| 25 Feb 2026 |
 Luca | Ho vari trusted-substituters, ma non so mai cosa mi prende da quale cache | 21:32:43 |
| 26 Feb 2026 |
 Tonio Gela | Sneak peek di chi sta vincendo? | 08:45:34 |
 Radu Andries | Sta vincendo lo sport | 11:00:13 |
 Alessandro 🤔➖☀️🖌 | nemmeno io conoscevo gancio, ma oggi ho scoperto che puntello.org è un'istanza di gancio https://gancio.org/instances | 15:49:49 |
| 27 Feb 2026 |
 Andrea Ciceri | Per ora:
- 14 Marzo: 13 voti
- 21 Marzzo: 8 voti
- 28 Marzo: 6 voti | 08:45:04 |
| Andrea Ciceri | Questo weekend creiamo l'evento, quindi diciamo che c'e' tempo di votare fino a mezzanotte di oggi dai | 08:46:32 |
| Tonio Gela | Voto per Fedez e Masini | 08:58:07 |
 gecko | > @everyone Do not update to latest unstable-small.There is a major kernel regression that renders machines unbootable. | 16:23:13 |
 Nefas | In reply to @telegram_7189191315:t2bot.io
> @everyone Do not update to latest unstable-small.There is a major kernel regression that renders machines unbootable. O_O | 17:08:48 |
| Nefas | Fortuna che al momento sono su Manjaro, per fare un po' di testing | 17:09:09 |
| Tonio Gela | Madonna, nixpkgs security tracker ha postato 100 vulnerabilità nell'ultima ora | 17:41:33 |
| 28 Feb 2026 |
| gecko | Stavo vedendo che in un flake puoi suggerire dei substituter extra: https://wiki.nixos.org/wiki/Flakes#Nix_configuration
Certo che così praticamente gli permetti di diventare root, la cache potrebbe fornirti una derivazione di sudo backdoorata. | 08:53:57 |
| Andrea Ciceri | https://github.com/DeterminateSystems/nix-wasm-rust/ | 09:28:03 |
 Lucio | Già 😅 | 12:04:33 |
 Marco Turchetto | Eh, quando fai il build di una cache ti chiede se vuoi effettivamente usarla. Si, tutte le cache binarie sono trusted, fare un apt add ppa non è diverso | 13:47:28 |
| Marco Turchetto | * Eh, quando fai il build di una flake ti chiede se vuoi effettivamente usare la cache suggerita. Si, tutte le cache binarie sono trusted, fare un apt add ppa non è diverso | 13:47:48 |
| Marco Turchetto | Poi non è proprio come dare root, la build è un sandbox, e il programma buildato ha i permessi del tuo utente | 13:50:42 |
| gecko | Può fakare di aver "cachato" il NAR di sudo, in quel senso sei sudo.
È simile se lo compari ad un ppa, ma non è simile a snap o flatpak dove il "namespace" dei pacchetti non è lo stesso, se ti installi un flatpak come utente normale, non succede nulla agli altri utenti (e in particolare a root). | 16:44:17 |
| gecko | Forse con questo... https://nix.dev/manual/nix/2.22/store/types/experimental-local-overlay-store | 16:44:40 |
| Marco Turchetto | Si ma perché dovrebbe prendere il binario di sudo da una cache di un'altra flake? La cache viene aggiunta solo per la flake che dichiara quella cache | 16:47:07 |
| Marco Turchetto | Poi hanno anche una priorità le caches | 16:47:31 |
| Marco Turchetto | Garnix Blog: Stop trusting Nix caches
https://garnix.io/blog/stop-trusting-nix-caches/ | 16:52:37 |
| Marco Turchetto | Qui secondo me spiegano in dettaglio il problema, che è un problema però vabbè... | 16:54:15 |
| Marco Turchetto | Io piuttosto mi preoccuperei del fatto che della chiave di nixpkgs c'è ne è una, e non è né revocabile né rotabile 😅 | 16:58:12 |
| Marco Turchetto | * Io piuttosto mi preoccuperei del fatto che della chiave della cache di nixpkgs c'è ne è una, e non è né revocabile né rotabile 😅 | 16:58:59 |
| gecko | > La cache viene aggiunta solo per la flake che dichiara quella cache
L'uso della cache può essere limitato nel tempo, ma se la usi anche solo una volta, puoi pollutare la cache.
Immagina di prevedere l'hash della derivazione della prossima versione di sudo, puoi mettere una versione backdoorata sulla tua cache. Nel tuo flake forzi il pullarla (prima che la prossima versione di sudo sia disponibile su cache.nixos.org), poi quando NixOS viene aggiornato dice "toh ce l'ho già!" e inizi ad usare quella backdoorata.
La priorità un po' tampona ma non è una soluzione vera, vedi esempio qui sopra. Also, se son un attacker ti impedisco di accedere alla cache principale most likely vai alla seconda. O magari le cache vengono interrogate tutte assieme.
Si può stare a discutere sulla praticità dell'attacco, ma è chiaro che il threat model è rotto di base. | 20:07:14 |
| Marco Turchetto | Quale sarebbe il threat model? Usare cache non trusted?
L'hash è crittografico, credo sia ragionevolmente impossibile da prevedere. | 23:58:51 |
| 1 Mar 2026 |
| Marco Turchetto | Un attacker che ti impedisce di accedere alla cache principale è un attacker molto impegnato. | 00:03:33 |
| Marco Turchetto | Io come attaccante, se voglio il root, intanto infetto un qualsiasi pacchetto legittimo della flake e mi dumpo la cartella utente e la sua sessione, 9/10 trovo qualcosa di interessante per andare più affondo. Al massimo chiedo direttamente all'utente la psw per diventare root. Non c'è alcun bisogno di tentare di fare il replace di sudo. Se una cache viene bucata sei già nei casini senza rompere la crittografia, le funzioni di hash o ddos della cache di nixpkgs. | 00:10:40 |
| Marco Turchetto | * Io come attaccante, se voglio il root, intanto infetto un qualsiasi pacchetto legittimo della flake e mi dumpo la cartella utente e la sua sessione, 9/10 trovo qualcosa di interessante per andare più affondo. Al massimo chiedo direttamente all'utente la psw per diventare root. Non c'è alcun bisogno di tentare di fare il replace di sudo. Se una cache viene bucata sei già nei casini senza rompere la crittografia, le funzioni di hash o dos della cache di nixpkgs. | 00:15:13 |
