A tu per Tux è tornato con (probabilmente) l’ultimo articolo prima di queste vacanze estive.
L’argomento che voglio trattare oggi è di estrema importanza per tutti noi.
Fin dalle prime installazioni e dalle prime ricerche di programmi per la nostra distribuzione ci scontriamo con una parte essenziale del mondo Linux: I Repository.

Tutte le distribuzioni hanno i propri repository ufficiali, dove vengono mantenuti i vari software, e basta un sempplice comando con <nome pacchetto> per trovarlo e installarlo (tralasciamo l’arrivo del Software Center).
Fin qui tutto bene, ovvero, ciò che andiamo ad installare è stato verificato prima dal team che mantiene il repositoty. Ma cosa succede nel momento in cui aggiungiamo repository esterni?
In Ubuntu, i famosi PPA, permettono di mantenere la distribuzione con certi pacchetti sempre all’ultima versione grazie appunto all’utilizzo di un PPA.
Ma siamo sicuri che aggiungere un PPA esterno sia sempre una buona cosa?
Quanta facilità avrebbe un team, o una sola persona, di inserire codice malevolo in qualche file che poi noi installiamo tramite l’utilizzo di un PPA/Repository esterno?

La discussione odierna affronterà proprio questo tema:
Cosa comporta in termini di sicurezza l’utilizzo di un repository esterno?
A voi la parola, gente di LFFL!
PS: A Settembre arriverà una nuova versione di A tu per Tux con tante novità.
Si accettano suggerimenti, consigli e critiche.
Vi aspetto.
  • roberto mangherini

    a mio avviso è come scaricare i pacchetti .deb dai siti, se il sito o il repository ha una buona reputazione allora non c’è pericolo di incontrare guai.
    io mi fido di lffl e so che i repo che consigliate sono affidabili.

    • Federico Biasiolo

      Straquoto 🙂

    • Alessio

      AHAHAHAHAHAAHAHAHAHAHAAHAHAHAHAHAAHAHAHAHAHA non so proprio che ppa di lffl hai aggiunto, ma ferramosca roberto non ha affatto una buona reputazione, nè sul web nè sui canali di supporto di ubuntu, sono sempre i suoi repository a fare danni, cerca un po’ sui vari forum, ogni volta che c’è un problema di qualche dipendenza o pacchetto installato male o non più funzionante c’è sempre il suo zampino…Per altre cose è bravo, non c’è che dire ma riguardo ai ppa…Stendiamo un velo pietoso che forse è meglio 😉

      • questo lo dice uno che probabilmente non ha mai usato un ppa (forse non sa nemmeno cosa siano)
        quali problemi ci sono con i ppa? java?
        ci sono stati dei problemi con sopcast ma non dipesi da me ma da vlc
        e poi comunque risolti
        da segnalare inoltre che i ppa lffl (dato che te critichi tanto) se guardi bene hanno 5 bug segnalati vuoi che vediamo altri ppa che ci sono in giro quanti ne hanno
        oltre al fatto che tutti i pacchetti nei ppa sono stati testati in più distribuzione cosa che pochi fanno

        • Alessio

          Bhe i mi piace che ho preso al mio commento precedente significano qualcosa…La gente non si fida più dei tuoi ppa, non li provo da circa 5-6 mesi e non ci tengo farlo, visto che ogni volta ho dovuto cercare aiuto su irc e sui vari forum riguardanti ubuntu…Ed ogni volta la risposta è stata “ma perchè ti ostini a mettere quei maledetti ppa di ferramosca?? Ha una brutta reputazione, piuttosto tieniti un sistema funzionante ma con i pacchetti forniti da canonical, al massimo usa i repository partner, ma non mettere mai più ppa di terze parti, sopratutto presi da siti gestiti da incompetenti” Ho ancora gli screenshot, se vuoi te li mando non ho problemi…Fatti una cappatina sul web e dimmi se non è così…Forse siamo noi utenti ad essere stupidi, ma non mi è mai bastato un ppa purge per i danni causati dai tuoi pacchetti…

          • Jack O’Malley

            Beh, ma se non sei capace che cavolo li usi a fà repo di terze parti?
            Ti consiglio anzi di non abilitare nemmeno gli aggiornamenti proposti, per te magari sono troppo instabili pure quelli!!

