Hace un par de días salió la (http://bitelia.com/2009/12/ya-disponible-google-chrome-beta-para-mac) para Debian, Ubuntu, openSUSE y Fedora, junto con la versión para Mac OS X. Tras descargarlo, examiné los paquetes de instalación y descubrí algunos comportamientos que no me han gustado un pelo.
#9:
#8 No me has entendido aún. Yo tampoco veo mal en que Google añada un repositorio en mi sources.list, de hecho es el mejor método para instalar y mantener Chromium. Lo que sí está mal, es que tú lo borres y reaparezca, y sobre todo que no te informe de que dicho fichero lo ha alterado.
Imagínate que soy un administrador de una red determinada (un instituto, una oficina, un aula de cursos...) y decido instalar Chrome. Ahora bien, por cualquier motivo decido que no quiero que esos paquetes relacionados con Chrome se actualicen más. Porque tengo una conexión ilimitada, porque lo veo innecesario y prefiero actualizarlo cuando yo quiera, por si acaso algún update me jode una versión que personalmente la considero estable y la quiero mantener, etc. Hay mil motivos.
Sin embargo se ha añadido una nueva fuente que se actualizará siempre que actualice el sistema, y no me ha informado de ello previamente. Eso lo mires por donde lo mires, está mal, no es la forma de hacer las cosas. Al menos debería informarlo para que el administrador (de la red del ejemplo o del propio usuario de su equipo) pueda actuar en consecuencia o no. El sources.list no es un juguete.
Y el obligarte a tener la fuente en tu sources.list aunque lo borres, porque es tu decisión, ¿también lo ves bien?
No, esta no es la forma de hacer las cosas. No lo considero malware, pero sin duda no es el camino correcto.
#7:
#3 Claro que es software libre y que se puede ver el código, pero lo que han hecho está mal, sea Google o San Perejil. Los repositorios es la principal puerta del equipo al exterior que comunica directamente con el sistema operativo. El listado de repositorios para que sea totalmente seguro deben ser los mantenidos exclusivamente por la propia distro en cuestión.
Claro que se pueden agregar más, pero esto ya es responsabilidad del usuario el confiar en esos repositorios fuentes o no, en base, por ejemplo a que no haya recibido críticas previamente o a una confianza previa contrastada de tu parte o de la comunidad.
Esto que ha hecho Google no es algo demoníaco, pero es muy feo de su parte el obligar de alguna forma al usuario a tenerlo activo si tú no quieres. Y lo peor de todo, es que ni si quiera informa al usuario, algo fundamental en los sistemas Linux: lo normal es no hacer nada de este tipo, pero si hay algo que se sale un poco de la norma se debe avisar al usuario.
No confundáis las ventajas del software libre con que algo esté mal, aunque siga siendo software libre. Un ejemplo también algo distinto sucedió con automatix, una aplicación que aligeraba para el usuario principiante la instalación de aplicaciones, pero lo hacía de una forma desastrosa internamente y te podía cascar el sistema.
¿Ves ahora la importancia y la diferencia aunque estemos hablando siempre de software libre?
Personalmente empecé y acabaré con Chromium. Las adiciones de Chrome no las veo tan sustanciosas como para cambiar, todo lo contrario.
#8 No me has entendido aún. Yo tampoco veo mal en que Google añada un repositorio en mi sources.list, de hecho es el mejor método para instalar y mantener Chromium. Lo que sí está mal, es que tú lo borres y reaparezca, y sobre todo que no te informe de que dicho fichero lo ha alterado.
Imagínate que soy un administrador de una red determinada (un instituto, una oficina, un aula de cursos...) y decido instalar Chrome. Ahora bien, por cualquier motivo decido que no quiero que esos paquetes relacionados con Chrome se actualicen más. Porque tengo una conexión ilimitada, porque lo veo innecesario y prefiero actualizarlo cuando yo quiera, por si acaso algún update me jode una versión que personalmente la considero estable y la quiero mantener, etc. Hay mil motivos.
Sin embargo se ha añadido una nueva fuente que se actualizará siempre que actualice el sistema, y no me ha informado de ello previamente. Eso lo mires por donde lo mires, está mal, no es la forma de hacer las cosas. Al menos debería informarlo para que el administrador (de la red del ejemplo o del propio usuario de su equipo) pueda actuar en consecuencia o no. El sources.list no es un juguete.
Y el obligarte a tener la fuente en tu sources.list aunque lo borres, porque es tu decisión, ¿también lo ves bien?
No, esta no es la forma de hacer las cosas. No lo considero malware, pero sin duda no es el camino correcto.
#9
Si no quieres actualizaciones automaticas tienes que usar la versión estable que sale una actualización cada 3 meses y no se actualiza automaticamente, en linux de momento solo esta la beta que se actualiza automaticamente de manera semanal. Esto es así porque se considera que la beta no se debe usar en producción y puede contener errores de seguridad, por lo tanto se debe poder actualizar automaticamente.
