Portál AbcLinuxu, 1. května 2025 14:12
Tiskni
Sdílej:
Máme to chápat tak, že chceš systém na kterém nefunguje world wide web?Já bych chtěl webový prohlížeč, který takové vylomeniny neumožňuje. Tedy přesněji řečeno takový prohlížeč mám, ale chtěl bych, aby webové stránky fungovaly bez technologií umožňující takové vylomeniny. V současné době totiž spousta stránek vyžaduje JavaScript i pro takové věci jako je zobrazení menu nebo vyhledávání.
16.3.2014 22:49
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
Moc mě nenapadá, jak by mohl linuxový ekosystém situaci vylepšitno tak třeba tomu děravému Flashi nedovolit dělat koniny, jako např. vůbec šáhnout na kameru - pak by ovšem uživatelé řvali, že jim to nefunguje, že ... (nevím, jestli jiný, tedy nejspíše by byla řeč o windowsovém, "ekosystém" dokáže či nedokáže totéž, ale za mejch mladejch let to v něm vypadalo tak, že domácí uživatel musel bejt admin, aby vůbec mohl pracovat, takže bezpečnost a řízení přístupu kde nic tu nic ...)
Moc mě nenapadá, jak by mohl linuxový ekosystém situaci vylepšit„Flashplayer chce otevřít /dev/video0. Povolit?“
Jinak HTML/JS AFAIK ještě nemají API na webkameru, tohle dělá Flash.
Mají. Dokonce s tím někteří dělají takové ptákoviny, jako převod do ASCII artu v JavaScriptu. Nějaké ukázky.
Ve Flashi je o dost pravděpodobnější (nebo jisté), že tam bude díra, ale i v tom prohlížeči může být chyba. Nicméně aby se ani nerozsvítila kontrolka, to už těch chyb musí být hodně a na několika úrovních: Flash/prohlížeč + ovladač + hardware. Správně navržená kamera by při snímání měla svítit a nemělo by to jít softwarově vypnout ani sebeděravějším Flashem/prohlížečem/ovladačem.
P.S. ale jistota je jistota – na notebooku přelepit a u desktopu odpojit 
Linux používám už 8 rok a zdá se mně,že s jeho bezpečností to jde 10 k 5.Mně přijde, že je to pořád stejně zoufalé.
a co víc zjistil jsem že dáma na protější straně reaguje na mé podněty i bez rozsvícené kontrolky na Webové kameřeTo je problém toho HW, ne OS.
Takže bezpečnost Linuxu je OK a všechno je otázka hw.Ne. Bezpečnost Linuxu stojí za hovno, ale zrovna to, že kamera jde zapnout, aniž by se rozsvítila ledka, je problém HW.
Dost blbý přístup.ale pak je otázka proč Linux používat,když v podstatě bude microsoft bezpečnější už tím,že je x programů třetích stran,které se budou o tu bezpečnost starat.Neznám takové programy.
Pokud se bude dogmaticky tvrdit,jak je Linux bezpečnýTo snad nikdo netvrdí.
A už možná stalo.Ano, stalo.
no, tady asi ani ne, ale jinak jsem to slyšel (resp. četl) již nesčetněkrát :-/Pokud se bude dogmaticky tvrdit,jak je Linux bezpečnýTo snad nikdo netvrdí.
Ne. Bezpečnost Linuxu stojí za hovno, ale zrovna to, že kamera jde zapnout, aniž by se rozsvítila ledka, je problém HW.Hehe chtělo by to RFKILL přepínač i na webkameru. Jinak ta ledka bude nejspíš připojená přes GPIO na ccd/cmos modulu a ten uvnitř stejně často má MCU (takže zase problém softwaru).
Hehe chtělo by to RFKILL přepínač i na webkameru.Jako softwarovej? To jde taky obejít, když to někdo vyownuje fakt hard. Dost kamarádů tam má prostě neprůhlednou samolepku. Já si ji tam dát nemůžu, protože by mi přestal fungovat fotící honeypot.
