V jádře Linux byla nalezena a v upstreamu již byla opravena kritická zranitelnost GhostLock aneb CVE-2026-43499. Lokálnímu uživateli umožňuje získat práva roota a také obejít kontejnerovou izolaci. Zranitelnost existovala v Linuxu 15 let, tj. od roku 2011, od Linuxu verze 2.6.39.
Evropská komise předběžně shledala, že návykový design aplikací Instagram a Facebook od americké společnosti Meta porušuje unijní nařízení o digitálních službách (DSA). Návykový design zahrnuje například takzvané nekonečné posouvání, automatické přehrávání videí, tzv. push notifikace, kdy aplikace uživatele vybízí k návratu do jejího prostředí, či vysoce personalizovaný algoritmus, který rychle pozná, co uživatele baví a snaží
… více »Byla vydána verze 1.97.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.
Švýcarská společnost Punkt. má nově v nabídce telefon Punkt. MC03. Telefon byl navržen ve Švýcarsku s důrazem na soukromí a digitální suverenitu a vyroben v Německu. V telefonu běží operační systém AphyOS (Apostrophy OS) založený na AOSP (Android Open Source Project) 15. Cena telefonu je 745 eur.
TypeScript (Wikipedie), tj. JavaScript rozšířený o statické typování a další atributy, byl vydán v nové verzi 7.0. Kompilátor byl kvůli výkonu přepsán z TypeScriptu do Go.
Europarlament podpořil pozměněnou verzi výjimky známé jako „chat control 1.0“ umožňující firmám skenovat soukromou komunikaci na internetu kvůli ochraně dětí před zneužitím. Pozměňovací návrhy přijaté europoslanci však počítají s tím, že z výjimky bude vyřazena šifrovaná komunikace. Výjimka přestala platit začátkem dubna poté, co se Evropský parlament a Rada EU nedokázaly shodnout na jejím prodloužení. Rada následně přijala
… více »Nejnovější X.Org X server 21.1.24 a Xwayland 24.1.13 řeší 2 bezpečnostní chyby.
Clement "Clem" Lefebvre publikoval souhrn dění v Linux Mintu za červen 2026. Vypíchnuta je vylepšená podpora Waylandu. Už není považována za experimentální. V příští verzi Linux Mintu, plánována je na Vánoce, bude běh Cinnamonu plně podporován na X11 i Waylandu. V květnu na vývoj Linux Mintu přispělo 611 dárců celkovou částkou 19 612 dolarů. Dalších 2 326 patronů přispělo na Patreonu celkovou částkou 5 334 dolarů.
V Linuxu v KVM byla nalezena a v upstreamu již byla opravena kritická zranitelnost Januscape aneb CVE-2026-53359. Root na hostovaném počítači (virtuální stroj) může obejít izolaci a získat plnou kontrolu nad hostitelským systémem (DoS útok nebo vzdálené spuštění kódu s právy roota). Na obou hlavních architekturách – Intel i AMD. Zranitelnost v Linuxu existovala téměř 16 let (od srpna 2010 do června 2026).
Tribunál Soudního dvora Evropské unie dnes zamítl několik žalob, v nichž se americká společnost Apple ohrazovala proti pravidlům fungování velkých technologických společností na unijním trhu. Applu se nelíbilo, že jeho obchod s aplikacemi a operační systém iOS mají podléhat přísnějším povinnostem jen proto, že Brusel firmu považuje za takzvaného gatekeepera, tedy strážce přístupu.
Data Collection. The software may collect information about you and your use of the software, and send that to Microsoft. Microsoft may use this information to provide services and improve our products and services. You may opt-out of many of these scenarios, but not all, as described in the product documentation.
You may opt-out of many of these scenarios, but not all, as described in the product documentation.Tedy jistě nedá.
Navic umoznuje izolovat runtime environment, coz je presne co by Electron aplikace potrebovaly.V tomhle jsou ale klasicka distra (na kterych kontejnery stavi treba docker) tak o dekadu pred flatpakem. To jde ostatne videt z toho prikladu vyse (tam je izolace runtime environmentu nulova). Jestli teda myslime "izolaci runtime environmentu" to stejne. Ty runtimy ve flatpaku jsou podobny (deseti)tisice radkovy jsony jako ten VScode.
V tomhle jsou ale klasicka distra (na kterych kontejnery stavi treba docker) tak o dekadu pred flatpakem.Ani ne. A v kombinaci s vecmi jako Ostree (Fedora Atomic) je to uplne jinde.
To jde ostatne videt z toho prikladu vyse (tam je izolace runtime environmentu nulova).Ne. To jsou permissions, ktere aplikace pozaduje, ale nemusi dostat. Vy je muzete jako uzivatel override.
flatpak override com.visualstudio.code --unshare=network error: Permission denied
sudo flatpak override com.visualstudio.code --nofilesystem=host sudo flatpak override com.visualstudio.code --unshare=networkProslo to bez chyby. Ale v tom VSCode se furt k svemu home dostanu. A jak prosimte muzu nastavit pres "flatpak override" tu granularitu - napr. povolit pristup pouze k ~/dev ?
OK, chce to roota.Pokud pouzije --user tak ne.
Ale v tom VSCode se furt k svemu home dostanu.Zajimave, ja mam obsah prazdny, tedy dostat se tam nemohu.
A jak prosimte muzu nastavit pres "flatpak override" tu granularitu - napr. povolit pristup pouze k ~/dev ?Treba takto:
$ sudo flatpak override com.visualstudio.code --unshare=network --filesystem=~/devOsobne se s override netrapim a rovnou bych editoval:
sudo vi /var/lib/flatpak/overrides/com.visualstudio.codeje to trivialni ini file, ktery pak muze vypadat:
$ cat /var/lib/flatpak/overrides/com.visualstudio.code [Context] shared=!network; filesystems=~/dev;Syntaxe je jednoducha "!" zakazuje a ";" oddeluje.
To fakt cekas ze si to takto kazdy bude editovat (zvlast kdyz jim to nikdo nerekne)?Necekam, pouzije override, treba globalne. Editovani je jen dalsi cesta.
A takova poznamka bokem ... pro me (a dalsi 2 miliardy lidi) je flatpak nepouzitelny naprosto, uz z toho duvodu ze v nem nefunguje IME, v mem pripade to znamena, ze v tom VScode pak nemuzu psat cinsky.To neni omezeni flatpak, ale pripravenych balicku, treba u Gnome je IM pres iBus podporovano. Electron aplikace maji problem, nebot autori na to zatim nekoukaji.
Celkove jde strasne videt, ze flatpak je stale na urovni technickeho dema.S tim bych nesouhlasil.
S tim ze je problem ve vyvojarich a ne v samotnem navrhu flatpaku zase nemuzu souhlasit ja, kdyz vidim jak vypadaji ofiko baliky na flathubu.Plno aplikaci ve Flathub neni vytvoreno korektne, vi se to, a bude trvat nejaky cas nez se to vyresi. Za kvalitu jsou zodpovedni autori, nikoliv tvurci flatpak - vy muzete mit repositaru jako Flathub kolik chcete.
Na problemech s integraci se shodneme, proto je flatpak ostatne zatim na urovni technickeho demo.Design a implementace flatpaku je uz vicemene stabilni, oznacovat to za demo je nesmysl, zadne vyrazne predelavani se neplanuje. Pokud nerozlisujete mezi technologii a jejim uziti, je problem spise na vasi strane, je to stejne jako obvinovat tvurce deb/rpm za zprasene deb/rpm balicky v repositari X/Y.
