| |
| 2.35, VINRARUS (ok), 00:15, 25/01/2021 [^] [^^] [^^^] [ответить]
| +6 +/– |
 Уязвимость в Flatpak, позволяющая сделать из установщика изолированых пакетов просто установщик пакетов в себе.
| | |
| |
| 3.52, Аноним (52), 01:08, 25/01/2021 [^] [^^] [^^^] [ответить]
| +6 +/– |
Уязвимость во Flatpak, позволяющая сделать из установщика изолированых пакетов просто установщик дыр.
| | |
| |
| 4.81, An O Nim (?), 09:31, 25/01/2021 [^] [^^] [^^^] [ответить]
| +/– | |
Так и есть, в общем-то. Зависимости третьей стороны в каждом пакете свои, неизвестно кто собирает, а то и просто чужие готовые бинари.
Если исходники нужного приложения ещё можно посмотреть/пересобрать, например. То зависимости - трудоёмко.
Выходит, тащишь в систему непроверяемый/неизвестный код третьей стороны. А вот классическое устройство дистрибутива позволяет легко получить и собрать все части - apt get install *src*deb
| | |
| |
| 5.91, Аноньимъ (ok), 14:13, 25/01/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
 >А вот классическое устройство дистрибутива позволяет легко получить и собрать все части
>apt
Не позволяет.
Депенденси Хелл протухшие либы и конфликты зависимостей.
| | |
| |
| |
| 7.105, An O Nim (?), 13:20, 29/01/2021 [^] [^^] [^^^] [ответить]
| +/– | |
Типа того.
В инфраструктуре дистра собрать удавалось с меньшими трудозатратами. Чем разбежавшийся зоопарк третьей стороны.
Может потому как дистр славен своей системой контроля качества. Бывают и другие, да.
| | |
|
|
|
|
|
|
| |
| |
| 3.33, Аноним (33), 23:21, 24/01/2021 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> когда каждая софтина живёт в своём snap-окружении
Как и во флатпак
> А ещё в snap унифицирован контроль над ресурсами приложению
Как и во флатпак. А еще во флатпаке есть разделяемые рантаймы
Но как видим, это все не спасает, и в снапе найдут дыры когда-нибудь
| | |
| |
| 4.102, ОхотникНаОленей (?), 18:51, 26/01/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> Как и в Flatpak
Дадад snap и flatpak это две палочки Твикс, но как сказал человек где-то выше
> Когда нибудь найдут дыру и в snap
Ну вообще методологию эшелонированой защиты никто не отменял, и как правильно сказал человек выше, любая дырявось в flatpak превращает "изолированные" flatpak приложения в обычные "из папки opt" (как у 99% оленей сейчас, которым "ненужное не нужно")
| | |
|
| 3.44, Аноним (44), 00:48, 25/01/2021 [^] [^^] [^^^] [ответить]
| +5 +/– |
Вот вангую что через года 2 каноникал выбросит свой снап. И перейдет на flatpak...
| | |
| 3.73, лютый жабби__ (?), 08:44, 25/01/2021 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>телеграмы
веб-версия
>хромы
chromium из под su, смысл его песочить, самый секурный браузер )
>прочая снедь
еда? может просто совсем не устанавливать откровенное гомно?
| | |
| 3.104, Щас начнем анонимно (?), 12:00, 27/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
"...каждая софтина живёт в своём snap-окружении (и она не может попортить/почитать конфиги соседних приложений одного юзера из его .config папки,..."
Смешно. На днях по приколу поставил snap chromium и он автоматом подтянул в себя все настройки и расширения из установленного Chromium.
| | |
|
|
| 1.3, Аноним (3), 20:10, 24/01/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +7 +/– | |
> несмотря на наличие в описании пакета метки "sandboxed"
Шедевр, девляпсы!!!
| | |
| |
| |
| |
| 4.82, An O Nim (?), 09:34, 25/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
Может быть, следующие рекомендациям отдела кадров - дерзай, дерзай... Но вот как правильно дерзать - этому, почему-то, уже не учат в кадрах. Т.к. это дело ВУЗ'а/Универа.
| | |
|
|
|
| 1.4, Аноним (2), 20:10, 24/01/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
FlatHub пакеты не дают доступ к домашнему каталогу, нужно переопределение доступов.
| | |
| |
| 2.16, ilyafedin (ok), 20:58, 24/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
 у некоторых пакетов прописан доступ к домашнему каталогу по дефолту. Например, хромиум не умеет в порталы, так что электроноподелкам для работы нужен доступ к домашнему каталогу, или они становятся бесполезными.
| | |
| |
| 3.37, Аноним (44), 00:34, 25/01/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ты немного бред говоришь. Flatpak умеет подсовывать фейковый /home для програм, и поделия на електроне прекрасно работают без доступа вообще ко всему.
