1.1, Аноним (1), 21:21, 10/12/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +10 +/– |
Вот это перспективно. Очередной гвоздь в крышку гроба "/tmp/.X11-unix/X0 свободен, входите кто хотите, делайте что хотите, скриншотьте что хотите, кейлоггерьте когда хотите" иксов.
| |
|
2.2, Аноним (2), 21:32, 10/12/2022 [^] [^^] [^^^] [ответить]
| +5 +/– |
сейчас тебе иксперты насыплют, с нулевыми аргументами, зато инициативно, и максимка их комментарии оставит, а твои потрет
| |
|
|
|
5.27, Аноним (1), 02:02, 11/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Читайте маны
в гуйном терминале никакой grab keyboard не зовется (оно и понятно, ибо терминал не в состоянии различать критический ввод от некритического). Вариант с xinput test воспроизводится стабильно, поэтому песдишь тут только ты.
Существование настолько крупной дырени обычно обескураживает любого новоприбывшего ламера вроде тебя, о чем автор прямо так пишет (и это в 2011): Yes, I can understand what is happening in your mind and heart right now... Don't worry, others have also passed through it. Feel free to hate me, throw out insults at me, etc. I don't mind, really (I just won't moderate them). When you calm down, continue reading.
| |
|
6.32, pashev.ru (?), 06:59, 11/12/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
Бгггг. Чувак, механизм есть. Если его не используют в каждой дырке затычкой, значит дырки нет.
| |
|
7.36, Аноним (1), 08:14, 11/12/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
чувак, этот твой мЮханизм - пример черного списка, а надо идти от обратного: по умолчанию запрещено все, что явно не разрешено. Именно белые списки применяются например во флатпаке. И этот твой мЮханизм выборочно "защитит" лишь от кейлоггеров, но не от скриншотеров-стукачей. Ну и ты не объяснил, как именно терминал определит, что "вот сейчас пользователь наверное введет пароль от рута, давайте врубим мЮханизм".
Это я еще не заикаюсь про другие крупномасштабные дырени вроде pulseaudio и dbus, где тоже "дом свободный, живите кто хотите". https://madaidans-insecurities.github.io/guides/linux-hardening.html#common-sa
> значит дырки нет
Это называется стадия отрицания.
| |
|
|
5.29, Аноним (2), 02:05, 11/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
еще один типичный иксперт опеннет - ты даже не понял, о чем речь, судя по тому, что ты запостил
| |
|
|
|
2.4, pashev.ru (?), 21:41, 10/12/2022 [^] [^^] [^^^] [ответить]
| –6 +/– |
Бхахахааха,
Ты ещё вспомни, что по TCP к порту может кто угодно подключится, например к постгресу. Вот это дыра!
man xauth
| |
|
3.5, Аноним (1), 21:56, 10/12/2022 [^] [^^] [^^^] [ответить]
| +3 +/– |
> по TCP к порту может кто угодно подключится, например к постгресу
Не "кто угодно", если постгрес слушает 127.0.0.1 вместо 0.0.0.0.
Не "кто угодно", если постгрес слушает unix socket вместо TCP.
> man xauth
Далее, твоя аналогия некорректна. Процесс постгреса не может получить доступ к памяти других процессов этого же юзера (при условии, что выставлен правильный kernel.yama.ptrace_scope), в то время, как любой клиент иксов может получить снимок окна любого другого клиента. Прорвется у тебя малварь через 0day-уязвимость хрома и запустит кейлоггер: в какой-то момент он получит рута, просто триггерясь на последовательность клавиш типа "s", "u", Enter. Твой xauth от такого не защитит.
| |
|
4.7, pashev.ru (?), 22:09, 10/12/2022 [^] [^^] [^^^] [ответить]
| –4 +/– |
> Не "кто угодно", если постгрес слушает 127.0.0.1 вместо 0.0.0.0. Не "кто угодно", если постгрес слушает unix socket вместо TCP.
Ты так ничего и не понял.
| |
|
5.9, Аноним (1), 22:17, 10/12/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Не... Ты не понял... Ты все не так понял... А я вот понял... А ты не понял... Иксы это безопасно... Я-то ведь понимаю... А ты не понимаешь...
ОК.
| |
|
|
3.33, Аноним (55), 07:39, 11/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Конечно может, зачем нужен сервер баз данных если к нему не может обратиться кто угодно?
| |
|
2.89, Аноним (89), 19:15, 13/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
> скриншотьте что хотите, кейлоггерьте когда хотите
А если будет сборка X11, в которой вместо скриншота будет всегда чёрный экран или сегфолт программы, которая попыталась сделать скриншот? Это норм будет?
