Názory k článku
Notepad++ byl šest měsíců pod kontrolou čínských hackerů

Shodou okolností po dobu incidentu nebyly binárky podepsané, protože autor neměl tu správnou právní formu a tak mu Digicert dal ban. A než to za půl roku vyřešil, binárky byly selfsigned, na úrovni OS je nešlo ověřit a autor psal na webu, ať se uživatelé varovných hlášek nelekají... Hackeři tedy asi využili příležitosti.

To by se asi nestalo, kdyby:
- Widle mely centralni repozitare softwaru
- k podepisovani se pouzivaly normalne GPG klice

Idiotsky ekosystem widli 🤷‍

Widle mají centrální repo, ne? Microsoft Store. Druhá věc je že to nikdo moc nepoužívá, protože to je patrně poměrně velký a dost sandboxovaný hell :-)

A co se GPG týče -- jaký je přesně rozdíl mezi GPG a X.509? Kdyby autor měl vlastní CA a ta by se naimportovala do systému vyjde to na stejno, ne?

Ted nejaky repozitar maji. Vyrostly tu ale 2 generace ktere instalovaly software stazenim z nahodneho webu. A za to muze mrkvosoft.

Jako by to na Linuxu posledni dobou nebylo jinak :-) Aneb lidi si stahuji ruzne AppImage buhviodkud vsude, v lepsim pripade to maji jako 3rd party repa typu PPA... a o bordelu treba kolem Dockeru radsi nemluve :D

Jojo, na Linuxu by se tohle nestalo. Tam máme pip, snap, flatpack, docker, npm, rpmfusion, AUR, git clone && make, ... oh wait.

Ten store je hlavne veliky opruz. Zamitli my tam SW a nikdy jsem se nedozvedel proc, nikdo my neodpovedel a fora neporadili.
Po mesici jsem to vzdal

A zkusil jsi co ve wokenni konzoli udela:
# winget search notepad++
# winget install Notepad++

Winget to odniekal taha, a z centralizovaneho repa to nie je. Podobne ako brew cask, je to len databaza linkov.

Konkretne notebpad++ taha z githubu.

TLDR; MS Store není funkční a nelze použít pro distribuci aplikací jako Notepad++. Je to Peklo.

kdyby každé 3 roky neměnili podmínky jaké aplikace tam mohou být, jaké musí používat frameworky, na jakých platformách musí fungovat, tak by to možná i mohlo fungovat.

Kdyby tam neměli vnucený sandboxing, který v podstatě znemožňuje používat třeba Notepad++ na editace libovolných souborů, možná by to fungovalo.

Kdyby neměli naprosto pošahaný proces certifikace a ověřování aktualazací (teď nám tam visí update a jeho schválení už měsíc a to jen kvůli tomu, že jsme změnili framework, který řeší render), tak by to možná mohlo fungovat.

Kdyby tam pořád nebyl problém s řazením výsledků vyhledávání, scamem, přivlastňováním aplikací cizími vývojáři, tak by to možná mohlo fungovat.

Kdyby bylo možné aplikaci ve Storu spolehlivě odkázat z webu, abys nemusel uživatele navigovat slovně a říkat, na co má kliknout (viz bod výše), tak by to mohlo fungovat.

No jo zlý a ošklivý Microsoft. A ptám se já: Má to snad Apple lepší?

Msstor nelze pouzit pro instalaci zadnych aplikaci ... specielne ve firemnim prostredi pouzivas hromady custom SW ... kterej nikdo nikde nikdy ani publikovat nechce a casto ani nesmi.

Nema to zadnou pouzitelnou administraci a je naprosto nepripustny aby se kdekoli cokoli komukoli samo ...

Co je na tom nejhorsi je, ze to nejde ani nijak rozumne definitivne a navzdy z widli odparat a zakazat. Pravidelne narazim na to, ze si nekdo nekde neco nainstaloval, i kdyz je to na 150ti mistech vypnuty. Zjevne existuje 151, 2, 3 ... misto, kde je treba to dal zmenoznit.

Ne, ze by podpis GPG klicem byl lepsi nez X.509 certifikatem.
Ja jsem to myslel tak, ze pokud se instalacni balik pro Windows nepodepise certifikatem vydanym verejnou CA, tak zobrazi hlasku o neverohodnosti podpisu.

A ja fakt nebudu platit tisice Kc rocne za certifikat pro malou open source zalezitost, kterou pokud vim pouzivaji 4 lidi.

Verejna CA? :-) A terazky nam povezte, co si predstavujete pod takym "verejna". Vhodnejsi je operovat s pojmem duveryhodna... a vcil si otevrete seznam CA, kterym vas operacni system duveruje a jakym zpusobem je mozne s tim manipulovat. Je to tak trosku dzungle. Navic v kontextu te Ciny ad tento incident... ehm, ono i par tech "duveryhodnych" cinskych CA tam najdete, zejo - a to muze byt klidne dlouho spici potichu tikajici bomba, pokud je rec o te (ne)verohodnosti. Nepopiram, ze jde o extremne paranoidni teze... ale riziko to proste je.

Jasne, meli pouzivat neovim.

Alebo moj milovany nikym nepoznany Textadept

Jedině klasícké vi! Všechno ostatní je pro pojídače koláčů!

Tim ze si zahejtujes na notepad++ ze sebe drsnaka neudelas. Chtel bys prikazovat lidem co maji programovat?
Notepad++ je hodne oblibeny, takze podle mne neni zbytecny.

Ale Notepad++, resp. Don Ho GPG klíč používá (8D84F46E). Nebo snad byl kompromitován i ten?

Byly doby kdy stacilo oskenovat obcanku, ridickak a zaplatit tri litry na rok a mohli jste zikat vlastni certifikat na podepisovani software. Pak chteli abyste si koupili HW token, pak dalsi a dalsi podminky.

Tak jsem si tim proslel a nakonec jsem se na podepisovani open-source software vykaslal.

Oskenovana obcanka je to co hakeri zastavi.

Zatímco dnes zastaví ten zbytek všechny ostatní. Takže výsledek je ještě horší ;-)

Muj syn se jmenuje stejne jako ja. Takze jeho obcanka mu umoznovala unest moji domenu. Nebo kdyz jsem jemnovec nekoho jineho. A to jsou jenom metody kdy predpokladame nefalesnou obcanku.

Deja vu? Jak souvisí s https://www.root.cz/zpravicky/updater-pre-notepad-instaloval-malware/ ?

Nedaří se mi dohledat, jednalo se jen o updaty, nebo i o ruční stažení z webu?

Problém bylo stahovadlo updatů přímo v aplikaci. Ruční stažení z webu by mělo být v pohodě.

Sim pěkně, kde na oficiálním githubu jsou instalační balíčky, které si tam mám stáhnout?

Normálně v releases https://github.com/notepad-plus-plus/notepad-plus-plus/releases/tag/v8.9.1

Neviděl jsem, už to vidim. Díky moc.