 | Nix Milan | 115 Members |
| https://milano.nix.pizza/ | 9 Servers |
| Nix Milan | 115 Members |
| https://milano.nix.pizza/ | 9 Servers |
| Sender | Message | Time |
|---|---|---|
| 2 Mar 2026 | ||
 Marco Turchetto | Anche su ubuntu se aggiungi una ppa, e ne cambi la priority, puoi pescarti un sudo malevolo. li e' pure piu' semplice perche' basta mettere una versione piu' alta, non devi centrare l'hash giusto. pero' dal dire che e' un security risk e' lunga, no? | 10:23:55 |
| Marco Turchetto | non sono neanche sicuro che tu possa fare il fetch di un binario da una cache secondaria senza aver provato in quella primaria. | 10:29:54 |
| Marco Turchetto | * non sono neanche sicuro che tu possa fare il fetch di un binario da una cache secondaria senza aver provato in quella primaria. anche qui magari c'e' una opzione da abilitare. | 10:30:32 |
 Andrea Ciceri | > Per accettare le caches remote devi essere un nix-trusted-user, che non è la stessa cosa di essere sudore ma poco ci manca. In realta'... https://github.com/NixOS/nix/issues/9649#issuecomment-1868001568 | 10:34:34 |
| Marco Turchetto | Ah ecco, essere un nix-trusted-user è meglio di essere un sudore, nammo bene 🙈 | 10:44:04 |
| Marco Turchetto | * Ah ecco, essere un nix-trusted-user è meglio di essere un sudore, nammo bene 😅 | 10:44:18 |
 gecko | No, non è affatto lunga, è un security risk, infatti son nati altri metodi di distribuzione del software (tipo flatpak e snap). Il punto è che in nix puoi permettere agli utenti di installare quello che vogliono senza compromettere la sicurezza del sistema. Ma questo è vero fintanto che non usi cache non trusted e questa è una limitazione, full stop. Infatti c'è la storia degli overlay. Comunque vedo che continui a spostare il goalpost e glissare sopra le mie osservazioni, mi ritiro da questa discussione poco proficua :P Peace 🕊️ | 13:06:00 |
| Andrea Ciceri | Se ho capito bene lo scenario che dice @gecko sarebbe attuabile tipo cosi': - esiste gia' /nix/store/aaa-sudo-v1 ed e' allegramente usato dagli utenti della macchina- esce sudo v2- un trusted user malevolo (non necessariamente in realta') del sistema usa una cache poisoned cosi e il path /nix/store/bbb-sudo-v2 finisce nello store- altri utenti aggiornano i loro input (o channel o quello che e') cosi' che il risultato della valutazione deilla derivazione di sudo dia sempre il path /nix/store/bbb-sudo-v2, solo che ora questo non viene sostituito usando le cache "buone" perche' gia' presente nello store(stiamo ignorando che un trusted user e' gia' root essenzialmente ma chissene per il ragionamento) Ho capito bene? Comunque pensavo che anche senza coinvolgere gli overlay per lo store (che comunque credo risolverebbero) o [trustix](https://github.com/nix-community/trustix) anche le care vecchie content addressed derivations di cui si parla da anni risolverebbero questo problema: https://github.com/NixOS/rfcs/blob/master/rfcs/0062-content-addressed-paths.md | 16:48:43 |
| gecko | Sì le CAD chiaramente risolverebbero. Il trusted user non deve essere malevolo, solo "ingenuo" e abilitare la cache di un flake (ad esempio) perché gli utenti di quel flake si scocciano a rebuildare da sorgente e lo stressano. | 16:55:58 |
| gecko | * Sì le CAD chiaramente risolverebbero. Solo che è una cosa che non puoi molto deployare in maniera graduale: finché almeno una derivation usata da un altro utente non è una CAD, puoi poisonarlo. Il trusted user non deve essere malevolo, solo "ingenuo" e abilitare la cache di un flake (ad esempio) perché gli utenti di quel flake si scocciano a rebuildare da sorgente e lo stressano. | 16:57:47 |
| 3 Mar 2026 | ||
| gecko | Hanno archiviato il repo che avevamo usato per generare immagini docker: https://github.com/nix-community/nixos-generators Now upstream: https://nixos.org/manual/nixos/stable/#sec-image-nixos-rebuild-build-image | 22:20:26 |
| 4 Mar 2026 | ||
 Edoardo Piccolotto | Ciao a tutti, condivido qui un FLAKE che ho fatto per poter installare l'ultima versione della CLI di Gemini sul terminale (quella al momento disponibile è inetri di troppe versioni). Ho messo tutto sull'account di selfhost-it, in modo che chi vuole la può utilizzare. Buon Lavoro e Giornata! https://github.com/selfhost-it/gemini-cli-nix | 08:57:36 |
| Andrea Ciceri | Ci sta, anche perche' gia' prima tutto il lavoro grosso era comunque in nixpkgs, nixos-generators ti dava solo la CLI ma la generazione delle varie immagini era fatta gia' in moduli nixos in nixpkgs. | 09:12:50 |
| Andrea Ciceri | Ci sta, due idee random di cose si che si potrebbero aggiungere: - mettere il pacchetto su NUR - mettere una github action che con nix-update tiene aggiornato automaticamente | 09:14:57 |
| Edoardo Piccolotto | Grazie mille per il feedback! Hai ragione! | 09:16:10 |
| Edoardo Piccolotto | Sottomesso al NUR, adesso vediamo! | 13:41:51 |
 Lucio | Come mai su NUR e non fare una pull request su nixpkgs per aggiornare il vecchio package? (A parte la review infinita intendo 😄) | 17:44:26 |
| 5 Mar 2026 | ||
| gecko | Il sito punta ancora a meetup: https://milano.nix.pizza/ Non abbiamo un account twitter da poter ritwittare vero? | 10:43:18 |
 David | | 14:03:47 |
| gecko | Eh, c'abbiamo Mastodon? :P Non è linkato | 15:04:18 |
| Andrea Ciceri | Ci sta cambiarlo, anche se in realta' non so quanto sara' definitivo mobilizon. Il sito e' qui: https://github.com/nix-pizza/infra/tree/main/hosts/nix-pizza/nix-milano | 15:05:43 |
| gecko | Ma sito a parte, c'è un account social che posso linkare nel tweet? | 15:06:15 |
| Andrea Ciceri | Abbiamo solo linkedin e youtube (con 2 video) | 15:06:20 |
| Andrea Ciceri | https://www.linkedin.com/company/100559084 | 15:06:55 |
| Andrea Ciceri | Si puo' creare sia mastodon che twitter eh | 15:07:21 |
| Andrea Ciceri | O bluesky | 15:07:46 |
| Andrea Ciceri | O nostr | 15:08:05 |
| Andrea Ciceri | (ok non ne conosco altri mi sa) | 15:08:25 |
| Andrea Ciceri | In realta' io proponevo NUR perche' pensavo @piccolotto avesse pacchettizato le versioni da master | 15:09:48 |
| 6 Mar 2026 | ||
| Edoardo Piccolotto | Ho imparato una cosa nuova!!! 👍 | 08:28:41 |