abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 00:22 | Pozvánky

Richard Stallman, zakladatel hnutí svobodného softwaru, projektu GNU a Free Software Foundation, vystoupí 6. června od 17:30 v Brně v kině Scala se svou přednáškou Free Software Movement and GNU/Linux Operating System. Přednášku organizuje Ústav práva a technologií Masarykovy univerzity.

Ladislav Hagara | Komentářů: 17
17.5. 21:11 | IT novinky

Hewlett Packard Enterprise (NYSE:HPE) kupuje společnost Cray Inc. (Nasdaq:CRAY) za přibližně 1,3 miliardy dolarů. Výrobce superpočítačů Cray má v seznamu 500 nejvýkonnějších superpočítačů na světě TOP500 aktuálně 52 superpočítačů. S Intelem staví další superpočítač Aurora. S AMD staví superpočítač za 600 milionů dolarů s názvem Frontier. Ten by měl v roce 2021 převzít vedení v TOP500.

Ladislav Hagara | Komentářů: 0
17.5. 19:44 | Zajímavý projekt

Ondřej Kokešpodcastu Dataři představuje projekt Česká otevřená data. Jedná se o sadu skriptů, které stahují především finanční data poskytovaná státními institucemi. V rozhovoru vysvětluje, že ke správné interpretaci dat jsou potřeba doménové znalosti, a popisuje zkušenosti, jak získat dokumentaci, která u datových sad často chybí.

Fluttershy, yay! | Komentářů: 0
17.5. 10:11 | Zajímavý projekt

Nadace XPRIZE vyhlásila před pěti lety soutěž Global Learning XPRIZE o nejlepší open source výukový program nebo inovativní způsob výuky, který umožní dětem v rozvojových zemích samostatně se naučit číst, psát a počítat. Tento týden byly vyhlášeny výsledky (YouTube). O první místo a 10 milionů dolarů se podělili Kitkit School a onebillion. Pět vítězných výukových programů bylo zveřejněno na GitHubu.

Ladislav Hagara | Komentářů: 19
17.5. 06:00 | Komunita

Dalších šest produktů od společnosti ThinkPenguin získalo certifikaci RYF (Respects Your Freedom, Respektuje vaši svobodu) udělovanou Nadací pro svobodný software (FSF). Certifikaci RYF má nově například také převodník z USB na paralelní port (LPT). Certifikace RYF byla představena v říjnu 2012.

Ladislav Hagara | Komentářů: 9
16.5. 23:11 | Pozvánky

Dnes je Světový den přístupnosti, anglicky Global Accessibility Awareness Day (GAAD, Wikipedie). Světový den přístupnosti vznikl v roce 2012. Jeho smyslem je šířit osvětu v této oblasti mezi širokou veřejností a motivovat ji k diskusím, přemýšlení a chuti dozvědět se o tématice přístupnosti webu, dokumentů, software, mobilních aplikací, asistivních technologiích či potřebách lidí s nejrůznějším postižením něco nového. O víkendu

… více »
Ladislav Hagara | Komentářů: 0
16.5. 19:55 | Pozvánky

Spolek OpenAlt zve příznivce otevřených řešení a přístupu na 164. brněnský sraz, který proběhne v pátek 17. května od 18:00 v restauraci Přístav u Vodů u Brněnské přehrady aneb v hantecu u Prýglu.

Ladislav Hagara | Komentářů: 2
16.5. 07:00 | Nová verze

Byla vydána nová major verze 9.0 svobodného systému pro řízení přístupu k síti (NAC) PacketFence (Wikipedie). Přehled novinek v oznámení o vydání. Pro uživatele předchozích verzí jsou k dispozici poznámky k aktualizaci.