Можно даже попробовать запилить. Вроде не прям суперсложночтопочтинереально.
| |
|
1.8, Аноним (8), 22:09, 10/12/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –6 +/– |
Объективно, X11 -- огромная дыра в безопасности. Он проектировался в те дремучие времена, когда и слыхом не слыхивали об этом вашем ИБ. В то же время, объективно, wayland и экосистема вокруг него -- сырые. Возрадуемся же, товарищи, что сделан ещё маленький шажок в сторону вяйленда!
| |
|
2.91, Аноним (91), 06:00, 16/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
а у меня X11 в интернет жопой не торчит, да и вайберы я не запускаю
| |
|
3.93, Аноним (8), 15:03, 16/12/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
> а у меня X11 в интернет жопой не торчит, да и вайберы
> я не запускаю
А его и не обязательно выставлять жопой в сеть. Даже свободный софт легко может быть взломан и стать кейлогером. Вот, на опеннете стабильно публикуются новости с пачками вирусни на pypl и прочих помойках. И всё вот это тянется как зависимости для софта, который мы используем повседневно.
| |
|
4.94, Аноним (94), 22:16, 16/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Если у тебя на компе уже завелись трояны, то кейлогерство - это последнее, о чём надо беспокоиться.
| |
|
5.95, Аноним (8), 14:05, 17/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
> Если у тебя на компе уже завелись трояны, то кейлогерство - это
> последнее, о чём надо беспокоиться.
Это как раз первое, о чём надо беспокоиться. Если взломают какой-то X11 софт, которым пользуюсь я, то первое, что он будет делать -- это кейлогать и скринить. На всё остальное у него не хватит полномочий. Конечно, взломщик может использовать и другие дыры для доступа уже к руту. Но кейлогинг -- это будет самое простое и эффективное, а поэтому первое.
| |
|
|
|
|
1.11, pashev.ru (?), 22:24, 10/12/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Все говорили про heartbleed или shellshock, все видели как это работает и накатывали патчи.
Но только фантики Вейланда без конца ноют про проблемы Иксов, которые (проблемы) никто в глаза не видел и не может показать.
| |
|
2.12, pashev.ru (?), 22:28, 10/12/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
И почему-то старательно игнорируют Винду, где всё гораздо хуже, и которая гораздо шире используется. Лол.
| |
|
3.17, Аноним (17), 23:06, 10/12/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
Пожалуйста пруф. Или ваша экспертность в очередной раз подтверждается только Вашими домыслами?
| |
3.37, Аноним (55), 08:14, 11/12/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
В Винде uac окно из пространства пользователя недоступно. Начиная с висты проблема была решена
| |
|
4.47, pashev.ru (?), 14:53, 11/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
В лучшем случае юзверь кликнет ОК не читая. Это просто пример, когда плохая «защита» хуже её отсутствия, ибо создаёт лишь иллюзию безопасности.
| |
|
5.54, Аноним (55), 17:15, 11/12/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
Или удалит программу, которой административные права нужны просто так.
Потому что есть 100500 других которым не нужны
| |
|
4.50, Аноним (50), 15:57, 11/12/2022 [^] [^^] [^^^] [ответить]
| +3 +/– |
UAC бесполезен, большинство пользовательского софта под виндой требует для своей работы прав администратора, даже игры, вынуждая давать разрешения если хочешь использовать программу, так что UAC только видимость безопасности, по факту подавляющее большинство софта в винде работает от администратора.
| |
|
5.53, Аноним (55), 17:13, 11/12/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
Приведите хотя бы 5 игр и 5 программ которым требуется повышенные права не во время установки или первого запуска для доустановки библиотек.
Даже для старых игр повышенные права не нужны, им какая-то виртуальная файловая система создаётся в каталоге пользователя
| |
|
6.74, Аноним (50), 22:34, 11/12/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
Многие игры из стима, особенно онлайн игры. Последнее что запускал оттуда была torchlight: infinite. Что еще за виртуальную файловую систему ты придумал? Там тупо символическая ссылка вместо старого каталога(documents and settings) перенаправляющая в новую папку пользователя. Я так понимаю ты не в курсе как устроена винда поэтому сам придумываешь.
| |
|
7.76, Аноним (55), 07:37, 12/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
>UAC бесполезен, большинство пользовательского софта
И назвал одну игру
| |
|
8.81, Аноним (50), 10:39, 12/12/2022 [^] [^^] [^^^] [ответить] | +/– | Из того что вспомнил, сейчас я почти не играю ARK survival evolved, Jade Empir... текст свёрнут, показать | |
|
9.82, Аноним (82), 12:11, 12/12/2022 [^] [^^] [^^^] [ответить] | +/– | Вы качаете какие-то неправильные пиратки Вероятно завирусованные, скачанные с т... текст свёрнут, показать | |
|
|
|
8.80, Аноним (50), 10:27, 12/12/2022 [^] [^^] [^^^] [ответить] | +/– | Чувак симлинк называет виртуализацией, причем он сам понимает что это простое пе... текст свёрнут, показать | |
|
9.85, Аноним (55), 16:31, 12/12/2022 [^] [^^] [^^^] [ответить] | +/– | Эксперт с опеннет обгадил разработчика из microsoft, автора книги The Old New Th... текст свёрнут, показать | |
|
|
|
|
|
|
|
2.14, Аноним (1), 22:41, 10/12/2022 [^] [^^] [^^^] [ответить] | +2 +/– | Ок, вот практический пример 1 Устраиваешься на удаленную работу разработчиком,... большой текст свёрнут, показать | |
|
3.23, asdasd (?), 00:55, 11/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
А вы работаете на своей основной системе, чтоб в любой момент ваш работодатель ваш засудил за распространение внутренней информации?
| |
|
4.34, Аноним (55), 07:48, 11/12/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
А какие могут быть варианты если работодатель не предоставил рабочий ноутбук? Установить третью систему, а в ней 150 Гб библиотек, сдк, образов эмуляторов?
| |
|
5.86, Аноним (86), 19:35, 12/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Поменять работодателя, пожаловаться в профсоюз, стать работодателем, мыть золото, в конце концов.. )
| |
|
|
3.35, Аноним (55), 08:01, 11/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
В такой ситуации придется устанавливать ещё одну систему.
