Arch Linux's AUR Sees More Than 400 Packages Compromised With Malware

Security-all

https://www.phoronix.com/news/Arch-Linux-AUR-400-Compromised

  • 3161 megtekintés

( Fisher v | 2026. 06. 12., p – 16:59 )

Nem értem. Hogy kerül az AUR és a security egy lapra?

( XMI | 2026. 06. 12., p – 17:33 )

Ez konkrétan ebben a pillantban is zajlik, és már 800+ csomagnál tart a lista (du 1 órás adat): https://lists.archlinux.org/archives/list/[email protected]/message/5FDTMKA54RMWNRHJFUAKXEBAFV5WPDUL/

Érdekes és szomorú magyar vonatkozása a történetnek, hogy a támadáshoz használt accountok szinte kivétel nélkül magyar neveket használnak:

https://aur.archlinux.org/account/erzsebetszabo
https://aur.archlinux.org/account/janosjonas
https://aur.archlinux.org/packages?K=melindajuhasz&SeB=m
istvanilles
stb.

Régóta vágyok én, az androidok mezonkincsére már!

Iszonyat gáz. Ez tényleg a valaha volt legnagyobb supply chain támadás, az tuti. Rohadt nagy mákom van, hogy 1) 48 órán belül semmit nem telepítettem, nem frissítettem az AUR-ból, 2) a 800 csomag közül egyiket se használom. Innentől fogva viszont tényleg én is átnézek minden egyes pkgbuild-et, még telepítés előtt.

Ezeket a magyar neveket se értem, talán féltékeny valaki Polyák sikerére, vagy csak a Valve-nak akar betartani. Morbid az egész, ahogy van.

Ráadásul most az Arch is hibás, mert egy szót se szól a támadásról a főoldalon, pedig ennek biztosan nagyon sok user áldozatul esett. Igen, tele van vele a reddit és FOSS híroldalak, de azokat se minden linuxos olvassa.

Szerk.: állítólag a támadás még mindig folyik, tömegesen jönnek ki új fertőzött update-ek. Állítólag ez áll a háttérben:

Yes, this seems to be the attack vector. They submit orphan request and if the maintainer does not respond to it in 2 weeks or if the package has been flagged as out of date for 180 days it the requester will be granted maintainer status.

Szerk. 2: végre az Arch kitette a főoldalára a hírt.

“Linux isn't an OS, it's a troubleshooting sim game.” (a YouTube commenter)

( kleinie | 2026. 06. 12., p – 20:16 )

Régen Archoztam. Szerettem. Viszont az AUR-t messziről kerültem. Talán 1-1 csomagot telepítettem onnan. Annyira amúgy nem láttam értelmét. Ha valami kellett, letöltöttem a forrást és magam fordítottam/telepítettem.

Ez a 'valaki összehányt egy telepítő szkriptet' sohasem tetszett!

Hozzá kell tenni ez nem az Arch hibája. Nem kötelező AUR-t használni. De nagyon jól látszik a gyenge pontja...

Make it as simple as possible, but not simpler. - A. Einstein

Hozzá kell tenni ez nem az Arch hibája. Nem kötelező AUR-t használni. De nagyon jól látszik a gyenge pontja...

Az aur.archlinux.org -ról tölthetőek le ezek a scriptek, amit az Arch csapata tart karban (vagyis hostol), nem? És mi történik, Te is azt mondod, hogy nem kell használni. Tehát maguk a tapasztalt felhasználók tudják azt, hogy nem kell használni, pont az ilyenek miatt. Az Arch meg hosztolja.

Már most hibáztatjuk a felhasználót, de lehet, hogy az első ilyen után az Archnak kellett volna ezt a site-ot lekapcsolni, és bejelenteni, hogy innentől "nincs AUR-ozás", mert nem támogatjuk.

Ez nem az első ilyen eset, emlékszem, hogy 1-2 éve talán pont ugyanilyen esetet tárgyaltunk itt a hup-on, pont az AUR-ral, az Arch alatt.

Akkor ezt el kellene engedniük, mert egy olyan biztonsági probléma, ami miatt nem javasolt és támogatott a használata.

Szerintem, ha ebben nem értetek egyet, akkor viszont rendben, használhatják a felhasználók, és ebben az esetben is az Arch a hibás: 

  • Értem én, hogy "AUR packages are user-produced content. These PKGBUILDs are completely unofficial and have not been thoroughly vetted. Any use of the provided files is at your own risk.
  • és hogy az AUR-t nem lehet lekapcsolni, mert az Arch egyik alappillére, 

így együtt a kettő, de ez akkor megint az izélni is, meg szűzen maradni is klasszikus esete, ami az Arch-nak sem fog sikerülni.

Én nem hibáztatok senkit!

Ha felhívják a figyelmedet, hogy saját felelősségre használd, akkor ők megtették a szükséges lépéseket. Ha valaki a figyelmeztetés ellenére használja és emiatt "kára" keletkezik, az a saját döntése.

AUR nélkül is teljesértékűen használható az Arch. Annyira nem alappillér az. Inkább egy kényelmi szolgáltatás. :-)

Make it as simple as possible, but not simpler. - A. Einstein

Igen, egy Arch szintű rendszernél nem kell ovóbácsit játszani, de ha a biztonság a kérdés, akkor szerintem a felelős döntést kellene hozni, nem csak egy figyelmeztetést kitenni.

Szerintem is max egy kényelmi szolgáltatás, de az Arch imázsban ez nem így van. Ha rákeresek a Google-ben, hogy "top ten benefits of arch linux", akkor ez jön fel:

  1. The Rolling Release Model
  2. The Arch User Repository
  3. Unprecedented Customization

stb...

Szóval ezt kellene elengedni, és puff, kitenni, hogy ez szeptember 1-gyel a biztonsági hibák miatt megszűnik (Mármint az Arch nem hoszotlja tovább - ez lenne korrekt), aki akar valamit, ami nincs hivatalos csomagban, az fordítson szépen magának, hivatalos forrásból. Ez a preferált út. "Az Arch userek úgyis vérprofik", nekik ez nem lesz gond. :))

Raynesnek van igaza, https://hup.hu/comment/3286992#comment-3286992 "abszolúte az Arch hibája. Szarul vannak megalkotva a szabályok, hogy ismeretlen, ellenőrizetlen, friss reges emberek átvehetik az irányítást, régi verziós és karbantartó nélkül maradt csomagok felett." - teljesen egyet értek vele. 

Tehát ne írogasság ki, hogy nem vállalnak felelősséget, ha az a "duma", hogy ez a második legnagyobb benefit. Közben ez jelenleg egy hatalmas biztonsági probléma. Pont attól lenne profi az Arch, ha nem lennének ilyenek. (ráadásul hivatalosan is kommunikálva, mint egy jó lehetőség)

Oké, értem, hogy az AUR lekapcsolása utópikus gondolat (szerintem lekapcsolható, de valószínűleg a felhasználóik meglincselnék őket), de akkor az egészet szigorítani, és rendesen kidolgozni kellene, ahogy Raynes írta. És vállalni valamiért a felelősséget.

Az aur.archlinux.org -ról tölthetőek le ezek a scriptek, amit az Arch csapata tart karban (vagyis hostol), nem? 

Az Arch userei, vagy bárki, aki regisztrál az AUR-ba, oszthatja meg a saját receptjeit csomagokhoz. A receptek alapján a különböző AUR helper-ekkel lehet fordítani magadnak a kiválasztott AUR csomagot. Az AUR-t a trusted userek (régi rutinos felhasználók, ne kérdezd hogyan lehet egy AUR userből trusted user) felügyeli, bírálják el az userek kérelmeit, gebasz esetén takarítanak, stb. De hopp, most látom, hogy a trusted user át lett nevezve package maintainernek, szóval valami változtatás már volt itt.

Jelenleg 107.279 csomag van az AUR-ban, 141.972 felhasználó van regisztrálva, és 69 package maintainer van. Arra nincs adat, hogy mennyire pörög  a kérés lista, de képzelheted ilyen számokkal.

Érdekesség: 1 db package maintainerre jut 1555 csomag és 2058 felhasználó. 

Lehetne jobban csinálni? Persze. Mi kellene hozzá? Manpower. Mi van helyette? Duma.

A véleményem szerint amúgy kurva jó az AUR, persze könnyű kompromitálni (a fenti számokból sejthető miért), úgyhogy én beszántanám az egészet azzal az üzenettel, hogy köszi a sok hozzájárulást a fenntartáshoz :)

107.279 csomag van az AUR-ban, 141.972 felhasználó van regisztrálva, és 69 package maintainer

Érdekesség: 1 db package maintainerre jut 1555 csomag és 2058 felhasználó. 

Akkor ne is csodálkozzunk, és ez így eléggé horror. Tényleg be kellene szántani, pont így, ahogy írod: köszi a sok hozzájárulást a fenntartáshoz

Ez a felhasználók produktuma. Ha te beregisztrálsz az AUR-ba, akkor adhatsz hozzá egy repót, ami egy általad készített csomag receptjét tartalmazza, azon bármikor modosithatsz magad, frissitheted, stb. Minden "csomag" külön git repó. A package maintainerek meg felügyelik az egészet, kezelik az adopt kéréseket, lépnek a jelentések alapján stb. Belőlük kellene sokkal több. Mondjuk fixme, mert már jó rég AUR-oztam https://wiki.archlinux.org/title/Arch_User_Repository, de pont az a lényeg, hogy ott mindenki a saját csomagjaiban ~szabadon dolgozhat, nem olyan mint a ports, hogy végül egy maintainer commitol a req alapján.

Hozzá kell tenni, hogy abszolúte az Arch hibája. Szarul vannak megalkotva a szabályok, hogy ismeretlen, ellenőrizetlen, friss reges emberek átvehetik az irányítást, régi verziós és karbantartó nélkül maradt csomagok felett. Ez egy idióta ötlet volt, most vissza is ütött.

Az AUR meg rendszer kérdése. Ha valaki mindenből a defaultot meg mainstream megoldást használja, pl. legelterjedtebb asztali környezetek és szoftverek, akkor nincs annyira rászorulva az AUR-ra. De pl. soványabb, minimalistább rendszeres userek jobban rá vannak szorulva, pl. nekem 15 csomagom van az AUR-ból a 939 telepített csomag között. Van, ahol ez az arány még magasabb.

“Linux isn't an OS, it's a troubleshooting sim game.” (a YouTube commenter)

Hát igen, ez elég gyomorforgató. Letiltani nem tudják, mert azzal EU-s törvényt sértenének, de 24 óráig nem telepíthetsz, figyelmeztetéseket kapsz, koppints hétszer a fejlesztői módra, add meg a pinkódod, stb.. Ez egy gáncsoskodás, egy szemétláda módszer. Remélem az EU-ban sem hülyék, és jól megcseszik majd őket. Nem ettől lesz valami biztonságos.

Az AUR azért más, ott soha nem volt róla szó, hogy ne telepíthess a rendszeredre amit akarsz, és az Arch nem is mondana ilyet. Csak annyi, hogy az AUR ebben a formában nem biztonságos.

Tehát nem pont ugyanaz a kettő.

de, pont ugyanarrol van szo. csak meg kellene ertened a celt :)
es nem, a google sem mondja, hogy nem telepithetsz barmit. csak azt is meg kellene erteni hozza. :)
lattad te mar milyen kanosszat kell jarni egy xiaomi device bootloader feloldasahoz? :D azert miert nem megy a berzenkedes?
es az usa-fele router ban miatt?

In their determination, national security agencies referenced, among other things, concerns that routers produced in foreign countries could introduce a supply chain vulnerability that could disrupt the U.S. economy, critical infrastructure, and national defense and establish a severe cybersecurity risk that could be leveraged to immediately and severely disrupt U.S. critical infrastructure and directly harm U.S. persons.  

ms se' szorakozasbol fejlesztette le a sajat endpoint secu megoldasat (defender)
ezek a cegek nem onszorgalombol vedik a usert. egyreszt kurogatjak oket a kormanyzatok, masreszt ha nem teszik, akkor megy a mondogatas, hogy a rendszered nem biztonsagos. meghogy teglasodott, vittek az osszes adatat, mert az agyhalott r=1 user klikkelt kettot. ahogy most az AUR miatt is megy.