Pokud nerozlisujete mezi technologii a jejim uziti, je problem spise na vasi strane, je to stejne jako obvinovat tvurce deb/rpm za zprasene deb/rpm balicky v repositari X/Y.Flathub je oficialni repo a stoji za nim stejny lidi jako za flatpakem (flatpak), je to ukazkove pouziti flatpaku. Pokud to ani samy autori neumi udelat dobre, tak to o necem svedci - ty problemy jsou zpusobeny uz v navrhu flatpaku. Proto me prekvapilo, ze ten bubblewrap vypada fakt hezky (alespon na prvni pohled), a mimochodem taky je to jen jednoduchy wrapper nad linux namespaces (klasicke kontejnery), coz je jedine dobre.
Design a implementace flatpaku je uz vicemene stabilni, oznacovat to za demo je nesmysl, zadne vyrazne predelavani se neplanujV tom pripade to nebude pouzitelny pro desktop nikdy. Na testovani to je velice dobre.
Tak schvalne, vecer zkusim gimp ve flatpaku jestli tam IME bude fungovat a jeste si pohraju s temi overrides (asi tusim, proc mi ten --nofilesystem=host nefungoval).Tak bohuzel. Mam overrides nastaveno:
cat /var/lib/flatpak/overrides/com.visualstudio.code [Context] shared=!network; filesystems=~/dev;a do home se z VSCode dostanu jak nic.
Tak to zkousim a musim se smat, protoze tady na me gnome3 zblunka pokazde kdyz zmacknu tab v terminalu :). Zkousim na ciste instalaci aktualniho debianu s gnome3. Nainstaluji teda flatpak. V prohlizeci otevru flathub a kliknu na "install" > "Sorry, this did not work. The file is not supported".Za Debian nemohu mluvit. Pouzivam pouze command line a na Fedore 28 v KVM zadny problem:
$ sudo flatpak remote-add flathub https://flathub.org/repo/flathub.flatpakrepo $ flatpak search visualstudio Application ID Version Branch Remotes Description com.visualstudio.code 1.26.1 stable flathub Visual Studio Code. Code editing. Redefined. com.visualstudio.code.oss 1.26.0 stable flathub Visual Studio Code. Code editing. Redefined. $ flatpak install flathub com.visualstudio.code Required runtime for com.visualstudio.code/x86_64/stable (runtime/org.freedesktop.Sdk/x86_64/1.6) found in remote flathub Do you want to install it? [y/n]: y Installing in system: org.freedesktop.Sdk/x86_64/1.6 flathub f6c68de30418 org.freedesktop.Platform.ffmpeg/x86_64/1.6 flathub d757f762489e org.freedesktop.Sdk.Locale/x86_64/1.6 flathub 346dd3511a8c com.visualstudio.code/x86_64/stable flathub e54f52d67192 permissions: ipc, network, pulseaudio, x11, dri file access: host dbus access: org.freedesktop.Notifications, org.freedesktop.secrets Is this ok [y/n]: y Installing: org.freedesktop.Sdk/x86_64/1.6 from flathub [####################] 17 delta parts, 148 loose fetched; 325206 KiB transferred Now at f6c68de30418. Installing: org.freedesktop.Platform.ffmpeg/x86_64/1.6 from flathub [####################] 1 delta parts, 2 loose fetched; 2652 KiB transferred in 7 seconds Now at d757f762489e. Installing: org.freedesktop.Sdk.Locale/x86_64/1.6 from flathub [####################] 4 metadata, 1 content objects fetched; 14 KiB transferred in 1 seconds Now at 346dd3511a8c. Installing: com.visualstudio.code/x86_64/stable from flathub [####################] Downloading: 94.1 MB/93.8 MB (409.0 kB/s) Now at e54f52d67192. $ flatpak override com.visualstudio.code --user --unshare=network --nofilesystem=hostSit nepristupna, stejne jako home a dalsi soubory krome potrebne casti runtime.
iptables -m owner ... -j REJECTProblem solved
iptables ti odřízne od internetu celého uživatele. Na úrovni aplikací se to dá řešit spíš přes firejail, AppArmor, SELinux… a tam ošetříš i ty soubory. Pak to chce ještě řešit bezpečnost v X / Waylandu.
.
Tiskni
Sdílej: