя. Не удивлюсь, если и в телевизоре покажут: «Программисты западной компании Гитхаб попытались осуществить хакерскую атаку в отношении Российских граждан».
Получается что сейчас идет война.
Раз вы заговорили о войне, то давайте вспомним, что неизбирательные атаки против не-комбатантов — это военное преступление. Интересно выходит: с одной стороны, вы обвиняете сторону А в том, что они делают B — а с другой одобряете подход B в отношении того же A. Это уже, извините, двойные стандарты. И, если вы не заметили, именно логика «Они делают нам B, поэтому мы тоже сделаем им B» служит основным объяснением текущего конфликта. Применяя такой способ рассуждений, вы по сути оправдываете применение его противоположной стороной.
Я в целом согласен, но со сторонами не соглашусь.
Тот, кто убивает, защищаясь - это один разговор, а тот, кто убивает, нападая - совершенно другой. Хотя в вакууме они оба друг друга убивают, де-факто являясь убийцами
Если бы он атаковал сервера вражеские — тогда бы вопросов не было.
А он просто насрал в тыловой колодец в надежде на то, что оттуда случайно выпьет солдат или его командир.
Но оттуда пьют обычные люди, которые в такой ситуации симпатией к насравшему — и его делу — не проникнутся. Скорее же — будут думать «так им и надо».
Такое впечатление, что вы бредите
Просто представте себе <...> НАТО напало на РФ, просто от балды бомбят ваши города, больницы, роддома и интернаты
Югославы представляют. Ох, прошу прощения, уже «представляли».
Организация, учредившая такую вот «оборону», и на тот момент уже 10 лет как не имевшая объекта, от которого она хотела обороняться, до сих пор функционирует. Но это, конечно, не должно никого беспокоить. Это всего лишь цивилизованная оборона.
Югославы представляют. Ох, прошу прощения, уже «представляли».
то есть теперь всем можно делать то же самое?
А подход «вы ось зла, а мы паладины света» так же недопустим, как и оголтелая пропаганда РФ.
"На саммите НАТО в июле 2016 года Россия признана основной угрозой безопасности для НАТО, а её сдерживание официально провозглашено новой миссией НАТО "
Слоупоки конечно, но подсуетились)
Скажите почему невиновные программисты и ИТшники пострадали от этих дейсвий? Большинство из нас не поддерживает происходящее однако мы пострадали, просто потому что мы тоже Россияне. Не это ли ярчайший пример фашиского мышления? См. определение фашизма в википедии.
Не это ли ярчайший пример фашиского мышления? См. определение фашизма в википедии.Вы это для красного словца сказали? Откройте ту самую статью «определение фашизма» и покажите, причём он тут. Какая-то повальная мания в рунете — называть всё, что не нравится, «фашистским».
Ну и вобщем я бы на месте индустских програмистов не ислоьзвал либы написаные пакистанцем, если ваша страна обстреливает пакистан ракетам
Ну вот есть, например, Linux. У него тысячи контрибьюторов. В том числе и из Пакистана, думаю. Вы предлагаете не использовать Linux? Или вы предпочитаете изучить всю его кодовую базу, прежде чем установить? Если так, то я вам завидую - столько свободного времени нет, думаю, ни у кого. Opensource держится как раз на доверии - что никто не будет создавать вредоносные мерджи, в том числе - и никто из контрибьюторов всех библиотек. А то, что предлагаете вы - это утопия. Мир бессмертных разработчиков, способных потратить пару-тройку десятилетий на вдумчивое изучение каждого апдейта каждой библиотеки, хоть как-то ими используемой, зачастую даже - косвенно
Только тут никто не умер от того что файл сердечками заполнило
Весьма сомнительный довод. Представьте, что благодаря таким вот действиям у вас улетел в Вальхаллу, например, файл криптокошелька. Или только что дописанная дипломная работа. Или единственная фотография горячо любимого, безвременно почившего кота. Или еще какая ценная информация, доверять которую облачным хранилищам, например, нельзя. Да, бэкапы решают. Но это если они есть. А если их нет, то результаты работы такого вот "шутника" вполне могут привести и к печальным последствиям. Не говоря уж о том, что это просто уголовно наказуемо.
ПО идет as is , без каких либо гарантий.
До недавнего времени принцип "as is" означал, что если пользователь не достигнет желаемого результата, если он повредит свою систему неправильным использованием софта, если он потеряет результат работы вследствие продолбанного разработчиком бага, то претензий никаких к разработчику он предъявлять не может. Но это не касается злонамеренных действий разработчика, внесенных ради сиюминутной политической позиции, заведомо, в проект с очень большим количеством зависимых проектов. В этом случае отказ от ответственности уже не поможет - на лицо явный злой умысел. Еще и принесший, возможно, большие финансовые потери тем, кто пострадал от малвари, и репутационные - проектам, через которые малварь работала. Эвану Ю, думаю, вне зависимости от его собственных политических взгладов, такой ход разработчика библиотеки явно не пришелся по вкусу, мягко говоря. Эван Ю и репутация vue-cli, выходит, тоже "сопутствующий ущерб"? Да чего уж мелочиться, давайте уроним весь интернет - людям в киевских бомбоубежищах это удивительно хорошо поможет
Давайте отвечу коротко, сейчас идет война. На войне и в мирное время несколько разнять понятия что приемлимо , а что нет.
Предвидя сразу ответ что вобщето войны все это время шли на планете Земля все время хоть гдето, сразу отвечу, что в отличии от всех перыдущих, эта имеет все шансы перерости в третью мировую И судя по всему, это понимают во всем мире, кроме россиянцев. И в ответ на это, вы ожидаете что люди буду оставться "вне политики"?
Да чего уж мелочиться, давайте уроним весь интернет - людям в киевских бомбоубежищах это удивительно хорошо поможет
Успокойтесь, люди в Киевских бомбоубежищах очень вам сочувствуют и плакали всем бомбоубежищем, узнав о ваших проблемах изза действий разрабочика node-ipc. Вот честно.
Давайте отвечу коротко, сейчас идет война. На войне и в мирное время несколько разнять понятия что приемлимо , а что нет.
Ну то есть, по такой логике, я могу при встрече с вами отжать у вас мобилку и надавать по шее как представителю врага?
А вообще, ненависть размножается по цепной реакции, поздравляю, вы успешно ее размножаете дальше. И чем будет ее больше - тем выше шансы, что прилетит и вам, и другим, кто явным образом вряд ли причастен к просходящему.
>> Ну то есть, по такой логике, я могу при встрече с вами отжать у вас мобилку и надавать по шее как представителю врага?
Вообще то да, можете, или в ближайшее время сможете. "Представителям врага" (странам Запада) уже инкриминируют само обращение в суд как статью 10 ГК РФ (Злоупотреблением права) с отказом в иске на этом основании.
В этом и разница - у них искренняя ненависть к нам от простых жителей, а пропаганда наоборот заточена "русский не враг, не надо дискриминировать, это не они развязали войну и вообще, жертвы диктатора"; а у нас ненависть производится всей государственной махиной и пропаганда настроена "все против нас, мы ни на кого не нападаем, мы лишь защищаемся и защищаться будем ото всех, даже тех кто ещё не напал, но точно нападет".
Если чуть менее коротко: если насильник напал на вашу жену — правильным будет напасть на насильника. В то время как вы предлагаете (и одобряете) вариант «изнасиловать в ответ его жену и дочь».
Если подробнее — когда против вас совершают преступление (в т.ч и военное преступление) — это не дает автоматически права на совершение аналогчного преступления. Иначе вы ничем не лучше преступника.
Авторы подобной малвари атакуют мирное гражданское население (которое само по себе ни против кого не воюет). Неоправданное уничтожение гражданской инфраструктуры — военное преступление. Гражданские на вас не нападают — это не оборона.
Вы совершатет то же самое, что совершают войска РФ. Вы хотите, чтобы их осуждали за военные преступления, но совершая подобное вы сами ни чем не лучше. И при этом просите поддержки.
Тут как бы «аксиома Эскобара», и если обе стороны совершают одинаковые преступления и по сути являются одинаковым злом — логичнее ликвидировать оба источника зла, чем примкнуть к какому-то из них.
Как добру остаться добром борясь со злом? А можно ли остаться добром не борясь со злом?
Тут закрадывается логическая ошибка. Чтобы добро не стало злом, добро при борьбе должно бороться только с тем злом, которые напало на добро. А не мочить всех без разбора, включая фронтендера Васю, которому вы сломали прод, который вообще в жизни ничего опаснее макбука не держал в руках.
Выбор определенного зла не гарантирует то, что добро останется добром.
Будьте любезны - в чем логическая ошибка с вашей точки зрения?
Если предельно упростить и даже перефразировать одну известную фразу - не пострадавшие от обстрелов мстят тем, кто не нападает.
Я не @hyperwolf но отвечу: в том, что люди, которые никак не страдают и вообще вряд ли знают, где там происходит замес, "наказывают" и делают гадости тем, кто отношения к этому замесу не имеет.
И вы и @hyperwolf отвечаете не поняв: я не говорю о конкретных действиях в данной ситуации. Ваш ответ так же не по вопросу - вы оцениваете действия рассматриваемые в данной ситуациию Я же говорю о сущности вопроса. Как добру остаться добром борясь со злом?
Хм, я сейчас представлю, что я снова на экзамене по философии на 2 курсе, и отвечу так: добро остается добром, борясь со злом, только если оно борется именно с "непосредственным" и очевидным злом, которое непосредственно совершает злые действия или руководит ими. Если добро аки Инквизиция в W40k ради того, чтобы прижучить группу демонопоклонников, сжигает пару миров, через которые эта группа добиралась до конечной цели (НЕ НУ А ЧО ВДРУГ ТАМ ИХ КТО-ТО ПОДДЕРЖИВАЛ?), то это уже не добро, а просто другой сорт того самого, о чем говорил Эскобар.
Но ведь все пока понятно: бороться со злом. Зло несут охотники, а не все, кто ходит на двух ногах и живет в той же стране. По сути, вы предлагаете бить грибников и шашлычников в том же лесу, в котором обитают охотники, сугубо потому, что все эти личности "живут" в лесу.
Разве я где-нибудь что-нибудь предложил? Все мои посты в данной теме это вопросы. Потрудитесь проверить, пожалуйста. Вероятно, здесь и причина того, что вы не понимаете меня.