#10 Bien, pero eso no justifica lo que está mal de la forma en que han hecho esto. Lo que comentas es en referencia a un ejemplo que he puesto, nada más, y no refuta lo que realmente critico. Chromium también está en fase "beta", también usa repositorios extras y no hace esa salvajada, o cualquier otra aplicación con repositorio adicional propio. Te dicen cuáles son las fuentes a agregar y si tú lo borras, sabes que dejará de estar ahí.
Me reitero en lo dicho en los dos puntos principales:
· Ese sistema no me informa de que se agrega a mi sources.list un repositorio.
· Ese sistema no me permite eliminar esa fuente de mi sources.list.
Agregar (primer punto) o mantener (segundo punto) una fuente a mi lista de repositorios, debe ser en última instancia una decisión final del usuario/administrador del equipo. Esto es lo único que critico y que me parece bastante mal.
#3 Claro que es software libre y que se puede ver el código, pero lo que han hecho está mal, sea Google o San Perejil. Los repositorios es la principal puerta del equipo al exterior que comunica directamente con el sistema operativo. El listado de repositorios para que sea totalmente seguro deben ser los mantenidos exclusivamente por la propia distro en cuestión.
Claro que se pueden agregar más, pero esto ya es responsabilidad del usuario el confiar en esos repositorios fuentes o no, en base, por ejemplo a que no haya recibido críticas previamente o a una confianza previa contrastada de tu parte o de la comunidad.
Esto que ha hecho Google no es algo demoníaco, pero es muy feo de su parte el obligar de alguna forma al usuario a tenerlo activo si tú no quieres. Y lo peor de todo, es que ni si quiera informa al usuario, algo fundamental en los sistemas Linux: lo normal es no hacer nada de este tipo, pero si hay algo que se sale un poco de la norma se debe avisar al usuario.
No confundáis las ventajas del software libre con que algo esté mal, aunque siga siendo software libre. Un ejemplo también algo distinto sucedió con automatix, una aplicación que aligeraba para el usuario principiante la instalación de aplicaciones, pero lo hacía de una forma desastrosa internamente y te podía cascar el sistema.
¿Ves ahora la importancia y la diferencia aunque estemos hablando siempre de software libre?
Personalmente empecé y acabaré con Chromium. Las adiciones de Chrome no las veo tan sustanciosas como para cambiar, todo lo contrario.
#7 No veo nada mal que Google actualice su propio software, prefiero que Google añada su repositorio y actualice Chrome diariamente a que Canonical mantenga el paquete con sus propios parches, seguro que las actualizaciones tardarian semanas o meses en algunos casos.
#c-28" class="content-link" style="color: rgb(227, 86, 20)" data-toggle="popover" data-popover-type="comment" data-popover-url="/tooltip/comment/831512/order/28">#28 ¿Y al descargar el paquete has visto la licencia que has aceptado?
Además, como puedes ver el propio script tiene una explicación de lo que hace:
# It creates the repository configuration file for package updates, and it
# monitors that config to see if it has been disabled by the overly aggressive
# distro upgrade process (e.g. intrepid -> jaunty). When this situation is
# detected, the respository will be re-enabled. If the respository is disabled
# for any other reason, the config file won't be changed.
Comprueba si el repositorio se ha desactivado por un upgrade de distro, pero si lo desactiva el usuario no se vuelve a activar.
#c-29" class="content-link" style="color: rgb(227, 86, 20)" data-toggle="popover" data-popover-type="comment" data-popover-url="/tooltip/comment/831512/order/29">#29 Revisa el script, si lo borras lo vuelve activar al día siguiente.
Me parece intolerable.
# Add the Google repository to the apt sources.
# Returns:
# 0 - no update necessary
# 1 - sources were updated
# 2 - error
update_sources_lists()
return 0
fi
find_apt_sources
if [ -d "$APT_SOURCESDIR" ]; then
# Nothing to do if it's already there.
SOURCELIST=$(grep -H "$REPOCONFIG" "$APT_SOURCESDIR/google-chrome.list"
2>/dev/null | cut -d ':' -f 1)
if [ -n "$SOURCELIST" ]; then
return 0
fi
printf "$REPOCONFIGn" > "$APT_SOURCESDIR/google-chrome.list"
if [ $? -eq 0 ]; then
return 1
fi
fi
return 2
">
Mucho mas abajo
# Detect if the repo config was disabled by distro upgrade and enable if
# necessary.
handle_distro_upgrade()
return 0
fi
find_apt_sources
SOURCELIST="$APT_SOURCESDIR/google-chrome.list"
if [ -r "$SOURCELIST" ]; then
REPOLINE=$(grep -E "^[[:space:]]*#[[:space:]]*$REPOCONFIG[[:space:]]*# disabled on upgrade to .*" "$SOURCELIST")
if [ $? -eq 0 ]; then
sed -i -e "s,^[[:space:]]*#[[:space:]]*($REPOCONFIG)[[:space:]]*# disabled on upgrade to .*,1,"
"$SOURCELIST"
LOGGER=$(which logger 2> /dev/null)
if [ "$LOGGER" ]; then
"$LOGGER" -t "$0" "Reverted repository modification: $REPOLINE."
