- gban: Ingyen kellene, de tegnapra
- MasterDeeJay: Legolcsóbb "x99" gép építése. (folyamatban)
- MasterDeeJay: Low budget (50.000 forint) light gémer gép összerakása
- Magga: PLEX: multimédia az egész lakásban
- Luck Dragon: Asszociációs játék. :)
- Nyuszit otthonra, kedvencnek!
- D1Rect: Nagy "hülyétkapokazapróktól" topik
- GoodSpeed: Anker Charger (140W, 4-Port, PD 3.1) laptop, mobil, tablet töltő
- sziku69: Szólánc.
- sziku69: Fűzzük össze a szavakat :)
Új hozzászólás Aktív témák
-
Mióta van Systemd azóta meg főleg, bár ezt sem tudta még senki értelmesen nekem elmagyarázni, hogy miért baj a Systemd meg, hogy miért kellene Poetteringet lecsukatni. Csak megy a hümmögés meg a mellébeszélés meg a semmivel alá nem támasztott gyűlöletbeszéd.
Szokásos Linuxos hozzáállás, még a saját fajtánkat is utáljuk. -
Nem gondolod, hogy ennél azért már tovább jár a történet? 2024-et írunk, nem 1984-et. Haladni kéne a korral.
A windows meg egy rémálom, fusson ámokot máshol.
Elnézve az Linux ~4% körüli asztali részesedését, amit 30 (!) év alatt össze tudott hozni... hát annyira nagyon nem rémálom a Windows hozzá képest. Pont ezaz, hogy a Linuxot kellene versenyképessé tenni. -
Ne az én fogalmázáskészégemről szoljón a topik, kérlek titeket. Lehet persze kritizálni, csak nem biztos, hogy van értelme.
totron
Nem arról van szó, hogy Árnyék kolléga jobban meg tudta fogalmazni, hanem arról, hogy azt írta, amit hallani akarsz.
sh4d0w
Én abszolút értékelem, hogy a Debian security csapat ilyen sokat tesz a biztonságért, nekem csak annyi a problémám, hogy eddig senki nem tudta bemutatni azt a dokumentációt, ami leírja, hogy a csomagbefogadás során mit és hogyan ellenőriznek.
Az AI véleményére pedig, ha nem haragszol, nem adok egy lyukas garast sem.
Azt pedig kizártnak tartom, hogy alapos codereview-t végeznek minden egyes programon. Mennyi csomag van most egy Debianban kiadásban, 65 ezer? Ha ezeknek csak a negyede szoftver, az is 16 ezer csomagot jelent. A világ összes programozója nem lenne elég arra, hogy ennyi csomagot alaposan átnézzen.Abban egyetértünk, hogy a 3rd party repó legyen az utolsó, ahhonan az ember letölt bármit is. Csak abban nem, hogy én a Flathubot nem tartom úgy 3rd party repónak, mint mondjuk az AUR-t vagy a COPR-t, mert azokat senki nem ellenőrzi. Ahhoz képest egyébként, hogy mennyire nem ellenőrzi az AUR-t senki sem, eddig egyetlen egy esetben találtak benne veszélyes programot, az is egy kriptominer volt. Egyébként a miner a user systemd unitjai közé írta be a sajátját - flatpak esetén ezt alapból nem tudta volna megtenni, mert nincs hozzá jogosultsága.
Én nem tartom veszélyesebbnek a Flathubot, mint mondjuk az universe vagy multiverse repókat.-----
Viszont a gyakorlatban alig van olyan ember, aki csak a repó által biztosított csomagokat használja. Ha valaki töltött le valaha az életben egy Gnome kiterjesztést, egy KDE témát, egy akármilyen .sh fájlt, egy scriptet a Gimphez, bármilyen Python vagy NodeJS modult... akkor ő már eleve veszélynek tette ki magát. De akár egy szimpla böngésző-kiegészítő is lehet veszélyes.
-
Ja értem, oké
Tehát tulajdonképpen nincs semmilyen vizsgálat. Pedig jó lenne, ha lenne, talán akkor a Debian stable sem lenne tele sebezhetőségekkel
De távol álljon tőlem, hogy bántsam a Debiant, egy nagyon jó rendszernek tartom. A maintainereknek is minden elismerésem.
De némi józan ésszel könnyen belátható, hogy nincs olyan teszt a világon, ami - néhány triviális biztonsági problémát leszámítva - alkalmas lenne arra, hogy a csomagok biztonságát garantálják. Vannak automatizált tesztek, amik bizonyos patterneket (SQL injection, XSS, stb.) illetve megtalálnak backdoorokat, malware-eket. Ilyeneket le lehet futtatni, de ehhez is kell szakember, idő, energia.A legbiztosabb módszer a sebezhetőségek kiszűrésére az, amit Lasse Collin is megtett, hogy sorról sorra, commitról commitra végigellenőrizni a forráskódot.
Aligha hiszem, hogy van okod ilyesmit kijelenteni. A megbizhatosag magaban foglalja a biztonsagot is es nem veletlenul letezik a Debian Security Team. Termeszetesen soha senki nem jelentette ki - ebben a topicban sem -, hogy nincs es nem lesz a Debianban sebezhetoseg, mindazonaltal szeretnek ramutatni, mekkora ostobasag volt a linked: 2023. junius 10-en jelent meg a jelenlegi stable es belinkeltel tobbnyire 2024-es CVE-ket. Kabe nagyjabol 1-2 lehet ezekbol a CVE-kbol olyan, ami a kiadas idejen tenylegesen detektalhato lett volna. Mindezeken tul az sem mindegy, hogy egy sebezhetoseg CVSS score-ja mondjuk 4.0 alatt van, vagy sem. Nagyon sok helyen a medium besorolast kapott serulekenysegek nem showstopperek, hanem a javitas megerkezeseig mitigalandok vagy security sign-off-ot igenylok.
Nemcsak a csomagok/modulok, hanem a teljes szoftverek biztonsagat sem lehet garantalni, de vannak olyan eszkozok, amelyek meg forraskod formaban kepesek ramutatni vagy a programozasbol szarmazo kozvetlen biztonsagi hibakra (pl. c kodban hianyzik a user controlled valtozo hosszanak ellenorzese), vagy a mar bejegyzett serulekenyseggel hasznalt komponensekre - mindezt automatikusan a CI/CD pipeline-ban, human beavatkozas nelkul. Nem kerek arra valo hivatkozast, hogy a Linuxra fejleszto hobbiprogramozoknak nem telik CI/CD pipeline-ra, vagy Sonarqube-ra, mert mindegyik kivitelezheto ingyen, vagy tenyleg gombokert, masreszt egy reszuk biztosan nem hobbiprogramozo, hanem professzionalis, aki a munkahelyen csinalja az uzleti szoftver, a szabad idejeben meg Linuxra ir valamit.
Megkerdeztem tobb, egymastol fuggetlen AI-t is, milyen biztonsagi ellenorzeseket vegeznek a Debian Projectben: code review, dependency CVE check, vulnerability scanning - a teljesseg igenye nelkul.
"Milyen egy biztonsági ellenőrzés egyébként?
Hát ez az, pont erre várom én is a választ tőletek"Nem, nem ezt kerdezted, hanem azt, hogy Debianek milyen ellenorzeseket vegeznek - nem biztos, hogy egy altalanos ellenorzes es a DB altal elvegzettek teljesen fedik egymast.
Az altalad leirtak alapjan en nem latom biztositottnak, hogy a Flathub megbizhato csomagokat kinal es tovabbra is fenntartom azt a velemenyemet, hogy nagyjabol az utolso megoldas legyen barmelyik 3rd party csomagforras hasznalata, beleertve a PPA-kat is.
Ettol fuggetlenul felolem mindenki azt hasznal, amit akar es meg csak karorvendeni sem fogok, ha valaki emiatt bekap valami tamadast, azt viszont nagyon is szeretnem elerni, hogy aki ebbe a topicba teved, vagy mar itt van, tisztan lassa a veszelyeket, a mukodesi mechanizmusokat, veszelyeket.
