The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Проблемы с изоляцией в Ubuntu Snap при работе в окружении X11

22.04.2016 12:06

Мэттью Гаррет продемонстрировал наличие в Ubuntu Snap проблем, сводящих на нет заявленные достоинства технологии, связанные с изоляцией приложений от остальной системы. Мэттью удалось создать snap-пакет, который при установке в полностью обновлённом окружении Ubuntu 16.04 LTS позволяет перехватить ввод других X11-программ, запущенных в основной системе или других snap-окружениях.

Кроме того, вредоносное snap-приложение имеет возможность осуществить подстановку своего ввода и выполнить действия вне изолированного окружения, например, выдав горячую клавишу открытия терминала и передав в него любые команды, такие как вызов утилиты curl для отправки ssh-ключей пользователя на внешний сервер.

Следует отметить, что проблема не специфична для системы Snap и проявляется в любых других изолированных окружениях, обращающихся к внешнему X-серверу. Именно поэтому в системах изоляции не открывается доступ к X11, а используется отдельная прослойка Xnest. Например, по этой причине система изоляции настольных приложений xdg-app обязательно требует использования Wayland для своей работы. В Qubes OS для обхода проблемы в каждой виртуальной машине используется отдельный X-сервер, не пересекающихся с X-серверами других виртуальных машин.

Из-за особенностей протокола X11 любое приложение может получить доступ ко всем событиям ввода и осуществить подстановку фиктивных нажатий клавиш, что позволяет без выхода из изолированного окружения передать любые клавиатурные комбинации в активные окна других приложений. При работе snap-пакетов в окружениях Wayland и Mir проблема отсутствует.

  1. Главная ссылка к новости (http://mjg59.dreamwidth.org/42...)
  2. OpenNews: Уязвимость, позволяющая обойти блокировку хранителя экрана
  3. OpenNews: В Ubuntu 16.04 обеспечена поддержка установки самодостаточных snap-пакетов
  4. OpenNews: Docker-контейнеры для запуска популярных декстоп-приложений
  5. OpenNews: Уязвимость в XMir
  6. OpenNews: Проблемы X11 и их решения в Wayland
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/44293-ubuntu
Ключевые слова: ubuntu, snap
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (103) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, кверти (ok), 12:21, 22/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Ждем комментариев от хейтеров вайланда, мира и др. о достоинствах и преимуществах иксов на много веков вперед.
     
     
  • 2.84, AlexYeCu_not_logged (?), 17:10, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Иксы пригодны к использованию с момента появления и по сей день. Вэйлэнды и прочие миры до сих пор не вылезли из стадии альфы. Не исключено, что и правда "на много веков вперёд".
    Что до уязвимости - так иксов можно и несколько поднять. А что разрабы snap'а документацию читать не любят - кто им доктор-то?
     
     
  • 3.95, Аноним (-), 19:41, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Безопасность у иксов - на уровне MSDOS. Ну не будешь же ты запускать иксы для каждой программы.
     
     
  • 4.105, AlexYeCu (ok), 23:37, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Ну не будешь же ты запускать иксы для каждой программы.

    Для каждой — лишнее. А запускать менее доверенный, но нужный софт под отдельным пользователем и иксами — почему нет?

    >Безопасность у иксов - на уровне MSDOS.

    А у кого она выше-то? Посчитаем количество кейлогеров для той же винды, к примеру? Там-то никаких иксов, разве что с каким-нибудь цигвином поставить.

     
     
  • 5.109, iPony (?), 03:46, 23/04/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да, у венды с этим лучше. Начиная с висты там сделали гуй изолейшен.
    Про количество кейлогеров некорректное сравнение.
    Ибо популярность и зачастую пользователи сами ставят всякую ерунду, давая ей админские права - принцип 'скачать бесплатно троян' работает хорошо на всех популярных не ограниченных платформах.
     
     
  • 6.135, Лютый жабист (?), 11:53, 25/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ты не шаришь в вопросе! В винде (7 и 8 тоже) апи функция GetKeyState по таймеру каждые 10мс и весь ввод, включая админский твой. Для запуска проги НЕ нужны права админа.
    И хук не надо вешать. Загрузка проца 0%.

    Инфа 146%.