fi
fi
fi
">
#33 Que lo entiendo, que no les costaba nada poner una pregunta o nota en el pre install que indique que se van a modificar los repositorios y si quieres cancelarlo, pero de ahí a pensar que se hace con mala intención es un mundo. También es un toque de atención para que no tomemos tan a la ligera las licencias.
#28 Si te parecen maliciosas las actualizaciones automáticas apaga y vamonos.
Que diferencia hay entre un paquete mantenido y actualizado por canonical a un paquete actualizado y mantenido por google??
si no quieres actualizaciones automaticas te esperas a que salga la estable y ya esta, la versión del dev-channel tiene actualizaciones automaticas, lo sabes antes de instalarla. La paranoia es bastante cansina.
A mí personalmente me parece que Google ha intentado hacer una instalación a prueba de tontos: en lugar de tener que añadir el repositorio manualmente, la clave gnupg, hacer el update y luego instalar Chrome, (varios pasos que para el usuario pueden ser tediosos y echarlo atrás) ha creado un .deb y un .rpm que se instalan con un doble-click; el gestor de paquetes integrado se encarga de las dependencias (si hay) y el mismo paquete se encarga de poner el repositorio para actualizaciones.
Con el tiempo Canonical pondrá Chrome y Chromium en su repositorio con el mismo sistema como dice #30, pero hasta entonces Google ha facilitado la tarea al usuario que no tendrá que realizar ciertos pasos para instalar o actualizar el programa. Si queréis verlo con malos ojos es vuestra opción, yo creo que es un sistema útil e inofensivo.
1.- El programa que gestiona las actualizaciones de Ubuntu (por ejemplo) están para algo.
2.- El script INSISTO, no solo se instala sin decir nada, además si te da por borrar la entrada del fichero sources, el script de Google lo vuelve a dar de alta y SIN PEDIRTE PERMISO.
El problema es de educación, si ocultas al usuario este script es que tus intenciones no son buenas y además vas encontrar de la filosofía de Ubuntu.
Por ultimo se elimina de un plumazo la libertad de elección y acción del usuario, y sin decirle nada.
Cuando Microsoft hizo lo mismo con su WGA se monto un cristo de narices, ¿porque se lo tengo que perdonar a Google?
Ya comienza Google, el nuevo Sauron a hacer de las suyas. ¿tanto les cuesta hacer un script para que te pregunte si deseas actualizarlo?
Porque no te avise de que se actualiza se puede decir malicioso y más si lo hace desde cron, ya que la línea a seguir en todo software libre es su transparencia. Existe por suerte su vertiente más libre Chromium.
Em, vosotros no os habeis mirado la documentación de apt verdad? lo que hay en etc/cron.daily/google-chrome no deja de ser un archivo de configuración, en este caso, de los repositorios, por lo que simplemente desinstalando chrome indicando que no quieres guardar la configuración se elimina, pero claro, para eso hay que leer.
sudo apt-get remove google-chrome-beta --purge
Así que de software malicioso nada, más bien desconocimiento del funcionamiento de apt, aptitude y synaptic.
#12 Tocino con velocidad, creo que eres tú el que no ha leído todo bien.
¿Qué tendrá que ver una cosa con la otra? Creo que la mayoríasabemos cómo desinstalar una aplicación y sus archivos de configuración asociados, de hecho si quieres simplificar tu comando: sudo aptitude purge google-chrome-beta, y te ahorras un argumento adicional.
De lo que aquí se está hablando es de instalar esta aplicación, mantenerla instalada, y que no te la líe en el sources.list.
Le he votado a ver si llega a portada y de esa manera se difunde y si alguien en los comentarios dice más o menos de modo simplificado si ésto es tan malo como lo pintan...
Yo ahora uso Chrome en vez de Chromium, por usar la oficial y porque Chromium me estaba dando problemas gráficos ultimamente...
#4
No es tan malo como lo pintan, pero no gusta nada que añadan scripts al cron que modifican partes del sistema sin notificarlo.
Si un usuario se descarga el deb por parte de un tercero que en vez de añadir el repositorio de Google añade otro con software malicioso o simplemente ese script realiza otras cositas, cagada la hemos. ¿Culpa del usuario? Sí, pero no está de más que el original lleve un aviso para así luego comprobar si uno quiere qué es lo que hace ese script.