Nem ugyanarról van szó, te illetve a Google mossa össze.

A Google a telepíthetőséget egy nála vezetett központi regisztrációhoz köti: ID, fizetendő díj, szerződés, amit ő egy kattintással vissza is vonhat.

Egy kérdés, és dőljön el a vita: nevezz meg egy kártevőt, amit ez a hülyeség megállít, de egy "verifikált" fejlesztő (aki befizette a díjat) ne tudna feltölteni. Nincs ilyen. Ez malware ellen nem véd semmit.

Amit viszont megnyer a Google: minden Androidon futó app áthalad rajta, és a verifikáció nem csak a sideloadra vonatkozik, hanem a F-Droidra meg minden third-party store-ra is. A hobbi/anonim fejlesztők ezrei nem fognak egyenként ID-t és szerződést adni a Google-nek, nem betiltják az alternatívákat, csak "kiszárítják alóluk" a kínálatot.
Marad ugye egy csatorna, ahol a tömeg gond nélkül talál appot: a Play Store, ahol ő szedi a díjat.

A 24 órás kör nem véletlen, és van értelme (a Google számára, nem a felhasználónak): ha azt mondod, hogy ez egy biztonsági feature, akkor halálra röhögöm magam. Az a célja, hogy a kerülőút elég fájjon ahhoz, hogy egy normális ember ne válassza. Ki a tököm fog 24 órát várni egy app telepítéséhez? Tiltani az EU miatt nem mer, ezért nem tilt: nehezít. Tankönyvi malicious compliance.

Az AUR-kritika meg pont az ellenkezője. Ott senki nem kér központi kaput: a modell a rossz, ahogy Raynes is írta. Árva csomag adoptálható, örökli a nevet meg a history-t. A javítás meghagyja, hogy bármit telepíthess, anélkül, hogy bárki kezében összpontosulna a hatalom, és terelgetnének.

Az egyikben azt akarjuk (a felhasználók), hogy a rendszer legyen jó (AUR). A másikban azt nem akarjuk, hogy egy cég legyen már megint az úr a gépeden, meg ne lehetetlenítsenek el másokat (a Google, MS, stb..) de ez csak a szokásos vita, amiben nem értünk egyet. A kettő nem zárná ki egymást.

nem erted a celt :) a celok a fentiekben ugyanazok: a supply chain attack elleni vedekezes. ennek eszkoze a developer hitelesitese, megszemelyesithetosege, kitilthatosaga, kontroll afelett, hogy ne lehessen az appstore-t es az os-t ilyennel telebaszni egy egyszeu scriptkiddienek (helloka, AI...).

nem, egyiknel sem cel, h devkent vagy power userkent ne tudj azt csinalni az eszkozodon, amit csak szeretnel. ha elolvastad volna a google idevago oldalat, vilagosan lattad volna. csak teged nem erdekel, hozongeni menobb/egyszerubb/donkihotebb/klikkbejtebb :) 

ha a poweruserseghez kello 24 oras varakozas teged elvalaszt attol, akkor nem is akartad igazan es/vagy nem kell androidot hasznalnod.
(az adb-rol pedig megcsak szo se esett, ha tenyleg komolyan gondolod amit szeretnel...)
ha az aurba is csak 24 oras varakozasokkal lehetett volna a szart betolni, hitelesites utan, akkor nem lett volna tobbszaz fertozott "csomag". teccikerteni? :)

es igen, pl. egy f-droid pont ugyanugy kitett ennek, mit az aur itt.

amiket irsz, csak blabla, a "legyenmindenjobb" csak politikai szlogennek jo, valos celt nem fogalmaz meg :)

Akkor még egyszer kérdezem: milyen az olyan kártevő, amit egy  "verifikált", vagy díjat fizető fejlesztő ne tudna feltölteni. Aki akarja, az fel fogja tudni tölteni. A verifikáció nem malware ellen véd, hanem identitást + díjat csikar ki minden csatornán - F-Droid, sideload, sőt direkt letöltés is, és tereli a usert. Az AUR baja a rossz governance, ami decentralizáltan javítható; a Google baja, hogy egy cégként akar kézben tartani mindent, és lehetőleg az ő megoldásukat használd, mert ez az üzleti céljuk is. A kettő nem ugyanaz, mint ahogy a power usernek lenni sem egyenlő a szívással, ezt nagyon kevered. Semmiképpen nem kell hozzá 24 órát várni sehol. Nem most jöttünk a 6:20-assal, mindketten értjük a célt. :)

Akkor lenne igazad, ha a Google-féle verifikáció bármi ellen komolyan védene, és nem pont "véletlenül" a saját malmukra hajtaná a vizet. (megideologizálva, hogy ők csak a usereket védik).

Az AUR javításához sem kell ezt csinálni. Csak megsúgom. :) 

Akkor lenne igazad, ha a Google-féle verifikáció bármi ellen komolyan védene, és nem pont "véletlenül" a saját malmukra hajtaná a vizet. (megideologizálva, hogy ők csak a usereket védik). > megintcsak, nem olvastad el soha, hogy amiota a google csinalja a kotelezo verification-t (csak meg nem rendszerszinten, minden appra, hacsak nem vagy "poweruser"-kent beregelve a keszulekre, ez a terv, ugyebar) hany szazezer fos app ment ez miatt a levesbe. mondogathatod, hogy nem mukodik, csak nem lesz igazad. :)

az app-onkenti kulcsos hitelesites pedig arra is modot ad, hogy a mar szetterjesztett malware appokat is letiltsd, developerestul, mindenestul. ez security feature, azok meg akkor mukodnek jol, ha minel inkabb kompromisszummentesek. ha ket klikkel kibujhatsz alola, mint fejleszto/terjeszto, az a megoldas egy szar.

megideologizálva, hogy ők csak a usereket védik > az aurosok pont ezert kapaloznak most :) csak ugye a scale kurvara mas, az aur juzerbazis par nagysagrenddel kisebb, mint az android :)

Az AUR javításához sem kell ezt csinálni > szerinted mit kene csinalni? :) mi a cel? :) mi a scope? :)

Szerintem (saját vélemény):

Cél: ne tudja egy friss, ellenőrizetlen account tömegével átvenni a bejáratott, ismert, de elárvult csomagokat, és a build scriptbe (PKGBUILD / install hook) belerakni egy telepítéskor lefutó payloadot.

Scope: az AUR saját governance-e és toolingja az Arch infráján - nem az, hogy mit telepíthet bárki a saját gépére.

Mit kell csinálni: ezt bízzuk rájuk, hogy oldják meg, teljesen felesleges itt okoskodni rajta. (utána technikai részleteken kezdenénk el vitatkozni)

Igazad van, a revoke hasznos lehet, de azt akkor indítják, ha már felfedezték a malware-t, és például ott a gépeden. Gyanítom, hogy sok malware van, amit nem csak annyi "leszedni", hogy egy app-ot "revoke"-olsz, ha már egyszer tudott futni a gépeden. Az ellopott kulcs, credentials, vagy bármilyen ellopott adat sem törlődik sehonnan, és a program is telepíthet valamit, ami a revoke hatókörén kívül van.

A Google-irányította revoke kicsit olyan, mint a DRM, ahol megmondhatják, hogy most már ne olvass egy könyvet, nem? A google, mint központi szereplő kezében van egy kapcsoló afölött, ami a te gépeden fut. Hogy ez üzleti okból is elsülhet, arra a platformüzemeltetők múltjában van példa: akár az Apple-Epic games ügye, ahol egy fizetési vita miatt lelőtték a francba az appot. (tehát csak annyi, hogy a revoke plusz egy eszköz erre + a megoldás pedig arra, hogy máshonnan se tedd fel) 

Ha ilyenek nem lennének, akkor én sem így gondolkodnék. - A google ne örködjön a saját gépem felett, köszi. Értem az álláspontod, csak én ezekben a cégekben nem bízom már.

tehat ha ugyanazt az arch csinalja, tapsoljunk, ha a google csinalja sirjunk! ertem en! :)
(tudod, minden rendesebb csomagkezeloben alairtak a csomagok, igen, a kulso tarolosak is. nem veletlenul :) es igen, vissza lehet vonni kulcsokat. meg lehet olyan rovidre jaratni oket, hogy anelkul is kikopjanak, stb.)

Dorsy, több szempontból is összezutyulod ezt a kérdést:

1. Arról most szerintem nincs szó, hogy az arch ugyanezt akarja csinálni. Nincs központi kapu tervezve, és vám hozzá, valamint nem tervezik, hogy alkalmazásokat terelgessenek, nem kerülgetik az EU-s jogszabályokat gáncsoskodással, hogy mindenki csak az AUR-t használja a végén. Éppen ellenkezőleg, ez most egy púp a hátukon szerintem.

2. Szerintem a Google már most is le tud tiltani egy alkalmazást: https://support.google.com/googleplay/answer/2812853
Mindezt a Play Protect teszi, pl szignatura alapon. Vagy akár viselkedés alapon is. Uninstallálni is tudják. - Ehhez nem kell az új kapu, ahol díjat lehet szedni. A Play protect a már beazonosított malware-t tudja letiltani, pont ugyanúgy, mint a revoke lehetőség, tehát a letiltó képesség már megvan, így ez egy nagy csúsztatás.

3. Igen, a csomagok alá vannak írva jelenleg is: hogy 1. ne lehessen módosítani a tartalmát, és 2. egyértelmű legyen, hogy ugyanattól a kulcstól származik az app és minden frissítése. (Hogy a kulcs mögött valódi, ellenőrzött személy áll-e, az már nem az aláírás dolga. De ugye pont ezt sem a Google kulcsa adja.)

Na és minden valamire való store-ban (a Play-en kivűl) jelenleg szerinted a Google írja alá a csomagot, és ő revoke-olgatja a kulcsokat? Közben nem engedi, illetve feladatokhoz, kitételekhez, köti, pl 24 órás várakozás, dobbants hármat a lábaddal, koppants hetet a fejlesztői módra, és okézz le négy üzenetet, valamint viselj el valami nagyon randa piros feliratot. - így próbálnak gáncsoskodni, mert az EU-ban nem tilthatják le a többi store-t. Jelenleg nem, tehát egy csúsztatás hogy ezt mondod: "tudod, minden rendesebb csomagkezeloben alairtak a csomagok", mert nem mindegy, milyen aláírás.

Értem, hogy elsőre kettős mércének tűnik, és mindig "az a baj, ami éppen van", "semmi nem jó". :) De pont ez a lényeg: nem ugyanazt csinálja a kettő (az AUR és a Google), ezért nem kettős mérce.

Az Apple-Epic games ugyet folosleges idehozni, mert erre semmilyen peldaval nem szolgal. Az App Store szabalyzataban a 0. perctol benne van (ezt olvastak az Epicnel is), hogy nincs kulso fizetesi szolgaltato. Az Epic megis beprobalkozott ezzel (tudatosan szegtek meg), majd mint egy csecsemo elkezdett sirni a gonosz Applera, aki alkalmazta ra azt a folyamatot, ami szinten elore dokumentalva van a szabalyzat megszegoire (fejleszto tiltasa, appjainak eltavolitasa a storebol, DE a mar telepitett peldanyokat ez NEM erintette, azok tovabbra is elindultak, csak az uj "eladast" illetve frissitesek terjeszteset nem tette lehetove). 

Marmint, azt akarod peldalozni, hogy az Apple egy joceg, mert miutan az Epic kivette a dolgot es ujra szabalykoveto lett, vissza is kerultek a Storeba, ahol azota is benne vannak? Ha elore nem lett volna ismert hogy nem szabad olyat csinalni, akkor talan lehetne jo a peldad. Az is egy erdekes es abszolut jogos kerdes, hogy maga a szabaly az jo-e, de ebben az esetben, nem a szabaly josagan vagy nem josagan van a hangsuly, hanem azon, hogy az elore definialt szabaly be lett tartatva. Ebben, semmilyen, a helyzettel kapcsolatos visszaeles nincs.