          • millalino

            @eef95aa01f8aed0fdc71d0d53b249c52:disqus: Io uso i ppa consigliati da Lffl dalla 9.04 e non ho mai riscontrato nessun problema, almeno finora.

      • roberto mangherini

        intendo non solo i ppa di lffl, ma anche quelli che mette negli articoli che non sono di lffl.
        che provochi problemi un repository in testing questo si preventiva, ma son sicuro che i ppa che presentano in questo sito sono virus free.

        • Alessio

          Aaaahh certo, ti riferisci ai ppa di ricotz?? Bell’elemento pure quello, io dopo aver reinstallato tutto per l’11 volta per colpa di “pacchetti porcheria” che vengono postati su sto sito, non mi fido più…Se a te non creano problemi, buon per te 😉

      • non per difendere ferram comunque mi hai incuriosito e così sono andato nei canali ufficiali di supporto di ubuntu (forum e irc) e sul forum l’unico problema che si evidenzia è su vlc problema per altro legato all’utente che aveva messo il repo per maverick pur avendo lucid, su irc anzi alcuni mi hanno consigliato di utilizzare proprio quei repository per installa java… Sarei curioso di vederli gli screenshot…

        • ci sono stati dei problemi con sopcast ma questo era un problema non mio ma di vlc
          ho alcuni bug da correggere su Rosegarden ma anche li il problema è a monte ossia dei sorgenti ho segnalato il tutto agli sviluppatori e aspetto che arrivi la versione corretta
          tutto questo comunque è stato segnalato senza arrabbiarsi e indicare che i ppa non funzionano o che danneggiano il sistema
          è anche vero che ultimamente non arrivano tanti aggionamenti
          ma seguo il blog per 4/5 ore al giorno x 365 giorni l’anno + lavoro e ho una famiglia
          quindi tempo per i ppa è sempre meno

          Il giorno 09 agosto 2012 17:43, Disqus ha scritto:

          • Ah ferram io mi riferivo ad Alessio quando chiedevo gli screenshot, tutti sbagliamo siamo umani ma siccome vantava screenshot e menate varie io sinceramente sui canali ufficiali qualcosa di ricollegabile ai tuoi repository non ne ho trovato…

          • HaraldZimer

            e’ solo un flammatore, lasciatelo perdere, parla senza dare una sola prova, un solo esempio dettagliato, in casa ho 3 pc e ne gestisco almeno una 15ina fra lavoro e amici, mai avuto alcun problema con i ppa di lffl.
            in 7 anni di linux ho avuto solo una volta un problema con un ppa e era la versione non stabile di gimp2.7 un anno fa, una volta eliminato il ppa e messo la versione stabile nessun problema, ma soprattutto non ho mai dovuto reinstallare alcuna distro.

          • il ppa sono testati
            a volte ci possono essere dei problemi a monte non dovuti dal ppa molti hanno problemi con i ppa dei driver
            su 99 funzionano su uno no ma questo forse non è dovuto al ppa che fa disastri
            ma al modello della scheda se supportata o meno dal driver o altri fattori

            Il giorno 09 agosto 2012 21:08, Disqus ha scritto:

        • Alessio

          Ma prego http://webchat.freenode.net/?channels=ubuntu-it chiedi un po’ se è consigliato aggiungere repository di lffl o meno, fai pure e poi dimmi cosa ti rispondono, non ho nessun motivo di criticare il lavoro degli altri, se non quando è fatto con i piedi per non dire altro 😉