Ya digo, uso Chromium (los problemas gráficos fueron arreglados con el último update) en los ratos que necesito algo más de ligereza con el JS en vez del Chrome.
El que ha enviado el meneo sí que podría poner un título bastante menos amarillista.
Pues a mí me parece bastante lógico lo que hace; se añade a los repositorios para estar actualizado en lugar de comprobarlo cada vez que lo arrancas y tener que molestar a un usuario que es posible que no tenga permiso para instalar la actualización, si no te gusta puedes desactivarlo de los servicios de cron, ¿Quién dice que no avisa? ¿Os habéis leído la licencia que hay al descargarlo?
11. Actualizaciones del Software
11.1 El Software que utiliza podrá descargar e instalar automáticamente actualizaciones de Google de forma periódica. Dichas actualizaciones están diseñadas para mejorar, optimizar y desarrollar los Servicios y se pueden presentar en forma de correcciones, funciones mejoradas, nuevos módulos de software y versiones totalmente nuevas. Acepta recibir dichas actualizaciones, y permite a Google proporcionárselas, como parte de estos Servicios.
20.2 Google Chrome comprobará periódicamente en servidores remotos (alojados por Google o por terceros) si existen actualizaciones disponibles, incluidas, entre otras, correcciones de errores y funciones mejoradas. Acepta que dichas actualizaciones se solicitarán, descargarán e instalarán automáticamente sin previo aviso.
Desde luego no es un comportamiento deseado, pero ellos lo avisan, si te lo descargas y lo usas es porque aceptas su licencia y punto. Si no estás de acuerdo, usa otro navegador.
Desde hace más de tres años que llevo con sistemas GNU/LINUX he aprendido que es intolerable modificar cualquier aspecto del sistema sin dejarlo explícitamente claro al usuario.
Una licencia (mira que aún estar con licencias...) sabemos todos que puede ser "legal" pero no legítimo.
El comportamiento ético hubiera sido preguntar después de la instalación si se deseaba activar esa función.
Así es como lo hacen muchos otros programas en los que confiamos y nunca nos hemos quejado. VLC al instalarlo te pregunta si quieres descargar las carátulas manualmente, DEBIAN te pide amablemente si quieres ayudarles con datos anónimos...
Hay muchos programas que piden permiso explícitamente para hacer algo "más allá" que modifique o afecte directamente al sistema o el usuario sin embargo todos ellos deben solicitarlo explícitamente y no intentar colarlo en algún párrafo de una licencia.
Eso a un usuario de windows le cuesta comprender porque llevan años viviendo con programas que les instalan cosas, actualizan o funcionan sin su permiso. Sin embargo en este terreno es algo completamente inadmisible que se haga de este método.
#25 Pues yo diría que confundes churras con merinas; una cosa es lo que debería hacer según tu criterio o según lo que hagan algunos programas en esos casos y otra lo que es legal y legítimo (RAE: 1. adj. Conforme a las leyes - y la licencia es conforme a las leyes a no ser que tengas un dato revelador).
Cuando te dicen que leas la licencia antes de instalar es para que sepas lo que vas a aceptar; si la licencia no va contra la ley y la aceptas asumes las consecuencias.
Esta noticia está cargada de amarillismo porque lo que hace el script de pre instalación no es malicioso en ningún caso y además es errónea porque sí que te avisan de lo que hay, que no te gusta, pues vale, que no es la mejor forma, es posible, pero si te parece intolerable o inadmisible no aceptes la licencia.
Google Chrome es software libre, por lo que si no te gusta cómo se instala el paquete descarga las fuentes, compílalo y haz la instalación tú mismo.
#27 Siento decirte que me he molestado en comprobar la noticia, y la confirmo
1.- Al instalar la paquete .deb no advierte de nada.
2.- Tras su instalación crea un fichero llamado google-chrome en el directorio /etc/cron.daily .
3.- Este se ejecuta, todos los días sin advertir al usuario.
4.- Si borrar la fuente de Google, el script lo vuelve a poner.
El titulo es amarillista. "Google Chrome para GNU/Linux es software malicioso".
Tildar a Chrome de malware por que añade una entrada en /etc/cron.daily para verificar que el repo este correcto, me parece simplemente amarillista.
Donde sí estoy de acuerdo es que es un método poco elegante y poco transparente, teniendo en consideración que el sistema de repos esta muy establecido y conocido por los usuarios.
Pienso que la razón que ha podido llevar a Google a actuar de esta forma, es que la nueva generación de usuarios de Linux no está tan avezada a gestionar el sistema. Según una estadística reciente, cerca del 37% de miniordenadores, vienen con Linux. No creo que el perfil de esos usuarios sea el mismo que un usuario "tradicional" de Linux. Probablemente estos no sepan ni que es cron, ni un repo, ni les preocupe.
