| 28 Feb 2026 |
 Andrea Ciceri | https://github.com/DeterminateSystems/nix-wasm-rust/ | 09:28:03 |
 Lucio | Già 😅 | 12:04:33 |
 Marco Turchetto | Eh, quando fai il build di una cache ti chiede se vuoi effettivamente usarla. Si, tutte le cache binarie sono trusted, fare un apt add ppa non è diverso | 13:47:28 |
| Marco Turchetto | * Eh, quando fai il build di una flake ti chiede se vuoi effettivamente usare la cache suggerita. Si, tutte le cache binarie sono trusted, fare un apt add ppa non è diverso | 13:47:48 |
| Marco Turchetto | Poi non è proprio come dare root, la build è un sandbox, e il programma buildato ha i permessi del tuo utente | 13:50:42 |
 gecko | Può fakare di aver "cachato" il NAR di sudo, in quel senso sei sudo.
È simile se lo compari ad un ppa, ma non è simile a snap o flatpak dove il "namespace" dei pacchetti non è lo stesso, se ti installi un flatpak come utente normale, non succede nulla agli altri utenti (e in particolare a root). | 16:44:17 |
| gecko | Forse con questo... https://nix.dev/manual/nix/2.22/store/types/experimental-local-overlay-store | 16:44:40 |
| Marco Turchetto | Si ma perché dovrebbe prendere il binario di sudo da una cache di un'altra flake? La cache viene aggiunta solo per la flake che dichiara quella cache | 16:47:07 |
| Marco Turchetto | Poi hanno anche una priorità le caches | 16:47:31 |
| Marco Turchetto | Garnix Blog: Stop trusting Nix caches
https://garnix.io/blog/stop-trusting-nix-caches/ | 16:52:37 |
| Marco Turchetto | Qui secondo me spiegano in dettaglio il problema, che è un problema però vabbè... | 16:54:15 |
| Marco Turchetto | Io piuttosto mi preoccuperei del fatto che della chiave di nixpkgs c'è ne è una, e non è né revocabile né rotabile 😅 | 16:58:12 |
| Marco Turchetto | * Io piuttosto mi preoccuperei del fatto che della chiave della cache di nixpkgs c'è ne è una, e non è né revocabile né rotabile 😅 | 16:58:59 |
| gecko | > La cache viene aggiunta solo per la flake che dichiara quella cache
L'uso della cache può essere limitato nel tempo, ma se la usi anche solo una volta, puoi pollutare la cache.
Immagina di prevedere l'hash della derivazione della prossima versione di sudo, puoi mettere una versione backdoorata sulla tua cache. Nel tuo flake forzi il pullarla (prima che la prossima versione di sudo sia disponibile su cache.nixos.org), poi quando NixOS viene aggiornato dice "toh ce l'ho già!" e inizi ad usare quella backdoorata.
La priorità un po' tampona ma non è una soluzione vera, vedi esempio qui sopra. Also, se son un attacker ti impedisco di accedere alla cache principale most likely vai alla seconda. O magari le cache vengono interrogate tutte assieme.
Si può stare a discutere sulla praticità dell'attacco, ma è chiaro che il threat model è rotto di base. | 20:07:14 |
| Marco Turchetto | Quale sarebbe il threat model? Usare cache non trusted?
L'hash è crittografico, credo sia ragionevolmente impossibile da prevedere. | 23:58:51 |
| 1 Mar 2026 |
| Marco Turchetto | Un attacker che ti impedisce di accedere alla cache principale è un attacker molto impegnato. | 00:03:33 |
| Marco Turchetto | Io come attaccante, se voglio il root, intanto infetto un qualsiasi pacchetto legittimo della flake e mi dumpo la cartella utente e la sua sessione, 9/10 trovo qualcosa di interessante per andare più affondo. Al massimo chiedo direttamente all'utente la psw per diventare root. Non c'è alcun bisogno di tentare di fare il replace di sudo. Se una cache viene bucata sei già nei casini senza rompere la crittografia, le funzioni di hash o ddos della cache di nixpkgs. | 00:10:40 |
| Marco Turchetto | * Io come attaccante, se voglio il root, intanto infetto un qualsiasi pacchetto legittimo della flake e mi dumpo la cartella utente e la sua sessione, 9/10 trovo qualcosa di interessante per andare più affondo. Al massimo chiedo direttamente all'utente la psw per diventare root. Non c'è alcun bisogno di tentare di fare il replace di sudo. Se una cache viene bucata sei già nei casini senza rompere la crittografia, le funzioni di hash o dos della cache di nixpkgs. | 00:15:13 |
| Andrea Ciceri | 
Download Vince il 14 Marzo | 13:36:05 |
| Andrea Ciceri | Non abbiamo piu' meetup, so che avevamo discusso gia' di passare ad alternative ma siccome non abbiamo deciso nulla per questa volta ho deciso io in maniera non democratica di provare mobilizon. Fate sapere se avete problemi o manca qualche informazione fondamentale. | 13:58:24 |
| Andrea Ciceri | PROSSIMO MEETUP SABATO 14 MARZO
https://mobilizon.it/events/096bf456-efd6-4230-9ddc-0cce7c72046a | 13:59:09 |
| Andrea Ciceri | * Non abbiamo piu' meetup, so che avevamo discusso gia' di passare ad alternative ma siccome non abbiamo deciso nulla per questa volta ho deciso io in maniera non democratica di provare mobilizon (altrimenti non ne uscivamo piu'). Fate sapere se avete problemi o manca qualche informazione fondamentale. | 14:00:07 |
| Andrea Ciceri | Quanto vi iscrivete vi da una ricevuta? Perche' io vedo solo "Anonymous participant" (immagino che chi si sia iscritto lo abbia fatto tramite e-mail, sena iscriversi al sito) | 14:12:45 |
 Francesco | 
Download image.jpeg | 14:18:16 |
| Francesco | Sarò stato io | 14:18:29 |
 Nonno Felice | 
Download image.jpeg | 14:18:31 |
 Tonio Gela | Same mail | 14:19:13 |
| Andrea Ciceri | Non ha molto senso cosi' pero', nella remota ipotesi che arrivino piu' persone di quelle iscritte come capiamo chi e' davvero iscritto? | 14:20:16 |
| Nonno Felice | Non riesco a vedere la lista delle email? | 14:24:39 |
| Nonno Felice | * Non riesci a vedere la lista delle email? | 14:24:42 |
