!OHimLTKAXNbFrEoogf:matrix.org

Nix Milan

115 Members
https://milano.nix.pizza/9 Servers

Load older messages

SenderMessageTime
1 Mar 2026
@telegram_41776856:t2bot.ioMarco Turchetto* Io come attaccante, se voglio il root, intanto infetto un qualsiasi pacchetto legittimo della flake e mi dumpo la cartella utente e la sua sessione, 9/10 trovo qualcosa di interessante per andare più affondo. Al massimo chiedo direttamente all'utente la psw per diventare root. Non c'è alcun bisogno di tentare di fare il replace di sudo. Se una cache viene bucata sei già nei casini senza rompere la crittografia, le funzioni di hash o dos della cache di nixpkgs.00:15:13
@telegram_73824637:t2bot.ioAndrea CiceriVince il 14 Marzo
Download Vince il 14 Marzo		13:36:05
@telegram_73824637:t2bot.ioAndrea CiceriNon abbiamo piu' meetup, so che avevamo discusso gia' di passare ad alternative ma siccome non abbiamo deciso nulla per questa volta ho deciso io in maniera non democratica di provare mobilizon. Fate sapere se avete problemi o manca qualche informazione fondamentale.13:58:24
@telegram_73824637:t2bot.ioAndrea Ciceri PROSSIMO MEETUP SABATO 14 MARZO
https://mobilizon.it/events/096bf456-efd6-4230-9ddc-0cce7c72046a 		13:59:09
@telegram_73824637:t2bot.ioAndrea Ciceri* Non abbiamo piu' meetup, so che avevamo discusso gia' di passare ad alternative ma siccome non abbiamo deciso nulla per questa volta ho deciso io in maniera non democratica di provare mobilizon (altrimenti non ne uscivamo piu'). Fate sapere se avete problemi o manca qualche informazione fondamentale.14:00:07
@telegram_73824637:t2bot.ioAndrea CiceriQuanto vi iscrivete vi da una ricevuta? Perche' io vedo solo "Anonymous participant" (immagino che chi si sia iscritto lo abbia fatto tramite e-mail, sena iscriversi al sito)14:12:45
@telegram_176121111:t2bot.ioFrancescoimage.jpeg
Download image.jpeg		14:18:16
@telegram_176121111:t2bot.ioFrancescoSarò stato io14:18:29
@telegram_165995843:t2bot.ioNonno Feliceimage.jpeg
Download image.jpeg		14:18:31
@telegram_524811522:t2bot.ioTonio GelaSame mail14:19:13
@telegram_73824637:t2bot.ioAndrea CiceriNon ha molto senso cosi' pero', nella remota ipotesi che arrivino piu' persone di quelle iscritte come capiamo chi e' davvero iscritto?14:20:16
@telegram_165995843:t2bot.ioNonno FeliceNon riesco a vedere la lista delle email?14:24:39
@telegram_165995843:t2bot.ioNonno Felice* Non riesci a vedere la lista delle email?14:24:42
@telegram_73824637:t2bot.ioAndrea CiceriVedo questo, anche io mi aspettavo di vedere le e-mail (comunque l'iscrizione "anonima" con sola e-mail l'ho abilitata io, ma mi sembrava carino non obbligare la gente a creare una utenza)
Download Vedo questo, anche io mi aspettavo di vedere le e-mail (comunque l'iscrizione "anonima" con sola e-mail l'ho abilitata io, ma mi sembrava carino non obbligare la gente a creare una utenza)		14:26:22
@telegram_73824637:t2bot.ioAndrea CiceriMi sa che passiamo a luma la prossima volta (pero' non e' open 😢) Non credo verranno 50 persone proprio questa volta14:29:20
@telegram_165995843:t2bot.ioNonno FeliceCome workaround semplicemente per dimostrare di essere iscritti si può usare la mail di conferma dell'iscrizione15:02:31
@telegram_524811522:t2bot.ioTonio GelaChe palle mi sono appena reso conto di dover annullare, mi sono scordato che sono via l'intera weekend 😭15:31:41
@telegram_524811522:t2bot.ioTonio GelaDovresti vedere l'iscrizione annullata Andre15:32:42
@telegram_28186152:t2bot.ioLucioNon c'è qualcosa di self-hostabile open?15:45:32
@telegram_28186152:t2bot.ioLucioVedo che Mobilizon è gia self-hostabile e open, magari va tunato solo.un po'15:49:13
@telegram_7581646006:t2bot.ioEdoardo PiccolottoIscritto 😊18:37:12