Czo, a helyzet ennél sokkal összetettebb, mint hogy az Epic megsértette a szabályokat és a szerződést. Megkértem a Claude Opust, hogy magyarázza el pontosan, hogy mi történt, és összefoglaltam, amit sikerült belőle kiszedni/megérteni. Ezek után megkértem, hogy mindegyik részhez írjon forrást, amivel alátámasztja. Szerintem tanulságos.
És ez itt egy egyszerűsített leírás, ez az egész nyilván ennél sokkal bonyolultabb (több száz oldalas bírósági dokumentumokkal).

Cikkek, amiket érdemes elolvasni:

Ugye az történt, hogy az Epic a Fortnite alkalmazásba épített egy saját In-App-Purchase rendszert, ami megkerülte az Apple-t, pedig szerződésben vállalta, hogy csak az Apple-IAP rendszerét használja ahol minden appon belüli vásárlás után 30% jutalékot kapott az Apple (amit döntsön el mindenki magának, hogy pofátlanul sok-e, az Epic "Project Liberty" néven nevezte a saját megoldását, gondolom nem véletlen).

   Forrás: https://en.wikipedia.org/wiki/Epic_Games_v._Apple 
   "Epic implemented changes in Fortnite intentionally on August 13, 2020, to bypass the App Store payment system, prompting Apple to block the game from the App Store and leading to Epic filing its lawsuit."

Az Epic ugye a perben, amit az Apple ellen indított, azt akarta elérni, hogy a bíróság mondja ki az Apple-t törvénytelen monopóliumnak az Iphone-os appterjesztésben, és az appon belüli fizetésben, és kényszerítse rá az Apple-re, hogy engedjen más appstore-okat (sideload-okat) az IOS-en, és a fejlesztők a 30% jutalék helyett saját fizetési rendszert használhassanak. Ezt a bíróság elutasította, mert nem állapított meg monopóliumot: szerinte a piac tágabb, a mobiljáték-piac egésze nagyobb annál, mint ami csak az Apple platformjához köthető. (összefoglaló: https://en.wikipedia.org/wiki/Epic_Games_v._Apple )

   Forrás: https://en.wikipedia.org/wiki/Epic_Games_v._Apple 
   "The trial ran from May 3 to May 24, 2021. In a September 2021 ruling in the first part of the case, Judge Yvonne Gonzalez Rogers decided in favor of Apple on nine of ten counts, but found against Apple on its anti-steering policies under the California Unfair Competition Law."

Az Apple-Epic perben volt egy olyan pont, amiben az Epic-nek adtak igazat a perben, ez az anti-steering.
A Fortnite is egy különálló rendszer, nem csak az Iphone-nal működik, vbuck-okat vehetsz. Az Apple szabálya az volt, hogy a fejlesztőnek még csak említeni vagy linkelni sem szabad egy külső, olcsóbb fizetési lehetőséget, ami ugye olcsóbb, mert nincs rajta az Apple 30%-a.

A helyzet az, hogy a bíróság erre a pontra viszont megállapította, hogy az Apple nem tilthatja meg a fejlesztőknek, hogy az appon belül tájékoztassák a usert külső, olcsóbb fizetési lehetőségről, mert ez bizony kaliforniai versenytörvénybe (UCL) ütközik.

   Forrás: https://en.wikipedia.org/wiki/Epic_Games_v._Apple 
   "Rogers prohibited Apple from stopping developers from informing users of other payment systems within apps."

Erre az Apple mit csinált? Jó, akkor felőle megemlítheti a fejlesztő a saját platformját, és átlinkelhet, de mivel a vásárlás az Apple alkalmazásból jött, beletette az Apple-developer szerződésbe, hogy ezért Ő 27% (!!!!) jutalékot szed, és felugró ablakokban megpróbálta lebeszélni a usert, hogy ezt a lehetőséget használja.

   Forrás: https://en.wikipedia.org/wiki/Epic_Games_v._Apple 
   "the policies still required the developer to provide a 27% revenue share back to Apple"; és: "the App Store posts a warning screen stating that Apple is not responsible for any security or privacy issues related to third-party payment systems"

Tehát a fejlesztő a külső vásárlásnál is majdnem annyit fizetett az Apple-nek, mint az In-App-Purchase esetén, plusz a saját infrastruktúráját is fenn kell tartania, tehát gondolom ismerős a gáncsoskodás, hogy ez egy olyan trükk, hogy ne érje meg a fejlesztőnek, illetve olcsóbb sem nagyon tud lenni, plusz a felugró ablakok a felhasználót is elriasztják.

A bíró 2025 áprilisában kimondta, hogy ezt az Apple szándékosan, rosszhiszeműen tette, egy korábban már versenyellenesnek minősített bevétel megőrzése céljából, és az Apple-t meg egy vezetőjét büntetőjogi vizsgálatra utalta, mert szerinte hazudtak a bíróságnak.

   Forrás: https://en.wikipedia.org/wiki/Epic_Games_v._Apple 
   "Rogers ruled in April 2025 that Apple "willfully" failed to comply with her previous injunctions" és  
   "Rogers also referred the case to the federal attorney's office for possible criminal contempt proceedings, finding that company executives had lied"

Mindeközben az EU 500 millió EUR-ra bírságolta az Apple-t, emiatt a probléma miatt 2025-ben.

   Forrás (EU hivatalos közlemény): https://digital-markets-act.ec.europa.eu/commission-finds-apple-and-meta-breach-digital-markets-act-2025-04-23_en  
   "the European Commission found that Apple breached its anti-steering obligation under the Digital Markets Act" és "the Commission has fined Apple ... €500 million."

Szóval erről ennyit.


Google VS Epic: ugyanaz a sztori (az Epic 2020 augusztusában, ugyanazon a napon perelte be mindkét céget, miután a Fortnite-ot a Play Store-ból is kidobták), de a végeredmény más lett.

   Forrás: https://www.jurist.org/news/2025/08/us-ninth-circuit-affirms-antitrust-verdict-against-google-as-epic-games-prevails-again/ 
   "Epic filed suit in 2020 after Google removed its video game "Fortnite" from the Google Play Store. The removal followed Epic's implementation of "Project Liberty"."

Ugyanazok a vádak, az Epic teljesen nyert (nem pénzbeli nyereség), a bíróság kimondta, hogy a Google jogellenes monopóliumot tart fenn az Android app terjesztésben, és jogellenesen köti össze a playstore-t a fizetési rendszerével.

   Forrás:  https://www.jurist.org/news/2025/08/us-ninth-circuit-affirms-antitrust-verdict-against-google-as-epic-games-prevails-again/ 
   "a jury found in December 2023 that Google had willfully acquired or maintained monopoly power and had unlawfully tied use of the Play Store to its proprietary billing system."

Azért lett az eredmény más, mert az IOS teljesen zárt, sosem volt sideload, a Google viszont a kezdetektől azt ígérte, hogy az Android nyitott...

   Forrás:  https://www.jurist.org/news/2025/08/us-ninth-circuit-affirms-antitrust-verdict-against-google-as-epic-games-prevails-again/ 
   "antitrust market definition is inherently context-dependent, noting that Apple's vertically integrated iOS platform differs significantly from Google's licensable Android system."

(Vagyis a bíróság maga is megkülönböztette a zárt iOS-t a licencelhető, "nyitott" Androidtól.)

és közben kiderült, hogy fizetett a gyártóknak, és fejlesztőknek, hogy a rivális playstore-ok ne jöjjenek létre, vagy ne legyen default (a play maradjon), stb...

   Forrás a kifizetésekre/akadályokra: https://www.jurist.org/news/2025/08/us-ninth-circuit-affirms-antitrust-verdict-against-google-as-epic-games-prevails-again/ 
   "Epic's allegations concerned Android-specific barriers to app store competition—including default settings, security prompts, and OEM agreements."

   És a kötelezés, ami ezt tiltja: https://www.cravath.com/news-insights/epic-games-ninth-circuit-win-affirming-antitrust-trial-victory-and-permanent-injunction-against-google.html 
   "prohibits Google from providing benefits to phone manufacturers, app developers and others in exchange for favoring the Google Play Store."

A google-t kötelezték arra, hogy a play store-on belül engedjen más áruházakat, és nem fizethet azért senkinek, hogy korlátozza a versenyt.

   Forrás: https://www.cravath.com/news-insights/epic-games-ninth-circuit-win-affirming-antitrust-trial-victory-and-permanent-injunction-against-google.html 
   "requires Google to … carry other app stores on the Google Play Store."

   Forrás: https://www.jurist.org/news/2025/08/us-ninth-circuit-affirms-antitrust-verdict-against-google-as-epic-games-prevails-again/ 
   "a mandate that Google allow rival app stores to access the Play Store's app catalog and to distribute through the Play Store itself"

   Forrás: https://en.wikipedia.org/wiki/Epic_Games_v._Apple 
   "In December 2023, a jury ruled against Google in that it had unlawfully maintained its monopoly on the Android environment."

És a véleményem, hogy akkor miért is volt jó példa az Epic ebben a topicban: én nem azt akartam vele mondani, hogy az Apple "jó" vagy "rossz" cég. Hanem azt, hogy a platformkontroll simán bevethető üzleti célból is, user-védelemnek álcázva. Az Apple "megfelelése" (27% + scare screen) szóról szóra ugyanaz a (szerintem) malicious compliance minta, mint a Google-féle sideload-gáncsoskodás, amiről a vita indult: 24 órás várakozás, hétszeri koppintás, ronda piros figyelmeztetés. Ugye mennyire hasonlít?

A bíró sem véletlenül fogalmazott úgy, hogy az Apple célja a bevétel megőrzése volt - egy olyan bevételé, amit a bíróság korábban már versenyellenesnek minősített. Tehát ez alapján én nem mondanám, hogy az Apple volt a "jó".

   Forrás: https://www.cravath.com/news-insights/epic-games-secures-decision-that-apple-violated-anti-steering-injunction.html 
   "maintain a valued revenue stream; a revenue stream previously found to be anticompetitive."

Nem vagyok jogász, ezért is vannak bent a források; aki pontosabban tudja, javítson nyugodtan.

Megint hajlitod a valosagot. 

Ugye az történt, hogy az Epic a Fortnite alkalmazásba épített egy saját In-App-Purchase rendszert, ami megkerülte az Apple-t, pedig szerződésben vállalta, hogy csak az Apple-IAP rendszerét használja ahol minden appon belüli vásárlás után 30% jutalékot kapott az Apple (amit döntsön el mindenki magának, hogy pofátlanul sok-e, az Epic "Project Liberty" néven nevezte a saját megoldását, gondolom nem véletlen).

Eddig a pontig erdekes a story, amit irtal, minden, ami mogote van, az azt feszegeti, hogy az Apple leirhat-e ilyen szabalyt, betartathatja-e, illetve mik lehetnek a betartatas modjai. Ezeket egyiket sem kerdojeleztem meg. En pusztan azt irtam, hogy volt egy szabaly, ami definialva volt ott, ahova odament az Epic, majd miutan ezt az elfogadott es ismert szabalyt athagta, elkezdett picsogni, miutan a hely tulajdonosa alkalmazta ra a szabaly megszegokre kozismert, szinten elore definialt megtorlast. Egy arva szot nem irtam arrol, hogy a szbaly jo, vagy a szabaly rossz vagy a megtorlas modja jo vagy rossz. Nem azert dobta ki az Apple, mert visszaellt erofolenyevel vagy azert, mert nem volt rajta sapka, vagy azert, mert piros ho esett, vagy mert nagyceg es ezt kellett csinalnia, azert dobta ki, mert megszegte a szabalyt. Raadasul a szabalyt sem direkt ugy alkotta meg, hogy az Epic pont beleessen, hanem amikor az esemeny tortent, mar legalabb 10 ha nem tobb eves volt ez a szabaly. Mast is ugyonugy, ugyonezert kirak illetve kirakott volna. Voltak is belole picsogasok, mas fejlesztoktol is a multban. Nem tisztem eldonteni, hogy a szabaly jo-e vagy sem, az masnak a feladata. De azt mondani, hogy csak azert dobta ki, hogy visszaeljen vele es erre peldakent hozni az teljes egeszeben nonszensz. 