Ladislav Hagara | Komentářů: 2
16.5. 06:00 | Bezpečnostní upozornění

K názvům Microarchitectural Data Sampling (MDS) a ZombieLoad Attack aktuálních bezpečnostních chyb v procesorech Intel přibyly nové názvy RIDL a Fallout. Na stránce RIDL and Fallout: MDS attacks jsou k dispozici další videoukázky, technické informace nebo i nástroj pro otestování, zda je konkrétní systém zranitelný. Ke stránkám ZombieLoad Attack, RIDL a Fallout lze přistupovat ze stránky CPU.fail.

Ladislav Hagara | Komentářů: 17
15.5. 18:22 | Zajímavý článek

V Edici CZ.NIC vyšla kniha Porty, bajty, osmibity od Martina Malého. Koupit ji lze tištěnou nebo zdarma stáhnout ve formátech PDF (3,6 MB), EPUB (10,8 MB ) a MOBI (28,7 MB). Jedná se o volné pokračování knihy Hradla, volty, jednočipy. Další informace ke knihám, odkazy na zdrojové kódy nebo errata na webových stránkách Porty, bajty, osmibity a Hradla, volty, jednočipy.

Ladislav Hagara | Komentářů: 24
GPU kterého výrobce aktuálně preferujete pro provoz Linuxu?
 (48%)
 (25%)
 (25%)
 (1%)
Celkem 292 hlasů
 Komentářů: 25, poslední 17.5. 18:39
Rozcestník

Fedora bude odstraňovat balíčky se špatnými bezpečnostními praktikami

Fedora bude odstraňovat balíčky se špatnými bezpečnostními praktikami. FESCo, technická komise Fedory, schválila návrh, podle kterého by se měly balíčky, na které je už déle než 6 měsíců nahlášená bezpečnostní chyba na úrovni CRITICAL a IMPORTANT nebo i nižší, vyřadit z distribuce. Správci daných balíčků budou pravidelně upozorňováni a budou mít 8 týdnů na nápravu. Pokud chyby neodstraní, balíček bude vyřazený z repozitářů, aby se už nedostal do dalších verzí Fedory.

3.9.2018 04:00 | Ladislav Hagara | Komunita


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

3.9.2018 09:02 micno
Rozbalit Rozbalit vše Re: Fedora bude odstraňovat balíčky se špatnými bezpečnostními praktikami
to odstrania fedoru ?
3.9.2018 09:25 luv | skóre: 18 | blog: luv
Rozbalit Rozbalit vše Re: Fedora bude odstraňovat balíčky se špatnými bezpečnostními praktikami
prvni co jsem si rikal, tak ze prvne odstrani ten flatpak co vsude tlaci :), pak systemd ... :)
3.9.2018 10:59 RB
Rozbalit Rozbalit vše Re: Fedora bude odstraňovat balíčky se špatnými bezpečnostními praktikami
Flatpak a systemd nemůžou za tvůj posraný život ;-)
3.9.2018 11:02 luv | skóre: 18 | blog: luv
Rozbalit Rozbalit vše Re: Fedora bude odstraňovat balíčky se špatnými bezpečnostními praktikami
To zrovna u me z principu nemuze.

Ale obecne se i to muze stat, kdyz ti nekdo diky deravymu flatpaku vykrade ucty a ukradne privatni klice ;).
3.9.2018 11:29 RB
Rozbalit Rozbalit vše Re: Fedora bude odstraňovat balíčky se špatnými bezpečnostními praktikami
No, já jenom, že máš potřebu se k nim vyjadřovat prakticky pod každou zprávičkou o nich.

Jinak pokud jsou Flatpak a systemd tak děravé, tak nebude problém tam nějaké pěkné CVE najít, dát tomu cool jméno a stát se slavným ;-)

Mimochodem i kdyby Flatpak děravý byl, tak nevím, jak mě v tomto ohledu ochrání tradiční způsob distribuce softwaru - balíčky. Když si nainstaluju DEB balíček do systému, tak nemám ani pokus o izolaci.
3.9.2018 11:41 luv | skóre: 18 | blog: luv
Rozbalit Rozbalit vše Re: Fedora bude odstraňovat balíčky se špatnými bezpečnostními praktikami
Prijde mi ferove informovat jak se veci skutecne maji.

