Log for Ubuntu 台灣社群

前一陣子我碰到 kubuntu 用到一半 mouse 不能點任何東西的 BUG 問題找到了
昨天生氣重灌 kubutnu 22.04 ，結果一開機滑鼠就不能點

找了一下，原來是我外接 thinkpad keyboard 造成的（用 usb/ps2 轉的），拔掉換一般 logitech keyboard 就可以

神奇的問題
絕對不是 Dell notebook 討厭 Thinkpad Keyboard

如果從消費者角度來看，不更新的開源軟體會比不更新的閉源軟體安全嗎？

有時候覺得開源軟體都說比較安全，但是使用者不更新的話反而比較危險吧？ 因為漏洞全世界都知道，但閉源軟體漏洞可能是少部份駭客會利用。

漏洞跟開不開源有甚麼關係?
windows 也沒開源，漏洞有哪次全世界不知道的?!
windows 有因為閉源攻擊就少了嗎?

7zip不是可以突破windows的使用者權限 多久沒修ㄌ

也許這個問題比較像是漏洞的實做難度？

閉源X
使用開源軟體佔為己有的O

而且也不太對 開源有漏洞會明確被知道這件事情應該是建立在有人發現 發了 issue or pr 要修復時？

其餘時候應該不會因為漏洞在那 就被很多人知道

還想到一個 或是有人看了程式碼發現有漏洞卻不提出來也不幫忙補

說看 code 就知道哪裡有漏洞，除非code 本身水準不高
有時候漏洞跟編譯器本身是有直接關係的
這種看 code 就知道哪裡有漏洞是不可能的

ＸＤＤ 對吧 除非是很明顯的問題
但他都很明顯了 被一堆人知道應該就很合理？

有 issue 有 code 就能實做，也就是說只要該開源軟體沒更新的話，根本零防禦

說閉源比較安全大概是被果粉洗到壞掉

但是閉源軟體有時候只發漏洞通知，但是只告知風險，沒告知實做方法

因為發現的人會公開阿，有時候不用直接寫明，告訴你思考邏輯，懂的人就知道怎麼找了

零天攻擊就是這麼來的啊

沒人維護的冷門自由軟體(通常也沒人用) 會想攻擊的人應該...

那閉源軟體被發現時 被公開做法不也一樣是零防禦

我發現了一個漏洞，然後公布攻擊方式，然後看到的人馬上就實作拿來害人

但有時候發現漏洞的人會選擇領獎金不公開阿

漏洞大部分就那幾種

如果被某個大型專案的角落使用就會惹

但用的廠商不講也不維護

Linux最不安全的可能是裡面那堆blob

明明是管理員作死

以前零天漏洞很多都是直接釋出可以直接套用完全不修改的 code

現在已經不能這樣，很多都是用猜謎的文字說明方式，不再給 code
多是攻擊者自己猜出漏洞利用方式

我覺得差別在沒人維護的自由軟體有漏洞 社群有人想自救還能救

這是閉源軟體的作法吧？如果是開源就 issue + code 就能實做了。

閉源就自己(

這倒是真的

弊源軟體就例如 ms office
vba 一堆溢位方法可用，沒多少公司或個人會想去更新

Enter 連發不看提示

所以開源軟體的安全性是建立在「比較有可能取得更新檔」，要不要更新就是看使用者要賭漏洞被抓到還是更新爆炸

閉源軟體的開發商不補就是哭倒長城也無解

開源軟體有漏洞，因為是開源，上游不修自己還有辦法救
閉源軟體有漏洞，就只能等上游修，常常發生上游修一次還修不好

開源的安全性也基於你要自己修也是能動手

感覺這樣解釋會比較好，感謝各位協助釐清

說的好像閉源不更新駭客就不知道有漏洞

打死不更新就是不安全

和有沒有開源沒關係

不更新的話直接躺平吧

駭客知道但是小屁孩可能不會取得零日漏洞的實做資訊

除非像是鬧鐘那樣除了一個轉盤沒有 IO

你看看windows噴幾次0day，網路上多快有POC

這和開源完全沒關係

舉個例子:閉源遊戲Minecraft

領獎金的漏洞就比較不會有實做流出吧（？

開源專案也可以做漏洞獎金阿

而且0day就是網路上已經在被利用了

已經在被利用了哪來流出問題

是阿，所以閉源有可能漏洞非零日，但開源一定是零日漏洞

不是阿

領獎金是對方認為你提交的漏洞值得領獎金

多的是對方認為不值得，然後自己再把攻擊方法公布出來的

比方說 iphone 的破解就要花很多錢才能使用一次

為啥你會覺得開源的東西回報安全性漏洞就是公開的

有的提交還會被公司法務吉

這是什麼僥倖心態爭執嗎

笑死，safari 被打穿幾次了

大型的開源專案都有安全漏洞回報的管道

不是在那邊開issue好嗎

要花錢才能破解是為了賺錢

有更新的人都要炸了，不更新更要炸啊

之前不是有新聞說美國花大錢為了解鎖一隻歹徒的 iphone

這個是兩回事啊

有效的裝置加密正常來說都沒辦法容易破的

密碼學算法都公開的

那是要拿具有法律證據的資料

最簡單的就是寄 email

好吧，如果用其他方式直接告知開發者也不是全部都公開

facebook 以前就有人提交漏洞，說非常嚴重，可以駭進任何人的帳號

結果 facebook 回復這不是漏洞，不想鳥他
然後兩小時後祖克柏帳號就被駭了

Github：我有機器人幫你偵測你有沒有更新漏洞的dependency

然後不到一小時漏洞就被修復了

ㄏㄏ

這個我有看到，超好笑

認真問這個好用ㄇ

所以這個破解漏洞不是不存在，只是被寡占而已

一般重大漏洞在公開細節前都會有一段時間讓上下游都修好

當你只有一個人時很棒

自己用Python造輪子 他會幫你偵測你的dependency

自用還行

多人維護的不好說

會有CVE number但一般人只能看標題沒有說明

不如說哪個軟體沒洞可以戳

裝置加密要破 從算法本身下手不如戳別的洞吧

中國發射到火星的機器

github一直尖叫說我用了有漏洞的東西，然而那個是相依的相依為了向下相容的選用功能，甚至根本不會被用到

你這是能操作的 iphone 吧？
新聞那個是沒有解鎖密碼？

看你對「破解」的定義是什麼

我只是拿這個例子來思考漏洞的實做門檻

剛剛的結論就是：只要不更新都沒安全性可延，但開源軟體比較有機會可以修復漏洞，更新與否的選擇權在使用者手上。閉源軟體就是只能期待開發者補洞。

我來開個新戰場好了 😜
常常有人說開源軟體比較值得信任，不太需要擔心被塞後門，因為 Code 都公開在網路上讓大家檢視。
但我就問你，真正會 Compile from Source 的人有多少？
大部份人還不是都直接抓 Binary 來裝？你要如何證明 Binary 和 Source 真的有一致？

至少開源軟體有機會證明吧

現在沒有 deterministic compiler 吧？這要證明 binary 是從哪個 source 來的
我都自編 Vim （

戳一下GitHub 又不用自己的機器

例如我自編 qmk 就是不會動，binary 會動
哭哭

恐怖哦，Binary 裡面不知道塞了什麼？

我阿

按錯 sry

我也是啊，畢竟我用 Gentoo (那我在這個群組幹嘛 XD)
我是說大部份人啦

我也是百般不願意，但就不會動我只能自己修 ¯\_(ツ)_/¯

\_(ツ)_/

請問一下，有人將桌面的音效系統從 PulseAudio 換到 PipeWire 了嗎？
我昨天剛換，並整理了筆記，供參考
http://note.zn2.us/pipewire.htm

換很久了

那你用哪個圖型介面來拉 virtual cable?

至少你有這個選擇，可譯
閉源的就沒這個選擇了
多了一個選擇給人的感受就差很多
就不是強迫買單

閉源不是就吃無敵星星欸ww 有種閉源到連 SSL 之類的東西都自己幹啊

疊床架屋上去以後頂樓加蓋可能沒什麼問題，但底下的東西炸開滿有機會的

這網頁的風格感覺讓我回到 1990 年

可惜沒首頁，不然我想看看其他頁面長怎樣

顏色挺復古xd

那只是我自己的筆記，所以沒有寫首頁

AUR

開源軟體的優點就是可以叫別人滾開自己幹

License 對的話整碗端走分庭抗禮都好

看看那個 MultiMC 跟 PolyMC

再請教一個問題

ubuntu 有沒有類似將 簡體中文字幕 batch 轉換成 繁體中文字幕 的軟體

謝謝