Eddig a pontig érdekes a story

Nem, érdemes lenne elolvasni a teljes történetet, mert nem az első bekezdésig érdekes.

A folytatás a lényeg: vedd észre, hogy az is le volt írva a szabályzatban, ami miatt az Apple-t elmarasztalták. Az kezdetektől benne volt, hogy a fejlesztő meg sem említheti a külső, olcsóbb fizetési lehetőséget - és pont ez a törvénysértő rész, mégis le volt írva a szabályzatban. Plusz szerintem egy ügy megítélése szempontjából mindig a teljes story számít.

Ráadásul nem is azt vitatom, hogy az Epic nem tartott be valamit. Ezt írtam: a Google Play új, bevezetendő lehetőségére, hogy üzleti célból is használhatják majd. Konkrétan ezt írtam: 

ez üzleti okból is elsülhet, arra a platformüzemeltetők múltjában van példa: akár az Apple-Epic ügy, ahol egy fizetési vita miatt lelőtték a francba az appot.

Még egyszer: 

egy fizetési vita miatt lelőtték a francba az appot.

Nem volt fizetési vita?

A jelenlegi topichoz kapcsolódóan írtam - tehát nem az a kérdés, hogy kit miért tiltottak le, hanem (a hosszabb kommentemben) próbáltam összeszedni, forrásokkal alátámasztva, miért lehet összetett a helyzet. És leírtam pontosan, hogy kapcsolódik a *jelenlegi topic*-hoz. Igazából nem az Apple-ről akarnék beszélni, téged meg ez triggerelt (szerintem, de bocs, ha nem), még egyszer: egy példaként hoztam ezt (ahogy írtam is korábban).

Szerintem, tobbet latsz bele mint amit kellene. Az, hogy ez a szabalyzat "rossz", az csak kesobb derul ki, mert a birosagi esemenyek joval az ominozus cselekmeny utan tortentek. Amikor a peldad szerinti "visszaeles" megtortent, akkor ez a szabaly volt az aktualis szabaly, ami raadasul ismert volt elore, tehat meg azt sem lehet mondani, hogy direkt azert szuletett, hogy az Epic ellen hasznalhato legyen. Azaz, az akkori helyzet ismereteben, ez nem visszaeles. Igen, az Epic kifogasolta, igen, az Epic birosagra vitte, igen, az Applenak valtoztatnia kellett, de ez mind azutan tortent, hogy az esemeny megtortent. En is elfogadtam ezt a szabalyzatot, amikor csatlakoztam, majd amikor az ominozus esmenynek koszonhetoen atkerultem a small business programba azt is elfogadtam es orultem neki. De, ha most kezdenek el ugyonugy a mostani szabalyzattal ellentetes dolgokat csinalni, akkor engem is ugyonugy a tettnek megfeleloen szankcionalnanak. Pl. az Apple rendszeresen bovit azon appok listajat, amikbol nem ker masikat. pl jo 10 eve kerult fel erre a listara a fingoappok. Ha ma akarsz veluk jovahagyatni fingoappot, akkor vissza fogjak dobni, mert a mai szabalyok szerint (amik elore ismertek), ezeket visszadobjak. Ha az Epic akarna bekuldeni fingo appot, azt is visszadobnak, ha Te, akkor is. Amikor ez az esemeny volt, akkor, az akkori forgatokonyv szerint, ez volt a megfelelo lepes arra, amit az Epic tett. Az Apple-Epic arra pelda, hogy az egyik beleszarik a masik homokozojaba, majd a birosagot kerik meg, hogy tegyen rendet, de nem arra pelda, hogy az Apple allitolag visszaelt a lehetosegeivel. 

Ahhoz, hogy visszaelesnek lehessen mondani ezen a teruleten, ahhoz nem olyan dolognak kellene tortennie, ami elore nincs leirva? Tehat ismetelten leirom, hogy nem mondom, hogy a szabaly jo, vagy a szabaly rossz, csak azt, hogy akkor az volt a szabaly es a szabalyoknak megfelelo volt a tettre adott valaszlepes.

Akkor pontosítok, mert szerintem elbeszélünk egymás mellett:

A Fortnite kidobásának jogát én nem vitatom, ezt már párszor leírtam. Az viszont fontos, hogy milyen vékony jégen múlt ez a jog. Az Epic vádja az volt, hogy az Apple monopólium az App Store-ban, és egyoldalúan írja a szabályokat. A bíróság ezt az Apple-nél elutasította, de nem azért, mert az Apple "tiszta" volt, hanem mert tágabban húzta meg a piacot (az egész mobiljáték-piacot nézte). Ugyanezzel a logikával, ugyanazokkal a vádakkal az Epic a Google ellen mindent megnyert, ott kimondott jogellenes monopólium lett a vége, mert az Android licencelhető, "nyitott". Vagyis a kidobás joga itt egy market-definition kérdésen múlott, nem azon, hogy az Apple jól viselkedett. Az Epic pedig tudatosan bevállalta a kitiltást, mint a per árát.

A te fő érved az, hogy a szabály "rosszsága" csak később derült ki, ezért akkor nem volt visszaélés. Szerintem ez két okból nem áll meg:

1. amiért az Apple-t elmarasztalták (anti-steering - azaz, hogy a fejlesztő meg sem említhette a külső, olcsóbb fizetést), az nem később jelent meg!!! A kezdetektől, folyamatosan benne volt a szabályzatban, és törvénysértő is volt végig. Sőt, utána is folytatódott: amikor a bíróság megpróbálta helyretenni, az Apple válasza a 27%-os jutalék + a riogató felugró ablak lett, amiről 2025-ben a bíró kimondta, hogy szándékos, rosszhiszemű ítélet-kijátszás. Ez pont nem "előre ismert szabály", hanem a végzés utáni kerülőút.

2. és ez a lényeg: egy szerződés akkor érvényes, ha a pontjai érvényesek. Attól, hogy egy kikötés régi, le van írva, és aláírtad, még nem lesz jogszerű. Egy törvénybe ütköző pont semmis - a működése pillanatától, nem az ítélet napjától. A bíróság ezt nem létrehozza, hanem deklarálja. Tehát nem "utólag lett rossz", hanem végig az volt, csak utólag mondták ki. A "benne volt a szabályzatban" nem mossa tisztára.

Ezért nem visz előrébb az, hogy "az volt a szabály". A kérdés sosem az volt, hogy ismert volt-e, hanem hogy jogszerű volt-e. 
Az Epic azt gondolta, hogy nem jogszerű - és akár igaza is lehetett volna. Gondolom a jogászaik felkészültebbek voltak ebben, mint mi itt, amikor tudatosan bevállalták az egészet.
És a topic témáját tekintve én a hatalomra, és a kontroll megszerzésére írtam, hogy jobb az, ha nem kapuőrködik a Google, hogy a saját telefonodra mit telepíthetsz. És pont a jogszerűtlen részen (az anti-steeringen és a 27%-os trükközésen) áll vagy bukik az eredeti pontom: hogy a platformkontroll bevethető üzleti célból, akár user védelemnek álcázva. Erre hoztam példának, nem arra, hogy ki kit dobott ki. :)

Szerk: És nem az Apple-ről akartam írni, semmi szándékom nem volt rosszat mondani róluk, a bíróságon egyértelmű, hogy mit nyertek, és mit vesztettek, és ha valamit nem jól írtam az egész történetet tekintve, bármit, akkor javítsa ki, aki otthon van ebben a témában. Én is most keresgéltem (és csodálkoztam rá ezekre).

Tovabbra is kevered szerintem a dolgokat. Amikor az eset tortent, az Apple szerint jogos volt mindaz amit csinaltak (hiszen azert irtak le, mert ugy gondoltak, hogy megfelelo), az Epic szerint pedig nem. Ez okozta a konfliktust. Te itt, utolag, a jelen ismereteid szerint mondod vagy feltetelezed azt, hogy az jogserto volt akkor is. Akkor nem tudjuk hogy az volt-e vagy nem, hiszen a birosag csak kesobb mondta ki, hogy az (addig pedig ugye, felteteleznunk kell, hogy nem az). Az Epic csinalhatott volna tobb dolgot is, pl azt, hogy nem foglalkozik az egesszel es nem adja ki oda az appjat. De csinalhatta volna azt is, hogy cirkusz nelkul megy oda, rogton, eloszor a birosagra es indit pert, majd azutan megy az App Storeba, hogy ezt megnyerte. Vegul azt valasztotta, hogy nagy csinnadrattaval eljatsza a hattyu halalat, majd szaladt a birosagra. Egy szabalyrol velelmezni azt, vagy bizonyitekkal rendelkezni arrol, hogy az jogszeru vagy nem, az homlokegyenest teljesen mas dolog. A jatekosok nagy resze betartotta a szabalyt, egy reszuk nem ertett vele egyet, mas reszuk pedig jogszerutlennek gondolta. Sott, a fazek masik oldalan ulok, pl a vasarlok peldaul sokan orultek annak, hogy van ez a szabaly, hiszen igy nem volt semmilyen appban field, ahova kartyaszamot lehetett volna irni es ha le volt tiltva a keszuleken az in-app purchase, akkor senki sem tudott veletlenul, meg a kartya adatai birtokaban sem vasarolni.

Ha ezt hasonlitanom kellene valamihez, akkor egy sajat kocsmahoz tudnam. Ha a sajat kocsmadba nem akarsz beengedni valakit, valami miatt megkulonboztetve masoktol, akkor szived joga ilyen szabalyt alkalmazni, annak ellenere, hogy ez tortenetesen jogszerutlen vagy jogszeru. Alapvetoen ezt sem nekem, se nem neked kellene eldontenie, hanem erre van egy fuggetlen szerv, ahol ezeket az ellenteteket le lehet jatszani. Ha viszont minden fel ismeri elore, hogy neked van ez a szabalyod, akkor tok mind1, hogy jogszerutllen vagy jogszeru ez a szabaly, azzal nem tudsz elkovetni visszaelest, hiszen nem akkor talalod ki, hogy az a valaki bemehet-e vagy nem. Igen, ez a szabaly nem lesz jogszeru, igen, a birosagon megtamadhatnak, igen, meg is fognak, igen, rad fogjak kenyszeriteni, hogy valtoztass, de igen, lesz akinek tetszeni fog es ezert jart hozzad.

Szerk: en tovabbra is csak azt kifogasolom, hogy ismert informaciok alapjan kapta az Epic a megrovast. Nem visszaelt az Apple es akkor utott a hasara, hogy kicseszik az Epiccel, hanem az Epic tudta, hogy mi lesz az Apple valaszlepese (hiszen le volt irva mit nem szabad es mi lesz a megrovas), tehat nem volt visszaeles.

Lehet, hogy nem érted, amit írok. Háromszor ismertem el, hogy ismert szabály volt, és kizárták őket, és kész, és mégis ismételgeted.

Nem erről írtam.

1. Az anti-steeringnél azt, hogy "akkor még nem tudtuk, jogsértő-e", összemosod azzal, hogy "akkor nem volt jogsértő". Ez nem ugyanaz. Amikor a bíróság kimondja egy szerződéses kikötésről, hogy törvénybe ütközik, az nem onnantól semmis, hanem a kezdetektől - a bíróság nem rosszá teszi, hanem deklarálja, hogy végig az volt. A kikötés nem 2021-ben lett jogsértő, 2021-ben mondták ki, hogy az volt.

2. A 27% + scare screen az ítélet UTÁN született. Erre az "ismerted előre a szabályt" érv fogalmilag nem alkalmazható, mert ez nem előre ismert szabály volt, hanem az Apple válasza a bírósági végzésre - amiről a bíró kimondta, hogy szándékos, rosszhiszemű kijátszás.

