Hirdetés

  2. Fórumok
  3. OS, alkalmazások
  4. Debian GNU/Linux
  5. (kiemelt téma)
Keresés

Új hozzászólás Aktív témák

  • urandom0 urandom0 őstag
    #10293
    #10289 sh4d0w
    Új Válasz
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    urandom0
    urandom0
    őstag
    #10289 sh4d0w
    #10289 sh4d0w

    Speciel pont nem a Red Hates resz az, ami miatt linkeltem az irast - ha eddig nem lett volna egyertelmu. A forumtars a security miatt aggodott es ott bizony boven van mit tenni.

    A vitatott pontok pedig pont a formatum hibajabol vannak: ne irogasson semmit se a user home-ba, se mashova, csak a sajat kis konyvtaraba, ha a usernek kell onnan valami, majd kiszedi egyszeru filerendszer muveletekkel.

    "Ez nem így van, az adott flatpak terjesztő oldal (ami általában a flathub) adminjainak kell írni egy e-mail, megvizsgálják az adott flatpak csomagot, és ha kell, eltávolítják."

    En nem errol beszelek: ha egy Debian csomagnak mar nincs karbantartoja es sechole van benne, akkor a Debian project vagy rauszit valakit (elvegre open source), hogy legalabb ideiglenesen vegye at a karbantartast, vagy visszavonja a csomagot. Ertsd: megjeloli torlesre a repository-ban, amikor user frissit, eltavolitasra kerul a csomag a rendszererol. Vagy nekem legalabbis ez tunne logikusnak es szerintem a Debian project jol felfogott erdeke is ez. Ilyet flatpakkel nem tudsz csinalni.

    Tovabbi cafolat: az Adobe Reader flatpakben elerheto a flathubon. 10 eve befejezte az Adobe a tamogatasat, instabil, tele sechole-okkal. Megjegyzesnek oda van irva mind a tamogatas hianya, mind az esetleges biztonsagi hibak, ettol fuggetlenul a csomag elerheto, telepitheto, elindithato. Ez gaz.
    Tovabbi reszleteket is elolvashatsz itt - nem csak az Adobe Reader problemas, hanem sok minden mas is. Szoval az allitasod, miszerint a Flathubon mindent atneznek, nem igaz. Vannak ellenorzott flatpakek, meg van egy masik adag, amit meg senki nem nez meg.

    Speciel pont nem a Red Hates resz az, ami miatt linkeltem az irast - ha eddig nem lett volna egyertelmu.

    Tudom, nem is rád értettem, hanem a cikk szerzőjére.

    ne irogasson semmit se a user home-ba, se mashova, csak a sajat kis konyvtaraba, ha a usernek kell onnan valami, majd kiszedi egyszeru filerendszer muveletekkel.

    Ne haragudj, de ez egy baromság. Én ebbe belefutottam pár éve, a Gimp-nek egyik kezdetleges flatpak verziója nem tudott a home-ba írni. Úgy nézett ki a dolog, hogy menteni akartad a képet, a save as ablakban kijeltölted a home-ot, de az nem a valódi home volt, hanem a ~/.var/app/org.gimp.GIMP/... alá bemappelt könyvtár. Hogyan néz már ki az, hogy a user nem tud írni a saját home-jába? Mondjuk egy zenelejátszó nem tudja listázni a zenéidet, mert nem fér hozzá a ~/Music-hoz? Vagy a képnézegetővel nem tudod taggelni a képeid, mert nem fér hozzá a ~/Pictures-höz? Ez nonszensz...

    Ilyet flatpakkel nem tudsz csinalni.

    Ezek a sechole-os cuccok valóban gázak, ezek szerint változott a policy, régebben az ilyeneket ideiglenesen elérhetetlenné tették, sok contributor sírt is emiatt a fórumon. Erre az a megoldás, hogy erősebb szabályozás kell. Az megint más kérdés, hogy ezek a sebezhetőségek mennyire használhatók ki.

    Az olyan csomagokat, amiknél fel van tüntetve, hogy elavult, sebezhetőség van benne, stb., én azokat fen hagynám, esetleg valami jól látható jelzést még tennék oda.

  • cigam cigam titán
    #10291
    #10289 sh4d0w
    Új Válasz
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    cigam
    cigam
    titán
    #10289 sh4d0w
    #10289 sh4d0w

    Speciel pont nem a Red Hates resz az, ami miatt linkeltem az irast - ha eddig nem lett volna egyertelmu. A forumtars a security miatt aggodott es ott bizony boven van mit tenni.

    A vitatott pontok pedig pont a formatum hibajabol vannak: ne irogasson semmit se a user home-ba, se mashova, csak a sajat kis konyvtaraba, ha a usernek kell onnan valami, majd kiszedi egyszeru filerendszer muveletekkel.

    "Ez nem így van, az adott flatpak terjesztő oldal (ami általában a flathub) adminjainak kell írni egy e-mail, megvizsgálják az adott flatpak csomagot, és ha kell, eltávolítják."

    En nem errol beszelek: ha egy Debian csomagnak mar nincs karbantartoja es sechole van benne, akkor a Debian project vagy rauszit valakit (elvegre open source), hogy legalabb ideiglenesen vegye at a karbantartast, vagy visszavonja a csomagot. Ertsd: megjeloli torlesre a repository-ban, amikor user frissit, eltavolitasra kerul a csomag a rendszererol. Vagy nekem legalabbis ez tunne logikusnak es szerintem a Debian project jol felfogott erdeke is ez. Ilyet flatpakkel nem tudsz csinalni.

    Tovabbi cafolat: az Adobe Reader flatpakben elerheto a flathubon. 10 eve befejezte az Adobe a tamogatasat, instabil, tele sechole-okkal. Megjegyzesnek oda van irva mind a tamogatas hianya, mind az esetleges biztonsagi hibak, ettol fuggetlenul a csomag elerheto, telepitheto, elindithato. Ez gaz.
    Tovabbi reszleteket is elolvashatsz itt - nem csak az Adobe Reader problemas, hanem sok minden mas is. Szoval az allitasod, miszerint a Flathubon mindent atneznek, nem igaz. Vannak ellenorzott flatpakek, meg van egy masik adag, amit meg senki nem nez meg.

    ha a usernek kell onnan valami, majd kiszedi egyszeru filerendszer muveletekkel.

    Aztán majd megy a sírás rívás a felhasználók részéről, hogy nem éri el a fájlokat. Értem hogy biztonsági szempontból ez jól hangzik, de a gyakorlatban szinte a használhatatlanság határát súrolja. pl. egy office appal miért csak egy dokumentumok mappába tudok menteni, mikor én a pendrive-ra akarom menteni a doksit, vagy fordítva. Kapok pendrive-on egy zenét, de ahhoz, hogy megnyithassam, be kell másolni egy fixen megadott könyvtárba.
    Persze értem én, hogy más (szerver)programoknál ez pozitívum, de n+1 alkalmazásnál életszerűtlen.

Új hozzászólás Aktív témák