     
  • 5.127, Безнэйм (?), 01:29, 24/04/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Пфф в винде любой яваскрипт даблкликнутый пользователем может реестр править без всяких запросов.. И это фича..
     
     
  • 6.128, Аноним (-), 16:48, 24/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ага только перед этим смачными такими красными буквищами выведет предупреждение что это не доверенный скрипт и это опасно, ну а если пользователь продолжит то он ̶и̶д̶и̶о̶т сам виноват.
     
  • 5.129, Аноним (-), 18:11, 24/04/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А у кого она выше-то?

    У остальных частей Linux. А равняться на винду - такое ламерство что даже разработчики графики этим заниматься в принципе не собираются. Спустят иксы плавненько, на этом все и закончится. Ну ты конечно сам можешь их майнтайнить, если тебя не порвет от взгляда на старинный код который уже десятилетие пытаются хоть немного привести в чувство.

     
  • 5.140, й (?), 13:34, 28/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > А запускать менее доверенный, но нужный софт под отдельным пользователем и иксами — почему нет?

    а вот представьте: у вас три икс-сервера, в одном ff, во втором skype, в третьем либре-офис. удобно работать? а клипборд через /tmp делать будете? а как в иксах с ff понять, что в скайп пришло новое сообщение?

     
  • 3.123, Аноним (-), 20:08, 23/04/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Иксы пригодны к использованию с момента появления и по сей день

    Сбегай в вики и узнай почему они называются X*11*, а также про расширения, котрые не вписываются в идеологию иксов, например dri.

     
     
  • 4.125, Аноним (-), 23:12, 23/04/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > почему они называются X*11*

    ЕМНП, там за несколько лет наклепали версию 11. Года за 2-3 кажется... Вы не забывайте, что это протокол. "Давайте добавим параметр X в запрос Y". И все, у вас новая версия протокла N+1, несовместимая с N предыдущими версиями... пусть даже эти предыдущие и не попали в пролакшн.

    У Wayland отсутствие нормального подхода к проектированию растянет проект еще лет на 5-10, да еще и несовместимостей между DE/тулкитами наплодит.

     
  • 2.91, grsec (ok), 19:04, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Этот ваш snap еще аукнется. Поэтому вайланд и мир в этом контексте ни разу не выстрелил.
     
  • 2.115, Stellarwind (?), 11:37, 23/04/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    На самом деле всем просто было похер на это, потому что если вы пускаете код под... большой текст свёрнут, показать
     
     
  • 3.118, Аноним (-), 15:26, 23/04/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>вы этому коду доверяете или вы жутко наивны.

    Синонимы.
    Когда уже во всех распространённых системах возьмут за правило "доверяй, но изолируй"?

     
     
  • 4.139, Elhana (ok), 12:02, 27/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Примерно тогда же, когда во всех автомобилях между всеми пассажирами и водителем появятся бронированные перегородки. Не, ну а что... вдруг к вам какой урод с ножом или пистолетом сядет в машину?
     

  • 1.5, flyshoot (?), 12:24, 22/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Хм, а сколько было криков о том что Х11 хорош сам по себе и не надо его переписывать.
     
     
  • 2.10, Аноним (-), 12:48, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +16 +/
    Переписывать - не надо. Надо развивать и адаптировать под современные реалии.

    Много вас таких пиoнеров с шашкой, переписыватели грёбaные. Прошивку кардиостимулятора себе переписывай.

     
     
  • 3.12, iPony (?), 12:57, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Уважаемый. Вам надо срочно в строители.
    Будете в Этой Стране пятиэтажные хрущовки переделывать в десятиэтажки - под современные реалии.
     
     
  • 4.17, Аноним (-), 13:18, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    И без него дураков хватает.
     
  • 4.54, Аноним (-), 15:15, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Хрущёвка это не программа
     
     
  • 5.67, Pornhub (?), 15:57, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Строительство хрущевок было программой, да еще какой . Туда, после войны, переселялись люди из бараков и землянок. Другое дело, что через некоторое время людей надо было переселять уже из хрущевок в более комфортное жилье. А вот эта программа уже не была выполнена.
     
     
  • 6.69, Аноним (-), 16:04, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    И к чему это?
     
     
  • 7.71, Pornhub (?), 16:09, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    К тому что X.org сейчас эта та же Хрущеба, в которой, десктопный линукс родился, в ней же и помрет. Главное трещины на стенах замазывать и нормально.
     