Tehát nem, az qrvára senkit nem érdekel, hogy az Apple szerint mi volt a jogos, ha utólag kimondja valamire a bíróság, hogy az jogszerűtlen volt. És gondolhatja úgy az Epic, hogy nincs más választása, mert monopóliumnak gondolta az Apple-t.

Mint láthatod, jogszerűtlen dolgok lehetnek fejlesztői és app store oldalon is. Az app store szabályait mégis az Apple írja, és mégis a fejlesztő lesz kibaszva, ha jogszerű minden, ha nem. Hiába derül ki utólag, hogy versenykorlátozó volt, vagy bármi más... Mert az App store oldalon van hatalom és kontroll, hiszen az ő kocsmájuk (a példáddal élve). Végig erről volt szó.

Nincs miről vitatkozni, egyértelmű, hogy mi történt a bíróságon. Ha valamelyik részével nem értesz egyet, akkor légy szíves javítsd ki a történetet, ugyanúgy ahogy én tettem, forrás megjelöléssel, hogy lehessen látni, hogy mi alapján gondolod.

Tehát nem ugyanarról vitatkozunk, én egy példát írtam a kontrollra, és a hatalomra, téged pedig az Apple érdekel. Engem sem az Apple, sem az Epic, ha megnézed az eredeti topic-ot. 

Ha a HP nyomtatók tintapatronjainak kontrollálásáról írok véletlen, és a third party tintákról (azt adom meg példának), akkor semmit nem válaszoltál volna alá, mert az nem Apple.

Részemről itt kiléptem a végtelen ciklusból, amit itt folytatunk. Sem az Apple-t, sem az Epic-et nem akarom védeni ebben a vitában. Azt az Epic-et például, akit az FTC összesen 520 millió dollárra büntetett, ebből 245 millió pont azért, mert dark patternekkel, félrevezető és következetlen gombkiosztással vette rá a játékosokat (köztük gyerekeket, szülői hozzájárulás nélkül) nem kívánt vásárlásokra, egyetlen gombnyomásra. Sőt: akik a kártyatársaságuknál vitatták a jogosulatlan terhelést, azokat az Epic kizárta a fiókjukból, és a már megvásárolt tartalmukhoz sem fértek hozzá.

Forrás: https://www.ftc.gov/news-events/news/press-releases/2022/12/fortnite-vi…
"Epic Games ... to pay a total of $520 million in relief ... deployed design tricks, known as dark patterns, to dupe millions of players into making unintentional purchases"
"Fortnite's counterintuitive, inconsistent, and confusing button configuration led players to incur unwanted charges based on the press of a single button"
"players could be charged ... by pressing an adjacent button while attempting simply to preview an item"
"Up until 2018, Epic allowed children to purchase V-Bucks by simply pressing buttons without requiring any parental or card holder action or consent"
"Epic locked the accounts of customers who disputed unauthorized charges with their credit card companies"

Tehát nem pazarolnék erre több energiát. Ne próbálj már meg légyszi az Apple vs Epic vitában az Apple pártján velem vitatkozni, mert nem vagyok egyik pártján sem. A topic ebben a thread-ben nem ez volt, és a példát sem ezért írtam, ezt kellene végre megértened.

a supply chain attack elleni vedekezes

ez super cel! csak epp ezzel a megoldassal nem lehet elerni. szerinted egy tamadonak mennyire nehez egy kamu profilt csinalni, befizetni a 25$-t? es mar mehet is az appja barhova. 

mint mindig, az igazi vedekezes az oktatas lenne: "random apk-t ne rakjal fel, de ha megis akkor vallald a felelosseget!".

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

mint mindig, az igazi vedekezes az oktatas lenne: "random apk-t ne rakjal fel, de ha megis akkor vallald a felelosseget!". > az aurnal is milyen jol sikerult! :) janem

DISCLAIMER: AUR packages are user produced content. Any use of the provided files is at your own risk.

innentol szarhatnanak is bele, h telenyomtak az egeszet malware-rel. megsem ez tortenik. :)

Várjunk csak! Tehát van egy hivatalosan nem támogatott, de eltűrt rendszer, ahonnan csomagokat telepíthetsz és ez a fő rendszer hibája? Bárhonnan tölthetsz le csomagokat arch-hoz (is). Fordulj már meg a lovon, mert még rosszul leszel! :)

ui:

aki paranoid, az nem használ aur-t, aki meg nem az, az tudja, hogy így járhat. Nos, most ezek az emberek így jár(hat)tak. 

ui2: igen, én is, bár egyelőre a ~900 csomag közül egy sincs nálam fent

Szerintem ezt nem igazán kell túlmagyarázni. Ha nem támogatnák az AUR-t, és csak megtűrnék max, akkor nem is hostolnák.

De bontsuk ketté ezt a dolgot:

  • A disclaimer szerintem a csomagok tartalmára vonatkozik.
  • És nem a governance-re, ami az ő felelősségük. Azaz konkrétan az, hogy hogyan működik az AUR, például egy árva csomagot ki vehet át, hogy örökli az egyes metaadatokat, mik a szabályok, stb... Tehát ez baromira az ő felelősségük, és ők is hostolják. És nem csak "megtűrt", meg "nem támogatott" dolog. - és szerencsére becsülettel javítják is, amiért le a kalappal, nem próbálják meg letolni magukról ezt a részt.

Ráadásul ezt így nem is nagyon lehet értelmezni: a "megtűrt" nem egy létező státusz. A feleségem megtűri, hogy a NAS-om a nappaliban legyen. Az Arch projekt esetén valamit vagy támogatnak, vagy nem. És ha nem támogatnák, annak egyértelmű jele lenne (pl. lekapcsolnák, vagy kiírnák).

Teljesen véletlenszerű, hogy most nem Arch van a gépemen, szerintem egy nagyon jó oprendszer, és véletlen sem az AUR alapján ítélem meg. Kezeljük a helyén ezt a lehetőséget.

Mondjuk telepítettem a windows fontokat AUR-ból a múltkor. :)) Ha jól értettem, Raynes pont írta, hogy az érintett volt, talán akkor még nem volt benne malware (kb 1 éve) - Azt rögtön gondoltam, hogy ez az AUR így nem a legbiztonságosabb, de nem kezdtem el átnézni scripteket. (A csomagok esetén - 1-2 csomag, szerintem nem random csomagok - , amit onnan tettem fel, feltételeztem, hogy egy ilyen probléma azonnal kibukna, százezren használják. Gondoltam én. De ez hiba volt.)

De vannak még ilyen területek, pl gnome pluginek, böngésző pluginek, az összes ilyen cucc. (ahol nem csodálkoznék, ha egyszer kezdődne egy ilyen cirkusz)

Mit értesz az alatt, hogy támogatott? Ha hosztolja, akkor köze van hozzá.

Én elfogadom a véleményeteket, de a tényekkel szerintem nincs mit vitatkozni. 1500+ AUR fertőzött, ha jól értem. Ezt a "kuplerájt" az Arch hostolja. Bármelyik projekttől vagy cégtől elfogadható az, hogy fenntartson egy olyan helyet, ahol 1500 malware várta az Interneten, hogy gazdára találjon? Ugye, hogy nem. PPA: ugyanez a helyzet. Ha lesznek olyan problémák, mint a csomag örökléssel az AUR-ban (bár nem tudom, az hogy működik), ami governance kérdés, amiért a platform fenntartója felel, akkor majd lesz ott is malware botrány. Nem fogom tudni azt mondani, hogy minden oké, mert maga a tény, hogy 1500 darab malware volt valahol, és ennek a hostolása/működtetése egy ilyen projekthez köthető, ez nem fér össze. Az Ubuntu esetén sem férne.

Tehát semmi támadás, kötekedés, okoskodás részemről, nagyon jó oprendszer az Arch, de biztonsági kérdésekről nem tudok mást gondolni, mint hogy nem lehet közük 1500 malware-hez még közvetve sem. A te cégednek sem szeretnél egy ilyet, lekapcsolnád azonnal. Függetlenül attól, hogy mi van a disclaimer-ben, mert az Arch projekt nem terjeszt malware-eket a saját infrastruktúrája segítségével (az Ubuntu sem fog), ők felelős, meghatározó szereplők, akik példát mutatnak security kérdésekben. És ők is így gondolják, tettek is ellene, dolgoznak a problémán.

És csak hogy mennyire is felelős szereplők: Mi a helyzet amúgy a Manjaróval, EndeavourOS-szel, CachyOS-szel, akár a Steam Deckkel, és az összes többi Arch alapú distróval? Ők csak használják az Arch által hosztolt platformot, igaz? Nem ők üzemeltetik. Vagyis a felelősség nem oszlik szét rajtuk, ott marad a hostnál. És erre egy egysoros disclaimert mutogatni 1500 malware esetén elég sovány válasz. Nem hibáztatom az Arch-ot, felelősség != vétkesség. De ez szívás nekik.

szamomra az a tamogatott, ahova bele fejlesztenek (pl egy cve miatt belerakjak/visszaportoljak a fixet). az hogy hostoljak az nem tamogatas, hanem csak segitseg (nekem is hostolja az ubuntu ppa a repokat, megse tamogat semmiben). ahogy az is hogyha kaki van akkor segitenek a repokat kitisztitani. (azt is csak a reputacio miatt). 

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Ezt te tudod, és elfogadom, ahogy értelmezed, de én nem így látom: nekem a "támogat" szónál nincsenek olyan kitételek, hogy Arch esetén csak belefejlesztést vagy CVE-ket jelentene, és sehol nincs leírva, hogy ezt ne támogatnák. Ha pedig abból indulunk ki, hogy hostolják, ők írják a szabályokat és ők tartják fenn az egészet - ami pont a támogatás része szerintem -, akkor szerintem ezt nehéz is máshogy értelmezni.

a csomag örökléssel az AUR-ban (bár nem tudom, az hogy működik)

Van egy AUR felhasználó, aki készít egy csomagot (mind külön git repo). Egy idő után magára hagyja valamiért. Érkezik rá másik felhasználótól elavult jelölés, ha a csomagnak van új verziója, vagy patch kell neki, hogy friss rendszeren leforduljon. Nem reagál rá a gazdája. Ekkor lehet igényt bejelenteni, hogy te örökbefogadnát ezt a csomagot (git repot). Ezt az igényt egy trusted user(most már package maintainernek átnevezve) elbírálja. Megnézi van-e alapja, tényleg magára van-e hagyva a csomag, a jelenlegi gazdája elérhető-e, reagál-e a kapcsolat keresésre, mit nyilatkozik mi a szándéka. Ezek alapján helyt ad az örökbefogadási kérésnek, vagy elutasítja azt. Ha elfogadja az igénybejelentő kapja meg a repot, övé a csomag.

Annyira nem olyan sétagalop amúgy. Régen volt egy csomag az AUR-ban, amit használtam, de folyamatosan baj volt vele, későn érkeztek az updatek, sokszor nem fordult le, mert patch-elni kellett, stb. Írtam a karbantartójának, de nem reagált. Aztán írtam örökbefogadási kérelmet, hogy szívesen átvenném a fentiek miatt. Ráadásul korábban már voltam is karbantartója annak a csomagnak (git history-ban nyoma van), de váltottam Archról, ezért magára hagytam, aztán az ALARM miatt megint használni kezdtem a csomagot, de addigra már volt ez az új karbantartója. Mindezek ellenére is elutasították a kérelmem, mert az indoklás szerint a jelenlegi karbantartójának szándéka van rendbe tenni a csomagot, gondolom nekik reagált a megkeresésre. 

( Raynes v | 2026. 06. 13., szo – 04:45 )

Na, úgy néz ki, hogy úrrá lettek Archék a helyzeten, de 1579-re bővült az érintett csomagok listája, mák, hogy egyiket sem használom. Ez az összes AUR csomag 1,38%-a, de még így is lehetnek csomagok, amiket nem szúrtak ki. Az a szerencse, hogy ezek ritkábban használt csomagok, azért nem is frissítette őket az eredeti maintainer, de azért ez veszélyesen közel volt, hogy óriási kárt okozzon.