Flatpak se taky o zadnou izolaci nesnazi, je to o ale o dost horsi, protoze se uzivatelum tvrdi ze ano. Skoro 100% balicku z flathubu ma pristup k celemu tvemu filesystemu, vcetne rw do tveho home a pristup k siti. Navic je to plny verejne znamych chyb, protoze se neupdatuje, i podle CVE si muzes najit chyby, ktere ve flatpaku (resp flathubu) stale jsou, vcetne code execution.

A mimochodem, ne vsechny verejne zname chyby maji CVE. Navic, kdyz nekdo reague na oznameni bezpecnostni chyby takto, tak neco jako responsible disclosure vuci tomu projektu uz nemuzes cekat.
3.9.2018 17:40 pavele
Rozbalit Rozbalit vše Re: Fedora bude odstraňovat balíčky se špatnými bezpečnostními praktikami
Pořád nechápu, proč se místo rpm balíčků neinstalují balíčky s flatpakem.

Holý systém - pouze kostra.

Zbytek flatpaky místo rpm balíčků pod správou lidí dané linuxové distribuce.

Tím by se řešila centrální správa, bezpečnost a prakticky neomezená tvorba jakékoliv verze programu.

Omezeno pouze na lidské zdroje.
3.9.2018 18:03 luv | skóre: 18 | blog: luv
Rozbalit Rozbalit vše Re: Fedora bude odstraňovat balíčky se špatnými bezpečnostními praktikami
Zbytek flatpaky místo rpm balíčků pod správou lidí dané linuxové distribuce.
To by byla urcite lepsi situace nez ted, kdy se o ty flatpak balicky nikdo poradne nestara a opravdu v nich jsou zname bezpecnostni chyby. A kazdeho pul roku jim tam pribude nova sada runtimes ..

Ale zalozit runtimes na existujici distribuci, misto aby si to bastlili samy, by byl velky krok kupredu. Svym zpusobem by dohonili snap a docker :).
Tím by se řešila centrální správa, bezpečnost a prakticky neomezená tvorba jakékoliv verze programu.
Bezpecnost urcite ne, protoze ve flatpaku uz dosli k tomu, ze ty flatpak balicky proste potrebuji pristup na /, k dbus socketum, atd.

Jinak ano.

Navic ti tohle ale zavede problemy s integraci (zkus si treba ted ve flatpaku takovou blbost jako zmenit velikost "interface fontu" - to funguje pouze v gnome aplikacich ve flatpaku, v KDE aplikacich ne, bez flatpaku to samozrejme funguje vsude), tohle prece nemuzes dorucit uzivatelum.