-
A Red Hat nem kommercializálta a Linuxot, nem is volt célja. A Canonical volt ráálva erre a témára kb. 20 éven keresztül, de pár éve (sok milliárd EUR elégetése után) rájött, hogy ez nem fog működni. Azóta gyakorlatilag annyi az Ubuntu, hogy fognak egy Debian unstable-t, újraforgatják egy saját patch settel, aztán megbrandelik saját névvel, hátterekkel, egyebekkel és kiadják más néven. Nem mintha ez olyan rossz lenne, szerintem az Ubuntu azóta jó, amióta a Canonical csak minimálisan nyúl bele.
A fejlesztőcégek folyamatosan azon pörögnek, ha szóba kerül a Linux, hogy nehéz rá fejleszteni, mert semmi sem egységes. Se a disztrók, se a csomagformátumok, se az asztali környezetek, semmi. A flatpakkal kapcsolatos egyik várokozás az, hogy ezt a szétszórtságot kicsit összerakja, lesz egységes csomagformátum az appoknak, egységes store (legalább webes, ha asztali egyelőre nem is), és lesznek fizetős appok is, így az appfejlesztők majd nagyobb kedvvel fordulnak a Linux felé, ami elméletileg több és jobb minőségű appokat eredményez, ami több Linux usert, és így nagyobb piaci részesedést vonz be.
Majd meglátjuk, így lesz-e.Amúgy ez inkább Macesítés, mint Windowsosítás. A Flatpak a MacOS-féle .app formátumhoz hasonlít.
-
A Flatpak előnye az egyszerűbb bináris terjesztés.
Ahogy Torvalds is mondta, a nagy cégek szempontjából pont az egyik nagy probléma a Linux-ra fejlesztéssel, hogy rengeteg környezet lehetséges, és ezek összes kombinációjára lehetetlenség érdemi QA-t és support-ot adni értelmes költség mellett. (azt hiszem a DebConf14-es talk-jában magyarázta, hogy egy búvárkomputerhez való szoftvert fejleszt a cége, és konkrétan egy ponton inkább felhagytak a Linux támogatással, mert egyszerűen nem térül meg.. ouch)
A Flatpak-el össze lehet zárni az app-ot a függőségeivel amivel garantáltan tesztelve lett és menni fog. Kvázi Docker az app-okra. Egy lóugrással átugorja a disztrók különbözőségeit, azok csináljanak amit akarnak.
-
Mert a böngésző egy moving target, és amikor komolyabb webappot fejlesztesz, akkor ott van előtted egy krva nagy kompatibilitási mátrix, ahol azt kell lesegetned, hogy adott böngésző adott verziója éppen mivel kompatibilis.
Ha odacsomagolod a böngészőt az app mellé, akkor meg nincs ilyen probléma.
-
A legtöbb flatpak csomag közvetlenül a Github repóból készül a Flathub infráján, teljesen nyitott manifest fájllal. Az ilyenek visszaellenőrizhetők.
Vannak persze olyanok is, ahol prebuild binaryt töltenek fel, de hát ez elkerülhetetlen olyan esetekben, amikor nem nyílt forráskódú programról beszélünk. De hát még magában a kernelben is vannak closed-source részek...Biztonsag szempontbol egy olyan platform, ami egy egyszeru dotfile-lal torheto,
Ez kb. ugyanaz a szituáció, mint ha fognál valakit, leültetnéd a géped elé, adnál neki root jogokat és kijelentenéd, hogy a Linux nem biztonságos, mert bárki feltörheti.
Ha valaki random dolgokat tölt le a netről, és vakon ad nekik futtatási jogosultságokat, és le is futtatja őket, akkor ne csodálkozzon, ha lyukas a rendszere, mint az ementáli.Mert amúgy a ~/.local/share/flatpak/ könyvtár a flatpak alkalmazások számára NEM elérhető, amíg explicit módon nem adsz rá engedélyeket.