“Linux isn't an OS, it's a troubleshooting sim game.” (a YouTube commenter)

( esencoj | 2026. 06. 14., v – 12:54 )

Sziasztok,

Olvasgattam az AUR-csomagok biztonságával kapcsolatos szálat, és a technikai kihívások alapján én is elkezdtem gondolkodni egy olyan "hátországi" megoldáson, ami nem igényel eBPF-et vagy bonyolultabb külső függőségeket.

A célom az volt, hogy a PKGBUILD-ek futtatása közben ne lehessen érdemi adatkiszivárogtatást (exfiltrációt) végrehajtani. Ehhez a Linux kernel beépített Landlock LSM-jét használtam fel (illetve Namespace-alapú tartalékot a régebbi kernelekhez).

Összeraktam egy dcc-shield nevű, függőségmentes wrapper eszközt, ami egy statikus Go bináris. Ez lényegében "default-deny" állapotba kényszeríti a hálózati hozzáférést a telepítési folyamat alatt. A paru/yay build-szkriptjei így hiába próbálkoznak hálózati hívással, a kernel szinten elakadnak.

Nem csodaszer, de a "Digital Causal Closure" elve alapján az exfiltrációs láncot képes megszakítani.

A forráskód és a tesztszkriptek (amivel bárki ellenőrizheti, hogy valóban blokkolja-e a hálózati kéréseket) elérhetőek itt: https://github.com/LemonScripter/dcc-shield

Érdekelne a véleményetek a megvalósításról, különösen a Landlock-szabályok hatékonysága kapcsán. Ha látok benne érdemi technikai kockázatot, szívesen várom a review-kat.

( trey | 2026. 06. 14., v – 13:37 )

Funfact: "Rust-based malware"

trey @ gépház

( salaud v | 2026. 06. 14., v – 22:05 )

Ez a hozzászólás az összes idiótabarátnak szól, aki szerint az AUR-t be kéne zárni, mert nem biztonságos:

  1. Soha, senki nem állította hogy biztonságos. Nem is tanácsolja senki a használatát.
  2. Nem kötelező használni. Ha mégis megteszed, te felelősséged.
  3. Ha hülye vagy, ne használd. Ha mégis használod és beszopod, te vagy a legfőkeppen hibás.
  4. Olyan ez mint egy fegyver. Ha nem tudod használni biztonságosan, előbb utóbb fejbelövöd magad. 

Nem kell ez a faszság. Gyűlölöm ezt a sok hülyebiztos marhaságot, a mikróba ne tegyél macskát, a kávé forró, a légzsák pofánbasz a kirobban, a tükörben a dolgok kisebbek, stb-stb... hagyni kéne az idiótákat megdögleni.

Fel kéne fogni, az Arch nem idiótáknak való. Mari néni használjon ubutu-t, linspire-t, windows-t, apple terméket.

Az AUR azoknak készült, akik képesek maguknak lefordítani egy csomagot, csak nem akarnak félórát elszarni azzal, hogy mi a függőség ami kell hozzá stb.
Viszont egy ilyen tudású emberről már feltételezzük, el tud olvasni egy sima szöveges fájlt, amiben le van írva, mi fog történni a script futtatásakor.
Ha nem képes, lásd  feljebb.

A Linux nem ingyenes. Meg kell fizetni a tanulópénzt. / Az emberek 66 százaléka nem tud számolni! Gondoljatok bele, ez majdnem a fele!! / Mindenki jó valamire. Ha másra nem, hát elrettentő példának. /  "Az udvariasság olyan, mint a nulla a számtanban. Egymagában mit sem jelent, de sokat változtat azon, amihez hozzátesszük." - Freya Stark 1893 - 1993

Azért ezt nem eszik szerintem ilyen forrón. Szerintem az a tároló, ami hemzseg a malware-től (400-nál is több user csomagot fertőztek meg, amiről tudnak, ha jól értem, és a becslés 1500 db is lehet), az nem "szakértőknek" való, az idiótákkal szemben, hanem az jelenleg sz*r.

aki szerint az AUR-t be kéne zárni, mert nem biztonságos

Bezárni csak akkor kellene, ha nem tudják jól megcsinálni.

Fel kéne fogni, az Arch nem idiótáknak való. Mari néni használjon ubutu-t, linspire-t, windows-t, apple terméket.

Ez nem az idióták, nem idióták védelméről szól, hanem nagyon ciki, hogy létezik egy ilyen, ahol X-száz fertözött csomag van, az Arch meg hostolja is.

Tehát az Arch jelenleg nem a "profi" kategóriába tartozik ezzel sajnos, amit a profi userek használnak, hanem ez pont hogy nagyon-nagyon kellemetlen. Mindenki eldöntheti, hogy mennyire profi a dolog.

Azért sem az "idióta" userek a hibásak, mert egy elhagyott csomag megtartja a nevét, history-ját, és a felhasználói bizalmat, és a build utasítások meg más kezébe kerülnek. A user meg megcsinálja azt a telepítést, amit eddig is megcsinált, minden ismerős neki, bízik benne. És még lehet hogy az elején bele is nézett a package-be, de most az X-edik alkalommal csak buildel.

Az AUR azoknak készült, akik képesek maguknak lefordítani egy csomagot, csak nem akarnak félórát elszarni azzal, hogy mi a függőség ami kell hozzá stb.

És mondjuk a kártékony kód nincs nyíltan a PKGBUILD-ben. Az csak behúz egy npm csomagot vagy egy post-install hookot, aminek a tartalma egy lépéssel arrébb van. Tehát hogy valaki buildel magának, és hogy tényleg végignézi, mi fut le (minden frissítésnél), az két külön kategória.

Itt egy jó leírás, érdemes elolvasni: https://www.redsecuretech.co.uk/blog/post/aur-malware-attack-400-packag… részletes, és érdekes, hogy ők is azt írják: ez nem szoftveres sebezhetőség, nincs CVE, nincs patch. A támadás azért működik, mert maga az AUR bizalmi modellje ilyen. Vagyis a modell a hibás.

Akárhogy is, az Arch linux az érintett, nem az Ubuntu. Lehet hogy most az Ubuntut pont a profi user választja (nem csak Mari néni), azért itt nagyon megszólal a vészcsengő, hogy is van ez a disztró, kellemetlen ez az Arch-ra nézve. Ugye az aur.archlinux.org az Arch linuxhoz tartozik, és ott vannak kártékony dolgok. 

A profizmus szerintem nem azt jelenti, hogy kézzel is tudsz fordítani, és mindent kézzel ellenőrzöl, hanem azt, hogy biztonságos, jól architekturált rendszereket és automatizmusokat építesz, és az AUR az Arch linuxban most éppen nem ilyen.

A user meg megcsinálja azt a telepítést, amit eddig is megcsinált, minden ismerős neki, bízik benne. 

Tehát hülye

És mondjuk a kártékony kód nincs nyíltan a PKGBUILD-ben. Az csak behúz egy npm csomagot vagy egy post-install hookot, aminek a tartalma egy lépéssel arrébb van. Tehát hogy valaki buildel magának, és hogy tényleg végignézi, mi fut le (minden frissítésnél)

Ismétlem, tehát hülye. Én ezen a gépen 5 AUR-ból származó csomagot használok. Minden frissítéskor ellenőrzöm a pkgbuild-et, figyelem a lefutást. Mert le van írva, nem biztonságos. Az AUR nem az Arch része, ez egy plusz, nem biztonságos extra. Aki ebben bízik az hülye.

Az egész AUR arról szól, hogy a te kis otthoni gépeden úgy baszol el valamit, ahogy akarsz. Megadja a szabadságot a felhasználónak, hogy ha akar, legyen hülye. Te meg papolsz itt profizmusról, meg biztonságos, jól architekturált rendszerekről és automatizmusról.

Az AUR-ral kombináltan használt Arch egy otthoni homokozó, nem egy fortknox.

És hogy ezt te nem érted és az Arch hibájaként látod és őket vonnád felelősségre és tilcsukbemerrósz, az meg a te bizonyítványod felmutatása.

A Linux nem ingyenes. Meg kell fizetni a tanulópénzt. / Az emberek 66 százaléka nem tud számolni! Gondoljatok bele, ez majdnem a fele!! / Mindenki jó valamire. Ha másra nem, hát elrettentő példának. /  "Az udvariasság olyan, mint a nulla a számtanban. Egymagában mit sem jelent, de sokat változtat azon, amihez hozzátesszük." - Freya Stark 1893 - 1993

Attól hogy te az átlag user lehülyézed, a rendszer még nem lesz jó. Egy olyan biztonsági modell, ami csak akkor működik, ha mindenki, mindig maximálisan éber, az a definició szerint gyenge biztonsági modell.
Ez nem arról szól, hogy hülyék a userek, ha nem éberek, hanem arról, hogy a rendszernek ez a része szar.

Egy dolgot azért tegyünk hozzá. Te most egyszerre állítod, hogy az AUR annyira veszélyes, hogy aki nem auditál kézzel minden frissítésnél, az hülye. És hogy ez egy profi eszköz, amit te nyugodtan használsz. Ez a kettő üti egymást, nem? Ha egy forrás biztonságos használatához az kell, hogy te személyesen, minden telepítésnél kézzel átnézd a forráskódot, mert maga a rendszer nem véd meg, akkor az nem éppen a rendszer profizmusát dicséri.

Minden frissítéskor ellenőrzöm a pkgbuild-et, figyelem a lefutást.

https://www.bleepingcomputer.com/news/security/arch-linux-pulls-aur-pac…
Főleg, amikor a telepítés további csomagokat húz le, például git-ről. A PKGBUILD-ben a hivatkozásokat látod, azt, hogy a mögötte lévő repo-ban mi van, neked nem derül ki.
Ha a git repo meg úgy van linkelve, akkor a PKGBUILD érintése nélkül is változhat a tartalma. (És vigyük tovább, nem arch linux specifikus, nem AUR problémakör, zárójelbe is teszem, de a build folyamat maga is elég bonyolult tud lenni, gyakorlatilag bárhol elbújhat valami. Nem csak a fő forrást húzza le, hanem generált build-szkripteket, almodulokat, tesztadatokat is - és ezek bármelyike futhat build közben. Itt egy klasszikus példa az xz/liblzma backdoor.) Ezzel csak azt akartam mondani, hogy sok sikert arra, hogy figyeled a futást. Hidd el, hogy vannak kreatív emberek, elég bátor dolog egy köztudottan problémás repoból telepítgetni, és bízni abban, hogy nincs valami olyan ötletük, amit te ne vennél észre.


Az egész AUR arról szól, hogy a te kis otthoni gépeden úgy baszol el valamit, ahogy akarsz.

Végül is ezek credential stealerek: böngésző-cookie, SSH-kulcs, GitHub token, Discord session és más belépési adatok lopása fejlesztői gépekről - plusz egy eBPF rootkit, és valószínűleg egy monero-hoz kötött miner. Ez nem "elbaszod a saját homokozódat". Ez kiszivárgott kulcs, amivel bemennek a munkahelyi repódba, a felhődbe, mások rendszerébe. A "csak magadnak ártasz" érv pont akkor omlik össze, amikor a payload kifejezetten arra készült, hogy túlnyúljon a gépeden.


Az AUR nem az Arch része

aur.archlinux.org. Arch infrastruktúra, Arch domain, és az Arch csapatának kellett resetelnie a tartalmat és bannolnia az accountokat. A hivatalos tooling (makepkg) köré van építve, a wiki linkeli. Nem az Arch része? (de). A "nem az Arch része" az egy support-disclaimer.

És hogy a végét tisztázzuk: nem azt mondtam, hogy tiltsák be. Azt mondtam, "bezárni csak akkor kéne, ha nem tudják jól megcsinálni". Szeretheted a szabadságot, és közben elismerheted, hogy a jelenlegi állapot szar; a kettő nem zárná ki egymást. Én az ellen szóltam, hogy itt ezt "profi eszköznek" állítsd be, a userek meg hülyék. Mert most épp nem profi eszköz, hanem egy teher, amit az Arch a nevén hostol. A userek meg nem hülyék.