Podobny problem je i s nastavenim temat - pokud pouzivas adwaita(-dark) nebo highcontrast (a mozna par dalsich) tak cajk, dokonce ta zmena funguje i hezky "online" pres dbus, ale pokud pouzivas jine tema, tak mas smulu. Dalsi priklad je treba CJK, korporatni CA certifikaty, ..
3.9.2018 18:57 Abi
Rozbalit Rozbalit vše Re: Fedora bude odstraňovat balíčky se špatnými bezpečnostními praktikami
Témata vzhledu jsou takový fetiš Linuxu. Popravdě to nikdy pořádně nefungovalo a nebude fungovat. Autor aplikace navrhne téma s nějakým vzhledem a uživatel si na to potom aplikuje téma, které to rozbije... To je taky jediný důvod, proč Flatpak a Snap neumožňují aplikovat systémové téma, protože nikdo nikdy není schopný garantovat, jak ta aplikace bude s tím tématem vypadat. Přimountovat adresář se systémovými tématy je ten nejmenší technický problém. Jinak zakládat runtime na existující distribuci? Stačí se podívat třeba na universe v Ubuntu... Nemám problém, když někdo vyžaduje vysoké bezpečnostní standardy po Flatpaku, ale je dobré se podívat na alternativu. Linuxové distribuce, zvláště ty komunitní, tedy žádný zázrak nejsou, když se považuje za pokrokové, že Fedora začne vyřazovat balíčky z repozitářů, když je v nich kritická bezpečnostní chyba "jenom" 6 měsíců. Navíc Flatpak je teď alternativa spíše k nejrůznějším bundlům třetích stran v samostatných balíčcích nebo PPA apod. A to je naprostý etalon bezpečnosti, že?
3.9.2018 19:49 luv | skóre: 18 | blog: luv
Rozbalit Rozbalit vše Re: Fedora bude odstraňovat balíčky se špatnými bezpečnostními praktikami
Témata vzhledu jsou takový fetiš Linuxu.
A windows (viz napr tady nebo tady, tady, atd) a androidu ..
Popravdě to nikdy pořádně nefungovalo a nebude fungovat.
Bez flatpaku nemam problem. Uz v Ubuntu 14.04, kdyz si prenastavim tema, tak se zmena aplikuje zaroven na Qt i Gtk aplikace.
To je taky jediný důvod, proč Flatpak a Snap neumožňují aplikovat systémové téma, protože nikdo nikdy není schopný garantovat, jak ta aplikace bude s tím tématem vypadat.
Toto neni pravda, temata doporucuji lidi od flatpaku vsechny "prebalit" (kazdych 6 mesicu) pro flatpak. A jak pisu vyse, pro adwaita, adwaita-dark a high contrast to funguje jak kdyby to ani ve flatpaku nebylo (povidaji si pres dbus socket, to je udelany hezky).
Přimountovat adresář se systémovými tématy je ten nejmenší technický problém.
Samozrejme. Kdyby to bylo tak jednoduche, tak uz to tak davno funguje (viz napr. export fontu do /run/host/fonts, ani to ale neni 100%). Problem je ze gnome rozbiji kazdy pul rok ABI/API.

Ale hlavne, integraci snap i flatpak bohuzel rozbiji skoro kompletne, nejedna se pouze o temata.
Navíc Flatpak je teď alternativa spíše k nejrůznějším bundlům třetích stran v samostatných balíčcích nebo PPA apod. A to je naprostý etalon bezpečnosti, že?
Vzhledem k tomu ze tyto balicky zavisi na knihovnach v distru, tak tam nenastava ten problem, ktery zavidi flatpak a snap, kdy jde uspesne zneuzivat zname bezpecnostni chyby v zavislostech. Navic tam ani neni ten "pocit sandboxu" zatimco ale ve skutecnosti aplikace muze vsude.

Ja chapu ceho se snazi tyto projekty docilit, a bych rad kdyby se jim to povedlo, ale nesmi pritom zavest radu novych problemu a zavest kriticke bezpecnosti chyby (a tak nejak se o tom zapomenout zminit) - to si pak zaslouzi sepsout pod kazdou zpravickou.
3.9.2018 19:56 luv | skóre: 18 | blog: luv
Rozbalit Rozbalit vše Re: Fedora bude odstraňovat balíčky se špatnými bezpečnostními praktikami
Mimochodem, tohle neni nic noveho, na vsechny tyto problemy uz (nejen ja) upozornuji od roku 2015, kdy se to nejak zacalo rozjizdet. A to jsem teda jeste naivne veril, ze ten sandbox bude fungovat.
4.9.2018 11:57 Abi
Rozbalit Rozbalit vše Re: Fedora bude odstraňovat balíčky se špatnými bezpečnostními praktikami
Tak si to shrňme:

Tvrdíš, že se v aplikacích nebo runtimech dají najít zneužitelné chyby. Já s tím souhlasím. Pro toho, kdo dělá v tomto odvětví, to opravdu není šokující zjištění. A znovu opakuji, podívejme se pro srovnání na distribuce: universe, který je v Ubuntu by default povolený, nemá žádnou podporu a jsou v něm stovky otevřených bezpečnostních chyb, na které se nikdo nikdy nepodíval, protože většina balíčků nemá správce. Ano, Ubuntu je v tomto ten horší případ, ale máslo na hlavě mají všechny distribuce včetně těch komerčních, které mají bezpečnostní týmy (např. Red Hat garantuje opravu kritické bezpečností chyby do 5 pracovních dní, ale pro ty nekritické už žádná záruka není). Ano, správce aplikace ve Flatpaku to má těžší v tom, že to, co si bundluje, si musí hlídat, správce v distribuci má toto jednodušší, protože většina distribucí bundlování neumožňuje a musí tak záviset na balíčcích ostatních. Ale to je dvojsečné, protože pokud třeba můj balíček v Ubuntu závisí na neudržovaných balíčcích v universe, tak přejímám i jejich bezpečnostní chyby a pravidla distribuce mi neumožňují si raději přibundlovat opravené verze. Flatpak umožňuje.

Dál tvrdíš, že celá řada aplikací ve Flatpaku má povolený přístup k hostovi. Logicky, když uživatel z té aplikace chce přístup ke svým datům a ta aplikace neumí pracovat s portálem, musí jí dát "bianco" přístup. To ale dává úplně každé aplikaci nainstalované přes balíček. Na rozdíl od toho balíčku ale má uživatel jednoduchý způsob, jak to změnit, pokud aplikaci nevěří. U Flatpaku a snapu je to o změně jedné (nebo více) hodnot v konfiguraci sandboxu dané aplikace. U balíčků to je o netriviálním hraní se SELinuxem a AppArmorem apod. Opět nevím, v čem jsou Flatpak a snap v tomto horší než normální balíčky.

Pocit "sandboxu" máš možná ty. Nepřijde mi, že ty projekty se snaží tvořit vytvářet dojem, že aplikace v nich zabalené běží super bezpečně. Na Flatpak.org není mezi výhodami Flatpaku o bezpečnosti nic, na snapcraft.io mají: "Not only are snaps kept separate, their data is kept separate too. Snaps communicate with each other only in ways that you approve." Což je pravda. Pořád to je uživatel, který si může nastavit, jestli má aplikace přístup k jeho datům nebo ne. Na rozdíl od balíčků a instalace aplikací do systému, obě technologie umožňují běh aplikace izolovaně, že ho nevynucují, je fakt, ale nejsou v tom o nich horší než tradiční balíčky. Naopak obrovská jejich výhoda je, že nevyžadují roota a neumožňují spouštět libovolný skript při instalaci (nad hostem). U RPM a DEB je autor balíčku schopný smazat uživatelovi celý disk už během instalace.

K těm Windows a Androidu. Odkazuješ pouze na změny v systémového UI a možná základních aplikací. Např. Android umožňuje úpravu témat, ale z pozice autora aplikace. Opravdu jsem si nevšiml, že by na Androidu bylo běžné systémově vnucovat témata aplikacím. Realita je taková, že na ostatních systémech minimum uživatelů používá jiná témata a autor aplikace je ten, kdo určuje, jak její UI bude ve finále vypadat. Proto říkám, že toto je takový fetiš Linuxu než něco běžného.

Nemám nic proti tomu, když někdo upozorňuje na nedostatky nějakých technologií, ale popravdě ten tvůj přístup k Flatpaku a snapu mi přijde hooodně zaujatý. Kdyby ti šlo o bezpečnost uživatelů Linuxu, tak bys měl psát o tom, že si mají dávat pozor i na to, jaký balíček z distribuce si instalují, protože to tam taky není úplně sluníčkové, a že se mají vyvarovat instalace balíčků z repozitářů třetích stran jako PPA, protože tam nejsou vůbec žádné garance podpory a autorovi takového random PPA uživatel dává de facto root přístup ke svému stroji atd., protože Flatpak a snap jsou alternativy právě k tomuto (ne k takovému security-focused QubesOS, kde každá aplikace běží ve vlastní VM), ale tebe zjevně tankuje jenom ten Flatpak a snap.
4.9.2018 12:06 luv | skóre: 18 | blog: luv
Rozbalit Rozbalit vše Re: Fedora bude odstraňovat balíčky se špatnými bezpečnostními praktikami
http://docs.flatpak.org/en/latest/sandbox-permissions.html prvni veta

Tohle snad kazdemu bude stacit aby pochopil ze si z Red Hatu a jen siris bludy.
4.9.2018 12:08 luv | skóre: 18 | blog: luv
Rozbalit Rozbalit vše Re: Fedora bude odstraňovat balíčky se špatnými bezpečnostními praktikami
Na klasicky distra (berme debian) nemam v ruce exploity na code execution, ty jo? Muzeme zverejnovat jeden po druhym za ty moje na flatpak.
4.9.2018 12:53 Abi
Rozbalit Rozbalit vše Re: Fedora bude odstraňovat balíčky se špatnými bezpečnostními praktikami
Ano, u Debianu asi nebude něco takového jednoduché najít. Proto ho taky používám, ale proč se omezuješ na něj? Co je na Ubuntu neklasického? Že je odvozená distribuce? Těch je dnes většina. Je nejpopulárnější, staví na něm řada dalších distribucí. Mrkni třeba do balíčků universe 16.04, tam určitě nějaký code execution najdeš ;-) A to se pořád bavíme o distribučním repu. PPA jsou mnohem, mnohem větší bezpečnostní průser než Flatpak. Ale ty tě zjevně netankují, protože ty máš osobní problém s Flatpakem a očividně i Red Hatem.
4.9.2018 13:26 luv | skóre: 18 | blog: luv
Rozbalit Rozbalit vše Re: Fedora bude odstraňovat balíčky se špatnými bezpečnostními praktikami
Byl bych hrozne rad, kdyby flatpak a snap (ten vypada o neco lip) fungovali tak jak slibuji.
4.9.2018 12:47 Abi
Rozbalit Rozbalit vše Re: Fedora bude odstraňovat balíčky se špatnými bezpečnostními praktikami
To, že mají něco za cíl, neznamená, že ho dosáhli a že to tvrdí.

Jinak paranoia není pěkná věc. To, že s tebou někdo nesouhlasí, ještě neznamená, že je z Red Hatu. ;-)
4.9.2018 12:11 luv | skóre: 18 | blog: luv
Rozbalit Rozbalit vše Re: Fedora bude odstraňovat balíčky se špatnými bezpečnostními praktikami
A posledni vec - k tomu jak ses zasekl na tematech, pokud by nebyla moznost zmenit tem vubec, tak bych to bral. Pokud to jde ale funguje jen nekde, tak to je trapne amaterske.

Ale nejde o temata, jde o a11y, cjk atd !
3.9.2018 18:19 luv | skóre: 18 | blog: luv
Rozbalit Rozbalit vše Re: Fedora bude odstraňovat balíčky se špatnými bezpečnostními praktikami
Mimochodem, o tohle se snazi snap (a rekl bych, ze jsou ted dal nez Red Hat; s tou integraci to je ale hodne spatny, videl jsem stiznosti ze jim tam nefunguje CJK) a maji tam ten stejny problem se zavislostma. Existuji zname bezpecnostni chyby (i s prirazenym CVE) opravene v Ubuntu baliccich, ale snap vyuzivajici ten balicek neni (automaticky) rebuildovany.

Ale ve snapu jsem nasel jen DoS (resp. podle DSA "denial of service or potentially the execution of arbitrary code"), vylozene code execution se mi narozdil od flatpaku nepovedlo. Ale zas tolik casu jsem tim nestravil, u flatpaku je to fakt pro script kiddies.
3.9.2018 10:58 Meresjef
Rozbalit Rozbalit vše Re: Fedora bude odstraňovat balíčky se špatnými bezpečnostními praktikami
Na jednu stranu hezké. Na druhou stranu by člověk čekal, že nějaké takové procesy uplatňují už dávno.

Založit nové vláknoNahoru


ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.