Плюс никто не мешает отредактировать права доступа по умолчанию, если разработчик пакета неможет в сандбокс. Там одну строку изменить.
| | |
| |
| 4.38, ilyafedin (ok), 00:35, 25/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
> Ты немного бред говоришь. Flatpak умеет подсовывать фейковый /home для програм, и
> поделия на електроне прекрасно работают без доступа вообще ко всему.
> Плюс никто не мешает отредактировать права доступа по умолчанию, если разработчик пакета
> неможет в сандбокс. Там одну строку изменить.
Как только попытаешься открыть файловый диалог без доступа к /home, увидишь, что файловый диалог ничего не видит
| | |
| |
| 5.41, Аноним (44), 00:40, 25/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
Ммм, файловый диалог видит вообще-то все, если он системный. И еще и может передать ОДИН файл в прогу. Обнови flatpak дружище.
| | |
| |
| 6.42, Аноним (44), 00:42, 25/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
А еще. если совсем все плохо да. можно сделать вот так
mkdir /home/user/fakehome_forapp
HOME=/home/user/fakehome_forapp flatpak run com.garbageapplication
| | |
| 6.46, ilyafedin (ok), 00:52, 25/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
> Ммм, файловый диалог видит вообще-то все, если он системный. И еще и
> может передать ОДИН файл в прогу. Обнови flatpak дружище.
"системный"... файловый диалог предоставялет тулкит, что ты имеешь в виду под системным? Есть, конечно, портальный, но его хромиум/электрон как раз и не умеют.
Ну и сам флатпак на это влиять не может, только версия рантайма, с которой приложение собрано и версия порталов в системе.
| | |
|
| 5.43, Аноним (44), 00:46, 25/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
ПОдожди а что должен увидеть файловый диалог в /home/username если он фейковый и пуст... пропиши проге папку в настройках /home/username/appfolder и дай доступ из flatpaka.
Мануалы же читать надо. А не в GUI сидеть. Нет для флатпака нормального бекенда со всеми возможностями. Надо ставить и настраивать из консоли, или будут проблемы.
| | |
| |
| 6.47, ilyafedin (ok), 00:54, 25/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
> ПОдожди а что должен увидеть файловый диалог в /home/username если он фейковый
> и пуст... пропиши проге папку в настройках /home/username/appfolder и дай доступ
> из flatpaka.
> Мануалы же читать надо. А не в GUI сидеть. Нет для флатпака
> нормального бекенда со всеми возможностями. Надо ставить и настраивать из консоли,
> или будут проблемы.
Ох, ты сам же мануалы-то и не читал, тогда бы знал, что приложение должно юзать xdg-desktop-portal в флатпаке для диалогов.
https://github.com/electron/electron/pull/19159
| | |
| 6.48, ilyafedin (ok), 00:56, 25/01/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
> ПОдожди а что должен увидеть файловый диалог в /home/username если он фейковый
> и пуст... пропиши проге папку в настройках /home/username/appfolder и дай доступ
> из flatpaka.
> Мануалы же читать надо. А не в GUI сидеть. Нет для флатпака
> нормального бекенда со всеми возможностями. Надо ставить и настраивать из консоли,
> или будут проблемы.
Портальный диалог может ходить по хостовой системе (часть системы же) и пробрасывать файлы в песочницу. Ничего руками делать не должно быть нужно.
| | |
|
|
|
|
|
| 1.5, Аноним (5), 20:14, 24/01/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Суидные бинарники, опять суидные бинарники. И почему меня никто не слушает?
| | |
| |
| 2.6, Аноним (5), 20:16, 24/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
Ах да, про порталы я уже тоже ныл. Порталы это тупик, как ни крути.
| | |
| 2.97, Аноним (97), 17:53, 25/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
Это только в Debian'е, там user namespaces отключено. В Arch'е бинарники без SUID.
| | |
|
| 1.9, Тов Майор (?), 20:39, 24/01/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +7 +/– |
По со вершенно непонятному стечению обстоятельств практичеки все хипсторы страдают от недуга "напихай по больше про безопастнось и непофтормые фичи твоего смузи продукта даже не понимая смысла использованных терминов"
отягощенного транспозицией головного мозга и седалища.
Потому то хипстоподелки видимо и напоминают разваливающиеся китайские игрушки из 90х.
| | |
| |
| |
| 3.69, n00by (ok), 07:39, 25/01/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Почему чушь? В результате транспозиции межушный ганглий перестаёт быть межушным.
| | |
|
| 2.12, Аноним (12), 20:53, 24/01/2021 [^] [^^] [^^^] [ответить]
| +6 +/– |
Как хорошо, что все лучшие разработчики мира собрались в комментах на опеннете, так мне спокойней за любимый сайт.
| | |
| |
| |
| 4.23, Аноним (23), 21:18, 24/01/2021 [^] [^^] [^^^] [ответить]
| +6 +/– |
Хороший программист умеет грамотно и понятно написать комментарий и пишет их много
| | |
|
|
|
| 1.13, псевдонимус (?), 20:53, 24/01/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– | |
Ну кто бы мог подумать! Дырявые линуксконтейнеры опять показали себя во всей красе.
Но опенвзлевое использовать не будем. Там патчи не шапкины.
| | |
| 1.18, Нанобот (ok), 21:00, 24/01/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –9 +/– |
 А в обычных deb/rpm пакетах вообще нету никакой изоляции, т.е. по уровню защиты deb/rpm соответствует дырявой версии flatpak. Вот только во flatpak ошибку исправили и теперь порядок, а deb/rpm как соответствовали дырявыми версиями flatpak, так и останутся такими навсегда
| | |
| |
| 2.64, iPony129412 (?), 04:57, 25/01/2021 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> А в обычных deb/rpm пакетах вообще нету никакой изоляции, т.е. по уровню защиты deb/rpm соответствует дырявой версии flatpak.
Ну это теория. На практике неочень.
Вот ставишь ты Flatpak пакет криптовалютного кошелька. А его естественно делает левый пионер, не связанный с основным проектом (это обычное явление во Flathub).
Он попионерит, и забьёт, а ты будешь с дырявой версий сидеть с возможностью пенетрации.
Ну или вообще захочет вредонос встроить — сложности не составит. Особых уж проверок нет.
| | |
| 2.71, Аноним (71), 08:37, 25/01/2021 [^] [^^] [^^^] [ответить]
| +4 +/– |
В пакете из дистрибутива есть цепочка доверия к мэйнтейнеру и жёсткий контроль сообщества, а во Flathub пакеты публикует непойми кто и проверяют непойми как. Поэтому изоляция запуска содержимого во flatpak должна быть обязательной и полной, но её каждый второй автор пакета отключает. Как следствие, если на пакет не ссылается основной проект как заслуживающий доверия, риски при запуске flatpak мало чем отличаются от запуска первого попавшегося в интернете бинарника.
| | |
| |
| 3.96, Нанобот (ok), 16:16, 25/01/2021 [^] [^^] [^^^] [ответить]
| +/– | |
Возможность отключить изоляцию, создаёт проблемы с безопасностью, не спорю. Имхо, могли бы запилить какой-нибудь режим повышеной безопасности, не позволяющий устанавливать пакеты со слабой изоляцией...
А насчёт доверия мейнтейнеру - можно, на доверии всё человеческое общество устроено, но я бы всё же предпочёл доверять алгоритму, а не людишкам (компьютеры ненадёжны, люди - ещё ненадёжнее -- из законов мерфи)
| | |
|
| 2.99, Аноним (98), 23:42, 25/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
Через deb/rpm не едет неизвестно как и кем собранный блоб в комплекте с устаревшими дырявыми зависимостями.
| | |
|
| 1.26, Аноним (26), 22:17, 24/01/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –5 +/– | |
> GIMP, VSCodium, PyCharm, Octave, Inkscape, Audacity и VLC
Вот он, набор ненужного!) Ну кроме Audacity может быть.
| | |
| |
| 2.27, Аноним (33), 22:25, 24/01/2021 [^] [^^] [^^^] [ответить]
| +6 +/– |
Опять какой то анонимный хрен в интернете лучше других знает, кому что нужно
| | |
| |
| 3.29, Аноним (26), 22:36, 24/01/2021 [^] [^^] [^^^] [ответить]
| +/– | |
Естественно! :)
> кому что нужно
А мне это не интересно, чего там может быть нужно какой-то обезьянке.
| | |
|
| 2.103, Аноним (103), 01:48, 27/01/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> GIMP, Inkscape, Audacity и VLC
Эти апликухе есть и в виде AppImage
| | |
|
| 1.34, Zitz (?), 23:26, 24/01/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– | |
Base OS + pkg/ports = profit
Зачем они городят какие-то костыли?
| | |
| |
| 2.40, Аноним (44), 00:38, 25/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
Вот хочу я на debian stable установить новый libreoffice. Или не хочу засырать систему стимом. Или хочу чтоб у меня работал последний месенджер, разрабы которого постоянного обновляют его.
| | |
| |
| 3.45, Zitz (?), 00:50, 25/01/2021 [^] [^^] [^^^] [ответить]
| –3 +/– |
Вот и нужно сделать, как в нормальных ОС: базовая система и программы отдельно. Windows, macOS, FreeBSD так и работают. Там всегда самый новейший софт при том, что сама система от него вообще никак не зависит.
| | |
| |
| 4.51, Dzen Python (ok), 01:05, 25/01/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Это в которых до 2021 года в \system32 кладутся левые общие либы при установке, а для реализации принципа разделяемых библиотек есть папочка \winsxs, где, подумать только, лежат хардилнки на все библиотеки, которые только есть в системе, и без работы с дисмом расплывшуюся до неприличных размеров после пары кумулятивок хрен сожмешь (удалая ненужные обновления, лишая себя возможности отката системы)?
До-до, нам в лянуксах такого шедевра костылестроения только не хватало.
| | |
| |
| 5.95, анонн (ok), 15:31, 25/01/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > Это в которых до 2021 года в \system32 кладутся левые общие либы
> при установке, а для реализации принципа разделяемых библиотек есть папочка \winsxs,
Это в которых можно вот так:
# mount -o exec /tmp
$ pkg fetch gcc48
# pkg --rootdir /tmp/test add --accept-missing -f /var/cache/pkg/gcc48-4.8.5_13.txz
Installing gcc48-4.8.5_13...
pkg: Missing dependency 'binutils'
pkg: Missing dependency 'gmp'
pkg: Missing dependency 'indexinfo'
pkg: Missing dependency 'mpc'
pkg: Missing dependency 'mpfr'
Extracting gcc48-4.8.5_13: 100%
...
Unsupported by upstream since 2015. Use GCC 10 or newer instead
$ /tmp/test/usr/local/bin/gcc48 -v
Using built-in specs.
COLLECT_GCC=/tmp/test/usr/local/bin/gcc48
COLLECT_LTO_WRAPPER=/tmp/test/usr/local/bin/../libexec/gcc48/gcc/x86_64-portbld-freebsd12.1/4.8.5/lto-wrapper
Target: x86_64-portbld-freebsd12.1
Configured with: /wrkdirs/usr/ports/lang/
...
/info/gcc48 --build=x86_64-portbld-freebsd12.1
Thread model: posix
gcc version 4.8.5 (FreeBSD Ports Collection)
но да, можно вместо этого попетросянить о венде и заявить "нищитаица!!1"
| | |
|
|
| 3.49, Dzen Python (ok), 00:59, 25/01/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> На дебиан-стейбл
Наркоман.
Зачем пихать в сервер-ориентед ор критикал-воркстайшн (с заранее известной смесью рабочих приложений) но-гуй-бест-вей сборку дебиана, ради которой и затевается вся это мура с фильтрацией sid-unstable-testing, патчами и заморозками мокрокисечный софт. Ну или околопрориентарь, вроде стимов/мессенджеров?
Нет, просто ход мыслей непонятен.
| | |
| |
| 4.76, Аноним (76), 09:02, 25/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
Ну ок, какой дистр мне поставить, в котором я могу заиметь несколько версий нужной мне проги одновременно, ну или просто взять ту, которая нужна, не важно, новая она или старая?
| | |
| |
| 5.78, Dzen Python (ok), 09:08, 25/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
Специально под такие потребности есть хипстерские зборачки, вроде никос.
Зачем тянуть в специально стабилизированную систему проприентарь?
| | |
| |
| 6.79, Аноним (76), 09:16, 25/01/2021 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> хипстерские зборачки, вроде никос
Который ничем не лучше флатпака
> Зачем тянуть в специально стабилизированную систему проприентарь?
Потому что хочу. Ну надо.
| | |
|
|
|
| 3.55, Аноним (52), 01:15, 25/01/2021 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Вот хочу я ... новый ...
Но не получится, ибо новый требует либо libc, которой у тебя нет в системе, либо libc вшита в пакет, но требует новое ядро. И нифига в этом фэтфаке у тебя не работает.
| | |
| 3.66, Аноним (66), 06:42, 25/01/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Пользователь debian stable не хочет устанавливать НОВОЕ каждые 5 секунд. Он для того такой дистр и выбрал.
| | |
| |
| 4.86, Аноним (86), 10:44, 25/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
я не хочу чтобы что-то ВНЕЗАПНО отваливалось, поэтому и выбирал такой дистр (точнее одна из причин). А вот новое оно или нет, мне как-то без разницы в большинстве случаев.
| | |
|
|
| 2.100, Аноним (98), 23:45, 25/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
Не надо в нормальных системах этого костыля. Когда один и тот же софт нужно обновлять размыми несовместимыми способами, системный openssl конфликтует с портовым, и в системе всегда есть сендмейл и прочее никому ненужное говно которое простым способом не удалить. FreeBSD переедет целиком на пакеты рано или поздно.
| | |
|
| 1.39, VINRARUS (ok), 00:37, 25/01/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Балин, это получается шобы безопасно пользоваться контейнерами Linux нада сам Linux в контейнере виртуалки запускать, а лучше ещо пару вложеных контейнера в контейнере?
| | |
| |
| 2.50, Dzen Python (ok), 01:01, 25/01/2021 [^] [^^] [^^^] [ответить]
| +5 +/– |
Контейнер на линуксе в гипервизоре контейнеризованного линукса, внутри линуксовой виртуалки на линуксовом гипервизоре.
Базарю, хакеры сами тебе денег отсыпят, лишь бы перестал так упарываться
| | |
|
| 1.61, leibniz (??), 04:27, 25/01/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> атакующему для выполнения своего кода достаточно изменить файл ~/.bashrc
Ток баш? Или zsh или рыбку по аналогии?
| | |
| 1.63, Аноним (63), 04:55, 25/01/2021 [ответить] [﹢﹢﹢] [ · · · ] | +3 +/– | А может просто не нужно всякую не внушающую доверия ерунду себе устанавливать В... большой текст свёрнут, показать | | |
| |
| 2.65, Аноним (52), 05:58, 25/01/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> В Android вот есть изоляция приложений и разграничение прав
А толку от этого, если любая уважающая себя ведрограмма запрашивает доступ на всё на свете, иначе отказывается работать.
| | |
| |
| 3.75, Dzen Python (ok), 09:00, 25/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
Открываешь для себя fdroid
@
Оказывается, что софт может работать с минимумом разрешений
| | |
| |
| 4.85, Аноним (52), 09:48, 25/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
Наивный чукотский мальчик, оказывается, что софт может НЕ работать с минимумом разрешений.
| | |
|
|
|
| |
| 2.74, Gnus (?), 08:55, 25/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
Guix был бы хорош, если они сделали как в NixOS, где можно указать опцию и у тебя есть non-free, а так приходится собирать самому ядро с доступом к firmware, без которых AMD карты - тыквы.
| | |
| |
| 3.93, Аноньимъ (ok), 14:24, 25/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
Вы можете гуикс на любой линукс установит.
Ос же на основе гуикса называется GuixSD.
| | |
| 3.94, Аноньимъ (ok), 14:26, 25/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
Но я согласен что нужна нонфри версия. Ну или возможность это легко включить.
| | |
|
| 2.77, Dzen Python (ok), 09:02, 25/01/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
Системы все так же отжирают собой все доступное место, спасая диск от юзерских файлов?
| | |
|
|