GTFO
+1
Co má být zač ten "polcejní virus"?
16.3.2014 20:37
FrostyX | skóre: 27
| blog: Frostyho_blog
| Olomouc
16.3.2014 23:44
=^..^= AmigaPower® | skóre: 30
| blog: BLB
| Praha
17.3.2014 21:52
=^..^= AmigaPower® | skóre: 30
| blog: BLB
| Praha
ad-block + noscriptAž na to, že dnešní web bez JS prostě nefunguje, takže stejně skončíš s tím, že budeš spoustu stránek povolovat.
16.3.2014 23:41
=^..^= AmigaPower® | skóre: 30
| blog: BLB
| Praha
Policejní okno? Asi se moc čumíš na péčko.stačej nějaký filmy online ;)
17.3.2014 07:10
FrostyX | skóre: 27
| blog: Frostyho_blog
| Olomouc
17.3.2014 11:35
FrostyX | skóre: 27
| blog: Frostyho_blog
| Olomouc
17.3.2014 22:12
FrostyX | skóre: 27
| blog: Frostyho_blog
| Olomouc
ale kamera na mně nikdy nevyskočila, jen u kamaráda jsem na XP viděl okénko s obrazem z jeho webky. Tam jsme ale museli udělat virovou kontrolu v administrátorském režimu a od té doby mu nefungují USB porty, jen napájení.Já nevim, co s tim děláte, stačí nastavit flash player, aby neměl přístup ke kameře. Na linuxu příkaz
16.3.2014 17:23
16.3.2014 17:42
17.3.2014 10:24
16.3.2014 18:34
16.3.2014 21:28
16.3.2014 22:35
flash-player-properties.
Na OS X a Linux se „policejní software“ rozšířil díky praktikám webového adwaru, přičemž využívá multiplatformní JavaScript. „Tato verze policejního viru je prakticky neškodná, nezachytává žádné údaje, nepřipojuje vás k botnetu ani nestahuje další malware do počítače,“ popisuje Pavel Matějíček na serveru Viry.cz.Frndafox aj Chrobák beží klasicky pod userem, zajímalo by mě tedy jak by to bylo na linuxu se zašifrováním uživatelských dat. V Chrobákovi by tomu měl zabránit sandbox, ale nevím jak Frndafox. Nějaký expert for the help?
Frndafox aj Chrobák beží klasicky pod userem, zajímalo by mě tedy jak by to bylo na linuxu se zašifrováním uživatelských dat. V Chrobákovi by tomu měl zabránit sandbox, ale nevím jak Frndafox.Samozřejmě, že když ti to vyownuje prohlížeč, tak může dělat, co chce. Izolace aplikací v Linuxu v podstatě neexistuje. A sandbox ti nepomůže, třeba VUPEN občas publikuje a prodává 0daye.
Izolace aplikací v Linuxu v podstatě neexistuje.
Android je taky Linux 
cgroups, LXC, AppArmor, Qubes OS… technologie jsou, horší je, že je většina lidí nepoužívá.
Izolace aplikací v Linuxu v podstatě neexistuje.Co je tím přesně myšleno?
Předpokládám to, že se ti třeba proces webového prohlížeče dostane (ve výchozím nastavení většiny distribucí) k soukromým klíčům (SSH, GPG, X.509) nebo k e-mailům a dalším dokumentům, ke kterým vůbec přístup mít nemusí. Totéž třeba přehrávač médií nebo IM klient.
17.3.2014 16:14
flex, což mi přijde mírně absurdní), nebudou to lidi používat. BFU to nebudou používat zcela určitě a ani power userům se do toho nebude chtít.