@telegram_73824637:t2bot.ioAndrea Cicerieh ma e' falsificabile, ci voleva una ricevuta verificabile o qualcosa del genere19:15:48
@telegram_73824637:t2bot.ioAndrea Cicerisi, e' anche federato mi sembra di capire, quindi in teoria potete iscrivervi all'evento anche se il vostro utente vive su un'altra istanza19:17:00
@telegram_165995843:t2bot.ioNonno FeliceHai paura che la CIA si imbuchi al meetup?19:23:56
@telegram_28186152:t2bot.ioLucioIntendi il Comitato Internazionale di Ansible? Quelli fanno paura 😄19:32:34
@telegram_7189191315:t2bot.iogeckoIl fatto che un hash sia "crittografico" non ha nulla a che vedere con la sua predicibilità. L'hash della derivazione lo puoi prevedere agilmente non appena rilasciano la nuova tarball di sudo dato che la maggior parte degli aggiornamenti son cambiare versione e hash del tarball e bom. > Io come attaccante, se voglio il root... La maniera in cui stai facendo threat modeling è un po' naive. Per esempio, stai assumendo che l'utente sia sudoer, io no, è una differenza alquanto fondamentale. In breve, hai una via di fare privilege escalation. Comunque il punto è che non c'è un modo per permettere ad un utente di installare robe da cache di terze parti senza rischiare di compromettere il sistema. Poi possiam parlare della praticità dell'attacco, ma resta comunque un flaw del design, che credo sia la ragione per cui han introdotto il local overlay store.20:28:33
@telegram_7189191315:t2bot.iogecko* Il fatto che un hash sia "crittografico" non ha nulla a che vedere con la sua predicibilità. L'hash della derivazione lo puoi prevedere agilmente non appena rilasciano la nuova tarball di sudo dato che la maggior parte degli aggiornamenti son cambiare versione e hash del tarball e bom. > Io come attaccante, se voglio il root... La maniera in cui stai facendo threat modeling è un po' naive. Per esempio, stai assumendo che l'utente sia sudoer, io no, è una differenza importante. In breve, hai una via di fare privilege escalation. Comunque il punto è che non c'è un modo per permettere ad un utente di installare robe da cache di terze parti senza rischiare di compromettere il sistema. Poi possiam parlare della praticità dell'attacco, ma resta comunque un flaw del design, che credo sia la ragione per cui han introdotto il local overlay store.20:31:04
@telegram_7189191315:t2bot.iogecko* Il fatto che un hash sia "crittografico" non ha nulla a che vedere con la sua predicibilità. L'hash della derivazione lo puoi prevedere agilmente non appena rilasciano la nuova tarball di sudo dato che la maggior parte degli aggiornamenti son cambiare versione e hash del tarball e bom. > Io come attaccante, se voglio il root... La maniera in cui stai facendo threat modeling è un po' naive. Per esempio, stai assumendo che l'utente sia sudoer, nella ipotesi che propongo invece no, è una differenza importante. In breve, hai una via di fare privilege escalation. Comunque il punto è che non c'è un modo per permettere ad un utente di installare robe da cache di terze parti senza rischiare di compromettere il sistema. Poi possiam parlare della praticità dell'attacco, ma resta comunque un flaw del design, che credo sia la ragione per cui han introdotto il local overlay store.20:31:24
@telegram_41776856:t2bot.ioMarco TurchettoPer accettare le caches remote devi essere un nix-trusted-user, che non è la stessa cosa di essere sudore ma poco ci manca. E centrare la hash del sudo di chi farà lo switch del sistema è un bel terno al lotto. Devi a tutti gli effetti sapere quale sudo installerà, e lo devi sapere in anticipo.22:52:43
@telegram_41776856:t2bot.ioMarco TurchettoSe usi cache di terze parti, rischi SEMPRE di scaricare ciò che non ti aspetti, con o senza questa falla laterale.22:55:49

There are no newer messages yet.

Back to Room ListRoom Version: 10