Pensando en ellos, Google puede haber optado por facilitarles el camino, de una forma poco elegante para el usuario experiementado.
#19 Chrome se instala desde un paquete .deb o .rpm, para hacerlo debes ser root; el paquete tiene una serie de scripts pre y post instalación que pueden modificar el sistema al instalarse como root. Y eso es lo que hace, instalar un script que el demonio cron ejecuta cada cierto tiempo para comprobar que el sitio de origen de Chrome está en los repositorios y añadirse en caso contrario.
Yo creo que sí es bastante malo, porque no haria falta descargarse el Chrome desde ningun tercero malintencionado no? El "backdoor" se podria aprovechar de otras maneras...
Comentarios
#8 No me has entendido aún. Yo tampoco veo mal en que Google añada un repositorio en mi sources.list, de hecho es el mejor método para instalar y mantener Chromium. Lo que sí está mal, es que tú lo borres y reaparezca, y sobre todo que no te informe de que dicho fichero lo ha alterado.
Imagínate que soy un administrador de una red determinada (un instituto, una oficina, un aula de cursos...) y decido instalar Chrome. Ahora bien, por cualquier motivo decido que no quiero que esos paquetes relacionados con Chrome se actualicen más. Porque tengo una conexión ilimitada, porque lo veo innecesario y prefiero actualizarlo cuando yo quiera, por si acaso algún update me jode una versión que personalmente la considero estable y la quiero mantener, etc. Hay mil motivos.
Sin embargo se ha añadido una nueva fuente que se actualizará siempre que actualice el sistema, y no me ha informado de ello previamente. Eso lo mires por donde lo mires, está mal, no es la forma de hacer las cosas. Al menos debería informarlo para que el administrador (de la red del ejemplo o del propio usuario de su equipo) pueda actuar en consecuencia o no. El sources.list no es un juguete.
Y el obligarte a tener la fuente en tu sources.list aunque lo borres, porque es tu decisión, ¿también lo ves bien?
No, esta no es la forma de hacer las cosas. No lo considero malware, pero sin duda no es el camino correcto.
#9
Si no quieres actualizaciones automaticas tienes que usar la versión estable que sale una actualización cada 3 meses y no se actualiza automaticamente, en linux de momento solo esta la beta que se actualiza automaticamente de manera semanal. Esto es así porque se considera que la beta no se debe usar en producción y puede contener errores de seguridad, por lo tanto se debe poder actualizar automaticamente.
#10 Bien, pero eso no justifica lo que está mal de la forma en que han hecho esto. Lo que comentas es en referencia a un ejemplo que he puesto, nada más, y no refuta lo que realmente critico. Chromium también está en fase "beta", también usa repositorios extras y no hace esa salvajada, o cualquier otra aplicación con repositorio adicional propio. Te dicen cuáles son las fuentes a agregar y si tú lo borras, sabes que dejará de estar ahí.
Me reitero en lo dicho en los dos puntos principales:
· Ese sistema no me informa de que se agrega a mi sources.list un repositorio.
· Ese sistema no me permite eliminar esa fuente de mi sources.list.
Agregar (primer punto) o mantener (segundo punto) una fuente a mi lista de repositorios, debe ser en última instancia una decisión final del usuario/administrador del equipo. Esto es lo único que critico y que me parece bastante mal.
O dios mio actualizaciones automaticas que malvados.
El google update tambien es software libre asi que los paranoicos pueden bajarse el código y echarle una ojeada.
#3 Claro que es software libre y que se puede ver el código, pero lo que han hecho está mal, sea Google o San Perejil. Los repositorios es la principal puerta del equipo al exterior que comunica directamente con el sistema operativo. El listado de repositorios para que sea totalmente seguro deben ser los mantenidos exclusivamente por la propia distro en cuestión.
Claro que se pueden agregar más, pero esto ya es responsabilidad del usuario el confiar en esos repositorios fuentes o no, en base, por ejemplo a que no haya recibido críticas previamente o a una confianza previa contrastada de tu parte o de la comunidad.
Esto que ha hecho Google no es algo demoníaco, pero es muy feo de su parte el obligar de alguna forma al usuario a tenerlo activo si tú no quieres. Y lo peor de todo, es que ni si quiera informa al usuario, algo fundamental en los sistemas Linux: lo normal es no hacer nada de este tipo, pero si hay algo que se sale un poco de la norma se debe avisar al usuario.
No confundáis las ventajas del software libre con que algo esté mal, aunque siga siendo software libre. Un ejemplo también algo distinto sucedió con automatix, una aplicación que aligeraba para el usuario principiante la instalación de aplicaciones, pero lo hacía de una forma desastrosa internamente y te podía cascar el sistema.
