21 Apr 2024 |
Jenkins | а ты такой берёшь, разблокируешь, и первое же что делаешь - это утсанавливаешь страшенный бекдор, который ты как раз вообще никака из под ОС контролировать не сможешь | 08:26:34 |
second_constantine 🇧🇾 | In reply to @jenkins.job:matrix.org разблокировкой загрузчика ты ничего не устанавливаешь, а УСТАНОВКОЙ магиска, ты устанавливаешь ПО, которое стартует до ядра операционки, и этот код по факту точка входа, бэекдор для разработчика, который позволяет выполнять неподконтрольно ОС любой код код, который контролируешь ты в случае магиска. Магиск - это инструмент, если нет никакой определенной атаки на систему через магиск - это такой себе риск и такая себе дыра. Если ты ставишь хер пойми какое ПО и выдаешь ему права рут - это уже проблемы не с магиск, а с головой) | 08:26:48 |
second_constantine 🇧🇾 | In reply to @jenkins.job:matrix.org а ты такой берёшь, разблокируешь, и первое же что делаешь - это утсанавливаешь страшенный бекдор, который ты как раз вообще никака из под ОС контролировать не сможешь почему не могу? сорцы открыты | 08:27:26 |
Jenkins | In reply to @second_constantine:matrix.org код, который контролируешь ты в случае магиска. Магиск - это инструмент, если нет никакой определенной атаки на систему через магиск - это такой себе риск и такая себе дыра. Если ты ставишь хер пойми какое ПО и выдаешь ему права рут - это уже проблемы не с магиск, а с головой) ты его собирал, исходники изучал? Видел их в публичном доступе? Гарантируешь что то что ты установил себе на телефон собрано именно из тех исходников без каких-либо изменений? | 08:27:46 |
second_constantine 🇧🇾 | In reply to @jenkins.job:matrix.org ты его собирал, исходники изучал? Видел их в публичном доступе? Гарантируешь что то что ты установил себе на телефон собрано именно из тех исходников без каких-либо изменений? ну, это уже параноя, так можно про любой софт сказать. Лично я аудит не проводил, а просто доверяю комьюнити. Если уже прямо так страшно - можно посмотреть и собрать самому (документация по сборке достаточно простая) | 08:30:43 |
Jenkins | Я про это и писал, что тот способ установки который тыэпредлагаешь - это плохой способ | 08:31:48 |
second_constantine 🇧🇾 | In reply to @jenkins.job:matrix.org Я про это и писал, что тот способ установки который тыэпредлагаешь - это плохой способ это самый простой способ, скачать бинарь с офф репы проекта | 08:32:26 |
Jenkins | И совершенно не обязательно изучать код самому, главное чтобы он был выложен публично, а ты именно из него собрал | 08:32:34 |
second_constantine 🇧🇾 | In reply to @jenkins.job:matrix.org И совершенно не обязательно изучать код самому, главное чтобы он был выложен публично, а ты именно из него собрал ну это такая себе альтернатива, немного лучше чем из бинаря | 08:33:24 |
second_constantine 🇧🇾 | какой шанс что в релизах в офф репе будет отравленный бинарь? | 08:33:43 |
Jenkins | Магиск - это потенциально очень опасный и специфичный костыль, к установке которого, если уж ты решился на такое, нужно отнестись с особой осторожностью, в силу специфики и уровня выполнения кода | 08:34:30 |
second_constantine 🇧🇾 | In reply to @jenkins.job:matrix.org Магиск - это потенциально очень опасный и специфичный костыль, к установке которого, если уж ты решился на такое, нужно отнестись с особой осторожностью, в силу специфики и уровня выполнения кода так а в чем опасность то? В том что он имеет большую "власть"? Это как не нужно иметь оружие, т.к. ты можешь им пораниться | 08:35:44 |
second_constantine 🇧🇾 | одно дело когда ставишь какие-нибудь кингруты или прочую закрытую шляпу - с магиском все достаточно прозрачно. Я вижу ровно такой же риск как и из-за разблокировки загрузчика - я вижу что могу контролировать этот риск и я этот риск принимаю. Ты также принимаешь риск разблокированного загрузчика и тебе это также ок | 08:37:24 |
Jenkins | кингруты выполняются на уровне ядра, магиск выполняется "над" ядром | 08:42:59 |
Jenkins | всё что запускает магиск может быть скрыто для ОС | 08:43:25 |
Jenkins | и ты никаким образом не сможешь это проконтролировать из ОС | 08:43:46 |
Jenkins | и я не про скрипты, которые ты своими руками установил | 08:44:10 |
Jenkins | In reply to @jenkins.job:matrix.org кингруты выполняются на уровне ядра, магиск выполняется "над" ядром несовсем корректно написал. Не на уровне ядра в том смысле что как модули я дра, но в том смысле что не "за ядром" | 08:45:17 |
second_constantine 🇧🇾 | ну так все что скрыто - это сам магиск - который ты контролируешь, остальное пользуется этим через апи магиска | 08:45:19 |
Jenkins | In reply to @second_constantine:matrix.org ну так все что скрыто - это сам магиск - который ты контролируешь, остальное пользуется этим через апи магиска ну это ты так себе внушил. Вопрос доверия, конечно. Я например, если бы не сам собирал такую потенциально опасную вещь, по умолчанию считал бы её собранной из немного "подкорректированных" исходников | 08:46:59 |
Jenkins | бинарникам в таких критически важных частях доверия нет | 08:47:36 |
second_constantine 🇧🇾 | In reply to @jenkins.job:matrix.org бинарникам в таких критически важных частях доверия нет а представь у тебя с помощью блобов уже такая штука есть или еще чего хуже, на аппаратном уровне - так можно и в дурку попасть) у меня все просто - я не парюсь, иногда когда парюсь - перехватываю весь трафик от устройства или просто смотрю какие-файлы и что менялось на ФС устройства - успокаиваюсь - живу дальше) | 08:51:39 |
Jenkins | In reply to @second_constantine:matrix.org а представь у тебя с помощью блобов уже такая штука есть или еще чего хуже, на аппаратном уровне - так можно и в дурку попасть) у меня все просто - я не парюсь, иногда когда парюсь - перехватываю весь трафик от устройства или просто смотрю какие-файлы и что менялось на ФС устройства - успокаиваюсь - живу дальше) А на аппаратном уровне она есть точно, и ты об этом знаешь и имеешь это ввиду, и ты знаешь кто это и с какой целью сделано. В случае с магиском дешивизна и массовость производства такого качественного бэкдора просто не оставляет шансов оставаться ему чистым. А то что аппаратные закладки имеются - так это не повод чтобы ещё и собственноручно ставить себе дополнительные | 08:57:09 |
Jenkins | и я имею ввиду не исходники - с ними скорее всего всё в порядке. Я говорю именно про бинарники которые подтягиваются с инета кливентским приложением | 08:58:46 |
second_constantine 🇧🇾 | In reply to @jenkins.job:matrix.org и я имею ввиду не исходники - с ними скорее всего всё в порядке. Я говорю именно про бинарники которые подтягиваются с инета кливентским приложением так оно вроде с гитхаба и тащит | 08:59:15 |
Jenkins | ещё раз, оно тащит бинарник, который может быть собран не обязательно в точности из того в сырцах | 08:59:56 |
Jenkins | там надо-то 1-5 строчек кода чтобы всё случилось | 09:00:29 |
second_constantine 🇧🇾 | In reply to @jenkins.job:matrix.org ещё раз, оно тащит бинарник, который может быть собран не обязательно в точности из того в сырцах и это паранойа) так можно и на генту перейти) | 09:00:33 |
second_constantine 🇧🇾 | In reply to @jenkins.job:matrix.org там надо-то 1-5 строчек кода чтобы всё случилось можно и в 1ой уместить | 09:00:45 |
Jenkins | ну ок | 09:00:46 |