Hirdetés

  2. Fórumok
  3. [Linux] A Flatpak
Legfrissebb anyagok
PROHARDVER! témák
Mobilarena témák
IT café témák
GAMEPOD témák

Új hozzászólás Aktív témák

  • sh4d0w sh4d0w félisten
    #9
    #8 urandom0
    Új Válasz
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    sh4d0w
    sh4d0w
    félisten
    #8 urandom0
    #8 urandom0

    Ez igaz, de:
    1. a runtime-ok folyamatosan frissülnek, egyébként jelezve van (paranccsorban is, Flathub felületén is, Warehouse-ben is, Gnome Software-ben is) ha valamelyik runtime túllépte az EOL-t.
    A flatpakon belüli binárisok állapota valóban lehet kérdéses, erre találták az a f-e-d-c-t, ami végigellenőrzi, hogy van-e elavult függőség a csomagban. Ezt nem csak a fejlesztők használhatják, hanem maga a Flathub is használja folyamatosan, és ha elavult függőséget talál, a Flathub bot pull requestet küld.
    De egyébként a csomagtelepítős programok közül is van olyan, ami saját binárisokat hoz magával, azokra sincs garancia, hogy nincs bennük sebezhetőség.

    2. az appok jogosultságait te, mint felhasználó, nagyon egyszerűen meg tudod nézni (Flathub felületén pl. ott is van, hogy tudja írni/olvasni a home foldert) és át tudod állítani, ellentétben a csomagkezelőből érkezett programokkal, amikkel ezt azért sokkal nehezebb megtenni.
    És ha verified flatpakot töltesz le, akkor biztos lehetsz benne, hogy ugyanaz készítette a flatpakot, mint aki a programot is, tehát szándékosan rossz indulatú kódot nagy valószínűséggel nem tartalmaz.

    De azzal szerintem te is egyetértesz, hogy nem lehet úgy odaadni a végfelhasználónak egy szoftvert, hogy ne lenne filesystem=user jogosultsága. Nagyon sok program így gyakorlatilag használhatatlanná válna.

    Speciel Debian eseten van biztonsagi ellenorzes a csomagokra, mielott a stable-be kerul. Az olyan slendrian disztribuciok, mint az Ubuntu, persze futyulnek erre, tobbek kozott ezert kaptak be az xz-alapu ssh backdoort.

    A verified flatpak az egvilagon semmilyen biztonsagot nem ad, mert artalmas kod kesobb is belekerulhet az appba, hiaba egy a fejleszto es a koder. Megint visszautalok az xz-re, ahol egy uj fejleszto vette at a csomag karbantartasat, majd idovel becsempeszte a backdoort.

    A usernek pedig nem olyan szoftvert kell adni, amirol reklamozzuk, hogy secure es kozben egy mozdulattal megsemmisitheto a vedelmi vonala, hanem olyat, ami tenylegesen biztonsagos.

Új hozzászólás Aktív témák