¿Ves ahora la importancia y la diferencia aunque estemos hablando siempre de software libre?
Personalmente empecé y acabaré con Chromium. Las adiciones de Chrome no las veo tan sustanciosas como para cambiar, todo lo contrario.
#7 No veo nada mal que Google actualice su propio software, prefiero que Google añada su repositorio y actualice Chrome diariamente a que Canonical mantenga el paquete con sus propios parches, seguro que las actualizaciones tardarian semanas o meses en algunos casos.
#c-28" class="content-link" style="color: rgb(227, 86, 20)" data-toggle="popover" data-popover-type="comment" data-popover-url="/tooltip/comment/831512/order/28">#28 ¿Y al descargar el paquete has visto la licencia que has aceptado?
Además, como puedes ver el propio script tiene una explicación de lo que hace:
# It creates the repository configuration file for package updates, and it
# monitors that config to see if it has been disabled by the overly aggressive
# distro upgrade process (e.g. intrepid -> jaunty). When this situation is
# detected, the respository will be re-enabled. If the respository is disabled
# for any other reason, the config file won't be changed.
Comprueba si el repositorio se ha desactivado por un upgrade de distro, pero si lo desactiva el usuario no se vuelve a activar.
#c-29" class="content-link" style="color: rgb(227, 86, 20)" data-toggle="popover" data-popover-type="comment" data-popover-url="/tooltip/comment/831512/order/29">#29 Revisa el script, si lo borras lo vuelve activar al día siguiente.
Me parece intolerable.
# Add the Google repository to the apt sources.
# Returns:
# 0 - no update necessary
# 1 - sources were updated
# 2 - error
update_sources_lists() return 0
fi
find_apt_sources
if [ -d "$APT_SOURCESDIR" ]; then
# Nothing to do if it's already there.
SOURCELIST=$(grep -H "$REPOCONFIG" "$APT_SOURCESDIR/google-chrome.list"
2>/dev/null | cut -d ':' -f 1)
if [ -n "$SOURCELIST" ]; then
return 0
fi
printf "$REPOCONFIGn" > "$APT_SOURCESDIR/google-chrome.list"
if [ $? -eq 0 ]; then
return 1
fi
fi
return 2
">
Mucho mas abajo
# Detect if the repo config was disabled by distro upgrade and enable if
# necessary.
handle_distro_upgrade() return 0
fi
find_apt_sources
SOURCELIST="$APT_SOURCESDIR/google-chrome.list"
if [ -r "$SOURCELIST" ]; then
REPOLINE=$(grep -E "^[[:space:]]*#[[:space:]]*$REPOCONFIG[[:space:]]*# disabled on upgrade to .*" "$SOURCELIST")
if [ $? -eq 0 ]; then
sed -i -e "s,^[[:space:]]*#[[:space:]]*($REPOCONFIG)[[:space:]]*# disabled on upgrade to .*,1,"
"$SOURCELIST"
LOGGER=$(which logger 2> /dev/null)
if [ "$LOGGER" ]; then
"$LOGGER" -t "$0" "Reverted repository modification: $REPOLINE."
fi
fi
fi
">
#33 Revisa lo que he dicho, si lo desactivas no se vuelve a activar, desactivar != borrar.
#33 Que lo entiendo, que no les costaba nada poner una pregunta o nota en el pre install que indique que se van a modificar los repositorios y si quieres cancelarlo, pero de ahí a pensar que se hace con mala intención es un mundo. También es un toque de atención para que no tomemos tan a la ligera las licencias.
#28 Si te parecen maliciosas las actualizaciones automáticas apaga y vamonos.
Que diferencia hay entre un paquete mantenido y actualizado por canonical a un paquete actualizado y mantenido por google??
si no quieres actualizaciones automaticas te esperas a que salga la estable y ya esta, la versión del dev-channel tiene actualizaciones automaticas, lo sabes antes de instalarla. La paranoia es bastante cansina.
A mí personalmente me parece que Google ha intentado hacer una instalación a prueba de tontos: en lugar de tener que añadir el repositorio manualmente, la clave gnupg, hacer el update y luego instalar Chrome, (varios pasos que para el usuario pueden ser tediosos y echarlo atrás) ha creado un .deb y un .rpm que se instalan con un doble-click; el gestor de paquetes integrado se encarga de las dependencias (si hay) y el mismo paquete se encarga de poner el repositorio para actualizaciones.
Con el tiempo Canonical pondrá Chrome y Chromium en su repositorio con el mismo sistema como dice #30, pero hasta entonces Google ha facilitado la tarea al usuario que no tendrá que realizar ciertos pasos para instalar o actualizar el programa. Si queréis verlo con malos ojos es vuestra opción, yo creo que es un sistema útil e inofensivo.
