Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимость во Flatpak, позволяющая обойти режим изоляции, opennews (??), 24-Янв-21, (0) [смотреть все] Уязвимость в Flatpak, позволяющая сделать ненужное нужным , Аноним (1), 20:08 , 24-Янв-21, (1) +29 // Уязвимость в Flatpak, позволяющая сделать из установщика изолированых пакетов пр, VINRARUS (ok), 00:15 , 25-Янв-21, (35) +6 // Уязвимость во Flatpak, позволяющая сделать из установщика изолированых пакетов п, Аноним (52), 01:08 , 25-Янв-21, (52) +6 // Так и есть, в общем-то Зависимости третьей стороны в каждом пакете свои, неизве, An O Nim (?), 09:31 , 25-Янв-21, (81) Не позволяет Депенденси Хелл протухшие либы и конфликты зависимостей , Аноньимъ (ok), 14:13 , 25-Янв-21, (91) +2 Таких проблем не существует , Аноним (98), 23:38 , 25-Янв-21, (98) –2 Типа того В инфраструктуре дистра собрать удавалось с меньшими трудозатратами Ч, An O Nim (?), 13:20 , 29-Янв-21, (105) Именно поэтому, я за NixOS , Аноним (106), 15:37 , 31-Янв-21, (106) Snap нужнее не стал , Аноним (2), 20:09 , 24-Янв-21, (2) +14 // Почему Ставить всякий прикладной софт через snap нежели из пакетов, самое оно, , ОхотникНаОленей (?), 23:09 , 24-Янв-21, (31) +2 // Как и во флатпакКак и во флатпак А еще во флатпаке есть разделяемые рантаймыНо , Аноним (33), 23:21 , 24-Янв-21, (33) +1 // Охотник на оленей поймал оленя за рога, Анон1632776693 (?), 02:51 , 25-Янв-21, (58) +3 Разумеется, ведь snap и flatpak сестринские проекты, flatpak моложе, у флетпака , ОхотникНаОленей (?), 07:34 , 26-Янв-21, (101) Дадад snap и flatpak это две палочки Твикс, но как сказал человек где-то вышеНу , ОхотникНаОленей (?), 18:51 , 26-Янв-21, (102) Вот вангую что через года 2 каноникал выбросит свой снап И перейдет на flatpak , Аноним (44), 00:48 , 25-Янв-21, (44) +5 // Неее, через пару лет всё это выкинут и напишут флетснапак , Аноним (52), 01:09 , 25-Янв-21, (53) системд-флетснаппакд, муу (?), 01:50 , 25-Янв-21, (56) +6 к тому времени все перейдут на фрю, Аноним (90), 11:30 , 25-Янв-21, (90) +2 веб-версияchromium из под su, смысл его песочить, самый секурный браузер еда м, лютый жабби__ (?), 08:44 , 25-Янв-21, (73) –1 каждая софтина живёт в своём snap-окружении и она не может попортить почита, Щас начнем анонимно (?), 12:00 , 27-Янв-21, (104) Нет, только AppImage , Аноним (87), 11:10 , 25-Янв-21, (87) +4 Шедевр, девляпсы , Аноним (3), 20:10 , 24-Янв-21, (3) +7 // смузихлебы, Аноним (7), 20:20 , 24-Янв-21, (7) +6 // растофаны, Аноним (7), 20:20 , 24-Янв-21, (8) –5 // Может быть, следующие рекомендациям отдела кадров - дерзай, дерзай Но вот как, An O Nim (?), 09:34 , 25-Янв-21, (82) FlatHub пакеты не дают доступ к домашнему каталогу, нужно переопределение доступ, Аноним (2), 20:10 , 24-Янв-21, (4) –2 // у некоторых пакетов прописан доступ к домашнему каталогу по дефолту Например, х, ilyafedin (ok), 20:58 , 24-Янв-21, (16)   // Ты немного бред говоришь Flatpak умеет подсовывать фейковый home для програм, , Аноним (44), 00:34 , 25-Янв-21, (37) +1   // Как только попытаешься открыть файловый диалог без доступа к home, увидишь, что, ilyafedin (ok), 00:35 , 25-Янв-21, (38)   Ммм, файловый диалог видит вообще-то все, если он системный И еще и может перед, Аноним (44), 00:40 , 25-Янв-21, (41)   А еще если совсем все плохо да можно сделать вот так mkdir home user fakehome, Аноним (44), 00:42 , 25-Янв-21, (42)   системный файловый диалог предоставялет тулкит, что ты имеешь в виду под си, ilyafedin (ok), 00:52 , 25-Янв-21, (46)   ПОдожди а что должен увидеть файловый диалог в home username если он фейковый и, Аноним (44), 00:46 , 25-Янв-21, (43)   Ох, ты сам же мануалы-то и не читал, тогда бы знал, что приложение должно юзать , ilyafedin (ok), 00:54 , 25-Янв-21, (47)   Портальный диалог может ходить по хостовой системе часть системы же и пробрасы, ilyafedin (ok), 00:56 , 25-Янв-21, (48) +1   Суидные бинарники, опять суидные бинарники И почему меня никто не слушает , Аноним (5), 20:14 , 24-Янв-21, (5) +2 // Ах да, про порталы я уже тоже ныл Порталы это тупик, как ни крути , Аноним (5), 20:16 , 24-Янв-21, (6) Это только в Debian е, там user namespaces отключено В Arch е бинарники без SUI, Аноним (97), 17:53 , 25-Янв-21, (97) По со вершенно непонятному стечению обстоятельств практичеки все хипсторы страда, Тов Майор (?), 20:39 , 24-Янв-21, (9) +7 // зачем ты пишешь чушь на опеннете , дохтурЛол (?), 20:50 , 24-Янв-21, (11) –6 // Почему чушь В результате транспозиции межушный ганглий перестаёт быть межушным , n00by (ok), 07:39 , 25-Янв-21, (69) +1 Как хорошо, что все лучшие разработчики мира собрались в комментах на опеннете,, Аноним (12), 20:53 , 24-Янв-21, (12) +6 // Дык они ж на нем комментят а не кодят , Lex (??), 21:00 , 24-Янв-21, (19) // Хороший программист умеет грамотно и понятно написать комментарий и пишет их мно, Аноним (23), 21:18 , 24-Янв-21, (23) +6 Без ФэтФака как-то надёжней было , Аноним (52), 20:49 , 24-Янв-21, (10) +1 // На самом деле нет , Аноним (15), 20:58 , 24-Янв-21, (15) –2 // На самом деле, да Не было иллюзии безопасности , Аноним (72), 08:39 , 25-Янв-21, (72) Ну кто бы мог подумать Дырявые линуксконтейнеры опять показали себя во всей кра, псевдонимус (?), 20:53 , 24-Янв-21, (13) –3 Скрыто модератором, псевдонимус (?), 20:55 , 24-Янв-21, (14) –1 Скрыто модератором, Онаним (?), 20:59 , 24-Янв-21, (17) +5 А в обычных deb rpm пакетах вообще нету никакой изоляции, т е по уровню защиты , Нанобот (ok), 21:00 , 24-Янв-21, (18) –9 // В каком пакете идёт сам flatpak , VINRARUS (ok), 00:33 , 25-Янв-21, (36) Ну это теория На практике неочень Вот ставишь ты Flatpak пакет криптовалютного , iPony129412 (?), 04:57 , 25-Янв-21, (64) +1 В пакете из дистрибутива есть цепочка доверия к мэйнтейнеру и жёсткий контроль с, Аноним (71), 08:37 , 25-Янв-21, (71) +4 // Возможность отключить изоляцию, создаёт проблемы с безопасностью, не спорю Имхо, Нанобот (ok), 16:16 , 25-Янв-21, (96) Через deb rpm не едет неизвестно как и кем собранный блоб в комплекте с устаревш, Аноним (98), 23:42 , 25-Янв-21, (99) Вот он, набор ненужного Ну кроме Audacity может быть , Аноним (26), 22:17 , 24-Янв-21, (26) –5 // Опять какой то анонимный хрен в интернете лучше других знает, кому что нужно, Аноним (33), 22:25 , 24-Янв-21, (27) +6 // Естественно А мне это не интересно, чего там может быть нужно какой-то обезья, Аноним (26), 22:36 , 24-Янв-21, (29) Во флатпаке - точно не нужно , Аноним (1), 22:40 , 24-Янв-21, (30) +4 VLC не тронь, Я твой господин смерд (?), 03:52 , 25-Янв-21, (59) GIMP не тронь, Аноним (87), 11:12 , 25-Янв-21, (88) Octave не тронь, Аноним (87), 11:13 , 25-Янв-21, (89) Эти апликухе есть и в виде AppImage, Аноним (103), 01:48 , 27-Янв-21, (103) Base OS pkg ports profitЗачем они городят какие-то костыли , Zitz (?), 23:26 , 24-Янв-21, (34) –2 // Вот хочу я на debian stable установить новый libreoffice Или не хочу засырать с, Аноним (44), 00:38 , 25-Янв-21, (40) // Вот и нужно сделать, как в нормальных ОС базовая система и программы отдельно , Zitz (?), 00:50 , 25-Янв-21, (45) –3 // Это в которых до 2021 года в system32 кладутся левые общие либы при установке, , Dzen Python (ok), 01:05 , 25-Янв-21, (51) +1 А у вас негров линчуют c , Zitz (?), 09:47 , 25-Янв-21, (84) Это в которых можно вот так code mount -o exec tmp pkg fetch gcc48 pkg --r, анонн (ok), 15:31 , 25-Янв-21, (95) +1 Наркоман Зачем пихать в сервер-ориентед ор критикал-воркстайшн с заранее извес, Dzen Python (ok), 00:59 , 25-Янв-21, (49) // Ну ок, какой дистр мне поставить, в котором я могу заиметь несколько версий нужн, Аноним (76), 09:02 , 25-Янв-21, (76) Специально под такие потребности есть хипстерские зборачки, вроде никос Зачем тя, Dzen Python (ok), 09:08 , 25-Янв-21, (78) Который ничем не лучше флатпакаПотому что хочу Ну надо , Аноним (76), 09:16 , 25-Янв-21, (79) –1 Но не получится, ибо новый требует либо libc, которой у тебя нет в системе, либо, Аноним (52), 01:15 , 25-Янв-21, (55) –1 Пользователь debian stable не хочет устанавливать НОВОЕ каждые 5 секунд Он для , Аноним (66), 06:42 , 25-Янв-21, (66) +1 // я не хочу чтобы что-то ВНЕЗАПНО отваливалось, поэтому и выбирал такой дистр точ, Аноним (86), 10:44 , 25-Янв-21, (86) Попробуйте Guix Он решит все ваши проблемы , Аноньимъ (ok), 14:21 , 25-Янв-21, (92) Не надо в нормальных системах этого костыля Когда один и тот же софт нужно обно, Аноним (98), 23:45 , 25-Янв-21, (100) Балин, это получается шобы безопасно пользоваться контейнерами Linux нада сам Li, VINRARUS (ok), 00:37 , 25-Янв-21, (39) +2 // Контейнер на линуксе в гипервизоре контейнеризованного линукса, внутри линуксово, Dzen Python (ok), 01:01 , 25-Янв-21, (50) +5 А если бы написать на Раст , Аноним (57), 02:01 , 25-Янв-21, (57) // равносильно x10 росту дыр утечка памяти , Аноним (52), 04:21 , 25-Янв-21, (60) –4 Ток баш Или zsh или рыбку по аналогии , leibniz (??), 04:27 , 25-Янв-21, (61) // Хоть что Можно и скриптов в пользовательский авторан засунуть , iPony129412 (?), 09:25 , 25-Янв-21, (80) А может просто не нужно всякую не внушающую доверия ерунду себе устанавливать В, Аноним (63), 04:55 , 25-Янв-21, (63) +3 // А толку от этого, если любая уважающая себя ведрограмма запрашивает доступ на вс, Аноним (52), 05:58 , 25-Янв-21, (65) // Открываешь для себя fdroid Оказывается, что софт может работать с минимумом разр, Dzen Python (ok), 09:00 , 25-Янв-21, (75) // Наивный чукотский мальчик, оказывается, что софт может НЕ работать с минимумом р, Аноним (52), 09:48 , 25-Янв-21, (85) А так что вы хотите от проекта, где инструкцию на сайте поменять в два предложен, iPony129412 (?), 07:13 , 25-Янв-21, (68) Эта ссылка должна была быть в первом же комментарии про flatpak http flatkill, Аноним (70), 08:17 , 25-Янв-21, (70) +1 // Guix был бы хорош, если они сделали как в NixOS, где можно указать опцию и у теб, Gnus (?), 08:55 , 25-Янв-21, (74) // Вы можете гуикс на любой линукс установит Ос же на основе гуикса называется Guix, Аноньимъ (ok), 14:24 , 25-Янв-21, (93) Но я согласен что нужна нонфри версия Ну или возможность это легко включить , Аноньимъ (ok), 14:26 , 25-Янв-21, (94) Системы все так же отжирают собой все доступное место, спасая диск от юзерских ф, Dzen Python (ok), 09:02 , 25-Янв-21, (77) +2 Что то, что это 8212 сплошная пионерия на палках и этом самом , iPony129412 (?), 09:43 , 25-Янв-21, (83) 1,2,3,4,5,9,10,13,18,26,34,39,57,61,63,68,70

Сообщения

[Сортировка по времени | RSS]

	16. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	+/–
	Сообщение от ilyafedin (ok), 24-Янв-21, 20:58
	у некоторых пакетов прописан доступ к домашнему каталогу по дефолту. Например, хромиум не умеет в порталы, так что электроноподелкам для работы нужен доступ к домашнему каталогу, или они становятся бесполезными.
	Ответить | Правка | Наверх | Cообщить модератору

	37. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	+1 +/–
	Сообщение от Аноним (44), 25-Янв-21, 00:34
	Ты немного бред говоришь. Flatpak умеет подсовывать фейковый /home для програм, и поделия на електроне прекрасно работают без доступа вообще ко всему. Плюс никто не мешает отредактировать права доступа по умолчанию, если разработчик пакета неможет в сандбокс. Там одну строку изменить.
	Ответить | Правка | Наверх | Cообщить модератору

	38. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	+/–
	Сообщение от ilyafedin (ok), 25-Янв-21, 00:35
	> Ты немного бред говоришь. Flatpak умеет подсовывать фейковый /home для програм, и > поделия на електроне прекрасно работают без доступа вообще ко всему. > Плюс никто не мешает отредактировать права доступа по умолчанию, если разработчик пакета > неможет в сандбокс. Там одну строку изменить. Как только попытаешься открыть файловый диалог без доступа к /home, увидишь, что файловый диалог ничего не видит
	Ответить | Правка | Наверх | Cообщить модератору

	41. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	+/–
	Сообщение от Аноним (44), 25-Янв-21, 00:40
	Ммм, файловый диалог видит вообще-то все, если он системный. И еще и может передать ОДИН файл в прогу. Обнови flatpak дружище.
	Ответить | Правка | Наверх | Cообщить модератору

	42. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	+/–
	Сообщение от Аноним (44), 25-Янв-21, 00:42
	А еще. если совсем все плохо да. можно сделать вот так mkdir /home/user/fakehome_forapp HOME=/home/user/fakehome_forapp flatpak run com.garbageapplication
	Ответить | Правка | Наверх | Cообщить модератору

	46. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	+/–
	Сообщение от ilyafedin (ok), 25-Янв-21, 00:52
	> Ммм, файловый диалог видит вообще-то все, если он системный. И еще и > может передать ОДИН файл в прогу. Обнови flatpak дружище. "системный"... файловый диалог предоставялет тулкит, что ты имеешь в виду под системным? Есть, конечно, портальный, но его хромиум/электрон как раз и не умеют. Ну и сам флатпак на это влиять не может, только версия рантайма, с которой приложение собрано и версия порталов в системе.
	Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

	43. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	+/–
	Сообщение от Аноним (44), 25-Янв-21, 00:46
	ПОдожди а что должен увидеть файловый диалог в /home/username если он фейковый и пуст... пропиши проге папку в настройках /home/username/appfolder и дай доступ из flatpaka. Мануалы же читать надо. А не в GUI сидеть. Нет для флатпака нормального бекенда со всеми возможностями. Надо ставить и настраивать из консоли, или будут проблемы.
	Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

	47. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	+/–
	Сообщение от ilyafedin (ok), 25-Янв-21, 00:54
	> ПОдожди а что должен увидеть файловый диалог в /home/username если он фейковый > и пуст... пропиши проге папку в настройках /home/username/appfolder и дай доступ > из flatpaka. > Мануалы же читать надо. А не в GUI сидеть. Нет для флатпака > нормального бекенда со всеми возможностями. Надо ставить и настраивать из консоли, > или будут проблемы. Ох, ты сам же мануалы-то и не читал, тогда бы знал, что приложение должно юзать xdg-desktop-portal в флатпаке для диалогов. https://github.com/electron/electron/pull/19159
	Ответить | Правка | Наверх | Cообщить модератору

	48. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	+1 +/–
	Сообщение от ilyafedin (ok), 25-Янв-21, 00:56
	> ПОдожди а что должен увидеть файловый диалог в /home/username если он фейковый > и пуст... пропиши проге папку в настройках /home/username/appfolder и дай доступ > из flatpaka. > Мануалы же читать надо. А не в GUI сидеть. Нет для флатпака > нормального бекенда со всеми возможностями. Надо ставить и настраивать из консоли, > или будут проблемы. Портальный диалог может ходить по хостовой системе (часть системы же) и пробрасывать файлы в песочницу. Ничего руками делать не должно быть нужно.
	Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема