Разработчики проекта LineageOS, пришедшего на смену CyanogenMod после отказа от проекта компании Cyanogen Inc, представили (https://lineageos.org/Introducing-the-LineageSDK/) набор для разработчиков приложений LineageSDK (https://wiki.lineageos.org/sdk), в котором помимо штатных фреймворков платформы Android реализованы средства для задействования в приложениях программных интерфейсов, специфичных для Lineage:
- Styles API (https://wiki.lineageos.org/sdk/api/styles) для кастомизации стиля интерфейса, использования собственной цветовой палитры и переключения между светлым и тёмным режимами темы оформления.
- Profiles API (https://wiki.lineageos.org/sdk/api/profiles.html) для работы с профилями и быстрого изменения специфичных для устройства настроек (например, включение/выключение WiFi, Bluetooth и NFC, изменение громкости и яркости).URL: https://lineageos.org/Introducing-the-LineageSDK/
Новость: https://www.opennet.ru/opennews/art.shtml?num=48308
интересно, такой же ль кривой как и официальный андроидовский....который в каталог /tmp/... (tmpfs) качает кучу гоовна.. и даже если с этим путём уже заведомо существует символьная ссылка от другого (непривилигерованного) пользователя -- не смущается и пишет в неё тоже!.
? :-)
А почему он не должен? на любой чих проверять, что ли, не заменили ли стандартный каталог на левый симлинк?
Товарищ, как я понял, говорит про директория в стандартной директории. И да, надо признать, что SDK эти глубоко наколеночные, к сожалению. И "расчитывают" порой на "одна система - один пользователь"
> Товарищ, как я понял, говорит про директория в стандартной директории.да -- символьная ссылка *внутри* /tmp/
> проверять, что ли, не заменили ли стандартный каталог на левый симлинк?Если и заменили - значит так надо, пусть туда, куда указывает этот линк и пишет в таком случае. Для этого линки и придумали.
> Если и заменили - значит так надо, пусть туда, куда указывает этот
> линк и пишет в таком случае. Для этого линки и придумали.а ни чего такого что 777-права дают возможность *любому* *непривелигерованному* процессу сделать эту подмену?
(или ты тоже один из тех у кого chmod-777-головного-мозга?)
типа ты считаешь -- если левый непривелигерованный процесс выставил свою ссылку (на чужой каталог) -- то значит другой (вполне легитимный пользователь) обязан по этой ссылке теперь работать?
не находишь что эта логика охренеть какая ущербная?
и вообще не находишь что Java-программисты (а именно на java и написана SDK в части прикладной логики) -- очень часто нихрена не разбираются в элементарных базовых принципах работы GNU/Linux -- и именно по причине своей невежественности делают такие программные ляпы? может выдать свои предположения -- почему такая кореляция происходит? думаю очевидный ответ: а иначе бы эти люди вообще не писали бы на Java.
> а ни чего такого что 777-права дают возможность *любому* *непривелигерованному* процессу сделать эту подмену?
> (или ты тоже один из тех у кого chmod-777-головного-мозга?)Ох йопт, да вам батенька в школу надобно или даже в детский сад. Учи Робаческого наизусть, и только потом возвращайся.
1. 777 на каталоге даёт право записи в него, а не переименование (удаление).
2. На /tmp стоит sticky-bit, то есть хрен ты там чего переименуешь/удалишь, кроме своего.
> не находишь что эта логика охренеть какая ущербная?
> и вообще не находишь что Java-программисты ..о нихрена не разбираются в элементарных базовых принципах работы GNU/Linux --Пока "ущербная логика" и "не разбирающейся" - у тебя и ты. :D
> Пока "ущербная логика" и "не разбирающейся" - у тебя и ты. :Dпрограмма (SDK) пишет в чужую ссылку (от злоумышленника) -- если она там заранее оказалась..
где тут логика?
> не заменили ли стандартный каталог на левый симлинк*внутри* этого каталога можно подсунуть симлинк.. а реч не про ссылку "/tmp"
а так как каталог этот общий для всех пользователей -- такого рода атаки (Symlink Attack) нужно либо всегда проверять.
ЛИБО ТУПО НЕ ПОЛЬЗОВАТЬСЯ ОБЩИМИ КАТАЛОГАМИ...
> А почему он не должен? на любой чих проверять, что ли
кто мешал им использовать каталоги внутри уютного "$HOME/.my_own_sdk_trash" ? (если по умственным причинам не способены обеспечить внутри общих каталогов безопасный протокол работы)
Не использование mkstemp это немного другое - но дятлы да
А этот треш точно надо изолировать? Хотя я вообще не понимаю, на кой в андроиде (оси для персональных устройств) разделение на пользователей, но это вопрос другой.
> Хотя я вообще не понимаю, на кой в андроиде (оси для персональных устройств) разделение на пользователей,Каждое запущенное приложение - отдельный юзер, со своим namespace.
Имена UID/рандомные, хотя особо и не замороченные, типа app_33, app_52,..., создаются при старте.
а, об этом речь... Ну тогда ещё проще - софт должен сам решать, надо ли ему параноить или можно в общую кучу писать. В этом плане даже то, что накрутили начиная с 6, кажется, андроида, когда отломали нормальный доступ к sdcard - полный идиотизм.
>> не заменили ли стандартный каталог на левый симлинк
> *внутри* этого каталога можно подсунуть симлинк.. а реч не про ссылку "/tmp"
> а так как каталог этот общий для всех пользователей -- такого рода
> атаки (Symlink Attack) нужно либо всегда проверять.Ещё раз, для дятлов.
1. 777 на каталоге даёт право записи в каталог, а не его переименование (удаление).
2. На /tmp стоит sticky-bit, то есть хрен ты там чего переименуешь/удалишь, кроме своего.
ещё раз -- программа (SDK) пишет в чужую ссылку (от злоумышленника) -- если она там заранее оказалась
> А почему он не должен? на любой чих проверять, что ли, не заменили ли стандартный каталог на левый симлинк?Внутри /tmp вообще нет никаких стандартных каталогов, там всё должно создаваться mkstemp().
>> А почему он не должен? на любой чих проверять, что ли, не заменили ли стандартный каталог на левый симлинк?
> Внутри /tmp вообще нет никаких стандартных каталогов, там всё должно создаваться mkstemp().верно
Тебя это сильно напрягает?
> Тебя это сильно напрягает?да
>> Тебя это сильно напрягает?
> дада -- потомучто это чёрт возьми является индикатором!
индикатор того что если разработчики SDK делают даже такие ляпы -- на совсем простых Linux-местах..
..значит в других более сложных Linux-местах -- очевидно они накасячили тоже.
и как я создам багрепорт типа "ребятушки, ну завязывайте читать блоги по Java и сосредоточтесь на понимании как работает Linux!"?
наверняка они думают как раз наоборот -- что не обязаны знать как работает Linux, потомучто якобы Java решила за них все проблемы кросплатформенности
Хоть эти эмулированные разрешения бы добавили...
Ты про заглушки на контакты, координаты и т.д.? Так они там с незапамятных времен. "Защищенный режим" называется.
Насколько я помню, там целая эпопея была - их добавляли, потом убирали... В том, что я видел, их либо нет, либо не нашёл, надо ещё глянуть.
Перешел недавно с линейки на Copperhead OS, гораздо защищеннее и стабильнее, много годноты для приватности искоробки.
ы?
К сожалению список совместимых аппаратов не впечатляет.
сам себе зловредный буратин
По этой причине нексусы не стоит покупать. В них железных бэкдоров больше, чем в других телефонах.
Не впечатляет, это когда контора забивает жирный болт на поддержку аппарата спустя 1 год, что делают 99% контор. А список из нормальных аппаратов, по крайне мере что-то другое на андройде покупать это лютой ССЗБ.
Так купи аппарат из списка!
В чем проблэм??
Спасибо, посмотрим. Вроде попробовал большинство популярных сборок дройда, но этот пропустил.
Я вот тоже недавно на Пиксель накатил, классная прошивка.
> Перешел недавно с линейки на Copperhead OSНе умаляя достоинств системы, спрошу. Это который на все 3 Нексуса?
Да.
Ну не надо..
Там целых 8 аппаратов
CopperheadOS несвободна. Например, формально вы не можете позвонить с нее кому-нибудь по работе, т.к. коммерческое использование запрещено лицензией.
Коммерческое использование это не позвонить, а продавать ОС как продукт или в составе аппарата.
> Коммерческое использование это не позвонить, а продавать ОС как продукт или в составе аппарата.вообще-то и то и другое..
если только они не оговорили явно.
напримр -- "коммерческое использование запрещено, кроме совершения вызовов (в том числе по работе)".
вообще запрет коммерческого использования -- это очень плохая штука -- потому что на суде это может поплыть за невиданные на-первый-взгляд границы.
лучше сразу не иметь дела с такими продуктами. даже когда хотите звонить не по работе :-) ..
в какой-то момент вы будете являться пиратом, если невзначай смогли заработать/заполучить денег с использованием этой разработки.
в суд врядли на вас кто подаст -- но не думаю что вам самим будет приятно осознавать себя преступником.
Тебя в России это вообще должно волновать? Какого фига ты распинаешься?
вообще-то в России мы (граждани) тут пытаемся жить по закону. как минимум если закон соответсовует морали..то что законы не выполняют например люди из правительства (с одобрения президента, и сам президент тоже) -- это отдельная локальная проблема. не касается граждан.
> Тебя в России это вообще должно волновать? Какого фига ты распинаешься?Ты надеешься переспорить разработчиков, пользуясь их продуктом, о наивный чукотский юноша? Ну тогда и на бэкдоры потом не обижайся.
Последнее прдложение.. ну прям..
я аж прослезился )))))
Конечно!! Мы все будет терзаться сомнениями и
будем не в ладах с совестью до конца своих дней )))
Что за бред? И кто же меня остановит?
> Что за бред? И кто же меня остановит?Про винду так уже говорили. И начались активации, подписи дров, secure boot, boot guard, management engine и встроенный в ОС кейлоггер, наконец. Что из этого ты вообще сможешь распознать и нейтрализовать, слизняк?
Не знаю, довольно сыровато пока что.