Technologie xdg-app přejmenována na Flatpak (diskuse)

To zas bude macatá bezpečnostní džuzna...

16.5.2016 00:11 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Technologie xdg-app přejmenována na Flatpak

Aplikace uzavřená v Linux namespaces / seccomp / seLinux sandboxu je rozhodně bezpečnější než aplikace co může pod daným uživatelem řádit jak se jí zlíbí. Aplikace co jakkoliv komunikují s Internetem (nebo otvírají soubory stažené z Internetu) by rozhodně v dnešní době měly být sandboxované, to že ve standardních Linuxových distribucích se tak neděje je obrovská chyba. Proto taky vznikl třeba Firejail nebo Oz sandbox (používaný v secure distribuci Subgraph OS). xdg-app je jen další variací na toto téma.

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

16.5.2016 18:02 Rezza | skóre: 25 | blog: rezza | Brno
Rozbalit Rozbalit vše Re: Technologie xdg-app přejmenována na Flatpak

Zakladni predpoklad je, ze se zvladne bundlovani a sprava runtime, ktere to pouziva. At to neskonci jak nektere jine kontyse, ktere nikdy nevidely update...

17.5.2016 10:59 Sid
Rozbalit Rozbalit vše Re: Technologie xdg-app přejmenována na Flatpak

mozno najviac by sa mi pacilo riesenie keby dana distribucia sice mala sandboxovane aplikacie ktore by dokazali mat odkaz na kniznice distribucie (napr openssl, atd) a tie by sa namapovali pre tu ktoru aplikaciu. Lebo ked sa pozriem ako sa aktualizuju niektore ine veci co bezia takto tak o tej bezpecnosti silno pochybujem.

19.5.2016 11:28 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Technologie xdg-app přejmenována na Flatpak

Takhle obdobně to právě dělá Subgraph OS. Pod kapotou je to Debian, ale všechny citlivé aplikace jsou automaticky sandboxované pomocí Oz sandboxu.

Výhodou oproti Firejail je pak také to, že Oz je psaný v memory-safe jazyce (Go). Ve Firejail už jednou tuším byla nalezena bezpečnostní díra umožňující lokálnímu uživateli získat roota (samotná binárka Firejail totiž musí být SUID, aby mohla pro aplikaci sestavit plnohodnotný sandbox).

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

20.5.2016 10:58 Rezza | skóre: 25 | blog: rezza | Brno
Rozbalit Rozbalit vše Re: Technologie xdg-app přejmenována na Flatpak

Takhle, xdg-app bude mit/me runtime vyrobene na zaklade nejake distribuce. Ty od vetsich distribuci budou updatovane, kdyz si nekdo ale sesmoli neco ne kolene a nabundluje tam z nejakeho duvodu vsechno, tak proti tomu zadna obrana neni. Navic nikdo ted ani nevi, kde ty runtime budou, co se stane, kdyz runtime, na kterem neco zavisi prestane existovat (coz je dobre, protoze sandbox by mel resit i tu vec, ze aplikaci 10 let starou pusti clovek na nove distribuci, ale bez runtime ne).

17.5.2016 12:19 saly | skóre: 23 | blog: odi_et_amo
Rozbalit Rozbalit vše Re: Technologie xdg-app přejmenována na Flatpak

Díky za tip na firejail. Už používám out-of-the-box. Časem si třeba poladím i nějaké nastavení.

Mám svůj web: https://www.renekliment.cz/.

17.5.2016 12:23 saly | skóre: 23 | blog: odi_et_amo
Rozbalit Rozbalit vše Re: Technologie xdg-app přejmenována na Flatpak

A taky to řeší jednu věc, kterou jsem doposud nebyl schopen inteligentně vyřešit, a to pouštět izolovaně webové aplikace typu FB. Teď řeším pomocí

firejail --private chromium --incognito --app=https://facebook.com

a nemusím se strachovat, že mě FB sleduje po webu. Teď mě nemusí zajímat, jestli prohlížeč umí nějaké profily, nebo více instancí, což žádný prakticky neumí, nebo jsem nebyl schopen na to přijít.

Mám svůj web: https://www.renekliment.cz/.

19.5.2016 12:29 Ruža Becelin | skóre: 40 | blog: RuzaBecelinBlog
Rozbalit Rozbalit vše Re: Technologie xdg-app přejmenována na Flatpak

OMG, Oz versus Oz, nemuzou do haje vymyslet rozdilne nazvy? Jsem chvili premyslel, jak oz pro automatickou instalaci guestu umi sandboxovat :-/