Но вообще работодатель должен был предоставить рабочий ноутбук, если хочет следить.
| |
|
4.43, X86 (ok), 12:57, 11/12/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
Действительно. Работодатель выдал всем софт на Win95. В итоге все дырявое, но причем тут Win95? Аргумент в пользу не дырявости Win95?
| |
|
|
|
|
2.46, Аноним (-), 14:13, 11/12/2022 [^] [^^] [^^^] [ответить]
| +3 +/– |
Всмысле? Я уже пользуюсь, оно по дефолту в свежих версиях KDE.
| |
|
1.38, Аноним (38), 08:59, 11/12/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
OS Haiku в этом году получила собственную реализацию wayland и ramfs Для десктоп ОС отличное решение.
| |
1.39, ИмяХ (?), 09:05, 11/12/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
>>для получения доступа к информации о последних действия пользователя,
Та огромная дырень в безопасности, из-за которой пытаются избавиться от иксов, теперь есть и в вайланде!
| |
1.45, Аноним (-), 14:12, 11/12/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Поставил новый KDE с Вейлендом - плавная анимация эффектов и никакого тиринга... На иксах я с тирингом боролся 10 лет, да так и не поборол (без серьезных просадок производительности). Так что это настоящий успех.
| |
|
|
3.49, Аноним (49), 15:24, 11/12/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ты привык. Вот когда кино смотришь и кадр плавно наезжает отлично видно и тиринг и статтеринг (чем меньше первого тем больше второго). Но на вейланде никакой особой разницы. Зато выраженные проблемы с позиционированием окон и производительностью отрисовки (480p в mpv было невозможно смотреть, я та и не поборол). И дикий тиринг 100% был в софте запущенном через xwayland.
| |
|
4.51, Аноним (51), 17:00, 11/12/2022 [^] [^^] [^^^] [ответить]
| +4 +/– |
Неосилятор детектед. Пользуюсь иксами и не имею никакого тиринга, видео, даже 4к, даже на встройке не тормозит. Может лучше взад на винду, а?
| |
|
5.52, Аноним (49), 17:07, 11/12/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
Видимо, ты слепой. У меня тоже только в гтк софте тиринг, но я понимаю, что он никуда не денется. И лучший выбор только между тяжёлым статеррингом и лайтовым тирингом. А УМВР -- это ламерство.
| |
|
6.56, Аноним (51), 17:33, 11/12/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
Ламерство - это когда ни у кого тиринга нет, а у тебя есть. И да, я прекрасно знаю как выглядит тиринг.
| |
|
7.57, Аноним (49), 17:52, 11/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Ламерство тут в том, что ты считаешь себя самым умным и видимо не понимаешь, что такое статтеринг и чем он может грозить. Не все проблемы железа решаются софтом. Есть много решений, но ни одного идеального и универсального. И надежды на улучшение ситуации под иксами уже никакой нет, а у вейланда пучок своих проблем.
| |
|
|
9.64, Аноним (49), 18:39, 11/12/2022 [^] [^^] [^^^] [ответить] | +/– | У каждого должен быть шанс образумиться, увидев, что его реальность не обязатель... текст свёрнут, показать | |
|
|
|
|
|
|
|
|
|
|
|
|
19.73, Аноним (49), 21:13, 11/12/2022 [^] [^^] [^^^] [ответить] | +/– | Чувак, где я это говорил Конечно, у других всё так же, как и меня У всех всё о... большой текст свёрнут, показать | |
|
|
|
|
|
|
|
|
|
10.83, Аноним (82), 13:01, 12/12/2022 [^] [^^] [^^^] [ответить] | –1 +/– | Нет, только Вашей графической карты Тиринг на иксах я видел только на VirtualBo... текст свёрнут, показать | |
|
|
|
|
|
|
|
|
|
|
2.88, Juhan1 (?), 18:44, 13/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Я же верно понял что больше половины проблем это то что ваня не дает одним программам подглядывать/читать/взаимодействовать за другими программами? В том и есть основной его минус?
| |
2.90, Аноним (90), 03:34, 15/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Прочтите, хрень какая-то... хотите все это спросите в сообществе выдадут альтернативу,
а так со своими самоварами от X11 не нужно приходить сидите там сами...
| |
|
3.92, Аноним (91), 06:03, 16/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
а мы и сидим, и не трогаем никого, и новостями не испражняемся из каждой дырки, потому что иксы просто работают
| |
|
|
|