  • 5.96, Аноним (-), 19:43, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Хрущёвка это не программа

    Есть кое-что общее: и то и другое проектировалось во времена Хрущева, под тогдашние запросы и реалии. Так что никакого ютуба и совмещенный санузел.

     
  • 4.137, Аноним (-), 21:00, 25/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    В Турции примерно так и делают. Все, не особо старые дома(по мерка руссии), сносят и на их месте строят новенькие, продуманные. А рожденные ползать - летать не могут.
     
  • 4.138, Анонимный Алкоголик (??), 01:36, 27/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Уважаемый. Вам надо срочно в строители.
    > Будете в Этой Стране пятиэтажные хрущовки переделывать в десятиэтажки - под современные
    > реалии.

    Десятиэтажка - переделанная пятиэтажка...
    Конечно, ряд элементов совершенствуется... И материалов. Во всяком случае должен.
    И однако они в конечном счёте так сказать высоко совместимы и похожи >:-)

     
  • 3.39, Аноним (-), 14:46, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Переписывать - не надо. Надо развивать и адаптировать под современные реалии.

    Установите на моего ишака автоматическую коробку передач и парктроник.
    Под современные реалии.

     
     
  • 4.55, Аноним (-), 15:16, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> Переписывать - не надо. Надо развивать и адаптировать под современные реалии.
    > Установите на моего ишака автоматическую коробку передач и парктроник.
    > Под современные реалии.

    Твой ишак это не программа.

     
     
  • 5.62, Аноним (-), 15:30, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Тогда перепрограммируйте его на следование правилам дорожного движения. Теслу же можно перепрограммировать, чем мой полудохлый ишак хуже? И Gentoo на него поставьте.

     
     
  • 6.120, Аноним (-), 18:57, 23/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Тогда перепрограммируйте его на следование правилам дорожного движения. Теслу же можно
    > перепрограммировать, чем мой полудохлый ишак хуже? И Gentoo на него поставьте.

    На самом деле, это более реально чем над хрущевкой надстроить еще 5 этажей.
    Какой-то кулибин даже сделал и приперся на выставку...

     
  • 2.107, anonymous (??), 00:29, 23/04/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    И правильно. Не надо переписывать. Как иначе будет работать xneur или программы для автоматизации и управления окнами? Надо запереть программу - используй вложенные иксы, xnest уже черт знает сколько времени в составе иксов поставляется.
     
     
  • 3.126, Аноним (-), 23:16, 23/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > И правильно. Не надо переписывать. Как иначе будет работать xneur или программы
    > для автоматизации и управления окнами? Надо запереть программу - используй вложенные
    > иксы, xnest уже черт знает сколько времени в составе иксов поставляется.

    Два чаю. Если уж виртуалки всюду поднимают, то почему бы не запустить отдельный xnest?

     

  • 1.8, Аноним (-), 12:27, 22/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    А разве это не проблемы самой архитектуры X Window System? Этой фундаментальный дыре уже сто лет в обед.
     
     
  • 2.14, Аноним (-), 13:14, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Именно так.
     
  • 2.33, Нимано (?), 14:11, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > А разве это не проблемы самой архитектуры X Window System? Этой фундаментальный
    > дыре уже сто лет в обед.

    Не преувеличивайте! Всего лишь чуть больше 20 )
    https://web.archive.org/web/20010612075533/http://www.acm.vt.edu/~jmaxwell/programs/xspy/xspy.html
    > I wrote this program in 1995 to show that allowing any foreign connection  to an X Windows server is insecure.

    http://www.deter.com/unix/software/xwin_sec.txt
    > Date: 31 Aug 1995 01:52:14 -0400
    > clients can still use XQueryKeymap() to determine the state of the keyboard.  
    > A program can poll the keyboard and find out what is being typed
    > even in 'secure' mode or xterm or the xdm login window.
    > XChangeKeyboardMapping() can be used to trick the X system and
    > clients into having anything as keyboard input

     
     
  • 3.57, Аноним (-), 15:19, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> even in 'secure' mode

    Даже есть заготовки по исправлению этой проблемы.