Másrészt ezzel a módszerrel csak olyan jogosultságok adhatók az appoknak, amivel egy csomagkezelőből letöltött program vagy egy appimage alapból rendelkezik. Tehát még mindig van egy plusz védelmi réteg a flatpak appoknál, amivel a csomagkezelős programok, a random weboldalakról letöltött csomagok vagy binárisok, illetve az appimage-ek nem rendelkeznek.
Egyébként a hosszútávú cél az, hogy a statikus jogosultságok megszűnjenek, vagy legalábbis a minimumra csökkenjen a használatuk, és a helyüket átvegyék a portálok.
az minden, csak nem biztonsagos, ennel meg a normal csomagokra vonatkozo ACL-ek (SELinux, AppArmor) es filesystem jogosultsagok is nagyobb vedelmet nyujtanak.
Igen, azt a pillanatot várom én is, amikor az átlagos Linux felhasználó SELinux policyket fog írkálni
Az érveid közül én egyedül azt látom aggályosnak, hogy a flatpak csomagban lehetnek olyan binaryk, amiket nem nyílt forráskódból építettek, illetve nem bizonyítható, hogy az adott app abból a forráskódból épült, amire hivatkozik. De hát ez utóbbi biztosítása sem jelent garanciát, lásd az xz esetét.
Egyébként a Flathub webes felületén van olyan szűrő, ahol be tudod pipálni, hogy csak nyílt forráskódú és csak verified appokat mutasson: https://flathub.org/apps/search?q=image
"A legtöbb flatpak csomag közvetlenül a Github repóból készül a Flathub infráján, teljesen nyitott manifest fájllal. Az ilyenek visszaellenőrizhetők."
Nem az a lenyeg, hogy visszaellenorizheto-e, hanem hogy megteszi-e valaki, mielott a userhez eljut a file es nem, nem teszi meg senki.
"Ez kb. ugyanaz a szituáció, mint ha fognál valakit, leültetnéd a géped elé, adnál neki root jogokat és kijelentenéd, hogy a Linux nem biztonságos, mert bárki feltörheti.
Ha valaki random dolgokat tölt le a netről, és vakon ad nekik futtatási jogosultságokat, és le is futtatja őket, akkor ne csodálkozzon, ha lyukas a rendszere, mint az ementáli."Ezzel most nem mondasz ellen, hanem pont egyetertesz velem a sandbox semmilyenseget illetoen.
"Igen, azt a pillanatot várom én is, amikor az átlagos Linux felhasználó SELinux policyket fog írkálni."
Javasolnam, hogy ne menjunk egy bizonyos szint ala.
/.local es tarsai: iden aprilisi a bejegyzes a Fedora project foruman.
Meg egy szo a Flatsealrol, mert korabban nem olvastam azt az oldalt. Ez a masik olyan alkalmazas, ami ebben az egesz okoszisztemaban iszonyu veszelyes - ha valami, hat ez a root jelszo a sima usernek, mert nem csak a jogosultsagok szukebbre vonasara alkalmas, hanem azok kitejesztesere is.
Mindezek melle koszonom, hogy jobban kitertel a security-re is, meg ha az by design nem is jo.
-
A verified flatpak az egvilagon semmilyen biztonsagot nem ad, mert artalmas kod kesobb is belekerulhet az appba, hiaba egy a fejleszto es a koder.
Az összes repó, csomag, minden alá van írva, abba biztosan nem nyúlkál bele senki.
A usernek pedig nem olyan szoftvert kell adni, amirol reklamozzuk, hogy secure es kozben egy mozdulattal megsemmisitheto a vedelmi vonala, hanem olyat, ami tenylegesen biztonsagos.
