2. Fórumok
  3. [Linux] A Flatpak
Keresés

Új hozzászólás Aktív témák

  • #34 urandom0 őstag sh4d0w #30
    Új Válasz #34
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    urandom0

    őstag

    válasz sh4d0w #30 üzenetére

    Nem az a lenyeg, hogy visszaellenorizheto-e, hanem hogy megteszi-e valaki, mielott a userhez eljut a file es nem, nem teszi meg senki.

    Hogy érted, hogy nem teszi meg? Bárki megteheti, akinek gyanúja merül fel. Ha a Githubos upstreamben sebezhetőség vagy rosszindulatú kód van, a flatpak verzióban is benne is; ha nincs, akkor nem.

    A linkeden ezt írják: "If an app has the static filesystem permission for home, it can place this override file to give itself any possible permission."

    Én tudtam, hogy erre gondolsz, amikor azt írtad, hogy "egyszeru dotfile-lal torheto". Ezért írtam le #11-ben, hogy "Mert amúgy a ~/.local/share/flatpak/ könyvtár a flatpak alkalmazások számára NEM elérhető, amíg explicit módon nem adsz rá engedélyeket."

    Tehát ez nem úgy működik, hogy a kedves posztoló elképzeli, hogy amelyiknek appnak filesystem=home jogosultsága van, az felül tudja írni a többi app jogosultságát. Nem így van!
    A Flatseal csak azért tudja ezt megtenni, mert xdg-data/flatpak/overrides:create; jogosultsága van.

    Meg egy szo a Flatsealrol, mert korabban nem olvastam azt az oldalt. Ez a masik olyan alkalmazas, ami ebben az egesz okoszisztemaban iszonyu veszelyes - ha valami, hat ez a root jelszo a sima usernek, mert nem csak a jogosultsagok szukebbre vonasara alkalmas, hanem azok kitejesztesere is.

    Igen, a Flatseal azért működik így, mert ez az elvárt viselkedés. Ez ilyen by design.
    De még mindig távoll áll a root jelszótól, mert (és megint ismétlem magam): "Másrészt ezzel a módszerrel csak olyan jogosultságok adhatók az appoknak, amivel egy csomagkezelőből letöltött program vagy egy appimage alapból rendelkezik. Tehát még mindig van egy plusz védelmi réteg a flatpak appoknál, amivel a csomagkezelős programok, a random weboldalakról letöltött csomagok vagy binárisok, illetve az appimage-ek nem rendelkeznek."

    És újfent ismétlem magam, ha valaminek minden jogot megadsz arra, hogy tönkretegye a rendszered, akkor nincs mit csodálkozni azon, ha tönkre is teszi.

Új hozzászólás Aktív témák