Приписывать мне какой-то ответ, согласитесь, и не красиво и не вежливо. К тому-же не верно.
Моя бесседа о сущности, а не о конкретном случае.
Я спросил - Как добру остаться добром борясь со злом? Вы отвечаете, что здесь логическая ошибка. Мой вопрос - в чем?
Перечитал диалог - насколько я вижу, "логическая ошибка" относилось не к буквальному прочтению Вашего вопроса. Таким образом был выражен тот факт, что он (с позиции Вашего собеседника) никак не соотносится с текущей ситуацией (а значит, непонятно, на кой его вообще здесь задавать). Возможно, понял неправильно, но с моей позиции выглядит так.
На сам вопрос у меня лично ответ прост - добра не существует, поэтому сама постановка вопроса неверна. Есть 100% зло, есть 100500% зло, и тут уже неважно, кто есть кто, потому что оба чёрные, а не серые и тем более не белые. Но, скорее всего, я ошибаюсь.
Мой последний комент выше относится к hyperwolf. Также "логическая ошибка" - это его выражение, как и додумывание ответов вместо меня. Я понял вашу позицию в том, как вы понимаете его.
Теперь о вашем последнем абазце: если вы признаете существование 100%-го зла, то как вы отрицаете существование 0%-го зла? Разве это не добро?
Теперь о вашем последнем абазце: если вы признаете существование 100%-го зла, то как вы отрицаете существование 0%-го зла? Разве это не добро?
очевидно, что 0% зло может существовать только в мире, где Вы будете единственным живым человеком. Все остальное - это всегда компромиссы, в самых простых и безопасных случаях, когда другим людям создаются определенные неудобства.
Не согласен с подобной очевидностью. Вы даете не симметричное и поэтому не очевидное преимущество злу. Если у вас везде компромисы, то почему отказываете злу в них? Если "Все остальное - это всегда компромиссы", то нет и 100%-го зла.
С другой стороны, если мы примем последний вывод, то ответ на вопрос дан. Но ценой ответа служит отрицание существования 100%-ых сущностей, поэтому и ответ частичный.
Если у вас везде компромисы, то почему отказываете злу в них?
Потому что 100% зло может существовать. Гитлер? Сжигать евреев в печах? Устроить третью мировую с применением ядерного оружия? Чем не 100% зло?
Ну, или помните анекдот, когда исполнитель желаний приходит к человеку и говорит: «все, что ты пожелаешь, твой сосед получит в удвоенном размере». И человек такой. Сначала желает большой дом. У соседа дом становится х2. Непорядок. Зависть. Потом человек желает себе много денег. У соседа появляется х2 денег. Тут уже зависть становится прямо злой. Тогда человек загадывает - чтоб мне глаз выкололи. Сосед становится слепым, демонический смех, все-таки соседу сделали плохо. Видите - выгоды никакой нет, зато вот один сплошной ущерб. Поэтому именно в такой системе координат я поверю в то, что зло не абстрактно и существует.
Я согласен с вашими примерами и с существованием 100%-го зла. Но я не считаю это основой для отрицания существования 0%-го зла, т.е. 100%-го добра. Например, новорожденный, еще не рожденный и т.д., думаю, при желании можно найти и лучшие примеры.
Вопрос в том может ли добро остаться добром борясь со злом?
Я согласен с вашими примерами и с существованием 100%-го зла
спасибо )
Например, новорожденный, еще не рожденный и т.д., думаю, при желании можно найти и лучшие примеры.
ну, это какие-то вырожденные примеры. А если ребенок вот так рождается, что утаскивает мать на тот свет? Вы же в курсе того же кесарева сечения? Когда спасали ребенка, а не мать, хоть и ценой жизни?
Вопрос в том может ли добро остаться добром борясь со злом?
проблема в том, что нужно дать дефиниции этих терминов, а то окажется, что 0% добро - это никак не 100% зло, как и 0% зла - это никак не 100% добра. И может быть это вообще параллельные или ортогональные единицы... Здесь мы вступаем вообще на очень тонкий лед... есть же примеры, когда врач спасает человека от смерти, а он оказывается, например, маньяком-убийцей-рецидивистом.
Не согласен с вырожденностью примером и с их критикой. "утаскивает мать на тот свет" - вы считаете ребенка в ответе за это?
Теперь, если вы отказываете в существовании 100%-ым сущностям, то это, согласен, вариант ответа. Я коментировал подобный подход в комменте от 19.03.2022 в 03:55.
если вы признаете существование 100%-го зла, то как вы отрицаете существование 0%-го зла?
Теоретически, оно существовать может. Практически - как показывает нынешняя ситуация, оно банально не выживает.
А вот это уже второй и, на этот раз, полный ответ: итак, по вашему, добро не может остаться добром. Оно либо не выживает, либо становится злом. Я вас верно понял?
Возможно я плохо сформулировал мысль, давайте попробую по другому.
Смысл добра - видимо бороться со злом. А злу - с добром. Однако это две крайности, между ними есть еще некое промежуточное значение. Если зло нападает на добро - добро, что пока звучит логично, должно отвечать на нападку зла. В текущей же ситуации добро заодно нападает на тех, кто между злом и добром, на нейтральную силу. То есть превращается в зло, раз совершает деструктивное действие первым и без повода.
В нашем лесу гулял охотник на тигров в красной кепке. Он ударил волонтера в синих сапогах. Волонтер, который спасает тигров, затаил обиду и подкараулил грибника, который просто проходил мимо и за это поплатился. А красным у грибника была только сыроежка в корзинке, за что он был объявлен охотником и избит.
С формулировкой нападения на промежуточные звенья т.е. на нейтральные силы, я, в принципе, согласен, хотя оставляю в стороне вопрос о смысле обоих. Например смысл добра может быть в самом добре, без встречи со злом. А злу может иметь смысл делать зло и другому злу.
Но, не будем упускать главное: нападая на само зло может ли добро остаться добром?
Смысл добра - видимо бороться со злом.
Это очевидная ошибка. Смысл добра - творить добро. Фактически это (если смотреть с точки зрения классификации питания) - автотрофы. Ещё могут соучаствовать в добре симбионты автотрофов, но добром они уже не будут. Они как раз относятся к тому самому "добру с кулаками", а иначе - "меньшему злу" - они защищают своё добро, чтобы оно могло эффективней "творить добро".
И тут есть проблема - по общей классификации человек это сапрофит. Он даже к тому самому "добру с кулаками" в среднем относится никак. За счёт разума, конечно же, возможно частичное смещение пищевого профиля... вот только так получается, что паразитов и симбионтов в лучшем случае равное количество. А автотрофии за человеком не водится от слова совсем.
ЗЫ тут ещё кучу всего написал на злободневную тему, но потёр. В комментах характер многих людей раскрылся с отвратительной стороны. Поиск виновных на стороне мирняка... мда... Хуже только санкции против давно уехавших и даже получивших иное гражданство...
Очень просто:
1) Записываться в оборону и защищаться - у большинства сочувствующих такая возможность имеется
2) Помогать обороне финансово, сейчас проводится сбор средств на официальных площадках
Конечно это опаснее / затратнее чем постить в linkedin хейтерские коменты или заниматься дискриминацией по национальному признаку блокируя сервисы
2) Помогать обороне финансово, сейчас проводится сбор средств на официальных площадках
лучше помогать беженцам, имхо. Им нужнее, а оборона как-нибудь справится (благо страны скидываются кредитами на оружие и все такое)
Если можете - сходите, сдайте кровь как донор
Ага, особенно США "скдиывается"... джавелинами, которые ещё в прошом веке были выведены из производства... Но и поразить современную технику не могут... а значит что? будут направлены против мирной техники и техники двойного назначения (те же вертушки ГОиЧС).... Отличный план, поздравляю с супер-полезными инвесторами....
Чья бы корова мычала. Что там нынче в тренде в интернетах. Полк Кадырова, который укомплектован, как спецназ. И вроде как не несёт потери. Интересно, почему, да? И почему эти супергерои до сих никак не продвинутся дальше?
Или фотографии российских ребят с мосинками (это оружие какого там века? 19-го?) Серьезно - если бы Великая Российская Армия ™ что-то представляла из себя и имела самое современное вооружение - она бы раскатала бы Украину по полной. Но по факту уже какой там… 25 день «специальной операции»… только вот русские могут только ядерной бомбой грозить…
Потому, что Кадыровцам забыли придать тяжелую технику.
https://www.youtube.com/watch?v=jqJVmVq033o
Вопрос не о конкретных мерах, а философский: названные действия не гарантируют то, что добро останется добром.
Окей, возьмем в качестве вводных состояние "идёт война" и сабжевый кейс с малварью. Посмотрите, как дивно будет выглядеть мир, который вы пытаетесь оправдать:
Армянские разработчики встраивают во все свои пакеты малвари, активирующиеся на азербайджанских IP. Азербайджанские разработчики не отстают (попутно еще и шифруют твою файловую систему, если у тебя в плейлисте в спотифае есть System of a down)
Ребята из Палестины решили внедрить в пакет, используемый в очень популярном туле, ну, например, due-cli, баннер, который говорит "Бей евреев!". Израильские разработчики, не будь дураки, внедрили свое "Бей арабов" через зависимости в другой очень популярный фреймворк TeactJS
Парни с Пакистана решили подгадить парням с Бангалора, и запустили в популярный дистрибутив операционной системы Binux трояна, который на бангалорских IP каждые пять минут открывает поверх всех окон плеер с роликом о поедании коровы. Парни с Бангалора решили не оставаться в долгу и сделали ролик с оскорблениями Пророка, и распространили точно так же
Комьюнити разработчиков из Афганистана, Ирака, Сирии, Кореи, Вьетнама, Югославии и еще десятка стран решили вайпнуть все электростанции США, и написали троянца, распространяющегося через зависимости к, например, используемому на электростанциях фреймворку языка програмирования Blython
Китайские чуваки решили припомнить японским чувакам за захват и террор Манчжурии во времена WWII, и заслали шифровальщика на Фукусиму. Через зависимости к их фронту на сайте, например.
Вот тут то WWIII и началась. Потому что, повторюсь еще раз, поводов для ненависти у всех всегда предостаточно. Нет ни одного народа, который бы в разные периоды своей истории не издевался бы над одними соседями и не получал бы по шапке от других
Но скажите - вы бы хотели жить в таком мире, где события развивались бы таким образом?