Valaki feltöltötte azt a malware-t, az Arch infrastruktúrája szolgálta ki, és a trust-modell meg szuperül engedi, hogy egy adoptált csomag örököljön mindent. Ebben a sorban a user ébersége az utolsó védvonal kellene hogy legyen, biztos nem az első, ahogy most van.

Az AUR egy felhasználóktól származó recept gyűjtemény. A közösségtől a közösségnek. Szerintem ezt nem lehet biztonságossá tenni, csak úgy ha nem a közösségtől lesz a közösségnek. Van ilyen is, az az Arch hivatalos csomagtárolója. 

A közösségen múlik, hogy ne legyen malware gyűjtemény, csak a közösség úgy látszik, hogy random fórumokon jobban szeret habzani, mint hozzájárulni a dologhoz.

Ha jól emlékszem van valamelyik AUR helper, amelyikben be lehet állítani, hogy csak bizonyos pontszámú (sokak által használt, népszerű, many eyeballs) csomagot buildeljen automatikusan, a noname kevés, vagy nulla pontosokat meg ne, kényszerítse ki a manuális buildet. Ennél többet egy ilyen projectnél mit lehet tenni?

Szerintem sajnos így nem maradhat 400+ malware-rel (ki tudja hogy tartunk).

A legkézenfekvőbbnek tűnik ha azt mondják, hogy ők nem hostolják, oldja meg a community. - És akkor váljon az AUR azzá "önszerveződően", ami, vagy amivé tud. Ennek megfelelően is fogják majd kezelni a userek. Te írtad fentebb: "1 db package maintainerre jut 1555 csomag és 2058 felhasználó." - az AUR jelenleg akkor "ez". Nem kell egy mesterséges Arch támogatással életben tartani, és nem feltétlen a felvirágzásra kell számítani. 

Ha többlépcsős ellenőrzést vezetnek be, az is egy segítség lehet, vagy ha a maintainer váltást kidolgoznák és kezelnék rendesen (a mostani probléma, hogy egy elhagyott csomag adoptálásakor az új maintainer örökli a nevet, a historyt és a felhasználói bizalmat, miközben a build script már az övé). De ha nem megy, akkor szerintem nem kell erőltetni.

Az sem működik, hogy nem tudjuk rendesen megcsinálni, ezért támogatjuk.

Update #1: Egyébként nem az Arch linuxxal van a problémám, szerintem egy nagyon jó disztribúció, rengeteg dolog kiemelten jó benne, ha félreérthető lenne, amiket írok.

Update #2: Bár lehet, hogy tévedek, ez az egész lehet egy mélyebb probléma is - jelenleg van egy hely, ahol egyáltalán észrevehetik és kezelhetik a malware-t. Egy szétszórt, "oldja meg a community" felállásban még ez a rálátás is könnyen elveszhet. - szóval veszélyes ez, ha nem jó irányba megy. Lekapcsolás esetén a userek kevésbé átlátható helyről szedhetik ugyanezt. És minden az Archon csattan, a disztribúcióról van egy összkép a végén. - Nem irigylem őket.

Az Arch támogatása kb annyi, hogy hostolja a cuccot, ami még mindig jobb, mint 100 akármilyen gyűjteményből mazsolázni. A package maintainer az nem a csomag gazdája, úgy képzeld el, mint egy admin. Nem tudom miért nevezték át amúgy a trusted usert, így félreérthető, hogy ki is ő.

Egy olyan biztonsági modell

Ez nem egybiztonsági modell. Ezt csak te állítod. Én folyamatosan azt írom, nem biztonságos.

Te most egyszerre állítod, hogy az AUR annyira veszélyes, hogy aki nem auditál kézzel minden frissítésnél, az hülye. És hogy ez egy profi eszköz,

Én nem írtam sehol, hogy ez egy profi eszköz, mi több, pontosan az ellenkezőjét állítottam.

A PKGBUILD-ben a hivatkozásokat látod, azt, hogy a mögötte lévő repo-ban mi van, neked nem derül ki.

Amikor olvasom a PKGBUILD-et, lekövetem a külső hivatkozásokat és ha pl az ismeretlen forrásra mutat, nem telepítem a csomagot. Vagy kicserélem a hivatkozást a csomag/git repo "hivatalos" címére. Mert tudom, hogy az AUR nem egy netx->next->finish telepítő.

Én folyamatosan azt állítom, hogy ez egy nem megbízható forrás, az Arch is ezt állítja. TE meg folyamatosan az ellenkezőjét bizonygatod. Ide most nagyon szeretném belinkelni neked Pepe és Kapa beszélgetését a fütyülésről, de megsértődnél, mert nem értenéd. Menj, vedd ki a macskát a mikróból, fújd meg a kávét mielőtt iszod, és óvatosan a tükörrel...

A Linux nem ingyenes. Meg kell fizetni a tanulópénzt. / Az emberek 66 százaléka nem tud számolni! Gondoljatok bele, ez majdnem a fele!! / Mindenki jó valamire. Ha másra nem, hát elrettentő példának. /  "Az udvariasság olyan, mint a nulla a számtanban. Egymagában mit sem jelent, de sokat változtat azon, amihez hozzátesszük." - Freya Stark 1893 - 1993

mi az AUR hozzáadott értéke Átlag Jóska számára?

Megkönnyíti a hivatalosan nem támogatott csomagok telepítését.

 

használható az Arch napi munkára vagy egy "csak önmagáért levő hobbi" mint mondjuk egy pályamotor?

 

Természetesen használható. Ha munkára használod, akkor persze célszerű az AUR csomagok használatát minimalizálni. (AUR nélkül is teljes mértékben használható az arch, nekem talán egyedül az opera volt fent egy ideig AUR-ból miután kiesett a hivatalos csomagok közül). 

Ez nem egybiztonsági modell. Ezt csak te állítod. Én folyamatosan azt írom, nem biztonságos.

Egy package kezelőnek van biztonsági "modellje", akkor is, ha maximum az, hogy "nincs neki". Jelen esetben az, erre támaszkodik ez az egész megoldás, hogy te kézzel ellenőrzöd a csomagokat, meg hogy kiírták, hogy nem vállalnak felelősséget. Ennyi a biztonsági modellje.

Én nem írtam sehol, hogy ez egy profi eszköz, mi több, pontosan az ellenkezőjét állítottam.

Igen, nem azt állítottad, hogy profi eszköz, hanem azt, hogy csak profik használják, a többiek meg menjenek és telepítsenek windowst vagy ubuntut. Mari néni. Hagyjuk már ezt az Arch useres magas lóról nézést, hogy vannak az értelmes userek, akik egy "komoly toolt használnak, lásd éles kés, vagy hasonló", és vannak a hülye userek, akik "használjanak kanalat, azzal nem sérthetik meg magukat". A fegyver analógiát is szerintem te írtad, ne nevessünk már. Én erre reagáltam. A többi disztribúcióban jelenleg nem tudunk róla, hogy ekkora cirkusz menne.

Amikor olvasom a PKGBUILD-et, lekövetem a külső hivatkozásokat és ha pl az ismeretlen forrásra mutat, nem telepítem a csomagot. Vagy kicserélem a hivatkozást a csomag/git repo "hivatalos" címére. Mert tudom, hogy az AUR nem egy netx->next->finish telepítő.

Még egyszer: Ez jelenleg komolytalan dolog, hogy te kézzel buzerálod a csomagokat telepítés előtt. Ez az egész egy geek dolog, nem egy komoly megoldás. Illetve nem is az AUR-t hívom komolytalannak, hanem azt, hogy a minden frissítés előtti kézi forráskód-átírást te normál működésnek állítod be.

Nincs miről beszélni, én végig azt mondom, hogy a helyén kellene kezelni, akár lekapcsolni. A biztonsági szempont fontos dolog, és remélem soha nem leszek arra szorulva, hogy egy olyan rendszert használok, ahol az a védőháló, hogy te átnézted a csomagot (nem miattad, ezzel nem a te szakértelmedet akarom kétségbe vonni). Az maximum egy kiegészítés lehetne. De jó szórakozást a telepítésekhez.

az Arch is ezt állítja.

Akkor mit szórakozik vele?

Ide most nagyon szeretném belinkelni neked Pepe és Kapa beszélgetését a fütyülésről, de megsértődnél, mert nem értenéd. Menj, vedd ki a macskát a mikróból, fújd meg a kávét mielőtt iszod, és óvatosan a tükörrel...

Ne már. Én is be tudnék neked linkelni pár dolgot, de ne menjünk ebbe az irányba. Szerintem hagyjuk a személyeskedést. Rendben?

Jó, mondjuk a hup-ról osztani az észt nagyon könnyű, és nem is akarom folytatni. Ez a probléma sokkal messzebb mutathat annál az Arch szemszögéből, minthogy malware támadásnak van kitéve az AUR. Nyilván nem egyszerű ennek a megoldása, pont az Arch helyzete, és lehetőségei miatt, amiatt, hogy mi az Arch, az Arch userek miatt, és még jobban félre is mehet ez a dolog. Szóval nem mondom, hogy löjjék le az egész AUR-t, remélem jól meg tudják majd oldani. A jelenlegi helyzet viszont szomorú, így nyilván nem maradhat azzal a felkiáltással, hogy aki hülye az megérdemli. "Meg hogy vedd ki a macskát a mikróból, és ne használj Arch linuxot mert hülye vagy hozzá." Ne már. :)

Újra elmondom. Az Arch linux teljeskörűen, biztonságosan használható az AUR nélkül, ami alapértelmezetten nem elérhető. Mi több, az AUR használatához tenni kell, nincs alapértelmezetten bekapcsolva, mi több u.n. AUR Helper csomagkezelőt kell telepíteni hozzá, külső forrásból, illetve elég bonyolult módon lehet pkgbuil scriptet futtatni manuálisan. AKARNI kell és TENNI érte. Ez egy lehetőség, amivel nem ajánlott és nem kötelező élni.

Ráadásul az Arch linux eleve a kissé hozzáértőbb felhasználóknak készült, a telepítés sem egy ubuntu/suse/fedora/debian grafikus next->next->finish. Ezek után van a "power user" felhasználóknak készült AUR, amire sehol, senki nem hivatkozik biztonságos, támogatott, szoftverforrásként, mi több nem ajánlják a használatát.

Na, ezek után ha valaki mégis használja az AUR-t és beszopja, akkor így járt. A két felelős a malaware feltöltője és a felhasználó.

Nem tetszik a személyeskedés? Ne adj szavakat más szájába, ne állíts valótlanságokat, ne terelj. Én Arch felhasználó vagyok, te hallottál róla. Az én véleményem tapasztalati tényeken alapul, a tiéd pedig a kívülálló hőbörgése.

A Linux nem ingyenes. Meg kell fizetni a tanulópénzt. / Az emberek 66 százaléka nem tud számolni! Gondoljatok bele, ez majdnem a fele!! / Mindenki jó valamire. Ha másra nem, hát elrettentő példának. /  "Az udvariasság olyan, mint a nulla a számtanban. Egymagában mit sem jelent, de sokat változtat azon, amihez hozzátesszük." - Freya Stark 1893 - 1993

Figyelj, ezt engedd már el. Azt a hülyeséget nem tudom honnan vetted az elejétől, hogy én csak hallottam róla.  Itt nagyon sokan - többek között én is - használtam arch linuxot, aur-t is. De ez tök mindegy is. Sőt más rendszert is, ami alapján van összehasonlítási alapom, és alapelvekről beszélek. A build szkripteket is át tudom nézni. (és pontosan tudom, hogy miért nem biztonságos csak erre alapozni.)  Szerintem itt a fórumon a hozzáértéssel sincs semmi gond, 20+ éve használnak linuxot az emberek, általában az IT-ban is dolgoznak, ne hidd, hogy bárkinek gondot fog okozni akármelyik disztribúció használata, vagy annak megértése, hogy mi az AUR. Pont a userek mellett álltam ki, hogy kicsit erős a "hülye user" beszólás, az arch linuxos felsőbbrendűségi dolgokat én a Chuck Norrisos vicc kategóriába sorolom.  Két idegen ember vitatkozik, hogy ki mihez ért, kicsit nevetséges, ahelyett, hogy ne néznék hülyének a másikat, ami alap lenne.