     
  • 3.63, Anonplus (?), 15:35, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Каждый раз при виде софта наподобие иксов, мне вспоминаются слова Раскина о том, что каждое изменение, каждый костыль в программе - это рубец и каждые 10-20 лет программы нужно полностью переписывать, иначе под грудой рубцовой ткани они уже не могут нормально работать.
     
  • 2.106, AlexYeCu (ok), 23:40, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Не только и не столько.
    Известная особенность, скорее. Возможно, что проблемная.
    Но что касается snap — просто его взялись ваять люди, которые знали о системе, для которой пишут, слишком мало для столь масштабных проектов. И, подозреваю, знать не хотели. Пиар и маркетинг впереди программирования и тестирования. Закономерно сели этом в лужу.
     

  • 1.9, Аноним (-), 12:33, 22/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    Snap это не про безопасность, а про зависимости и ничего более.
    Безопасность там в смысле взаимовлияния приложений друг на друга
    при установке - вам не влепят несовместимую версию библиотеки x,
    что сломает другие.
    Если вы поставите в snap программу, которая делает rm -rf, то
    ничето не помешает её грохнуть все ваши данные.
     
     
  • 2.43, Аноним (-), 14:59, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Рассказывайте, ага.

    >https://insights.ubuntu.com/2016/04/13/snaps-for-classic-ubuntu/
    >Adding snaps for secure, transactional packages in Ubuntu 16.04 LTS
    >secure
    >https://plus.google.com/u/0/+MarkShuttleworthCanonical/posts/9eABxu3ddpg?cfem=
    >Very much looking forward to faster and more secure app packaging with snaps on 16.04!
    >more secure

    Вангую: через пару дней выяснится, что и с зависимостями там проблемы.

     
  • 2.49, s (?), 15:04, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Именно про контейнеры, безопасность и разграничение прав. Ибо никто не мешает сейчас сделать деб/рпм пакет со всеми нужными либами, устанавливающий софт в opt без всякого снэп.
     
     
  • 3.52, Аноним (-), 15:13, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ибо никто не мешает сейчас сделать деб/рпм пакет со всеми нужными либами, устанавливающий софт в opt без всякого снэп.

    Дебиан принципиально не принимает такие пакеты в репозитарии. На эту тему с ними даже Линус ругался.


     
     
  • 4.70, Аноним (-), 16:08, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >> Ибо никто не мешает сейчас сделать деб/рпм пакет со всеми нужными либами, устанавливающий софт в opt без всякого снэп.
    > Дебиан принципиально не принимает такие пакеты в репозитарии. На эту тему с
    > ними даже Линус ругался.

    Сделать деб-пакет и поместить его в перы дебиана - разные вещи

     
     
  • 5.76, Crazy Alex (ok), 16:31, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А идиотам, которые ставят невесть что невесть откуда надо отъедать голову.
     
     
  • 6.83, weirded (ok), 16:56, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А идиотам, которые ставят невесть что невесть откуда надо отъедать голову.

    Запахло администрированием локалхоста/типовых решений.

     
  • 4.72, s (?), 16:10, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Быть может, но это религиозные факторы. Тот же автор deadbeef распространяет плеер в таком виде, кажется.
     
     
  • 5.99, Аноним (-), 20:15, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Быть может, но это религиозные факторы. Тот же автор deadbeef распространяет плеер
    > в таком виде, кажется.

    Которого регулярно хают на опеннете за то, что отверг Великую Честь и не захотел подстраиваться под дебианщиков?

     
     
  • 6.101, Аноним (-), 22:05, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нет блин, дистрибутив с тыщщщами пакетов должен подстраиваться под одного неадеквата.
     
     
  • 7.113, Аноним (-), 10:09, 23/04/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а вы можете без оскорблений жить? или это стиль GPL-ков - хаять все что не понимают ?
     
     
  • 8.122, Аноним (-), 19:48, 23/04/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это не оскорбление, а констатация факта ... текст свёрнут, показать
     
  • 6.130, Аноним (-), 18:18, 24/04/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Которого регулярно хают на опеннете за то, что отверг Великую Честь и
    > не захотел подстраиваться под дебианщиков?