Да, open source распространяется as-is, но держится на доверии. Высказывать свою политическую позицию (пусть даже она истиннее, чем у оппонентов) через Open Source - это не только неэтично, но и подрывает доверие ко всему Open Source.
Бэкдоры и прочее в Open Source и так были. [Например](https://habr.com/ru/news/t/553712/). Подобные действия только больше дискредетируют Open Source.
Для крупных корпораций Open Source - палка о двух концах. С одной стороны, его использование позволяет снизить затраты на разработку за счет использования результатов труда других разработчиков. С другой - мешает диктовать свою единоличную волю в векторе развития продукта. Особенно, это касается GPL проектов, таких, как Linux.
Ниже немного похоже на теорию заговора, простите
Несмотря на популярность Open Source решений, процесс некоторого "придушивания" свободного софта наблюдается: это и попытки дискредитации людей (Столлман, Торвальдс), и переход на permissive лицензии, и "окукливание" в своих проектах (Fuchsia).
А подобные действия со стороны разработчиков только могут подтолкнуть крупный бизнес к отказу от Open Source.
Вся же суть опенсорса что вам никто ничего не должен, хотите пользуйтесь, не хотите не пользуйтесь. ПО идет as is , без каких либо гарантий.
Вы серьезно не видите разницу между as is без гарантий и целенаправленным встраиванием деструктивного кода? Что дальше, будем встраивать майнеры в дистрибутивы, as is же? Или сразу оправдаем трояны-шифровальщики, ведь никто не заставлял вас кликать на аттач в письме.
К эмоциям
Оправдано это или нет? Я скажу что да. За последние две недели "простые граждане россии" "освободили" от жизни более 4К гражданского населения в Украине, из них более 100 детей. По сравнению с этим пакет заполняющий файл середечками просто детская шалость.. Может хоть так ктото обратит внимание на реальную проблему людей, а не компьютеров. Оно вроде как легко сидеть гденить в уютном кресле и рассуждать про вандализм и "вне политики". Попробуйте ложиться спать не зная проснетесь ли вы завтра с осколком ракеты торчащем из вашей же головы или нет, тогда и посмотрим куда у вас стрелочка повернеться.
Судя по профилю на гитхабе, человек живет в Monterey, California и никакие снаряды у него над головой не рвутся. И если он такой пацифист, то он немного опоздал, да и страну для эмиграции выбрал с такой себе репутацией ковровой демократизации
Если он так хотел покибервоевать - мог заняться взломом, написанием вирусов, дудосом, тысячи способов, и скорее всего не встретил бы осуждения. Тащить свою деятельность в FOSS и на гитхаб - нет, что комьюнити ему в принципе и донесло.
Да, ето война, если она не закончиться в течении месяца-другого, не исключаю что таки буду встраивать и трояны-шифровальщики и ХЗ что прямо в дистрибутивы.И не только в опенсорс продукты. А также совершать кибератаки на инфраструктуру один одного.И прочее-прочее. Можна сколько угодно оставаться "вне политики", (ну по крайней мере пытаться), но остаться "вне войны" не выйдет.
Что он там мог или не мог, это вопрос другой. Вопрос стоял насколько я считаю это оправдано. Я свое мнение выразил.
Ясно, и этот кукухой поехал...
Сложно соблюдать нейтралитет когда над моим домом летает Су-25 и разрушает жилые дома — ну честно.
Нужно заново привыкать к роли сверьхдержавы. Все вас бонятся. Но вот не уважают и не любят.
Кстати, самое смешное что Хабр блокирует украинские адреса. А он вообще в курсах что тут программисты тусуются?
Скорее всего, отбивают DDOS. Вряд ли их блокируют по политическим причинам. Хотя, учитывая что все медиа в России спецслужбы крепко держат грубой рукой за нежные места, возможно и такое.
Сложно соблюдать нейтралитет когда над моим домом летает Су-25
Я против этой безумной "спецоперации". Мне очень больно и стыдно смотреть на то, что происходит. Но мои личные обстоятельства так сложились, что я ещё неопределённое время не могу уехать из России, и даже не могу позволить себе пойти на митинг, чтобы нахватить там штрафов на пол-миллиона или сесть в тюрьму.
Поверьте, если вы сломаете мой компьютер, отравите кота, сожжёте дом, да хоть убьёте меня в конце концов - СУ-25 у вас летать не перестанет, и никто из отправивших его там летать не пострадает. Наоборот, порадуются расчистке от "пятой колонны", котороя смеет царя не любить.
Сложно соблюдать нейтралитет когда над моим домом летает Су-25 и разрушает жилые дома — ну честно.
Сложно. И так быть не должно. Но бить в ответ непричастных только по тому, что они из той же страны... Ну не знаю, один австрийский художник похожим образом с евреями боролся.
Надо домом моих родителей сбили ракету точка У которую запустили Украинцы по Таганрогу.
пруфы будут? А вдруг не украинцы? А вдруг не по Таганрогу?
а вдруг не Су-25 и вдруг не над его домом? Давайте начнем с запросов пруфов со ВСЕХ сторон?
Как я обожаю эти спящие аккаунты. Можно вам вопрос по вашей же методичке - вот где вы были эти восемь лет? Почему именно сейчас решили поучаствовать в этой дискуссии?
Это просто волшебно, ты просишь пруфы в диалоге с обеих сторон конфликта (намекая на однобокость мнения и отсутствие желания быть объективным), а какие-то нонеймы тебе идут в карму и называют спящим аккаунтом.
Попахивает переходом на личности в споре, что делает переходящего на личности автоматически проигравшим в споре
Ну вот тут об этом говорят на локальном городском сайте: https://www.ruffnews.ru/taganrog/Zhiteli-Taganroga-soobschili-chto-slyshali-zvuki-vzryva_126139
В локальных городских пабликах можно найти видео как остатки чего-то горели в районе аэродрома.
Был взрыв? Да, был. В Таганроге? Да, в Таганроге. Выглядело это на видео как сбитая ракета? Да, выглядело. Конкретно модель ракеты я не знаю, как и кто ее запустил. Но взрыв был, факт.
Не уверен насколько вы доверяете ленте, но там тоже есть об этом информация: https://lenta.ru/news/2022/03/01/tochkau/
Спасибо. Мое личное мнение, что взрыв был. Но понимаете в чем дело... Когда малазийский боинг сбили - тоже утверждали, что виноваты украинцы. Но вот почему уверенность в том, что БУК приехал все-таки со стороны РФ и им управляли... как бы сказать... добровольцы со стороны ДНР/ЛНР. Зато российская пропаганда насыпала щедро версий с дезой, причем каждый день разных...
Я ничего не хотел сказать своим комментом в пользу той или иной точки зрения. Более того, я предположу, что конкретно этот эпизод в цепочке всех происходящих событий никогда не будет открыт на 100% - как и почему это произошло и мы никогда не сможем точно сказать кто это сделал. Я просто засвидетельствовал этот факт с некоторым количеством пруфов, так как конкретно этот эпизод задел в том числе и меня - я живу недалеко от места, где все это случилось и я мог подтвердить этот факт. Не более. Без каких либо отсылок с речам той или иной стороны.
А смысл запуска 1 (одной) ракеты ?
И далее:
У Точки У максимальная дальность 120 км. По карте министерства нападения РФ - на 1 марта территория вокруг Мариуполя была под контролем войск Океании. С Бердянска ракета просто не достает.
Так кто врет ?
для чистоты эксперимента - попробую записать видео с виртуалкой, win 7 sp1 и русским ip.
win7 sp1 msdn ru - результаты
Поставил в виртуалку, локация - питер. Онлайн скачивалка отказалась качать с ошибкой. Скачал оффлайн-инсталлер.
И при наличии интернета (без vpn), и при выключенном адаптере - вылезает такое сообщение. С локалью играться не стал, интерес на этом пока отпал. Остальной разбор был в прошлой теме.
Может поломки были совпадениями, может инсталлер пересобрали - мне это не известно, и утверждать не стану.
В текущем виде - деструктивных действий действительно не видно. С ограничением от автора я переживу, есть wsus.
Ну так власти РФ по вашей логике действуют. По их логике Украина при агрессии против ДНР и ЛНР убила несколько сотен человек. И теперь все украинцы должны за это понести ответственность. В ваших постах я вижу ту же логику , только с другим знаком.
(там у пачки пользователей ломалась винда, если регионы совпадали ru)Извините, но это неправда.
Вредоносных действий там не происходит, при обнаружении того, что машина находится на «вражеской» территории, приложение отказывается работать.
Никакой «пачки пользователей» тоже не было, было 1.5 бедолаги у которых что-то пошло не так, это совершенно неудивительно, когда накатывается три сотни обновлений на неизвестную конфигурацию, местати неподдерживаемую (достаточно вспомнить сделанные через задницу активаторы «семёрки», создающие копии ядра Windows, которые после очередного обновления ядра превращали систему в тыкву, т.к. получался неподдерживаемый сетап «новые системные файлы и старое ядро»).
Ну и сравнивать отказ работать и намеренную порчу данных это очень смело.
1. На хабре никто не отписался о бутлупах, BSOD и прочих повреждениях. Глубокого исследования пакета тоже нет. Запретить установку и снести все данные – всё же две разные вещи (кстати, пакет можно открыть архиватором и спокойно установить оттуда обновы вручную, предварительно сравнив хэши с MSными);
2. Проект UpdatePack7R2 никогда не был «открытым» по сравнению с обсуждаемыми в данной статье, насколько мне известно. Simplix не выкладывал свой инструментарий и конвейер в общий доступ, чтобы пользователи могли самостоятельно собирать себе пак. Из-за этого уровень доверия к такому проекту априори ниже, чем к «традиционному» СПО с открытым исходным кодом, и пользователи, которые уже по сути пакета должны иметь довольно высокий уровень квалификации, должны осознавать эти риски;
3. Автор UpdatePack7R2 определённо никому ничего не должен, кроме соблюдения действующего законодательства, в частности, запрета на распространение вредоносного ПО. Опять же, насколько я могу судить из имеющейся на данный момент информации, вредоносным ПО не стало;
4. Рано или поздно такие вещи случаются даже и без чрезвычайных обстоятельств. В своё время тот же адблок, проект с широчайшей известностью и огромной аудиторией, душевно прогнулся и фактически перестал выполнять часть своих функций, из-за которых его и использовали. Или вспомните печальную историю uTorrent. Бывает. О таких вещах надо вовремя узнать, но тратить нервы нет смысла – как показывает практика, те нервы нам ещё не раз понадобятся…
Я не спорю с позицией автора об ограничениях. Понимаю, что это его неоткрытый проект.
Разбор был у тебя в статье, когда смотрели куда стучится программа. Но изначально в статье были (и есть) цитаты пользователей, которые апдейт поставили и (по совпадению) у которых поломалась ОС. Это момент вызвал напряжение, а не сам факт ограничения от автора.
Вот тут: https://habr.com/ru/news/t/656219/comments/#comment_24177269 я попробовал на катить на чистую систему и никакого дестуктива не было. Была только табличка.
Что я не стал пробовать - обходить ограничения по ip чтобы явно поставить апдейтпак.
хорошо, более-менее разобрались. ты в праве ограничивать свое творение как автор - никто не спорит.
на волне периодических вандализмов других людей, общей развивающейся потитоты в IT - сообщения от форумчан, которые просто (скорее всего) попали просто в неудачную статистику (у меня был более года назад тоже 1 комп, который после апдейтпака улетел в синьку, и проблема была в говносборке винды у хозяина пк а не в апдейт паке), и на фоне этого (у меня) сформировалось немного предвзятое отношение. но эмоций поубавили, апдейтпак повертели - ничего деструктивного дейтсвительно нет. просто дуратское совпадение на фоне шторма.
за свою излишнюю предвзятость - я готов извиниться, что немного наехал. твои паки очень помогали и спасали в свое время.
Урод он моральный, подрывает доверие в опенсорсу в целом, прощения ему нет. Только остракизм.
Ох интересно чем же это помогло в спасении жизней? Ничем. А вот проблем многим людям доставило достаточно, подорвало репутацию опен сорс довольно ощутимо в очередной раз. Чем чаще происходят такие выпады, тем меньше доверия к системам типа npm и Open Source в целом. Ничего хорошего он своим поступком не добился, а только навредил.
Причем навредил сразу всем, от тех, в "защиту" которых писал, до самого себя
подорвало репутацию опен сорс
Строго говоря, не опен-сорс в целом, а слепой апдейт пакетов. Может до (опен-сорс) сообщества уже наконец дойдёт, что версии нужно закреплять, и не с `~/^`, а жёстко определённые стабильные версии. Особенно (!) в критически важных областях.
Ага, а потом две библиотеки зависят от разных версий третьей, и вместе их не собрать никак. Или зависимость третьего уровня вложенности содержит уязвимость, но обновить её вы не можете.
Вот не получается в библиотеках указывать точные версии зависимостей, сколько не пробовали — не работает это. А для конечных проектов есть лок-файлы.
Ну это всё вопрос того, как работает менеджер пакетов и импорты из них (спойлер: неправильно). Надеяться что ни один из пакетов, от которого зависит ваш проект никогда не будет взломан и туда не просочится какая-нибудь дрянь - это просто глупо, тут дело даже в человечности или в чём там обвиняют автора этого пакета.
Если ограничить импорт только из непосредственных зависимостей (как, например, сделано в pnpm) и забить на размер зависимостей (то есть незачем мержить пакеты с минорными разбежностями чтоб уменьшить занимаемое пространство), то мержить их и не нужно будет, и можно будет зависеть от бесконечного кол-ва одних и тех же пакетов с разными версиями (пока место не кончится).
Это и нужно менять и решать в тех самых критических местах, которые пострадали и теперь обвиняют автора отдельно взятого пакета и опенсорс в целом.
сколько не пробовали — не работает это
Не знаю, как у вас, а в андроид-разработке рекомендация лочить версии библиотек была чуть ли не с зари времен. Да, нужно включать голову и следить за ченджлогами, но срани уровня «у меня отвалился прод из-за leftpad» я в упор не вспомню
Ага, а потом две библиотеки зависят от разных версий третьей, и вместе их не собрать никак.
И как вам тут отсутствие лока поможет? Либо у вас нельзя иметь две версии зависимости, и тогда одна из либ может отвалиться из-за нарушения контракта, либо можно, и тогда просто зафиксируйте обе версии.
Приличные библиотеки не меняют контракты в обновлениях покрываемых оператором "~".
Мне, ей-богу, порой немного дико смотреть на фротенд, который героически через тернии изобретает практики, которые в соседних областях в ходу уже годы.
Все говорит о том, что Третья мировая война будет вестись уже не столько оружием (в условиях ядерного паритета и отсутствия, пока что, возможностей по эвакуации "первых лиц" с планеты это уже практически нереально и явно неэффективно), а экономическим давлением, "сдерживанием", ковровыми блокировками, взаимными санкциями, "политикой отмены", травлей и т.д.. Собственно, с этой точки зрения WWIII уже началась. И, учитывая почти стопроцентную цифровизацию всех этих процессов, софт будет ее практически самой важной частью (уступая лишь тем, кто умеет его применять). Можно сказать, что репутация opensource сейчас наоборот важна как никогда
Давайте не путать тёплое с мягким. Я еще могу понять если бы просто выводилось сообщение в духе "ребят, там [роскомназор] идёт и гибнут люди, обратите, пожалуйста, внимание" и без какого-либо экстремизма. Это Open Source проект и нет ничего ужасного в том, если автор хочет обратить внимание на [роскомнадзор]/вымирающих животных/больных детей/загрязнение природы (это чисто моё отношение к подобному)
Но совсем другое дело когда в Open Source встраивается вредоносный код, который трёт файлы. Подобные действия приводят лишь к негативным последствиям и уж точно не спасают жизни. Если тебе разобьют окно при помощи камня с надписью "спасите уссурийских тигров", то у тебя появится желание пересмотреть своё отношение к вымирающим животным? Думаю, что нет.
Так что камень в окно, даже во имя тигров, отношения к окну не изменит и возможностей повлиять на начальника не добавит, вне зависимости от того, одобряю я охоту или не одобряю. А вот к тому, кто кинул камень, отношение будет резко негативное. Потому что тигра я всё равно не спасу, но деньги за новое окно придётся заплатить.
Хорошо, будем считать, что мы люди немеркантильные. Если Сёмен Палыч из шестой сбил человека на пешеходном и теперь скрывается — насколько допустимо харассить его знакомых, коллег? Можно ли обыскивать квартиры его соседей? Замораживать их счета? Как насчет допросов коллег с пристрастием? Вот, например, незамужняя офис-менеджер — ходила с Семёном на обед. Давайте ей 220 дадим, вдруг он у неё прячется.
а как следствие вашего одобрения
ммм, обожаю подобные высказывания. ну да, сегодня камень в окно за тигров, завтра сарай спалят во имя беспризорных детей, потом что, жену изнасилуют в поддержку лгбт? нет, это так не работает, потому что, во-первых, я задолбаюсь восстанавливать дом от подобных выходок (т.е. тупо не будет ни денег, ни времени, ни желания обратить внимание на тигров), а на пятый камень я буду желать чтобы тигры побыстрее закончились, и возьму этот камень закончить также такого кидальщика. но никак не начальников
было бы не пох, если бы был в тепле. но когда моя жопа мёрзнет, тигры могут погулять нах подождут; приоритеты нужно выставлять верно.
Именно так: причина разбитого окна — камень, причина его прилетания — рука очень конкретного человека.
Что там этот конкретный человек назовёт в качестве своих мотивов — совершенно не важно, мотивы не являются причиной разбитого окна.
Охотно допускаю, что вам нравится так считать, особенно сейчас. Но реальность от этого не начинает работать так, как вам нравится.
Системы правосудия примерно везде в мире в вопросах выявления причин работают примерно так, как я вам описал выше.
Как описали вы — работают, главным образом, мародёры и прочие прекрасные люди примерно такого же уровня цивилизованности.
да-да, и тепловая смерть вселенной также будет на моей совести.
как можно поддерживать то, к чему вообще не имею никакого отношения?
более того, иметь отношение ко всему не хватит никаких ресурсов.
про причины и следствия вам ответил другой комментатор, а я уточню именно про приоритеты:
сначала я, потом мои близкие, потом все остальные. тигры вообще в конце списка, потому что я вообще про них не в курсе. а вот я и жопа моя - первое, что у меня и где я реально могу улучшить положение, а не надеяться, что моя финпомощь тиграм дошла до тигров, а не в карманы мошенников.
и ещё момент про "одобрение бездействием". ладно, камень прилетел один раз. но если каждый подобный пакостник будет портить мою жизнь, с криками "убийца, гомофоб и расист!", то жизнь просто превратится в ад. какие там тигры.
Неправда. Я понимаю, что нагнетаемая СМРАД инфопандемия поражает психику некоторых персон настолько глубоко, что у них отказывают тормоза и они считают себя творить "во имя добра" всё, что придёт им в голову (или будет вложено им в голову). И камень меня сподвигнет скорее на то, чтобы этого "судию" обезвредить, пока он по наущению "голосов в голове" не натворил бОльших бед. Цивилизованными методами (полиция, штраф, 15 суток) было бы лучше, но если полиция будет бездействовать, то может и морду набить придётся.
Вы можете иметь своё мнение на счёт тигров, стоять под окном с плакатами "я против", но права насилия против тех, кто это мнение не разделяет, вам автоматически не предоставляется.
Каким бы ни было моё мнение по поводу тигров, оно имеет лишь справочное значение. Кто угодно вправе разделить его, обсудить его со мной или с кем-либо ещё, или отвергнуть.
Но никто не может считать себя вправе предпринимать какие-либо деструктивные действия по отношению ко мне, и тем более к моей семье или знакомым только потому, что моё мнение не разделяет.
Ваш вопрос сформулирован по заветам Карлсона (перестал ли я пить коньяк по утрам, да или нет???). Но я не фрёкен Бок, так что не ждите от меня однозначного ответа.
Потому что тигр, о котором мы говорим, может быть как цирковым, так и диким, который в лесу на оленей охотится. Или в зоопарке по клетке кругами ходит. Или в окрестностях деревни на Алтае уже двух коров и одного фермера загрыз.
А так вы говорите: пох на тигров, лишь бы я был в тепле.
Совершенно верно. Для меня в приоритете я, моя семья, родственники и друзья, коллеги… и где-то там сильно дальше по списку будут тигры. Да, на них охотится нехорошо. Но бить мне окна — это гораздо хуже, чем охотиться на тигров. И желания пойти защищать тигров это не вызовет. А вызовет только желание дать по шее тому, кто бьёт стёкла.
А начальник, каким бы плохим он не был для тигров и их защитников, платит мне зарплату. И если я пойду против него, то, в лучше случае, останусь без зарплаты. А мне детей кормить, ипотеку платить и т.п. В худшем же случае и без зарплаты останусь, и сам по шее получу, и тюрьма сидеть буду. Мне этого не надо.
Потому, хоть тигров убивать и нехорошо, бить соседям окна я ради них не пойду. И от других такого поведения не одобряю. Если хотят, чтобы начальник перестал охотиться на тигров — пусть идут и ему окна бьют. А не уборщице на его заводе.
Для меня же — есть. Я написал, где в моём списке приоритетов находятся «тигры». Да, плохо, что их убивают — с этим я полностью согласен.
Но если я не шел защищать «тигров» из Сирии, Ливии, Косово или Донбасса, почему я должен защищать нынешних «тигров»? Только потому, что в честь них мне бьют окна и срут в колодец? Это так не работает. Наоборот, подобные акции вызывают отвращение к тем, во имя кого они делаются.
Добрым можно быть, когда ты в тепле, дети накормлены и ипотека оплачена. Тогда можно и с плакатом постоять в телевизоре, и камни покидать в окна — если адреналина хочется.
А когда курс валют улетел непонятно куда, цены выросли в несколько раз, с полок исчезают товары, в стране усиленно закручивают гайки — то последнее, что я буду делать — это бросаться под танки.
А если какой-то идиот окно разобьёт во имя «тигров» — то и желания их спасать тоже не появится.
Охотники-то ему в окна ничего не кидают. Так что скорее к активистам отношение поменяется, чем к охотникам.
Удачи вам "объяснить происходящее" тому, кому в окно вы только что бросили камень.
Спасибо, объясняторы, подобные вам, уже репутационного ущерба своей стороне нанесли больше, чем разбили окон у противников. Попутно наразбивав окон непричастным.
Вот и объясняйте. Как Дэрил Дэвис завещал, словами. Уж он-то в этом понимает поболее иных современных "активастов".
Так как мы всё ещё в аналогии про тигров, и у вас весьма определённая позиция, то я всё-таки отвечу в рамках аналогии, а не хабра:
Нет, вы не объясняете. Вы бросаете камни в окна людям, которые к ситуации имеют только условное и опосредованное отношение. И тем самым вы создаёте этим людям проблемы гораздо более серьёзные (для них), чем те, к которым вы пытаетесь привлечь чужое внимание — и также вы тем самым отодвигаете решение важной для вас проблемы в долгий ящик, потому что ресурсов на решение всех проблем у людей не хватит, и ресурсы на замену стёкол берутся из той же кучки ресурсов, из которой они могли бы пойти на защиту тигров.
Вам это уже неоднократно говорили в соседних ветках, и в этой тоже. Мы вашу позицию слышим, мы просто с ней не согласны.
А кто говорил про закрытие глаз и ушей? Вам говорят, что проблему летящих камней будут решать.
Более того, смотрите какое дело: допустим, гипотетический кто-то каждый месяц переводил деньги в фонд защиты этих самых тигров. А тут ему в окно камень. Или не ему, а его другу или родственнику. Как думаете, куда в следующем месяце пойдут свободные деньги — в фонд или на ремонт окна?
их волнуют только симптомы (камни). Причину (убийство тигров)
Причина прилетания камня - исключительно желание бросившего. Причину возникновения этого желания мы знать не можем, и с точки зрения большинства она выглядит как минимум недостаточной, как максимум - не связанной с итоговым поступком вовсе.
Перестаньте читать то, чего не написано.
В этой цепочке есть лишний элемент - тот, кому прилетел камень. Смотрите:
Вы против убийства тигров. Поэтому Вы разбиваете мне окно, чтобы я тоже стал против и стал действовать. Зачем? Почему вы напрямую не пойдете защищать тигров, а заставляете угрозами защищать их других?
именно по этой логике на западе "белый гетеросексуальный мужчина" стал априори преступником во всём - потому что не остался на улице, раздав имущество неграм, не стал спать с мужчинами в поддержку лгбт, даже пол не сменил -- виновен!
Мотивируя меня защищать ваши интересы через уничтожение моих ресурсов приводит к тому, что я буду желать уничтожить вас. Вы точно эту цель преследуете? Обычно так террористы себя ведут.
Охотники есть и никуда не делись. Но они во-первых далеко, во-вторых вооружены, в третьих, по их законам - они делают правильно все. Следовательно, вы требуете, чтобы я пошел воевать с охотниками. Которые вооружены и на их стороне закон (я не даю сейчас оценки правильности закона). Как итог ваших побуждений - я буду или убит или посажен, в обоих случаях - изолирован и ничем не смогу помочь. Итого, вы своей цели не добились, да и я вам помог примерно ничем. Дальше вы исчезаете из моей жизни, а я остаюсь с проблемами со всех сторон. Например, без справки о несудимости (которую я получу из-за защитников тигров) я не смогу никуда по сути уехать на ПМЖ. Вы-то не едете в тайгу к охотникам, но требуете этого от меня.
Итого, еще раз. Угрозами мирному населению заставить это население делать что-то в ваших интересах - это довольно плохая тактика. У военных это вообще военное преступление, так-то. А вот подтвердить слухи охотников о том, что тигры-то детей едят и вообще сами нападают на охотников - да, с этим вы справитесь.
Перестаньте их оправдывать — уже будет хорошо.
Не будет. Камни-то всё так же прилетают.
Перестаньте их оправдывать — уже будет хорошо.
Нет, не будет. Я вот никого не оправдываю, даю денег благотворительным организациям, вообще в другой стране сейчас — а мне все равно, тем не менее, в ваших терминах, камень в окно прилетел. И те 200 долларов, которые я мог бы отдать в WCK, я теперь пойду и отдам на починку окна.
В этом и проблема атак по площадям.
Я не оправдываю происходящее вообще никак. Еще недавно я рассматривал покупку дома, а теперь изучаю способы нарыть документы для репатриации, а деньги, отложенные на взнос за дом, уйдут на пеерезд в другую страну. Если их удасться хотя бы снять.
Знаете, что по настоящему пугает? То, что вы реально живёте в реальности, где цепочка от убитого тигра до камня в окно - логична. В вашей реальности во всех ваших действиях вы не виноваты априори, всегда есть какая-то внешняя причина, по которой произошло какое-то событие, себя вы в цепочке видите просто "орудием справедливости".
Я более чем уверен, что вы не сможете, но тем не менее попытайтесь закрыть глаза и представить, что вы в здании Театрального центра на Дубровке в Москве, на календаре 24 октября 2002 года. Вы осмелились придти развлекаться в то время, как где-то идёт война и умирают люди, и люди в камуфляже и балаклавах с оружием и женщины в хиджабах с СВУ готовы наказать лично вас за то, что вы не были против (а может и были против, не важно, вас всё равно накажут).
Я категорически против того, чтобы вы писали здесь о своём отношении к тем людям в камуфляже, но если вы сможете понять, кто там, в том времени и месте, тигры и что там камни, может вы и не безнадёжны.
Вот, опять.
Вы опять одновременно и назначили самого себя судьёй (я наказываю вас за то, что мне не нравится, что вы знаете о тиграх, но ничего не предпринимаете в связи с этим) и самоустранились из цепочки действий (ваше окно разбито не потому, что я бросил в него камень, а потому что тигры).
Во всей ситуации выиграло только ваше эго (я совершил акт добра) и стекольщик (продаст очередной лист стекла).
Тигры проиграли - при любом упоминании тигров их ассоциируют не с охотниками, которые на них охотятся, а с сумасшедшими, которые окна бьют.
Ну что ж, сосед.
Вы мне говорите - сосед, нам кидают камни, потому что председатель нашего ТСЖ убивает тигров.
Я отвечаю - возможно, кидателям нужно побеседовать на эту тему с самим председателем? Если не смогут найти консенсуса, то попробовать решить проблему в правовом поле? Ну и уж если совсем крайний случай, пусть председателю окна и бьют?
Вы - кидающие кидают, потому что не видят другого способа остановить убийства тигров. Давай хотя бы не будем вешать на нашем подъезде рекламу охоты на тигров?
Я - если кидающие не видят другого способа остановить убийства тигров, это не значит, что их нет. Скорее всего причина в том, что у председателя есть винтовка (он же охотник), поэтому не то что бросать ему камни в окна, а даже подойти поговорить эти кидающие боятся.
Впрочем, сосед, вот вам банка краски на пальто. Я считаю, что из-за деятельности нефтяной компании, которой ваш работодатель поставляет туалетную бумагу, выбрасываются на берег киты.
И лобовое стекло вашего автомобиля я тоже разобью. Вы купили вчера в супермаркете пакет редиса из Израиля, таким образом поддержав обстрелы палестинских земель.
Я не вижу другого способа прекратить арабо-израильский конфликт, не смейте меня останавливать.
Вот были такие чеченские защитники тигров они захватили роддом и убивали беременных женщин, что бы типа остальные защитили тигров. Я так понимаю вы полностью с ними согласны?
пока вы вставляете окно — ваш паровоз стоит и не везёт охотников в тайгу убивать тигров.
На паровозе в это время работает мой коллега.
А потом, чтобы компенсировать затраты на замену окна, мне придётся дополнительными рейсами возить охотников в тайгу.
Как долго вас будет устраивать происходящее? Не возникнет ли у вас вопрос «а чего они, собственно, кидают мне камни в окно»?
А какая разница, по какой причине они мне окна бьют? И вообще, откуда они знают, что я тиграм деньги не перевожу, к примеру? Они же не адресно окна бить ходят, а куда попало камни кидают.
Так что, если это будет продолжаться, я пойду не тигров спасать, а бороться с теми, кто бьёт мне окна. А потом, возможно, и с самими тиграми. Ну или, по крайней мере, начну борьбу с тиграми всячески одобрять — потому что если ради них бьют мне окна, то хорошими эти тигры быть никак не могут.