17.3.2014 20:43
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Hlavně se na to jde (imo) ze zcela opačné strany. Tj jak antivir ve windows. Místo toho, aby se to udělalo správně (dobře se chovající programy z repositáře, oddělení uživatelských účtů, apod), tak se "nebezpečný" program (ehm, když už vím, že je nebezpečný, tak proč ho tam mám), zavře do klece.Pokud jde o selinux, tak ten umí obojí. Nicméně uživatelé zjevně nejsou ochotni zabezpečený systém používat, vzhledem k tomu, že pak na pouhou migraci klíče na jiný stroj bude potřeba zásah systémového administrátora. Takže celé je to o nastavení bezpečnostní politiky. Pokud máš funkční univerzální návod na bezpečnost uživatelského linuxu, tak sem s ním, budeš první.
Ale jestli by ono nebylo lepší mít jako hlavní cíl slušné programy, které nebudu muset zavírat.Cílem toho zavírání je mimo jiné právě to mít slušné programy, které není potřeba zavírat. To je právě oblast, kde z existence a selinuxu těží i ti, kteří ho nepoužívají.
vzhledem k tomu, že pak na pouhou migraci klíče na jiný stroj bude potřeba zásah systémového administrátora.
Což je právě ta chyba. Může to tak být třeba na nějakém pracovním počítači v bance, kde bude zakázaná spousta věcí, ale na běžných počítačích ne – tam by si to měl řešit uživatel a root by nastavil jen nějaký výchozí stav.
Mělo by to fungovat jako v databázích – tam můžeš mít určitá práva na určité tabulky + můžeš mít právo tato práva přidělovat ostatním (v tomto případě svým aplikacím běžícím v omezeném režimu) a nemůžeš přidělit víc práv, než sám máš.
Co ti na tom přijde mlhavého?
Buď spustím (důvěryhodnou) aplikaci normálně, tak jako dnes, se všemi právy, která mám já. Nebo ji spustím ve zvláštním omezeném režimu, jehož parametrem je profil definující různá omezení1 a tento profil si může vytvořit uživatel spouštějící aplikaci – nemusí jen přejímat profily, které definoval root.
[1] případně ten profil staví na nulových právech a musí definovat, co aplikace smí, aby vůbec mohla běžet
Místo toho, aby se to udělalo správně (dobře se chovající programy z repositářeNo jo, jenže ono je dost náročné zajistit, aby byl program 'dobře se chovající'. Programy prostě obsahují chyby. A když tím programem je JavaScript VM, který vykonává kód odněkud z internetu (nebo něco podobného), tak v zásadě ani není jiná možnost, než sandbox.
oddělení uživatelských účtůTohle se mi nelíbí, uživatelský účet je od toho, aby reprezentoval uživatele, ne jednu aplikaci uživatele... Navíc mi to nepřijde praktické, protože by pak člověk musel různá nastavení synchronizovat mezi různými uživateli... To je dost nahouby.
dobře se chovající programy z repositářeJako aby v programech nebyly bezpečnostní díry? To by bylo super, bohužel asi v dohledné době nereálné.
oddělení uživatelských účtůPro každou aplikaci vlastní účet?
ehm, když už vím, že je nebezpečný, tak proč ho tam mámNevyčerpávající seznam nebezpečných programů: Firefox, Chromium, Thunderbird, MPlayer, Evince, Okular, Mutt, LibreOffice, Pidgin.
Ale jestli by ono nebylo lepší mít jako hlavní cíl slušné programy, které nebudu muset zavírat.Bylo, ale myslím, že to není moc reálné.
18.3.2014 10:17
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Pro každou aplikaci vlastní účet?
Ne pro každou. Pro aplikaci, kterou chci oddělit. Nevím, co je na tom divného, na počítači, kde toho ani moc neběží a je tam přihlášen jeden (fyzický) uživatel běží aktuálně programy pod celkem 9 různými uid.
Pro aplikaci, kterou chci oddělit.To je v přímém rozporu s tvým tvrzením, že zabezpečovat jednotlivé aplikace je chyba.