          • visto che son fatti con i piedi spiegami tu come farli meglio…

            Il 09/08/12, Disqus ha scritto:

      • angelo

        quali ppa parli hai visto quanti ppa ha lffl?
        hai segnalto i problemi a lffl?
        da come parli mi sa che hai probavato a mettere i ppa su windows 7 e e ti arrabbi perché non funzionano
        ps uso i ppa lffl sia io che in ufficio (java e rosegarden) e non ho mai avuto problemi

      • lfflfans

        sei come quello che critica linux perchè nemmeno sia avvia…
        quando nemmeno ha inserito il cd per farlo partire….

      • Antux91

        francamente non ho mai avuto problemi con i ppa di lffl, anzi spesso ci faccio un giro ed uso i pacchetti anche su debian (ibridando la mia distro), poi i ppa sono fantastici e li trovi davvero utili, soprattutto per gli utenti che cos’ hanno accesso pià facilmente a dei programmi e delle versioni aggiornate anche su vecchie distro tipo ubuntu 10.04 senza ppa esterni xorg farebbe cagare e anche libreoffice non sarebbe aggiornato, i codec non ne parliamo, quindi li trovo basilari. Ritornando a quelli di lffl li ho trovati sempre perfetti anche quello consigliati, e ti posso assicurare che seguo anche altri siti che parlano di linux alla fine consigliano gli stessi ppa quindi se ci sono problemi, beh può capitare sono umani anche loro un errore ci sta, un bug ci sta è normale per un programmatore. Se non sai usare la tua distro e non sai correggere i problemi non è certo colpa dei ppa di lffl, ma forse leggi meglio le guide e se non ti soddisfa esplora il ppa cercandolo su google così ti fai una idea di quali distro sono supportate dal ppa e quali pacchetti sono disponibili.

      • Brado

        Ascolta bimbo, non so che tu abbia in c.lo ma una cosa te la voglio dire, se non sono consigliati neppure gli aggiornamenti proposti su Ubuntu da Canonical cosa utilizzate a fare i ppa esterni? Avete capito cosa sono o no? NO! Vedi, tanti ce ne sono in giro che pensano che il problema se il loro pc, tablet o cellulare non funziona sia causa di altri, tanti ce ne sono che credono di poterci mettere le mani a livello software e hardware e poi mi ritrovo i loro capolavori tra le mani mezzi distrutti in tutti i sensi per doverli riparare. Il consiglio che posso dare a tutti è almeno di capire come si accenda un pc prima di parlare a c.zzo e cominciare a pensare che gli idioti non sono sempre gli altri, forse riuscirete ad imparare qualche cosa, fino a quel momento rimarrete semplicemente dei wannabe.

  • Volendo generalizzare anche i sorgenti stessi sono pericolosi, se non conosci il linguaggio di programmazione dell’applicativo in questione rischi sempre di installarti la merda al posto della cioccolata…
    Tralasciando questa generalizzazione i repository più affidabili sono gli stessi che consentono di scaricare i source non tanto dei pacchetti ma i source utilizzati dal programma che genera il pacchetto binario, prendiamo ad esempio di deb-src o i PKGBUILD studiandosi i file (e le relative patch) si può sapere in che parte il sorgente è o non è modificato… certo bisogna sempre sapere su cosa si mettono le mani.

  • Ioma Taani

    Dipende: non faccio più parte del “fanatismo dell’ultima versione compilata 20 secondi fa dall’svn” e quindi attendo l’aggiornamento da parte della distribuzione (se volevo una cosa alla “bleeding edge” installavo Arch). L’unica cosa dove ho aggiunto i ppa (in questo momento ho Linux Mint 13; ahimé, lmde non dava aggiornamenti di sicurezza da almeno 3 mesi, poi l’ho sputtanata come solo io so fare XD) quindi l’unica aggiunta sono stati i ppa di pidgin (per ora).