Огромная. Меняющая всё.
Ничего она не меняющая.
Когда мне бьют окна — моя проблема в том, что мне бьют окна. И мне придётся решать именно её. Вставлять новые стёкла и ловить тех, кто их бьёт. И мне без разницы, во имя чего они бьют окна — во имя спасения тигров или во имя борьбы за права пингвинов.
Почему же? Ведь именно это причина вашей проблемы с окнами.
Потому что мне надо будет вставлять новые стёкла и разбираться с теми, кто их бьёт. А с тиграми пусть охотники разбираются.
Вопрос «а какая у них причина бить окна» у вас не возникает?
«Александр Македонский герой, но зачем же стулья ломать?» Тигров убивать плохо, но это не повод бить мне окна.
Причину ловить не хотите?
Причина разбитых окон вон бегает с булыжником. Поймаю её и сдам в милицию — окна больше бить не будет.
Хотите только исправлять последствия?
Я решаю проблемы по списку приоритетов. Моя насущная проблема — разбитое окно.
Эм. Тигров нужно убить?
Перестать убивать, посадить в зоопарк, перебить окончательно — подчеркните то, что вам нравится. Мне нравится первый вариант. Но вот чем больше окон мне разобьют, тем больше я буду задумываться о последнем. Да, это плохо. Но моя шкурка мне ценнее тигриной.
сделать хоть что-то для спасения тигров. Хоть что-то.
Как показывает мой жизненный и профессиональный опыт, поступки с мотивацией "ужос!!!!111! давайте хоть что-то сделаем!111!11!111!расрас" (с иллюстрацией в виде известных белок-истеричек) одни из самых глупых, нелогичных и приводят к одним из самых тяжелых последствий.
Не можете сделать что-то РЕАЛЬНО полезное или как-то РЕАЛЬНО повлиять на ситуацию - лучше не делайте ничего, чем делать гадости исподтишка непричастным людям, даже если у вас зудит показать свою причастность и неравнодушность. Virtue signalling никого не красит. Хотите помочь тиграм - давайте им реальные деньги, езжайте к ним в джунгли, берите берданку и охраняйте их покой. Конечно, это куда сложнее, чем сидя в теплом кресле написать полный праведным гневом комментарий с обличением охотников или темной ночью, пугаясь собственной тени, пойти к подчиненным троюродного брата младшего зятя охотника и тихо навалить им кучу под дверь, а потом радостно живописать таким же "неравнодушным" "Уххххх как я им!". При этом сами-то вы хотите бороться, сидя в теплом кресле, а тех, кого назначили виновными за охотников, побуждаете к тем действиям, которых сами боитесь до икоты и которые бы сами никогда бы не предприняли (иначе почему вы еще не с берданкой в джунглях?).
Есть камень — это сподвигнет вас что-то сделать — не работать с таким начальником, рассказать другим, чтобы не работали с таким начальником, самому помочь тиграм или хотя бы помочь тем людям, которые помогают тиграм.
вы в курсе, что вы сейчас описываете и оправдываете терроризм?
именно с такой мотивацией и совершаются теракты против мирных граждан
Вы же понимаете, что такими действиями решение изначальной проблемы только затянется?
Есть проблема, ее надо решать. Вы предлагаете создать новую проблему, чтобы обратить внимание на изначальную. Но это так не работает, проблема территориально или экономически ближе поднимется в бэклоге за счет более высокого приоритета. И все будут решать новую проблему, забыв про старую.
Санкции делают примерно то же самое. Вместо того, чтобы ходить по площадям с митингами (грубо говоря, участвовать в решении изначальной проблемы), люди озаботились тем, чтобы не потерять последнее (ну а кто-то - выгоднее использовать новые окна возможностей). Кто работу потерял - спешно ищет новую. У кого бизнес тонуть начал - ищет новые рынки, выходы, логистические извороты, и т.д. Кто переехать планировал - пытается маршрут построить в нынешних реалиях, или вообще планы перекраивает, потому что целевая страна перестала визы выдавать. Все, бинго. Про изначальную проблему все забыли, потому что появились новые, сильно ближе, и потому опаснее
То, что предлагаете вы - оно только в теории работает. На практике же достигается совершенно обратный эффект - изначальная проблема из разряда животрепещущей переходит в разряд "на кухне обсудить". И куча ресурсов, экономических и человеческих, оказывается переброшена с борьбы с изначальной проблемой на устранение новых проблем, льющихся теперь просто неиссякаемым потоком
Аналогия некорректная из-за несопоставимого уровня опасности.
Давайте так. Кто-то открыл форточку, и в нее залетели осы-убийцы. Возможные решения:
спрятаться всем в чулан и ждать, пока придет помощь
если нет надежды на быструю помощь - отгонять от себя ос, стараться их убивать, спрятаться в дальнем углу дома, где статистически ос будет меньше. Постепенно убивать подлетающих насекомых. Ждать помощи
пытаться пробиться к входной двери, чтобы свалить подальше от эпицентра и вызвать чувака-дезинсектора
А вы предлагает скинуться на К-М-Н и выбрать, кем пожертвовать. Тот, кто должен собой пожертвовать, должен пойти в эпицентр, и, пока может двигаться, пытаться закрыть форточку. Первый, возможно, умрет раньше, чем достигнет цели, и придется выбрать еще кого-то, причем путь его будет столь же опасен, потому как первый бедолага не решал локальные проблемы (не убивал ос), а значит - не повышал шансы второго на успех, скорее даже наоборот (злил ос). Окей, компания лишилась одного-двух человек. И оказалась в теперь уже замкнутом помещении с кучей ос. Изначальная проблема решена, да. Но пришлось пожертвовать парой товарищей, и, возможно, все таки погибнуть, потому что осы разозлились, улететь они не могут, убежать от них уже не выйдет - они же попробовали крови.
Вот примерно так это и работает. Никто не захочет жертвовать собой, чтобы решить изначальную проблему. И решение изначальной проблемы уже не решит новые. Поэтому людям свойственно забывать об изначальной проблеме при появлении локальных проблем.
Американские солдаты во Вьетнаме, попадая в ловушки вьетконговцев, ненавидели не свое правительство, отправившее их на смерть, и даже не коммунистов, раскачавших регион. Они ненавидели того несчастного, который был вынужден копать ловушку, чтобы хоть как-то восстановить паритет сил.
Так то оно так. Вот только над коллективным бессознательным не властвует разум. А вы пытаетесь взывать именно к нему. Коллективное бессознательное нам говорит - сначала убей всех-всех ос, потом закрой форточку, потом - побей того, кто ее открыл. Вы же хотите наоборот. Но это не царство разума, здесь другие законы. Разум заставляет людей ну максимум выражать сочувствие и участие. На антироскомнадзорные "встречи" людей ведет как раз то самое бессознательное. Поэтому управлять всем надо по его законам
Пример неудачный. Между открытой форточкой и налетевшими комарами есть прямая связь - наличие открытой форточки создаёт возможность налетания комаров (форточка закрыта - налететь чисто физически не получится). Между тиграми и камнем (равно как и в оригинальной проблеме) такой связи нет - возможность кинуть камнем в окно есть всегда, независимо от наличия или отсутствия повода.
Все используемые пакеты нужно носить с собой (вендорить)
Справедливости ради, подобные непотребства я видел только в npm репозиториях, многие из них и раньше казались шлаком.
Он террорист, а не просто урод. А если такой апдейтик прилетит на комп в энергетике в медицине? (надеюсь конечно что местные безопасники не пальцем деланные).
Она там всю ветку у себя вычистил
Здесь собрана вся информация о зловреде, который был в его пакете
https://gist.github.com/MidSpike/f7ae3457420af78a54b38a31cc0c809c
Звездец. Чуть больше деталей и timeline: https://snyk.io/blog/peacenotwar-malicious-npm-node-ipc-package-vulnerability/
По сути - теперь даже обновлять линукса стремно.
его и раньше было стремно обновлять. Ну, кто знает - может система не загрузится. А может загрузится, но данные в фарш превратятся. А еще лучше, если ты это заметишь, только тогда, когда пройдет время, а бекапов не будет. Уже был пример с вредоносными патчами в ядро https://habr.com/ru/news/t/553712/
Может еще кто напомнит - там же была история, что в каком-то из дистрибов линя, один пакет при обновлении сносил рутовую ФС? Кто подскажет? Что-то не могу нагуглить
ну нас вы обманете, но себе то зачем врете, вы же знаете правильный ответ
У опенсорса гораздо больше шансов быть вне политики, потому что он не живет за счет государства. Я сильно сомневаюсь, что хоть сколько-нибудь значительная часть FOSS сообщества поддерживает данную выходку, даже если бы она не удаляла файлы. Нельзя судить все общество по небольшому количеству экстремистов, это даже одна из причин этой войны.
Проблема - в отсутствии контроля. Один-единственный разработчик может устроить диверсию или допустить случайную ошибку, которая испортит жизнь миллионам людей. По-хорошему, любой коммит в опенсорсе должен проверяться (и подписываться электронной подписью) хотя бы двумя разработчиками-контролёрами. Это не 100% гарантия, но всё-таки.
А платить за это кто будет?
В том, который массово используется. Это должно быть условие того самого массового использования.
В случае конкретно репозиториев git и прочих децентрализованных — не надо ничего отключать, достаточно какому-нибудь фонду сделать форк и пропускать в него только проверенные коммиты.
Для централизованных репозиториев — да, надо отбирать возможность публикации у вас и передавать фонду. Не потому что это хорошо и правильно, а потому остальные варианты ещё хуже.
Для централизованных репозиториев — да, надо отбирать возможность публикации у вас и передавать фонду.
Я пытаюсь представить себе при таком подходе:
1) Объем сложностей лицензирования кода при таком подходе
2) Объем возможностей для абьюза этой системы со стороны фондов, корпораций и государственных органов
3) Количество мотивации у разработчиков опенсорса прикладывать свои усилия для развития проектов в централизованных репозиториях
4) Объем бюрократии, необходимый для энфорсинга этих правил
И не могу вообще никаким образом придумать, почему такие правила поддержит хотя бы 5% опенсорс-разработчиков
А причём тут лицензирование кода? Код можно форкнуть. Проблема в распространении пакетов/крейтов/и т.п.