18.3.2014 10:24
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
18.3.2014 10:46
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Pro serverové aplikace/démony je to běžná věc. Pro uživatelské aplikace je to spíš otázka pokročilejších uživatelů a jistého nepohodlí. Možná by nebyla od věci nějaká systémová podpora pro tohle – uživatel (člověk) by neměl jen jedno UID, ale nějaký přidělený1 rozsah. První UID by bylo výchozí a do těch dalších by mohl „zavírat“ jednotlivé aplikace a oddělovat je od ostatních. Plus mít nějaký framework pro sdílení zdrojů – k některým souborům (a soketům) můžou všichni, k jiným jen vybrané aplikace + omezování síťového provozu, CPU, RAM… V podstatě vše potřebné pro tohle v GNU/Linuxu je, jen k tomu chybí nějaké uživatelsky přívětivé rozhraní.
Taky je potřeba řešit izolaci na úrovni X serveru (nebo jeho nástupce). A nějaké oddělení na úrovni pluginů/modulů – např. věřím nějaké aplikaci (třeba KDE), ale chci si v ní vyzkoušet nějaký experimentální plugin. Pokud tam bude nějaké API resp. protokol, mohl by klidně plugin běžet pod jiným UID a s aplikací komunikovat třeba přes STDIO, POSIX MQ, D-Bus atd.
Druhá možnost je pouštět všechny aplikace jednoho uživatele pod stejným UID, ale omezit jejich práva jinak. Každopádně by to ale měl být uživatel (ne jen root), kdo řekne, co aplikace smí a nesmí dělat (samozřejmě nesmí překročit oprávnění, které má sám).
[1] a systém by měl přehled o tom, co komu patří, dokázal by s tou skupinou UID potažmo uživatelských účtů pracovat jako s jedním uživatelem, např. ho najednou smazat nebo mu ukončit všechny procesy atd.
O těch UID začal Heron Já psal o cgroups už tady: #49.
Tohle je moje představa jak by šlo využít více UID, aby to nebyl jen bastl nebo provizorium, které si rozchodí pokročilý uživatel. Více UID ale není jediná a možná ani nejlepší možnost. Ale ať už se použije cokoli (UID/cgroups/AppArmor/SELinux/…), pořád tomu zatím chybí uživatelská přívětivost. Zatím nejdál (i když ne dokonalé) je to asi u Androidu – při instalaci vidíš, jaká oprávnění aplikace potřebuje a rozhodneš se, zda jí je dáš.
Například ten selinux v tomhle ohledu zrovna nevyniká.Pokud jde o nastavení, tak v případě SSH klíčů selinux vykazuje 100% uživatelskou přívětivost (uživatel s tím nemusí nic dělat).
Pokud vím, tak ochrana soukromých SSH klíčů je se současnými prostředky typu selinux triviální úloha.Asi jsem blbej, ale nejsem to schopen udělat jinak, než mít pro každou aplikaci zvláštního uživatele (nebo nějaký SELinux profil) a pro každou grafickou aplikaci zvláštní nested X server.
17.3.2014 20:36
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Tohle je problém selinuxu, občas totiž není úplně jasné, kam se má daný program dostat a kam ne.Nesmysl. Tohle je problém nezávislý na selinuxu. Selinux je jenom jeden z nástrojů, jak v systému vynutit bezpečnostní politiku. Jenže je těžké něco vynucovat, pokud to nedokážeš ani definovat.
Takto by se programy chovat neměly.Přesně z tohoto důvodu se selinuxem systém chrání primárně před programy, které běžně přijímají data ze sítě, popřípadě před programy ze sítě přijaté. Proto není selinuxem zablokované třeba spuštění příkazu cat z uživatelského shellu.
A proč by se neměl dostat? Pokud nechci, aby se dostal, tak ho pustím pod jiným uživatelem a mám ochranu dostatečnou
To taky dělám, mám tu založeno několik uživatelů a používám je na různé věci. Ale je to jednak trochu neohrabané, je problém se sdílením zdrojů a jednak je to takové nesystémové – můžu si to dovolit já jako root daného počítače, můžu si tu založit uživatelů, kolik chci, pro každý účel nebo klidně i aplikaci jeden, ale co má dělat běžný uživatel na víceuživatelském počítači? Vždyť jedna z důležitých vlastností unixu (a GNU/Linuxu) je to, že je víceuživatelský. Jeden účet by měl (zhruba) odpovídat jednomu člověku – a ne že každý bude potřebovat deset účtů + roota pro případ, že by chtěl na počítači dělat jedenáctou činnost.
Jak píšu, více uživatelských účtů používám, ale beru to jako takové provizorium, na izolaci aplikací by IMHO mělo sloužit něco jiného. Ty aplikace mají běžet pod jedním uživatele (= patří jednomu člověku), ale ten je může chtít od sebe izolovat a omezit jim oprávnění.
Osobně bych byl velmi nepříjemný, pokud by se prohlížeč někam nedostal jen k vůli tomu, že autora politiky si myslel, že to tak má být.
Chce to hodně dobře vyladit výchozí nastavení (což je asi důvod, proč se tyhle věci zatím moc nepoužívají) + dát uživateli možnost, aby svým aplikacím přidával nebo odebíral práva podle vlastního uvážení.
Problém totiž není v těch souborech, kam se webový prohlížeč (ne)má dostat, problém je v tom, že se z webového prohlížeče (pasivní to věc), stal vysoce nebezpečný program, který (může být) je řízen kódem na webové stránce třetí strany (nevím, jak moc je složité napsat js který odešle někam soukromý klíč, ale spíše je otázkou, proč by to ten program vůbec měl umět), který se spustí by defaul ještě dřív, než uživatel zjistí, zda na té stránce vůbec chtěl být. Trochu to připomíná situaci s autorunem ve Windows. Jakýsi kód se automaticky spustí, aniž by tomu uživatel (by default) mohl zabránit. Takto by se programy chovat neměly.
Souhlasím. Webový prohlížeč by tohle dělat neměl. Má sloužit k prohlížení stránek, čtení hypertextových dokumentů. Ovšem jsou tu dvě ale:
1) V programu (prohlížeč, e-mailový klient, přehrávač filmů, rss čtečka atd.) může být chyba a přijde mi dobré, to mít nějak pojištěné. I za cenu toho, že třeba nebudu moci k e-mailům přidávat soubory ze všech složek nebo je nahrávat přes formuláře na webu. Případně by mohl vyskočit nějaký dialog nezávislý na tom programu, ve kterém bych přístup k těm souborům odsouhlasil.
2) Je dobré mít nějakou platformu pro spouštění cizích a ne zcela důvěryhodných aplikací – ne všechno musí projít skrze distribuci a instalovat se jako systémové balíčky (které mj. můžou při instalaci spustit nějaký skript pod rootem). Osobně mi vadí, že tahle platforma dnes splývá s webem – tedy prohlížečem hypertextových dokumentů – považuji to za nešťastné, ale těžko se s tím něco dělá. A i kdyby to nesplývalo, řešili bychom ten stejný problém – jak izolovat tuhle platformu od zbytku systému a omezit těm cizím aplikacím práva, aby nemohly úplně všechno.
To se dá udělat buď v režii té aplikace resp. platformy (prohlížeč, Flash, Java…), na které se aplikace spouští. Ale děravé to může být stejně a je to nesystémové, dochází k duplikaci kódu, ta samá omezení a logiku musím implementovat v různých programech/platformách. Lepší by bylo to napsat jednou a pořádně, na úrovni operačního systému. Případně kombinace obojího – prohlížeč jako kontejner, základní okno + jednotlivé stránky/aplikace v samostatných procesech, které mají přidělená určitá oprávnění (např. jedna stránka může k webkameře a jiná ne).
problém je v tom, že se z webového prohlížeče (pasivní to věc), stal vysoce nebezpečný program, který (může být) je řízen kódem na webové stránce třetí stranyJenže taková chyba byla třeba i v libpng. Chceš si stěžovat na to, že je proto z prohlížeče fotek vysoce nebezpečný program?
18.3.2014 10:20
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Prohlížeč má být pasivní.Když člověk vychází jen z dojmů, které neodpovídají současné realitě, tak těžko může bezpečnost nějak významně řešit. Já nepopírám, že by se mi líbilo, kdyby web byl pasivní a webové aplikace se považovaly za samostatnou platformu, kterou člověk spouští vědomě a za nějakým konkrétním účelem, nicméně jsem si i vědom toho, že se to nestane.
18.3.2014 10:50
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Prohlížeč má být pasivní. To současné webové prohlížeče rozhodně nejsou.Co to znamená "pasivní"? Znímky výše o libpng apod. dokládají, že už pouhé zobrazení obrázku z internetu nese riziko arbitrary code execution (a podobně radosti). To by ten browser nesměl umět téměř nic. Je pravda, že by pak sice byl bezpečný/ější, ale zas by nebyl k ničemu užitečný...
18.3.2014 18:43
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Je rozdíl mezi chybou v knihovně (knihovna na obrázky není určená ke spouštění kód v daném obrázku), a vlastností (prohlížeč ve výchozím nastavení spouští kód webové stránky a to ještě dřív, než je schopen uživatel rozpoznat, zda na té stránce vůbec chce být).
Vidím v tom poměrně zásadní rozdíl. Jedno je nechtěné chování, které se opraví, druhé je chtěné chování (autorem aplikace), které se ještě rozšiřuje.
To by chtělo změnit úplně způsob, jakým se web dneska dělá – aby nebyl procedurální, ale čistě deklarativní – dokument. Taky by se mi takové pojetí webu líbilo.
Ty procedurální části by se mohly vyčlenit do znovupoužitelných knihoven/modulů, které by se šířily jako svobodný software a byly pod veřejnou kontrolou. Na jednotlivých webech by pak byla jen deklarativní parametrizace a jméno modulu, který se má spustit. Uživatel by si pak mohl nastavit, které moduly se mají spouštět automaticky (např. prohlížečka obrázků), které na vyžádání a které vůbec.
Vidím rozdíl mezi chybou a záměrným chováním.A ty si myslíš, že ve Firefoxu je feature
javascript:document.system.read_and_send_all_private_ssh_keys()?
Prohlížeč má být pasivní. To současné webové prohlížeče rozhodně nejsou.I kdyby byl, furt mi vadí, že se tam můžou objevit chyby. Nebo úmyslné backdoory.
Prohlížeč prostě patří k těm potenciálně nebezpečným aplikacím, které stahují data (případně i kód, ale to není nutné) z neznámých a nedůvěryhodných zdrojů – stejně jako přehrávač internetového rádia, případně obecný přehrávač médií, e-mailový klient atd. A je dobré tyto programy nějak izolovat od zbytku aplikací daného uživatele a omezit jim práva.
U prohlížečů je ale situace ještě horší, protože nestačí izolovat prohlížeč jako celek – v rámci prohlížeče se chodí na různé stránky a dokonce spouští různé aplikace a ty by měly být izolované i mezi sebou – aby např. nějaký všivý web nemanipuloval s tvým elektronickým bankovnictvím, které máš otevřené ve vedlejším panelu. Tohle je sice extrémní případ – na e-bankovnictví si člověk může udělat zvláštní UID nebo aspoň profil prohlížeče – ale těch webových aplikací, které by se měly chránit, je daleko víc – v podstatě co doména, to by měl být samostatný kontejner, do kterého jiné weby nevidí a nemůžou s ním manipulovat. Teoreticky se o to prohlížeče snaží, ale díry se tam objevují (např. CSRF, XSS). Tady by pomohlo lepší rozlišování mezi webovými stránkami a webovými aplikacemi – aplikace spouštět v samostatném okně, procesu, profilu prohlížeče a nejlépe s nějakým vnějším omezovačem práv poskytovaným operačním systémem. Stránky/prezentace pak spouštět sice v prohlížeči a v jednom okně, ale ideálně taky v různých procesech a izolované nějakým tím nástrojem na úrovni OS.
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.