Обсуждение:Бэкдор в XZ

3-6 мая 2024 года сведения из статьи «Бэкдор в XZ» появлялись на заглавной странице в колонке «Знаете ли вы». В колонке был представлен текст: «Максимально опасный бэкдор в Linux обнаружил работник Microsoft». С полным выпуском колонки можно ознакомиться в архиве рубрики «Знаете ли вы».

@Mercury:Вы убрали текст со ссылкой на The Economist:

В 2022 разработчик XZ Utils Лассе Коллин (Lasse Collin) понял, что на фоне проблем с психическим здоровьем поддержка проекта становится для него все более обременительной. Свою помощь предложил программист по имени Jia Tan (Цзя Тан), создавший аккаунт год назад. На протяжении более двух лет он делал полезные дополнения, завоевав, таким образом, доверие. В феврале 2024 года Цзя Тан тайно добавил в XZ Utils вредоносный участок кода

Как известно, Economist отличается высоким качеством журнализма. Если издание о чем-то упоминает, значит это важно для освещения вопроса. В частности, из приведенного текста становитися ясно, как болезнь Коллина облегчила задачу злоумышленников. Предлагаю вернуть текст в раздел. basic (обс.) 05:05, 10 апреля 2024 (UTC)[ответить]

The Economist — да, потому стараюсь его сохранять. Вы — нет. Вы просто потеряли ход повествования. --Mercury (обс.) 08:50, 10 апреля 2024 (UTC)[ответить]

Где в статье говорится о проблемах с психикой у Коллина? basic (обс.) 11:27, 10 апреля 2024 (UTC)[ответить]

Не стоит так писать, но в разделе «Путь в разработчики» я написал, что он сослался на депрессию. --Mercury (обс.) 11:36, 10 апреля 2024 (UTC)[ответить]

А отдельные слова и фразы без ссылки на The Economist я переносил прямо в преамбулу статьи. --Mercury (обс.) 09:05, 12 апреля 2024 (UTC)[ответить]

@Mercury:Вы убрали текст со ссылкой на The Economist

XZ Utils — архиватор для ОС Linux, применяемый практически на всех публичных серверах Internet, которые поддерживают работу всех функций Internet, включая жизненно-важные финансовые и правительственные организации. Таким образом, вредоносный код мог бы служить универсальным ключом доступа^[англ.], позволяющим злоумышленникам похищать зашифрованные данные или внедрять другие вредоносные программы

Текст поясняет значение XZ Utils в системе поддержки функций Internet. Это пояснение дано простым и понятным для неспециалиста языком, что выгодно отличает его от остального текста статьи, перегруженного техническими деталями и предназначенного больше для программистов. Предлагаю вернуть текст в статью. basic (обс.) 05:17, 10 апреля 2024 (UTC)[ответить]

Техники не исследовали, а экономисты уже пишут. Возможно, но не доказано. --Mercury (обс.) 08:49, 10 апреля 2024 (UTC)[ответить]

Раз пишет авторитетный источник, почему бы и нам не написать? Тем более, что статья переполнена техническими подробностями, непонятными рядовому читателю. basic (обс.) 11:25, 10 апреля 2024 (UTC)[ответить]

«Мог бы» — перед нами предположение, тем более Фройнд нашёл совершенно другое: библиотека, которая даже не должна запускаться (но каким-то раком запустилась), подставила в SSHD свою функцию на место OpenSSL. А технические подробности надо искать у техников, а не журналистов. Кстати, я долго искал, каким образом вообще действуют косвенные функции на техническом уровне, а не на популярном. --Mercury (обс.) 11:34, 10 апреля 2024 (UTC)[ответить]

Пардон, OpenSSL. --Mercury (обс.) 13:42, 10 апреля 2024 (UTC)[ответить]

Господа, ну это же статья в энциклопедии, а не запись на Хабре. Ну вот что это за перлы (навскидку): «Путь в разработчики», «бэкдор нужно исправить, пока не обнаружили», «начинается ещё одна гонка: кто первым выложит изменение в общий канал?», «После двух недель разработки ошибки поддаются, и 9 марта Цзя обновляет два тестовых архива, крайне подозрительно описав правку», «28 марта Цзя склоняет Ubuntu взять 5.6.1», «на следующий день по открытому сообществу прокатывается известие», «производителей Linux», «Что делает функция и как она встала на место OpenSSL — для него осталось загадкой» и т. д., и т. п. Такое ощущение, что этими «высокохудожественными» оборотами размер статьи увеличивали. 62.231.181.231 04:59, 3 мая 2024 (UTC)[ответить]

• Полностью согласен. Английская версия без "воды" и сразу к сути: кто, как и где внёс уязвимость. В русском варианте скорее художественный рассказ. 178.187.110.155 09:00, 3 мая 2024 (UTC)[ответить]
  • Сама история довольно интересная с технической точки зрения. Смотришь на то, как оно устроено, и удивляешься, какой гениальный хакер. Художественными оборотами я, наоборот, уменьшал объём — где одно ёмкое слово, там строчка канцелярита. Mercury (обс.) 20:00, 3 мая 2024 (UTC)[ответить]
    • "Смотришь на то, как оно устроено, и удивляешься, какой гениальный хакер." - Да, ощущение, что в русской версии прямо писаются от восторга "Ах какой гений и талант!" Англоверсия более сухая и трезвая. Хотя на самом деле эти "чудо-гении" практически нас*али в солонку опенсорс-сообществу. Теперь от добровольцев начнут требовать персональные данные, чтоб убедиться, что ты действительно Цзя из Сингапура. 94.25.185.67 08:17, 4 мая 2024 (UTC)[ответить]
      • Не уверен: спецслужба нарисует хакеру какие хочешь документы. Я хотел написать, что было много мест, где он мог пожечься — но обошлось. Mercury (обс.) 19:23, 4 мая 2024 (UTC)[ответить]
      • Я боюсь другого: его инструментарий — реально сложный — попал в открытый доступ. Атаки на чужую память станут более распространёнными. Mercury (обс.) 19:25, 4 мая 2024 (UTC)[ответить]
      • А ещё GitHub повёл себя по-свински — но я не могу это написать без явных источников. Mercury (обс.) 19:46, 4 мая 2024 (UTC)[ответить]
    • Здесь энциклопедия, а не проза.ру или Хабр. Соответственно, здесь не место для удивлений, восхищений и художественного стиля речи 62.231.181.231 04:15, 6 мая 2024 (UTC)[ответить]
  • Склоняет — реально пишет: возьмите мою версию. Убунту в ответ: и что в ней такого, чтобы мы взяли в обход политики стабильности? Mercury (обс.) 20:03, 3 мая 2024 (UTC)[ответить]