Hirdetés

Új hozzászólás Aktív témák

  • urandom0
    őstag

    En elolvastam, de abban nem vagyok biztos, hogy Te is.
    Senki nem mondta, hogy a Red Hat hibaja, ha a maintainer nem frissit, a formatumnak viszont hibaja. Egy deb csomag eseten a kerdeses csomagot kirugjak a disztribuciobol, ha a maintainer nem teszi a dolgat es pont tavaly volt ra pelda, hogy a Firefoxnak frissebb - talan mesa - alrendszer kellett, hat Debianek frissitettek azt is.

    Viszont az, ha kritikus sechole-ek benne vannak egy flatpakben, a karbantarto nem tart karban es visszavonni sem lehet a kerdeses flatpaket kozpontilag - na az ultragaz. Hogy a user csak a sajat /home-jaba tud irni, azzal is lehet baj: Debian eseten a csomagokat security szepontbol vizsgaljak (persze nem ad 100% vedelmet, de mashol ilyet sem csinalnak) - ha mar ismert hiba van benne, visszadobjak. A flatpaket senki nem nezi at, release idejen is lehet benne akarmilyen kritikus hiba, azt sem vizsgalja senki, hogy egy korabban artalmatlan csomagba nem rakott-e a fejleszto vmi disznosagot. Ha Debian csomag eseten csinal ilyet a maintainer, kivagjak, mint azt a bizonyos macskat.
    Szoval ha a /home-ba irasi joggal rendelkezo flatpakbe bekerul egy ransomware es eltitkositja a user file-jait, az bizony baj. Rendes Debianos deb csomag eseten ennek sokkal kisebb az eselye - nem nulla, de inkabb egy tarolobol lehuzott deb, mint egy Flathubos flatpak.

    Arrol meg nem is erdemes szot ejteni, miert kockazat, ha netan a root vagy ilyen jogosultsagokkal rendelkezo user hasznal flatpaket.

    Senki nem mondta, hogy a Red Hat hibaja, ha a maintainer nem frissit, a formatumnak viszont hibaja.

    Pedig nekem ez a rész eléggé úgy tűnik, hogy a Red Hatra próbálja kenni az egészet:

    Let's hope not! Sadly, it's obvious Red Hat developers working on flatpak do not care about security, yet the self-proclaimed goal is to replace desktop application distribution - a cornerstone of linux security.

    Szerintem a vitatott pontok amúgy nem a formátum hibájából erednek.

    Viszont az, ha kritikus sechole-ek benne vannak egy flatpakben, a karbantarto nem tart karban es visszavonni sem lehet a kerdeses flatpaket kozpontilag - na az ultragaz.

    Ez nem így van, az adott flatpak terjesztő oldal (ami általában a flathub) adminjainak kell írni egy e-mail, megvizsgálják az adott flatpak csomagot, és ha kell, eltávolítják.

    A flatpaket senki nem nezi at, release idejen is lehet benne akarmilyen kritikus hiba, azt sem vizsgalja senki, hogy egy korabban artalmatlan csomagba nem rakott-e a fejleszto vmi disznosagot.

    Ez sincs egészen így, minden csomagot átvizsgálnak, legalábbis a flathubon biztosan. De ha ez így is van, ahogy leírtad, akkor ez megint csak nem a formátum hibája, hanem azé, aki az adott infrastruktúrát üzemelteti, és tojik rá, hogy milyen csomagok kerülnek fel az oldalára. Ha egy flatpak csomagot nem hajlandó frissíteni a maintainere, le kell szedni és kész.

    Új flatpak csomagoknak egyébként már a portals API-t illik használniuk, azzal pedig még annyira sem férnek hozzá a fájlrendszerhez, mint egy átlagos natív deb csomagos program.

    szerk: egyébként elsősorban én is a disztró natív csomagjait használom, csak akkor nyúlok flatpakhoz, ha nincs natív csomag, vagy ha nagyon régi.

Új hozzászólás Aktív témák