  • Alessio

    Mi cancellate pure i commenti?? AHAHHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHHAHAHAHAHAH dittatura pura questa!!! Tanto quando la gente andrà a cercare aiuto, la prima cosa che gli chiederanno è se ha aggiunto qualche ppa di lffl (che come ho detto prima fanno proprio schifo, ma qualcuno non vuole che lo dica, non si sa mai che perdiate qualche lettore per le verità che dico)

    • quali commenti sono stati cancellati?

    • DeeoK

      A dire il vero i tuoi commenti sono ben visibili sotto.

  • Ermy_sti

    I problema dei ppa sta alla base di un problema strutturale.. non dovrebbero esserci i ppa creati da terzi ma una distribuzione seria construmenti di sviluppo seri..in modo che non si debba sempre rincorrere a questi accrocchi…e per fare questo ci vuole una grossa azienda dietro..ma secondo voi è più comodo stare sempre li ad aggiungere ppa col terrore che tutto si blocchi o avere un market che fa tutto lui aggiornamenti compresi? Qui android insegna…e appena arriverà per x86 il mondo Linux cambierà

    • Jack O’Malley

      Eccola la profezia!!

  • Sabu

    secondo me il metodo dei repository deve essere perfezionato: con la sempre maggiore espansione (in termini di popolarità) di Ubuntu stanno anche aumentando gli sviluppatori, quindi ognuno rilascia i propri aggiornamenti e in questo modo, anche se la fonte è affidabile, aumentano i rischi di conflitti tra pacchetti portando ad un sistema instabile. È vero che l’utente esperto sa dove mettere mani, ma se Canonical vuole coprire tutte le utenze farebbe bene ad aprire gli occhi

  • Salasso

    L’unico PC sicuro è un PC spento 😀

    Per risolvere il problema basterebbe imporre politiche più rigorose su launchpad per la pubblicazione di software di terzi.

  • mapkino

    Secondo me Alessio non ha capito una bega di cosa sono e come funzionano i ppa. E piú in generale non ha capito la filosofia che spinge qualcuno a creare un ppa. Riguardo alle accuse io personalmente non ho mai avuto problemi con i ppa di lffl, non so di cosa stia parlando.

  • Questo Alessio mi fa ridere… E’ una vita che uso distro Linux ed è una vita che uso i PPA di LFFL e consigliati da LFFL… E non ho mai avuto uno e un sol problema… Dici che non li usi da mesi, dimostri di non sapere quindi ciò che dici dal momento che affermi cose di cui tu stesso non puoi verificare la veridicità… Io so che questo, al momento, è l’unico sito su cui riesco a trovare supporto e notizie sempre sempre sempre aggiornate… Ho chiesto spesso ad altri di segnalarmene di “simili” ma nessuno è mai riuscito a segnalarmi siti all’altezza di LFFL… Ora Alessio già che ci siamo chiedo anche a te… Sai consigliarmi un sito migliore di questo??? Un sito in cui ogni giorno ci sono nuove notizie e nuovi programmi da provare??? Aspetto in trepidante attesa…

  • I repository esterni in generale ed i ppa in particolare sono strumenti validissimi per consentire l’installazione o l’aggiornamento di una particolare applicazione all’interno della distribuzione. E’ indispensabile, per non compromettere la stabilità delle distro, avvalersi dei repo “ufficiali” dei vari programmi. E’, infine, importantissimo utilizzare repo che contengano esclusivamente quel dato programma di cui abbiamo bisogno, Es: Chromium, Firefox, ecc. Su alcune distribuzioni l’utilizzo dei repository esterni è comunque rischioso a causa della natura della distribuzione stessa: Linux Mint fa un un uso misto dei repository (Ubuntu + Mint + Getdeb) impostando diverse priorità nel file preferences. Io per esempio ho aggiornato, su Mint KDE 13, kde alla versione 4.9, ovvio che non ho assolutamente eseguito la solita procedura sudo add-apt ecc. ma ho verificato il tutto tramite synaptics prima di procedere e poi Clonezilla rimette tutto a posto …

  • Miky

    Perché cancellate i commenti dove ho criticato alcuni articoli che mi hanno rovinato il sistema?