Szerintem olyan nincs, hogy a kényelem és a biztonság ne mennének egymás rovására. Eleve nehéz azt definiálni, hogy mi a biztonság, és mi a biztonságos. Legfeljebb elvárható biztonságról lehet beszélni, ebből a szempontból a Flatpak szerintem jól működik. Ő a technikai felételeket biztosítja hozzá, azt, hogy ha pl. letiltod a hozzáférést a /home-hoz, akkor ahhoz nem fog hozzáférni. És én meg arra utalok vissza, hogy ezt ilyen könnyen nem tudod megtenni hagyományos csomagkezeléssel.
Egyébként minden védelmi vonal megsemmisíthető, ha a user elég ügyes hozzá. -
Ez igaz, de:
1. a runtime-ok folyamatosan frissülnek, egyébként jelezve van (paranccsorban is, Flathub felületén is, Warehouse-ben is, Gnome Software-ben is) ha valamelyik runtime túllépte az EOL-t.
A flatpakon belüli binárisok állapota valóban lehet kérdéses, erre találták az a f-e-d-c-t, ami végigellenőrzi, hogy van-e elavult függőség a csomagban. Ezt nem csak a fejlesztők használhatják, hanem maga a Flathub is használja folyamatosan, és ha elavult függőséget talál, a Flathub bot pull requestet küld.
De egyébként a csomagtelepítős programok közül is van olyan, ami saját binárisokat hoz magával, azokra sincs garancia, hogy nincs bennük sebezhetőség.2. az appok jogosultságait te, mint felhasználó, nagyon egyszerűen meg tudod nézni (Flathub felületén pl. ott is van, hogy tudja írni/olvasni a home foldert) és át tudod állítani, ellentétben a csomagkezelőből érkezett programokkal, amikkel ezt azért sokkal nehezebb megtenni.
És ha verified flatpakot töltesz le, akkor biztos lehetsz benne, hogy ugyanaz készítette a flatpakot, mint aki a programot is, tehát szándékosan rossz indulatú kódot nagy valószínűséggel nem tartalmaz.De azzal szerintem te is egyetértesz, hogy nem lehet úgy odaadni a végfelhasználónak egy szoftvert, hogy ne lenne filesystem=user jogosultsága. Nagyon sok program így gyakorlatilag használhatatlanná válna.
Szokásos Linuxos hozzáállás, még a saját fajtánkat is utáljuk.
Új hozzászólás Aktív témák
- Mibe tegyem a megtakarításaimat?
- Telekom otthoni szolgáltatások (TV, internet, telefon)
- Genshin Impact (PC, PS4, Android, iOS)
- Elektromos (hálózati és akkus) kéziszerszámok, tapasztalatok/vásárlás
- gban: Ingyen kellene, de tegnapra
- Mobilinternet
- Óra topik
- Xbox tulajok OFF topicja
- Feltalálta a Google a keresőmotort
- Jövedelem
- További aktív témák...
- Nintendo Switch OLED 64GB+256GB MicroSD + okositott, Atmosphere 3 hó garanciával
- Akciós! Kishibás! Macbook Pro 13 M1 16GB 256GB Akku: 87% 1 év garancia
- Macbook Pro 13 M1 16GB 256GB Akku: 88% 1 év garancia
- iPhone 17 Pro max 256GB kék bontatlan 1 év Apple jótállás
- OmniBook X Flip 14" 3K OLED érintő Ultra 7 258V 32GB 1TB NVMe IR kam gar
- BESZÁMÍTÁS! ASUS B760 i7 13700K 32GB DDR5 512GB SSD RTX 4070 12GB Aerocool P500B Digi ARGB 750W
- Alienware Aurora R13 Gaming! i7-12700KF / RTX 3080 Ti / 32GB DDR5 / 1TB NVMe / 1TB HDD! BeszámítOK
- Eladó Dell Latitude 7440 Új állapotban i7-1365U 32 GB DDR5 RAM 1TB SSD Dell pro support garancia
- Apple Watch Space Black rozsdamentes acél szíj
- CÉGEK FIGYELEM!! iPhone 11 64GB Black -2 ÉV GARANCIA - 27% ÁFA-S SZÁMLA Kártyafüggetlen, 100% Akks
Állásajánlatok
Cég: Laptopműhely Bt.
Város: Budapest