Код можно форкнуть
Надо отбирать возможность публикации у вас и передавать фонду.
Тогда мне не очень понятен смысл этого действия. Вы предлагаете отбирать у разработчика права коммитить в свой собственный проект, передавать права на публикацию в него в фонд, а самому разработчику - этот проект форкнуть? Или это фонд должен форкнуть проект? И кто куда тогда будет запрещать коммитить?
Против "фонд форкнул проект и ревьюит его, не выпуская непроверенных коммитов", я, конечно, ничего не имею.
любой коммит в опенсорсе должен проверяться (и подписываться электронной подписью) хотя бы двумя разработчиками-контролёрами.
1) Кто это правило должен будет контролировать?
2) какие санкции за неисполнение?
3) за чей счёт осуществляется проверка?
Совершенно не понимаю желание запихать в процесс написания опенсорсного кода бессмысленную бюрократическую тягомотину. Давайте ещё на каждый коммит заявление на госуслугах составлять.
На самом деле это не такая уж и плохая идея. Как, например, в Сounter strike можно в момент ожидания матча заниматься просмотром подозрительных игр, выискивая среди игроков читеров, так и на гитхабе можно создать специальный раздел, в котором можно посмотреть коммиты популярных проектов.
Кроме этого, такой раздел имеет и образовательную функцию – смотреть на грамотно сделанные коммиты это хороший опыт, который к тому же может привести процесс код ревью к стандарту в разработке.
Ясное дело, это не даст 100% гарантий работоспособного кода, и не даёт ответов на все ваши вопросы, но введение этапа проверки в любом случае сделает код качественней.
и на гитхабе можно создать специальный раздел, в котором можно посмотреть коммиты популярных проектов.
Ага, и в капчу тоже добавить можно...
Сервис/Раздел, где можно ревьюить код в популярных проектах - это уже совсем не то же самое, что и "каждый коммит в популярном опенсорсе должен подписываться и ревьюиться как минимум двумя разработчиками". Впрочем, никто не мешает уже сейчас любому желающему открыть код проекта по вкусу и начать его ревьюить)
это уже совсем не то же самое, что и "каждый коммит в популярном опенсорсе должен подписываться и ревьюиться как минимум двумя разработчиками
А кто мешает и это правило внедрить?
Впрочем, никто не мешает уже сейчас любому желающему открыть код проекта по вкусу и начать его ревьюить)
Без обратной реакции? Кто тебя слушать станет, если у тебя опенсорсного бэкграунда нет? А начинающим программистам и того хуже – для них подобрать даже один проект для ревью практически невозможно в силу незнания рынка.
А кто мешает и это правило внедрить?
В каком-то конкретном проекте или организации - никто не мешает. Вроде бы в Spring, Apache или Eclipse что-то подобное в правилах есть.
Без обратной реакции?
Нашли проблему - отправили пулл-реквест или завели issue. Почему на него не будет реакции сейчас, но будет реакция, если завести отдельный раздел для ревьюинга проектов?
Кто тебя слушать станет, если у тебя опенсорсного бэкграунда нет?
У меня в опенсорс очень мало вклада, но мои заведенные в проектах issue никогда без внимания не оставались. У друзей и знакомых есть опыт контрибьютинга, например, в ML-тулзы в Facebook c околонулевым опенсорсным бекграундом. Это все, конечно, anecdotal evidence, но я никогда не замечал, чтобы контрибьютору устраивали какой-то background check.
А начинающим программистам и того хуже – для них подобрать даже один
проект для ревью практически невозможно в силу незнания рынка.
У начинающих программистов есть множество площадкок, чтобы попросить соответствующего совета вида "Я начинающий программист на Java, хочу попробовать поревьюить опенсорсный код/сделать контрибьюшен. Посоветуйте, пожалуйста, подходящий проект." Специальный сервис, где можно по каким-то критериям подобрать себе проект, конечно, лишним не будет - но и необходимым тоже.
Точнее информация об аппруве конкретной версии была бы доступна. А дальше — как своего сборщика настроишь:
Девелоп ветка
Мастер ветка
Мастер ветка с аппрувом
Мастер ветка с аппрувом от конкретного чувака
Твой личный форк с твоим аппрувом.
действия разработчика ... привели к проблемам по всему миру
удаляет все файлы с устройства, если этот код был запущен с российского или белорусского IP
очевидно, проблемы не по всему миру, а только на устройствах с российским или белорусским IP.
Вспоминается зловред который центрифуги на иранских обогатительных заводах из строя выводил.
И более недавная атака криптовымогателей на американские госпитали во время разгара ковида.
очевидно, проблемы не по всему миру, а только на устройствах с российским или белорусским IP.
Ну, там еще рикошетом кого-то зацепило. В любом случае - это максимально плохой прецедент.
Насколько я понимаю, нигде не привели, т.к. ключ к сервису геолокации был нерабочий.
Этому нет доказательств. Автор логической бомбы утверждает, что ключ нерабочий, и в настоящий момент это так. Но нет никаких доказательств, что ключ был нерабочий в некоторый промежуток времени между публикацией вредоносного кода и последующими событиями.
К слову, история не столь однозначна. Вот тут человек скептичен относительно всего этого. Может быть любопытно почитать.
Так уже с тех пор это "расскеретили" - https://www.timesofisrael.com/dutch-mole-planted-infamous-stuxnet-virus-in-iran-nuclear-site-report/ тут пишут что прям диверсанта забросили на иранский завод с этим самым зловредом.
очевидно, проблемы не по всему миру, а только на устройствах с российским или белорусским IP.
Осталось дождаться случая, когда очередную логическую бомбу напишут с ошибкой в коде, и будет не "только".
Например, если бы условие вследствие ошибки стало "все IP, кроме РФ и РБ". Виновника наверняка сразу же записали бы в русские шпионы
ну да, сидит программист открытого ПО в подвале, падают на его голову физические бомбы, и он случайно делает коммит который удаляет всё без разбора. Очень даже может быть.
Ну или после того как у него родственника в кутузку забрали, за неблагонадёжность.
Если пострадали ̶е̶в̶р̶е̶и̶ русские и белорусы, то норм? Лет 70 назад такая логика привела к суровым последствиям
>очевидно, проблемы не по всему миру, а только на устройствах с российским или белорусским IP.
тут не всё так просто. IP-адреса (особенно v4) постоянно "трансферят" (де-факто, продают) между странами, в том числе и из РФ в условную Чехию и почти всегда geoip-сервисы за этим не поспевают. ну т.е. вероятность появления случайно пострадавших (за пределами РФ и РБ) совсем ненулевая
Райан (он создатель и node, и deno) как раз в презентации акцентировал внимание, что проектировал deno с учетом подобных возможностей у npm пакетов, и в deno по умолчанию нет доступа ко всей файловой системе, нужно явно разрешать доступ к нужным папкам через --allow-write и --allow-read.
Как мы видим по мобильному софту, даже наличие тщательно поддерживаемой деньгами "закрытой песочницы" не может гарантированно спасти от проблем безопасности. То же самое в опенсорсе (читай: без рычагов финансового контроля как для улучшения кода, так и для давления на тех, кто пытается пробиться через эти меры) будет гораздо более печальным.
Конечно, это всё равно лучше полного отсутствия контроля доступа, но я б не надеялся, что с Deno что-то станет прям сильно лучше.
Но в итоге ты вынужден давать доступ на запись, если ты пилишь unityhub (ланчер движка с автоапдейтом, выкачиванием зависимостей и т.п). Т.е не помогут никак эти запреты.
Зато в Deno есть прямой импорт пакетов по URL, который можно вставить в любой точке кода. Это конечно гораздо надёжнее.
В deno тоже есть lock.json для url, и вы не сможете получить измененный/подмененный url, если используете этот механизм.
Но что произойдет, если содержимое удаленного url some.url/a.ts будет изменено? Это может привести к тому, что ваш модуль на продакшене будет работать с другим кодом, нежели ваша локальная разработка. Решение Deno для предотвращения этого — использовать проверку целостности и блокировку файлов.deno.land/manual@v1.20.1/linking_to_external_code/integrity_checking
По сути, это не особо отличается от npm.
Учитывая, что пакет node-ipc — это не какая-то там библиотека для фронта, очень высока вероятность что доступ на запись ему дадут.
Например, обсуждаемый vue-cli, зависящий от node-ipc, буквально создан чтобы читать и записывать файлы.
реализация vue-cli на deno: deno.land/x/vno
Хоть и написано, что там используется нестабильный функционал и надо его флагом включать, но общая идея остается та же, с разрешением на запись всего.
вот из за таких ребят страдает имидж опенсорса, надеюсь его будущие работали ему ничего важнее чем принять кофе не доверят
Не забывайте отправлять жалобу на такие вещи на гитхаб: https://support.github.com/contact/report-abuse?category=report-abuse&report=other&report_type=unspecified
При большом количестве жалоб они обратят внимание. Хотя и так обратят, скорее всего.
Спасибо за ссылку. Присоединяюсь, даже не смотря на то, что о пакете я слышу впервые и никогда его не использовал. Сей инцидент не должен пройти безнаказанно.
Мелкие аккаунты, используемые для распространения малвари, сносят даже по одной жалобе.
По этому аккаунту уже ответили: "Our team is currently investigating the account in question to determine if their content or conduct violates GitHub's Terms of Service."
https://github.com/RIAEvangelist/node-ipc/issues/308
(и пройти по ссылке в первом сообщении)
Немножко о том, где эта софтовая бомба рванула.
Ещё раз, деструктив - это плохо.
Мотивы понятны, но стоит помнить что разработка вредоносов - уголовное преступление. Тем более, что имеет место неизбирательное действие и подавляющее число пострадавших будет не из военной среды.
Думаю в этом и проблема — добавился в зависимости node-ipc пакет peacenotwar, народ посмотрел, там только лозунги. Пропустил/поддержал, а потом кто уже будет отслеживать изменения во всех зависимых пакетах, тем более от человека про которого известно «Currently, RIAEvangelist maintains over 40 other npm packages with hundreds of millions of downloads behind them.»? И тут peacenotwar превращается по функционалу в «warnotpeace»…
P.S. Выше уже выкладывали ссылку с подробностями(очень интересно вчера было почитать): snyk.io/blog/peacenotwar-malicious-npm-node-ipc-package-vulnerability
Давайте не уходить в сторону метафор и аналогий.
Вы спрашивали что может быть плохого в коде по той ссылке(который всего лишь выводит в консоль текст при установке пакета). Плохо то, что по своим личным мотивам человек встраивает сторонний функционал в библиотеку(возможно широко используемую в других проектах), и на своё усмотрение может(допустим автор по ссылке так не сделает, а вот RIAEvangelist не побрезговал) превратить безобидный лозунг в зловред. Плохо то, что подобные действия подрывают доверие ко всей цепочке зависимостей — сейчас куча людей использует разные фреймворки по сути доверяя и их разработчикам, и разработчикам зависимостей до последнего колена.
Возможно DenimTornado имел иную аргументацию, но с его "-20" он врядли скоро сможет вам её пояснить.
Плохо то, что по своим личным мотивам человек встраивает сторонний функционал в библиотеку(возможно широко используемую в других проектах), и на своё усмотрение может(допустим автор по ссылке так не сделает, а вот RIAEvangelist не побрезговал) превратить безобидный лозунг в зловред.
В этом тезисе нет никакого смысла. Он ничем не отличается от "плохо то, что сегодня автор кода пишет код, а завтра встроит в него зловред".
Классика жанра — "сегодня он играет джаз, а завтра родину продаст". Начиная судить других за возможные мыслепреступления, вы едва ли становитесь лучше тех, кто нынче готов творить любое непотребство, прикрывшись словами "ну, война же идёт".
Если уж вы очень хотите кого-то осудить — судите за поступки, а не за (возможные) мысли. Выводить тексты любого содержания, в т.ч. и не имеющие отношения к функциям кода в консоль — это совершенно не то же самое, что и писать малварь, код, наносящий ущерб при исполнении.
В этом тезисе нет никакого смысла.
Это не тезис, это всего лишь моя личная оценка ситуации, с учётом тенденции в нынешних условиях. Она не обязана совпадать с вашей. И судить кого-то за не совершённые действия я не пытаюсь, и не собираюсь.
Думаю мы оба сходимся в том, что никаких гарантий внедрения злонамеренного кода нет, и не было.
До текущего времени я полагал что для пакета/библиотеки с таким распространением это всё таки ситуация маловероятная, т.е. доверял продукту созданному сообществом. Как и не мог ожидать подобных действий со стороны активного участника стольких проектов(имею ввиду виновника появления статьи).
Но сейчас появилась повышенная вероятность такого события, в свете мировой повестки. И мне приходится пересматривать свои критерии доверия как к открытым, так и к закрытым, но свободно распространяемым, библиотекам.
P.S. Вести дискуссию о «джазе» и «мыслепреступлениях» я не хочу — в философских спорах я слаб, да и мозг сейчас занят гораздо более приземлёнными материями.
До текущего времени я полагал что для пакета/библиотеки с таким распространением это всё таки ситуация маловероятная, т.е. доверял продукту созданному сообществом.
А, ну тогда просто у вас были необоснованно высокие ожидания ^_^
Я просто свои критерии к открытым пакетным менеджерам сформировал уже довольно давно, и они такие, что в текущей ситуации мне их менять не надо.
Сейчас важность разработки Deno или security релизы Nodejs должны стать приоритетом, а не новые фичи ecmas
А вот интересно, как с этим дела обстоят в последних обновлениях для приложений в гугл плей? Там же тоже полно разномастных разработчиков, а обновления ставятся автоматически, теоретически кто-то тоже может "заминировать" своё детище.
Чисто теоретически - wildberries.ru тоже мог лежать из-за этой либы
Такое ощущение что у всех крышу сносит от мировой повестки. Такое поведение не профессионально. Разработчики это по определению созидатели и созидать надо всегда, что бы не происходило в мире. Хороший повод заиметь некую диверсификацию технологий, хотя я слабо представляю как можно быстро и безболезненно перепрыгнуть с одной технологии на другую.
Не надо считать, что разработчики "элита". Такие же люди, которым свойственно быть подверженными пропаганде, отсутствию критического мышления и т.д.
Что может сделать человек в определенной ситуации, зависит не от его профессии.
Оно не только не профессионально,оно вообще-то почти во всех странах подпадает под много статей УК . А давайте теперь русские разрабы будут лютый энтерпрайз таким образом "фиксить" можно с оракла начать.
Такое ощущение что у всех крышу сносит от мировой повестки
Такие эмоции можно понять - в то время, как кому-то "мировая повестка" сносит крышу буквально (иногда еще и стены, и другие объекты инфраструктуры), сопереживающие товарищи могут на эмоциях сделать что-то очень глупое, даже если они - высококлассные профессионалы.
Я оптимист и параноик, и поэтому говорю вам - дальше будет ещё хуже.
Сейчас наблюдаются только единичные случаи деструктивных обновлений по инициативе владельцев проектов. Но вооще-то корпорация зла может поставить вредительство на поток - не спрашивая ничего у владельцев проектов на гитхабе просто взять да и вставить туда грамотно замаскированные закладки, отдаваемые только российским клиентам. О бинарных обновлениях софта уже вообще лучше забыть - с ними может прилететь любая самая феерическая хрень.
Что-то такое вертелось на языке. Тут говорят о "потере доверия к СПО" - нет, все наоборот. Это потеря доверия к GitHub, а вместе с ним и к Microsoft, а вместе с ним и к Windows, а вместе с ним и к проприетарщине, где возможно то же самое, но не человекочитаемое. Так что СПО как раз безопаснее - но на других площадках. Пока немногочисленные альтернативы типа Gitflic, Gitee - это только начало. Их будут сотни.
См. первое сообщение ветки: pae174 предположил, что на GitHub может ещё и изнутри начать пакостить сам Microsoft, и вероятность этого ненулевая. Также на других площадках могут быть более строгие правила модерации. Даже лозунг вообще любой - и внесённое изменение откатывают назад.
А гитхаб-то здесь причем?
Гитхаб со всеми потрохами принадлежит корпорации зла которая уже давно везде лезет и разными способами напрягает даже и без санкций. Имеющиеся в её распоряжении ресурсы (как HR так и технические) на порядки превосходят всё то, что можно хотя бы теоретически собрать с целью противодействия потенциально возможному саботажу в России.
PS
Вот и Сбер начинает что-то такое подозревать : https://ria.ru/20220318/obnovleniya-1778878712.html
The moral is obvious. You can't trust code that you did not totally create yourself. (C) Ken Thompson, "Reflections on Trusting Trust", 1984
Можно ли выполнять доверенные вычисления в полностью недоверенном окружении?
Думаю учитывая теорему Гёделя (проблему остановки) ответ такой:
В любом наперёд заданном недоверенном окружении можно написать программу, производящую доверенные вычисления. В общем случае нельзя.
Для любой наперёд заданной программы можно подобрать недоверенное окружение, компрометирующее результат. В общем случае нельзя.
Отличный ответ!
Как вы думаете, в какой из описанных случаев попадает такой частный случай, как смарт-контракты эфириума? Если вообще попадает.
Я бы сказал для отношения между людьми в первый. Для общества криптовалюта выступает способом обойти наперёд заданную "трагедию общин" - каждому было бы выгодно просто положить транзакцию себе в карман, но он не может этого сделать. В случае смарт-контрактов участник вынужден честно произвести вычисления.
Но и второй не стоило бы сбрасывать со счетов. Думаю задавшись подобной целью какое-нибудь государство смогло бы компрометировать результат. Не обязательно в лоб - социальная инженерия как обычно тут тоже применима.
Размещение таких проектов на гитхабе открывает большие просторы для терористов. Велком хакеры на гитхаб. Вы теперь можете без зазрения совести вести публичные проекты по нападению на другие страны или компании и ВАС НИКТО не забанит. ГИТХАБ за терроризм.
P.S. Одно дело просто по желанию какие библиотеки закачать к себе. Другое дело без желания и знания.
P.P.S. Размещение в открытом виде как как-то планирует атаки и подробные инструкции - терроризм в чистом виде.
К сожалению это один из минусов опенсорса (на самом деле нет, в закрытом ПО такое тоже возможно), есть риски того, что появится очередной "киберпсих" и превратит полезное ПО которым пользуются миллионы людей в какой-нибудь зловред. В принципе если автор разместивший зловред не анонимен, то по закону любой страны его можно отправить за решетку, ну и конечно он обязан будет выплатить многомиллионные штрафы.
Что-то складывается у меня впечатление, что автор сего зловредного пакета - не политический боец, а герой анекдота про хакера и солонку. Примерно 9 месяцев назад он накатал такой пакет, позиционируя его как "вирус на nodejs". Что наталкивает на мысли, что он ещё давно хотел либо подорвать доверие к опенсорс сообществу, не очернив при этом себя, либо получить вознаграждение за найденный "баг", но никто его всерьёз не воспринял.
А сейчас у него появился хороший повод перейти от теории к практике и обратить на себя внимание, начав гадить уже по-настоящему, выбрав в качестве цели группу лиц, к которой применяется культура отмены (да ещё и при этом принадлежность к этой группе можно с относительно большой точностью определить через геолокацию, в отличие от гендера, цвета кожи или ориентации).
Удивляет в этой истории одно - почему GitHub и NPM так и не заблокировали автора после его выходки, несмотря на множество жалоб. Намеренное вредительство должно расцениваться, как абсолютно недопустимое, иначе вскоре платформу все кому не лень будут использовать для политической, религиозной или какой-нибудь другой борьбы с неугодными путём саботажа и распространения малвари, действующего избирательно.
Лишний раз убеждаюсь, что человек с промытыми мозгами реально представляет серьезную опасность. Вне зависимости от того, кто и чем ему мозги промыл, какое у него гражданство и национальность.
Встречаешь на своем пути такого человека - обходи за километр.
Судьба этого бедолаги незавидна, ведь любой работодатель всегда будет учитывать, что если этому типу что-то не понравится, он может нанести ущерб организации. Таких людей нанимать опасно
Страшно нынче жить. Получается если напороться на шизу, то apt upgrade сломает всю систему
запушил коммит с обфусцированным кодом
вот это как не заметили сразу
А вы мониторите все коммиты во всех репозиториях всего ПО, которое у вас в зависимостях?
Не рой яму другому, сам в неё попадёшь.
Деструктивные действия разработчика npm-пакета node-ipc привели к проблемам по всему миру