  • Alexander83

    Purtroppo la questione repo è molto spinosa ed il problema non è legato solo ai repo esterni: vi ricordate dei cracker che avevano modificato la signature di openssh nei repo Red hat ( http://punto-informatico.it/2385375/PI/News/redhat-bucata-admin-al-lavoro.aspx )?

  • thebcone@gmail.com

    Sicuramente i ppa sono un potenziale rischio, ma sono anche una fonte di software e programmi che probabilmente sarebbe impossibile per qualsiasi distribuzione mantenere ufficialmente. Se non si sta gestendo un server mission critical, vale la pena considerarli. Comunque noi utenti linux siamo abbastanza viziati perché fino ad ora i programmatori da un punto di vista etico si sono comportati benissimo. Sicuramente qualche ppa mi ha creato dei problemi, ma scommetterei al 99.9% che si trattava di bug e non di problemi voluti.

    Problemi con i ppa sono da mettere in conto, se voglio l’ultima versione di una programma o di un applicazione che non è stata curata direttamente da ubuntu è fisiologico che posso incappare in errori. Non ricordo se ho avuto problemi con qualche ppa di lffl, ma se anche fosse ringrazierei comunque che si siano impegnati a produrre il ppa, e magari se mi riesce di individuare le condizioni in cui si verifica il problema e di segnalarlo con una certa precisione, non un generico , senza limitarsi ad un generico “mi ha sfasciato il sistema”.
    Un ppa che mi da problemi per esempio è questo ppa:jon-severinsson/ffmpegVa in conflitto con gstreamer 0.10. impedendo di installare miro e altri programmi che dipendano da gstreamer0.10 (su kubuntu per fortuna non è praticamente utilizzato). Detto questo i vantaggi che mi porta sui sui codec e su mplayer2 per me valgono la candela.
    Un piccolo trucco. Sono stati pubblicati numerosi esempi su come avere la lista dei programmi installati. Fatevi la lista prima di installare un ppa. Se dovesse rovinarvi il sistema lo eliminate con sudo ppa-purge. Purtroppo ppa purge potrebbe disinstalla mezzo computer è a questo punto che la lista dei programmi installati mi torna utile. la do in pasto ad apt-get install e mi riporta ad un sistema molto simile a quello che avevo prima di romperlo.

  • Txeyo

    Secondo me i ppa di terze parti sono utilissimi! Senza di quelli molti programmi che non entrano negli ufficiali ubuntu sarebbero da installarsi a da deb
    Diciamo che per la gestione su Launchpad, non v’è nessuna critica: la gente usa quelli testati e sicuri di Ubuntu, poi i ppa servono solo alla gente a non dover andarsi a pescare i deb in giro, ma tutte le dipendenze (come nel ppa Mate) installate in un colpo solo; dico inoltre che non van avanzate critiche perchè se non avessero supportato ppa di terze parti, la gente si sarebbe lamentata del mancato supporto!
    Inoltre penso che di solito i ppa che un user installa, sono quelli consigliati e rodati, oppure ufficiali, e quindi senza codice malevolo (se si parla di bug, è un altro discorso..)
    E poi finora nessuno ha mai visto casi eclatanti di virus su ppa, anzi forse casi zero, e nessun hacker/cracker ha ancora trovato profitto dall’hackerare linux (eccezione=Android :P) visto che “siamo pochi.. E aggiungo anche “..ma buoni”, visto che principalmente un user linux che sappia installare da solo un ppa, o che ‘sappia’ cosa sia, sa anche scegliere con accuratezza.. Un ppa non è una repo che ti aggiungi a babbo sul sistema cose le repo di cydia sull’iphone!

No more articles