A vitáról: attól, hogy nem alapértelmezett és akarni kell hozzá, még igaz marad, hogy egy adoptált csomag örökli a bizalmat, és emiatt a rutinból frissítő, amúgy hozzáértő user is átverhető - pont ezért nem user-hibáról van szó.

És szerintem te nagyon félreértettél: Összefoglalom, amit megértettem abból amit írsz: "Semmi gond a mostani működéssel, minden jó ahogy van, a user a hülye."
(Amihez egy dolgot hozzáteszek: a malware feltöltővel meg ugye nem tudunk mit csinálni, azok sajnos adottak, ahol van rá lehetőségük.) Közben 400+ malware terjed az AUR-on keresztül jelenleg. Ez szerintem meg sehogy nem jó, függetlenül attól, hogy ki mennyire power user.

Én azt mondtam, hogy így ahogy most van, nem jó, és nem elég annyit mondani, hogy "hülye a user, haljon meg". Hanem valamit ezzel csinálni kell, akár lezárni az egészet, amíg megoldódik. Mi is a probléma ezzel? Szerinted nem így van?

kicsit erős a "hülye user" beszólás

Kicsit erős? Ügyfeleztél te már valaha? Voltál már helpdesk, belsős IT-s? Az emberek minimum 70%-a funkcionális analfabéta ÉS hülye.

 arch linuxos felsőbbrendűségi dolgok

Milyen felsőbbrendűség? Van egy disztribució, ami saját bevallása szerint sem az átlagusernek készült, hanem a hozzáértőbbeknek. Ebben mi a felsőbbrendű? Anyám boldogan használ egy ubuntut, talán még fel is tudná telepíteni, Arch-ot eszembe sem jutna a keze alá adni. Ettől én mitől leszek felsőbbrendű?

igaz marad, hogy egy adoptált csomag örökli a bizalmat, és emiatt a rutinból frissítő

AUR csomagot nem frissítünk rutinból, mert nem megbízható, ergo nem létező bizalomról beszélsz. Ismét.

 

Szerinted be kéne zárni az AUR-t, amit te nem használsz, mert pár hülye rutinból frissített és beszopott valamit. És ne tiltakozz, a fórumszálban többször írtad, had ne idézzek már minden mondatot. Az tény, az aurba malaware terjesztő pkgbuild-ek kerültek fel rosszindulatú egyének által. Csinálni kéne valamit ezzel? Igen. Kitakarítani, és kissé ellenőrzöttebbé tenni, nem megszüntetni. És itt kiszálltam a témából, továbbiakban igyekszem nem válaszolni. 

A Linux nem ingyenes. Meg kell fizetni a tanulópénzt. / Az emberek 66 százaléka nem tud számolni! Gondoljatok bele, ez majdnem a fele!! / Mindenki jó valamire. Ha másra nem, hát elrettentő példának. /  "Az udvariasság olyan, mint a nulla a számtanban. Egymagában mit sem jelent, de sokat változtat azon, amihez hozzátesszük." - Freya Stark 1893 - 1993

Két dolog, aztán részemről is elég volt.

A bezárás: soha nem azt mondtam, hogy szüntessék meg. Én azt írtam, hogy "bezárni csak akkor kéne, ha nem tudják jól megcsinálni". (nem hostolni tovább.) Nyilván nem zársz be valamit, ami működik. Ami meg nem javítható, az döntés kérdése.
Most meg azt írtad: kitakarítani, ellenőrzöttebbé tenni, nem megszüntetni. Hát ez pont az, amit én is mondok. Nincs is min vitázni, csak kellett egy szalmabábu.

A felsőbbrendűség: nem a disztró választása az, hanem a hangnem. A személyeskedés, a "macskámat mikrózom", meg a „Mari néni menjen ubuntuzni”, "aki beszopja, így járt", és "aki hülye haljon meg". Azt hiszem, én nem így kezdtem. Nem az a baj, hogy az Arch a hozzáértőbbeknek szól, ezzel senki nem vitatkozott. Az a baj, hogy ebből nálad az jön, hogy aki áldozat lett, az hülye. Erre mondtam a Chuck Norrist, hogy neki az AUR-on nincs 400 malware, mert bújkálnak előle. :)

A többiben szerintem nagyrészt egyetértünk. Viszlát a következő szálban.

Félreérted. Én nem úgy értettem, hogy örökre kell bezárni az AUR-t, hanem most kéne csak egy pár napra. Most se úgy, hogy elérhetetlen legyen az egész, csak új pkgbuildeket ne lehessen egyelőre feltölteni, meg maintainerséget átvenni, amíg meg nem reformálják az oldalt, hogy ne lehessen ezekkel visszaélni a jövőben. Így jelenleg a széllel szemben hugyoznak, gyomlálják kifelé a malware-es pkgbuideket, de amennyit kiirtanak, annyi új keletkezik is, mert folyamatosan jönnek ezek. Valamit tenni kell ez ellen, át kell tervezni a rendszert.

“Linux isn't an OS, it's a troubleshooting sim game.” (a YouTube commenter)

Ez tök szép elképzelés, és amúgy támogatom is - de az AUR-nak ez az első komoly támadása. Lehetségesnek tartom, hogy ezekre a feladatokra egyáltalán nincs technológiailag felkészítve a rendszer (globálisan read-only -vá tenni az AUR scripteket tároló repókat, override-olni a maintainer-eket) és jelenleg egyáltalán ezeknek az átgondolása, fejlesztése zajlik. Ez meg nem gyors folyamat, és nem lehet siettetni, mert akkor csak rossz megoldások születnek.
A GitHub is pl akkor készült fel ilyesmikre, amikor az első malware feltöltések voltak. Előtte vadnyugat volt ott is.

Az áttervezés része viszont érdekesebb kérdés. Elvileg pl van lehetőség a PKGBUILD-eket kriptográfiailag védeni PGP kulcs aláírással, csak kevés maintainer élt eddig vele. Ezen a vonalon érdemes lehet elindulni, mert ez már most is benne van a rendszerben, nem sok fejlesztés lenne mondjuk kötelezővé tenni, és ellenőrizni az AUR-t használó eszközöknél (nem a makepkg-nál, hanem ami letölti az AUR-ból a git csomagokat) a PGP aláírás. Plusz, mondjuk kötelezővé tenni a PGP signed commitokat, és validáltatni pushnál, hogy csak a maintainerek PGP kulcsával szignózott commitok jöhetnek.

És igen, ezt is ki lehet játszani, persze. Mindent ki lehet, de még jelenleg ez tűnik a legtriviálisabb útnak, mert nem igényel annyira komoly fejlesztést technológiai oldalról, és mert az alapjai már ott vannak a rendszerben. És nem riasztaná el nagyon a meglevő maintainereket a további munkától sem (meg kell akadályozni, hogy ez egy tömeges csomag-elgazdátlanodáshoz vezessen mert mondjuk túlbonyolítják a biztonságot - az sokkal nagyobb kárt tehet).
Nagyon nem egyszerű kérdés ez, és én tökre megértem, hogy az Arch csapat nagyon alaposan át akarja ezt gondolni, és egy jó döntést akarnak hozni.

Amúgy meg a jó murva édes anyját annak, aki ezekre élvezkedik. Utálom az összes ilyet, mert az ilyen pincelakó patkányok miatt van már  mindenhol 423 faktoros authentikáció meg körbeszopatás biztonság címszó alatt. Nagyon remélem, hogy előbb-utóbb ezek köztörvényes bűnök lesznek minden országban és lesz hatékony mód ezeknek a lecsukására. Ez nem olyan nagyon sokkal kisebb bűn, mint a gyilkosság.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

( gabrielakos v | 2026. 06. 15., h – 09:52 )

Érdemes a PR és az IT aspektust elkülöníteni. PR szempontból ez ez katasztrófa mindenképpen. Nem értek az AUR-hoz (sem) így pl. nem tudom hogy mit tud az Arch disztribúció "AUR nélkül". 

IT szempontból pedig azt a kérdést tenném fel hogy vajon ezeket a malware-eket nem lehetne-e "submission time" szűrni? Például az alapján ahogyan most rájöttek hogy baj van. 
Valid az a válasz hogy: nem lehet, nincs rá pénz... ez esetben biztosan nulla értelme van az AUR tárolót jelen formájában fenntartani.

a malware-eket nem lehetne-e "submission time" szűrni? > nem feltetlen, mert a supply chain attack jellemzoje, hogy valamelyik dependenciaba kerul bele. az aur igazabol nem sokkal tobb, mint egy curl | bash scriptgyujtemeny hosting.

pl: :-)

#!/bin/bash -e
# Maintainer: Ľubomír 'the-k' Kučera <lubomir.kucera.jr at gmail.com>
# Contributor: Pierre Schmitz <[email protected]>
pkgname=openssl-1.1
_pkgname=openssl
_ver=1.1.1w
# use a pacman compatible version scheme


olyat meg nem csinalunk :)
eddig nem volt soha nagyobb baj (leglabbis nem tudjuk...), igy ki is bukott, hogy hat ez megse annyira fasza igy ebben a formaban :)

IT szempontból pedig azt a kérdést tenném fel hogy vajon ezeket a malware-eket nem lehetne-e "submission time" szűrni?
De hát szűrik! Az AUR-ből az ellenőrzött, szűrt csomagok kerülnek át a hivatalos extrába.

Az Ubuntu talán folyamatosan ellenőrzi az összes ppa-t? Vagy a Gentoo a guru-t? Nem, ezeket a felhasználók tartják karban, nem a disztró fejlesztői (ők max csak átvesznek ezekből a hivatalosba, és majd csak onnantól nézik a csomagot, de addig nem).

( Raynes v | 2026. 06. 20., szo – 06:19 )

Sajnos Archéknál a kommunikáció most se megy. A hírt is 2 nappal a támodások megkezdése után tették ki a főoldalra, azóta se semmi hír, hogy mik a terveik a jövőre, milyen korlátozásokat vezetnek be ez ellen, hogy ne fordulhasson újra elő. Megy megint a kínos hallgatás a fingszagban.

Annyit userek kiderítettek, hogy regisztrálni az AUR-ra nem lehet egyelőre, de ez se elég, mert lehetnek még alvó támadó regek.

“Linux isn't an OS, it's a troubleshooting sim game.” (a YouTube commenter)

( bzt | 2026. 06. 20., szo – 10:40 )

le kéne zárni az AUR-t pár napra, míg nem találnak ki valamit.
Én nem úgy értettem, hogy örökre kell bezárni az AUR-t, hanem most kéne csak egy pár napra. Most se úgy, hogy elérhetetlen legyen az egész, csak új pkgbuildeket ne lehessen egyelőre feltölteni, meg maintainerséget átvenni, amíg meg nem reformálják az oldalt, hogy ne lehessen ezekkel visszaélni a jövőben.
Pontosan ez történt, letiltották az új reget, amíg urrá nem lesznek a helyzeten.
https://lists.archlinux.org/archives/list/[email protected]/thread/4JRS73YVTE7JUYHHE3ZDUIHXYHXZ3YQQ/

Gyanítom, majd csak akkor fogják újra engedélyezni, ha lesz mellé egy útmutató, egy gondosan kidolgozott menetterv a repók átvételére, hogy a jövőben ne fordulhasson elő ilyen.
A hírt is 2 nappal a támodások megkezdése után tették ki a főoldalra
Igen, nagyon úgy tűnik, a levlistát tekintik elsődleges hírforrásnak. Azért ez manapság már nem menő, bár szerintem LKML örökség, gondolták ha a Linuxnak elég jó, akkor a Linux disztrónak is jó kell legyen.
Ennyire nem követem napra pontosan, de nem azt írták, hogy visszaállítják őket a legutolsó nem fertőzött állapotra (azaz az átvételt követő első commit előtti állapotra)? Gondom most ezzel vannak elfoglalva, majd ha végeznek, csak akkor fognak nekiállni annak, hogy kitalálják, a jövőben miként legyen.