    Автор дедбифа - нечто среднее между хиппи, панком и толкиенистом из анекдота: пишет софт по большой укурке, игнорируя все мыслимые практики, клав клаву на стабилизацию и повторное использование кода. Поэтому лучше держаться подальше. Зашибет. Не потому что автор злой, а потому что он машет круто, но в процессе махача видит только себя. Остальное - это то что мочить надо. Так что упаси тебя оказаться на его дороге.

     
  • 2.58, Аноним (-), 15:21, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Snap это не про безопасность, а про зависимости и ничего более.
    > Безопасность там в смысле взаимовлияния приложений друг на друга
    > при установке - вам не влепят несовместимую версию библиотеки x,
    > что сломает другие.
    > Если вы поставите в snap программу, которая делает rm -rf, то
    > ничето не помешает её грохнуть все ваши данные.

    Они там в маркетинговом угаре написали "Secure" и ещё с виртуализацией сравнивали, так что лажанулись по полной...

     

  • 1.13, Аноним (-), 13:11, 22/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Так новость не о том, не о Snap, а о кривом дизайне X11
     
     
  • 2.15, Аноним (-), 13:15, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    lol, как отмечали, _этой_ новости уже сто лет в обед.
     
     
  • 3.20, Аноним (-), 13:32, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    ну да, это не новость, согласен
     
  • 2.16, Аноним (-), 13:15, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Этот дизайн надизайнен на века с учетом сетевой прозрачности настоящими учеными не то что сейчас !!11
     
     
  • 3.21, Аноним (-), 13:33, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Этот дизайн надизайнен на века с учетом сетевой прозрачности настоящими учеными не
    > то что сейчас !!11

    ну, во время, когда он дизайнился - может так и думали...
    (PS '!!11' вижу, режим сарказм принимаю)

     
  • 3.46, Аноним (-), 15:02, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    C учетом того сколько в X.org-е было уязвимостей, удаленное управление работает хорошо.


     
  • 3.59, Аноним (-), 15:23, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Этот дизайн надизайнен на века с учетом сетевой прозрачности настоящими учеными не
    > то что сейчас !!11

    Справедливости ради стоит заметить, что в _ДИЗАЙНЕ_ X есть защита от этого: secure mode, это проблемы реализации.

     
     
  • 4.97, Аноним (-), 19:58, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Справедливости ради стоит заметить, что в _ДИЗАЙНЕ_ X есть защита от этого:
    > secure mode, это проблемы реализации.

    В дизайне там много чего есть. Но этим или никто не пользуется, потому что не соответствует пожеланиям, или опциональное и fallback все-равно писать надо. А раз так - можно сэкономить на использовании опциональных фич, вызывая fallback вообще всегда. Вот все тулкиты и делают все сами, отдавая иксам готовый рендер. А вот вывод больших битмапов у иксов хромает. Получается очень сложно, да еще работает плохо при этом.

     
     
  • 5.112, njunkie (ok), 04:34, 23/04/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > В дизайне там много чего есть. Но этим или никто не пользуется

    Этим не пользуетесь вы, прекращайте проецировать на весь мир.

     
     
  • 6.131, Аноним (-), 18:24, 24/04/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Этим не пользуетесь вы, прекращайте проецировать на весь мир.

    А также графические тулкиты, на которых написано 99.9% всех программ. Доходит до того что откровенно апликушные вещи начинают лезть в специфические области, типа OpenGL. Не потому что оно им надо, а потому что так можно не через иксы draw calls протолкать и все работает в 5 раз шустрее. Это еще вулкан обороты не набрал, лет через 5 будет вообще огого.

     
     
  • 7.133, Led (ok), 19:29, 24/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Это еще вулкан обороты не набрал,

    Малыш, ты слово "пукан" с ошибкой написал.

     

  • 1.19, llolik (ok), 13:30, 22/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    А почему Мэттью Гаррет решил, что Snap была призвана избавить от проблемы иксов, которая так получилось, что by design?
    ЕМНИП Snap должна была решить проблему зависимостей и она её решает, а уж некоторый эффект "безопасности" из-за изоляции получился подспудно. Это же всё-таки не виртуалка и не контейнер.
     
     
  • 2.25, Аноним (-), 13:53, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Лишний раз донести до ширнармасс что snap не дает никакой безопасности (и вообще он не для этого) не помешает.
     
     
  • 3.53, Аноним (-), 15:15, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Лишний раз донести до ширнармасс что snap не дает никакой безопасности (и
    > вообще он не для этого) не помешает.

    А нафиг он нужен тогда? Да еще с такой то рекламной компанией, таким то пиаром?
    Или как в анегдоте:
    - Покупайте наши сигареты МЕГА-ЛАЙТ: без табака, бумаги и упаковки.

     
     
  • 4.77, Crazy Alex (ok), 16:32, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А он, собственно, и не нужен никому кроме проприетарщиков
     
  • 2.32, Аноним (-), 14:08, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Потому что разработчики бубунты в своих блогах уверяют, что снап приносит на десктоп серьёзный уровень безопасности. А на деле безопасность есть только в ubuntu touch, потому что там mir. А на десктопе.. ну какая может быть безопасность в X11? Тут даже костылями дыры не заткнёшь.
     
     
  • 3.35, Нимано (?), 14:19, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Тут даже костылями дыры не заткнёшь.

    Xephyr?


     
  • 3.73, Аноним (-), 16:12, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > А на десктопе.. ну какая
    > может быть безопасность в X11? Тут даже костылями дыры не заткнёшь.

    Есть один интересный костылёк... xpra
    пользую скайп строго через него

     
  • 3.111, njunkie (ok), 04:27, 23/04/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > может быть безопасность в X11? Тут даже костылями дыры не заткнёшь.

    Сори, но к примеру вяленый сразу релизится (если он когда-нибудь зарелизится конечно) с костылями, так что хрен редьки не слаже


     
  • 2.108, anonymous (??), 00:31, 23/04/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >А почему Мэттью Гаррет решил, что Snap была призвана избавить от проблемы иксов

    Потому что attention whore

     
  • 2.110, njunkie (ok), 04:25, 23/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Мэтью Гаррет, как я понимаю, решил в очередной раз написать какие X-ы говно, в свете выхода Mir-а :)
     

  • 1.22, DF (??), 13:35, 22/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Написано же в соседней статье, что snap олее ориентирован на сервера, мобильные устройства и IoT - не случайно. Гаррет - кэп!
     
     
  • 2.56, Аноним (-), 15:17, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Для мобильных это в 10 раз хуже. Вы знаете о количестве малвари в мобильных маркетах?

     
     
  • 3.78, Crazy Alex (ok), 16:33, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А при чём какие-то там "маркеты" к GNU/Linux?
     
  • 3.98, Нимано (?), 20:10, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Для мобильных это в 10 раз хуже. Вы знаете о количестве малвари
    > в мобильных маркетах?

    Пользуюсь вот этим маркетом,
    https://f-droid.org/
    малвари пока не видел. Что я делаю не так?

     
     
  • 4.132, Аноним (-), 18:25, 24/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Пользуюсь вот этим маркетом,
    > https://f-droid.org/
    > малвари пока не видел. Что я делаю не так?

    Что с rild сделал? И прочими стремными проприетарными кишками ведроида.

     

  • 1.34, Аноним (-), 14:11, 22/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Странно, что с опеннетом? В новостях же принято писать полный титул Его Феминистичества: "Мэттью Гаррет, известный разработчик ядра Linux, получивший от Фонда СПО премию".
     
     
  • 2.36, kravich (ok), 14:19, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >Мэттью Гаррет, известный разработчик ядра Linux, получивший от Фонда СПО премию

    ++
    Тоже удивился, когда в новости этого не обнаружил

     
  • 2.50, 123546 (?), 15:07, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Пишут - не нравится, не пишут - не нравится
     
     
  • 3.88, Аноним (-), 17:54, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +6 +/
    На всех не угодишь. Я за то, чтобы писать. Это же здорово, что у опеннета есть свои традиции. Именно они превращают опеннет из очередного скучного информационного фаст-фуда в уютную кафешку, где ты знаешь всех вокруг уже будто бы целую вечность. Сюда хочется возвращаться. Хочется приходить, вешать пальто и слушать, слушать с таким же неподдельным интересом, словно это все происходит впервые, повествующего о сионских мудрецах бармена Мишу, пока он наливает бокал Wine-а с исправленным множеством ошибок.
     
  • 2.116, пинус (?), 12:02, 23/04/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Для wine тоже не пишут про множество ошибок...
     

