Názory k článku SourceForge pokračuje v přibalování adwaru, crapwaru i malwaru

Jenže sourceforge je projektem pro hostování OSS projektů jako je GitHub a jako byl Google Code, někdy před 15 - 20 lety to často bývala pro vývojáře často volba číslo 1 a pro projekty tam hostované je SF tím oficiálním zdrojem.

A pokud SF takto modifikuje oficiální instalátory, tak je to těžká prasárna a nechápu, že tam někdo ještě zůstává.

Avast má v instalaci jen tak mimochodem i instalaci Google Chrome. Chrome mám na jednom PC nainstalován, ale pouze pro ladění, jinak jej nepoužívám. Spousty instalátorů obsahují také instalaci Google Chrome. Já osobně takové chování jako chování viru - stačí trochu nepozornosti a máte v počítači Chrome. TFUJ!!!

Jakmile mi SW web zabalí do instalátoru něco, co s žádným softwarem nesouvisí, web opouštím. Např. stahuj.cz.

Jenze puvodni zdroj je prave casto jen na SourceForge, jako v pripade zmineneho projektu FileZilla. Tam i ten druhy odkaz kdysi vedl na zavirovanou verzi a bylo treba to prepnout na "Direct Download".

SourceForge je krajne neduveryhodne misto, takze jedina moznost je pokazde kontrolovat hash (umisteny na jinem webu nez SourceForge), zda neni soubor napaden.

myslel jsem, že podobné weby (v ČR slunecnice, studna) už jsou dávno v propadlišti dějin internetu...

Zrovna před pár dny sem stahoval FileZillu abych si otestoval jestli je problém na FTP serveru nebo v Total Commanderu, portable verze vypadá, že není zasažená.

www.virustotal.com - používat po stažení čehokoliv = profit ;)

to asi jo, ale když tak probírám co mám na soukromém PC (OS X) nainstalováno tak je to fakt miminum věcí. Částečně proto, že velkou většinu dělám v browseru a druhak proto, že část věcí je už přímo v os.

Jinak mám nainstalováno:

- ms office
- lightroom
- wunderlist
- a asi tři další appky pro zpracování fotografií.

Doby, kdy jsem sjížděl CD a instaloval každou druhou utiliku jsou už pryč :)

Nikdy bych si do počítače nenainstaloval něco, co není přímo z oficiálního webu tvůrce. Warezem počínaje, SourceForge konče. Bohužel ani to už někdy nepomůže a takový µTorrent šel nedávno po letech z počítače pryč. A bohužel ani markety honbou za vyšším počtem aplikací nejsou zárukou, že si nezasviníte systém.

Těch přibalovačů je více a je přirozené, že na ně reagují i antiviry. Naneštěstí některé se při detekci chovají, jako slon v porcelánu, takže i legitimní instalátory potom dostanou na Virustotalu nálepku typu trojan.dropper a podobně. Stačí si do Google zadat např. McAfee gw edition nsis a vyběhne hodně dlouhý seznam. Bez sestavení NSIS na míru, nebo změny instalátoru, neřešitelné a klientům se falešné detekce špatně vysvětlují.

Dneska uz neni duvod, ale byvaly doby kdy Github nabizel ke stazeni pouze zdrojaky. Dneska uz muzete na GH vytorit "release" a te nahrat i zkompilovane binarky. Porad to ale neni tak primocare nako stranky SF, kde mate hned na uvodni strance projektu tlacitko "download", ktere vam nabidne binarku podle vaseho OS.

To Laci
Asi sis nevsiml, ze napadeny je instalator v okamziku stahovani a hned instalace. Nemas tedy co poslat na testy.
Vite nekdo, jak ta instalace probiha a lze-li ji prerusit a otestovat?

Virustotal je v daném případě zcela k hovnu. Ty sračky se přibalují dynamicky, stáhneš si akorát stahovač sraček a vlastní aplikace, žádný instalátor.

Stale plati, ze co je zadarmo, to je na h.... Jedina jistota je placeny hosting.

Autori Filezilly k pribalovani tech sracek dali souhlas a sami z toho profituje. Postizene uzivatele na foru opetovne posilaji k sipku. Suma sumarum - na ten krap bych nesahnul ani vidlema.

Virustotal uz ale oznaci i ten "stahovac sracek" jako virus.

Ono se to da snadno poznat podle velikosti a url ze ktere se stahuje, protoze to jde mimo sourceforge servery. Kazdopadne co nema certifikat a neni MSI balicek je hned podezrele.

FileZilla je smutny pripad, taky jsem se ji proto zbavil.