#30 Existe una gran diferencia
1.- El programa que gestiona las actualizaciones de Ubuntu (por ejemplo) están para algo.
2.- El script INSISTO, no solo se instala sin decir nada, además si te da por borrar la entrada del fichero sources, el script de Google lo vuelve a dar de alta y SIN PEDIRTE PERMISO.
El problema es de educación, si ocultas al usuario este script es que tus intenciones no son buenas y además vas encontrar de la filosofía de Ubuntu.
Por ultimo se elimina de un plumazo la libertad de elección y acción del usuario, y sin decirle nada.
Cuando Microsoft hizo lo mismo con su WGA se monto un cristo de narices, ¿porque se lo tengo que perdonar a Google?
Si queréis utilizar Chrome, decantaros por Chromium y santas pascuas.
Cuando he de usar el navegador de Google, uso Chromium.
Ya comienza Google, el nuevo Sauron a hacer de las suyas. ¿tanto les cuesta hacer un script para que te pregunte si deseas actualizarlo?
Porque no te avise de que se actualiza se puede decir malicioso y más si lo hace desde cron, ya que la línea a seguir en todo software libre es su transparencia. Existe por suerte su vertiente más libre Chromium.
Em, vosotros no os habeis mirado la documentación de apt verdad? lo que hay en etc/cron.daily/google-chrome no deja de ser un archivo de configuración, en este caso, de los repositorios, por lo que simplemente desinstalando chrome indicando que no quieres guardar la configuración se elimina, pero claro, para eso hay que leer.
sudo apt-get remove google-chrome-beta --purge
Así que de software malicioso nada, más bien desconocimiento del funcionamiento de apt, aptitude y synaptic.
#12 Tocino con velocidad, creo que eres tú el que no ha leído todo bien.
¿Qué tendrá que ver una cosa con la otra? Creo que la mayoríasabemos cómo desinstalar una aplicación y sus archivos de configuración asociados, de hecho si quieres simplificar tu comando: sudo aptitude purge google-chrome-beta, y te ahorras un argumento adicional.
De lo que aquí se está hablando es de instalar esta aplicación, mantenerla instalada, y que no te la líe en el sources.list.
#13 Pero que cojones dices de que te la lie en el sources.list si te lo pone en el sources.list.d con su propio archivo de configuración.
Le he votado a ver si llega a portada y de esa manera se difunde y si alguien en los comentarios dice más o menos de modo simplificado si ésto es tan malo como lo pintan...
Yo ahora uso Chrome en vez de Chromium, por usar la oficial y porque Chromium me estaba dando problemas gráficos ultimamente...
Salu2!
#4
No es tan malo como lo pintan, pero no gusta nada que añadan scripts al cron que modifican partes del sistema sin notificarlo.
Si un usuario se descarga el deb por parte de un tercero que en vez de añadir el repositorio de Google añade otro con software malicioso o simplemente ese script realiza otras cositas, cagada la hemos. ¿Culpa del usuario? Sí, pero no está de más que el original lleve un aviso para así luego comprobar si uno quiere qué es lo que hace ese script.
Ya digo, uso Chromium (los problemas gráficos fueron arreglados con el último update) en los ratos que necesito algo más de ligereza con el JS en vez del Chrome.
El que ha enviado el meneo sí que podría poner un título bastante menos amarillista.
Pues a mí me parece bastante lógico lo que hace; se añade a los repositorios para estar actualizado en lugar de comprobarlo cada vez que lo arrancas y tener que molestar a un usuario que es posible que no tenga permiso para instalar la actualización, si no te gusta puedes desactivarlo de los servicios de cron, ¿Quién dice que no avisa? ¿Os habéis leído la licencia que hay al descargarlo?
11. Actualizaciones del Software
11.1 El Software que utiliza podrá descargar e instalar automáticamente actualizaciones de Google de forma periódica. Dichas actualizaciones están diseñadas para mejorar, optimizar y desarrollar los Servicios y se pueden presentar en forma de correcciones, funciones mejoradas, nuevos módulos de software y versiones totalmente nuevas. Acepta recibir dichas actualizaciones, y permite a Google proporcionárselas, como parte de estos Servicios.
20.2 Google Chrome comprobará periódicamente en servidores remotos (alojados por Google o por terceros) si existen actualizaciones disponibles, incluidas, entre otras, correcciones de errores y funciones mejoradas. Acepta que dichas actualizaciones se solicitarán, descargarán e instalarán automáticamente sin previo aviso.
Noticia amarillista y errónea.
Como dice #17, erronea.
Desde luego no es un comportamiento deseado, pero ellos lo avisan, si te lo descargas y lo usas es porque aceptas su licencia y punto. Si no estás de acuerdo, usa otro navegador.
Desde hace más de tres años que llevo con sistemas GNU/LINUX he aprendido que es intolerable modificar cualquier aspecto del sistema sin dejarlo explícitamente claro al usuario.
Una licencia (mira que aún estar con licencias...) sabemos todos que puede ser "legal" pero no legítimo.
El comportamiento ético hubiera sido preguntar después de la instalación si se deseaba activar esa función.
Así es como lo hacen muchos otros programas en los que confiamos y nunca nos hemos quejado. VLC al instalarlo te pregunta si quieres descargar las carátulas manualmente, DEBIAN te pide amablemente si quieres ayudarles con datos anónimos...
Hay muchos programas que piden permiso explícitamente para hacer algo "más allá" que modifique o afecte directamente al sistema o el usuario sin embargo todos ellos deben solicitarlo explícitamente y no intentar colarlo en algún párrafo de una licencia.
Eso a un usuario de windows le cuesta comprender porque llevan años viviendo con programas que les instalan cosas, actualizan o funcionan sin su permiso. Sin embargo en este terreno es algo completamente inadmisible que se haga de este método.
#25 Pues yo diría que confundes churras con merinas; una cosa es lo que debería hacer según tu criterio o según lo que hagan algunos programas en esos casos y otra lo que es legal y legítimo (RAE: 1. adj. Conforme a las leyes - y la licencia es conforme a las leyes a no ser que tengas un dato revelador).
Cuando te dicen que leas la licencia antes de instalar es para que sepas lo que vas a aceptar; si la licencia no va contra la ley y la aceptas asumes las consecuencias.
Esta noticia está cargada de amarillismo porque lo que hace el script de pre instalación no es malicioso en ningún caso y además es errónea porque sí que te avisan de lo que hay, que no te gusta, pues vale, que no es la mejor forma, es posible, pero si te parece intolerable o inadmisible no aceptes la licencia.
Google Chrome es software libre, por lo que si no te gusta cómo se instala el paquete descarga las fuentes, compílalo y haz la instalación tú mismo.
A la gente le jode no encontrar nada para atacar a google y por eso surgen noticias como esta.
#23 ¿Accionista de Google o tan solo un forofo?
#24 Simplemente una persona que no se ha limitado a leer el titular y se ha informado para llevar a la conclusión de que chrome no hace nada anormal.
#27 Siento decirte que me he molestado en comprobar la noticia, y la confirmo
1.- Al instalar la paquete .deb no advierte de nada.
2.- Tras su instalación crea un fichero llamado google-chrome en el directorio /etc/cron.daily .
3.- Este se ejecuta, todos los días sin advertir al usuario.
4.- Si borrar la fuente de Google, el script lo vuelve a poner.
Si quieres leer el programa que se instala sin permiso, lo tienes en http://pastebin.com/f1c87370c
Es correcto llamarlo malicioso, porque en ningún momento advierte al usuario de los cambios que realiza.
El titulo es amarillista. "Google Chrome para GNU/Linux es software malicioso".
Tildar a Chrome de malware por que añade una entrada en /etc/cron.daily para verificar que el repo este correcto, me parece simplemente amarillista.
Donde sí estoy de acuerdo es que es un método poco elegante y poco transparente, teniendo en consideración que el sistema de repos esta muy establecido y conocido por los usuarios.
Pienso que la razón que ha podido llevar a Google a actuar de esta forma, es que la nueva generación de usuarios de Linux no está tan avezada a gestionar el sistema. Según una estadística reciente, cerca del 37% de miniordenadores, vienen con Linux. No creo que el perfil de esos usuarios sea el mismo que un usuario "tradicional" de Linux. Probablemente estos no sepan ni que es cron, ni un repo, ni les preocupe.
Pensando en ellos, Google puede haber optado por facilitarles el camino, de una forma poco elegante para el usuario experiementado.
Luego el malo malísimo y el que espiaba a los usuarios era Windows
#15 ¿Te has leído el artículo? Por lo que escribes, el titular y poco más...
Sin leer la noticia, mirando solo los comentarios
Puede un proceso modificar el sources.list sin permisos de root?
#19 Chrome se instala desde un paquete .deb o .rpm, para hacerlo debes ser root; el paquete tiene una serie de scripts pre y post instalación que pueden modificar el sistema al instalarse como root. Y eso es lo que hace, instalar un script que el demonio cron ejecuta cada cierto tiempo para comprobar que el sitio de origen de Chrome está en los repositorios y añadirse en caso contrario.
Yo creo que sí es bastante malo, porque no haria falta descargarse el Chrome desde ningun tercero malintencionado no? El "backdoor" se podria aprovechar de otras maneras...
¿Cuantos usuarios de Meneame, cambiarían de opinión si en lugar de Google, fuera Microsoft quien hiciera esto?.
Es intolerable que Google a espaldas de usuario se permita estas licencias con el ordenador de uno.