  • 1.40, Аноним (-), 14:52, 22/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ждём комментариев от авторов Qubes OS. У них же используется X11.
     
     
  • 2.42, Анонимусы (?), 14:56, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    И что тебе даст такой заголовок?
     
  • 2.61, Аноним (-), 15:28, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ждём комментариев от авторов Qubes OS. У них же используется X11.

    Это не проблема X11, это проблемы конкретной их реализации. Про X11 и Qubes OS можешь почитать тут: https://www.qubes-os.org/

     
     
  • 3.100, lucentcode (ok), 20:55, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Иксы там такие же ущербные. А для обеспечения безопасности используется запуск приложений в виртуальных машинах на базе Xen. Получается дикий оверхед по ресурсам, и при этом это не решает проблему с обеспечением безопасности. Помню, у Xen находили уязвимость, позволявшую выполнять код, запущенный на виртуалке, на хост-системе. Была подобная уязвимость и у KVM, и у Qemu. В общем, вся неуязвимость вашего  Qubes OS - это пиар.
     
     
  • 4.121, Аноним (-), 19:02, 23/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    1) Неуязвимых систем не бывает. 2) Рутковска явно поадекватнее и более в теме, чем убунтоиды.
     

  • 1.66, Анонимс (?), 15:53, 22/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    То что Иксы не так безопастны и так ясно эту проблему уже реашеют(Вейланд), Мэттью опять решил бурлить воду где можно было промолчать.
     
     
  • 2.75, Аноним (-), 16:23, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Есть конкретный дистрибутив конкретной версии, о котором за месяц спамят в бложиках, что он одуреть какой безопасный и удобный. Практически в день релиза выясняется, что это не так. Да, Wayland наше всё, но в Ubuntu он не включен по умолчанию => всё легитимно. Дистрибутив-ведро, дистрибутив-велосипед.
     
     
  • 3.80, iPony (?), 16:47, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты с головой дружишь? В XWayland же тоже самое.
     
     
  • 4.104, Аноним (-), 22:22, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Один XWayland может прочитать данные другого XWayland'а? Каким образом, просвети недоумков.
     
     
  • 5.134, iPony (?), 09:47, 25/04/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да, кажись промазал...
    Насколько понимаю, в XWayland для каждого приложения запускаются свои иксы (крутой такой оуверхед)
    Тогда не прокатит.
     
     
  • 6.136, Led (ok), 20:54, 25/04/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Насколько понимаю, в XWayland для каждого приложения запускаются свои иксы (крутой такой
    > оуверхед)

    Тупее идиоита - только маленькая лошадка.

     

  • 1.79, Аноним (-), 16:39, 22/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    То ли Гаретый в очередной раз выставил себя на посмешище, то ли снап оказался пустышкой, насаждающей дыры подобно жабкиным jar-кам — из текста новости как-то непонятно.
     
     
  • 2.90, Аноним (-), 18:34, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    то ли ты с не разбору сел мимо стула. разберись в сути топика, а?
     
     
  • 3.92, Аноним (-), 19:19, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Непонятно же! Опять же, иксы спроектированы сексистами 30 лет назад, они ни о феминистах-медиазвёздах не слыхали, ни с микрософтом в патентном экстазе совокупляться не собирались.
     

  • 1.93, testt (ok), 19:28, 22/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Вывод: устанавливая пакеты не через snap, а из официального репозитория, можно жить даже с дырявыми иксами.
     
     
  • 2.102, ANONYM (?), 22:10, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    B конечно же среди прилжений из репозитория не может оказаться перехватывающего ввод и отправляющего на свои сервера. А с ppa вероятность возрастает.
     
  • 2.103, Аноним (-), 22:11, 22/04/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Устанавливая пакеты из официального репозитория, гораздо меньше шансов получить у себя в системе малварь. Ваш К.О.
     

  • 1.114, БОБЁР (?), 11:12, 23/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вечно эти иксы косячные, одни беды от них!!!
     
  • 1.119, василий (??), 16:45, 23/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Поставил nmap через snap пакет. Радует что home теперь не доступен для программ, запущенных от моего имени

    nmap -iL /home/vasilisc/report.txt
    Failed to open input file /home/vasilisc/report.txt for reading
    QUITTING!
    http://vasilisc.com/snap-install-devmode

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру