The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость во Flatpak, позволяющая обойти режим изоляции"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от opennews (??), 24-Янв-21, 20:08 
В инструментарии для создания самодостаточных пакетов  Flatpak выявлена уязвимость (CVE-2021-21261), позволяющая обойти режим sandbox-изоляции и выполнить произвольный код в окружении основной системы. Проблема устранена в версиях 1.10.0 и 1.8.5, но позднее в исправлении всплыло регрессивное изменение, вызывающее проблемы при сборке на системах с прослойкой bubblewrap, установленной с флагом setuid. Регрессия устранена в выпуске 1.10.1 (обновление для ветки 1.8.x пока недоступно)...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54461

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 24-Янв-21, 20:08   +29 +/
Уязвимость в Flatpak, позволяющая сделать ненужное нужным?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #35

2. Сообщение от Аноним (2), 24-Янв-21, 20:09   +14 +/
Snap нужнее не стал.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31, #87

3. Сообщение от Аноним (3), 24-Янв-21, 20:10   +7 +/
> несмотря на наличие в описании пакета метки "sandboxed"

Шедевр, девляпсы!!!

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7

4. Сообщение от Аноним (2), 24-Янв-21, 20:10   –2 +/
FlatHub пакеты не дают доступ к домашнему каталогу, нужно переопределение доступов.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16

5. Сообщение от Аноним (5), 24-Янв-21, 20:14   +2 +/
Суидные бинарники, опять суидные бинарники. И почему меня никто не слушает?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #97

6. Сообщение от Аноним (5), 24-Янв-21, 20:16   +/
Ах да, про порталы я уже тоже ныл. Порталы это тупик, как ни крути.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

7. Сообщение от Аноним (7), 24-Янв-21, 20:20   +6 +/
смузихлебы
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #8

8. Сообщение от Аноним (7), 24-Янв-21, 20:20   –5 +/
растофаны
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #82

9. Сообщение от Тов Майор (?), 24-Янв-21, 20:39   +7 +/
По со вершенно непонятному стечению обстоятельств практичеки все хипсторы страдают от недуга "напихай по больше про безопастнось и непофтормые фичи твоего смузи продукта даже не понимая смысла использованных терминов"
отягощенного транспозицией головного мозга и седалища.
Потому то хипстоподелки видимо и напоминают разваливающиеся китайские игрушки из 90х.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #12

10. Сообщение от Аноним (52), 24-Янв-21, 20:49   +1 +/
Без ФэтФака как-то надёжней было.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15

11. Сообщение от дохтурЛол (?), 24-Янв-21, 20:50   –6 +/
зачем ты пишешь чушь на опеннете?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #69

12. Сообщение от Аноним (12), 24-Янв-21, 20:53   +6 +/
Как хорошо, что  все лучшие разработчики мира собрались в комментах на опеннете, так мне спокойней за любимый сайт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #19

13. Сообщение от псевдонимус (?), 24-Янв-21, 20:53   –3 +/
Ну кто бы мог подумать! Дырявые линуксконтейнеры опять показали себя во всей красе.

Но опенвзлевое использовать не будем. Там патчи не шапкины.

Ответить | Правка | Наверх | Cообщить модератору

14. Сообщение от псевдонимус (?), 24-Янв-21, 20:55   –1 +/
И опять дырка в Дубасе.. но копрофаги будут дальше уплетать за обе щеки.
Ответить | Правка | Наверх | Cообщить модератору

15. Сообщение от Аноним (15), 24-Янв-21, 20:58   –2 +/
На самом деле нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #72

16. Сообщение от ilyafedin (ok), 24-Янв-21, 20:58   +/
у некоторых пакетов прописан доступ к домашнему каталогу по дефолту. Например, хромиум не умеет в порталы, так что электроноподелкам для работы нужен доступ к домашнему каталогу, или они становятся бесполезными.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #37

17. Сообщение от Онаним (?), 24-Янв-21, 20:59   +5 +/
Очередная адовая дырка у смузихлёбов?
Как-то уже привычно и обыденно.
Ответить | Правка | Наверх | Cообщить модератору

18. Сообщение от Нанобот (ok), 24-Янв-21, 21:00   –9 +/
А в обычных deb/rpm пакетах вообще нету никакой изоляции, т.е. по уровню защиты deb/rpm соответствует дырявой версии flatpak. Вот только во flatpak ошибку исправили и теперь порядок, а deb/rpm как соответствовали дырявыми версиями flatpak, так и останутся такими навсегда
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #36, #64, #71, #99

19. Сообщение от Lex (??), 24-Янв-21, 21:00   +/
Дык они ж на нем комментят а не кодят :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #23

23. Сообщение от Аноним (23), 24-Янв-21, 21:18   +6 +/
Хороший программист умеет грамотно и понятно написать комментарий и пишет их много
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

26. Сообщение от Аноним (26), 24-Янв-21, 22:17   –5 +/
> GIMP, VSCodium, PyCharm, Octave, Inkscape, Audacity и VLC

Вот он, набор ненужного!) Ну кроме Audacity может быть.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27, #59, #88, #89, #103

27. Сообщение от Аноним (33), 24-Янв-21, 22:25   +6 +/
Опять какой то анонимный хрен в интернете лучше других знает, кому что нужно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #29, #30

29. Сообщение от Аноним (26), 24-Янв-21, 22:36   +/
Естественно! :)

> кому что нужно

А мне это не интересно, чего там может быть нужно какой-то обезьянке.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

30. Сообщение от Аноним (1), 24-Янв-21, 22:40   +4 +/
Во флатпаке - точно не нужно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

31. Сообщение от ОхотникНаОленей (?), 24-Янв-21, 23:09   +2 +/
Почему? Ставить всякий прикладной софт через snap нежели из пакетов, самое оно, когда каждая софтина живёт в своём snap-окружении (и она не может попортить/почитать конфиги соседних приложений одного юзера из его .config папки, и другие не могут, т.к. монтируется snapfs с целоостностью бинарников.

Всякие телеграмы, хромы, прочая снедь, ей самое место в снап, так надёжнее и дешевле чем заводить lxd или kata-containers для каждого.

У известных пакетов типа apache, mysql я понимаю по своему юзер/группе и это решается стандартными правами.

Но заводить по юзеру на каждое прикладное? И как оно в десктопе, в контексте одного $home жить будет?

Умных все корчат и вторят ернуду.

А ещё в snap унифицирован контроль над ресурсами приложению, можно в один чих дать или нет интернет/сеть приложению, дать или нет соединению с другими, микрофон, камера, все все видно что потребляет приложение и можно дать/забрать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #33, #44, #73, #104

33. Сообщение от Аноним (33), 24-Янв-21, 23:21   +1 +/
> когда каждая софтина живёт в своём snap-окружении

Как и во флатпак

> А ещё в snap унифицирован контроль над ресурсами приложению

Как и во флатпак. А еще во флатпаке есть разделяемые рантаймы

Но как видим, это все не спасает, и в снапе найдут дыры когда-нибудь

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #58, #101, #102

34. Сообщение от Zitz (?), 24-Янв-21, 23:26   –2 +/
Base OS + pkg/ports = profit

Зачем они городят какие-то костыли?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #40, #100

35. Сообщение от VINRARUS (ok), 25-Янв-21, 00:15   +6 +/
Уязвимость в Flatpak, позволяющая сделать из установщика изолированых пакетов просто установщик пакетов в себе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #52

36. Сообщение от VINRARUS (ok), 25-Янв-21, 00:33   +/
В каком пакете идёт сам flatpak?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

37. Сообщение от Аноним (44), 25-Янв-21, 00:34   +1 +/
Ты немного бред говоришь. Flatpak умеет подсовывать фейковый /home для програм, и поделия на електроне прекрасно работают без доступа вообще ко всему.
Плюс никто не мешает отредактировать права доступа по умолчанию, если разработчик пакета неможет в сандбокс. Там одну строку изменить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #38

38. Сообщение от ilyafedin (ok), 25-Янв-21, 00:35   +/
> Ты немного бред говоришь. Flatpak умеет подсовывать фейковый /home для програм, и
> поделия на електроне прекрасно работают без доступа вообще ко всему.
> Плюс никто не мешает отредактировать права доступа по умолчанию, если разработчик пакета
> неможет в сандбокс. Там одну строку изменить.

Как только попытаешься открыть файловый диалог без доступа к /home, увидишь, что файловый диалог ничего не видит

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #41, #43

39. Сообщение от VINRARUS (ok), 25-Янв-21, 00:37   +2 +/
Балин, это получается шобы безопасно пользоваться контейнерами Linux нада сам Linux в контейнере виртуалки запускать, а лучше ещо пару вложеных контейнера в контейнере?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #50

40. Сообщение от Аноним (44), 25-Янв-21, 00:38   +/
Вот хочу я на debian stable установить новый libreoffice. Или не хочу засырать систему стимом. Или хочу чтоб у меня работал последний месенджер, разрабы которого постоянного обновляют его.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #45, #49, #55, #66, #92

41. Сообщение от Аноним (44), 25-Янв-21, 00:40   +/
Ммм, файловый диалог видит вообще-то все, если он системный. И еще и может передать ОДИН файл в прогу. Обнови flatpak дружище.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #42, #46

42. Сообщение от Аноним (44), 25-Янв-21, 00:42   +/
А еще. если совсем все плохо да. можно сделать вот так
mkdir /home/user/fakehome_forapp
HOME=/home/user/fakehome_forapp flatpak run com.garbageapplication
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

43. Сообщение от Аноним (44), 25-Янв-21, 00:46   +/
ПОдожди а что должен увидеть файловый диалог в /home/username если он фейковый и пуст... пропиши проге папку в настройках /home/username/appfolder и дай доступ из flatpaka.
Мануалы же читать надо. А не в GUI сидеть. Нет для флатпака нормального бекенда со всеми возможностями. Надо ставить и настраивать из консоли, или будут проблемы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #47, #48

44. Сообщение от Аноним (44), 25-Янв-21, 00:48   +5 +/
Вот вангую что через года 2 каноникал выбросит свой снап. И перейдет на flatpak...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #53, #90

45. Сообщение от Zitz (?), 25-Янв-21, 00:50   –3 +/
Вот и нужно сделать, как в нормальных ОС: базовая система и программы отдельно. Windows, macOS, FreeBSD так и работают. Там всегда самый новейший софт при том, что сама система от него вообще никак не зависит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #51

46. Сообщение от ilyafedin (ok), 25-Янв-21, 00:52   +/
> Ммм, файловый диалог видит вообще-то все, если он системный. И еще и
> может передать ОДИН файл в прогу. Обнови flatpak дружище.

"системный"... файловый диалог предоставялет тулкит, что ты имеешь в виду под системным? Есть, конечно, портальный, но его хромиум/электрон как раз и не умеют.
Ну и сам флатпак на это влиять не может, только версия рантайма, с которой приложение собрано и версия порталов в системе.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

47. Сообщение от ilyafedin (ok), 25-Янв-21, 00:54   +/
> ПОдожди а что должен увидеть файловый диалог в /home/username если он фейковый
> и пуст... пропиши проге папку в настройках /home/username/appfolder и дай доступ
> из flatpaka.
> Мануалы же читать надо. А не в GUI сидеть. Нет для флатпака
> нормального бекенда со всеми возможностями. Надо ставить и настраивать из консоли,
> или будут проблемы.

Ох, ты сам же мануалы-то и не читал, тогда бы знал, что приложение должно юзать xdg-desktop-portal в флатпаке для диалогов.
https://github.com/electron/electron/pull/19159

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

48. Сообщение от ilyafedin (ok), 25-Янв-21, 00:56   +1 +/
> ПОдожди а что должен увидеть файловый диалог в /home/username если он фейковый
> и пуст... пропиши проге папку в настройках /home/username/appfolder и дай доступ
> из flatpaka.
> Мануалы же читать надо. А не в GUI сидеть. Нет для флатпака
> нормального бекенда со всеми возможностями. Надо ставить и настраивать из консоли,
> или будут проблемы.

Портальный диалог может ходить по хостовой системе (часть системы же) и пробрасывать файлы в песочницу. Ничего руками делать не должно быть нужно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

49. Сообщение от Dzen Python (ok), 25-Янв-21, 00:59   +/
> На дебиан-стейбл

Наркоман.
Зачем пихать в сервер-ориентед ор критикал-воркстайшн (с заранее известной смесью рабочих приложений) но-гуй-бест-вей сборку дебиана, ради которой и затевается вся это мура с фильтрацией sid-unstable-testing, патчами и заморозками мокрокисечный софт. Ну или околопрориентарь, вроде стимов/мессенджеров?
Нет, просто ход мыслей непонятен.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #76

50. Сообщение от Dzen Python (ok), 25-Янв-21, 01:01   +5 +/
Контейнер на линуксе в гипервизоре контейнеризованного линукса, внутри линуксовой виртуалки на линуксовом гипервизоре.
Базарю, хакеры сами тебе денег отсыпят, лишь бы перестал так упарываться
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

51. Сообщение от Dzen Python (ok), 25-Янв-21, 01:05   +1 +/
Это в которых до 2021 года в \system32 кладутся левые общие либы при установке, а для реализации принципа разделяемых библиотек есть папочка \winsxs, где, подумать только, лежат хардилнки на все библиотеки, которые только есть в системе, и без работы с дисмом расплывшуюся до неприличных размеров после пары кумулятивок хрен сожмешь (удалая ненужные обновления, лишая себя возможности отката системы)?
До-до, нам в лянуксах такого шедевра костылестроения только не хватало.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #84, #95

52. Сообщение от Аноним (52), 25-Янв-21, 01:08   +6 +/
Уязвимость во Flatpak, позволяющая сделать из установщика изолированых пакетов просто установщик дыр.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #81

53. Сообщение от Аноним (52), 25-Янв-21, 01:09   +/
Неее, через пару лет всё это выкинут и напишут флетснапак.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #56

55. Сообщение от Аноним (52), 25-Янв-21, 01:15   –1 +/
> Вот хочу я ... новый ...

Но не получится, ибо новый требует либо libc, которой у тебя нет в системе, либо libc вшита в пакет, но требует новое ядро. И нифига в этом фэтфаке у тебя не работает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

56. Сообщение от муу (?), 25-Янв-21, 01:50   +6 +/
системд-флетснаппакд
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

57. Сообщение от Аноним (57), 25-Янв-21, 02:01   +/
А если бы написать на Раст...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #60

58. Сообщение от Анон1632776693 (?), 25-Янв-21, 02:51   +3 +/
Охотник на оленей поймал оленя за рога
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

59. Сообщение от Я твой господин смерд (?), 25-Янв-21, 03:52   +/
VLC не тронь
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

60. Сообщение от Аноним (52), 25-Янв-21, 04:21   –4 +/
равносильно x10 росту дыр + утечка памяти.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

61. Сообщение от leibniz (??), 25-Янв-21, 04:27   +/
> атакующему для выполнения своего кода достаточно изменить файл ~/.bashrc

Ток баш? Или zsh или рыбку по аналогии?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #80

63. Сообщение от Аноним (63), 25-Янв-21, 04:55   +3 +/
А может просто не нужно всякую не внушающую доверия ерунду себе устанавливать? В Android вот есть изоляция приложений и разграничение прав, и что, мало малвари на Гуглплее? Только видимость безопасности и больше защита интересов издателей, а не пользователей.

Может лучше не изолировать, а интегрировать? Ущербна сама концепция "приложений". ОС должна быть расширяемой, дополняться новыми функциями, которые можно произвольно сочетать для решения своих задач. А сейчас мы имеем коллекцию виртуальных устройств: вот вам программа-калькулятор, а вот печатная машинка, и что-то для рисования: можно использовать одно или другое — они как отдельные предметы, которые лежали на физическом рабочем столе, только переключаться между ними стало немного легче. Юникс и ГНУ/Линукс были именно расширяемыми системами, но для графического интерфейса взяли коммерчески-ориентированный десктоп с приложениями, унаследованный от Мака и Виндовс, вместо того, чтобы ориентироваться на изначальные (еще не извращенные) идеи графического интерфейса PARC.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #65

64. Сообщение от iPony129412 (?), 25-Янв-21, 04:57   +1 +/
> А в обычных deb/rpm пакетах вообще нету никакой изоляции, т.е. по уровню защиты deb/rpm соответствует дырявой версии flatpak.

Ну это теория. На практике неочень.

Вот ставишь ты Flatpak пакет криптовалютного кошелька. А его естественно делает левый пионер, не связанный с основным проектом (это обычное явление во Flathub).

Он попионерит, и забьёт, а ты будешь с дырявой версий сидеть с возможностью пенетрации.
Ну или вообще захочет вредонос встроить — сложности не составит. Особых уж проверок нет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

65. Сообщение от Аноним (52), 25-Янв-21, 05:58   +/
> В Android вот есть изоляция приложений и разграничение прав

А толку от этого, если любая уважающая себя ведрограмма запрашивает доступ на всё на свете, иначе отказывается работать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #75

66. Сообщение от Аноним (66), 25-Янв-21, 06:42   +1 +/
Пользователь debian stable не хочет устанавливать НОВОЕ каждые 5 секунд. Он для того такой дистр и выбрал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #86

68. Сообщение от iPony129412 (?), 25-Янв-21, 07:13   +/
А так что вы хотите от проекта, где инструкцию на сайте поменять в два предложения - это целое дело, требующее серьёзного разбирательства: "а как же это? а кто этим занимается? как это сделать?".

https://github.com/flatpak/flatpak.github.io/issues/450

Ответить | Правка | Наверх | Cообщить модератору

69. Сообщение от n00by (ok), 25-Янв-21, 07:39   +1 +/
Почему чушь? В результате транспозиции межушный ганглий перестаёт быть межушным.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

70. Сообщение от Аноним (70), 25-Янв-21, 08:17   +1 +/
Эта ссылка должна была быть в первом же комментарии про flatpak: http://flatkill.org/2020/

NixOS и GNU Guix System - наше всё.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #74, #77, #83

71. Сообщение от Аноним (71), 25-Янв-21, 08:37   +4 +/
В пакете из дистрибутива есть цепочка доверия к мэйнтейнеру и жёсткий контроль сообщества, а во Flathub пакеты публикует непойми кто и проверяют непойми как. Поэтому изоляция запуска содержимого во flatpak должна быть обязательной и полной, но её каждый второй автор пакета отключает. Как следствие, если на пакет не ссылается основной проект как заслуживающий доверия, риски при запуске  flatpak  мало чем отличаются от запуска первого попавшегося в интернете бинарника.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #96

72. Сообщение от Аноним (72), 25-Янв-21, 08:39   +/
На самом деле, да. Не было иллюзии безопасности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

73. Сообщение от лютый жабби__ (?), 25-Янв-21, 08:44   –1 +/
>телеграмы

веб-версия

>хромы

chromium из под su, смысл его песочить, самый секурный браузер )

>прочая снедь

еда? может просто совсем не устанавливать откровенное гомно?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

74. Сообщение от Gnus (?), 25-Янв-21, 08:55   +/
Guix был бы хорош, если они сделали как в NixOS, где можно указать опцию и у тебя есть non-free, а так приходится собирать самому ядро с доступом к firmware, без которых AMD карты - тыквы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #93, #94

75. Сообщение от Dzen Python (ok), 25-Янв-21, 09:00   +/
Открываешь для себя fdroid
@
Оказывается, что софт может работать с минимумом разрешений
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #85

76. Сообщение от Аноним (76), 25-Янв-21, 09:02   +/
Ну ок, какой дистр мне поставить, в котором я могу заиметь несколько версий нужной мне проги одновременно, ну или просто взять ту, которая нужна, не важно, новая она или старая?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #78

77. Сообщение от Dzen Python (ok), 25-Янв-21, 09:02   +2 +/
Системы все так же отжирают собой все доступное место, спасая диск от юзерских файлов?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

78. Сообщение от Dzen Python (ok), 25-Янв-21, 09:08   +/
Специально под такие потребности есть хипстерские зборачки, вроде никос.
Зачем тянуть в специально стабилизированную систему проприентарь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76 Ответы: #79

79. Сообщение от Аноним (76), 25-Янв-21, 09:16   –1 +/
> хипстерские зборачки, вроде никос

Который ничем не лучше флатпака

> Зачем тянуть в специально стабилизированную систему проприентарь?

Потому что хочу. Ну надо.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

80. Сообщение от iPony129412 (?), 25-Янв-21, 09:25   +/
Хоть что.
Можно и скриптов в пользовательский авторан засунуть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

81. Сообщение от An O Nim (?), 25-Янв-21, 09:31   +/
Так и есть, в общем-то. Зависимости третьей стороны в каждом пакете свои, неизвестно кто собирает, а то и просто чужие готовые бинари.

Если исходники нужного приложения ещё можно посмотреть/пересобрать, например. То зависимости - трудоёмко.

Выходит, тащишь в систему непроверяемый/неизвестный код третьей стороны. А вот классическое устройство дистрибутива позволяет легко получить и собрать все части - apt get install *src*deb

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #91

82. Сообщение от An O Nim (?), 25-Янв-21, 09:34   +/
Может быть, следующие рекомендациям отдела кадров - дерзай, дерзай... Но вот как правильно дерзать - этому, почему-то, уже не учат в кадрах. Т.к. это дело ВУЗ'а/Универа.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

83. Сообщение от iPony129412 (?), 25-Янв-21, 09:43   +/
Что то, что это — сплошная пионерия на палках и этом самом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

84. Сообщение от Zitz (?), 25-Янв-21, 09:47   +/
А у вас негров линчуют.(c)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

85. Сообщение от Аноним (52), 25-Янв-21, 09:48   +/
Наивный чукотский мальчик, оказывается, что софт может НЕ работать с минимумом разрешений.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

86. Сообщение от Аноним (86), 25-Янв-21, 10:44   +/
я не хочу чтобы что-то ВНЕЗАПНО отваливалось, поэтому и выбирал такой дистр (точнее одна из причин). А вот новое оно или нет, мне как-то без разницы в большинстве случаев.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

87. Сообщение от Аноним (87), 25-Янв-21, 11:10   +4 +/
Нет, только AppImage.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

88. Сообщение от Аноним (87), 25-Янв-21, 11:12   +/
GIMP не тронь
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

89. Сообщение от Аноним (87), 25-Янв-21, 11:13   +/
Octave не тронь
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

90. Сообщение от Аноним (90), 25-Янв-21, 11:30   +2 +/
к тому времени все перейдут на фрю
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

91. Сообщение от Аноньимъ (ok), 25-Янв-21, 14:13   +2 +/
>А вот классическое устройство дистрибутива позволяет легко получить и собрать все части
>apt

Не позволяет.
Депенденси Хелл протухшие либы и конфликты зависимостей.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #98, #106

92. Сообщение от Аноньимъ (ok), 25-Янв-21, 14:21   +/
Попробуйте Guix!
Он решит все ваши проблемы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

93. Сообщение от Аноньимъ (ok), 25-Янв-21, 14:24   +/
Вы можете гуикс на любой линукс установит.
Ос же на основе гуикса называется GuixSD.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

94. Сообщение от Аноньимъ (ok), 25-Янв-21, 14:26   +/
Но я согласен что нужна нонфри версия. Ну или возможность это легко включить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

95. Сообщение от анонн (ok), 25-Янв-21, 15:31   +1 +/
> Это в которых до 2021 года в \system32 кладутся левые общие либы
> при установке, а для реализации принципа разделяемых библиотек есть папочка \winsxs,

Это в которых можно вот так:


# mount -o exec /tmp
$ pkg fetch gcc48
# pkg --rootdir /tmp/test add --accept-missing -f /var/cache/pkg/gcc48-4.8.5_13.txz
Installing gcc48-4.8.5_13...
pkg: Missing dependency 'binutils'
pkg: Missing dependency 'gmp'
pkg: Missing dependency 'indexinfo'
pkg: Missing dependency 'mpc'
pkg: Missing dependency 'mpfr'
Extracting gcc48-4.8.5_13: 100%
...
Unsupported by upstream since 2015. Use GCC 10 or newer instead
$ /tmp/test/usr/local/bin/gcc48 -v
Using built-in specs.
COLLECT_GCC=/tmp/test/usr/local/bin/gcc48
COLLECT_LTO_WRAPPER=/tmp/test/usr/local/bin/../libexec/gcc48/gcc/x86_64-portbld-freebsd12.1/4.8.5/lto-wrapper
Target: x86_64-portbld-freebsd12.1
Configured with: /wrkdirs/usr/ports/lang/
...
/info/gcc48 --build=x86_64-portbld-freebsd12.1
Thread model: posix
gcc version 4.8.5 (FreeBSD Ports Collection)

но да, можно вместо этого попетросянить о венде и заявить "нищитаица!!1"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

96. Сообщение от Нанобот (ok), 25-Янв-21, 16:16   +/
Возможность отключить изоляцию, создаёт проблемы с безопасностью, не спорю. Имхо, могли бы запилить какой-нибудь режим повышеной безопасности, не позволяющий устанавливать пакеты со слабой изоляцией...

А насчёт доверия мейнтейнеру - можно, на доверии всё человеческое общество устроено, но я бы всё же предпочёл доверять алгоритму, а не людишкам (компьютеры ненадёжны, люди - ещё ненадёжнее -- из законов мерфи)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

97. Сообщение от Аноним (97), 25-Янв-21, 17:53   +/
Это только в Debian'е, там user namespaces отключено. В Arch'е бинарники без SUID.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

98. Сообщение от Аноним (98), 25-Янв-21, 23:38   –2 +/
Таких проблем не существует.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91 Ответы: #105

99. Сообщение от Аноним (98), 25-Янв-21, 23:42   +/
Через deb/rpm не едет неизвестно как и кем собранный блоб в комплекте с устаревшими дырявыми зависимостями.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

100. Сообщение от Аноним (98), 25-Янв-21, 23:45   +/
Не надо в нормальных системах этого костыля. Когда один и тот же софт нужно обновлять размыми несовместимыми способами, системный openssl конфликтует с портовым, и в системе всегда есть сендмейл и прочее никому ненужное говно которое простым способом не удалить. FreeBSD переедет целиком на пакеты рано или поздно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

101. Сообщение от ОхотникНаОленей (?), 26-Янв-21, 07:34   +/
Разумеется, ведь snap и flatpak сестринские проекты, flatpak моложе, у флетпака свои фишки есть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

102. Сообщение от ОхотникНаОленей (?), 26-Янв-21, 18:51   +/
> Как и в Flatpak

Дадад snap и flatpak это две палочки Твикс, но как сказал человек где-то выше

> Когда нибудь найдут дыру и в snap

Ну вообще методологию эшелонированой защиты никто не отменял, и как правильно сказал человек выше, любая дырявось в flatpak превращает "изолированные" flatpak приложения в обычные "из папки opt" (как у 99% оленей сейчас, которым "ненужное не нужно")

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

103. Сообщение от Аноним (103), 27-Янв-21, 01:48   +/
> GIMP, Inkscape, Audacity и VLC

Эти апликухе есть и в виде AppImage

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

104. Сообщение от Щас начнем анонимно (?), 27-Янв-21, 12:00   +/
"...каждая софтина живёт в своём snap-окружении (и она не может попортить/почитать конфиги соседних приложений одного юзера из его .config папки,..."
Смешно. На днях по приколу поставил snap chromium и он автоматом подтянул в себя все настройки и расширения из установленного Chromium.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

105. Сообщение от An O Nim (?), 29-Янв-21, 13:20   +/
Типа того.

В инфраструктуре дистра собрать удавалось с меньшими трудозатратами. Чем разбежавшийся зоопарк третьей стороны.

Может потому как дистр славен своей системой контроля качества. Бывают и другие, да.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98

106. Сообщение от Аноним (106), 31-Янв-21, 15:37   +/
Именно поэтому, я за NixOS!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру