НовостиОбзорыСобытияIT@WorkРеклама
Open Source:

Блог

Яндекс.Диск поломал Windows

Вчера на Хабре появилось сообщение о том, что обновлении Яндекс.Диска установщик попытался удалить не только старую версию программы, но и весь системный раздел. Хабр — сайт популярный, на нём есть блог компании Яндекс, тег "Яндекс" у заметки проставлены… Поэтому разработчики наверняка её читали. Поскольку опровержения нет, то истинность заявления сомнений не вызывает.

Разумеется, проблема была у пользователей только одной ОС. Той самой, которая самая безопасная, поскольку Security Development Lifecycle и всё такое прочее. Как же так?

Хочу обратить внимание читателя на то, что в данном случае нет никаких оснований говорить о злом умысле. Обычная техническая ошибка в обычной прикладной программе. Здравый смысл подсказывает, что максимально возможный ущерб от этого — сама программа будет неработоспособной. Ан нет — почему-то удаляется системный раздел.

Могло ли быть такое при установке приложения из пакета RPM или DEB? Теоретически, конечно, да. Установка пакета требует административных прав и можно сделать так, чтобы системные файлы заменялись на какие-то другие. Однако, это очень легко проверить — достаточно распаковать архив и посмотреть какие именно файлы будут изменяться (что обязательно должно делаться при установке программы не из официального репозитория).

Но самое главное — "вредный" пакет практически невозможно получить в результате обычной технической ошибки. Только с умыслом.

По-моему, хорошая иллюстрация сравнительной безопасности ОС без апелляций к "высоким материям". Устанавливая программу, разработанную даже солидной компанией, пользователь Windows не может быть уверен в том, что она не "поломает систему".

Теория — теорией, а факты — фактами. Я предпочитаю верить именно фактам. Так всё-таки — где уязвимостей меньше?
Голубев Сергей
Разумеется. Только разница в том, что пакет я распаковал и посмотрел, а с екзешником так просто не получится. Надо Microsoft как-то менять "пакетный менеджер" :).
Donat Lipkovsky
С пакетным менеджером от Microsoft всё ок, ибо для MSI пакета (а это основной официальный установочным пакет Microsoft) есть возможность распаковать пакет и т.с. заценить его, хотя на самом деле это не метод. Но, как видите, не все пользуют именно этот официальный инсталлятор - в том числе товарищи от Yandexa. С остальными "левыми" инсталляторами, типа Inno, NSIS и др. проблем гораздо больше. Но в любом случае обычный пользователь заниматься распаковкой и анализом не будет, во-первых из-за лени, во-вторых - из-за отсутствия необходимых для этого знаний, о чём вы абсолютно правильно сказали в Продолжении. Я сейчас добавлю по этому поводу маленький постик в Продолжение.
Трубицын Александр
Хоть линукс-пакеты, хоть екзешники, самое простое держать для проб виртуалки и делать на них снимки для отката.
.
Но все обновления проверять - все равно замучаешься. Сколько было фокусов и с флэш-плеером, и с разными антивирусами и с обновлениями майкрософт. И в линуксах, сколько страданий на форумах, когда люди обновляют версию поверх старой..